You are on page 1of 163

UNIVERSIDAD NACIONAL

SISTEMA DE ESTUDIOS DE POSTGRADO MAESTRIA EN ADMINISTRACION DE TECNOLOGA DE INFORMACIN CURSO PROYECTO INTEGRADO II

PROYECTO DE APLICACIN PRACTICA DE TECNOLOGA DE INFORMACION

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA INFORMACION EN EL MINISTERIO DE HACIENDA

Clair Chacn Rodrguez Jos Adrin Vargas Barrantes

Heredia, Costa Rica, agosto del 2001

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA INFORMACION EN EL MINISTERIO DE HACIENDA

INDICE GENERAL

RESUMEN EJECUTIVO.............................................................................................................................. I CAPITULO 1 .............................................................................................................................................. 1 INTRODUCCION......................................................................................................................................... 1 CAPITULO 2............................................................................................................................................... 7 MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI..........................................7 2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI........................................................................................7 2.1.1 Enfoque De Antonio Echenique..........................................................................................................................7 2.1.2 Enfoque de Sandra arc!a................................................................................................................................11

2.1." Enfoque de #anue$ Arau%................................................................................................................................1" 2.1.& Enfoque de 'io(ar De$)ado.............................................................................................................................1* 2.1.+ Enfoque De #ario Piattini , Otro-.................................................................................................................21 2.1.* Enfoque de $a .undaci/n 0ara e$ Contro$ 1 Auditor!a de Si-te(a- de Infor(aci/n 2#ode$o CO3IT4.. .25 2.1.7 Con-ideracione- -o6re $o- Diferente- Enfoque-.............................................................................................."" AUTOR DEL ENFOQUE........................................................................................................................... 35 2.2 SITUACI7N DE LA ESTION DE LA TI EN EL #INISTERIO DE 8ACIENDA..................................."*

2." PROPUESTA DE #ODELO #ETODOLO ICO OPERATI9O PARA LA AUDITORIA DE TI .........."5 2.".1 Criterio- de -e$ecci/n.........................................................................................................................................&: 2.".2 De-cri0ci/n de$ #ode$o Pro0ue-to...................................................................................................................&1 CAPITULO 3............................................................................................................................................. 55 PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE LA INFORMACIN...55 ".1 ASPECTOS CONCEPTUALES , LE ALES.................................................................................................++

".1.1 Contro$ Interno Infor(;tico.............................................................................................................................++ ".1.2 Auditor!a de TI ..................................................................................................................................................+* ".1." Nor(ati<a -o6re e<a$uaci/n de -i-te(a- de infor(aci/n co(0utadori%ada...............................................+7 ".1.& Nor(ati<a -o6re $a- auditor!a- interna-..........................................................................................................+7 ".1.+ Perfi$ de$ Auditor de Tecno$o)!a de Infor(aci/n...........................................................................................+= ".1.* Princi0io- 0ara e$ E>ercicio de $a Auditoria de TI..........................................................................................+5 ".2 OR ANI?ACI7N DE LA AUDITORIA INTERNA DEL #INISTERIO DE 8ACIENDA.......................*" ".2.1 Antecedente-.......................................................................................................................................................*" ".2.2 O6>eti<o enera$ de $a Auditor!a Interna.......................................................................................................*+

".2." #i-i/n@ 9i-i/n 1 9a$ore-....................................................................................................................................*+ ".2.& .uncione-............................................................................................................................................................** ".2.+ Or)ani%aci/n......................................................................................................................................................*= ".2.* Recur-o- 8u(ano-............................................................................................................................................*5 "."PROPUESTA DE OR ANI?ACI7N 1 REAUERI#IENTOS DE RECURSOS 8U#ANOS ..................7: ".".1 Or)ani%aci/n de $a Auditor!a de TI................................................................................................................71 ".".2 Recur-o- 8u(ano- ...........................................................................................................................................7+ CAPITULO ............................................................................................................................................. 77 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA..............77 &.1 I#PORTANCIA DEL USO DE 8ERRA#IENTAS CO#PUTADORI?ADAS EN LA AUDITORBA.....77 &.2 8ERRA#IENTAS IN.OR#CTICAS DE APO,O A AD#INISTRACI7N DE LA AUDITORIA.........7= Le Grand, Charles H. Computer Assisted Audit Tools and Techniques. En www.theiia.org.................................79 &.2.1 A$)uno- E>e(0$o- de 8erra(ienta- Co(0utadori%ada- de A0o1o a $a Ad(ini-traci/n de $a Auditor!a. ......................................................................................................................................................................................=* &." 8ERRA#IENTAS IN.OR#CTICAS DE APO,O .UNCION DE AUDITORIA DE TI..........................5" &.".1 A$)uno- e>e(0$o- de herra(ienta- co(0utadori%ada- de a0o1o a $a funci/n de Auditor!a de TI.........1:: &.& ELE#ENTOS PARA UNA DECISI7N SO3RE 8ERRA#IENTAS CO#PUTADORI?ADAS............1:= &.&.1 Situaci/n Actua$ de TI en $a Direcci/n enera$ de Auditor!a Interna.......................................................1:=

&.&.2 TI en e$ #ini-terio de 8acienda....................................................................................................................1:5

&.&." #ode$o (etodo$/)ico reco(endado 0ara $a auditor!a.................................................................................11: &.&.& Proce-o de Creaci/n 1 De-arro$$o de $a Auditor!a de TI..............................................................................11: &.&.+ Requeri(iento- de 8ardDare.......................................................................................................................111 &.+ PROPUESTA DE 8ERRA#IENTAS CO#PUTADORI?ADAS..............................................................111 &.+.1 8erra(ienta- de A0o1o a $a Ad(ini-traci/n de $a TI.................................................................................111 &.+.2 8erra(ienta- de A0o1o a $a Ad(ini-traci/n de $a Auditor!a.....................................................................112 &.+." 8erra(ienta- de A0o1o a $a .unci/n de Auditor!a......................................................................................11" CAPITULO 5 .......................................................................................................................................... 115 PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI........................................115 +.1 CONSIDERACIONES ESTRATE ICAS ......................................................................................................11+ +.1.1 A0orte- de $a Ad(ini-traci/n.........................................................................................................................11+ +.1.2 A$cance de$ P$an...............................................................................................................................................11* +.1." Or)ani%aci/n 0ara e$ De-arro$$o de$ P$an......................................................................................................11= +.1.& Rie-)o-...............................................................................................................................................................11= +.2 CO#PONENTES DEL PLAN OPERATI9O.................................................................................................115 +." UNA APRO'I#ACI7N A LOS COSTOS.....................................................................................................1": CAPITULO !........................................................................................................................................... 132 CONCLUSIONES Y RECOMENDACIONES.......................................................................................... 132 "I"LIOGRAFA ...................................................................................................................................... 13! SITIOS CONSULTADOS........................................................................................................................ 137 ANE#O 1................................................................................................................................................. 13$ PARTICIPANTES PROYECTO CO"IT 2%%%..........................................................................................13$ ANE#O NO.2.......................................................................................................................................... 1 1 LISTA DE PROVEEDORES Y PRODUCTOS CAATTS.........................................................................1 1

ANE#O 3................................................................................................................................................. 1 7 ALGUNAS PANTALLAS DE LA HERRAMIENTACO"IT ADVISOR 3ERA EDICIN..........................1 7

DEDICATORIA

A Dios, uente de Lu! " Esperan!a. A mis padres, #iguel Angel " Amparo Claudia, s$m%olo de amor, tra%a&o " %ondad. A mis hi&as, '(ania, Hail$n " Li!eth, quienes con su amor " comprensi)n *ueron mi *uente de energ$a e inspiraci)n. A mi hermana +alili " a su hi&o ,os- .a%lo, quienes con su apo"o " cari/o, estimularon mis deseos de superaci)n. #i sincero agradecimiento a mi compa/ero ,os- Adri0n, a su esposa 1andra " a sus hi&os, Alicia, Este%an, Eduardo, #ariel " Andrea, de quienes reci%$ mucho cari/o, apo"o " comprensi)n para seguir adelante.
Clair

DEDICATORIA

Dedico este esfuerzo en primer lugar a Dios, quienes creemos en El sabemos por fe que no solo es Todopoderoso sino que en su infinito amor nos gu a ! fortalece d a a d a" #racias a El $e tenido el apo!o de una mu%er mu! especial con la que comparto mi &ida, mi esposa 'andra, quien no solo tu&o comprensi(n para aceptar las ausencias ! pri&aciones, sino que tambin nos acompa)( ! apo!( en muc$os momentos de este esfuerzo" * El reconozco la comprensi(n de mis adorados $i%os e $i%as, *licia, Esteban, Eduardo, +ariel ! la peque)a *ndrea, ellos no solo $an sido testigos sino que tambin $an tenido que entender porqu su pap, no pudo muc$as &eces acompa)arlos en %uegos, paseos o en sus estudios" * Clair ! su familia, con quienes esta e-periencia $a $ec$o nacer una amistad que tiene ma!or &alor que todos los otros frutos de los estudios realizados"

.os *dri,n

A RADECI!IE"TO

*gradecemos al +inisterio de Hacienda la oportunidad que nos brind( para cursar el /rograma de +aestr a as como realizar este pro!ecto de aplicaci(n pr,ctica abordando un tema de inters institucional" * la Directora #eneral de *uditor a 0nterna del +inisterio, 1icda Rosal a Calder(n #amboa, quien no s(lo fue la patrocinadora del pro!ecto sino que siempre estu&o dispuesta a dedicarnos tiempo para analizar ! comentar temas de nuestro inters ! facilit( en lo que estu&o a su alcance la realizaci(n del pro!ecto" *l +,ster 1uis C$a&es +onge, quien como tutor supo orientarnos ! presentarnos de manera respetuosa ! llena de sabidur a sugerencias ! obser&aciones que contribu!eron a lograr una ma!or calidad de nuestro pro!ecto, ! adem,s logr( moti&arnos en los momentos de dificultad" * los profesores +,ster .os *rrieta 'alazar ! +,ster .a&ier 1e(n +ora, quienes orientaron nuestro esfuerzo ! con su seguimiento moti&aron la constancia ! la b2squeda de la e-celencia" * los que mediante entre&istas, facilitaci(n de documentos o sugerencias nos permitieron reunir la informaci(n necesaria ! enriquecer nuestros criterios" * todos """"+3CH*' #R*C0*' "

Resumen Ejecutivo

RESUMEN EJECUTIVO

El presente documento es el resultado del pro!ecto de aplicaci(n pr,ctica de tecnolog a de la informaci(n realizado en el marco del curso /ro!ecto 0ntegrado 00 del programa de +aestr a en *dministraci(n de Tecnolog a de la 0nformaci(n ! representa una respuesta a la problem,tica descrita en el Diagn(stico sobre *uditor a de 'istemas en el +inisterio de Hacienda, elaborado en el curso /ro!ecto 0ntegrado 0, del mismo programa" Conforme con lo indicado, pretende como ob%eti&o general promo&er la implantaci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda, mediante la estructuraci(n de una propuesta que considere aspectos organizacionales, recursos $umanos ! tecnol(gicos, as como un plan de traba%o concreto para este fin" Complementariamente, se plantean los siguientes ob%eti&os espec ficos4 Definir un modelo metodol(gico operati&o para el desarrollo de la funci(n de la *uditor a de Tecnolog a de 0nformaci(n en el +inisterio de Hacienda" Elaborar una propuesta de organizaci(n para la funci(n de la *uditor a de Tecnolog a de 0nformaci(n en el +inisterio de Hacienda" /roponer los recursos $umanos ! $erramientas computadorizadas de apo!o al auditor, conocidas como C**TTs por sus siglas en ingls 5Computer *ssisted *uditor Tec$nics and Tools67 necesarias para la implantaci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda" Estructurar un plan de traba%o espec fico para la implantaci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio" En cuanto a metodolog a, el estudio se apo!a en la in&estigaci(n bibliogr,fica, la b2squeda de informaci(n por medio de 0nternet, la recopilaci(n directa de informaci(n mediante obser&aci(n" &

Resumen Ejecutivo

*dicionalmente se retoman algunos elementos del an,lisis de la e-periencia de otras instituciones, realizado como parte del diagn(stico !a comentado" 1a propuesta elaborada incorpora los siguientes elementos4 1a utilizaci(n del modelo elaborado por la 0nformation '!stems *udit" *nd Control *ssociation 80'*C*9 denominado :b%eti&os de Control para la 0nformaci(n ! Tecnolog as *fines ;C:<0T= como modelo metodol(gico operati&o para el desarrollo de la funci(n de *uditor a de Tecnolog a de la 0nformaci(n" 3bicaci(n de la funci(n de auditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda en la Direcci(n #eneral de *uditor a 0nterna, mediante la creaci(n del *rea de *uditor a de Tecnolog a de la 0nformaci(n en dic$a Direcci(n, conformada inicialmente con un Coordinador #eneral de *rea ! dos profesionales en inform,tica" *dquisici(n de la $erramienta computadorizada C:<0T +anagement *d&isor como apo!o a la administraci(n de la Tecnolog a de la 0nformaci(n ! para ser utilizada por las principales ,reas inform,ticas del +inisterio" 1a adquisici(n de una $erramienta de apo!o a la gesti(n de la auditor a, otra para la funci(n de *uditor a de T0 ! una $erramienta para la e&aluaci(n del riesgo" Como $erramienta de apo!o a la funci(n de la auditor a de Tecnolog a de la 0nformaci(n se recomienda la adquisici(n del C:<0T *d&isor, $erramienta que es congruente con el modelo recomendado ! adicionalmente presenta importantes fortalezas" *signaci(n de recursos para la adquisici(n de nue&o equipo para la Direcci(n #eneral de *uditor a 0nterna, conforme con los requerimientos del soft>are que se decida adquirir" :rientaci(n de los primeros esfuerzos al fortalecimiento del ambiente de control, para lo cual se considera con&eniente iniciar con la e&aluaci(n del dominio del modelo C:<0T sobre /laneaci(n ! :rganizaci(n, concretamente en tres subdominios o procesos4 E&aluaci(n ! 'eguimiento del /lan estratgico, Definici(n de la :rganizaci(n ! Relaciones de T0 ! E&aluaci(n del Riesgo" &&

Resumen Ejecutivo

*simismo, aunque el plan operati&o no inclu!e las acti&idades que le corresponder, realizar a la *dministraci(n, se considera oportuno e-poner los principales aportes que sta deber, concretar como condiciones necesarias para el adecuado funcionamiento de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda, se plantean los siguientes4 Compromiso de la *dministraci(n4 1a *dministraci(n debe asumir la

responsabilidad que le es propia en cuanto al dise)o, implantaci(n, actualizaci(n ! perfeccionamiento del sistema de control interno" /or grandes que sean los esfuerzos ! aportes de la auditor a, no $abr, &alor agregado en el tanto la *dministraci(n no asuma ese papel ! se comprometa con la implantaci(n de las recomendaciones que aquella presente como resultado de sus e&aluaciones" Disponibilidad de recursos4 1a *dministraci(n debe asignar los recursos financieros ! $umanos requeridos para la implantaci(n de la propuesta" En el apartado sobre costos estimados, se muestra la in&ersi(n inicial en adquisici(n de equipo, soft>are, recurso $umano adicional ! capacitaci(n del personal de la Direcci(n #eneral de *uditor a 0nterna, sin la cual e&identemente no ser, posible lle&ar a cabo la propuesta" *dquisici(n de la $erramienta C:<0T +anagement *d&isor por parte de la *dministraci(n" Como un elemento m,s del alineamiento de los esfuerzos de la *administraci(n ! de la *uditor a de Tecnolog a dela 0nformaci(n para fortalecer el sistema de control interno se requiere que ambas partes tengan un mismo enfoque ! se orienten $acia la consecuci(n de los mismos ob%eti&os" Elaboraci(n del /lan Estratgico Tecnol(gico, actualmente en proceso, e inclusi(n de la *uditor a de Tecnolog a de la 0nformaci(n dentro del mismo" 1a conclusi(n de este /lan Estratgico Tecnol(gico ! la puesta en marc$a del mismo como elemento orientador de los esfuerzos del +inisterio de Hacienda en el campo tecnol(gico, ser, la base fundamental para el accionar de la *uditor a de Tecnolog a de la 0nformaci(n" &&&

Resumen Ejecutivo

*dem,s es necesario que dic$o /lan concept2e apropiadamente el rol de la auditor a ! su aporte para el alineamiento de la gesti(n de la T0 ! los ob%eti&os del negocio ! en consecuencia considere, tal ! como fue manifestado por el equipo de traba%o encargado de su elaboraci(n, la introducci(n de la *uditor a de Tecnolog a de la 0nformaci(n como uno de sus componentes ! pro!ectos prioritarios" Con el prop(sito de establecer de manera espec fica las acciones que deber,n desarrollarse para e%ecutar la propuesta, el documento incorpora un plan de operati&o, establecido para lo que podr a considerarse una primera etapa, en la que el ob%eti&o ser, 5 lograr la consolidaci(n de la organizaci(n administrati&a de la *uditor a de Tecnolog a de la 0nformaci(n ! la asignaci(n de recursos $umanos ! tecnol(gicos m nimos para el desarrollo de esta funci(n ! el fortalecimiento del ambiente de control de T0 dentro del +inisterio67 lo que demandar,, seg2n el cronograma de tareas elaborado, un tiempo estimado de dos a)os ! medio" El plan propuesto se estructura en ? componentes, a saber4 *probaci(n del pro!ecto, *%uste de la organizaci(n de la Direcci(n de *uditor a 0nterna, *signaci(n de Recursos @inancieros, Contrataci(n de Recurso Humano, Capacitaci(n de @uncionarios, *dquisici(n de 'oft>are, *dquisici(n de Equipo de C(mputo ! @ortalecimiento del *mbiente de Control"

Como parte del proceso de elaboraci(n del plan operati&o se ad&ierte sobre los principales riesgos que se identifican en torno al pro!ecto, concretamente4
0nsuficiente apo!o de las nue&as autoridades institucionales" Ao lograr la contrataci(n de personal id(neo oportunamente" *trasos en el proceso de contrataci(n administrati&a"

*simismo, se inclu!e una primera apro-imaci(n a los costos de la e%ecuci(n del plan propuesto, conforme con el cual se requerir, una in&ersi(n cercana a los 120,000 d(lares, durante los periodos presupuestarios 2002 ! 200B"

/or otra parte, a los efectos de la puesta en pr,ctica de la propuesta se recomienda la elaboraci(n de un documento de pro!ecto basado en la propuesta ! en los a%ustes que la Direcci(n #eneral de *uditor a 0nterna ! las autoridades superiores estimen necesarios" &'

Resumen Ejecutivo

El traba%o elaborado establece con suficiente precisi(n a nuestro criterio, los esfuerzos ! acti&idades a desarrollar, queda por &er si adem,s del inters ! conciencia sobre la necesidad de la auditor a de T0 en el +inisterio, e-iste la &oluntad ! el compromiso" Aos abriga la esperanza de que dentro de alg2n tiempo lo que e-ponemos como propuesta se con&ierta en realidad ! genere los beneficios esperados"

'

Captulo 1 Introduccin

CAPITULO 1 INTRODUCCION

Como resultado de la in&estigaci(n realizada en curso /ro!ecto 0ntegrado 0, la cual consider( un diagn(stico sobre la auditor a de sistemas en el +inisterio de Hacienda, se establecieron una serie de aspectos que resaltan la necesidad de una e&aluaci(n independiente de la gesti(n de la Tecnolog a de la 0nformaci(n ;T0=" * continuaci(n se retoman los m,s rele&antes para efectos del ob%eti&o de este documento4 Concepto de auditor a de sistemas &s auditor a de tecnolog a de la informaci(n

*unque si bien es cierto en la ma!or a de los casos los conceptos se utilizan indistintamente, algunos pretenden diferenciarlos en el sentido de que la auditor a inform,tica se orienta a la e&aluaci(n de la funci(n inform,tica como tal, considerando los diferentes ser&icios que esta presta as como los aspectos organizati&os asociados a dic$a prestaci(n, mientras que la auditor a de sistemas se refiere a la acti&idad de la auditor a al e&aluar determinado proceso o ,rea operati&a, en la que debe incluirse un an,lisis sobre los sistemas de informaci(n computadorizados que apo!an dic$o proceso" /or otra parte, m,s recientemente se $a ido generalizando el concepto de auditor a de Tecnolog a de la 0nformaci(n, en un sentido genrico ! con el fin de abarcar adem,s algunas ,reas que $an tomado ma!or rele&ancia en los 2ltimos a)os como son las relati&as a las telecomunicaciones, seguridad, aplicaciones en >eb ! $erramientas colaborati&as, entre otros" Aecesidad de un modelo operati&o

Es posible identificar diferentes formas de estructurar las ,reas de acci(n de la auditor a de sistemas, no obstante, las diferencias entre las mismas responden, no tanto a diferencias en torno al ,mbito de la misma sino a los criterios para la agrupaci(n de las tareas" En 1

Captulo 1 Introduccin

pr,cticamente todos los casos se identifica separadamente lo relati&o a la administraci(n de la funci(n inform,tica ! las restantes ,reas se identifican seg2n los criterios particulares sobre la forma de &isualizar la funci(n inform,tica ! la importancia relati&a de dic$as ,reas, lo cual se &e influenciado por los a&ances de la tecnolog a de la informaci(n" /or lo tanto, la organizaci(n de la auditor a inform,tica en una instituci(n espec fica requerir, decidir el esquema o modelo a utilizar, para lo cual es importante considerar las caracter sticas de la respecti&a instituci(n" /roblem,tica organizacional ! del marco regulador4 contradicciones e incongruencias entre la organizaci(n real ! la normati&a" *2n no se $a logrado consolidar una organizaci(n eficiente ! funcional para la gesti(n de la T0 en el +inisterio de Hacienda, de tal forma que tanto a ni&el del marco regulador, en el que se identifican algunas duplicidades de funciones ! la ausencia de una estructura organizati&a debidamente integrada, como a ni&el operati&o, en el que son e&identes los efectos de las deficiencias de coordinaci(n entre las ,reas, se identifican deficiencias ! conflictos que demandan una oportuna atenci(n" +agnitud de la in&ersi(n realizada en $ard>are, soft>are ! recurso $umano dedicado a soportar la gesti(n de la T0 en el +inisterio" *unque por limitaciones de registro ! control o de entrega de informaci(n no fue posible obtener una estimaci(n concreta del monto, es e&idente que el +inisterio de Hacienda $a realizado en los 2ltimos a)os una significati&a in&ersi(n de recursos en Tecnolog a de la 0nformaci(n ! mantiene una importante cantidad de funcionarios dedicados a soportar la gesti(n de la T0" Ello se con&ierte en una de las %ustificaciones para la introducci(n de la auditor a de T0 ! otros esfuerzos que se orienten a me%orar dic$a gesti(n" Cantidad, naturaleza ! rele&ancia de los sistemas de informaci(n"

El esfuerzo de introducci(n ! apo!o al desarrollo de la T0 en la instituci(n $a lle&ado a que en la actualidad los sistemas de informaci(n computadorizados, en operaci(n ! desarrollo, no solo son muc$os sino que una buena parte de ellos son $erramientas fundamentales para la 2

Captulo 1 Introduccin

prestaci(n de los ser&icios b,sicos que corresponden a la instituci(n ! gestionan informaci(n de rele&ancia no solo para el +inisterio sino para el /oder E%ecuti&o como un todo" Escaso desarrollo de la auditor a de sistemas en el +inisterio"

Conforme la normati&a &igente, la funci(n de auditor a de sistemas o auditor a inform,tica corresponde a la Direcci(n #eneral de *uditor a 0nterna, situaci(n que se presenta de igual manera en las instituciones analizadas en el estudio" Ao obstante, debido a los escasos recursos $umanos ! tecnol(gicos, las acti&idades realizadas se limitan a algunos intentos de auditor a de sistemas en operaci(n, en aplicaciones para el desarrollo de algunos procesos computadorizados ! en estudios de seguimiento a la aplicaci(n de disposiciones de la Contralor a #eneral de la Rep2blica, como resultado de las e&aluaciones realizadas en algunos de los sistemas de informaci(n en operaci(n" *simismo, se $an emitido criterios ! recomendaciones en diferentes ocasiones sobre esta tem,tica, especialmente en cuanto a controles de alto ni&el" Responsabilidad de la administraci(n ! responsabilidad de la auditor a de sistemas"

De acuerdo con los conceptos b,sicos sobre control interno ! auditor a, es la *dministraci(n la responsable del establecimiento, an,lisis ! me%ora continua de los procedimientos ! sistemas de control interno, mientras que la auditor a se orienta a la e&aluaci(n de los mismos con criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento" Estos conceptos deben estar adecuadamente asimilados a ni&el institucional para no generar ! mantener falsas e-pectati&as en torno a los aportes ! resultados que genera la auditor a de sistemas"

Conciencia generalizada sobre la con&eniencia o necesidad de la auditor a de sistemas" 3

Captulo 1 Introduccin

E-iste un consenso e&idente en torno a la necesidad de desarrollar la auditor a de sistemas en la instituci(n, esto es una destacable fortaleza por representar un importante elemento facilitador para la introducci(n ! consolidaci(n de la auditor a de sistemas en el +inisterio" Aue&os pro!ectos ! retos que a futuro se plantean ! las e-igencias que se generar,n en el campo de la auditor a de sistemas" El +inisterio se $a planteado importantes pro!ectos ! retos para los pr(-imos a)os en materia tecnol(gica, lo cual no s(lo resulta meritorio sino tambin una importante fuente de riesgos, especialmente en torno al tema de la seguridad de los sistemas, especialmente por la l nea establecida en cuanto al apro&ec$amiento de las facilidades de internet para el desarrollo del negocio sustanti&o" /rincipales e-pectati&as en cuanto al aporte de la auditor a de sistemas"

1a ma!or a de los entre&istados opina que en el +inisterio el perfeccionamiento de los sistemas de informaci(n es uno de los principales aportes que se esperan de la auditor a de sistemas, ello denota cierta falta de precisi(n sobre la responsabilidad de la propia *dministraci(n en torno a los controles que debe establecer en la gesti(n de la T0, de cu!os esfuerzos depender, la superaci(n de la problem,tica identificada en este campo" Habiendo quedado claramente establecida la necesidad ! consenso sobre la importancia de contar con una unidad que, con criterio profesional e independiente, e&al2e el control interno en las diferentes ,reas de la gesti(n de la tecnolog a de la informaci(n en el +inisterio, es nuestro inters plantear una propuesta que permita a la instituci(n contar con ese apo!o, del cual se $a &enido $ablando desde $ace &arios a)os pero sin que se $a!a logrado concretar $asta a$ora" Conforme con lo indicado anteriormente, la in&estigaci(n pretende, como ob%eti&o general promo&er la implantaci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda, mediante la estructuraci(n de una propuesta que considere aspectos

Captulo 1 Introduccin

organizacionales, recursos $umanos ! tecnol(gicos, as como un plan de traba%o concreto para este fin" Complementariamente, se plantean los siguientes ob%eti&os espec ficos4 Definir un modelo metodol(gico operati&o para el desarrollo de la funci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda" Elaborar una propuesta de organizaci(n para la funci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda" /roponer los recursos $umanos ! $erramientas computadorizadas de apo!o al auditor, conocidas como C**TTs por sus siglas en ingls 5Computer *ssisted *uditor Tec$nics and Tools67 necesarias para la implantaci(n de la *uditor a de T0 en el +inisterio de Hacienda" Estructurar un plan de traba%o espec fico para la implantaci(n de la *uditor a de T0 en el +inisterio" En cuanto a metodolog a, el estudio se apo!a en la in&estigaci(n bibliogr,fica, la b2squeda de informaci(n por medio de internet, la recopilaci(n directa de informaci(n mediante obser&aci(n" *dicionalmente se retoman algunos elementos del an,lisis comparati&o de la e-periencia de otras instituciones realizado como parte del diagn(stico !a comentado" Como todo estudio, el presente $a tenido que enfrentar limitaciones, que de una u otra forma $an restringido la consecuci(n de los ob%eti&os" En ese sentido, el inters de estructurar una propuesta que considere los diferentes aspectos %unto con la disponibilidad de tiempo para la realizaci(n del estudio, no permiten profundizar en algunos aspectos como la determinaci(n de cargas de traba%o para la definici(n de la plantilla ideal para la *uditor a de Tecnolog a de la 0nformaci(n ; en adelante *uditor a de T0= o un an,lisis tcnico de las diferentes $erramientas computadorizadas de apo!o a la gesti(n de la auditor a, temas que en s mismos conlle&ar an un esfuerzo en tiempo ! recursos similar a la in&estigaci(n que nos ocupa" 5

Captulo 1 Introduccin

Conforme con los ob%eti&os ! consideraciones, el documento final del presente pro!ecto considera &arios cap tulos" En el cap tulo 2, se analizan los planteamientos de diferentes autores en cuanto metodolog a para el desarrollo de la *uditor a de T0 ! se propone un modelo que, a nuestro criterio, responde a las caracter sticas ! situaci(n del +inisterio" En segundo lugar, se analizan los aspectos conceptuales ! legales relacionados con la estructura organizati&a de la *uditor a de T0, as como la organizaci(n actual ! los recursos $umanos con que cuenta la Direcci(n #eneral de *uditor a 0nterna, para finalizar con la propuesta de organizaci(n ! requerimiento m nimo de recursos $umanos para la *uditor a de T0" En el cap tulo cuatro se plantea la importancia del uso de $erramientas computadorizadas en la *uditor a de T0, tanto para el apo!o de la administraci(n de la auditor a como a la funci(n de *uditor a de T0, se plantean algunos elementos a considerar en la selecci(n de $erramientas computadorizadas ! finalmente se propone la adquisici(n de algunas de estas" 'eguidamente se presenta un plan operati&o para la introducci(n de la *uditor a de T0, para lo cual se e-ponen algunas consideraciones estratgicas, supuestos, alcance, organizaci(n ! riesgos asociados con la e%ecuci(n del plan" *simismo se plantea una apro-imaci(n de los costos para la e%ecuci(n del plan" /or 2ltimo, se presentan las conclusiones del an,lisis realizado ! las recomendaciones para la e%ecuci(n del plan propuesto para la introducci(n de la *uditor a de T0 en el +inisterio" @inalmente, esperamos que el an,lisis realizado ! la propuesta planteada sir&a de base para con&ertir en realidad la e-istencia de un ,rea de *uditor a de T0, ! en 2ltima instancia, se consolide ! fortalezca el sistema de control interno del +inisterio"

Captulo 2 Modelo Metodolgico Propuesto

CAPITULO 2 MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI

En el presente cap tulo se plantear, un modelo metodol(gico operati&o para el desarrollo de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda" /ara ello en un primer momento se presentan ! analizan los enfoques de diferentes autores ! luego se retoman los aspectos b,sicos del diagn(stico institucional, con el prop(sito 2ltimo de que la propuesta responda a las caracter sticas ! situaci(n de la instituci(n" 2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI 1a *uditor a de T0 se suele estructurar en diferentes ,reas, para lo cual se $an presentado diferentes modelos o esquemas" En nuestro caso, con el prop(sito de ofrecer una &isi(n general, en &ez de presentar uno de ellos se opta por describir &arios enfoques ! realizar un an,lisis sobre similitudes" *l efecto se consideran aquellos que a ni&el nacional $an destacado en este campo, as como los que a ni&el internacional se $an considerado de ma!or rele&ancia de conformidad con lo in&estigado en esta oportunidad" 2.1.1 E()*+,- D- A(.*(&* E/0-(&+,3n primer enfoque es el presentado por *ntonio Ec$enique en su libro *uditor a en 0nform,tica, que es uno de los cl,sicos en esta materia" Este autor distingue4 5a" 1a e&aluaci(n administrati&a del departamento de procesos electr(nicos" b" 1a e&aluaci(n de los sistemas ! procedimientos ! de la eficiencia que se tiene en el uso de la informaci(n"
c.

1a e&aluaci(n del proceso de datos ! de los equipos de c(mputo"61

Echenique, ,os- Antonio. Auditor$a en 'n*orm0tica. #cGraw3Hill 'nteramericana de #-4ico. 2992..ag. 25.

Captulo 2 Modelo Metodolgico Propuesto

1a e&aluaci(n administrati&a comprende los aspectos usuales del proceso administrati&o con el prop(sito de determinar si desde el punto de &ista administrati&o9 organizati&o se est,n cumpliendo con los criterios preestablecidos" 'e cubren aspectos como4 :b%eti&os del departamento, direcci(n o gerencia" En este particular el esfuerzo del auditor se orientar, a determinar si4 1as responsabilidades en la organizaci(n est,n definidas adecuadamente ! la estructura organizacional est, adecuada a las necesidades" El control organizacional es adecuado ! se tienen los ob%eti&os ! las pol ticas adecuadas, se encuentran &igentes ! est,n bien definidas" 1os puestos se encuentran definidos ! se)aladas sus responsabilidades" El an,lisis ! descripci(n de puestos est, de acuerdo con el personal que los ocupa" 'e cumplen los lineamientos organizacionales ! si el ni&el de salarios comparado con el del mercado de traba%o" 1os planes de traba%o concuerdan con los ob%eti&os de la empresa ! si se cuenta con los recursos $umanos necesarios que garanticen la continuidad de la operaci(n o se cuenta con 5indispensables6" 'e e&al2an los planes ! se determinan las des&iaciones"

:rganizaci(n del ,rea ! su estructura org,nica" 'e pretende &alorar si e-isten l neas de autoridad %ustificadas, el ni&el de super&isi(n, la uniformidad en las asignaciones ! si se presentan agrupamientos il(gicos" Costos ! controles presupuestales"

'e obtendr, informaci(n sobre la situaci(n presupuestal ! financiera del departamento, as como n2mero de equipos ! caracter sticas para $acer un an,lisis de la situaci(n desde un punto de &ista econ(mico" /ara ello se considerar,4 Costos del departamento desglosado por ,reas ! controles" /resupuesto del departamento, desglosado por ,reas" Caracter sticas de los equipos, n2mero de ellos ! contratos"

Captulo 2 Modelo Metodolgico Propuesto

1a e&aluaci(n de los sistemas ! procedimientos ! de la eficiencia que se tiene en el uso de la informaci(n comprende, entre otros4 1a e&aluaci(n de sistemas4 e-isten sistemas entrelazados como un todo o e-isten programas aislados ! si e-iste un plan estratgico para la elaboraci(n de los sistemas" 1a e&aluaci(n del an,lisis" 'e debe &alorar si4 o o o o o 'e est, e%ecutando en forma correcta ! eficiente el proceso de la informaci(n" /uede ser simplificado para me%orar su apro&ec$amiento" 'e debe tener una ma!or interacci(n de los sistemas" 'e tiene propuesto un adecuado control ! seguridad sobre el sistema" Est, en el an,lisis la documentaci(n adecuada"

E&aluaci(n del dise)o l(gico del sistema" 1os puntos a e&aluar son4 entradas, salidas, procesos, especificaciones de datos ! especificaciones de proceso"

E&aluaci(n del dise)o f sico del sistema En esta etapa se deber,n auditar los programas, su dise)o, el lengua%e utilizado, intercone-i(n entre los programas ! caracter sticas del $ard>are empleado para el desarrollo del sistema"

Control de pro!ectos" Considerar, aspectos como la e-istencia ! relaci(n de los pro!ectos con el plan maestro, definici(n de procedimientos ! responsabilidades de aprobaci(n de pro!ectos, planeaci(n de los pro!ectos, tcnicas de control de pro!ectos, etc"

Control de sistemas ! programaci(n" 1as re&isiones se realizan en forma paralela desde el an,lisis $asta la programaci(n ! sus ob%eti&os son los siguientes4 en la etapa de an,lisis identificar ine-actitudes, ambigCedades ! omisiones en las especificaciones, en la etapa de dise)o descubrir errores, debilidades ! omisiones antes de iniciar la codificaci(n ! en la etapa de

Captulo 2 Modelo Metodolgico Propuesto

programaci(n4 buscar la claridad, la modularidad ! &erificaci(n con base en las especificaciones" 0nstructi&os ! documentaci(n" 'e pretende e&aluar los instructi&os de operaci(n de los sistemas para e&itar que los programadores tengan acceso a los programas en operaci(n ! que cumplan con el contenido m nimo" @ormas de implantaci(n" 'e debe e&aluar los traba%os que se realizan para iniciar la operaci(n de un sistema, esto es la prueba integral del sistema, adecuaci(n, aceptaci(n por parte del usuario, entrenamiento, etc" 'eguridad f sica ! l(gica de los sistemas" 'e debe analizar el impacto en el rendimiento del sistema como resultado de cambios trascendentales en el sistema operati&o en el equipo, pudiendo para ello utilizar un paquete de pruebas elaborado con ese prop(sito espec fico" /or su parte, la e&aluaci(n del proceso de datos ! de los equipos de c(mputo inclu!e el an,lisis de4 Controles de los datos fuentes ! mane%o de cifras de control4 e&aluar la entrada de la informaci(n ! que se tengan las cifras de control necesarias para determinar la &eracidad de la informaci(n" Control de operaci(n4 &alorar los procedimientos e instructi&os formales de operaci(n, analizar su estandarizaci(n ! e&aluar el cumplimiento de los mismos" Control de salida4 Dalorar si las salidas del sistema satisfacen los requerimientos del usuario ! son distribuidas seg2n corresponde" Control de asignaci(n de traba%o4 Dalorar la direcci(n de las operaciones de la computadora en trminos de eficiencia ! satisfacci(n del usuario" Control de medios de almacenamiento masi&os4 e&aluar, la forma como se administran los dispositi&os de almacenamiento b,sico de la direcci(n"

1%

Captulo 2 Modelo Metodolgico Propuesto

Control del mantenimiento4 analizar cu,l de los diferentes tipos de contrataci(n del mantenimiento es el m,s con&eniente ! re&isar los detalles del contrato con el ob%eto de que las cl,usulas estn bien definidas ! se elimine la sub%eti&idad e incorpore las correspondientes penalizaciones para el pro&eedor, para e&itar contratos parcializados a fa&or de ste"

:rden en el centro de c(mputo4 re&isar las disposiciones ! reglamentos que coad!u&an con el mantenimiento del orden dentro de la sala de m,quinas" 'eguridad f sica ! l(gica4 se debe considerar el sistema integral de seguridad, que comprende, entre otros4 elementos administrati&os, definici(n de una pol tica de seguridad, organizaci(n ! definici(n de responsabilidades, seguridad f sica contra cat,strofes, sistemas de seguridad de equipos ! sistemas de informaci(n, planeaci(n de programas de desastre ; contingencia= ! su prueba"

2.1.2 E()*+,- 2- S3(243 G34/53 :tro esquema a considerar es el presentado en el material del Curso de *uditor a de 'istemas de la 3ni&ersidad Estatal a Distancia2, en el que se mencionan como ,reas para definir el alcance de la auditor a de sistemas las siguientes4 Re&isi(n de Controles #enerales del Centro de C(mputo4 Re&isar la estructura organizacional, pol ticas, procedimientos operati&os, ambiente de control, operaci(n de las instalaciones de procesamiento de datos, seguridadEl(gicaEf sica, procedimientos para el desarrollo ! mantenimiento de sistemas de aplicaci(nEoperati&os" 'e deben analizar los controles organizati&os ! gerenciales, que inclu!en aquellos que brindan protecci(n al ambiente f sico, as como la asignaci(n de personal adecuado ! la operaci(n eficiente del centro de procesamiento de datos" Estos controles deben brindar una operaci(n eficaz a cargo de personal calificado ! del cual se pueda depender" 'e debe &erificar la e-istencia de adecuados ni&eles de responsabilidad ! dar margen a una adecuada segregaci(n de funciones"

Garc$a, 1andra. Auditor$a 'n*orm0tica '7 8ota T-cnica para el Curso Auditor$a de 1istemas. 2997.

11

Captulo 2 Modelo Metodolgico Propuesto

*dem,s debe contar con procedimientos ! est,ndares adecuados para el funcionamiento global del centro de c(mputo" Re&isi(n del Ciclo de Dida del Desarrollo de 'istemas ;'D1C=4 re&isar la metodolog a, normas, tareas ! procedimientos para el desarrollo, adquisici(n ! mantenimiento de soft>are de aplicaciones" El auditor debe analizar los riesgos asociados ! las e-posiciones que son in$erentes en cada fase ! asegurarse de que los mecanismos de control adecuados est,n &igentes para minimizar esos riesgos de forma eficaz en cuanto a costos" El sistema debe controlarse desde que ingresa a la compa) a !a sea por adquisici(n o por el desarrollo" Es crucial que el auditor comprenda la metodolog a de desarrollo ! adquisici(n de sistemas con el fin de identificar los puntos &ulnerables que e-i%an control" En caso de que falten controles el papel del auditor es asesorar al equipo del pro!ecto ! a la *lta Direcci(n de los controles apropiados a implantar ! efectuar el seguimiento de los cambios propuestos" Re&isi(n de 'istemas de *plicaciones4 re&isar, e&aluar ! analizar las fortalezas ! debilidades de control ! operaciones dentro de los sistemas de aplicaciones e-istentes" 1os controles de aplicaciones se refieren a los controles de las funciones de imput, procesamiento ! output" 1os controles de aplicaciones inclu!en mtodos para asegurarse que solo en un sistema computadorizado se ingresan ! actualizan datos completos, e-actos ! &,lidos, el procesamiento realiza la tarea correcta ! que los datos se mantienen correctos ! actualizados" Re&isi(n de la continuidad de las operaciones4 re&isar las pol ticas ! procedimientos referentes a la planificaci(n de contingencias ! la eficiencia operati&a" El esfuerzo del auditor se orienta a4 E&aluar el plan de contingencias para determinar la adecuaci(n ! actualidad" 12

Captulo 2 Modelo Metodolgico Propuesto

Derificar que el plan de contingencias es eficaz para asegurar la capacidad de procesamiento" E&aluar el sitio alterno ! determinar adecuidad ! seguridad" E&aluar la $abilidad del personal de sistemas ! el personal usuario para responder en forma eficaz a situaciones de emergencia"

Re&isi(n Tcnica ;'oft>are de 'istemas :perati&os=4 re&isar las pol ticas ! procedimientos de desarrollo, adquisici(n ! mantenimiento de soft>are de sistemas operati&os ; telecomunicaciones, sistemas operati&os, bases de datos, ED0, etc=6"

2.1.3 E()*+,- 2- M3(,-6 A43,7 /or otra parte, +anuel *rauz en su libro 5 Auditora Informtica por u!"# indica que la labor del auditor en el ,rea inform,tica se puede separar en cuatro grandes ,reas4 o o o o 3. E&aluaci(n de la administraci(n de la funci(n inform,tica" *uditor a a los sistemas en producci(n" *uditor a al desarrollo de aplicaciones" E&aluaci(n del ambiente de microcomputadores" E'36,3/&8( 2- 63 329&(&:.43/&8( 2- 63 ),(/&8( &()*49;.&/3

En esta ,rea se debe considerar el tipo de planes que se elaboren en el ,rea de sistemas, la forma en que est, organizado el departamento de c(mputo, el estilo de direcci(n que se tenga, la participaci(n de los usuarios en la definici(n de los requerimientos ! el establecimiento de prioridades, la cantidad de recursos $umanos disponibles, su capacitaci(n, su moti&aci(n, la metodolog a de traba%o empleada, la calidad de la documentaci(n de los sistemas, la forma de administrar las bases de datos ! otros aspectos m,s, tienen una influencia mu! fuerte en las caracter sticas de todos los sistemas de una entidad" En cada uno de estos temas e-iste una mezcla de elementos tcnicos con otros de car,cter administrati&o que inciden en todo el accionar del ,rea de c(mputo" 13

Captulo 2 Modelo Metodolgico Propuesto

1a e&aluaci(n de la administraci(n de la funci(n inform,tica, por parte del auditor, procura determinar el rol que e%erce la gerencia en la definici(n de los ob%eti&os ! metas del ,rea de c(mputo, la calidad de la planeaci(n ! el grado de cumplimiento de los planes a largo ! corto plazo, la organizaci(n de esta ,rea, los mtodos ! procedimientos empleados, los mecanismos de comunicaci(n utilizados, los controles establecidos en funciones cla&es tales como mantenimiento de sistemas, administraci(n de bases de datos, administraci(n de la red de teleproceso, operaci(n del computador, procedimientos de respaldo ! recuperaci(n ! otros puntos m,s" En este tipo de e&aluaci(n se trata de analizar aspectos como cumplimiento de metas, protecci(n de acti&os ! uso eficiente de los recursos" <. A,2&.*453 2- 6*: :&:.-93: -( =4*2,//&8(

1a auditor a de los sistemas en producci(n se orienta a la e&aluaci(n de asuntos tales como4 los mecanismos de seguridad de acceso establecidos, los controles de entrada de datos, de procesamiento ! de producci(n de salidas e-istentes, los procedimientos de respaldo aplicados" *spectos como mala definici(n de perfiles, debilidades en las &alidaciones de la entrada de los datos ! otros m,s tienen un fuerte impacto en la confianza que se deposite en el sistema de control interno de la compa) a" El elemento cla&e de este tipo de e&aluaci(n es la integridad de los datos" 1os conceptos de totalidad, e-actitud ! oportunidad son la base de las auditor as a los sistemas en producci(n" En esta ,rea, la participaci(n constante del auditor es mu! importante" /. A,2&.*453 36 2-:344*66* 2- :&:.-93:

Captulo 2 Modelo Metodolgico Propuesto

1a concepci(n moderna de la auditor a procura que sta se con&ierta en una funci(n asesora de la administraci(n" En el caso del ,rea inform,tica, este ob%eti&o no se alcanza si el auditor no participa en el proceso de desarrollo de sistemas" 1as tcnicas de desarrollo de sistemas $an &enido e&olucionando con el prop(sito de lograr que estos se a%usten con facilidad a los cambios en el entorno" 'in embargo, a pesar de los esfuerzos realizados, sugerir me%oras en un sistema en producci(n para reforzar el sistema de control interno acarrea costos mu! ele&ados" Esta realidad $a pro&ocado que el auditor no logre que sus recomendaciones sean implantadas en forma ,gil" 1a concepci(n de este tipo de auditor a es de auditar el futuro, pre&er las debilidades ! sol&entarlas pre&io a que el sistema entre en operaci(n" 3na de las &enta%as m,s grandes que posee este tipo de auditor a es que disminu!e, en gran medida, los costos de implantaci(n de las recomendaciones del auditor, lo cual $ace tambin que su labor sea &ista de una me%or manera" Este campo se le presenta al auditor como la plataforma ideal para lograr una participaci(n asesora mu! acti&a" *dem,s, le permite desarrollar, con muc$o menos esfuerzo, $erramientas automatizadas para incorporarlas a los sistemas en desarrollo que a!uden al cumplimiento de otras funciones de la auditor a en los campos financiero, contable ! administrati&o" 2. E'36,3/&8( 2-6 39<&-(.- 2- 9&/4*/*9=,.32*4-:

El auge que tienen $o! los microcomputadores en las empresas $a tra do consigo la e&oluci(n de un ambiente distribuido de procesamiento de datos" Con esto, si antes se ten an problemas de documentaci(n, riesgos de prdida de pri&acidad ! de integridad de los datos, con los microcomputadores la problem,tica se $a incrementado" El auditor debe tomar conciencia de ello ! poner especial atenci(n a su e&oluci(n dentro de la empresa" En su e&aluaci(n se deben analizar aspectos como4 aplicaciones por usuario final ! &irus computacional" 15 procedimientos de adquisici(n de

5$ard>are6 ! 5soft>are6, seguridad f sica, estandarizaci(n, capacitaci(n, desarrollo de

Captulo 2 Modelo Metodolgico Propuesto

2.1. E()*+,- 2- #&*934 D-6>32* De manera similar Fiomar Delgado, autor del libro 5 Auditora Informtica6, estructura las ,reas de la auditor a inform,tica con un enfoque similar al recin e-puesto, fundament,ndose en que deben lle&arse a cabo labores de seguimiento de todas las acti&idades que se e%ecuten en el ,rea inform,tica, a saber4 C*(.4*6-: 329&(&:.43.&'*: 2- 6*: 4-/,4:*: &()*49;.&/*:.

El auditor debe participar acti&amente en la e&aluaci(n de los controles que e-isten sobre la administraci(n de los recursos inform,ticos, re&isando la e-istencia de planes inform,ticos de corto ! largo plazo ! comprobando la coincidencia de stos planes con los planes generales de la organizaci(n" *simismo debe analizar el ambiente normati&o en que se desarrolla las acti&idades, re&isando las pol ticas, los est,ndares ! los procedimientos que deban respetarse para el alcance de los resultados GH(ptimos" 'obre este particular deben considerarse aspectos como4 emisi(n, pertinencia, publicaci(n, respeto ! control" @inalmente, en este tema debe considerar la ubicaci(n estructural dentro del organigrama en que se encuentra el departamento de inform,tica as responsabilidades de los integrantes del mismo" El cuanto al recurso $umano, se debe e&aluar las pol ticas de selecci(n de personal, las tcnicas de reclutamiento, las pol ticas de capacitaci(n ! entrenamiento, as super&isi(n ! la e&aluaci(n de funciones de este personal" D-:344*66* 2- :&:.-93: 2- 3=6&/3/&8(. como la como la descripci(n de las

El auditor es responsable de dar seguimiento permanente a la in&ersi(n que las empresas realizan en sistemas de aplicaci(n ! esto lo logra mediante su participaci(n en el desarrollo de los sistemas" *l efecto deber, considerar aspectos como4 1!

Captulo 2 Modelo Metodolgico Propuesto

'i se cuenta con una metodolog a adecuada para el desarrollo de los sistemas, que cuente con la cantidad adecuada para conseguir sistemas confiables, seguros ! auditables"

/articipar acti&amente en las acti&idades de mantenimiento de los sistemas ! permanecer alerta" Comprobar la participaci(n acti&a del usuario desde las fases m,s tempranas del ciclo de &ida del desarrollo de sistemas" 'i se realiz( un estudio de factibilidad pre&io a las erogaciones" 'i se $an realizado los estudios suficientes para determinar con e-actitud las necesidades de informaci(n del usuario" 'i se $an contemplado las formas de presentaci(n de las salidas, las necesidades de control ! de respaldo ! si se $an incluido suficientes pistas de auditor a"

Como elemento de comprobaci(n, deben realizarse e&aluaciones de lo que $a pasado inmediatamente despus de la implantaci(n4 El ni&el de satisfacci(n del usuario" El que la aplicaci(n $a!a brindado una soluci(n satisfactoria a las necesidades de usuario" 1a facilidad de mane%o de la aplicaci(n" Cu,l es la relaci(n costoE beneficio de la aplicaci(n" 3na e&aluaci(n de la ad$erencia a los est,ndares de desarrollo

O=-43/&8( 2- 6*: :&:.-93: 2- 3=6&/3/&8("

El auditor deber, e&aluar que la organizaci(n cuenta con los recursos para lograr la e%ecuci(n conforme a lo planeado ! que los departamentos usuarios e inform,ticos dan un uso apropiado a los recursos" /ara ello considerar,4 Re&isar las adquisiciones de equipos realizadas ! e&aluar su con&eniencia respecto de lo planeado" 17

Captulo 2 Modelo Metodolgico Propuesto

Realizar pruebas que le permitan obtener un criterio sobre la utilizaci(n de los recursos del computador"

Comprobar que los recursos de almacenamiento son administrados de manera adecuada, realizando planeamiento de su uso ! de disposici(n de los espacios disponibles"

Comprobar que los recursos de soft>are cumplen con el planeamiento establecido ! que constitu!en $erramientas que satisfacen de la me%or manera las necesidades de organizaci(n"

Derificar que los recursos de soft>are son adquiridos cuando constitu!en la me%or opci(n ! enfrentando el an,lisis de la relaci(n costo 8 beneficio"

Determinar si el soft>are est, siendo bien utilizado, si el mantenimiento que se le brinda es confiable ! seguro, si todos los cambios son suficientemente controlados"

Realizar comprobaciones de que se $an establecido suficientes procedimientos de control de seguridad"

E&aluar las limitaciones e-istentes de acceso al lugar en que se ubican los equipos"

Comprobar que se $an establecido procedimientos para el mane%o de posibles errores"

Iue se cuente con un plan de contingencias ! que se $an contemplado los principales problemas a que pueda e-ponerse la empresa, que las medidas de recuperaci(n son realizables ! adecuadas"

R-'&:&8( 2- 63: 3=6&/3/&*(-:"

11

Captulo 2 Modelo Metodolgico Propuesto

En la funci(n de e&aluaci(n de las aplicaciones el auditor deber,4 Comprobar que los datos cumplen con procedimientos de preparaci(n adecuados" Iue e-iste control sobre los documentos originales, de manera que son suficientemente custodiados" Iue e-isten controles sobre la entrada de los datos" Re&isar el procesamiento de los datos, de manera que se mantenga su integridad, que su manipulaci(n es segura, limitando la posibilidad de ser conocidos por personal no autorizado" Iue se $an definido ! se aplican reglas de &alidaci(n de los datos" Re&isar los controles de salida, &erificando que se ponen a disposici(n del personal autorizado para ello" Comprobar que las salidas presentan un formato adecuado a las necesidades del usuario" Comprobar que los informes est,n dirigidos a quien corresponde" Iue se $an dise)ado procedimientos para el mane%o de errores"

A29&(&:.43/&8( 2- 63: <3:-: 2- 23.*:.

El auditor deber, comprometerse con la e&aluaci(n ! &igilancia del ambiente en que se mantienen los recursos de informaci(n, de forma que compruebe que sobre las bases de datos e-iste una buena administraci(n, que las tareas respecti&as est,n segregadas de las restantes funciones inform,ticas, que e-iste asignaci(n de responsabilidades en el uso ! regulaciones que sustenten la integridad ! totalidad de los datos contenidos en esas bases" *simismo deber, &erificar las condiciones en que se mantienen los diccionarios de datos ! los est,ndares adoptados para su mane%o" Derificar la capacitaci(n que se $a brindado a sus usuarios, tanto inform,ticos como administrati&os" P4*/-:39&-(.* 2&:.4&<,&2* ? 4-2-:. 1$

Captulo 2 Modelo Metodolgico Propuesto

El auditor debe estar en capacidad de e&aluar la forma en que se distribu!en los recursos inform,ticos de la empresa ! someter a prueba los controles que se definen para el uso de los recursos inform,ticos de la empresa, ! someter a prueba los controles que se definen para el uso de cada uno de esos recursos, para la custodia de los acti&os de la empresa ! para la limitaci(n de acceso que se pueda dar desde las terminales ubicadas en cualquier lugar de la empresa" Debe e&aluar los est,ndares definidos sobre control de las redes ! comprobar que las caracter sticas f sicas del $ard>are adquirido o propuesto cumplen satisfactoriamente con las necesidades del con%unto de equipo ! no degradar la capacidad de operaci(n de los equipos !a conectados" Debe e&aluar los mecanismos de control ! la asignaci(n de responsabilidades por el uso de los recursos disponibles de la red, tomando en cuenta la necesidad de recursos de respaldo" *simismo, debe &erificarse la e-istencia de planes de capacitaci(n ! adiestramiento que aseguren un uso pro&ec$oso de los recursos ! la disminuci(n de riesgos de que la acci(n de un usuario pudiera causar problemas a todos los usuarios de la red" En ese mismo sentido, debe re&isarse la e-istencia de un manual claro ! de f,cil entendimiento que le permita a los nue&os usuarios familiarizarse con los recursos a su disposici(n" De igual manera deben e&aluarse los controles de identificaci(n ! &erificaci(n de autorizaciones, que contemplen adem,s la e-istencia de programas de control que, permanezcan pendientes del uso de los recursos"

A9<&-(.- 2- 9&/4*/*9=,.32*4-:"B

Entres sus acti&idades, el auditor debe contemplar la e&aluaci(n del este ambiente, tomando en cuenta diferentes aspectos respecto al uso de microcomputadores, de manera que pueda re&isar al inicio las acti&idades que se relacionan con la adquisici(n de los equipos, en las
9

Delgado, :iomar. Auditor$a 'n*orm0tica. Editorial ;8ED. 1an ,os-. .ag <9.

2%

Captulo 2 Modelo Metodolgico Propuesto

cuales inter&ienen las pol ticas de la empresa, &erificando si todas las adquisiciones se apegan a las pol ticas administrati&as" 'e debe &erificar si se satisfacen los controles respecto a la administraci(n ! &alorar su aporte al cumplimiento de los ob%eti&os de la empresa" Debe &elar que solamente permanezcan instaladas aquellas &ersiones de soft>are sobre las que la empresa disponga de una licencia para operarla ! &erificar el cumplimiento de la legislaci(n, moti&o por el que debe promo&er el respeto a los derec$os de autor" En los equipos de ma!or tama)o, debe contemplarse la necesidad de contar con un adecuado ambiente de control sobre los arc$i&os ! las transacciones procesadas en ellos, as como las pol ticas de acceso a los recursos contenidos en ellos" 1a correcta operaci(n de los microcomputadores debe ser re&isada por el auditor ! ste debe comprobar que e-isten adecuadas pol ticas de respaldo ! control de los datos almacenados" Debe comprobar que las adquisiciones que se realicen mantengan el grado necesario de compatibilidad para asegurar ma!or &ida a los recursos de informaci(n" Como puede notarse, en este caso se presentan independientemente la re&isi(n de las aplicaciones ! la administraci(n de las bases de datos que en el enfoque anterior se inclu!en dentro de los sistemas en operaci(n" *simismo, el procesamiento distribuido se &isualiza como parte del ,rea de ambiente de microcomputadores" 2.1.5 E()*+,- D- M34&* P&3..&(& Y O.4*: En la recopilaci(n 5Auditora Informtica$ un enfo ue prctico# de +ario /iattini ! otros, se ofrece una caracterizaci(n de diferentes ,reas que abarca esta, distinguindose doce ,reas" * continuaci(n se e-plican bre&emente cada una de ellas" A,2&.*453 F5:&/3

<

.iattini =., #ario Gerardo " Del .eso 8a(arro, Emilio. Auditor$a 'n*orm0tica7 un en*oque pr0ctico. Al*aomega 1.A. #-4ico D. . 299>.

21

Captulo 2 Modelo Metodolgico Propuesto

1a *uditor a @ sica es el medio que &a proporcionar la e&idencia o no de la seguridad f sica en el ambiente en el que se &a a desarrollar la labor inform,tica, por lo que no se debe limitar a comprobar la e-istencia de los medios f sicos, sino tambin su funcionalidad, racionalidad ! seguridad" 1os ob%eti&os de esta son4 el edificio, las instalaciones, equipo ! telecomunicaciones, datos ! personas" A,2&.*453 2- 63 O)&9;.&/3

Es la e&aluaci(n del sistema informatizado que genera, procesa, almacena, recupera, comunica ! presenta datos relacionados con el funcionamiento de la oficina, e%emplo de ello son las aplicaciones espec ficas de la gesti(n de tareas como $o%as de c,lculo o procesadores de te-to, $erramientas para la gesti(n de documentos, como control de e-pedientes o sistemas de almacenamiento (ptico de la informaci(n, agendas ! base de datos personales, sistemas de traba%o en grupo como el correo electr(nico o el control de flu%o de traba%o" A,2&.*453 2- 63 D&4-//&8(

Entendida la auditor a de la direcci(n como auditor a de la gesti(n de la inform,tica o Departamento de 0nform,tica, el auditor debe e-aminar4 3@ El proceso de planificaci(n de sistemas de informaci(n ! e&aluar si

razonablemente se cumplen los ob%eti&os para el mismo"

Debe considerar si se presta

adecuada atenci(n al plan estratgico de la empresa, si se establecen mecanismos de sincronizaci(n entre sus grandes $itos ! los pro!ectos inform,ticos asociados ! si se tienen en cuenta cambios organizati&os entorno legislati&o, e&oluci(n tecnol(gica organizaci(n inform,tica recursos ! otros" <@ E&aluar el proceso de organizar ! controlar los recursos, los flu%os de informaci(n !

los controles que permitan alcanzar los ob%eti&os marcados durante la planificaci(n"

22

Captulo 2 Modelo Metodolgico Propuesto

/@

*nalizar las funciones ! responsabilidades del departamento de inform,tica !

luego la segregaci(n de funciones" 2@ E&aluar que la Direcci(n de 0nform,tica realiza sus acti&idades dentro del respeto a la

normati&a legal aplicable" En particular se consideran fundamentales los relati&os a la seguridad e $igiene en el traba%o, normati&a laboral, protecci(n de datos personales, propiedad intelectual del soft>are" Requisitos definidos en la cobertura de seguros, contratos normati&a emitida por los (rganos reguladores" A,2&.*453 2- 63 EA=6*.3/&8( de comercio electr(nico, transmisi(n de datos por l neas de comunicaciones, as como la

Corresponde a la e&aluaci(n peri(dica del funcionamiento adecuado de los sistemas inform,ticos o sistemas de informaci(n, para asegurar la e-istencia de la empresa ! superar a los competidores" 'iguiendo las recomendaciones de C:<0T el ob%eti&o general de la auditor a de e-plotaci(n consiste en asegurarse de que las funciones que sir&en de apo!o a las Tecnolog as de la 0nformaci(n se realizan de forma ordenada ! satisfacen los requisitos empresariales" /ara $acer el seguimiento ! comprobar que el sistema de informaci(n est, actuando como es precepti&o, ste $abr, de disponer de un control interno que pre&enga los e&entos no deseados o en su defecto los detecte ! los corri%a" El esquema para lle&ar acabo las auditor as de la e-plotaci(n de los sistemas de informaci(n se presenta siguiendo la clasificaci(n de los controles que $ace el pro!ecto C:<0T" A,2&.*453 2-6 D-:344*66*

1a auditor a del desarrollo tratar, de &erificar la e-istencia ! aplicaci(n de procedimientos de control adecuados que permitan garantizar que el desarrollo de sistemas de informaci(n se $a lle&ado a cabo seg2n principios de ingenier a del soft>are, orientados a obtener soft>are

23

Captulo 2 Modelo Metodolgico Propuesto

econ(mico que sea fiable, cumpla los requisitos pre&iamente establecidos ! funcione de manera eficiente sobre m,quinas reales" 1a auditor a de desarrollo se abordar, desglos,ndola en dos grandes apartados4 *uditor a de la organizaci(n ! gesti(n del ,rea de desarrollo *uditor a de pro!ectos de desarrollo de sistemas de informaci(n

1a metodolog a que se usar, es la propuesta por la 0'*C* ;0nformation '!stems *udit and Control *ssociation= que est, basada en la e&aluaci(n del riesgo4 partiendo de los riesgos potenciales a los que est, sometida una acti&idad, en este caso el desarrollo de un sistema de informaci(n, se determinan &arios ob%eti&os de control que minimicen esos riesgos" Dentro del primer apartado debe e&aluar los siguientes ob%eti&os de control4 a" b" c" d" e" f" 'i el ,rea de desarrollo tiene unos cometidos asignados dentro del departamento ! una organizaci(n que le permite el cumplimiento de los mismos" 'i el personal del ,rea de desarrollo cuenta con la formaci(n adecuada ! est, moti&ado para la realizaci(n de su traba%o" 'i e-iste un plan de sistemas, de tal manera que los pro!ectos se lle&an a cabo se basan en dic$o plan" 'i la propuesta ! aprobaci(n de nue&os pro!ectos se realiza de forma reglada, as como la asignaci(n de recursos" 'i el desarrollo de sistemas de informaci(n se $ace aplicando principios de ingenier a del soft>are ampliamente aceptados" 'i la organizaci(n del ,rea se adapta a las necesidades dJe cada momento"

El otro grupo relati&o a la auditor a de cada pro!ecto de desarrollo de '0 tendr, un plan distinto dependiendo de los riesgos, la comple%idad de mismo ! los recursos disponibles para realizar la auditor a" Esto obliga que sean la pericia ! e-periencia del auditor las que determinen las acti&idades del pro!ecto que se controlar,n con ma!or intensidad en funci(n de esos par,metros"

Captulo 2 Modelo Metodolgico Propuesto

El auditor debe e&aluar4


1a aprobaci(n, planificaci(n ! gesti(n del pro!ecto 1a fase de an,lisis 1a fase de dise)o @ase de Construcci(n 1a fase de implantaci(n

A,2&.*453 2-6 M3(.-(&9&-(.*

1a etapa de mantenimiento debe ser especialmente considerada en los estudios de producti&idad ! de la *uditor a 0nform,tica" 1a mantenibilidad es el factor de calidad que engloba todas aquellas caracter sticas del soft>are destinadas a $acer que el producto sea m,s f,cilmente mantenible, en consecuencia, a conseguir una ma!or producti&idad durante la etapa de mantenimiento del soft>are" A,2&.*453 2- "3:-: 2- D3.*:

Corresponde a la auditor a de bases de datos la e&aluaci(n de los ob%eti&os de control en el ciclo de &ida de una base de datos, a saber4 estudio pre&io ! plan de traba%o, concepci(n de la base de datos ! selecci(n del equipo, dise)o ! carga, e-plotaci(n ! mantenimiento, ! por 2ltimo la re&isi(n ! post implantaci(n" Cuando el auditor se encuentra el sistema en e-plotaci(n debe estudiar entorno de la base de datos que b,sicamente comprende4

El 'istema de #esti(n de la <ase de Datos ;'#<D=, dentro del que destacan los siguientes componentes4 el n2cleo, el cat,logo ;componente fundamental para asegurar la seguridad de la base de datos=, las utilidades para el administrador de la base de datos, entre las que se suelen encontrar algunas para crear usuarios, conceder pri&ilegios, las que se encargan de la recuperaci(n de la base de datos4 arranque, copias de respaldo, fic$eros diarios ! algunas funcione s de auditor a, as como los lengua%es de cuarta generaci(n que incorpora el propio '#<D" 25

Captulo 2 Modelo Metodolgico Propuesto


'istema de monitorizaci(n ! a%uste, que facilitan la optimizaci(n de la base de datos 'istema :perati&o, pieza cla&e del entorno, puesto que el '#<D se apo!ar, en los ser&icios que le ofrezca el sistema operati&o en cuanto a control de memoria, gesti(n de ,reas de procesamiento intermedio, mane%o de errores, control de confidencialidad, mecanismos de interbloqueo" +onitor de Transacciones" /rotocolos ! 'istemas Distribuidos4 al acceder las bases de datos a tra&s de redes, el riesgo de &iolaci(n de la confidencialidad e integridad se acent2a" Tambin las bases de datos distribuidas pueden presentar gra&es riesgos de seguridad" /aquetes de seguridad7 la e-istencia en el mercado de &arios productos que permiten la implantaci(n efecti&a de una pol tica de seguridad, puesto que centralizan el control de accesos, la definici(n de pri&ilegios, perfiles de usuario ! otros" Diccionario de datos7 un fallo en un diccionario o repositorio, suele lle&ar consigo una prdida de integridad de los procesos, que pueden producir errores en forma repetiti&a a lo largo del tiempo, dif ciles de detectar" Herramientas C*'E ; Computer *ided '!stemE'oft>are Engineering= E 0/'E ; 0ntegrated /ro%ect 'upport En&ironments= 1engua%es de cuarta generaci(n independientes" @acilidades de usuario" Herramientas de Kminer a de datosK" *plicaciones"

El auditor debe &erificar que todos estos componentes traba%an con%unta ! coordinadamente para asegurar que los sistemas de bases de datos contin2an cumpliendo los ob%eti&os de la empresa ! que se encuentran controlados de manera efecti&a" 1as consideraciones de la auditor a deben incluirse en las distintas fases del ciclo de &ida de una base de datos, siendo mu! importante que los auditores participen cada &ez m,s en el proceso de desarrollo, disminu!endo as ciertos costes ! $aciendo Km,s producti&aK su labor, la direcci(n de las empresas no siempre K&eK la labor de auditor a ! control como realmente producti&a, asumindola, la ma!or a de las &eces, como un gasto necesario" 2!

Captulo 2 Modelo Metodolgico Propuesto

A,2&.*453 2- TB/(&/3 2- S&:.-93:

1a tarea de la auditor a de tcnica de sistemas es la encargada de auditar la estructura inform,tica, es decir el con%unto de instalaciones, equipos de proceso ! el llamado soft>are de datos" Cada uno de esos apartados comprende4 Instalaciones Este apartado incluir, salas de proceso, con sus sistemas de seguridad ! control, as como elementos de cone-i(n ! cableado, es decir los elementos base para acondicionar los componentes del apartado siguiente4 E uipos de proceso Corresponde a la e&aluaci(n de los computadores ;main, mini ! micro=, as como sus perifricos, pantallas, impresoras, unidades de cinta, ! los dispositi&os de conmutaci(n ! comunicaciones ;routers, m(dems = %oft&are de 'ase 'e componen de los sistemas operati&os, compiladores, traductores e intrpretes de comandos ! programas, %unto con los gestores de datos o sistemas de administraci(n de datos ! toda una serie de $erramientas ! componentes au-iliares e intermedios como $erramientas de desarrollo, facilidades de e-plotaci(n como planificadores, paquetes de seguridad A,2&.*453 2- 63 C36&232

'e refiere a la auditor a de calidad del soft>are, o sea al cumplimiento de los requerimientos que se $an establecido, normalmente por el usuario o el cliente, ! las caracter sticas impl citas que debe cumplir todo soft>are $ec$o profesionalmente aparte de su realizaci(n seg2n determinados est,ndares"

27

Captulo 2 Modelo Metodolgico Propuesto

1e compete la e&aluaci(n independiente de los procesos, los productos soft>are, el progreso del pro!ecto o el c(mo se realiza el traba%o, que in&estiga la coincidencia con los est,ndares, l neas gu a, especificaciones ! procedimientos basados en criterios ob%eti&os que inclu!en los documentos que especifican4 1a forma o contenido de los productos a producir" 1os procesos en los que los productos deben ser producidos" C(mo debe ser medida a la ad$erencia con los est,ndares o l neas gu a"

A,2&.*453 2- 63 S->,4&232

Corresponde a la e&aluaci(n de los modelos u ob%eti&os de control de seguridad establecidos por la organizaci(n, con el prop(sito de asegurarse que los controles est,n en consonancia con las nue&as arquitecturas, las distintas plataformas ! las posibilidades de las comunicaciones, que garantizan que no se pierde la informaci(n, que est, disponible en el momento requerido para la toma de decisiones" 1as ,reas que cubre la auditor a de seguridad son4

Auditora de la seguridad fsica *uditor a de la seguridad l(gica" Auditora de la seguridad ( el desarrollo de aplicaciones) Auditora de la seguridad en el rea de produccin Auditora de la seguridad de los datos Auditora de la seguridad de comunicaciones ( redes Auditora de la continuidad de las operaciones

A,2&.*453 2- R-2-:

El primer punto es auditar la gerencia de las comunicaciones, a fin determinar que la funci(n de gesti(n de redes ! comunicaciones est claramente definida, debiendo ser responsable de la gesti(n de la red, in&entario de equipo, ! normati&a de conecti&idad, por la monitorizaci(n de las comunicaciones, registro ! resoluci(n de problemas" 21

Captulo 2 Modelo Metodolgico Propuesto

Considera tanto la auditor a la red f sica ! la red l(gica" A,2&.*453 2- A=6&/3/&*(-:

'e orienta a la re&isi(n de la eficacia del funcionamiento de los controles dise)ados para cada uno de los pasos de la aplicaci(n frente a los riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad ; totalidad ! e-actitud, seguridad, disponibilidad ! confidencialidad de la informaci(n proporcionada por la aplicaci(n" /ara este prop(sito se utilizan principalmente las siguientes $erramientas4 entre&istas, encuestas, obser&aci(n del traba%o realizado por los usuarios, pruebas de conformidad, pruebas sustanti&as o de &alidaci(n ! el computador mismos ;soft>are especializado=" *lgunos casos espec ficos de auditor a de aplicaciones son la e&aluaci(n de los sistemas de apo!o a la toma de decisiones ! las aplicaciones de simulaciones" 2.1.! E()*+,- 2- 63 F,(23/&8( =343 -6 C*(.4*6 ? A,2&.*453 2- S&:.-93: 2- I()*493/&8( CM*2-6* CO"IT@. 1a @undaci(n para el Control ! *uditor a de 'istemas de 0nformaci(n ! el Comit Directi&o de la misma, con la participaci(n de distinguidos especialistas en el campo del control, la auditor a ! la T0, desarroll( en 1??L la primera &ersi(n de este modelo, el cual fue actualizado en 1??M ! en el 2000, ! $a logrado una importante aceptaci(n en muc$os pa ses" Est, dise)ado no s(lo para ser utilizado por usuarios ! auditores, sino que principalmente para ser usado como una lista de &erificaci(n para los propietarios de los procesos de negocio"

C:<0T est, basado en los :b%eti&os de Control e-istentes de la 0nformation '!stems *udit and Control @oundation ;0'*C@= me%orados con los est,ndares internacionales e-istentes ! emergentes tcnicos, profesionales, regulatorios ! espec ficos de la industria" 1os :b%eti&os de Control resultantes, aplicables ! aceptados en forma generalizada, $an sido desarrollados para ser aplicados a los sistemas de informaci(n de toda la empresa"

2$

Captulo 2 Modelo Metodolgico Propuesto

En l nea con lo anterior los recursos de Tecnolog a 0nform,tica pueden son definidos de la siguiente manera4 Datos4 :b%etos datos en su m,s amplio sentido, ;e%4 e-ternos e internos=, estructurados ! no estructurados, gr,ficos, sonido, etc" 'istemas de *plicaci(n4 'e entiende como sistemas de aplicaci(n la suma de procedimientos programados ! manuales" Tecnolog a4 Cubre $ard>are, sistemas operati&os, sistemas de administraci(n de bases de datos, redes, multimedia, etc" 0nstalaciones4 Recursos para albergar ! soportar los sistemas de informaci(n" #ente4 Habilidades del personal, concientizaci(n ! producti&idad para planear, organizar, adquirir, entregar, soportar ! monitorear sistemas de informaci(n ! ser&icios"

3n concepto b,sico del que se parte es que los recursos de Tecnolog a 0nform,tica necesitan ser administrados por un con%unto de procesos agrupados naturalmente para pro&eer la informaci(n que necesita la empresa para el logro de sus ob%eti&os"

C:<0T destaca el impacto sobre los recursos de Tecnolog a 0nform,tica %unto con los requerimientos del negocio que necesitan ser satisfec$os, en cuanto a efecti&idad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento ! confiabilidad" *dicionalmente, brinda definiciones para los requerimientos del negocio que son destilados de ni&eles m,s altos de ob%eti&os para calidad, seguridad e informaci(n financiera seg2n se relacionan con Tecnolog a 0nform,tica"

Considera un con%unto de BJ ob%eti&os de control de alto ni&el, uno por cada uno de los /rocesos de Tecnolog a 0nform,tica, agrupados en cuatro dominios4 /laneamiento ! :rganizaci(n, *dquisici(n e 0mplementaci(n, Entrega ! 'oporte ! +onitoreo, seg2n se caracterizan a continuaci(n" 3%

Captulo 2 Modelo Metodolgico Propuesto

P63(-3/&8( ? O4>3(&73/&8(

Este dominio cubre la estrategia ! las t,cticas, es decir se refiere a la identificaci(n de la forma en que la tecnolog a de la informaci(n puede contribuir de la me%or manera al logro de los ob%eti&os del negocio" *dem,s, la consecuci(n de la &isi(n estratgica necesita ser planeada, comunicada ! administrada desde diferentes perspecti&as" @inalmente, deber,n establecerse una organizaci(n ! una infraestructura tecnol(gica apropiadas" Este dominio considera los siguientes ob%eti&os de alto ni&el o procesos4 /:1 Definir un plan estratgico de tecnolog a de informaci(n /:2 Definir la arquitectura de 0nformaci(n /:B Determinar la direcci(n tecnol(gica /:J Definir la organizaci(n ! de las relaciones de T0 /:N +ane%ar la in&ersi(n en Tecnolog a de 0nformaci(n /:L Comunicar la direcci(n ! aspiraciones de la gerencia /:O *dministrar recursos $umanos /:M *segurar el cumplimiento de requerimientos e-ternos /:? E&aluar riesgos /:10 *dministrar pro!ectos /:11 *dministrar calidad

A2+,&:&/&8( - I9=6-9-(.3/&8(

/ara lle&ar a cabo la estrategia de T0, las soluciones de T0 deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio" *dem,s, este dominio cubre los cambios ! el mantenimiento realizados a sistemas e-istentes" *01 0dentificar soluciones 31

Captulo 2 Modelo Metodolgico Propuesto

*02 *dquirir ! mantener soft>are de aplicaci(n *0B *dquirir ! mantener arquitectura de tecnolog a *0J Desarrollar ! mantener procedimientos relacionados con T0 *0N 0nstalar ! acreditar sistemas *0L *dministrar cambios

E(.4->3 2- :-4'&/&*: ? S*=*4.-

En este dominio se $ace referencia a la entrega de los ser&icios requeridos, que abarca desde las operaciones tradicionales $asta el entrenamiento, pasando por seguridad ! aspectos de continuidad" Con el fin de pro&eer ser&icios deber,n establecerse los procesos de soporte necesarios" Este dominio inclu!e el procesamiento de los datos por sistemas de aplicaci(n, frecuentemente clasificados como controles de aplicaci(n" D'1 Definir ni&eles de ser&icio D'2 *dministrar ser&icios prestados por terceros D'B *dministrar desempe)o ! capacidad D'J *segurar ser&icio continuo D'N #arantizar la seguridad de sistemas D'L 0dentificar ! asignar costos D'O Educar ! entrenar a los usuarios D'M *po!ar ! asistir a los clientes de T0 D'? *dministrar la configuraci(n D'10 *dministrar problemas e incidentes D'11 *dministrar datos D'12 *dministrar instalaciones D'1B *dministrar operaciones M*(&.*4-*

32

Captulo 2 Modelo Metodolgico Propuesto

Todos los procesos necesitan ser e&aluados regularmente a tra&s del tiempo para &erificar su calidad ! suficiencia en cuanto a los requerimientos de control" +1 +onitorear los procesos +2 E&aluar lo adecuado del control 0nterno +B :btener aseguramiento independiente +J /roporcionar auditor a independiente"

/ara los anteriores ob%eti&os de control de alto ni&el o procesos de T0, se definen B1M ob%eti&os detallados, a partir de estos se desarrollan BJ #u as de *uditor a que inclu!en BOL pasos de auditor a, que orientan la e&aluaci(n de la gesti(n ! el control de los sistemas de T0"

2.1.7 C*(:&2-43/&*(-: :*<4- 6*: D&)-4-(.-: E()*+,-: Despus de presentar los enfoques considerados ! conforme el prop(sito planteado se realiza un an,lisis comparati&o de los mismos" Ao pretendemos entrar a un an,lisis detallado por razones de tiempo ! de rele&ancia para los prop(sitos de la in&estigaci(n, sino destacar las principales diferencias ! similitudes, con el prop(sito 2ltimo de perfilar lo que deber a ser el modelo a proponer para la instituci(n" *ntes de realizar el an,lisis es preciso reconocer la diferente naturaleza ! situaci(n en el tiempo de los planteamientos" Darios se refieren a planteamientos de autores indi&iduales, uno de ellos es resultado de los aportes de diferentes autores ! otro es el generado como resultado de un proceso de an,lisis ! aportes de especialistas en el campo inform,tico ! de una organizaci(n especializada en la materia" /or otra parte, los planteamientos se ubican temporalmente entre el a)o 1??1 ! el a)o 2000, siendo esperado que los m,s recientes

33

Captulo 2 Modelo Metodolgico Propuesto

incorporen aspectos resultantes de la e&oluci(n de las tecnolog as de la informaci(n en los 2ltimos a)os" En primer lugar, debemos destacar que si bien es cierto se detectan diferencias importantes en el enfoque, la impresi(n es que dic$as diferencias son m,s de forma que de fondo" Ao se identifican conflictos en cuanto a temas o ,reas que deban o no considerarse, sino m,s bien diferencias en cuanto al criterio de agrupaci(n de dic$as tareas" Esta situaci(n se e&idencia en el cuadro Ao" 1, en el que se presenta una &isi(n resumida de cada uno de los enfoques ! las ,reas definidas, resultando claro que es posible identificar tres grandes categor as fundamentales, independientemente del nombre que cada uno de los autores le asigna ! la desagregaci(n con que aborda cada una, a saber4 *dministraci(n de la T0, Desarrollo de 'istemas ! *dministraci(n de los 'istemas en :peraci(n" En el caso del enfoque C:<0T presenta la particularidad de considerar separadamente el monitoreo, orientado a la e&aluaci(n regular a tra&s del tiempo para &erificar su calidad ! suficiencia en cuanto a los requerimientos de control" El r,pido a&ance que se presenta en la tecnolog a de la informaci(n $ace que se modifique la importancia relati&a de las ,reas o que sur%an nue&as funciones, como es el caso de la identificaci(n separada del ambiente de microcomputadores o m,s recientemente, el desarrollo que se da alrededor de la internet ! su utilizaci(n comercial" En ese sentido en los enfoques m,s recientes se nota una ma!or presencia de estos componentes" El grado de desagregaci(n ! puntualizaci(n de $erramientas o criterios para la realizaci(n de las auditor as es distinto entre los diferentes enfoques, siendo C:<0T el que llega a plantear un ni&el ma!or de desagregaci(n con BJ procesos u ob%eti&os de control de alto ni&el ! o gu as de auditor a con BOL pasos"

Captulo 2 Modelo Metodolgico Propuesto

CUADRO N*. 1 ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI

AUTOR DEL ENFOQUE


ECHENIQUE 1" E&aluaci(n administrati&a del Centro de /ED 2" Eficiencia de sistemas ! procedimientos ! eficiencia en el uso de la informaci(n B" /roceso de datos ! de los equipos de c(mputo GARCIA 1" Controles #enerales del Centro de C(mputo 2" Ciclo de &ida del desarrollo de sistemas ARAUZ 1" *dministraci(n de la @unci(n 0nform,tica 2" Desarrollo de sistemas DELGADO 1" Controles administrati&os 2" Desarrollo de sistemas de aplicaci(n PIATTINI CO"IT 1" *uditor a de la 1" /lanificaci(n Direcci(n :rganizaci(n 2" Desarrollo B" Calidad 2" *dquisici(n implementaci(n !

A R E A

B" 'istemas de aplicaciones J" Continuidad de las operaciones N" Re&isi(n Tcnica

B" 'istemas en producci(n J" *mbiente de microcomputadores

B" :peraci(n de los sistemas de aplicaci(n J" Re&isi(n de las aplicaciones N" *dministraci(n de bases de datos L" /rocesamiento distribuido ! redes

J" @ sica B" Entrega N" :fim,tica 'oporte L" E-plotaci(n O" +antenimiento M" <ases de datos ?" Tcnica de sistemas 10" Redes 11" *plicaciones 12" 'eguridad J" +onitoreo

@uente4 Elaboraci(n propia tomando de referencia lo descrito en este capitulo

35

Captulo 2 Modelo Metodolgico Propuesto

2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA * continuaci(n se presentan los elementos m,s rele&antes sobre la situaci(n de la gesti(n de la T0 en el +inisterio" 'e inclu!en aqu , con el inters de que la propuesta considere la situaci(n espec fica ! responda a las caracter sticas de la instituci(n en que se pretende implementar" *l efecto se consideran seg2n fueron puntualizados en el diagn(stico realizado por los mismos autores como parte del curso /ro!ecto 0ntegrado 0"N /roblem,tica organizacional ! del marco regulador4 contradicciones e incongruencias entre la organizaci(n real ! la normati&a" *2n no se $a logrado consolidar una organizaci(n eficiente ! funcional para la gesti(n de la T0 en el +inisterio de Hacienda, de tal forma que tanto a ni&el del marco regulador, en el que se identifican algunas duplicidades de funciones ! la ausencia de una estructura organizati&a debidamente integrada, como a ni&el operati&o, en el que son e&identes los efectos de las deficiencias de coordinaci(n entre las ,reas, se identifican deficiencias ! conflictos que demandan una oportuna atenci(n" +agnitud de la in&ersi(n realizada en $ard>are, soft>are ! recurso $umano dedicado a soportar la gesti(n de la T0 en el +inisterio" *unque por limitaciones de registro ! control o de entrega de informaci(n no fue posible obtener una estimaci(n concreta del monto, es e&idente que el +inisterio de Hacienda $a realizado en los 2ltimos a)os una significati&a in&ersi(n de recursos en Tecnolog a de la 0nformaci(n ! mantiene una importante cantidad de funcionarios dedicados a soportar la gesti(n de la T0" Ello se con&ierte en una de las %ustificaciones para la introducci(n de la auditor a inform,tica ! otros esfuerzos que se orienten a me%orar dic$a gesti(n" Cantidad, naturaleza ! rele&ancia de los sistemas de informaci(n"

El esfuerzo de introducci(n ! apo!o al desarrollo de la T0 en la instituci(n $a lle&ado a que en la actualidad los sistemas de informaci(n computadorizados, en operaci(n ! desarrollo, no solo son muc$os sino que una buena parte de ellos son $erramientas fundamentales para la
?

Chac)n @, Clair- " =argas A. ,os- Adri0n. Diagn)stico so%re la Auditor$a de 1istemas en el #inisterio de Hacienda. .ro"ecto de Aplicaci)n .r0ctica. #aestr$a en Administraci)n de Tecnolog$a de la 'n*ormaci)n. ;ni(ersidad 8acional. A%ril 6BB2.

3!

Captulo 2 Modelo Metodolgico Propuesto

prestaci(n de los ser&icios b,sicos que corresponden a la instituci(n ! gestionan informaci(n de rele&ancia no solo para el +inisterio sino para el /oder E%ecuti&o como un todo" /rincipales fortalezas del +inisterio en la gesti(n de T0"

Entre las fortalezas identificadas por los entre&istados en el campo de la gesti(n de la T0 destacan como m,s rele&antes las relati&as al proceso de capacitaci(n que se $a desarrollado a los funcionarios de ni&el e%ecuti&o medio ! el apo!o de las autoridades superiores, as como tambin la importante in&ersi(n de recursos en adquisici(n de equipos, sistemas ! plataforma de comunicaciones en los 2ltimos a)os" /rincipales debilidades del +inisterio en la gesti(n de la T0"

En lo que respecta a debilidades, de especial atenci(n resultan la carencia tanto de un plan estratgico institucional como para el campo de la T0, as como ausencia de estandarizaci(n ! pol ticas definidas para la gesti(n de T0" +erecen destacarse algunos esfuerzos recientes que se orientan a cubrir algunas de stas debilidades, como es el caso del pro!ecto para la elaboraci(n del plan estratgico inform,tico ! lo realizado por el Conse%o de 0nform,tica para la elaboraci(n de est,ndares" 0ncipiente estandarizaci(n

3na de las muestras de las carencias en materia de gesti(n de la T0 es la apenas incipiente estandarizaci(n, de%ando en claro que a pesar de lle&ar m,s de 10 a)os de los que podr amos considerar un proceso de uso de los '0<C con una perspecti&a amplia ! eficiente, no es sino recientemente que el Conse%o de 0nform,tica $a incursionado en la emisi(n de est,ndares, $abindose aprobado el relati&o a las caracter sticas tcnicas del equipo que se adquiera ! en proceso de aprobaci(n los relati&os a metodolog a para desarrollo ! mantenimiento de sistemas de informaci(n, metodolog a para la administraci(n de pro!ectos ! condiciones contractuales para la adquisici(n de ser&icios inform,ticos"

Escaso desarrollo de la auditor a de sistemas en el +inisterio" 37

Captulo 2 Modelo Metodolgico Propuesto

Conforme la normati&a &igente, la funci(n de auditor a de sistemas o auditor a inform,tica corresponde a la Direcci(n #eneral de *uditor a 0nterna, situaci(n que se presenta de igual manera en las instituciones analizadas en el estudio" Ao obstante, debido a los escasos recursos $umanos ! tecnol(gicos, las acti&idades realizadas se limitan a algunos intentos de auditor a de sistemas en operaci(n, en aplicaciones para el desarrollo de algunos procesos computadorizados ! en estudios de seguimiento a la aplicaci(n de disposiciones de la Contralor a #eneral de la Rep2blica, como resultado de las e&aluaciones realizadas diferentes ocasiones sobre esta tem,tica, especialmente en cuanto a controles de alto ni&el" Responsabilidad de la administraci(n ! responsabilidad de la auditor a de sistemas" en algunos de los sistemas de informaci(n en operaci(n" *simismo, se $an emitido criterios en

Conforme los conceptos b,sicos sobre control interno ! auditor a, es la administraci(n la responsable del establecimiento, an,lisis ! me%ora continua de los procedimientos ! sistemas de control interno mientras que la auditor a se orienta a la e&aluaci(n de los mismos con criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento" Estos conceptos deben estar adecuadamente asimilados a ni&el institucional para no generar ! mantener falsas e-pectati&as en torno a los aportes ! resultados que genera la auditor a de sistemas" Estudios realizados por la Contralor a #eneral de la Rep2blica"

En el campo de la auditor a de sistemas la Contralor a #eneral de la Rep2blica $a realizado algunas e&aluaciones a determinados sistemas de informaci(n, destacando el realizado en el a)o 2000 sobre el desarrollo ! operaci(n del 'istema de 0nformaci(n 0ntegral para la *dministraci(n Tributaria ; 0nforme Ao" BOE2000 !a citado=, en el que se precisan &arias deficiencias en la aplicaci(n de un marco metodol(gico, as como otros tipos de problem,ticas que re&elan, por e%emplo, informaci(n de mala calidad e inadecuado mane%o en sus formatos fuentes, 5que permiten concluir que los recursos in&ertidos no est,n redituando todos los beneficios esperados, que $a! puntos de control que no fueron debidamente obser&ados, ! que el usuario de estos ser&icios, el usuario contribu!ente no est, obteniendo todo lo que podr a de los tributos que paga6 Conciencia generalizada sobre la con&eniencia o necesidad de la auditor a de sistemas" 31

Captulo 2 Modelo Metodolgico Propuesto

E-iste un consenso e&idente en torno a la necesidad de desarrollar la auditor a de sistemas en la instituci(n, esto es una destacable fortaleza por representar un importante elemento facilitador para la introducci(n ! consolidaci(n de la auditor a de sistemas en el +inisterio" Aue&os pro!ectos ! retos que a futuro se plantean ! las e-igencias que se generar,n en el campo de la auditor a de sistemas" El +inisterio se $a planteado importantes pro!ectos ! retos para los pr(-imos a)os en materia tecnol(gica, lo cual no s(lo resulta meritorio sino tambin una importante fuente de riesgos, especialmente en torno al tema de la seguridad de los sistemas, especialmente por la l nea establecida en cuanto al apro&ec$amiento de las facilidades de internet para el desarrollo del negocio sustanti&o" /rincipales e-pectati&as en cuanto al aporte de la auditor a de sistemas"

Conforme con la opini(n ma!oritaria de los entre&istados, en el +inisterio el perfeccionamiento de los sistemas de informaci(n es uno de los principales aportes que se esperan de la auditor a de sistemas, ello denota cierta falta de precisi(n sobre la responsabilidad de la propia administraci(n en torno a la gesti(n de la T0, de cu!os esfuerzos depender, la superaci(n de la problem,tica identificada en este campo" Con&iene indicar que muc$os de los puntos mencionados tambin fueron destacados en los otros pro!ectos de aplicaci(n pr,ctica realizados por otros grupos de /ro!ecto 0ntegrado 00 del programa de maestr a"

2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI

3$

Captulo 2 Modelo Metodolgico Propuesto

* continuaci(n se presenta la propuesta del ideal de modelo metodol(gico operati&o, elaborada de la consideraci(n de diferentes alternati&as presentadas as como de la situaci(n de la gesti(n de la T0 en la instituci(n, caracterizada en el diagn(stico !a presentado" Es importante destacar que se pretende presentar el ideal a alcanzar independientemente de que luego se analice como entrar a su implantaci(n" En ese sentido es claro que en un principio no se podr, aplicar en su totalidad en &irtud del grado de madurez en cuanto a gesti(n de la T0 en que se encuentra el +inisterio, seg2n lo descrito en el apartado anterior" /ara la definici(n de la propuesta a partir de las alternati&as !a presentadas e-isten dos opciones4 seleccionar uno de los modelos presentados o a partir de ellos elaborar un planteamiento propio" /ara nuestros efectos optamos por la primera considerando los siguientes criterios4 1os modelos presentados son bastante completos" 1as diferencias entre ellos, como !a se estableci(, obedecen a aspectos de forma ! a la e&oluci(n propia de la T0" 1os modelos $an sido elaborados por e-pertos o equipos de e-pertos en el campo" Auestra reducida e-periencia en el campo

2.3.1 C4&.-4&*: 2- :-6-//&8( Establecido el camino a seguir, a continuaci(n se presentan los criterios utilizados para seleccionar uno de los modelos presentados" A/.,36&232

Es importante que el modelo considere los 2ltimos a&ances de la T0, esperando que tanto en cuanto al ,mbito como en lo que respecta al enfoque de la funci(n auditora ! de control interno, se tomen en consideraci(n las 2ltimas inno&aciones ! conceptos de a&anzada" En ese sentido, aspectos como la utilizaci(n de los conceptos modernos sobre el control interno elaborados por organizaciones especializadas a ni&el mundial ; como es el caso del 0nforme C:':= ! la incorporaci(n de la seguridad a ni&el de redes en el marco de internet, aplicaciones en ambiente de tres capas, entre otros, deben ser adecuadamente considerados en la opci(n que se seleccione" %

Captulo 2 Modelo Metodolgico Propuesto

R-:=362* .B/(&/*"

'in menospreciar el aporte de los e-pertos indi&iduales, es claro que los enfoques logrados con la participaci(n de equipos multidisciplinarios de distintos e-pertos ! considerando diferentes est,ndares internacionales generan una ma!or confiabilidad, adem,s de que el respaldo tcnico de estos equipos garantiza una oportuna actualizaci(n ! la uni&ersalidad del mismo" C*(:&2-43/&8( 2-6 =3=-6 2- 63 A29&(&:.43/&8(

Es importante que el modelo pondere adecuadamente el papel de la *dministraci(n en el control ! le proporcione $erramientas ! criterios que le permitan desarrollar los esfuerzos que le competen en materia de control ! la orienten $acia la autoe&aluaci(n" Este aspecto es de especial rele&ancia para el fortalecimiento del sistema de control interno en la instituci(n, en &irtud de las debilidades en el ambiente de control mencionadas en el diagn(stico" D&:=*(&<&6&232 2- ,(3 0-4439&-(.3 3,.*93.&7323.

1a e-istencia de una $erramienta automatizada para la realizaci(n de la *uditor a de T0 es una importante fortaleza de un modelo metodol(gico 8 operati&o, !a que se con&ierte en una facilidad para agilizar el cumplimiento de las funciones, permitiendo una ma!or oportunidad ! en consecuencia, permitiendo generar &alor agregado" En caso de no disponer de tal $erramienta automatizada, el desarrollo de una $erramienta demandar a un esfuerzo ma!or para la implantaci(n, por tener que dedicar recursos ! tiempo para este prop(sito" En el mismo sentido es ideal que tambin se disponga de una $erramienta para la *dministraci(n" 2.3.2 D-:/4&=/&8( 2-6 M*2-6* P4*=,-:.* Conforme con los criterios e-puestos, como modelo metodol(gico operati&o para el +inisterio de Hacienda se propone la utilizaci(n del modelo elaborado por la 0nformation '!stems *udit and Control *ssociation90'*C*, denominado :b%eti&os de Control para la 0nformaci(n ! Tecnolog as *fines ;C:<0T por sus siglas en ingls="

Este modelo fue liberado en 1??L ! actualizado en 1??M ;2P Edici(n= ! 2000 ;BP Edici(n=, con lo cual se $a a%ustado para considerar los a&ances en la gesti(n de la T0, as como los nue&os enfoques conceptuales en el campo del control ! la auditor a" Este es un aspecto de gran 1

Captulo 2 Modelo Metodolgico Propuesto

rele&ancia puesto que e&idencia lo que representa sin lugar a dudas una de las importantes fortalezas del modelo, siendo de especial rele&ancia en el campo de la T0, caracterizado por la rapidez ! profundidad de los cambios"

/or otra parte, el modelo armoniza 1M reconocidos est,ndares 0nternacionales en temas de control, entre ellos C:':, 0': ?000, :ECD, 0T'EC, T'EC ! Est,ndares de 0' .ap(n" 1a consideraci(n de todos estos est,ndares, $ace que el modelo pueda efecti&amente considerarse como un resumen de 5me%ores pr,cticas6 en materia de control ! T0, aspecto que dif cilmente puede encontrarse en las otras alternati&as" *simismo, este modelo cuenta con el respaldo de &arias organizaciones especializadas ! e-pertos en la materia, comprometidos con el pro!ecto a los efectos de garantizar la calidad ! la rigurosidad tcnica, tal ! como se e&idencia en el *ne-o 1" 1a cantidad de e-pertos in&olucrados ! el ni&el de los mismos, con&ierten a este modelo en una propuesta dif cilmente superable" De igual forma, es destacable que est, dirigido no s(lo a auditores inform,ticos, sino tambin a la *dministraci(n ! a los usuarios, ! permite adem,s, determinar el alcance de la tarea de auditor a e identificar los controles m nimos7 pudiendo tambin utilizarse como una $erramienta de autoe&aluaci(n del ,rea de inform,tica" Este aspecto es destacable para el caso que nos ocupa, toda &ez que $a sido claramente establecida en el diagn(stico la necesidad de un esfuerzo de la *dministraci(n por me%orar el ambiente de control, para lo cual, contar con una gu a orientadora resulta de gran utilidad" 1a alternati&a propuesta tiene la &enta%a de que cuenta con una $erramienta automatizada de implementaci(n, tanto para la *dministraci(n como para la *uditor a de T0" En cuanto a esta 2ltima, el C:<0T *d&isor es la $erramienta que automatiza la utilizaci(n del modelo en la realizaci(n de auditor as de T0, permitiendo4 un proceso consistente para e&aluarEauditar la gesti(n ! control de los sistemas de T0" un benc$marQ reconocido para la gesti(n ! control de T0" realizar las auditor as o auto9e&aluaciones en tres ;B= ni&eles4 *lto Ai&el #erencial ;Dominios E /rocesos=, detallado de los :b%eti&os de control, ! detallado con las #u as de *uditor a ;pasos del programa=" 2

Captulo 2 Modelo Metodolgico Propuesto

la identificaci(n e implementaci(n de ob%eti&os de control ! gu as de auditor a, basadas en est,ndares de 5me%ores pr,cticas6 ! brindar un 5ma!or &alor agregado6" En el cap tulo J se profundizar, sobre estas caracter sticas"

/or otra partida el C:<0T +anager es la $erramienta para uso de la *dministraci(n" *simismo, en cuanto a la facilidad de adaptaci(n del modelo propuesto, aunque cuenta con B1M ob%eti&os de control, no siempre se tendr, que aplicar plenamente, sino que, por la estructura del mismo, se pueden de%ar de considerar los ob%eti&os que por la naturaleza o situaci(n de la entidad e&aluada, no resultan aplicables" En un sentido amplio, cada ob%eti&o de traba%o ! sus respecti&as gu as pueden ser consideradas de manera indi&idual" *dicionalmente, est, siendo considerado por la Contralor a #eneral de la Rep2blica como elemento orientador para el a%uste al +anual sobre Aormas Tcnicas de Control 0nterno Relati&as a los 'istemas de 0nformaci(n Computadorizados" /or las razones indicadas, consideramos que el modelo propuesto es la me%or alternati&a de soluci(n para el +inisterio, con el prop(sito de garantizar la e&aluaci(n de los controles en la gesti(n de T0, as como para la consolidaci(n de un sistema de control interno, que facilite el cumplimiento de las responsabilidades de la *dministraci(n ! el uso adecuado de los fondos p2blicos" 1os aspectos generales de este modelo !a fueron e-puestos en el apartado 2"L, siendo importante recordar en este momento que el mismo comprende4 3n Resumen E%ecuti&o, 3n +arco Referencial, :b%eti&os de Control, Directrices de *uditor a ! un Con%unto de Herramientas de implementaci(n" /ara ma!or facilidad en el cuadro Ao"2 se describe cada uno de ellos"

Captulo 2 Modelo Metodolgico Propuesto

CUADRO N*. 2 DESCRIPCIN DE LOS COMPONENTES DEL MODELO CO"IT Resu#en E$ecuti%o
Consiste en una ' ntesis E%ecuti&a ;que proporciona a la alta gerencia entendimiento ! conciencia sobre los conceptos cla&e ! principios de C:<0T

!arco Re&erencial
/roporciona a la alta gerencia un entendimiento m,s detallado de los conceptos cla&e ! principios de C:<0T e identifica los cuatro dominios de C:<0T ! los correspondientes BJ procesos de T0=" Describe en detalle los BJ ob%eti&os de control de alto ni&el e identifica los requerimientos de negocio para la informaci(n ! los recursos de T0 que son impactados en forma primaria por cada ob%eti&o de control"

O'$eti%os de Control
Contienen declaraciones de los resultados deseados o prop(sitos a ser alcanzados mediante la implementaci(n de B1M ob%eti&os de control detallados ! espec ficos a tra&s de los BJ procesos de T0"

Directrices de Auditora
Contienen los pasos de auditor a correspondientes a cada uno de los BJ ob%eti&os de control de T0 de alto ni&el para proporcionar asistencia a los auditores de sistemas en la re&isi(n de los procesos de T0 con respecto a los B1M ob%eti&os detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de me%oramiento"

(erra#ientas de I#)le#entacin
El cual proporciona lecciones aprendidas por organizaciones que $an aplicado C:<0T r,pida ! e-itosamente en sus ambientes de traba%o" El Con%unto de Herramientas de 0mplementaci(n inclu!e la ' ntesis E%ecuti&a, proporcionando a la alta gerencia con9ciencia ! entendimiento de C:<0T" Tambin inclu!e una gu a de implementaci(n con dos 2tiles $erramientas 8 Diagn(stico de la Conciencia de la #erencia ? ! el Diagn(stico de Control de T0 10 9 para proporcionar asistencia en el an,lisis del ambiente de control en T0 de una organizaci(n" Tambin se inclu!en &arios casos de estudio que detallan c(mo organizaciones en todo el mundo $an implementado C:<0T e-itosamente" *dicionalmente, se inclu!en respuestas a las 2N preguntas mas frecuentes acerca de C:<0T ! &arias presentaciones para distintos ni&eles %er,rquicos ! audiencias dentro de las organizaciones"

Captulo 2 Modelo Metodolgico Propuesto

* continuaci(n se presentan los el detalle de modelo C:<0T seg2n los J dominios ! BJ procesos, adem,s se detallan los B1M ob%eti&os de control para cada uno de los procesos"

CO"ITD O"JETIVOS DE CONTROL SEGEN DOMINIO Y PROCESO


DOMINIOD PLANEACIN Y ORGANIZACIN

P4*/-:*D 1.% D-)&(&/&8( 2- ,( P63( E:.43.B>&/* 2- T-/(*6*>53 2- I()*493/&8( O<F-.&'*: 2- C*(.4*6D 1"1 Tecnolog a de 0nformaci(n como parte del /lan de la :rganizaci(n a corto ! largo plazo 1"2 /lan a largo plazo de Tecnolog a de 0nformaci(n" 1"B /lan a largo plazo de Tecnolog a de 0nformaci(n 9 Enfoque ! Estructura 1"J Cambios al /lan a largo plazo de Tecnolog a de 0nformaci(n 1"N /laneaci(n a corto plazo para la funci(n de 'er&icios de 0nformaci(n" 1"L Comunicaci(n de los planes de Tecnolog a de 0nformaci(n 1"O +onitoreo ! E&aluaci(n de los planes de Tecnolog a de 0nformaci(n 1"M E&aluaci(n de sistemas e-istentes" P4*/-:*D 2.% D-)&(&/&8( 2- 63 A4+,&.-/.,43 2- I()*493/&8( O<F-.&'*: 2- C*(.4*6D 2"1 +odelo de la *rquitectura de 0nformaci(n 2"2 Diccionario de Datos ! Reglas de sinta-is de datos de la corporaci(n 2"B Esquema de Clasificaci(n de Datos 2"J Ai&eles de 'eguridad P4*/-:*D 3.% D-.-49&(3/&8( 2- 63 2&4-//&8( .-/(*68>&/3 O<F-.&'*: 2- C*(.4*6D B"1 /laneaci(n de la 0nfraestructura Tecnol(gica B"2 +onitoreo de Tendencias ! Regulaciones @uturas B"B Contingencias en la 0nfraestructura Tecnol(gica B"J /lanes de *dquisici(n de Hard>are ! 'oft>are B"N Est,ndares de Tecnolog a P4*/-:*D .% D-)&(&/&8( 2- 63 O4>3(&73/&8( ? 2- 63: R-63/&*(-: 2- TI O<F-.&'*: 2- C*(.4*6D J"1 Comit de planeaci(n o direcci(n de la funci(n de ser&icios de informaci(n J"2 3bicaci(n de los ser&icios de informaci(n en la organizaci(n J"B Re&isi(n de 1ogros :rganizacionales J"J @unciones ! Responsabilidades J"N Responsabilidad del aseguramiento de calidad J"L Responsabilidad de la seguridad l(gica ! f sica J"O /ropiedad ! Custodia J"M /ropiedad de Datos ! 'istemas J"? 'uper&isi(n J"10 'egregaci(n de @unciones 5

Captulo 2 Modelo Metodolgico Propuesto

J"11 *signaci(n de /ersonal para Tecnolog a de 0nformaci(n J"12 Descripci(n de /uestos para el /ersonal de la @unci(n de T0 J"1B /ersonal cla&e de T0 J"1J /rocedimientos para personal por contrato J"1N Relaciones P4*/-:* D 5.% M3(-F* 2- 63 I('-4:&8( -( T-/(*6*>53 2- I(G)*493/&8( O<F-.&'*: 2- C*(.4*6D N"1 /resupuesto :perati&o *nual para la @unci(n de 'er&icio de informaci(n N"2 +onitoreo de Costo 9 <eneficio N"B .ustificaci(n de Costo 9 <eneficio P4*/-:*D !.% C*9,(&/3/&8( 2- 63 2&4-//&8( ? 3:=&43/&*(-: 2- 63 >-4-(/&3 O<F-.&'*: 2- C*(.4*6D L"1 *mbiente positi&o de control de la informaci(n L"2 Responsabilidad de la #erencia en cuanto a /ol ticas L"B Comunicaci(n de las /ol ticas de la :rganizaci(n L"J Recursos para la implementaci(n de /ol ticas L"N +antenimiento de /ol ticas L"L Cumplimiento de /ol ticas, /rocedimientos ! Est,ndares L"O Compromiso con la Calidad L"M /ol tica sobre el +arco de Referencia para la 'eguridad ! el Control 0nterno L"? Derec$os de propiedad intelectual L"10 /ol ticas Espec ficas L"11 Comunicaci(n de Conciencia de 'eguridad en T0 P4*/-:*D 7.% A29&(&:.43/&8( 2- R-/,4:*: H,93(*: O<F-.&'*: 2- C*(.4*6D O"1 Reclutamiento ! /romoci(n de /ersonal O"2 /ersonal Calificado O"B Roles ! responsabilidades O"J Entrenamiento de /ersonal O"N Entrenamiento Cruzado o Respaldo de /ersonal O"L /rocedimientos de *creditaci(n 1O de /ersonal O"O E&aluaci(n de Desempe)o de los Empleados O"M Cambios de /uesto ! Despidos P4*/-:*D 1.% A:->,439&-(.* 2-6 C,9=6&9&-(.* 2- R-+,-4&9&-(.*: EA.-4(*: O<F-.&'*: 2- C*(.4*6D M"1 Re&isi(n de Requerimientos E-ternos M"2 /r,cticas ! /rocedimientos para el Cumplimiento de Requerimientos E-ternos M"B Cumplimiento de los Est,ndares de 'eguridad ! Ergonom a M"J /ri&acidad, /ropiedad 0ntelectual ! @lu%o de Datos M"N Comercio Electr(nico M"L Cumplimiento con Contratos de 'eguros

Captulo 2 Modelo Metodolgico Propuesto

P4*/-:*D $.% E'36,3/&8( 2- R&-:>*: O<F-.&'*: 2- C*(.4*6D ?"1 E&aluaci(n de Riesgos del Aegocio ?"2 Enfoque de E&aluaci(n de Riesgos ?"B 0dentificaci(n de Riesgos ?"J +edici(n de Riesgos ?"N /lan de *cci(n contra Riesgos ?"L *ceptaci(n de Riesgos ?"O 'elecci(n del resguardo ?"M Compromiso de Daloraci(n de riesgo P4*/-:*D 1%.% A29&(&:.43/&8( 2- =4*?-/.*: O<F-.&'*: 2- C*(.4*6D 10"1 +arco de Referencia para la *dministraci(n de /ro!ectos 10"2 /articipaci(n del Departamento 3suario en la 0niciaci(n de /ro!ectos 10"B +iembros ! Responsabilidades del Equipo del /ro!ecto 10"J Definici(n del /ro!ecto 10"N *probaci(n del /ro!ecto 10"L *probaci(n de las @ases del /ro!ecto 10"O /lan +aestro del /ro!ecto 10"M /lan de *seguramiento de la Calidad de 'istemas 10"? /laneaci(n de +todos de *seguramiento 10"10 *dministraci(n @ormal de Riesgos de /ro!ectos 10"11 /lan de /rueba 10"12 /lan de Entrenamiento 10"1B /lan de Re&isi(n /ost 0mplementaci(n P4*/-:*D 11.% A29&(&:.43/&8( 2- C36&232 O<F-.&'*: 2- C*(.4*6D 11"1 /lan #eneral de Calidad 11"2 Enfoque de *seguramiento de Calidad 11"B /laneaci(n del *seguramiento de Calidad 11"J Re&isi(n de *seguramiento de Calidad sobre el Cumplimiento de Est,ndares ! /rocedimientos de la @unci(n de 'er9&icios de 0nformaci(n 11"N +etodolog a del Ciclo de Dida de Desarrollo de 'istemas 11"L +etodolog a del Ciclo de Dida de Desarrollo de 'istemas para Cambios +a!ores a la Tecnolog a *ctual 11"O *ctualizaci(n de la +etodolog a del Ciclo de Dida de Desarrollo de 'istemas 11"M Coordinaci(n ! Comunicaci(n 11"? +arco de Referencia de *dquisici(n ! +antenimiento para la 0nfraestructura de Tecnolog a 11"10 Relaciones con Terceras /artes como 0mplementadores 11"11 Est,ndares para la Documentaci(n de /rogramas 11"12 Est,ndares para /ruebas de /rogramas 11"1B Est,ndares para /ruebas de 'istemas 11"1J /ruebas /ilotoEEn /aralelo 11"1N Documentaci(n de las /ruebas del 'istema 7

Captulo 2 Modelo Metodolgico Propuesto

11"1L E&aluaci(n del *seguramiento de la Calidad sobre el Cumplimiento de Est,ndar de Desarrollo 11"1O Re&isi(n del *seguramiento de Calidad sobre el 1ogro de los :b%eti&os de la @unci(n de 'er&icios de 0nformaci(n 11"1M +tricas de Calidad 11"1? Reportes de Re&isiones de *seguramiento de la Calidad DOMINIO ADQUISICIN E IMPLEMENTACIN P4*/-:*D 1.% I2-(.&)&/3/&8( 2- S*6,/&*(-: O<F-.&'*: 2- /*(.4*6 1"1 Definici(n de Requerimientos de 0nformaci(n 1"2 @ormulaci(n de *cciones *lternati&as 1"B @ormulaci(n de Estrategias de *dquisici(n" 1"J Requerimientos de 'er&icios de Terceros 1"N Estudio de @actibilidad Tecnol(gica 1"L Estudio de @actibilidad Econ(mica 1"O *rquitectura de 0nformaci(n 1"M Reporte de *n,lisis de Riesgos 1"? Controles de 'eguridad Econ(micos 1"10 Dise)o de /istas de *uditor a 1"11 Ergonom a 1"12 'elecci(n de 'oft>are de 'istema 1"1B Control de *bastecimiento 1"1J *dquisici(n de /roductos de 'oft>are 1"1N +antenimiento de 'oft>are de Terceras /artes 1"1L Contratos de /rogramaci(n de *plicaciones 1"1O *ceptaci(n de 0nstalaciones 1"1M *ceptaci(n de Tecnolog a P4*/-:*D 2.% A2+,&:&/&8( ? M3(.-(&9&-(.* 2- S*).H34- 2- A=6&/3/&8( O<F-.&'*: 2- /*(.4*6 2"1 +todos de Dise)o 2"2 Cambios 'ignificati&os a 'istemas *ctuales 2"B *probaci(n del Dise)o 2"J Definici(n ! Documentaci(n de Requerimientos de *rc$i&os 2"N Especificaciones de /rogramas 2"L Dise)o para la Recopilaci(n de Datos @uente 2"O Definici(n ! Documentaci(n de Requerimientos de Entrada de Datos 2"M Definici(n de 0nterfases 2"? 0nterfases 3suario9+,quina 2"10 Definici(n ! Documentaci(n de Requerimientos de /rocesamiento 2"11 Definici(n ! Documentaci(n de Requerimientos de 'alida de Datos 2"12 Controlabilidad 2"1B Disponibilidad como @actor Cla&e de Dise)o 2"1J Estipulaci(n de 0ntegridad de T0 en programas de soft>are de aplicaciones 2"1N /ruebas de 'oft>are de *plicaci(n 2"1L +ateriales de Consulta ! 'oporte para 3suario 2"1O Ree&aluaci(n del Dise)o del 'istema 1

Captulo 2 Modelo Metodolgico Propuesto

P4*/-:*D 3.% A2+,&:&/&8( ? M3(.-(&9&-(.* 2- A4+,&.-/.,43 2- T-/(*6*>53 O<F-.&'*: 2- /*(.4*6 B"1 E&aluaci(n de Aue&o Hard>are ! 'oft>are B"2 +antenimiento /re&enti&o para Hard>are B"B 'eguridad del 'oft>are del 'istema B"J 0nstalaci(n del 'oft>are del 'istema B"N +antenimiento del 'oft>are del 'istema B"L Controles para Cambios del 'of>are del 'istema B"O 3so ! +onitoreo de 3tilidades del 'istema P4*/-:*D .% D-:344*66* ? M3(.-(&9&-(.* 2- P4*/-2&9&-(.*: 4-63/&*(32*: /*( T-/(*6*>53 2- I()*493/&8( O<F-.&'*: 2- /*(.4*6 J"1 @uturos Requerimientos ! Ai&eles de 'er&icios :peracionales J"2 +anual de /rocedimientos para 3suario J"B +anual de :peraci(n J"J +aterial de Entrenamiento P4*/-:*D 5.% I(:.363/&8( ? A/4-2&.3/&8( 2- S&:.-93: O<F-.&'*: 2- /*(.4*6 N"1 Entrenamiento N"2 *decuaci(n del Desempe)o del 'oft>are de *plicaci(n N"B /lan de implementaci(n N"J Con&ersi(n del sistema N"N Con&ersi(n de datos N"L Estrategia ! planes de prueba N"O /ruebas de Cambios N"M Criterios ! Desempe)o de /ruebas en /araleloE /iloto N"? /rueba de *ceptaci(n @inal N"10 /ruebas ! *creditaci(n de 'eguridad N"11 /rueba :peracional N"12 /romoci(n a /roducci(n N"1B E&aluaci(n de la 'atisfacci(n de los Requerimientos del 3suario N"1J Re&isi(n #erencial /ost 9 0mplementaci(n P4*/-:*D !.% A29&(&:.43/&8( 2- C39<&*: O<F-.&'*: 2- /*(.4*6 L"1 0nicio ! Control de Requisiciones de Cambio L"2 E&aluaci(n del 0mpacto L"B Control de Cambios L"J Cambios de Emergencia L"N Documentaci(n ! /rocedimientos L"L +antenimiento *utorizado L"O /ol tica de 1iberaci(n de 'oft>are L"M Distribuci(n de 'oft>are $

Captulo 2 Modelo Metodolgico Propuesto

DOMINIO ENTREGA DE SERVICIOS Y SOPORTE P4*/-:*D 1.% D-)&(&/&8( 2- N&'-6-: 2- S-4'&/&* O<F-.&'*: 2- /*(.4*6D 1"1 +arco de Referencia para el Con&enio de Ai&el de 'er&icio 1"2 *spectos sobre los *cuerdos de Ai&el de 'er&icio 1"B /rocedimientos de E%ecuci(n 1"J +onitoreo ! Reporte 1"N Re&isi(n de Con&enios ! Contratos de Ai&el de 'er&icio 1"L Elementos su%etos a Cargo 1"O /rograma de +e%oramiento del 'er&icio P4*/-:*D 2.% A29&(&:.43/&8( 2- S-4'&/&*: =4-:.32*: =*4 T-4/-4*: O<F-.&'*: 2- /*(.4*6D 2"1 0nterfases con /ro&eedores 2"2 Relaciones de Due)os 2"B Contratos con Terceros 2"J Calificaciones de terceros 2"N Contratos con *utsourcing 2"L Continuidad de 'er&icios 2"O Relaciones de 'eguridad 2"M +onitoreo P4*/-:*D 3.% A29&(&:.43/&8( 2- D-:-9=-I* ? C3=3/&232 O<F-.&'*: 2- /*(.4*6D B"1 Requerimientos de Disponibilidad ! Desempe)o B"2 /lan de Disponibilidad B"B +onitoreo ! Reporte B"J Herramientas de +odelado B"N +ane%o de Desempe)o /roacti&o B"L /ron(stico de Carga de Traba%o B"O *dministraci(n de Capacidad de Recursos B"M Disponibilidad de Recursos B"? Calendarizaci(n de recursos P4*/-:*D .% A:->,439&-(.* 2- S-4'&/&* C*(.&(,* O<F-.&'*: 2- /*(.4*6D J"1 +arco de Referencia de Continuidad de Tecnolog a de 0nformaci(n J"2 Estrategia ! @ilosof a de Continuidad de Tecnolog a de 0nformaci(n J"B Contenido del /lan de Continuidad de Tecnolog a de 0nformaci(n J"J +inimizaci(n de requerimientos de Continuidad de Tecnolog a de 0nformaci(n J"N +antenimiento del /lan de Continuidad de Tecnolog a de 0nformaci(n J"L /ruebas del /lan de Continuidad de Tecnolog a de 0nformaci(n J"O Capacitaci(n sobre el /lan de Continuidad de Tecnolog a de 0nformaci(n J"M Distribuci(n del /lan de Continuidad de Tecnolog a de 0nformaci(n J"? /rocedimientos de Respaldo de /rocesamiento para Departamentos 3suarios 5%

Captulo 2 Modelo Metodolgico Propuesto

J"10 Recursos cr ticos de Tecnolog a de 0nformaci(n J"11 Centro de C(mputo ! Hard>are de respaldo J"12 'itio e-terno de almacenamiento de respaldo J"1B /rocedimientos de Refinamiento del /lan de Continuidad de T0 P4*/-:*D 5.% G343(.&734 63 S->,4&232 2- S&:.-93: O<F-.&'*: 2- /*(.4*6D N"1 *dministrar +edidas de 'eguridad N"2 0dentificaci(n, *utenticaci(n ! *cceso N"B 'eguridad de *cceso a Datos en 1 nea N"J *dministraci(n de Cuentas de 3suario N"N Re&isi(n #erencial de Cuentas de 3suario N"L Control de 3suarios sobre Cuentas de 3suario N"O Digilancia de 'eguridad N"M Clasificaci(n de Datos N"? *dministraci(n Centralizada de 0dentificaci(n ! Derec$os de *cceso N"10 Reportes de Diolaci(n ! de *cti&idades de 'eguridad N"11 +ane%o de 0ncidentes N"12 Re9acreditaci(n N"1B Confianza en Contrapartes N"1J *utorizaci(n de Transacciones N"1N Ao Rec$azo N"1L 'endero 'eguro N"1O /rotecci(n de funciones de seguridad N"1M *dministraci(n de 1la&e Criptogr,fica N"1? /re&enci(n, Detecci(n ! Correcci(n de 'oft>are 5+alicioso6 N"20 *rquitecturas de +ire,alls ! cone-i(n a redes p2blicas N"21 /rotecci(n de Dalores Electr(nicos P4*/-:*D !.% I2-(.&)&/3/&8( ? A:&>(3/&8( 2- C*:.*: O<F-.&'*: 2- /*(.4*6D L"1 Elementos 'u%etos a Cargo L"2 /rocedimientos de Costeo L"B /rocedimientos de Cargo ! @acturaci(n a 3suarios P4*/-:*D 7.% E2,/3/&8( ? E(.4-(39&-(.* 2- U:,34&*: O<F-.&'*: 2- /*(.4*6D O"1 0dentificaci(n de Aecesidades de Entrenamiento O"2 :rganizaci(n de Entrenamiento O"B Entrenamiento sobre /rincipios ! Conciencia de 'eguridad P4*/-:*D 1.% A=*?* ? A:&:.-(/&3 3 6*: C6&-(.-: 2- T-/(*6*>53 2- I()*493/&8( O<F-.&'*: 2- /*(.4*6D M"1 <ur( de *!uda M"2 Registro de /reguntas del 3suario M"B Escalamiento de /reguntas del Cliente 51

Captulo 2 Modelo Metodolgico Propuesto

M"J +onitoreo de *tenci(n a Clientes M"N *n,lisis ! Reporte de Tendencias P4*/-:*D $.% A29&(&:.43/&8( 2- 63 C*()&>,43/&8( O<F-.&'*: 2- /*(.4*6D ?"1 Registro de la Configuraci(n ?"2 <ase de la Configuraci(n ?"B Registro de Estatus ?"J Control de la Configuraci(n ?"N 'oft>are no *utorizado ?"L *lmacenamiento de 'oft>are ?"O /rocedimientos de administraci(n de configuraci(n ?"M Responsabilidad del soft>are P4*/-:*D 1%.% A29&(&:.43/&8( 2- P4*<6-93: - I(/&2-(.-: O<F-.&'*: 2- /*(.4*6D 10"1 'istema de *dministraci(n de /roblemas 10"2 Escalamiento de /roblemas 10"B 'eguimiento de /roblemas ! /istas de *uditor a 10"J *utorizaciones de accesos temporales ! de emergencia 10"N /rioridades de procesamiento de emergencia P4*/-:*D 11.% A29&(&:.43/&8( 2- D3.*: O<F-.&'*: 2- /*(.4*6D 11"1 /rocedimientos de /reparaci(n de Datos 11"2 /rocedimientos de *utorizaci(n de Documentos @uente 11"B Recopilaci(n de Datos de Documentos @uente 11"J +ane%o de Errores de Documentos @uente 11"N Retenci(n de Documentos @uente 11"L /rocedimientos de *utorizaci(n de Entrada de Datos 11"O C$equeos de E-actitud, 'uficiencia ! *utorizaci(n 11"M +ane%o de Errores en la Entrada de Datos 11"? 0ntegridad de /rocesamiento de Datos 11"10 Dalidaci(n ! Edici(n de /rocesamiento de Datos 11"11 +ane%o de Error en el /rocesamiento de Datos 11"12 +ane%o ! Retenci(n de 'alida de Datos 11"1B Distribuci(n de 'alida de Datos 11"1J <alanceo ! Conciliaci(n de Datos de 'alida 11"1N Re&isi(n de 'alida de Datos ! +ane%o de Errores 11"1L /ro&isiones de 'eguridad para Reportes de 'alida 11"1O /rotecci(n de 0nformaci(n 'ensible durante transmisi(n ! transporte 11"1M /rotecci(n de 0nformaci(n Cr tica a ser Desec$ada 11"1? *dministraci(n de *lmacenamiento 11"20 /er odos de Retenci(n ! Trminos de *lmacenamiento 11"21 'istema de *dministraci(n de la 1ibrer a de +edios 52

Captulo 2 Modelo Metodolgico Propuesto

11"22 Responsabilidades de la *dministraci(n de la 1ibrer a de +edios 11"2B Respaldo ! Restauraci(n 11"2J @unciones de Respaldo 11"2N *lmacenamiento de Respaldo 11"2L *rc$i&o 11"2O /rotecci(n de +ensa%es 'ensiti&os 11"2M *utenticaci(n e 0ntegridad 11"2? 0ntegridad de Transacciones Electr(nicas 11"B0 0ntegridad Continua de Datos *lmacenados P4*/-:*D 12.% A29&(&:.43/&8( 2- I(:.363/&*(-: O<F-.&'*: 2- /*(.4*6D 12"1 'eguridad @ sica 12"2 Discreci(n de las 0nstalaciones de Tecnolog a de 0nformaci(n 12"B Escolta de Disitantes 12"J 'alud ! 'eguridad del /ersonal 12"N /rotecci(n contra @actores *mbientales 12"L 'uministro 0ninterrumpido de Energ a P4*/-:*D 13.% A29&(&:.43/&8( 2- O=-43/&*(-: O<F-.&'*: 2- /*(.4*6D 1B"1 +anual de procedimientos de :peraci(n e 0nstrucciones 1B"2 Documentaci(n del /roceso de 0nicio ! de :tras :peraciones 1B"B Calendarizaci(n de Traba%os 1B"J 'alidas de la Calendarizaci(n de Traba%os Est,ndar 1B"N Continuidad de /rocesamiento 1B"L <it,coras de :peraci(n 1B"O Resguardo de formas especiales ! dispositi&os de salida 1B"M :peraciones Remotas DOMINIO MONITOREO P4*/-:*D 1.% M*(&.*4-* 2-6 P4*/-:* O<F-.&'*: 2- /*(.4*6D 1"1 Recolecci(n de Datos de +onitoreo 1"2 E&aluaci(n de Desempe)o 1"B E&aluaci(n de la 'atisfacci(n de Clientes 1"J Reportes #erenciales P4*/-:*D 2.% E'36,34 6* 32-/,32* 2-6 C*(.4*6 I(.-4(* O<F-.&'*: 2- /*(.4*6D 2"1 +onitoreo de Control 0nterno 2"2 :peraci(n oportuna del Control 0nterno 53

Captulo 2 Modelo Metodolgico Propuesto

2"B Reporte sobre el Ai&el de Control 0nterno 2"J 'eguridad de operaci(n ! aseguramiento de Control 0nterno P4*/-:*D 3.% O<.-(/&8( 2- A:->,439&-(.* I(2-=-(2&-(.O<F-.&'*: 2- /*(.4*6 B"1 Certificaci(n E *creditaci(n 0ndependiente de Control ! 'eguridad de los ser&icios de T0 B"2 Certificaci(n E *creditaci(n 0ndependiente de Control ! 'eguridad de pro&eedores e-ternos de ser&icios B"B E&aluaci(n 0ndependiente de la Efecti&idad de los 'er&icios de T0 B"J E&aluaci(n 0ndependiente de la Efecti&idad de pro&eedores e-ternos de ser&icios B"N *seguramiento 0ndependiente del Cumplimiento de le!es ! requerimientos regulatorios ! compromisos contractuales B"L *seguramiento 0ndependiente del Cumplimiento de le!es ! requerimientos regulatorios ! compromisos contractuales de pro&eedores e-ternos de ser&icios B"O Competencia de la @unci(n de *seguramiento 0ndependiente B"M /articipaci(n /roacti&a de *uditor a P4*/-:*D .% P4*'--4 A,2&.*453 I(2-=-(2&-(.O<F-.&'*: 2- /*(.4*6 J"1 Estatutos de *uditor a J"2 0ndependencia J"B Etica ! Est,ndares /rofesionales J"J Competencia J"N /laneaci(n J"L Desempe)o del Traba%o de *uditor a J"O Reporte J"M *cti&idades de 'eguimiento

Captulo - Propuesta de *rgani.acin de Auditora de /I

CAPITULO 3 PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE LA INFORMACIN El prop(sito final de este cap tulo es proponer la organizaci(n para el e%ercicio de la *uditor a de T0 en el +inisterio, as como los requerimientos de recursos $umanos ! capacitaci(n" /ara ello en primera instancia se repasan los elementos conceptuales del tema ! se retoma la situaci(n actual" 3.1 ASPECTOS CONCEPTUALES Y LEGALES * continuaci(n se retoman los elementos conceptuales que resultan ilustrati&os en cuanto a los temas de fondo del cap tulo" En primer lugar, es preciso puntualizar la diferenciaci(n desde el punto de &ista conceptual ! funcional en cuanto control interno inform,tico ! a la *uditor a de T0" 3.1.1 C*(.4*6 I(.-4(* I()*49;.&/* El control interno inform,tico controla diariamente que todas las acti&idades relacionadas con gesti(n de la T0 sean realizadas cumpliendo los procedimientos est,ndares ! normas fi%ados por la direcci(n de la organizaci(n, as como los requerimientos legales" Este suele desarrollarse por un (rgano de staff de la Direcci(n del Departamento de 0nform,tica" Como principales ob%eti&os podemos indicar4 Controlar que todas las acti&idades se realicen seg2n los procedimientos ! normas fi%ados, e&aluar su bondad ! asegurarse del cumplimiento de las normas legales" *sesorar sobre el conocimiento de las normas" Colaborar ! apo!ar el traba%o de la *uditor a de T0" Definir, implantar ! e%ecutar mecanismos ! controles para comprobar el logro de los grados adecuados del ser&icio inform,tico" Realizar en los diferentes sistemas ; centrales, departamentales, redes locales= ! entornos inform,ticos el control de las diferentes acti&idades operati&as" 55

Captulo - Propuesta de *rgani.acin de Auditora de /I

3.1.2 A,2&.*453 2- TI 1a *uditor a de T0 es el proceso realizado para recoger, agrupar ! e&aluar e&idencias para determinar si un sistema informatizado, sal&aguarda los acti&os, mantiene la integridad de los datos, lle&a a cabo eficazmente los fines de la organizaci(n ! recursos" El auditor e&al2a ! comprueba en determinados momentos del tiempo los controles ! procedimientos inform,ticos m,s comple%os, desarrollando ! aplicando tcnicas de auditor a inclu!endo el uso del soft>are" El auditor es responsable de re&isar e informar a la direcci(n de la organizaci(n sobre el dise)o ! funcionamiento de los controles implantados ! sobre la fiabilidad de la informaci(n suministrada" En el cuadro siguiente se muestran los ob%eti&os comunes ! las diferencias entre ambas funciones" CUADRO N* 3 SIMILITUDES Y DIFERENCIAS ENTRE LA UNIDAD DE CONTROL INTERNO DE TI Y AUDITORIA DE TI utiliza eficientemente los

CONTROL INTERNO DE TI SIMILITUDES

AUDITORIA DE TI

/ersonal 0nterno Conocimientos especializados en T0, &erificaci(n del cumplimiento de controles internos, normati&a ! procedimientos establecidos por la Direcci(n de 0nform,tica ! la Direcci(n #eneral para la gesti(n de T0" *n,lisis de un momento determinado" 0nforma a la Direcci(n #eneral de la organizaci(n" /ersonal interno o e-terno" Tiene cobertura sobre todos los componentes de T0 de la organizaci(n"

DIFERENCIAS

*n,lisis de los controles en el d a a d a" 0nforma a la Direcci(n del Departamento de 0nform,tica 'olo personal interno" *lcance de sus funciones 2nicamente sobre el Departamento de 0nform,tica

5!

Captulo - Propuesta de *rgani.acin de Auditora de /I

*uente+ /iattini +ario #" ! Del /eso, Emilio" *uditor a 0nform,tica4 3n Enfoque /r,ctico" +-ico D"@" Editorial *lfa :mega,1??M" /ag"B0

Es preciso recordar que nuestro inters es la *uditor a de T0, por lo que los aspectos relati&os a la organizaci(n ! funcionamiento del control interno quedan para otra in&estigaci(n" 3.1.3 N*493.&'3 :*<4- -'36,3/&8( 2- :&:.-93: 2- &()*493/&8( /*9=,.32*4&7323 1a Contralor a #eneral de la Rep2blica se $a manifestado e-pl citamente sobre el tema

mediante la norma B02"10"01 del 5+anual sobre Aormas Tcnicas de Control interno relati&as a los 'istemas de 0nformaci(n Computadorizados6 ;'0C=, emitido en no&iembre de 1??N, seg2n la cual4 5 1a 3nidad de *uditor a 0nterna e&aluar, el cumplimiento, la suficiencia ! la &alidez del control interno en los '0C"6 Complementariamente se indica que para cumplir con su competencia, la auditor a interna deber, planear ! e%ecutar auditor as de los sistemas de informaci(n computadorizados ! como parte de ellas, e&aluar el cumplimiento, la suficiencia ! la &alidez del sistema de control interno, teniendo como marco de referencia la normati&a e-puesta en el citado manual" Debe &erificar que los sistemas operen en forma eficiente ! eficaz ! que brinden informaci(n 2til ! confiable" Deber, utilizar las tcnicas ! $erramientas computadorizadas que considere con&enientes ! oportunas" 3.1. N*493.&'3 :*<4- 63: 3,2&.*453: &(.-4(3: 1a 1e! AROJ2M 51e! :rg,nica de la Contralor a #eneral de la Rep2blica6 en sus art culos L1 ! L2, se)ala entre otras cosas, que cada su%eto componente de la Hacienda /2blica tendr, una auditor a interna la cual deber, contar con los recursos necesarios para el cumplimiento de sus funciones" *dicionalmente, las auditor as internas e%ercer,n sus funciones con independencia funcional ! de criterio, respecto del %erarca ! los dem,s (rganos de la administraci(n acti&a" Depender,n org,nicamente del %erarca unipersonal o colegiado cuando ste e-ista, debiendo organizarse ! funcionar conforme lo establece el +anual para el E%ercicio de la *uditor a 0nterna ! cualesquiera otras disposiciones emitidas por el (rgano contralor"

57

Captulo - Propuesta de *rgani.acin de Auditora de /I

3.1.5 P-4)&6 2-6 A,2&.*4 2- T-/(*6*>53 2- I()*493/&8( De conformidad con la informaci(n recopilada en las instituciones consideradas en el diagn(stico realizado, as como los criterios de diferentes autores consultados, especialmente *rauz, +anuel ! /iattini, +ario #, los conocimientos ! preparaci(n necesaria para e%ecutar la funci(n de auditor a de sistemas a cabalidad, son los siguientes4L

El auditor debe nutrirse de conceptos de tres ,reas4

la auditor a, la inform,tica ! la

administraci(n para estar en capacidad de e&aluar la funci(n inform,tica"

Con respecto a la auditor a deber, conocer toda la filosof a del control en la cual sta se
fundamenta" 1as tcnicas ! procedimientos de traba%o que se utilizan para e%ecutar una auditor a en el ,rea inform,tica difieren mu! poco de las que pueden utilizarse en el campo de la auditor a financiero9contable" /or esta raz(n, la forma de preparar los programas de auditor a, los papeles de traba%o ! los informes deber,n a%ustarse a las tcnicas ! procedimientos aplicados en el campo de la auditor a"

Conocimientos generales sobre la teor a general de riesgos ! controles, sobre el sistema de


control interno de las organizaciones ! sobre riesgos ! controles aplicables en sistemas automatizados, son parte de los conocimientos que deber, absorber de esta ,rea"

De la inform,tica requiere obtener conocimientos generales sobre tcnicas de an,lisis !


dise)o e implantaci(n de sistemas, sobre bases de datos ! telecomunicaciones, de tcnicas ! lengua%es de programaci(n, de los sistemas operati&os, del 5$ard>are6 ! 5soft>are6 disponibles en la empresa donde labora, ofim,tica, comercio electr(nico, redes locales, seguridad f sica, encriptaci(n de datos, operaciones ! planificaci(n inform,tica, efecti&idad de las operaciones ! rendimiento de los sistemas"

De la administraci(n requiere conocer los conceptos tradicionales de planeaci(n,


organizaci(n, direcci(n ! control"
5

Arau!, #anuel. Auditor$a de 1istemas7 por qu-C. ;ni(ersidad 'nternacional de las Am-ricas, 2995..iattini, #ario G " Del .eso, Emilio. Auditor$a 'n*orm0tica7 un en*oque pr0ctico. Al*aomega. #-4ico. 299>

51

Captulo - Propuesta de *rgani.acin de Auditora de /I

Este auditor requiere contar con $abilidades para e-presarse con claridad tanto en forma
oral como escrita ! necesita de una mente cr tica que le permita analizar ! cuestionar, con sumo cuidado, las diferentes acti&idades que e&al2a" Debe sumar a esto un conocimiento amplio del tipo de organizaci(n en la que realiza su labor que le permita ofrecer una asesor a constructi&a" /ara e%ercer sus labores cabalmente en cada una de estas ,reas el grado de conocimiento que debe tener de cada uno de los aspectos mencionados anteriormente &ar a en cuanto a su profundidad" *s , un auditor que se dedique a e&aluar la funci(n inform,tica requerir, conocimientos profundos en administraci(n" /or su parte, quien participe en el desarrollo de sistemas necesitar, conocer mu! bien de las tcnicas de an,lisis, dise)o e implantaci(n de sistemas, mientras que para el auditor dedicado a e&aluar sistemas en producci(n el conocimiento que tenga de los riesgos ! controles en sistemas automatizados deber, ser mu! s(lido" * todos estos conocimientos el auditor debe agregar un ingrediente mu! importante4 las relaciones $umanas" /ara lograr la confianza de los funcionarios auditados ! que las recomendaciones que se emitan sean bien recibidas, cualidades tales como el tacto, la empat a, la discreci(n, el respeto ! el buen trato, as como una comunicaci(n directa, franca ! cordial son esenciales para que el auditor logre aceptaci(n ! $aga que su traba%o sea fruct fero" 3.1.! P4&(/&=&*: =343 -6 EF-4/&/&* 2- 63 A,2&.*4&3 2- TI * continuaci(n se presenta un con%unto de principios para el desarrollo de la *uditor a de T0, de conformidad con el enfoque presentado por .orge /az 3ma)aO, Estos toman elementos de las normas morales ! refle%an el sentir ma!oritario de los profesionales a que &an dirigidos, en cuanto a lo que se considera como un adecuado comportamiento tico profesional, sir&iendo de reprobaci(n contrarias a lo regulado en los mismos"
7

moral de aquellas conductas

.a! ;ma/a, ,orge.Deontolog$a del Auditor 'n*orm0tico " C)digos Eticos. En .iattini, #ario G. + Del .eso Emilio. Auditor$a 'n*orm0tica7 un en*oque pr0ctico. #-4ico. Al*aomega. 299>

5$

Captulo - Propuesta de *rgani.acin de Auditora de /I

Principio de 'eneficio del auditado4 El auditor deber, &er c(mo se puede conseguir la m,-ima eficacia ! rentabilidad de los medios inform,ticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema ! el estudio de las soluciones m,s id(neas seg2n los problemas detectados en el sistema inform,tico" En ning2n caso debe realizar el traba%o ba%o el prisma del propio beneficio sino que por el contrario su acti&idad debe estar en todo momento orientada a sacar el m,-imo pro&ec$o de su cliente" Principio de capacidad4 El auditor debe estar plenamente capacitado para la realizaci(n de la auditor a encomendada, m,-ime teniendo en cuenta que en la ma!or a de los casos, dada su especializaci(n, a los auditados en algunos casos le puede ser e-tremadamente dif cil &erificar sus recomendaciones ! e&aluar correctamente la precisi(n de las mismas" Principio de cautela4 El auditor debe en todo momento ser consciente de que sus recomendaciones deben estar basadas en la e-periencia contrastada que se le supone tiene adquirida, e&itando que por un e-ceso de &anidad, el auditado se embarque en pro!ectos de futuro fundamentados en simples intuiciones sobre la posible e&oluci(n de las nue&as tecnolog as de la informaci(n" Principio de comportamiento profesional4 El auditor tanto en sus relaciones con el auditado como con terceras personas deber,, en todo momento, actuar conforme a las normas, impl citas o e-pl citas de dignidad de la profesi(n ! de correcci(n en el trato profesional" Principio de concentracin en el tra'ajo4 En su l nea de actuaci(n el auditor deber, e&itar que un e-ceso de traba%o supere las posibilidades de concentraci(n ! precisi(n en cada una de las tareas a l encomendadas, !a que la saturaci(n ! dispersi(n de traba%os suele a menudo, si no est, debidamente controlada, pro&ocar la conclusi(n de los mismos sin las debidas garant as de seguridad" Principio de confian.a 4 El auditor deber, facilitar e incrementar la confianza del auditado con base en una actuaci(n de transparencia en su acti&idad profesional, sin alardes cient fico tcnicos, que por su incomprensi(n puedan restar credibilidad a los resultados obtenidos ! a las directrices aconse%adas de actuaci(n" /ara fortalecer la confianza mutua !%

Captulo - Propuesta de *rgani.acin de Auditora de /I

se requiere por ambas partes una disposici(n de di,logo sin ambigCedades que permita aclarar las dudas que, a lo largo de la auditor a, pudieran surgir sobre cualquier aspecto que pudieran resultar conflicti&os, todo ello con la garant a del secreto profesional que debe regir en su relaci(n" Principio de criterio propio4 El auditor durante la e%ecuci(n de la auditor a deber, actuar con criterio propio ! no permitir que este est subordinado al de otros profesionales, a2n de reconocido prestigio, que no coincidan con el mismo" Principio de discrecin4 El auditor deber, en todo momento mantener una cierta discreci(n en el di&ulgaci(n de datos, aparentemente inocuos, que se $a!an puesto de manifiesto durante la e%ecuci(n de la auditor a" Principio de economa" El auditor deber, proteger en la medida de sus conocimientos los derec$os econ(micos del auditado, e&itando generar gastos innecesarios durante el e%ercicio de su acti&idad" En las recomendaciones ! conclusiones realizadas con base en su traba%o deber, asimismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados" Principio de formacin continuada" Este principio ntimamente relacionado al principio de capacidad ! &inculado a la continua e&oluci(n de las tecnolog as de la informaci(n ! las metodolog as relacionadas con las mismas, impone a los auditores el deber ! la responsabilidad de mantener una permanente actualizaci(n de los conocimientos ! mtodos a fin de adecuarlos a las demandas ! las e-igencias de la competencias de la oferta" Principio de fortalecimiento ( respeto de la profesin4 1a defensa de los auditados pasa por el fortalecimiento de la profesi(n de los auditores inform,ticos, lo que e-ige un respeto por el e%ercicio globalmente considerado, de la acti&idad desarrollada por los mismos ! un comportamiento acorde con los requisitos e-igibles para el id(neo cumplimiento de la finalidad de las auditor as" Deber, promo&er el respeto mutuo ! la no confrontaci(n entre compa)eros"

!1

Captulo - Propuesta de *rgani.acin de Auditora de /I

Principio de independencia4 +u! relacionado con el de criterio propio, obliga al auditor a e-igir una total autonom a e independencia en su traba%o, condici(n imprescindible para permitirle actuar libremente seg2n su leal saber ! entender" Principio de informacin suficiente4 :bliga al auditor a ser plenamente de su obligaci(n de aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado, informaci(n tanto sobre todos ! cada uno de los puntos relacionados con la auditor a que pueden tener inters para l, como sobre las conclusiones base para llegar dic$as conclusiones" Principio de integridad moral4 Este principio, in$erentemente ligado a la dignidad de persona, obliga al auditor a ser $onesto, leal ! diligente en el desempe)o de su misi(n, a a%ustarse a las normas morales de %usticia ! probidad ! a e&itar participar, &oluntaria o inconscientemente en cualesquiera actos de corrupci(n personal o de terceras personas" Principio de legalidad" En todo momento el auditor deber, utilizar sus conocimientos para facilitar a los auditados o a terceras personas, la contra&enci(n de la legalidad &igente" En ning2n caso consentir, ni colaborar, en la desacti&aci(n o eliminaci(n de dispositi&os de seguridad ni intentar, obtener los c(digos o cla&es de acceso a sectores restringidos de informaci(n generados para proteger los derec$os, obligaciones o intereses de terceros" Principio de la no descriminacin) El auditor en su actuaci(n pre&ia, durante ! posterior a la auditor a, deber, e&itar inducir, participar, o aceptar situaciones discriminatorias de ning2n tipo, debiendo e%ercer su acti&idad profesional sin pre%uicios de ninguna clase ! con independencia de las caracter sticas personales, sociales o econ(micas de sus clientes" Principio de no injerencia) El auditor, dada la incidencia que puede deri&arse de su tarea, deber, e&itar in%erencias en los traba%os de otros profesionales, respetar su labor ! eludir $acer comentarios que pudieran interpretarse como despreciati&os de la misma o pro&ocar un cierto desprestigio de su cualificaci(n profesional" Principio de precisin) Este principio e-ige del auditor la no conclusi(n de su traba%o $asta estar con&encido en la medida de lo posible, de la &iabilidad de sus propuestas, debiendo !2 a las que $a llegado, e igualmente informarle sobre la acti&idad desarrollada durante la misma que $a ser&ido de

Captulo - Propuesta de *rgani.acin de Auditora de /I

ampliar el estudio del sistema inform,tico cuanto considere necesario sin agobios de plazos, siempre que se cuente con la aquiescencia del auditado, $asta obtener dic$o con&encimiento" Principio de responsa'ilidad) El auditor deber,, como elemento intr nseco de todo comportamiento profesional, responsabilizarse de lo que $aga, diga o aconse%e, sir&iendo esta forma de actuar como cortapisa de in%erencias e-traprofesionales" Principio de secreto profesional) 1a confidencia ! la confianza son caracter sticas esenciales de las relaciones entre el auditor ! el auditado e imponen al primero la obligaci(n de guardar en secreto los $ec$os e informaciones que conozca en el e%ercicio de su acti&idad profesional" 'olamente por imperati&o legal podr, decaer esa obligaci(n" Principio de servicio p0'lico) 0ncita al auditor a $acer lo que est en su mano para e&itar da)os sociales como los que pueden producirse en los casos en que, durante la e%ecuci(n de la auditor a descubra elementos de soft>are da)inos ;&irus inform,ticos=, que puedan propagarse a otros sistemas inform,ticos diferentes del auditado" Principio de veracidad) El auditor en sus comunicaciones con el auditado deber, tener siempre presente la obligaci(n de asegurar la &eracidad de sus manifestaciones con los l mites impuestos por los deberes de respeto, correcci(n ! secreto profesional, En tanto stos principios no estn plenamente asumidos, como configuradores de la dimensi(n tica de la profesi(n, puede apelarse a los comportamientos morales indi&iduales" En nuestro caso los $emos incluido por considerarlos de utilidad para la conformaci(n de criterios orientadores sobre la manera en que la *uditor a de T0 debe orientar sus actuaciones" 3.2 ORGANIZACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA 3.2.1 A(.-/-2-(.-: 1a Direcci(n #eneral de *uditor a 0nterna del +inisterio de Hacienda fue creada en el a)o 1?M? con el nombramiento de la Directora en ma!o de ese a)o, posteriormente con la publicaci(n del reglamento de organizaci(n ! funciones, mediante el Decreto E%ecuti&o Ao"1?0LO 8 H !3

Captulo - Propuesta de *rgani.acin de Auditora de /I

publicado el J de %ulio de 1?M?, se formaliza la e-istencia de la unidad" 'e le concibe como una dependencia asesora del +inistro de Hacienda ! org,nicamente dependiente de ste" En el a)o 1??0 se nombraron nue&os funcionarios ! gradualmente se fue consolidando el equipo $umano de la direcci(n, que lleg( a ser de B0 puestos en el a)o 1??L, para posteriormente disminuir como resultado de la pol tica de reducci(n de puestos en el #obierno, $asta llegar a los 1M puestos que actualmente la conforman" En el a)o 2000 se aprob( un nue&o +anual 0nstitucional de Clases, que entre otros aspectos respondi( a la !a citada pol tica de reducci(n de puestos como tambin a la reforma general del +inisterio con una marcada tendencia al uso de nue&a tecnolog a ! sistemas de informaci(n computadorizados" De esta manera la propuesta de reestructuraci(n consider( como e%es los siguientes elementos4 /lanilla reducida de alto ni&el Tecnolog a a&anzada Capacitaci(n adecuada permanente *ctualizaci(n profesional permanente Contrataci(n de ser&icios de auditor a por e-cepci(n"M

El proceso de reforma en sentido estricto est, a2n en desarrollo, $abindose logrado a la fec$a a&ances importantes, entre los que destacan4
>

Reubicaci(n de funcionarios4 1??O91??M Definici(n de nue&os perfiles de puestos, elaboraci(n Reasignaci(n de puestos" Compra de equipo de c(mputo +ane%o de soft>are de oficina 'er&icio de 0nternet ! correo electr(nico4 a partir de febrero del 2000 3n sitio en la /,gina SE< del +inisterio, a partir de agosto del 2000 ! aprobaci(n del +anual

0nstitucional de Clases de la Direcci(n #eneral de *uditor a 0nterna

Direcci)n General de Auditor$a 'nterna. .ropuesta de @e*orma de la Direcci)n General de Auditor$a 'nterna. Documento 'nterno presentado al #inistro de Hacienda en &ulio de 2995.

Captulo - Propuesta de *rgani.acin de Auditora de /I

3.2.2 O<F-.&'* G-(-436 2- 63 A,2&.*453 I(.-4(3 El ob%eti&o general de la *uditor a 0nterna es prestar un ser&icio profesional de asesor a constructi&a ! de protecci(n a la *dministraci(n, proporcion,ndole en forma oportuna informaci(n, an,lisis ! recomendaciones pertinentes para que alcance sus metas ! ob%eti&os con eficiencia ! econom a" 3.2.3 M&:&8(J V&:&8( ? V36*4-: 1a misi(n $a sido establecida en los siguientes trminos4 5/restar un ser&icio de asesor a profesional al +inisterio de Hacienda, para el logro de sus metas ! ob%eti&os con eficiencia ! econom a, proporcion,ndole, en forma oportuna, informaci(n, an,lisis ! recomendaciones, a fin de colaborar en asegurar a la sociedad costarricense los recursos necesarios para satisfacer sus necesidades sociales6"? 1a Direcci(n #eneral de *uditor a 0nterna $a definido su &isi(n de la siguiente manera4 51a &isi(n de la *uditor a 0nterna se fundamenta en su desarrollo ! consolidaci(n como parte de la estructura de control interno del +inisterio" Con capacidad para formular recomendaciones &iables que proporcionen me%oras sustanciales para el logro de la misi(n del +inisterio" *spiramos a una auditor a de e-celencia con una clara orientaci(n $acia los usuarios, con personal profesional responsable, de gran m stica e identificado con su misi(n ! la del ministerio7 con tecnolog as modernas ! apropiadas a las tareas que les corresponde e%ecutar ! con recursos materiales suficientes para su desempe)o" Definimos la auditor a 0nterna como una unidad asesora al ser&icio del ministerio para la sal&aguarda de los recursos6" ? Como complemento, en octubre del a)o 2000 los funcionarios de la Direcci(n #eneral de *uditor a 0nterna proclamaron los siguientes &alores compartidos 4 Amor 4 nuestra labor diaria se fundamenta en el amor personal, a la familia, al traba%o, a los compa)eros ! a la instituci(n"
9 9

D%tenida de la p0gina we% del #inisterio7 www.hacienda.go.cr

!5

Captulo - Propuesta de *rgani.acin de Auditora de /I

E1celencia4 todo lo que realizamos lo $acemos de la me%or forma" Integridad4 como personas ! funcionarios p2blicos nos e-igimos integridad total en el diario &i&ir" %a'idura4 nuestras actuaciones siempre ser,n guiadas por el conocimiento, el pensamiento, la creati&idad, la percepci(n ! la raz(n" Cooperacin4 contribuimos con la uni(n ! estabilidad familiar" 'omos un equipo de apo!o ! asesor a a la *dministraci(n para el logro de los ob%eti&os institucionales"

3.2. F,(/&*(-: El art culo LB de la 1e! :rg,nica de la Contralor a #eneral de la Rep2blica ;1e! Ao" OJ2M del J de no&iembre 1??J=, establece en trminos generales las competencias de las auditor as internas4 a= 5Controlar ! e&aluar el sistema de control interno correspondiente ! proponer las medidas correcti&as" b= Cumplir con las normas tcnicas de auditor a, las disposiciones emitidas por la Contralor a #eneral de la Rep2blica ! las del ordenamiento %ur dico" c= Realiza auditor as ! estudios especiales en relaci(n con cualquiera de los (rganos su%etos a su %urisdicci(n institucional" d= *sesorar en materia de su competencia al %erarca del cual depende e igualmente ad&ertir a los (rganos pasi&os que ellas fiscalizan sobre las posibles consecuencias de determinadas conductas o decisiones cuando sean de su conocimiento" e= *utorizar mediante raz(n de apertura los libros de contabilidad ! actas que legal o reglamentariamente deben lle&ar los (rganos su%etos a su %urisdicci(n institucional" f= 1as dem,s que contemplan las normas del ordenamiento de control ! fiscalizaci(n ! los manuales sobre la materia emitidos por la Contralor a #eneral de la Rep2blica"6 /ara el caso de la *uditor a 0nterna del +inisterio, el decreto Ao" 1?0LO 9 H ! sus reformas le establece algunas funciones, entre las que destacan4 K*rt culo 1JT9/ara el cumplimiento de sus deberes, la auditor a interna tendr, las siguientes funciones4

!!

Captulo - Propuesta de *rgani.acin de Auditora de /I

a=

Realizar auditor as o estudios especiales de auditor a, de acuerdo con las normas tcnicas de auditor a ! otras disposiciones dictadas por la Contralor a #eneral de la Rep2blica ! con las normas de auditor a generalmente aceptadas en cuanto fueren aplicadas, en cualesquiera unidades administrati&as del +inisterio, en el momento que considere oportuno"

b=

E&aluar en forma regular el sistema de control interno en relaci(n con los aspectos contables, financiero ! administrati&o, con el fin de determinar su cumplimiento, suficiencia ! &alidez"

c=

Derificar que los bienes patrimoniales se $allen debidamente controlados, contabilizados, protegidos contra prdida, menoscabo, mal uso o desperdicio e inscritos a nombre del +inisterio, cuando se trate de bienes inmuebles su%etos a ese requisito"

d=

Derificar que los recursos financieros, materiales ! $umanos de que dispone el +inisterio, se $a!an utilizado por la administraci(n con eficiencia, econom a ! eficacia"

e=

E&aluar el contenido informati&o, la oportunidad ! la confiabilidad de la informaci(n contable, financiera, administrati&a ! de otro tipo producida en el +inisterio"

f=

E&aluar los informes que prepara la administraci(n sobre la eficiencia, econom a ! eficacia con que se $an utilizado los recursos, en el cumplimiento de metas ! ob%eti&os"

g=

Derificar el cumplimiento de las disposiciones legales ! reglamentarias, de los ob%eti&os ! metas, de las pol ticas, de los planes, de los programas ! de los procedimientos financieros ! administrati&os que rigen en el +inisterio"

$=

Re&isar

en

forma

posterior

las

operaciones

contables,

financieras

administrati&as, los registros, los informes ! los estados financieros cuando lo considere pertinente, de acuerdo con su plan de auditor a" i= %= Efectuar la e&aluaci(n posterior a la e%ecuci(n ! liquidaci(n presupuestaria del +inisterio" Realizar la e&aluaci(n de los sistemas de procesamiento electr(nico de informaci(n del +inisterio ! de la informaci(n producida por tales sistemas, de acuerdo con disposiciones generalmente aceptadas"6

!7

Captulo - Propuesta de *rgani.acin de Auditora de /I

3.2.5 O4>3(&73/&8( 1a organizaci(n de la Direcci(n #eneral de *uditor a 0nterna fue aprobada por el +inisterio de /lanificaci(n ! /ol tica Econ(mica en diciembre de 1?M?, conforme sta se distingue la Direcci(n #eneral ! dos ,reas funcionales4 *dministraci(n Tributaria ! *dministrati&a @inanciera En concordancia con la organizaci(n del +inisterio, el *rea de *uditor a de *dministraci(n Tributaria, le corresponde al *rea de 0ngresos, donde se ubican las siguientes dependencias4 Despac$o del Diceministro de 0ngresos Direcci(n #eneral de *duanas Direcci(n #eneral de Tributaci(n Direcci(n #eneral de Hacienda /olic a de Control @iscal" Tribunal @iscal *dministrati&o Tribunal *duanero Aacional"

/or su parte, el *rea de *uditor a *dministrati&a @inanciera atiende el *rea de Egresos, que comprende las siguientes dependencias4 Despac$o del +inistro Despac$o del Diceministro de Egresos :ficinas *sesoras :ficial a +a!or Direcci(n #eneral *dministrati&a ! @inanciera Direcci(n .ur dica Direcci(n #eneral de 0nform,tica Direcci(n de Crdito /2blico Direcci(n #eneral de /resupuesto Aacional Contabilidad Aacional Tesorer a Aacional /ro&eedur a Aacional" !1

Captulo - Propuesta de *rgani.acin de Auditora de /I

1a estructura funcional de la Direcci(n #eneral de *uditor a 0nterna se presenta a continuaci(n4 ESTRUCTURA .UNCIONAL DE LA DIRECCI7N ENERAL DE AUDITORBA INTERNAF #INISTERIO DE 8ACIENDA A >u$io 2::1

DIRECCION GENERAL

AREA DE AUDITORIA ADMINISTRACIN TRI"UTARIA

AREA DE AUDITORIA ADMINISTRATIVA FINANCIERA

3.2.! R-/,4:*: H,93(*: 1a Direcci(n #eneral de *uditor a 0nterna cuenta con una plantilla de 1M cargos, seg2n se muestra en el siguiente cuadro" CUADRO N*. CARGOS DE LA DIRECCION GENERAL DE AUDITORIA INTERNA A JULIO 2%%1

C34>*: O/,=32*: C34>*: '3/3(.-: C34>* Director #eneral de *uditor a 0nterna 'ubdirector #eneral de *uditor a 0nterna Coordinador #eneral de *uditor a 0nterna *uditor Encargado *uditor !$ 1 1 1 J B 0 0 1 2 1 T*.36 1 1 2 L J

Captulo - Propuesta de *rgani.acin de Auditora de /I

C34>*: O/,=32*: C34>*: '3/3(.-: C34>* 0nform,tico de *uditor a 0nterna Tcnico de *uditor a 0nterna *sistente *dministrati&o de *uditor a 0nterna Total 0 1 1 12 2 0 0 L T*.36 2 1 1 1M

@uente4 +anual de Cargos de la Direcci(n #eneral de *uditor a 0nterna" *gosto 1??? e informaci(n sobre su ocupaci(n suministrado por la 3nidad Tcnica de Recursos Humanos"

Conforme lo e-puesto en el cuadro anterior, en este momento se cuenta con 12 funcionarios, por lo que se tienen L puestos &acantes, de los cuales 2 corresponden a bac$illeres en el ,rea de inform,tica o computaci(n ! los otros J son del ,rea de administraci(n" *dem,s se nos inform( que de los 12 actuales, O est,n en propiedad ! N interinos, lo que significa que deben sacarse a concurso un total de 11 puestos" De acuerdo con el +anual 0nstitucional de Clases de la Direcci(n #eneral de *uditor a 0nterna, como requisito espec fico de capacitaci(n para los cargos de Coordinador #eneral, *uditor Encargado, 0nform,tico de *uditor a 0nterna ! *uditor se establece la auditor a de sistemas" Ao obstante lo indicado, de los funcionarios actuales s(lo un *uditor Encargado $a recibido capacitaci(n en auditor a de sistemas por parte del +inisterio ! el Coordinador #eneral obtu&o por sus propios medios la +aestr a en *uditor a de /rocesamiento Electr(nico de Datos" 3.3 PROPUESTA HUMANOS * continuaci(n se presenta la propuesta de organizaci(n de la *uditor a de T0 para el +inisterio, &isualizada de conformidad con lo !a planteado en cuanto al modelo metodol(gico operati&o ! atendiendo lo que ser a una primera etapa en el desarrollo de funci(n" 1a propuesta distingue el ni&el institucional, es decir, el planteamiento sobre la ubicaci(n de la *uditor a de T0 como parte de la estructura org,nica del +inisterio, ! por otra parte, la organizaci(n para la unidad que asumir, el desarrollo de estas competencias DE ORGANIZACIN ? REQUERIMIENTOS DE RECURSOS

7%

Captulo - Propuesta de *rgani.acin de Auditora de /I

3.3.1 O4>3(&73/&8( 2- 63 A,2&.*453 2- TI * ni&el institucional De conformidad con la normati&a &igente, la naturaleza de las funciones ! la estructura org,nica del +inisterio, es indudable que el desarrollo de las competencias en cuanto a la *uditor a de T0 corresponde a la Direcci(n #eneral de *uditor a 0nterna" *l respecto es preciso recordar que por la naturaleza de la funci(n de auditor a, uno de sus principios fundamentales es la independencia ! ob%eti&idad de criterio para lo cual resulta con&eniente que no pertenezca a la unidad responsable de establecer los controles" En ese sentido, resulta ilustrati&o lo indicado por .os +ar a #onz,lez4 51a funci(n de Control 0nform,tico 0ndependiente deber a ser en primer lugar independiente del departamento controlado" Ua que 5 por segregaci(n de funciones la inform,tica no deber a controlarse a s misma6" /artiendo de la base de un concepto en que la seguridad de sistemas abarca un campo muc$o ma!or de lo que es la seguridad l(gica, podr amos decir que4 9El *rea 0nform,tica monta los procesos inform,ticos seguros" 9El control interno monta los controles" 91a *uditor a 0nform,tica e&al2a el grado de control6104 De acuerdo con lo e-puesto, e-isten claras diferencias entre las funciones de control inform,tico ! las de auditor a inform,tica ;*uditor a de T0 para nuestros efectos=" En concordancia con lo indicado, es ilustrati&a la siguiente afirmaci(n del tratadista Rafael Ruano Diez4 5Esta concepci(n se basa en el nacimiento $ist(rico de la auditor a inform,tica ! en la dificultad de separar el elemento inform,tico de lo que es la auditor a

2B

Gon!0le!, E. ,os- #ar$a. #etodolog$as de Control 'nterno, 1eguridad " Auditor$a 'n*orm0tica. En .iattini, #ario " del .eso Emilio. Dp cit. .ag. 5>

71

Captulo - Propuesta de *rgani.acin de Auditora de /I

operati&a ! financiera, al igual que lo es separar la operati&a de una empresa de los sistemas de informaci(n que la soportan6 11 @inalmente debemos tener presente que la normati&a de la Contralor a #eneral de la Rep2blica es de acatamiento obligatorio, ! lo prescrito en ese particular es congruente con lo propuesto" * ni&el interno Habindose establecido la *uditor a de T0 en la Direcci(n #eneral de *uditor a 0nterna, es preciso plantearnos como se integra esta funci(n dentro de la estructura funcional de dic$a Direcci(n" 1a definici(n de una propuesta sobre este particular no es tan simple, especialmente por la !a e-puesta dificultad de separar en muc$os casos la auditor a de sistemas de la auditor a operacional, as como por la concepci(n general de la estructura funcional actual, orientada por el concepto de auditor a integral" Con el prop(sito de llegar a un planteamiento espec fico congruente con el enfoque metodol(gico propuesto en el cap tulo anterior, a continuaci(n se precisan las consideraciones que estimamos son el fundamento para la propuesta a presentar4 El modelo metodol(gico clasifica los ob%eti&os de control en cuatro dominios funcionales4 /laneaci(n ! :rganizaci(n, *dquisici(n e 0mplementaci(n, Entrega de 'er&icios ! 'oporte, ! +onitoreo" En &irtud del conocimiento del negocio que logran los auditores ubicados en las ,reas funcionales de *dministraci(n Tributaria ! *dministrati&a @inanciera, la e&aluaci(n de los procesos relacionados con el desarrollo de sistemas de informaci(n as como la e&aluaci(n de sistemas en operaci(n, ubicados en los dominios *dquisici(n e 0mplementaci(n ! en el de Entrega de 'er&icios ! 'oporte, respecti&amente, resulta con&eniente que sean atendidos por los auditores de las respecti&as ,reas funcionales"

22

@uano Die!, @a*ael. Drgani!aci)n del Departamento de Auditor$a 'n*orm0tica. .ag 2B9. En .iattini, #ario " del .eso Emilio. Dp cit.

72

Captulo - Propuesta de *rgani.acin de Auditora de /I

1a necesidad de especializaci(n, en un campo en el que mantenerse al d a con los a&ances de la tecnolog a demanda dedicaci(n ! esfuerzos cada &ez ma!ores" 'i se quiere tener capacidad de generar &alor agregado en cada una de las e&aluaciones, deber, tenerse suficiente conocimiento tcnico ! una actitud de adecuaci(n a los cambios cada &ez m,s acelerados en el campo de la T0" 1a con&eniencia de que la gesti(n de T0 sea e&aluada con una &isi(n integral ! no solo de las ,reas funcionales ;*dministraci(n Tributaria ! *dministrati&a @inanciera=" En ese mismo sentido, algunas tareas de la gesti(n de la T0, como la planeaci(n estratgica ! ciertos ser&icios espec ficos como correo electr(nico, p,gina >eb, $erramientas colaborati&as, etc, tienen una naturaleza institucional" 1a necesidad de que la misma Direcci(n cuente con un apo!o tcnico para la gesti(n de la inform,tica en auditor a, es decir, para el soporte ! potenciaci(n del uso de las $erramientas inform,ticas que se introduzcan en apo!o a la labor de la auditor a ! la administraci(n de los recursos disponibles"

En ese sentido se propone la creaci(n de una tercera ,rea funcional denominada *rea de *uditor a de Tecnolog a de la 0nformaci(n, que ser, la responsable de atender las funciones ! responsabilidades propias de esta funci(n de conformidad con el modelo operati&o metodol(gico !a presentado" *dicionalmente, se recomienda que la e&aluaci(n de sistemas en operaci(n corresponda a las ,reas funcionales seg2n el sistema de que se trate, debiendo tambin pre&erse que para la asesor a al desarrollo de sistemas se puedan conformar equipos integrados por funcionarios del ,rea espec fica ! del ,rea de *uditor a de T0" /ara efectos de la conformaci(n de estos equipos ! asignar la responsabilidad del liderazgo de los mismos se deber a considerar la naturaleza del sistema in&olucrado, entendiendo que en la medida en que sea un sistema de ,mbito institucional ser, con&eniente que el liderazgo corresponda al funcionario del *rea de *uditor a de T0" 1o propuesto implicar a que los auditores de las ,reas de *dministraci(n Tributaria ! *dministrati&a @inanciera deber,n tener conocimientos en materia de auditor a de la T0, que les permita desarrollar sus funciones ! traba%ar en el entorno de las tecnolog as de la informaci(n 73

Captulo - Propuesta de *rgani.acin de Auditora de /I

dentro de la instituci(n" 1os integrantes del *rea de *uditor a de T0 tendr an con respecto a stos una funci(n de apo!o ! actualizaci(n" * continuaci(n se &isualiza la organizaci(n de la Direcci(n #eneral de *uditor a 0nterna de conformidad con la propuesta presentada"

ESTRUCTURA .UNCIONAL PROPUESTA PARA LA DIRECCI7N ENERAL DE AUDITORBA INTERNAF #INISTERIO DE 8ACIENDA

DIRECCION GENERAL

AREA DE AUDITORIA ADMINISTRACIN TRI"UTARIA

AREA DE AUDITORIA DE TECNOLOGA DE LA INFORMACION

AREA DE AUDITORIA ADMINISTRATIVA FINANCIERA

Captulo - Propuesta de *rgani.acin de Auditora de /I

3.3.2 R-/,4:*: H,93(*:

1a determinaci(n de una plantilla ideal para un departamento espec fico plantea retos mu! importantes, cu!a atenci(n demanda esfuerzos de orden tcnico que e-ceden nuestras posibilidades" En efecto, definir la cantidad ideal de funcionarios que deber a tener el *rea de *uditor a de T0, implicar a realizar un estudio de cargas de traba%o que supera nuestras capacidades tcnicas ! los ob%eti&os mismos de esta in&estigaci(n, requiriendo para ello adem,s &alorar ! profundizar en aspectos como los siguientes4 *mbiente de control de la instituci(n" 'istemas de informaci(n en operaci(n ! en desarrollo ! una pro!ecci(n de los mismos" 'ituaci(n de otras instituciones p2blicas" Capacitaci(n ! e-periencia de los auditores de las otras ,reas de la auditor a" Rendimientos o medidas de producti&idad promedio de los auditores" Disponibilidad de $erramientas automatizadas para lle&ar a cabo las auditor as" Requerimientos de apo!o tcnico para la adecuada utilizaci(n de la T0 en la auditor a" /osibilidad de contrataci(n e-terna de ser&icios de *uditor a de T0" /ol ticas de #obierno ! disposiciones internas en cuanto a creaci(n de plazas"

3na adecuada &aloraci(n de todos estos elementos e-cede nuestras posibilidades" Con el prop(sito de plantear una propuesta lo m,s razonable posible con la informaci(n disponible a la fec$a, independientemente de que la misma pueda ser a%ustada en la medida en que se disponga de elementos adicionales, a partir de los siguientes elementos se presentar, un planteamiento4 75

Captulo - Propuesta de *rgani.acin de Auditora de /I

'ituaci(n de las instituciones consideradas en el diagn(stico en cuanto a la relaci(n auditores de T0 con respecto al total de la auditor a interna4 Compa) a Aacional de @uerza ! 1uz M de 1? puestos, <anco Central de Costa Rica M de B0, <anco Aacional L de OL" Disponibilidad de dos plazas de /rofesional 0nform,tico de *uditor a 0nterna actualmente &acantes en la D#*0" Restricciones institucionales para la creaci(n de plazas" Capacitaci(n de todos los funcionarios de las dos ,reas funcionales en *uditor a de T0 en temas como4 +etodolog as para el desarrollo de sistemas, C:<0T, *uditor a de sistemas, *dministraci(n del Riesgo, los sistemas inform,ticos en operaci(n" 3tilizaci(n de $erramientas de soft>are tanto para administrar los recursos como para la realizaci(n de auditor as ! la adquisici(n de la $erramienta C:<0T tanto para la *dministraci(n como para la *uditor a 0nterna" /osibilidad de contrataci(n e-terna"

Considerando los anteriores elementos se propone que la nue&a ,rea cuente con los siguientes recursos4 3n Coordinador #eneral para el *rea de *uditor a de T04 0nform,tico con capacitaci(n ! e-periencia en auditor a inform,tica ! en administraci(n" 2 auditores de T0, 0nform,ticos con capacitaci(n en *dministraci(n ! en *uditor a de T0"

1a propuesta planteada requerir a 2nicamente la creaci(n o asignaci(n de una plaza, lo cual se estima factible dentro de las pol ticas actuales"

7!

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

CAPITULO PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA

En el presente cap tulo pretendemos ofrecer un panorama sobre las diferentes $erramientas computadorizadas que se pueden utilizar en apo!o a la funci(n de auditor a de la T0 ! a la auditor a en general" /ara ello se consideran $erramientas inform,ticas de apo!o a la administraci(n de la auditor a as como para la auditor a inform,tica" *simismo, se establecer, una primera orientaci(n sobre las me%ores opciones, planteando algunos elementos a tomar en consideraci(n en la selecci(n de estas $erramientas, en el entendido que corresponder, a las autoridades respecti&as, en su oportunidad, tomar las respecti&as decisiones" .1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA AUDITORA 1as $erramientas computadorizadas de apo!o a la auditor a se suelen clasificar en dos categor as genricas, a saber4 tcnicas ! $erramientas, de a$ el nombre genrico de C**TTs, por sus siglas en ingls 5Computer *ssisted *uditor Tec$nics and Tools6" En ese sentido, sin pretender ser e-$austi&o, como e%emplos de ambas categor as tenemos4 Tcnicas4 e-tracci(n ! an,lisis de datos, detecci(n de fraude, monitoreo continuo, &aloraci(n de la seguridad de la red, control de comercio electr(nico, e&aluaci(n del control interno ! papeles de traba%o automatizados" Herramientas4 procesadores de te-to, $o%as electr(nicas, soft>are especializado de auditor a, correo electr(nico, diagramas de flu%o, bases de datos, administraci(n de datos ! group>are, administraci(n de la auditor a ! administraci(n de riesgo"

77

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

1a utilizaci(n de las $erramientas ! tcnicas computadorizadas resulta $o! en d a casi ine&itable en cualquier campo, en el caso particular de la *uditor a de T0 se suele %ustificar en &irtud de diferentes beneficios o &enta%as que se generan con su utilizaci(n, destacando las siguientes4 Reducci(n de costos 0ncremento de la cobertura4 m,s con los mismos recursos @acilidad de acceso a los datos ! manipulaci(n o an,lisis de los mismos" /romue&en la integraci(n de las diferentes $erramientas del auditor @ortalecen la credibilidad de la auditor a +e%oras en la administraci(n de la e-periencia ! conocimiento acumulati&o de los

auditores ! e&aluadores" En el caso de la *uditor a de T0, la utilizaci(n de estas $erramientas ! tcnicas resulta imprescindible, !a que muc$os de los an,lisis requeridos para e&aluar los sistemas ! las bases de datos resultar an imposibles en caso de no contarse con $erramientas especializadas" /or otra parte, reconociendo las limitaciones para la contrataci(n de personal dentro del sector p2blico, se requiere ele&ar la producti&idad de los funcionarios mediante la utilizaci(n de este tipo de $erramientas ! tcnicas, para lograr el cumplimiento de los ob%eti&os de la auditor a"

.2

HERRAMIENTAS INFORMLTICAS DE APOYO A ADMINISTRACIN DE LA AUDITORIA

1a administraci(n de la auditor a se preocupa de dirigir los recursos de la auditor a para lograr el ma!or beneficio para la organizaci(n, promo&iendo el respeto a las le!es, regulaciones ! pol ticas" Esto in&olucra un proceso administrati&o que conlle&a di&ersas acti&idades que &an desde el an,lisis de riesgos, planeaci(n, seguimiento de las auditor as actuales, asignaci(n ! direcci(n del personal, ! comunicaci(n eficaz con los clientes ! la *dministraci(n 'uperior"

71

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

*tendiendo el enfoque de C$arles H" 1e #rand, 12las $erramientas usadas por auditores como apo!o a la administraci(n pueden ser clasificadas como sigue4 *n,lisis de riesgo" 0n&entario del uni&erso de la auditor a /laneaci(n ! asignaci(n *dministraci(n de pro!ectos ! seguimiento de auditor as <ases de datos del personal e in&entario de $erramientas <iblioteca de referencia Comunicaciones /resentaciones 'eguimiento de resultados E $allazgos Daloraci(n de la satisfacci(n del cliente Entrenamiento ! educaci(n 0nternet

* continuaci(n se presenta una bre&e descripci(n de cada una de las anteriores categor as" 3. A(;6&:&: 2- R&-:>*

1a decisi(n sobre el ,rea ! alcance de las auditor as deber a fundamentarse en un an,lisis de ,reas que representan riesgos m,s grandes a la organizaci(n" Ha! muc$os acercamientos para an,lisis de riesgo" * &eces los auditores se enfocan en el control del negocio ! se des& an del $ec$o que el control e-iste con el prop(sito de administrar los riesgos" * menudo los gerentes no piensan en sus responsabilidades como administraci(n en trminos de control" En cambio, piensan en los procesos ! acti&idades que ellos administran ! sobre c(mo mane%ar riesgos"

26

Le Grand, Charles H. Computer Assisted Audit Tools and Techniques. En www.theiia.org

7$

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

En relaci(n con lo anterior, una $erramienta de comunicaci(n importante para auditores es una clara ! entendida identificaci(n ! &aloraci(n de riesgos" 1os gerentes entienden riesgos ! pueden probablemente describir los riesgos m,s significantes que mane%an" 3n auditor puede complementar la lista de los riesgos mediante preguntas acerca de los aspectos que saben que usualmente andan mal" 1a lista de riesgos proporcionada por la *dministraci(n ! complementada por el auditor es el primer elemento del an,lisis de riesgo" 1os pr(-imos pasos in&olucran la e&aluaci(n de las probabilidades de e-posici(n que son el resultado de los riesgos ! los costos potenciales" /ara esto, un auditor puede usar $erramientas tan simples como las $o%as de c,lculo o bases de datos, o posiblemente puede optar para sistemas m,s comple%os atados en un sistema de administraci(n de auditor a integrado" Cualquiera que sea el acercamiento ! las $erramientas usadas, la &aloraci(n de riesgo del auditor debe compartirse con la *dministraci(n ! buscarse un acuerdo general para asegurar una comunicaci(n eficaz de los ob%eti&os, prioridad ! alcance de las auditor as"

<.

I('-(.34&* 2-6 U(&'-4:* 2- 63 A,2&.*453

1as prioridades ! la disponibilidad de recursos de la auditor a determinan el alcance de acti&idades de la auditor a" /robablemente la auditor a nunca dispondr, de recursos suficientes para cubrir todas las acti&idades del su%eto a inter&enir, por ello el in&entario de ,reas a ser auditadas8! no auditadas8 resulta importante a los efectos de la toma de decisiones" El in&entario del uni&erso de la auditor a debe mostrar todas las ,reas a ser cubiertas, ! podr a incluir la siguiente informaci(n4 1a prioridad ! el criterio para determinar prioridad7 Ciclo de inter&enci(n ;anual, cada tres a)os, etc"=7 Historial de resultados de las auditor as7 Resumen de $allazgos de la auditor a, recomendaciones ! seguimiento7 1os indicadores de riesgo importantes ! naturaleza de riesgos ;monetario, pri&acidad, confidencialidad, disponibilidad, etc"=7 1%

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

*notaciones especiales, instrucciones7 etc"

El uni&erso de la auditor a tambin puede estar su%eto al cambio, a &eces a cambios significati&os" /or e%emplo, $ace dos o tres a)os 0nternet ! el comercio electr(nico era un ,rea sin ma!or importancia en el in&entario de uni&erso de auditor a8si es que se mencionaba9, $o! es un tema de moda en algunos in&entarios pero toda& a no aparece en la lista de otros" /. P63(-3/&8( ? 3:&>(3/&8(

1a planeaci(n de la auditor a tiene a la &ez un car,cter estratgico ! t,ctico" 1a definici(n del uni&erso de la auditor a, prioridades para los auditores, ! la disponibilidad de recursos de la auditor a representan los insumos para la orientaci(n estratgica de la auditor a" 1a planificaci(n t,ctica se realiza para cada pro!ecto de la auditor a" 1os factores de planificaci(n estratgica son l(gicos ! log sticos" /or e%emplo, problemas con mtodos de desarrollo de sistemas, el control de cambios de programa, o controles de acceso deber an ser analizados antes de in&olucrarse en desarrollo de los sistemas espec ficos o re&isiones de aplicaciones en operaci(n" 1as debilidades en ,reas cla&es de control como la administraci(n de accesos ! control de cambios tambin pueden impactar la fiabilidad de cualquier informaci(n usada por auditores ! el alcance ! tiempo necesario para e&aluar ! probar los controles" 1as $erramientas del soft>are pueden a!udar e&aluando $abilidades de los auditores disponibles ! asignando a las personas apropiadas para participar en los diferentes equipos del pro!ecto" El soft>are debe apo!ar asignaci(n de auditores con $abilidades cr ticas para determinado pro!ecto de auditor a" El soft>are tambin debe e&aluar los impactos de cambios de $orario ! prioridades, as como e-tender el impacto de desbordamientos del $orario a otros pro!ectos 2. A29&(&:.43/&8( 2- P4*?-/.*: ? S,=-4'&:&8( 2- 63 A,2&.*453

1a administraci(n de pro!ectos ! la super&isi(n de la auditor a pro&een una retroalimentaci(n cla&e para la planeaci(n ! programaci(n de las auditor as" El soft>are de administraci(n de pro!ectos puede ser simple o mu! sofisticado" *l menos debe permitir a la direcci(n de la 11

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

auditor a $acer el uso m,s eficiente de los recursos disponibles" Debe grabar e informar cualquier &ariaci(n de los planes ! debe determinar los efectos en planes subsecuentes" El soft>are de administraci(n de pro!ectos tambin puede proporcionar informes ! gr,ficos para a!udar en la toma de decisiones" *lgunos soft>are de administraci(n de pro!ectos son suficientemente poderosos como para permitir la programaci(n de todos los pro!ectos de auditor a ! las subacti&idades, tanto indi&idualmente como colecti&amente" El soft>are puede proporcionar reportes detallados o resumen con elementos como los cuadros ! gr,ficos ilustrati&os de los impactos de retrasos o reprogramaciones en los planes de la auditor a relacionados o subsecuentes" /or supuesto que la operaci(n ! administraci(n de tal soft>are tambin tiende a requerir un tiempo significati&o, de manera que esto debe considerarse en la planeaci(n ! en la selecci(n de la direcci(n del pro!ecto" 1os auditores deben determinar si utilizan un soft>are de administraci(n de pro!ectos que se use en otras funciones dentro de la organizaci(n" Esto puede proporcionar las &enta%as en apo!o ! entrenamiento, ! les puede dar mo&ilidad dentro de la organizaci(n si tienen e-periencia con los sistemas de administraci(n de pro!ectos usados en otras partes dentro de la organizaci(n" -. "3:- 2- D3.*: 2-6 P-4:*(36 - I('-(.34&* 2- H-4439&-(.3:

3na base de datos para el personal ! el in&entario de $erramientas son elementos importantes para la planeaci(n ! pro!ecci(n propios de la administraci(n de la auditor a" 3na base de datos de esta naturaleza puede facilitar la programaci(n del entrenamiento ! e-periencias necesitadas por auditores para su desarrollo profesional" Tambin puede resaltar ,reas de debilidad dentro del personal que puede ser complementado por la contrataci(n de ser&icios e-ternos"

12

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

).

"&<6&*.-/3 2- R-)-4-(/&3

3na biblioteca de referencia poderosa puede estructurarse en formato electr(nico ! estar disponible para acceso local, port,til !Eo remoto" 1os recursos de informaci(n pueden incluir las referencias de las asociaciones profesionales de auditores, normas de auditor a, folletos de gu a ! otros traba%os de la referencia o te-tos" 1os requerimientos ! pautas para las acti&idades de auditor a pueden estar disponibles en formato electr(nico, as como los manuales de referencia mantenidos por productos tcnicos disponibles por parte de los &endedores comerciales" 1as pol ticas ! procedimientos deben estar emigrando a, o !a pueden estar en formato electr(nico ! disponible para el acceso por cualquier auditor que debe &erificar procesos o otras acti&idades contra las tales pol ticas ! procedimientos" 1os contratos, documentos legales ! cualquier otro cuerpo de &olumen de papel &oluminoso son candidatos buenos para la migraci(n al formato electr(nico" 1a tecnolog a para crear ! reproducir CD R:+s est, disponible ! es relati&amente barata" Deben proporcionarse las formas, formatos, plantillas ! cualquier otro art culo que pueden simplificar o pueden disminuir esfuerzo del auditor indi&idual en una biblioteca normal ! tendr, el beneficio agregado de facilitar a todos los auditores del equipo las &ersiones m,s actuales" >. C*9,(&/3/&*(-: ? A29&(&:.43/&8( 2-6 C*(*/&9&-(.*

1as comunicaciones son importantes tanto dentro de la auditor a como con las ,reas de la administraci(n atendidas por sta" Herramientas de comunicaci(n como group>are, el acceso remoto a los sistemas, ser&icios de correo electr(nico ! traslado electr(nico de arc$i&os, $an me%orado significati&amente la actuaci(n de la auditor a" /ueden compartirse papeles de traba%o de auditor a, $allazgos, borradores del informe ! otra informaci(n seleccionada para permitirles a gerentes de la auditor a inspeccionar traba%o en marc$a ! proporcionar retroalimentaci(n inmediata" 1os auditores pueden acostumbrarse a comunicaciones electr(nicas para compartir resultados de auditor as en marc$a con el prop(sito de reducir las sorpresas al final de la auditor a" Esto 13

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

puede permitir a la direcci(n tomar acciones correcti&as m,s oportunas ! responder a las recomendaciones m,s r,pidamente" El resultado puede ser la preparaci(n m,s temprana ! descargo de informes de la auditor a" U los informes pueden ser m,s positi&os cuando ellos informan progreso en lugar de considerar s(lo los problemas" 0. P4-:-(.3/&8(

1as $erramientas de la presentaci(n tienen tremenda funcionalidad a$ora ! est,n ganando un grado de sofisticaci(n que puede proporcionar comunicaci(n clara ! poderosa de los resultados de la auditor a" Es relati&amente f,cil de empotrar mapas electr(nicamente, gr,ficos, cuadros e incluso &ideos en los arc$i&os de traba%os de auditor a ! en las presentaciones" 1as presentaciones pueden entregarse personalmente o & a email o mediante transferencia de arc$i&os" El soft>are para las presentaciones puede proporcionar consistencia en calidad ! puede agregarse al profesionalismo global de la funci(n de la auditor a" 3na $erramienta de la presentaci(n importante que gana popularidad con auditores es la p,gina >eb de la auditor a" <ien sea & a 0nternet o intranet, la p,gina >eb de la auditor a puede ser una &aliosa fuente para las relaciones p2blicas, recopilando o anunciando informaci(n como $orarios de la auditor a, reuniones, u otros e&entos" En el futuro, las p,ginas >eb de auditor a pueden mantener una fuente segura casi para cualquier comunicaci(n o presentaci(n de la auditor a" &. S->,&9&-(.* 2- R-:,6.32*: ? H36637>*:

Cuando se implementan las recomendaciones de la auditor a las organizaciones pueden ganar fortaleciendo los controles internos, me%orando en econom a, eficacia, u otras me%oras que puede ser medidas ! pueden informarse a la administraci(n superior como beneficios deri&ados de los ser&icios de la auditor a" Dependiendo de la cultura de la organizaci(n esto pueden tomar la forma de un K&alor9agregadoK durante el proceso del presupuesto, o simplemente podr a ser testimonios de e%ecuti&os en la organizaci(n que recibi( el beneficio de me%oras"

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

Ha! tambin por supuesto el lado negati&o del seguimiento de resultados4 cuando los cambios no se lle&an a cabo como se prometi( ! los auditores tienen que &ol&er para in&estigar las circunstancias" Hasta que los resultados de $allazgos estn resueltos deben permanecer en la lista de seguimiento" F. V36*43/&8( 2- 63 S3.&:)3//&8( 2-6 C6&-(.-

1os auditores $o! est,n debidamente interesados sobre la efecti&idad, calidad, ! profesionalismo en su traba%o, ! continuamente me%orando su imagen profesional" 1a retroalimentaci(n de las ,reas ! las personas atendidas son un elemento importante de administraci(n de la calidad" +uc$os grupos de auditor a piden manifestaciones formales de sus clientes acerca del profesionalismo ! &alor de la auditor a ! la actuaci(n de auditores indi&iduales" El soft>are de satisfacci(n de cliente debe mantener una base de datos de respuestas del cliente ! debe permitir la comparaci(n de cualquier auditor a o actuaci(n del auditor contra los ni&eles establecidos" 'in embargo, tambin debe tenerse el cuidado en considerar la retroalimentaci(n del cliente porque algunas de las funciones de la auditor a m,s importantes no pueden ser en absoluto populares con los clientes de la auditor a" M. E(.4-(39&-(.* ? E2,/3/&8(

El entrenamiento basado en computadora se presenta de muc$as formas, desde las funciones de a!uda $asta programas completos de entrenamiento e inclu!en pruebas ! retroalimentaci(n" En algunos casos es posible obtener educaci(n de ni&el uni&ersitario reconocido e incluso ganar un grado usando programas de entrenamiento proporcionados & a el 0nternet" Cada organizaci(n de auditor a debe e&aluar las necesidades ! disponibilidad de entrenamiento basado en computadoras, considerando, entre otros criterios, la eficacia con que el auditor usa ! aplica tales $erramientas de entrenamiento" 6. I(.-4(-.

*dem,s de los usos de 0nternet descritos con anterioridad, los auditores est,n encontrando que la KredK es una tremenda fuente de informaci(n disponible, en cualquier tiempo ! lugar" 1os 15

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

5buscadores de 0nternet6 permiten encontrar informaci(n sobre cualquier tema" De $ec$o, es f,cil de conseguir demasiada informaci(n ! no bastantes respuestas en la red ! est, resultando cla&e el tener $erramientas fuertes de rastreo ! b2squeda de informaci(n importante" 1os auditores tambin pueden usar una p,gina >eb para proporcionar un sistema de informaci(n e%ecuti&o continuamente disponible" Tal uso de la p,gina >eb in&olucrar, un compromiso significati&o de recursos ! s(lo debe emprenderse con una comprensi(n clara de los costos esperados as como de los beneficios" 1as listas de correo electr(nico ! los grupos de discusi(n proporcionan un mtodo f,cil para mandar por correo preguntas o informaci(n a un grupo grande a tra&s del uso de comandos ! (rdenes relati&amente simples" El uso de 0nternet tambin cambia r,pidamente, de manera que el conocimiento ! $abilidades en ste t(pico resultan mu! &aliosos para la planeaci(n ! realizaci(n de las auditor as" El comercio electr(nico en la red est, creciendo r,pidamente ! ello tambin presenta muc$os nue&os riesgos a una organizaci(n" .2.1 A6>,(*: EF-9=6*: 2H-4439&-(.3: C*9=,.32*4&7323: 2A=*?* 3 63

A29&(&:.43/&8( 2- 63 A,2&.*453. * continuaci(n se presenta una bre&e caracterizaci(n de una muestra de $erramientas computadorizadas de apo!o a la administraci(n de la auditor a" 'e $an considerado aquellas que a nuestro criterio son m,s conocidas en nuestro medio ! que potencialmente pueden resultar de inters para la *uditor a de T0 en el +inisterio" Complementariamente, en el *ne-o 2 se presenta informaci(n sobre pro&eedores ! direcciones" A,2&. ",&62-4 V.2 /ermite a las empresas implementar o me%orar la e%ecuci(n de la auditor a en m2ltiples localidades, o implementar la *uto e&aluaci(n de Riesgos ! Controles ;CR'*=" /ermite construir modelos est,ndar dise)ados a la medida de los riesgos ! controles de cada proceso de la organizaci(n"

1!

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

El sistema permite la *uditor a 0ntegral ;@inanciera, :peracional, de 'istemas, etc=, con programas de auditor a paso a paso, o mediante el enfoque basado en la administraci(n del riesgo" ! la captura ! administraci(n de la e-periencia ! conocimientos acumulados de los auditores a tra&s del tiempo ! su me%oramiento continuo" Entre las &enta%as que ofrece destacan4 facilidad para la toma de decisiones, estandarizaci(n de las e&aluaciones ! auditorias, me%orar la administraci(n de la e-periencia ! conocimiento acumulati&o de los auditores" A,2&.J*< *udit.ob le permite guardar los arc$i&os electr(nicamente para cada traba%o de la auditor a en un %oblet que contienen tres tipos de ob%etos que corresponden a estos arc$i&os 9 un arc$i&o, una copia dura o un paso" 3n ob%eto puede ser un art culo en un programa de la auditor a o en un c$ecQlist" El beneficio inmediato est, en la eliminaci(n de muc$os papeles de traba%o ! los problemas de transportarlos ! guardarlos" *udit.ob introduce plantillas est,ndar, programas de traba%o de auditor a, ! listas del c$equeo a mu! poco costo" Tambin le permite al usuario adoptar un nue&o estilo de traba%o electr(nico, mediante la re&isi(n electr(nica de los papeles de traba%o ! crear en l nea un arc$i&o centralizado de papeles de traba%o" A,2&.. M3:.-4=63( El *udit +asterplan ;*+/=es cient ficamente un dise)o de c(mputo basado en la &aloraci(n de riesgo, planificaci(n ! sistemas de traba%o de los auditores internos, desarrollado ba%o el auspicio del 0nstituto 0nternacional de *uditores 0nternos para lograr un cumplimiento satisfactorio de los ob%eti&os de la auditor a" Este $a sido usado con -ito por centenares de profesionales de auditor a interna a lo largo del mundo" /uede a!udarle a $acer un uso m,s eficaz de los recursos escasos 9 tiempo, dinero ! personal" 3na &ez que usted identifica las unidades auditables ! define factores de riesgo importantes, el *+/ &a a traba%ar para usted" El *+/ a!uda en el enfoque de las ,reas de alto9riesgo, los

17

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

costos de la auditor a ! otros recursos, ! le a!uda a un alto desarrollo de la calidad, ! planea una cobertura de auditor a defendible para la presentaci(n a la alta direcci(n" A,2&. S-(.4? *udit 'entr! es un sistema de administraci(n de la informaci(n, desarrollado por un equipo de auditores internos e-pertos para apo!ar el proceso completo de la auditor a, desde la planeaci(n, la e%ecuci(n del traba%o el seguimiento de los resultados" *!uda a crear un esquema de informaci(n global que abarca un sistema de administraci(n de la informaci(n compartido dentro de un ambiente del >orQstation" Es un sistema basado en 1otus Aotes" *udit 'entr! pro&ee las $erramientas efecti&as de la administraci(n del riesgo, a$orra tiempo ! elimina redundancias, me%ora la utilizaci(n de recursos del personal de auditor a, ! mantiene a todos enfocados en los mismos ob%eti&os ! procedimientos" GESIA 2%%% #E'0* es una $erramienta integral para la realizaci(nJ gesti(n ! /ontrol de traba%os de auditor a" Destaca por su sencillez ! conecti&idad con otros programas, permitiendo a los responsables de la firma de auditor a, realizar un control permanente ! global sobre los papeles de traba%o" *simismo, permite me%orar la organizaci(n, por cuanto4

Aormaliza papeles ! referencias de traba%o" 'istematiza la labor del auditor" +odela los traba%os por tipos ! sectores" /repara auditorias recurrentes"

Respecto a las me%oras que introduce a la gesti(n4


0ntroducci(n de cuentas ! saldos" /reparaci(n ! emisi(n de cdulas de traba%o" *%ustes ! reclasificaciones propuestos" 'encilla na&egaci(n a tra&s de todos sus m(dulos" 0nclusi(n de comentarios ! conclusiones" 11

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

+,s de O0 listados dise)ados ;Cuentas, @inanciaci(n, etc"="

@acilita el control del grado de a&ance de los traba%os, del cumplimiento de la programaci(n ! de la calidad de los procedimientos aplicados 3na de las caracter sticas principales de #E'0* 2000 es su fle-ibilidad tanto para adaptarlo a la metodolog a ! sistemas de organizaci(n de cada firma o despac$o de auditor a, como para cada traba%o o sector auditado" El m(dulo de 0ntercambio de Datos, permite la transferencia entre s , de cualquier tipo de informaci(n introducida en los fic$eros de traba%o de #E'0* 2000" 1os ob%eti&os de este m(dulo opcional de 0ntercambio de Datos pueden resumirse en los siguientes4 /ermitir la transferencia de estructuras contables ;Cuentas, Cuentas *nuales, Estados como parametrizaci(n, te-tos o comentarios ;/ersonal, #rupos, *reas, *rc$i&os !

@inancieros, *%ustes ! Reclasificaciones, Cdulas Contables, :rigen ! *plicaci(n de @ondos= as Carpetas, Referencias, #u as, Referencias de documentaci(n=, para su utilizaci(n !Eo incorporaci(n a otras auditor as, e&itando as la repetici(n de tareas" @acilitar la elaboraci(n de +asters sectoriales, al poder transferir de diferentes auditor as o

+asters, cualquier tipo de informaci(n introducida respecto a parametrizaciones, estructuras contables, Referencias #u as ! Documentaci(n" G-:.&8( P4*/-:*: A,2&.*453 CGPA@. #/* es un sistema que automatiza los flu%os de traba%o ! los documentos que inter&ienen en el /roceso de *uditor a" En su dise)o se $an contemplado todos los componentes necesarios para lle&ar a cabo la labor de auditor a ! su estructura est, basada en tres pilares4 El Conocimiento del *rea, El /roceso de *uditor a ! las Herramientas de *n,lisis e 0nformaci(n" +(dulos de #/*4 3ni&erso *uditable"

1$

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

'e establece un in&entario completo de las auditor as que se pueden realizar definiendo las ,reas en las que se di&ide la empresa para efectos de los estudios de *uditor a ! los tipos de *uditor as" Criterios

@uentes de los criterios utilizados para sustentar el traba%o de *uditor a estableciendo un ndice de criterios por fuente e ndice de criterios por tema" @ormularios de #esti(n

+(dulo que permite crear modelos de papeles de traba%o, modelos de obser&aciones ;debilidades, $allazgos, etc"= modelos de informes, modelos de notas al auditado, modelos de cartas, memorandos, ane-os, etc" Recurso Humano

/erfil actualizado de los *uditores" Registro del conocimiento que posee ! que &a adquiriendo cada auditor ;estudios formales ! emp ricos, etc=, E-periencias de traba%o ;e-periencia sobre cada inter&enci(n del auditor=" /lanificaci(n

Elaboraci(n de planes para cualquier per odo de tiempo" *n,lisis de riesgos ! presupuesto de los recursos ! su asignaci(n a los diferentes estudios" /rogramaci(n ! a%ustes a los programas de traba%o" E%ecuci(n

/reparaci(n de papeles de traba%o, actualizaci(n de la *genda, desarrollo de los programas de traba%o ! preparaci(n ! re&isi(n de informes internos" Comunicaci(n Control absoluto de las notas pendientes" *segura el

/ermite de forma &isual ! electr(nica el mane%o, control ! seguimiento de todas las notas emitidas ! recibidas por la auditor a" control sobre el cumplimiento de las recomendaciones giradas por la 3nidad de *uditor a"

$%

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

*n,lisis de la #esti(n

0ndices de gesti(n, ndices de costos, ndices de debilidades e ndices del comportamiento $ist(rico de las unidades administrati&as" 0nformes gerenciales ! otros" *lgunos de los beneficios deri&ados que se obtienen del uso de este soft>are de auditor a son los siguientes4 Elaborar planes ! programas de auditor a en forma electr(nica ! colaborati&a, lo cual a su &ez permitir, que stos se puedan me%orar ! estandarizar" Crear, mantener e identificar en forma oportuna los criterios internos ! e-ternos de auditor a

relacionados con las le!es, normas, pol ticas ! procedimientos e-istentes" +antener un in&entario de los recursos $umanos ;auditores=, tiempo disponible ! recursos

materiales con que cuenta la 3nidad de *uditor a, que conlle&e una me%or asignaci(n de las labores o funciones de auditor a" * su &ez, facilita la e&aluaci(n ! definici(n de necesidades de stos recursos" Establece la #erencia del Conocimiento o 5Vno>ledge +anagment6 dentro del

departamento de *uditor a permitiendo que la e-periencia ! el conocimiento de sus personas permanezca dentro de la empresa" /ermite tener una perspecti&a completa sobre las auditor as por efectuar ! sobre las que se

est,n lle&ando a cabo" Consulta r,pida ! efecti&a del arc$i&o permanente"

E%ecutar en forma colaborati&a o aislada las tareas definidas para cumplir con los

programas de traba%o" Controlar el a&ance de las auditor as en e%ecuci(n"

'uper&isi(n efecti&a ! oportuna sobre los estudios de auditor a que se estn e%ecutando"

$1

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

@acilitar la emisi(n de informes de auditor a, tomando como base los papeles de traba%o

electr(nicos generados durante la e%ecuci(n" *dministraci(n segura ! centralizada de papeles de traba%o en <ases de Datos orientadas

al mane%o de documentos, im,genes, sonido ! & deo" /ermite lle&ar un seguimiento efecti&o de todas las recomendaciones emitidas por la

*uditor a" R&:M A2'&:*4 $$ /ermite estructurar la administraci(n de los riesgos espec ficos de cada organizaci(n !Eo procesos cr ticos por sus facilidades para identificar los riesgos en el conte-to estratgico ! con base en las fuentes de riesgo ! ,reas de impacto" *plica un esquema de administraci(n del riesgo consistente con la Aorma JBL0 de Aue&a WelandaE*ustralia sobre *dministraci(n del Riesgo" 1a norma indicada mantiene una gu a para el establecimiento ! aplicaci(n del proceso de administraci(n del riesgo que in&olucra la identificaci(n, an,lisis, &aloraci(n, tratamiento, ! la super&isi(n continua de los riesgos" Es genrico e independiente de cualquier industria espec fica o sector econ(mico" Recomienda el acercamiento que debe ser considerado a cada paso del ciclo de &ida ! direcci(n de riesgo, pero de%a cada negocio para desarrollar maneras pragm,ticas de aplicar el ciclo de &ida dentro de sus condiciones actuales" RisQ *d&isor 1??? proporciona al usuario4

1a administraci(n del riesgo consistente con la norma *'EAW JBL041???" *dministraci(n de riesgo a tra&s de la $abilidad del usuario para definir la estrategia organizacional en el conte-to de la direcci(n de riesgo espec fico para la organizaci(n" 1a identificaci(n de la matriz espec fica de riesgo en el conte-to de la estrategia" 1a consolidaci(n ! direcci(n de planes de acci(n ! super&isi(n en una sola base de datos" $2

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

1a e&aluaci(n del tratamiento ! controles cuantitati&os a tra&s de la frecuencia, consecuencia ! an,lisis de efecti&idad" 3n retrato &isual de riesgo a tra&s del graficaci(n en l nea" 0nformes de alta calidad conforme con los requisitos comerciales indi&iduales" /ro&ee un marco reconocido para implementar el mane%o del riesgo" /roporciona la clasificaci(n de la direcci(n de riesgo" /ermite que los riesgos ! controles sean e-portados e importados entre las re&isiones diferentes" /roporciona la documentaci(n para cada fase del proceso de direcci(n de riesgo" Es f,cil al usar ! na&egar /roporciona una interface paso a paso" /roporciona un solo almacn de los datos" Tiene a!uda en l nea" #enera de documentos soportados en +icrosoft Sord"

.3

HERRAMIENTAS INFORMLTICAS DE APOYO FUNCION DE AUDITORIA DE TI

* continuaci(n se presentan los principales usos de $erramientas computadorizadas como apo!o a la funci(n de auditor a" 3. P3=-6-: 2- T43<3F* -6-/.48(&/*:

1a $abilidad de requerir formas de la auditor a regularizadas ! formatos puede me%orar la calidad ! consistencia de los papeles de traba%o de auditor a" 1a administraci(n de traba%os actuales o arc$i&ados en un arc$i&o o base de datos central puede $acer m,s f,cil para la administraci(n de la auditor a la coordinaci(n de las auditor as coe-istentes ! asegurar los $allazgos de los pro!ectos relacionados" 1os sistemas e-pertos proporcionan una oportunidad de agregar ma!or apo!o ! funcionalidad para las $erramientas de papeles de traba%o de auditor a" /or e%emplo, un sistema e-perto puede e&aluar respuestas a una encuesta ! autom,ticamente puede generar linQs a las preguntas relacionadas adicionales" 1os sistemas e-pertos tambin pueden buscar patrones en informaci(n, $allazgos, recomendaciones o de $3 auditor as coe-istentes anteriores !

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

proporcionan informes que indican las ,reas potenciales relacionadas o las ,reas sistmicas del problema" Como las $erramientas de papeles de traba%o de auditor a proporcionan la $abilidad de incluir informaci(n de soporte adem,s de te-to o n2meros 9 como cuadros, sonido, &ideo, etc", los mtodos para organizar ! proporcionar acceso a tal informaci(n deben adaptar a tal situaci(n" En el futuro, los auditores podr,n encontrar que las cantidades significantes de informaci(n necesitadas en re&isiones de la auditor a pueden e-istir en formas diferentes del te-to, n2meros o caracteres gr,ficos" <. R-/,=-43/&8( 2- &()*493/&8( ? 3(;6&:&:

Hist(ricamente los auditores $an confiado en muestras de transacciones para realizar sus pruebas" *$ora, con el uso de recuperaci(n automatizada ! $erramientas del an,lisis, es normalmente m,s f,cil e&aluar todos los arc$i&os que e&aluar una muestra" +,s all,, los auditores pueden poner par,metros en su soft>are identificar todos los arc$i&os que se cumplen con determinado criterio de selecci(n" 1a selecci(n completa de arc$i&os con determinado tipo de error conocido puede eliminar el problema de KestimarK las proporciones del error" En cambio, el an,lisis del error puede enfocarse en esos arc$i&os con datos que est,n fuera del rango de transacci(n esperada pero toda& a dentro de las limitaciones de condiciones del error definidas" /ueden aplicarse tcnicas de muestreo a los arc$i&os seleccionados del sistema de la producci(n, o pueden seleccionarse todos los arc$i&os de un determinado tipo o aplicarse una selecci(n m,s detallada en el proceso del an,lisis" El criterio de selecci(n puede basarse en auditor as anteriores, pero los auditores deben apro&ec$ar las oportunidades de me%orar la cobertura de la auditor a continuamente8sobre todo si esto puede lograrse sin incrementos importantes en los costos" 1a selecci(n automatizada ! las $erramientas del an,lisis pueden facilitar me%oras, pero no asegurar,n tales me%oras autom,ticamente"

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

/.

S*).H34- 2- 4-/,=-43/&8( ? 3(;6&:&:

1a recuperaci(n de informaci(n ! $erramientas de an,lisis pueden presentar desaf os tcnicos importantes para los auditores en la medida en que la informaci(n su%eto a la auditor a pueda residir en di&ersos sistemas distribuidos con diferentes grados de control ! estandarizaci(n" /ueden guardarse datos ba%o el control de diferentes tipos de m,quinas ! sistemas operati&os, usando diferentes formatos7 puede mo&erse por ambientes de las telecomunicaciones que usan protocolos diferentes7 puede guardarse o puede ser arc$i&ado por &arios sistemas de administraci(n de bases de datos que usan campos de longitud fi%os o &ariables o arc$i&os ! su%eto a diferentes normas de bases de datos7 e incluso puede residir en numerosas ubicaciones f sicas como en una base de datos distribuido o ambiente de data>are$ouse" 1os datos particularmente sensibles pueden estar s(lo disponibles en formato encriptado ! puede estar su%eto a las regulaciones gubernamentales con respecto a su transmisi(n, almacenamiento, soft>are de control, etc" +uc$os departamentos de auditor a usan a los especialistas tcnicos para localizar ! e&aluar fuentes de los datos ! proporcionar las $erramientas de soft>are para e-traer datos ! con&ertirlo en una forma que pueda ser usada por auditor a en las $erramientas anal ticas" Como $a! tantas formas ! formatos para la informaci(n ! tantos KnormasK propietarias para el almacenamiento de informaci(n, ! como los ambientes de sistemas de informaci(n frecuentemente cambian, puede ser necesario mantener especializaci(n tcnica significati&a entre los miembros de equipo de auditor a responsable para el soft>are de recuperaci(n de informaci(n" 1as personas con tal especializaci(n pueden ser dif ciles de reclutar o mantener, ! proporcionar entrenamiento al personal de auditor a para desarrollar tales $abilidades pueden $acerlos mu! 5apetecidos6" En algunas organizaciones o industrias la informaci(n se almacena seg2n normas especificadas que frecuentemente no cambian, ! pueden realizarse auditor as m2ltiples en informaci(n en un formato com2n" En tales casos pueden mantenerse bibliotecas de los casos de rutinas de recuperaci(n de informaci(n, que pueden llamarse ! ser e%ecutadas por cualquier auditor" En otras organizaciones la frecuencia de cambio puede ser ma!or que la frecuencia de

$5

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

auditor as ! la preparaci(n de rutinas de soft>are de recuperaci(n puede impedir el uso de rutinas pre9programadas" 3na &ez que la informaci(n es almacenada en una forma utilizable por las $erramientas anal ticas de auditor a, los auditores con grados &ariantes de especializaci(n tcnica realmente pueden realizar ! repasar los resultados del an,lisis" +uc$as $erramientas de soft>are de oficina como las $o%as de c,lculo o bases de datos pueden accesar ! analizar informaci(n almacenada en un formato :D<C" *lgunas organizaciones de auditor a no s(lo mantienen rutinas automatizadas para la recuperaci(n de informaci(n ! an,lisis, sino que ellos despliegan tal soft>are & a las telecomunicaciones permitir re&isiones de sistemas remotos sin el tiempo ! gastos de &ia%e del personal" 1a acumulaci(n de informaci(n sobre los datos comerciales encima de un periodo de tiempo puede permitir al soft>are del an,lisis identificar modelos, cambios, o tendencias en los datos que indican cambios en el negocio, el ambiente comercial, la base del cliente, la econom a, etc" Esos patrones pueden ser importantes para la planificaci(n de negocio ! &enta%a competiti&a, ! puede ser realizado por grupos e-ternos al equipo de auditor a" 'in embargo, si el an,lisis de la auditor a reconoce tales modelos entonces los auditores pueden proporcionar una &aliosa contribuci(n a la organizaci(n" 2. T-(2-(/&3: -( R-/,=-43/&8( 2- I()*493/&8( ? A(;6&:&:

3na tendencia en recuperaci(n ! an,lisis de informaci(n por parte del auditor es incluir ma!or inteligencia en el soft>are de auditor a o monitoreo incorporado en sistemas comerciales ! redes" Cuando los auditores identifican elementos de riesgo ! desarrollan soft>are para descubrir errores o las transacciones sospec$osas, o los modelos de los datos raros, resulta relati&amente simple incorporar esas pruebas en los sistemas de la producci(n" En tales casos, los auditores pueden informarse poco despus de errores o cambios en modelos de los datos" 1os auditores pueden &isualizarse como usuarios de un sistema en desarrollo en la medida en que identifican ! plantean sus propios requerimientos en cuanto a la generaci(n de interfases o facilidades para obtener informaci(n" En lugar de funcionar como especialistas en control en el $!

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

equipo de dise)o ! desarrollo, ellos funcionan como cualquier otro usuario del sistema o representante de una interfase del sistema" 1os auditores especifican los criterios de selecci(n de registros ! datos as como cualquier rasgo especial como la $abilidad de modificar, e-tender o suspender el monitoreo del sistema" En el futuro, la l(gica usada por auditores rastrear transacciones ! e&entos $acia delante ! $acia atr,s dentro de los sistemas de la computadora, redes, ! arc$i&os ser, probablemente incorporada en sistemas sensibles" Entonces transacciones sensibles que flu!en a tra&s de los sistemas pueden lle&ar con ellos informaci(n sobre la fuente de las transacciones ! todas las rutas tomadas a tra&s de procesamiento, redes, o arc$i&os" Tales Ketiquetas de la auditor aK ser,n mu! 2tiles en el caso de transacciones monetarias como procesamiento de pagos o transferencias de fondos ! proporcionar, la informaci(n para descubrir o detener fraudes" Con los costos decrecientes ! las nue&as capacidades del procesamiento de informaci(n, sistemas del almacenamiento ! medios de comunicaci(n, est, resultando cada &ez m,s factible la captura ! arc$i&o de informaci(n sensible en los todos los puntos de entrada, procesamiento, transferencia o almacenamiento" De esta forma se podr, dar seguimiento a los cambios que se aplican a los datos a lo largo de su ciclo de &ida" *s las apreciaciones de integridad de informaci(n en el futuro podr an ser basadas en comple%os an,lisis de los datos ! sustituir al an,lisis de control cuando se encuentran anomal as" Esto es lo opuesto de c(mo se aplican apreciaciones de la auditor a tradicional ! pueden requerir alguna reingenier a del proceso dentro de la profesi(n de auditor a" -. I()*49-: 2- 3,2&.*453

*lgunas $erramientas de auditor a $o! en d a proporcionan &inculaci(n autom,tica entre traba%o realizado, la informaci(n e-tra da, &aloraciones del auditor, ! la informaci(n utilizada o de soporte a los informes de la auditor a" 1os papeles de traba%o inteligentes pueden identificar respuestas en encuestas de control interno que refle%an debilidades reales o potenciales ! autom,ticamente preparar una secci(n en el informe de la auditor a para documentar la debilidad o resoluci(n del problema"

$7

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

1os soft>are de apo!o a los reportes de auditor a tambin pueden proporcionar informaci(n autom,ticamente sobre las secciones de auditor as realizadas por auditores indi&iduales conforme se &an completando, de manera que el super&isor de la auditor a conocer, permanentemente el estado de los pro!ectos de la auditor a" Tales reportes le permitir,n al super&isor concentrarse en procesos de la auditor a que indican problemas !Eo proporcionar recursos adicionales en ,reas que se quedan atrasadas" El informe de la auditor a puede contener linQs a los documentos de traba%o, $o%as electr(nicas, gr,ficos u otra informaci(n que se pondr,n al d a autom,ticamente seg2n cambien los datos" 1os arc$i&os del informe pueden ser compartidos por miembros de equipo de auditor a ! direcci(n lle&ando a cabo controles simples como 5accesos de solo lectura6 para aquellos que no estn autorizados para cambiar los arc$i&os" 1os informes de auditor a pueden distribuirse en formato electr(nico & a el email, transferencia de arc$i&os o una p,gina >eb de la auditor a" En tales casos los auditores deben asegurarse de contar con la seguridad apropiada, confidencialidad ! controles de acceso a tales informes" 1a tecnolog a de encriptamiento est, desarroll,ndose r,pidamente ! se &ol&er, el mecanismo normal para garantizar la integridad del mensa%e, ! la autenticaci(n del remitente ! del receptor as como del control de acceso" ). E(.4-(39&-(.* <3:32* -( /*9=,.32*4-:

El entrenamiento incorporado ! rasgos de a!uda son incluidos en la ma!or a las $erramientas de soft>are de auditor a $o! en d a" +uc$os pro&eedores del soft>are ! otras organizaciones ofrecen entrenamiento genrico ! espec fico para el uso de $erramientas del soft>are" /ero el entrenamiento basado en la computadora puede ampliar el ,mbito de la auditor a as como de las acti&idades ob%eto de auditor a ! no debe ser limitado a las e-periencias anteriores" El entrenamiento puede ser informal ! automoti&ado, o puede ser un elemento formal de administraci(n de la auditor a que proporciona retroalimentaci(n al aprendiz ! a la direcci(n" En el conte-to de entrenamiento basado en computadora como una $erramienta de la auditor a, es m,s probable que deba ser auto moti&ado" /uede limitarse por el tiempo ! las $erramientas disponibles, la &elocidad a la que las $erramientas operan, o la energ a e imaginaci(n del auditor" /or e%emplo, si los auditores no tienen acceso a internet entonces no $1

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

pueden utilizarla para buscar informaci(n" 'i su camino de acceso es lento, entonces los requisitos de tiempo pueden sobrepasar r,pidamente el &alor recibido ! reducir el entusiasmo del auditor por tal aprendiza%e" 'i los auditores de &ia%e no tienen acceso remoto a sus arc$i&os centrales o email, entonces ellos no pueden in&estigar la $istoria de la auditor a ! no pueden usar un ser&idor de la lista para buscar apo!o de otros ante un problema o pregunta" @inalmente la direcci(n de la auditor a ! por supuesto el presupuesto, determinar, el %uego de las $erramientas que se proporcione a los auditores, pero los auditores ser,n los que determinen qu tan eficazmente se usen las $erramientas" El entrenamiento deber, enfocarse en c(mo buscar ! aprender nue&a informaci(n ! acercamientos, no s(lo c(mo realizar tareas pre&iamente definidas o usar facilidades del soft>are disponible" >. S->,&9&-(.* 2- .&-9=*

En algunos casos, puede ser posible utilizar los relo%es internos del sistema para grabar el tiempo que los auditores gastan usando sus computadoras ! rastrear el tiempo dedicado a los pro!ectos indi&iduales" Tambin puede ser pertinente grabar el tiempo ! los recursos usados por programas cuando ellos procesan para los prop(sitos de pro!ectos de la auditor a espec ficos" E&entualmente los rastreos automatizados de recursos se &ol&er,n la norma, pero $o! en d a principalmente administraci(n" 3n sistema de administraci(n de auditor a puede proporcionar un detallado ! resumido an,lisis de producti&idad ! otros par,metros requeridos para lograr una eficiente administraci(n de la auditor a" El seguimiento del tiempo ! su informaci(n pueden ser elementos del sistema de administraci(n de pro!ectos anteriormente su me%or utilizaci(n" descrito, ! pueden usarse para e&aluar el desempe)o, estimar requerimientos de tiempo por fi%ar ! otras $erramientas relacionadas para se utilizan para proporcionar insumos para el proceso de

$$

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

.3.1 A6>,(*: -F-9=6*: 2- 0-4439&-(.3: /*9=,.32*4&7323: 2- 3=*?* 3 63 ),(/&8( 2A,2&.*453 2- TI * continuaci(n se presenta una descripci(n general de algunas de $erramientas computadorizadas de apo!o a la funci(n de auditor a" 'e inclu!e una muestra de aquellas que, a criterio de los autores, son las m,s utilizadas en nuestro medio ! pueden ser de inters a los efectos de la labor de la *uditor a de T0 en el +inisterio" Como complemento a la informaci(n que se presenta, en el *ne-o 2 se inclu!e informaci(n sobre otras $erramientas as como las referencias generales de pro&eedores de las mismas" ACL P343 N&(2*H: *C1 para Sindo>s es reconocido mundialmente como el l der en tecnolog a para el acceso ! an,lisis de datos ! la generaci(n de reportes" /ermite con&ertir datos en informaci(n significati&a, lo cual le a!uda a alcanzar sus ob%eti&os de negocios ! agregar &alor a su organizaci(n" *C1 puede usarse eficazmente para4 0dentificar tendencias, se)alar e-cepciones ! destacar ,reas que requieren atenci(n 1ocalizar errores ! fraudes potenciales, mediante la comparaci(n ! el an,lisis de arc$i&os seg2n los criterios especificados por el usuario" Dol&er a calcular ! &erificar saldos" 0dentificar problemas de control ! asegurar el cumplimiento de las normas" *nalizar ! determinar la antigCedad de las cuentas por cobrar, cuentas por pagar u otras transacciones a las que afecta el tiempo transcurrido" Recuperar gastos o ingresos perdidos, detectando pagos duplicados, secuencias numricas incompletas en la facturaci(n o ser&icios no facturados" Detectar relaciones no autorizadas entre el personal de la empresa ! los pro&eedores ! miles m,s" * continuaci(n se destacan algunas de sus principales caracter sticas" @uncionalidad incorporada de auditor a 1%%

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

El soft>are *C1 para acceso, an,lisis de datos ! generaci(n de informes posee abundantes funciones espec ficas para la auditor a4 desde comandos tales como #*/' ;@altantes=, D3/10C*TE' ;Duplicados= ! 'TR*T0@U ;Estratificar= $asta el importante log de comandos o el $istorial detallado del proceso" 1a funcionalidad incorporada de re&isi(n de cuentas le permite a auditores ! contadores, sin e-periencia tcnica o de programaci(n, realizar r,pidamente an,lisis e informes sobre datos financieros" Capacidad de an,lisis interacti&o"

*naliza datos de manera interacti&a ! obtiene resultados inmediatos mientras aplica una metodolog a de auditor a e in&estiga las e-cepciones en cualquier momento" *lta capacidad ! &elocidad"

:frece las &enta%as de la capacidad de tama)o ilimitado de arc$i&o ! su &elocidad para procesar r,pidamente millones de transacciones, asegura una cobertura del 100X ! una confianza absoluta en sus resultados" @acilidad de uso"

Realiza un an,lisis r,pido e independientemente de su departamento de '0 ;sistemas de informaci(n=, con la facilidad de uso de la interfaz de *C17 se puede e-traer men2s, barras de $erramientas ! se)alar ! seleccionar comandos" 1as inno&aciones tales como el procesamiento de arc$i&os de entrada me%orado ! el selector de fec$as simplifican la funcionalidad en *C1" *n,lisis uni&ersal de datos"

El *sistente de definici(n de datos f,cilmente selecciona, identifica ! da formato a los datos, acelerando su acceso a las capacidades de an,lisis ! generaci(n de informes de *C1" /uede usarse para leer ! analizar &irtualmente cualquier tipo de datos de cualquier entorno de c(mputo, inclu!endo datos de bases de datos en conformidad con :D<C, arc$i&os de informe de longitud &ariable, arc$i&os pri&ados de '*/Y REBY, arc$i&os tradicionales, arc$i&os de informe ! muc$os m,s" /rocesamiento de arc$i&os m2ltiples"

Relaciona ! traba%a simult,neamente con &arios arc$i&os, para $acer an,lisis e informes a2n m,s completos" 1%1

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

0nformes de alta calidad"

/roduce informes de l neas m2ltiples f,ciles de entender para apo!ar los $allazgos" /ermite el dise)o para &er pre&iamente ! modificar sus resultados en pantalla con la facilidad de arrastrar ! colocar" En& a por correo electr(nico notificaciones autom,ticas de los resultados de los an,lisis en apo!o a metodolog as de auditor a espec ficas" *simismo permite crear informes en HT+1 para su publicaci(n en el 0nternet o en la intranet de la organizaci(n" Detalle integral del traba%o realizado.

/ermite re&isar o imprimir en cualquier momento, un $istorial completo de los arc$i&os, pasos ! resultados A,2&.*4:OS*).H34- T**6:-. CAST@ Es una soluci(n integral, compuesta por un con%unto de tres productos que permiten la automatizaci(n de cualquier tipo de e&aluaci(n ! auditor a" RanQing *d&isor4 /ermite el modelo de riesgos ! la &aloraci(n ! clasificaci(n por ni&el de riesgo del uni&erso auditable" *utomatiza cada etapa del proceso de auditor a ;/laneaci(n, Dise)o del /rograma, E%ecuci(n de las /ruebas, papeles de Traba%o, super&isi(n, informes, seguimiento, etc"= /ro audit" *d&isor &"2"4 +e%ora la &aloraci(n ! e&aluaci(n detallada de los riesgos ! controles" /ermite un proceso de e&aluaci(nEauditor a, consistente con modelos de control interno internacionales;C:':, C:C:, Cadbur!=, desagregando las ,reas de acuerdo a la estructura real de cada organizaci(n" /ermite crear o &incular a la e&aluaci(n E auditor a, la documentaci(n ! papeles de traba%o e-ternos electr(nicos ;Sord, E-cel9/o>er/oint= como soporte ! e&idencia del traba%o" C:<0T *d&isor, pro&ee a las organizaciones una $erramienta automatizada para e&aluar !Eo auditar, de manera ,gil ! consistente el cumplimiento de los ob%eti&os de control ! controles detallados, que aseguran que los procesos ! recursos de 0nformaci(n ! Tecnolog a contribu!an al logro de los ob%eti&os de negocios"

1%2

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

@uncionalidad 1a E&aluaci(n ! +e%oramiento del 'istema de Control basados en est,ndares internacionales" 1a *uditor a 0ntegral ;@inanciera, :peracional, de 'istemas, etc=, con programas de auditor a paso a paso, o mediante el enfoque basado en la administraci(n del Riesgo" 1a captura ! administraci(n de la e-periencia ! conocimientos acumulados de los e&aluadores ! auditores a tra&s del tiempo ! su me%oramiento continuo" "34-)**. A,2&.*4 C PC@ Este sistema de auditor a no requiere de una base de datos de productos ! arc$i&os para reconocer su instalaci(n de soft>are" Ao e-ige el entrenamiento costoso para reconocer los productos ! nunca estar fuera de fec$a" Cada nue&o producto, cada nue&a &ersi(n se identifica autom,ticamente" Todo el sistema corre igualmente bien en las m,quinas autosuficientes ! /Cs conectadas a una red de computadoras ! puede grabar sus datos al disQette, disco duro o ser&idor" El sistema &iene completo con funciones para unir cualquier n2mero de auditor as, un generador del informe sofisticado ! $erramientas de mantenimiento de datos" El paquete entero puede correrse desde D:' o Sindo>s"

I2-3 2%%1 /ermite a los usuarios me%orar la eficacia ! efecti&idad en sus tareas de an,lisis de datos" 0DE* 2001 ofrece a los usuarios las siguientes funciones4

*gregar campos editables ! etiquetas del manual 9 agregar comentarios o un &alor asignado a un campo, o indicar su status"

Con un doble clicQ en una columna ordenar alfanumricamente, por fec$a o por orden numrico"

Estad sticas de nue&os datos ! funciones duplicadas E-traer resultados ! gr,ficos con un doble clicQ en una fila o en una parte del gr,fico, ! traba%ar los datos sub!acentes" 1%3

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

1os usuarios de 0DE* participan acti&amente para el desarrollo del producto a tra&s de grupos de usuarios, suministro de e9mail ! a tra&s de la red de distribuci(n global de 0dea" 0DE* 2001 permite a los usuarios leer, desplegar, analizar, manipular, o e-traer una muestra de los datos arc$i&ados en casi cualquier fuente 9 mainframe o /C, incluso informes impresos a un arc$i&o" 0DE* e-tiende el alcance del auditor o analista proporcionando funciones 2nicas ! caracter sticas no encontrados en soft>are genrico ! les da el poder a los usuarios para ba%ar el costo de traba%o de la auditor a, refuerza la calidad a su traba%o ! asume nue&os papeles"

CMM A2'&:*4 Capabilit! +aturit! +odel ;C++=*d&isor es la $erramienta automatizada para a!udar a los negocios a desarrollar ! mantener efecti&os procesos de soft>are" C++ asiste a las unidades comerciales uniendo el desarrollo ! mantenimiento del proceso de soft>are" C++ $a sido desarrollado por el 0nstituto de 0ngenier a de 'oft>are ;'E0= para proporcionar una referencia al negocio con benc$marcQ para el proceso de T0" Est, dise)ado para usarse en los negocios, in&olucrado planeamiento, dise)o ! desarrollo del soft>are"

CO"IT A2'&:*4 C:<0T *d&isor Brd Edition brinda al usuario4


3n proceso consistente para e&aluar la administraci(n ! el control de T0" 3n patr(n de comparaci(n ;benc$marQ= reconocido para la administraci(n ! el control de T0" Re&isiones enfocadas mediante selecci(n de los procesos m,s rele&antes, los criterios de informaci(n ! los recursos de T0" 0nformes de alta calidad a medida de los requerimientos particulares del negocio" 3na representaci(n &isual de la e&aluaci(n mediante graficaci(n en l nea" Comparaci(n gr,fica ! elaboraci(n de informes sobre las e&aluaciones realizadas del negocio ! en el tiempo"

1%

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

Es utilizado por los auditores, los consultores de negocios ! los responsables de los procesos del negocio" C:<0T *d&isor Brd Edition se caracteriza por4

Contar con una base de datos de BJ procesos, B1M ob%eti&os de control ! BOJ gu as de auditor a" <rindar pistas en los procesos" *segurar cobertura" <rindar re&isiones m,s enfocadas mediante diferentes &istas" <rindar la generaci(n de un programa de auditor a a la medida" @acilitar la administraci(n de auditor a mediante registro de obser&aciones, su clasificaci(n ! filtrado"

CO"IT M3(3>-9-(. A2'&:*4 Es una $erramienta automatizada de &aloraci(n para la administraci(n ! control de T0" C:<0T +anagement *d&isor proporciona al negocio una $erramienta de auto&aloraci(n por medio de la e&aluaci(n del proceso T0 contra el esquema de C:<0T" 1a aplicaci(n le proporciona a los usuarios cinco puntos de &aloraci(n para cada uno de los B1M ob%eti&os de control detallados" C:<0T +anagement *d&isor est, dise)ado para la direcci(n de T0, para e&aluar sus procesos contra las me%ores practicas de la industria" 1a aplicaci(n le permite a los gerentes de T0 realizar una &aloraci(n para identificar si se cuenta con efecti&os controles ! tomar acciones correcti&as, sin la necesidad de un e-perto independiente" C4?:.36 R-=*4.: Cr!stal Reports accesa m,s de B0 fuentes de datos, tiene capacidades de an,lisis de datos ! opciones de tipo de informe" *dem,s, su plan modular permite usar Cristal Reports Engine para integrar informaci(n en las aplicaciones del banco de datos ! distribuido con un runtime libre" Este sistema es usado por profesionales comerciales que quieren informar o preguntar directamente de una fuente de los datos, por profesionales en sistemas de informaci(n que necesitan proporcionar informes a los usuarios comerciales, ! por los &endedores del soft>are 1%5

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

independientes, dise)adores del soft>are corporati&os ! D*Rs que necesitan incluir informaci(n en aplicaciones del banco de datos" 1a arquitectura asegura la respuesta a tiempo ! reduce el tr,fico de la SE<" 1os usuarios simplemente escogen el bro>ser que ellos prefieren, ! los este soft>are $ace el resto" /uede integrarse directamente al 5*cti&e 'er&er /ages6" C.43&( El 0nstituto de Certificaci(n de Entrenamiento $a completado la primera misma $erramienta de auto&aloraci(n totalmente probada para 0'*C*, que liber( los :b%eti&os de Control para la 0nformaci(n ! Tecnolog as *fines, o C:<0T" Esta $erramienta es aplicada por los profesionales en 'istemas de 0nformaci(n ! Controles para e&aluar el ni&el de cumplimiento de los est,ndares sobre ob%eti&os de control publicados por la *sociaci(n de *uditores de 'istemas de 0nformaci(n ! Control ;0'*C*= 9 normas que sir&en de base para el control de los sistemas de informaci(n ! los profesionales de la auditor a" Esta $erramienta de &aloraci(n inclu!e una apreciaci(n global del producto de C:<0T, su pertinencia a los sistemas de informaci(n ! del control, lista cinco ni&eles de cumplimiento para cada uno de los ob%eti&os de control publicados, una $o%a de c,lculo que sumariza un subtotal ! total del ni&el numrico de cumplimiento ! una e-plicaci(n de c(mo usarlo" D3.3 EA=6*4-4 @ue dise)ado atendiendo los principios para facilitar las aplicaciones del clienteEser&idor, capitalizar la arquitectura de la computadora moderna" Data E-plorer se caracteriza por su &elocidad, fle-ibilidad, combinadas con la facilidad para usar interface &isual" Data E-plorer est, aplicado en cualquier situaci(n donde se presente la necesidad de e-plorar cantidades grandes de datos de una manera fle-ible ! representar los resultados en una forma gr,fica" EA39&(-P Es el l der de industria en +D' de &erificaci(n ! auditor a de la integridad de los en sistemas en operaci(n, el cual es cr tico para la seguridad ! confiabilidad de sistema C*9e-amine a!uda a identificar ! controlar las e-posiciones de seguridad de +D', &irus, puertas de trampa, caballos 1%!

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

de tro%a ! bombas de l(gica que pueden destruir la seguridad de producci(n ! pueden enga)ar los mecanismos de seguridad" * tra&s del uso de tcnicas especialistas del sistema ! una interface del idioma ingls, C*9e-amine al instante proporciona informaci(n que es dif cil o imposible de obtener de otras fuentes" Tambin identifica problemas potenciales, $ace sugerencias ! contesta preguntas" C*9e-amine apo!a la nue&a 0nterface de Comprobaci(n de /roducto ;/D0= que establece traceabilit! de productos de soft>are de sistema e identifica requisitos de la instalaci(n apropiados para un n2mero creciente de Computadora 'ocios sistemas productos" El an,lisis de C*EE-amine ! funciones del despliegue a$orran &alioso tiempo por los datos centre a gerentes, administradores de seguridad, personas de los funcionamientos, el personal de con&icci(n de calidad ! otros que necesitan saber +D' sistema opciones actuales, par,metros e informaci(n de estado" R3.GS.3.: Es un paquete de $erramientas del soft>are estad sticas dise)adas para a!udar al usuario a obtener muestras al azar ! e&aluar los resultados" De una &ersi(n inicial con cuatro m(dulos de la apreciaci(n ! tres programas de utilidad, el paquete $a crecido incluir siete m(dulos para generar n2meros al azar, diecisis m(dulos para estimar resultados de la muestra, ! cuatro m(dulos que proporcionan datos las utilidades relacionadas" R*T9'T*T' es la $erramienta primaria de auditor a estad stica usada por la :ficina de 'er&icios de la *uditor a en la 'ecci(n de 'alud ! 'er&icios Humanos" El soft>are estad stico $a sido usado por la :ficina del 0nspector #eneral desde principios de a)os setenta" Con la llegada de las microcomputadoras se tiene la oportunidad de mo&er el soft>are estad stico de los sistemas para 5mainframe6" 1os programas se $an e&aluado ! certificado independientemente" 3na apreciaci(n global de R*T9'T*T' se present( a la 1??1 Conferencia de Desarrollo /rofesional patrocinada por la *sociaci(n de Cuentas #ubernamentales ;*#*=" El paquete se 1%7

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

$a anunciado subsecuentemente ! $a sido distribuido por el *#*" El paquete es usado a$ora por organizaciones de auditor a alrededor del mundo"

ELEMENTOS

PARA

UNA

DECISIN

SO"RE

HERRAMIENTAS

COMPUTADORIZADAS * continuaci(n se plantean algunos elementos que a nuestro criterio deben ser considerados a los efectos de la toma de decisiones sobre la adquisici(n de $erramientas computadorizadas de apo!o a la administraci(n ! a la *uditor a de T0 en el campo del control ! la auditor a ; tanto para su administraci(n como para el desarrollo de sus funciones="

. .1 S&.,3/&8( A/.,36 2- TI -( 63 D&4-//&8( G-(-436 2- A,2&.*453 I(.-4(3. En primer trmino se describe un bre&e diagn(stico de la situaci(n actual en cuanto a disponibilidad de facilidades de tecnolog a de la informaci(n en la Direcci(n #eneral de *uditor a 0nterna del +inisterio de Hacienda" A//-:* 3 &(.-4(-.4 Desde enero del a)o 2000 todos los funcionarios tienen acceso a internet, con la particularidad de que 2nicamente se dispone de 12 puertos para estaciones de traba%o del personal, de manera que, considerando la plantilla ideal, se tiene un faltante de L puertos para que todo el personal pudiera accesar internet simult,neamente" Esta facilidad $a permitido tener acceso a documentos e informaci(n de organizaciones especializadas en el campo del control ! la auditor a" P;>&(3 H-<" 1a auditor a tiene su p,gina >eb como parte del sitio >eb del +inisterio de Hacienda" Hasta a$ora dic$a p,gina 2nicamente dispone de informaci(n de car,cter general sobre la dependencia ! la lista de los diferentes informes generados anualmente a partir de 1??M" C*44-* -6-/.48(&/*4 *ctualmente todo el personal tiene su cuenta de correo electr(nico" En &irtud de la limitaci(n de puertos !a comentada, uno de los funcionarios debe accesar su cuenta desde la computadora de un compa)ero" *unque se $a empezado a utilizar como 1%1

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

medio de comunicaci(n con otras instancias, en sentido estricto no se $a sustituido plenamente la comunicaci(n formal mediante oficios" *lgunas gestiones ! asesor as, como solicitudes de informaci(n para seguimiento del cumplimiento de recomendaciones disposiciones ! ad&ertencias sobre debilidades de control, se realizan utilizando esta $erramienta" S*).H34-D En cuanto a soft>are, 2nicamente se dispone de las $erramientas de oficina b,sicos4 procesador de palabras ! $o%a electr(nica" *simismo se cuenta con +icrosoft /ro!ect como soft>are especializado de administraci(n de pro!ectos ! recientemente se recibi( una capacitaci(n b,sica en el uso de sta" H342H34-D El equipo de c(mputo disponible en la actualidad es el siguiente4 2 microcomputadoras port,tiles de B2 +< memoria R*+ 11 estaciones de traba%o, clasificadas seg2n memoria R*+ de la siguiente manera4 1 de 12M +< L de LJ +< 1 con B2 +< B con 1L +<

1 ser&idor de red de LJ +< R*+, el que por razones tcnicas no $a sido utilizado como tal" J 0mpresoras"

Como se desprende de lo indicado, la Direcci(n de *uditor a 0nterna, desde el punto de &ista de equipo ! $erramientas de T0, se encuentra en una situaci(n deficitaria, especialmente por las limitaciones de memoria de algunas de las microcomputadoras utilizadas, las limitaciones de puertos de cone-i(n a red ! la no disponibilidad de soft>are especializado" . .2 TI -( -6 M&(&:.-4&* 2- H3/&-(23 En la selecci(n de $erramientas deber,n considerarse algunos aspectos de car,cter institucional que de una u otra manera establecen restricciones o requerimientos para lograr una ma!or efecti&idad de la labor de la auditor a"

1%$

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

Est,ndares ! lineamientos establecidos

En la selecci(n de $erramientas se deber,n considerar los est,ndares establecidos por el Conse%o de 0nform,tica, especialmente en el sentido de que las que las $erramientas de auditor a puedan interactuar con las bases de datos que el +inisterio $a seleccionado" *simismo debe tomarse en cuenta el contrato corporati&o suscrito con +icrosoft" Debilidades institucionales en el ambiente de control"

1as debilidades del ambiente de control en el +inisterio $an sido apuntadas tanto por la Direcci(n #eneral de *uditor a 0nterna como por la Contralor a #eneral de la Rep2blica, siendo e&idente la necesidad de un esfuerzo por parte de la *dministraci(n para establecer ! perfeccionar los sistemas de control en la gesti(n de los recursos de T0" /ara estos efectos es importante el uso de una $erramienta que oriente las acciones seg2n las me%ores pr,cticas en sta ,rea ! adem,s promue&a la autoe&aluaci(n" 1o anterior se considera una condici(n necesaria para que la e&aluaci(n independiente que corresponde realizar a la auditor a agregue &alor ! contribu!a al fortalecimiento de los controles" . .3 M*2-6* 9-.*2*68>&/* 4-/*9-(232* =343 63 3,2&.*453 El modelo metodol(gico operati&o recomendado en el cap tulo 2, denominado :b%eti&os de Control para la 0nformaci(n ! Tecnolog as *fines ;C:<0T por sus siglas en ingls=, tiene como una de sus fortalezas el desarrollo de $erramientas automatizadas tanto para la administraci(n como para la auditor a, lo cual e&identemente deber, considerarse en la selecci(n de las $erramientas automatizadas de apo!o a la auditor a" . . P4*/-:* 2- C4-3/&8( ? D-:344*66* 2- 63 A,2&.*453 2- TI 1a adquisici(n de $erramientas deber, guardar relaci(n con la estrategia de desarrollo de la *uditor a de T0 que se desarrollar, en el siguiente cap tulo, debiendo darse prioridad a aquellas $erramientas que apo!en los esfuerzos que se desarrollar,n en las primeras etapas" Esto resulta de especial rele&ancia considerando la r,pida e&oluci(n que en este campo se da, de tal suerte que no se %ustificar a adquirir $erramientas que no se &an a utilizar a corto plazo !a que &ersiones posteriores de la misma podr an adquirirse a un me%or precio e incorporar facilidades adicionales"

11%

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

. .5 R-+,-4&9&-(.*: 2- H342H341as $erramientas computadorizadas podr an requerir de la adquisici(n de equipo de computo adicional, lo cual debe ser &alorado a la luz de la disponibilidad de recursos ! los costos ! beneficios que pueden generarse" .5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS Ao $a sido el prop(sito del an,lisis realizado llegar a seleccionar $erramientas espec ficas, !a que ello conlle&ar a un an,lisis de ma!or profundidad de cada una de ellas en relaci(n con las necesidades espec ficas para el desarrollo de la *uditor a de T0 en el +inisterio, por lo que no fue considerado dentro del alcance de la presente in&estigaci(n" Ao obstante, considerando los elementos planteados en el apartado anterior pretendemos plantear orientaciones sobre las prioridades en cuanto a $erramientas computadorizadas requeridas para la implantaci(n de la *uditor a de T0 en el +inisterio, sal&o en el caso en que dic$os elementos conlle&en la selecci(n de una $erramienta espec fica" .5.1 H-4439&-(.3: 2- A=*?* 3 63 A29&(&:.43/&8( 2- 63 TI 1a adquisici(n de $erramientas que fomenten la cultura de control ! faciliten el cumplimiento de las responsabilidades de control que le corresponden a la administraci(n es una de las prioridades e&identes, especialmente considerando las debilidades que $an sido planteadas en el diagn(stico realizado en el /ro!ecto 0ntegrado 0" /or otra parte, considerando el modelo metodol(gico de *uditor a de T0 que $a sido propuesto en el cap tulo 2, el cual tiene la particularidad de contar con soporte computadorizado para la *dministraci(n, se considera necesario contar con la $erramienta C:<0T, en este caso la C:<0T +anagement *d&isor, cu!as caracter sticas !a fueron planteadas en trminos generales en el punto J"B"1" /ara me%or pro&ee,r a continuaci(n se presentan con ma!or detalle las principales facilidades que ofrece a la *dministraci(n para el control de la gesti(n de la T0"

111

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

Z 'oporta consolidaci(n multini&el, permitiendo la comparaci(n de ,reas de la misma organizaci(n ! en el tiempo" Z El sistema de alerta facilita el seguimiento de las ,reas que ameritan ma!or atenci(n" Z /uede ser modificado para atender los requerimientos espec ficos de la organizaci(n" Z /roporciona facilidades de reportes ! graficaci(n tanto ad9$oc como estandarizados para las diferentes etapas del proceso de auditor a" Z Est, basado en Sindo>s, siendo mu! amigable ! f,cil de aprender para el usuario" Z Tiene capacidad de funcionar & a intranetEinternet" Z /ermite a%ustar su an,lisis incorporando aquellas partes del marco de referencia de C:<0T que resulten rele&antes para el caso espec fico" *dicionalmente, en &irtud de las limitaciones de recursos se considera de gran necesidad contar con una $erramienta que permita &alorar ! administrar los riesgos, para lo cual se presentaron &arias alternati&as en el punto J"B"1, que tendr an que ser analizadas con ma!or detalle por la *dministraci(n al tomar la decisi(n" .5.2 H-4439&-(.3: 2- A=*?* 3 63 A29&(&:.43/&8( 2- 63 A,2&.*453 /ara una adecuada administraci(n de los recursos de la auditor a se considera necesario disponer de una $erramienta que permita la administraci(n integrada de stos" Esta facilidad busca que los escasos recursos se puedan concentrar en la labor sustanti&a ! menos al control ! administraci(n de los recursos" /ara tal efecto con&iene recordar las diferentes $erramientas, de manera que la soluci(n que se adquiera incorpore la ma!or cantidad de stas en un soft>are integrado4 *n,lisis de riesgo" 0n&entario del uni&erso de la auditor a /laneaci(n ! asignaci(n *dministraci(n de /ro!ectos ! seguimiento de auditor as <ases de datos del personal ! 0n&entario de Herramientas <iblioteca de la Referencia Comunicaciones /resentaciones 112

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

'eguimiento de Resultados E Hallazgos Daloraci(n de 'atisfacci(n del cliente Entrenamiento ! Educaci(n

.5.3 H-4439&-(.3: 2- A=*?* 3 63 F,(/&8( 2- A,2&.*453 Como apo!o a la funci(n de auditor a de T0 es necesario contar con una $erramienta que por una parte sea congruente con el modelo metodol(gico operati&o ! que como $erramienta ofrezca &enta%as ! facilidades para su utilizaci(n" En ese sentido, tal ! como se mencion( en el cap tulo 2, una de las &enta%as del modelo C:<0T es que se $an desarrollado $erramientas computadorizadas para su aplicaci(n, en este caso el C:<0T *d&isor, !a descrita en el apartado J"B"1 de este documento, $a sido desarrollado por la firma +et$od>are en estricta coordinaci(n con 0'*C*" /or otra parte, como $erramienta ofrece destacadas facilidades para los auditores de T0, tales como4 3n proceso consistente para e&aluar ! auditar la gesti(n ! control de los sistemas de T0" 3n benc$marQ reconocido para la gesti(n ! control de sus sistemas de T0" Re&isiones focalizadas mediante la selecci(n de los dominios, procesos, criterios de calidad de la informaci(n ! recursos de T0, rele&antes en el plan de cada auditor a" /ermite realizar las auditor as en tres ;B= ni&eles4 *lto Ai&el #erencial ;Dominios E /rocesos=, detallado de los :b%eti&os de control, ! detallado con las #u as de *uditor a ;pasos del programa=" 1a identificaci(n e implementaci(n de ob%eti&os de control ! gu as de auditor a, basadas en est,ndares de 5me%ores pr,cticas6 ! brindar un 5ma!or &alor agregado6" #eneraci(n autom,tica de diferentes tipos de informes ! emisi(n gr,ficos que facilitan la interpretaci(n de los resultados" 0nterfase gr,fica de dise)o mu! amigable, tal ! como se puede apreciar en el ane-o B"

*simismo, considerando la realidad institucional, se pueden identificar elementos adicionales a fa&or de la $erramienta propuesta4 Es compatible con los est,ndares institucionales para sistemas operati&os" @acilita la incorporaci(n a los informes de aspectos de inters no necesariamente cubiertos en alguno de los ob%eti&os de control considerados por el modelo" 113

Captulo 2 Propuesta de 3erramientas Computadori.adas de Apo(o a la Auditora

Es una $erramienta que est, siendo utilizada ! considerada como referencia 2til por otras auditor as internas de instituciones p2blicas, como la del <anco Aacional de Costa Rica, el <anco Central de Costa Rica ! la Compa) a Aacional de @uerza ! 1uz"

11

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

CAPITULO 5 PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI

En este cap tulo se presenta el plan para la puesta en pr,ctica de los elementos planteados en los cap tulos anteriores" 0nicialmente se presentan las consideraciones de car,cter general que de una u otra manera inciden en el plan" /osteriormente se muestran los elementos que componen el plan ! el detalle de las tareas para un periodo de 2 a)os ! medio, finalmente se inclu!e el presupuesto econ(mico, en el que se puede encontrar una estimaci(n del costo para la implementaci(n de la propuesta" Con el planteamiento de estos aspectos espec ficos se pretende facilitar la toma de decisiones asociadas con la introducci(n ! consolidaci(n de la *uditor a de T0, de tal forma que se pueda trazar, con el ma!or detalle posible, las acciones que deber,n realizarse para concretar el prop(sito final de este 5.1 CONSIDERACIONES ESTRATQGICAS 5.1.1 A=*4.-: 2- 63 A29&(&:.43/&8( En un primer momento es necesario e&idenciar los aportes por cuenta de la *dministraci(n que a su &ez se consideran condiciones necesarias para la adecuada introducci(n de la *uditor a de T0 en el +inisterio de Hacienda" Compromiso de la *dministraci(n4 1a *dministraci(n debe asumir la responsabilidad que le es propia en cuanto al dise)o, actualizaci(n e implantaci(n del sistema de control interno" /or grandes los esfuerzos ! aportes de la auditor a, no $abr, &alor agregado en el tanto la administraci(n no asuma ese papel ! se comprometa con la implantaci(n de las recomendaciones que aquella presente como resultado de sus e&aluaciones" Disponibilidad de recursos4 1a *dministraci(n debe asignar los recursos financieros ! $umanos requeridos para la implantaci(n de la propuesta" En el apartado sobre costos estimados, se muestra la in&ersi(n inicial en adquisici(n de equipo, soft>are, 115

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

recurso $umano adicional ! capacitaci(n del personal de la Direcci(n #eneral de *uditor a 0nterna, sin la cual e&identemente no ser, posible lle&ar a cabo la propuesta" *dquisici(n de la $erramienta C:<0T +anagement *d&isor por parte de la *dministraci(n" Como un elemento m,s del alineamiento de los esfuerzos de la *dministraci(n ! de la *uditor a de T0 para fortalecer el sistema de control se requiere que ambas partes tengan un mismo enfoque ! se orienten $acia la consecuci(n de los mismos ob%eti&os" Ao obstante, en el plan no se inclu!e las acti&idades que corresponder, realizar a la administraci(n" Elaboraci(n del /lan Estratgico Tecnol(gico, actualmente en proceso, e inclusi(n de la *uditor a de Tecnolog a de la 0nformaci(n dentro del mismo" 1a conclusi(n de este /lan Estratgico Tecnol(gico ! la puesta en marc$a del mismo como elemento orientador de los esfuerzos del +inisterio de Hacienda en el campo tecnol(gico, ser, la base fundamental para el accionar de la *uditor a de Tecnolog a de la 0nformaci(n" *dem,s es necesario que dic$o /lan concept2e apropiadamente el rol de la auditor a ! su aporte para el alineamiento de la gesti(n de la T0 ! los ob%eti&os del negocio ! en consecuencia considere, tal ! como fue manifestado por el equipo de traba%o encargado de su elaboraci(n, la introducci(n de la *uditor a de Tecnolog a de la 0nformaci(n como uno de sus componentes ! pro!ectos prioritarios" 5.1.2 A6/3(/- 2-6 P63( 1a consolidaci(n de la *uditor a de T0 en el +inisterio de Hacienda es sin lugar a dudas un proceso comple%o ! e&oluti&o, toda &ez que sta deber, a%ustarse a los cambios tanto institucionales como del entorno, no s(lo a ni&el tecnol(gico sino tambin a ni&el organizacional, legal ! administrati&o" En ese sentido, es necesario establecer con claridad los limites del plan que se presentar," *l efecto, como orientaci(n general se pretende abarcar lo que denominaremos una primera etapa del proceso, caracterizada por los siguientes elementos4 le

11!

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

O<F-.&'*D 1ograr la consolidaci(n de la organizaci(n administrati&a de la *uditor a de T0 ! la asignaci(n de recursos $umanos ! tecnol(gicos m nimos para el desarrollo de esta funci(n ! fortalecer el ambiente de control de T0 dentro del +inisterio" A4-3: /*(:&2-4323:D En esta primera etapa no s(lo es necesario disponer de los recursos sino que se considera cla&e que la *uditor a de T0 de muestras claras de un aporte positi&o para la organizaci(n ! se posicione como un elemento fundamental del sistema de control interno ! de asesor a a la *dministraci(n" /ara estos efectos, ser, fundamental una participaci(n proacti&a ! asesora" En l nea con lo indicado, dentro del marco metodol(gico propuesto ;+odelo C:<0T= se considera con&eniente que en esta primera etapa se atienda prioritariamente el dominio /laneamiento ! :rganizaci(n, orientado a identificar la forma en que la T0 contribu!e de la me%or manera al logro de los ob%eti&os del negocio, as como el establecimiento de una organizaci(n ! una infraestructura tecnol(gica apropiada" Dentro de este dominio estimamos prioritarios tres subdominios o procesos, a saber4 /:1 Definici(n de un plan estratgico de tecnolog a de informaci(n" Este proceso comprende seis ob%eti&os de control" /:J Definici(n de la organizaci(n ! las relaciones de T0, que abarca quince ob%eti&os de control" /:? E&aluaci(n de riesgos, el cual cubre seis ob%eti&os de control"

Estos tres procesos son a nuestro criterio cla&es para lograr una respuesta clara a las principales debilidades apuntadas en el diagn(stico institucional realizado como primera fase del presente estudio"1B *dicionalmente, mediante el enfoque planteado se pretende orientar los primeros esfuerzos $acia el fortalecimiento del sistema control interno, m,s que a la identificaci(n de las limitaciones puntuales de las aplicaciones ! la gesti(n actual de la T0, en el entendido de que ello resulta cla&e en &irtud de la situaci(n institucional e&idenciada en los diferentes documentos elaborados por los grupos de /ro!ecto 0ntegrado 0"

29

=er apartado 6.6 de este documento.

117

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

5.1.3 O4>3(&73/&8( =343 -6 D-:344*66* 2-6 P63( /ara la e%ecuci(n del plan no se considera necesario una organizaci(n formalmente establecida, entendiendo que resulta e&idente que la coordinaci(n corresponder, a la Directora #eneral de *uditor a 0nterna" /or otra parte, ser, de especial importancia el apo!o ! participaci(n de la Direcci(n #eneral de 0nform,tica, en lo correspondiente al soporte tcnico, as como tambin del Director #eneral *dministrati&o ! @inanciero, que en su car,cter de Director del programa presupuestario al que est, incorporada la Direcci(n #eneral de *uditor a 0nterna %uega un papel rele&ante en cuanto a la asignaci(n ! e%ecuci(n de los recursos presupuestarios" 5.1. R&-:>*: * continuaci(n se presentan los principales riesgos que amenazan el desarrollo del plan4 *po!o de nue&as autoridades" El cambio de gobierno que se enfrentar, en ma!o del pr(-imo a)o podr a impactar el pro!ecto en funci(n del apo!o que brinden las nue&as autoridades del +inisterio" *l efecto, aunque se reconoce que la permanencia de la Directora #eneral ! 'ubdirectora de *uditor a 0nterna en algo mitiga el mencionado riesgo, lo cierto es que el apo!o de las autoridades superiores es un elemento cla&e, no solo en lo que respecta a la asignaci(n de recursos, sino tambin en lo que se refiere al espacio de acci(n ! rele&ancia que se le otorgue al traba%o que realice la Direcci(n" Ao lograr la contrataci(n de personal id(neo oportunamente" Retrasos en la contrataci(n del personal requerido para el funcionamiento de la *uditor a de T0, conlle&ar,n retrasos en el a&ance del pro!ecto, siendo de especial preocupaci(n la reacci(n de los usuarios en caso de no obser&arse aportes concretos por parte de la auditor a, por el contrario podr a darse un desperdicio por la no utilizaci(n del equipo ! soft>are que se $ubiera adquirido" *trasos en el proceso de contrataci(n administrati&a" 1a adquisici(n de bienes ! ser&icios, en especial del equipo, con alguna frecuencia se retrasa en &irtud de las apelaciones ! otros recursos que la 1e! de Contrataci(n *dministrati&a permite a los pro&eedores" En la medida en que no se cuente con las 111

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

$erramientas necesarias, dif cilmente se podr,n alcanzar los ob%eti&os planteados para la *uditor a de T0"

5.2 COMPONENTES DEL PLAN OPERATIVO * los efectos de la estructuraci(n del plan operati&o, se $an establecido M componentes, que se desglosan por tareas4 *probaci(n del pro!ecto4 Comprende las acti&idades orientadas a lograr la aprobaci(n del pro!ecto por parte de las autoridades superiores del +inisterio" *%uste de la organizaci(n de la *uditor a de T0" Considera las tareas requeridas para la modificaci(n ! a%uste del decreto de organizaci(n ! funciones de la Direcci(n #eneral de *uditor a 0nterna, con el fin de que en su estructura funcional se considere el *rea de *uditor a de T0" Contrataci(n del recurso $umano" Comprende las acti&idades a desarrollar con el fin de que el *rea de T0 disponga de los recursos $umanos m nimos para su funcionamiento" Capacitaci(n4 En cuanto a este particular se considera la capacitaci(n de trece funcionarios en la 3ni&ersidad de Costa Rica, con el prop(sito de que todos cuenten con el grado de Tcnico en *uditor a 0nform,tica ! que se tengan posibilidades de actualizaci(n profesional, participando en el desarrollo del seminario latinoamericano sobre auditor a de sistemas de informaci(n impartido por la 0'*C*" *dquisici(n de licencias de soft>are4 'e inclu!en las diferentes tareas a realizar para concretar la adquisici(n de soft>are, concretamente de C:<0T *d&isor, $erramienta para la administraci(n de *dministraci(n de Riesgo" *dquisici(n de equipo4 'e e-plicitan las diferentes tareas asociadas con la adquisici(n de un ser&idor ! estaciones de traba%o que soporten las caracter sticas del soft>are que se propone adquirir" 11$ la gesti(n de la *uditor a ! una ! otra para la

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

@ortalecimiento del ambiente de control4 'e consideran las tareas requeridas para concretar la e&aluaci(n de tres subdominios o procesos del dominio titulado 5/laneaci(n ! :rganizaci(n6, a saber4 E&aluaci(n ! seguimiento del plan estratgico Definici(n de la organizaci(n ! de las relaciones de T0 E&aluaci(n del riesgo

El detalle de todas ! cada una de las acti&idades se muestra en el cronograma que se muestra a continuaci(n"

12%

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

CRONO RA#A DEL PRO,ECTO AUDITORIA DE TI EN EL #INISTERIO DE 8ACIENDA


0d 2 B J N L O M ? 10 11 12 1B 1J 1N 1L 1O 1M 1? 20 AF,:.- 2- 63 *4>3(&73/&8( 2- 63 3,2&.*453 &(.-4(3 /reparar documento propuesta de modificaci(n a la estructura organizacional /resentar documento a las autoridades superiores *nalizar propuesta /resentar propuesta a +0DE/1*A *nalizar propuesta *probar propuesta /reparar modificaci(n al Reglamento de :rganizaci(n ! @unciones de la D#*0 Decreto 1?0LO9H /resentar propuesta de modificaci(n al +inistro *n,lizar la propuesta *probar propuesta de modificaci(n Tramitar firma del /residente 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X Aombre de tarea /reparar el documento del pro!ecto /reparar presentaci(n a las autoridades Realizar presentaci(n *nalizar pro!ecto Comentar ! &alorar obser&aciones *probar pro!ecto sep JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un

0X 0X 0X 0X 0X 0X

121

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d 21 22 2B 2J 2N 2L 2O 2M 2? B0 B1 B2 BB BJ BN BL BO BM B?

Aombre de tarea /ublicar decreto

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre sep oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X

A:&>(3/&8( 2- 4-/,4:*: )&(3(/&-4*: /resentar solicitud de recursos a la D# *d" U @i" *signar recursos financieros

1X BX 0X

C*(.43.3/&8( 2- 4-/,4:* 0,93(* Elaborar propuesta de a%uste al manual de cargos para coordinador de *T0 ! profesional inform,tico /resentar propuesta de a%uste al manual de cargos *nalizar propuesta de manual de cargos Elaborar propuesta de a%uste al +anual institucional /resentar a%uste al +anual institucional a la Direcci(n #eneral de 'er&icio Ci&il *probar a%uste Emitir resoluci(n de a%uste al +anual 0nstitucional /reparar propuesta de reestructuraci(n de puesto *nalizar propuesta de reestructuraci(n *probar reestructuraci(n Emitir resoluci(n de reestructuraci(n de puesto coordinador T0 ! profesional inform,tico 'olicitar a la D#/A modificaci(n a la R/ 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X

0X

122

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d J0 J1 J2 JB JJ JN JL JO JM J? N0 N1 N2 NB NJ NN NL NO NM

Aombre de tarea Tramitar decreto de modificaci(n a la Relaci(n de /uestos /ublicar decreto de modificaci(n Tramitar concurso interno para nombramiento Reclutar coordinador de auditor a T0 'eleccionar Tramitar nombramiento de coordinador *T0 'olicitud de puesto nue&o profes" 0nform" *probar traslado de plaza &acante /reparar solicitud de reestructuraci(n *nalizar propuesta de reestructuraci(n puesto *probar reestructuraci(n Emitir resoluci(n de reestructuraci(n de puesto coordinador T0 ! profesional inform,tico 'olicitar a la D#/A modificaci(n a la R/ Tramitar decreto de modificaci(n a la Relaci(n de /uestos /ublicar decreto de modificaci(n Tramitar concurso interno para nombramiento Reclutar profesional en inform,tica 'eleccionar Tramitar nombramiento de prof" 0nf"

sep

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X

123

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d L0 L1 L2 LB LJ LN LL LO LM L? O0 O1 O2 OB OJ ON OL OO OM

Aombre de tarea C3=3/&.3/&8( 2- ),(/&*(34&*: P4*>4393 9*2,634 2- .B/(&/* -( 3,2&.*453 2- TI 'olicitar inclusi(n del curso en el programa de capacitaci(n *utorizar inclusi(n en programa de capacitaci(n 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios /articipar m(dulo 1 3CR 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios /articipar m(dulo 2 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios /articipar m(dulo B 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre sep oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0 0 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X

12

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d O? M0 M1 M2 MB MJ MN ML MO MM M? ?0 ?1 ?2 ?B ?J ?N ?L ?O

Aombre de tarea /articipar m(dulo J 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios /articipar m(dulo N 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios /articipar m(dulo L 'olicitar emisi(n de :rden de compra Emitir orden de compra 0nscribir funcionarios /articipar m(dulo O

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre sep oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X

S-9&(34&* I(.-4(3/&*(36 -( 3,2&.*453 2- TI 'olicitar inclusi(n del curso en el programa de capacitaci(n *utorizar inclusi(n en programa de capacitaci(n 'olicitar emisi(n de :rden de compra Emitir orden de compra 0X 0X 0X 0X

0X

125

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d ?M ?? 100 101 102 10B 10J 10N 10L 10O 10M 10? 110 111 112 11B 11J 11N 11L

Aombre de tarea 0nscribir pro&" funcionarios Tramitar *cuerdo de Dia%e *utorizar *cuerdo de Dia%e /articipar en 'eminario

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre sep oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X 0X 0X 0X

A2+,&:&/&8( 2- 6&/-(/&3: 2- :*).H34A2+,&:&/&8( 2- C*<&. A2'&:*4 /reparar solicitud de mercanc a Tramitar aprobaci(n de solicitud de mercanc a Realizar proceso de contrataci(n administrati&a *d%udicar Entregar soft>are 0nstalar soft>are Capacitar en el uso de la $erramienta A2+,&:&/&8( 2- C*<&. M3(3>-9-(. A2'&:*4 Elaborar solicitud de mercanc a Tramitar aprobaci(n de solicitud de mercanc a Realizar proceso de contrataci(n administrati&a 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X

0X

12!

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d 11O 11M 11? 120 121 122 12B 12J 12N 12L 12O 12M 12? 1B0 1B1 1B2 1BB 1BJ 1BN

Aombre de tarea *d%udicar Entregar soft>are 0nstalar soft>are Capacitar en el uso de la $erramienta A2+,&:&/&8( 2- 0-4439&-(.3 2- 329&(&:.43/&8( 2- 63 3,2&.*453 0n&estigaci(n de alternati&as Elaborar solicitud de mercanc a Tramitar aprobaci(n de solicitud de mercanc a Realizar proceso de contrataci(n administrati&a *d%udicar Entregar 0nstalar soft>are Capacitar en el uso de la $erramienta

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre sep oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X 0X

A2+,&:&/&8( 2- 0-4439&-(.3 2- 329&(&:.43/&8( 2- 4&-:>* Realizar in&estigaci(n de mercado Elaborar solicitud de mercanc a Tramitar aprobaci(n de solicitud de mercanc a Realizar proceso de contrataci(n administrati&a 0X 0X 0X 0X

0X

127

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d 1BO 1BM 1B? 1J0 1J1 1J2 1JB 1JJ 1JN 1JL 1JO 1JM 1J? 1N0 1N1 1N2 1NB 1NJ 1NN

Aombre de tarea Entregar 0nstalar soft>are Capacitar en el uso de la $erramienta

sep

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X 0X 0X

A2+,&:&/&8( 2- -+,&=* 2- /89=,.* Realizar estudio de mercado Elaborar solicitud de mercanc as Tramitar aprobaci(n de la solicitud de mercanc as" Tramitar ampliaci(n de cuota presupuestaria Realizar proceso de contrataci(n administrati&a *d%udicar Entregar e instalar el equipo 0X 0X 0X 0X 0X 0X

0X

0X

F*4.36-/&9&-(.* 2-6 39<&-(.- 2- /*(.4*6

0X

E'36,3/&8( =63( -:.43.B>&/* 2- TI Comunicar inicio de e&aluaci(n Realizar E&aluaci(n /reparar presentaci(n de resultados 0X 0X 0X

0X

121

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

0d 1NL 1NO 1NM 1N? 1L0 1L1 1L2 1LB 1LJ 1LN 1LL 1LO 1LM 1L? 1O0 1O1 1O2 1OB 1OJ

Aombre de tarea Comunicar resultados a la administraci(n Elaborar informe Entregar informe

JT trimestre 1er trimestre 2T trimestre Ber trimestre JT trimestre 1er trimestre 2T trimestre sep oct no& dic ene feb mar abr ma! %un %ul ago sep oct no& dic ene feb mar abr ma! %un 0X 0X 0X

E'36,3/&8( 2- *4>3(&73/&8( ? 4-63/&*(-: 2- TI Comunicar inicio de e&aluaci(n Realizar E&aluaci(n /reparar presentaci(n de resultados Comunicar resultados a la administraci(n Elaborar informe Entregar informe 0X 0X 0X 0X

0X

0X 0X

E'36,3/&8( 2- 4&-:>*: Comunicar inicio de e&aluaci(n Realizar E&aluaci(n /reparar presentaci(n de resultados Comunicar resultados a la administraci(n Elaborar informe Entregar informe 0X 0X 0X 0X

0X

0X 0X

12$

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

5.3 UNA APRO#IMACIN A LOS COSTOS De acuerdo con la in&estigaci(n realizada, a continuaci(n se presentan los costos estimados para los diferentes componentes considerados en el plan4 recursos $umanos, adquisici(n de equipo ! adquisici(n de soft>are" 1as cifras se presentan en d(lares estadounidenses con el prop(sito de e&itar el efecto de la de&aluaci(n" /ara efectos de la estimaci(n se $an considerado los siguientes supuestos4 El coordinador del ,rea de T0 tendr, un salario base similar al de los otros puestos de coordinador general de la Direcci(n #eneral de *uditor a 0nterna" /ara efectos de estimaci(n de otros componentes salariales se consider(4 pro$ibici(n ;LNX=, anualidades ;N=, carrera profesional ;1L puntos=" El puesto nue&o de profesional inform,tico tiene la misma categor a del profesional inform,tico actual" 1as estimaciones de costos de las $erramientas computadorizadas se fundamentan en cotizaciones obtenidas por algunos distribuidores nacionales" El costo del equipo se estim( seg2n datos proporcionados por distribuidores de equipo" 'e considera la adquisici(n de M estaciones de traba%o, cantidad que corresponde al faltante en la Direcci(n #eneral de *uditor a 0nterna para que cada funcionario disponga de equipo con la capacidad m nima requerida para la instalaci(n ! funcionamiento del soft>are que se propone adquirir" El ser&idor que se propone adquirir responde a los requerimientos m nimos del soft>are que se propone adquirir, a saber4 procesador /entium 000, &elocidad de J00 +$z, 12M +b de memoria R*+"

13%

Captulo 4 Plan operativo para la Introduccin de la Auditora de /I

MINISTERIO DE HACIENDA PRESUPUESTO PROYECTO AUDITORIA TI


P-4&*2* =4-:,=,-:.34&* 2%%2R2%%3 en d(lares estadounidenses

1. R-/,4:*: H,93(*:
1"1 Reestructuraci(n puesto coordinador 1"2 /uesto adicional de profesional inform,tico 1"B Capacitaci(n 9 /articipaci(n de trece funcionarios en 3CR 9 /articipaci(n en 'eminarios 0'*C*

32J1!5 ??N 12,N20 1B,LN0 N,000

2. H-4439&-(.3: .-/(*68>&/3:
2"1 1icencias Cobit *d&isor ;N lic= 2"2 1icencias Cobit +anagment *d&isor ;1N lic= 2"B 1icencias 'oft>are *dministraci(n Riesgo ;10 lic= 2"J 1icencias 'oft>are *dministraci(n /roceso *uditor a ;1O lic= 2"N *dquisici(n de ser&idor 2"L *dquisici(n de 10 microcomputadoras

12J1$2 N,200 1B,ON0 12,?JN 2O,2ON ?,O22 1J,000 1J%%% 11!J%57

3. M3.-4&36-: ? :,9&(&:.4*: TOTAL

131

Captulo 5 Conclusiones ( Recomendaciones

CAPITULO ! CONCLUSIONES Y RECOMENDACIONES *unque si bien es cierto, los ob%eti&os planteados del presente pro!ecto giran en torno a la propuesta para la introducci(n ! consolidaci(n de la *uditor a de Tecnolog a de la 0nformaci(n en el +inisterio de Hacienda, lo cual $a sido e-puesto en los cap tulos anteriores, consideramos oportuno resaltar algunas conclusiones ! recomendaciones asociadas con la in&estigaci(n realizada ! los planteamientos incluidos para su puesta en e%ecuci(n" Como conclusiones estimamos merecen destacarse las siguientes" 1a introducci(n de la *uditor a de T0 no s(lo es una sentida necesidad sino que resulta factible con un aporte de recursos $umanos ! financieros considerado asequible dentro de la realidad institucional" *dicionalmente, el proceso requiere del compromiso de los principales in&olucrados4 la Direcci(n #eneral de *uditor a 0nterna ! las autoridades superiores del +inisterio" De la in&estigaci(n realizada destacamos que e-iste ese inters ! disposici(n de las diferentes partes, siendo necesario se mantengan en el tiempo" /ara el desarrollo de la *uditor a de T0 en el +inisterio es fundamental el fortalecimiento ! desarrollo del sistema de control interno, ello plantea la necesidad del desarrollo de una nue&a cultura de control, para lo cual resulta cla&e que la *dministraci(n asuma su responsabilidad ! se identifique plenamente con los controles" /ara el desarrollo de la *uditor a de T0 es primordial la clara definici(n de una metodolog a operati&a, acorde con el desarrollo de la tecnolog a de la informaci(n ! la realidad institucional" En ese sentido, el modelo C:<0T desarrollado ba%o la coordinaci(n de 0'*C* ofrece importantes fortalezas"

132

Captulo 5 Conclusiones ( Recomendaciones

1a introducci(n de la *uditor a de T0 como funci(n de la Direcci(n #eneral de *uditor a 0nterna requiere de la modificaci(n de la estructura organizacional ! funcional de dic$a Direcci(n"

Es necesario contar con recurso $umano especializado para el desarrollo de las funciones propias de la *uditor a de T0"

E-iste una gran cantidad de $erramientas computadorizadas de apo!o a la funci(n de auditor a, su adecuada utilizaci(n puede redundar en significati&os beneficios para la organizaci(n, siendo de especial rele&ancia una adecuada selecci(n conforme a los requerimientos ! caracter sticas institucionales"

Conforme con la propuesta elaborada, el proceso de introducci(n ! consolidaci(n de la *uditor a de T0 lo que se $a considerado una primera etapa en el desarrollo de sus funciones, conlle&a importantes esfuerzos ! requerir, alrededor de 2 a)os ! medio, no obstante, es claro que se trata de un proceso e&oluti&o cu!a consolidaci(n demandar, un esfuerzo continuado en el tiempo, en el que la e&oluci(n de la tecnolog a de la informaci(n ser, uno de los factores que marcar, la pauta"

/or otra parte, con miras a la e%ecuci(n de la propuesta, consideramos procedentes las siguientes recomendaciones" Como modelo metodol(gico operati&o para el desarrollo de la funci(n de *uditor a de T0 se recomienda la utilizaci(n del elaborado por la 0nformation '!stems *udit" *nd Control *ssociation 80'*C*9 denominado :b%eti&os de Control para la 0nformaci(n ! Tecnolog as *fines ;C:<0T=" 1a funci(n de *uditor a de T0 en el +inisterio de Hacienda debe ubicarse en la Direcci(n #eneral de *uditor a 0nterna, para lo cual se recomienda la creaci(n del *rea de *uditor a de T0 en dic$a Direcci(n ! el respecti&o a%uste la estructura organizacional ! funcional, conform,ndola inicialmente con un Coordinador #eneral de *rea ! dos profesionales en inform,tica"

133

Captulo 5 Conclusiones ( Recomendaciones

Es recomendable que con miras a fortalecer la responsabilidad ! la actuaci(n de la *dministraci(n en cuanto al control de la T0, que se adquiera una $erramienta computadorizada para la *dministraci(n" En ese sentido, en concordancia con el modelo metodol(gico operati&o ! la $erramienta recomendada para la *uditor a de T0, se recomienda la adquisici(n del C:<0T +anagement *d&isor"

'e estima necesario la adquisici(n de una $erramienta de apo!o a la administraci(n de la auditor a, otra para la funci(n de *uditor a de T0 ! una $erramienta para e&aluaci(n de riesgo" Como $erramienta de apo!o a la funci(n de la *uditor a de T0 se recomienda la adquisici(n del C:<0T *d&isor, $erramienta que es congruente con el modelo recomendado ! adicionalmente presenta importantes fortalezas, entre las que destacan su actualizaci(n frecuente, respaldo tcnico ! amplitud en cuanto al papel de la administraci(n en el control" 1as $erramientas para la administraci(n de la auditor a ! administraci(n del riesgo deber,n seleccionarse en atenci(n a la disponibilidad de recursos, opciones disponibles en el mercado ! los requerimientos institucionales"

/aralelamente a la adquisici(n de soft>are deben destinarse recursos a la in&ersi(n en actualizaci(n del equipo actual ! a la adquisici(n de nue&o equipo para la Direcci(n #eneral de *uditor a 0nterna, para lo cual deber,n atenderse los requerimientos del soft>are que se decida adquirir"

En atenci(n a los elementos del diagn(stico institucional ! dentro del marco del modelo metodol(gico operati&o propuesto, en una primera etapa se recomienda orientar los esfuerzos para el fortalecimiento del ambiente de control, para lo cual se considera con&eniente iniciar con la e&aluaci(n del dominio de planeaci(n ! organizaci(n, concretamente con tres subdominios o procesos4 e&aluaci(n ! seguimiento del plan estratgico, definici(n de la organizaci(n ! relaciones de T0 ! e&aluaci(n del riesgo"

Elaborar un documento de pro!ecto que, basado en la propuesta ! considerando los a%ustes que la Direcci(n de *uditor a 0nterna ! las autoridades superiores estimen necesarias una &ez &alorado lo que $emos planteado" Consecuentemente se deber, re&isar el cronograma elaborado a efecto de contar con una $erramienta que

13

Captulo 5 Conclusiones ( Recomendaciones

efecti&amente permita el seguimiento para la realizaci(n del pro!ecto ! la consecuci(n de los ob%eti&os planteados" 'e estima recomendable promo&er una actitud de actualizaci(n permanente en los funcionarios de la Direcci(n #eneral de *uditor a 0nterna"

135

Captulo 5 Conclusiones ( Recomendaciones

"I"LIOGRAFA
*rauz, +anuel" *uditor a de 'istemas4 [por *mricas"1?LL" Contralor a #eneral de la Rep2blica" +anuales sobre Aormas Tcnicas de Control 0nterno relati&as a los 'istemas de 0nformaci(n Computadorizados" *lcance Ao" O a la #aceta Ao" 2J del 2 de @ebrero de 1??L" Comit Directi&o de C:<0T" C:<0T4 Resumen E%ecuti&o" 'egunda Edici(n" +-ico"1??M Delgado Ro%as, Fiomar" 5*uditor a 0nform,tica6" /rimera Edici(n, E3AED, Costa Rica, 1??O" Direcci(n #eneral de *uditor a 0nterna" /ropuesta de Reforma de la Direcci(n #eneral de *uditor a 0nterna" Documento 0nterno presentado al +inistro de Hacienda en %ulio de 1??L" qu\" 3ni&ersidad 0nternacional de las

Ec$enique #arc a, .os *ntonio" *uditor a en inform,tica" /rimera Edici(n" +c#ra>9Hill 0nteramericana de +-ico" +-ico D"@" 1??1 #arc a, 'andra" 5*uditor a 0nform,tica 04 Aota tcnica para el curso6" /rimera Edici(n, 3AED, Costa Rica, 1??O" He&ia D,zquez Eduardo" Concepto +oderno de la *uditor a 0nterna" 0nstituto de *uditores 0nternos" Espa)a"1???" 1e! :rg,nica de la Contralor a #eneral de la Rep2blica, Ao" OJ2M" #aceta Ao" 210 del J de no&iembre de 1??J" Reglamento de :rganizaci(n ! @unciones de la Direcci(n #eneral de *uditor a 0nterna del +inisterio de Hacienda" Decreto E%ecuti&o Ao" 1?0LO 8 H, publicado el J de %ulio de 1?M?, #aceta Ao" 102

13!

Captulo 5 Conclusiones ( Recomendaciones

SITIOS CONSULTADOS
$ttp4EE>>>"$acienda"go"cr $ttp4EE>>>"bsa"orgEinfoEbsamailerEpageJ"$tml $ttp4EE>>>"pleier"comEo&er&ie>"$tm $ttp4EE>>>"ne>tec$"co"cr $ttp4EE>>>"audinfor"comE e9mail4 cal&arado]umccr"com $ttp4EE>>>"pentasafe"comEproductsEdatabase9o&er&ie>"$tm $ttp4EE>>>"auditnet"orgEdocsEinet^ap"t-t $ttp4EE>>>"met$od>are"com $ttp4EE>>>"t$eiia"orgE

137

Ane1o 67

A"E-O.

131

Ane1o 67

ANE#O 1 PARTICIPANTES PROYECTO CO"IT 2%%%


ANALISTAS E#PERTOS SUSA /rof" 3lric ." #elinas, <entle! College .o$n Ha!es, /rice Sater$ouse 11/ #reg Hedges, *rt$ur *ndersen _ Co", '"C" Da&e Vent, /rice Sater$ouse 11/ Tom Vot$e, Ernst _ Uoung 11/ .o$n 1ain$art, 0nspector #eneral, 3"'" House of Representati&es, 3'* Robert Rousse!, 3ni&ersit! of 'out$ern California EQUIPO DE CALIDAD #ar! *ustin, #*: C$ris <agot, A*T: RicQ <eatt!, California @ederal <anQ /eter De VonincQ, Coopers _ 1!brand <alencia Dozier, +anufacturers <anQ Doris #in, *rt$ur *ndersen _ Co", 11/ *"0" Hei%Qamp, Computercentrum D'< +a- Hui%bers, Ri%Qscomputercentrum /eter +aertens, A*T: <ill /epper, Wergo, 1td" +arQ 'tanle!, 'anta <arbara <anQ T%erQ Terpstra, 0nter *ccess +arQ S$eeler, @armers 0nsurance Carla Silliams, E-ecuti&e Consultants EL EQUIPO DEL PROYECTO EriQ #uldentops, '"S"0"@"T" '"C", <elgium Edd! 'c$uermans, Coopers _ 1!brand, <elgium T$omas 1amm, 0'*C@, 3'* COMITQ QUE DIRIGE EL PROYECTO EriQ #uldentops, '"S"0"@"T" '"C", <elgium .o$n <e&eridge, 'tate *uditorsH :ffice, +assac$usetts, 3'* /rof" Dr" <art De 'c$utter, Dri%e 3ni&ersiteit <russels, C$airman <RT <elgium #ar! Hard!, *rt$ur *ndersen, 3nited Vingdom .o$n 1ain$art, 0nspector #eneral, 3"'" House of Representati&es, 3'*

13$

Ane1o 67

*Qira +atsuo, C$uo *udit Corporation, .apan Edd! 'c$uermans, Coopers _ 1!brand, <elgium /aul Silliams, *rt$ur *ndersen, 3nited Vingdom T$omas 1amm, 0'*C@, 3'* INVESTIGADORES Dri%e 3ni&ersiteit *msterdam, T$e Aet$erlands /rof" +"E" Dan <iene9Hers$e! Ren <arlage, R< Consultants California /ol!tec$nic 3ni&ersit!, 3'* /rof" Dan +anson, 1ead Researc$er ANALISTAS E#PERTOS SEUROPA C$ris <agot, A*T: Ren <arlage, R< Consultants /rof" Dr" Henri <eQer, Wergo, 1td" .o$n <e&eridge, 0'*C* /ast /resident EriQ #uldentops, '"S"0"@"T" '"C" #ar! Hard!, *rt$ur *ndersen Edd! 'c$uermans, Coopers _ 1!brand *lan 'tanle!, European 'ecurit! @orum Dann! Dan Riel, .o$nson _ .o$nson <ram Dandenberg, Ernst _ Uoung"

1 %

Ane1o 62

ANE#O N*.2 LISTA DE PROVEEDORES Y PRODUCTOS CAATT:


P4*'--2*4 *<C '!stems and De&elopment, 0nc" *C1 'oft>are *nti:nline *T_T 0nfo9'ecurit! *ttest '!stems, 0nc" *udit 'er&e 0nc" *uditeQ, 0nc" *ut$ente- 'oft>are Corporation *utoTester, 0nc" *FEAT Tec$nologies, 0nc" <ind&ie> De&elopment <lue 1ance, 0nc" <usiness 'oft>are *lliance, T$e Canadian 0nstitute of C$artered *ccountants Candle Corp" CaseSare 0nternational 0nc" P;>&(3 N-< T P4*2,/.* C:@ $ttp4EE>>>"abcs!stems"com A"C L3( L&/-(:-4 3 $ttp4EE>>>"acl"comEm&s ACL )*4 MVSRN&(2*H: $ttp4EE>>>"antionline"comE'pecialReportsE:greE O>4$ttp4EE>>>"att"comEsecure^soft>areEsa^s>"$tml S-/4-.A>-(. $ttp4EE>>>"attest9gasp"com GASP $ttp4EE>>>"auditser&e"com EA.4AUDIT(3&4$ttp4EE>>>"auditeQ"comEauditeQ"$tml TEAM R&.$ttp4EE>>>"aut$ente-"comEencr!ptionEds"$tml D3.3SAFE $ttp4EE>>>"autotester"com A,.*C*(.4*66-4J A,.*T-:.-4J A,.*A2'&:-4 $ttp4EE>>>"a-ent"com O9(&G,342 P4*2,/. S,&.$ttp4EE>>>"bind&ie>"com E(.-4=4&:- M3(3>-9-(. S?:.-9 $ttp4EE>>>"bluelance"comEnoframeEauditor"s$tml LT A,2&.*4 $ttp4EE>>>"bsa"org G,&2- .* S*).H34- M3(3>-9-(. $ttp4EE>>>"cica"caEidea IDEA $ttp4EE>>>"candle"com MQS-/,4$ttp4EE>>>"case>are"com C3:-H34-

Certification Training 0nstitute, $ttp4EE>>>"ctrain"com 0nc"

1 1

Ane1o 62

P4*'--2*4 Computer *ssociates 0nternational, 0nc" C:A'31 RisQ +anagement, 0nc" Data .unction Corporation Data>atc$ Corporation Decision Tec$nolog! Deloitte _ Touc$e Deloitte Touc$e To$matsu 0nternational Elron 'oft>are E-pert C$oice, 0nc" E!e9t Tec$nolog! 1td" @in%an 'oft>are @irst C$icago A<D @unQ 'oft>are #eac Computer Corporation 1imited #oldmine 'oft>are Corporation #rupo T0 'oluciones 0<+ Corporation 0H' @inanial /roducts 0+T0 '!stems

P;>&(3 N-< T P4*2,/.* C:@ C.43&( $ttp4EE>>>"cai"comEproductsEdsmEsca"$tm ACF2J EA39&(-J PANAUDIT PLUSJ P3('36-.J T*= S-/4-. $ttp4EE>>>"consulrisQ"com C*(:,6RA,2&. )*4 RACF $ttp4EE>>>"data%unction"comEproductsEprod^id-^d%>in"$tm D3.3 J,(/.&*( $ttp4EE>>>"data>atc$"com M*(34/0 $ttp4EE>>>"dtiprinceton"comEproducts"$tm D-/&:&*( A(36?7-4 $ttp4EE>>>"dtcas"co"zaE&a"$tm V&:,36 A::,43(/$ttp4EE>>>"dttus"comEusE>$atE'er1inesE*3D^*CCEas20001"$tm A,2&.S?:.-9R2 $ttp4EE>>>"elronsoft>are"com @ire>all, 0nternet +anager, 'ofTracQ 'oft>are +etering $ttp4EE>>>"E-pertC$oice"com EA=-4. C0*&/$ttp4EE>>>"e!e9t"com A,.0*4&7-J TF2%%% $ttp4EE>>>"fin%an"com F&(F3( $ttp4EEaudit">ordlinQ"com A,2&.*4 A::&:.3(.J A,2&.*4 A::&:.3(. T-39 M3(3>-4 $ttp4EE>>>"funQ"com A==M-.-4 II $ttp4EE>>>"smartstream"geac"comEsolutionsEinde-"$tm S934.:.4-39 $ttp4EE>>>"goldmines>"com G*629&($ttp4EE>>>"ne>tec$"co"cr A,2&.*4:OS*).H34- T**6:-. CAST@ $ttp4EE>>>"sB?0"ibm"comEproductsEracfEracf$p"$tml R-:*,4/- A//-:: C*(.4*6 F3/&6&.? $ttp4EE>>>"i$sfinancial"comEsentpage"$tm *udit 'entr! $ttp4EE>>>"imtis!stems"com

1 2

Ane1o 62

P4*'--2*4

P;>&(3 N-< T P4*2,/.* C:@ ARIES A,2&. S?:.-9J P4-9&: A,2&. S?:.-9J P4-9&,9 A,2&. S?:.-9 0nfo/rotect $ttp4EE>>>"0nfo/rotect"com D&36GU= A,2&.*4 0nformation <uilders $ttp4EE>>>"ibi"com EDAJ FOCUSJ SNAP=3/M A,2&. 0nformation Disco&er!, 0nc" $ttp4EEdatamine"inter"netEdatamine D3.3 M&(&(> S,&.0ntegralis, 0nc" $ttp4EE>>>"mimes>eeper"integralis"com MIME:H--=-4 0nternet 'ecurit! '!stems, 0nc" $ttp4EEiss"netEprodEcomplete"$tml SAFE:,&.0ATER':1D, 0nc" $ttp4EE>>>"intersol&"comEproductsEinde-"$tm D3.3D&4-/.J PVCS S-4&-:J Q,36&.?N*4M: 0ntrusion Detection, 0nc" $ttp4EE>>>"intrusion"comEproductsEQsm"$tm U3(- S-/,4&.? M*(&.*4 0'*C* $ttp4EE>>>"isaca"org CO"IT ."E" <oritz Consultants 1imited $ttp4EE>>>"%ebcl"com 3,2&.MASTERPLAN .D Ed>ards $ttp4EE>>>"%ded>ards"comEtec$nolog!Eone>orld"asp O(-N*462 Vansas<a! '!stems $ttp4EE>>>"Qansasba!"com D-:MT43/? 1inton '$afer Computer $ttp4EE>>>"lintons$afer"com 'er&ices, 0nc" T0- N,9<-4 V/+# /eat +ar>icQ $ttp4EE>>>"audinfor"com GESIA 2%%% 1ocQ$eed +artin 1abs $ttp4EE>>>"atl"e-ternal"lmco"comEpro%ectsEminotaur M&(*.3,4GII F&6- E(/4?=.*4 +a%engo 'oft>are $ttp4EE>>>"ma%engo"com A,2&.J*< +arQ Aigrini none DATAS +*'9Hamilton #roup $ttp4EE>>>"mas9$amilton"comEauditcon"$tm AUDITCON +c*fee $ttp4EE>>>"mcafee"com S-4'&/- D-:MJ ZAC S,&.+ega'ol&e Corp" $ttp4EE>>>"megasol&e"com M->3S*6'- S-/,4&.? S-4'-4 A29&(&:.43.*4 +et$od>are $ttp4EE>>>"met$od>are"co"nzEcgi9binEproductsEproducts"pl CMM A2'&:*4J CO"IT A2'&:*4J CO"IT M3(3>-9-(. A2'&:*4

1 3

Ane1o 62

P4*'--2*4 +icrograf- 0nc"

P;>&(3 N-< T P4*2,/.* C:@ $ttp4EE>>>"micrograf-"com A"C F6*H/034.-4 +icro+as$ $ttp4EE>>>"micromas$"com M&/4*M3:0 +icrosoft 0nc" different sites MS R-:*,4/- U&.J T-39 M3(3>-4 $7 +ore '!stems $ttp4EE>>>"mores!s"com MORE A==6&/3.&*( M3(3>-4 Aet>orQ *ssociates, 0nc" $ttp4EE>>>"nai"comEdefault^pgp"asp P4-..? G**2 P4&'3/? Aet>orQ @lig$t Recorder, 0nc" $ttp4EE>>>"nfr"netEforumEpublicationsE10'*9?O"$tm N-.H*4M F6&>0. R-/*42-4 Aet>orQ #eneral $ttp4EE>>>"ngc"com S(&))-4 N-.H*4M A(36?7-4 Ae> Dimension 'oft>are $ttp4EE>>>"ndsoft"com C*(.4*6GDJ C*(.4*6GSA Ao&ell $ttp4EE>>>"no&ell"comEproductsEmanage>iseEinde-"$tml M3(3>-N&:- 2.1 :racle $ttp4EE>>>"oracle"comEstEproductsEudsEoracleM O43/6- 1 /aisle! Consulting $ttp4EEcmgate"comE`paisle!Einde-"$tml A,.*A,2&.J N*4M)*4//at$finder $ttp4EE>>>"u9net"comEpat$finder "34-)**. A,2&.*4 /C0 'er&ices, 0nc" $ttp4EE>>>"pci>iz"com T0- N&7 /entasafe $ttp4EE>>>"pentasafe"com PS A,2&.J PS S-/,4/latinum 'oft>are Corp" $ttp4EE>>>"platsoft"comEproductsEsqlEsqlapps"$tm P63.&(,9 SQL /leier _ *ssociates $ttp4EE>>>"pleier"com ADM PLUS /referred '!stems 0nc" $ttp4EEinterop"sbforums"comEltbdirEcompan!E1?20LNEB20?2O"$tml A,2&.H34- )*4 NDS /rice Sater$ouse $ttp4EE>>>"p>"comEenerg!Eapplications"$tm PN C*(.4*6:J P4&/- N3.-40*,:- P4*2,/.:J T-39M3.Reuters RisQ +anagement $ttp4EErisQ"reuters"com U*(2*4 VJ S3&6F&:0 '*' 0nstitute 0nc" $ttp4EE>>>"sas"com SAS S?:.-9 'assafras 'oft>are, 0nc $ttp4EE>>>"sassafras"com Ve!*udit, Ve!'er&er

Ane1o 62

P4*'--2*4 '*T*A 'eagate 'oft>are 'ecure Aet>orQs, 0nc"

P;>&(3 N-< T P4*2,/.* C:@ $ttp4EE>>>"fis$"comEsatan SATAN $ttp4EE>>>"cr!stalinc"comEcr!stalreports C4?:.36 R-=*4.: $ttp4EE>>>"secnet"comEballista "366&:.3

'$ats>ell, +ac1eod 'oft>are $ttp4EE>>>"bancaudit"comE>elcome1"$tm #roup, 0nc" "3(/A,2&.J P3.4*6 %% '$o>Case Corporation $ttp4EE>>>"s$o>casecorp"comE$ome"$tml S0*H/3:'il&on 'oft>are $ttp4EE>>>"sil&on"comEsdmEsdm^as&u"$tm ASR', 'oft>are /ublis$ers $ttp4EE>>>"spa"orgEpirac!Edo>nload"$tm7 *ssociation SPA,2&. 'omarsoft, 0nc" $ttp4EE>>>"somarsoft"com D,9=A/6 '/'' 0nc" $ttp4EE>>>"spss"comEsoft>areEallclear A66C6-34 'tro$l '!stems $ttp4EE>>>"stro$l9s!stems"comEmain"$tml "IA P4*)-::&*(36J LDRPS '!base, 0nc" $ttp4EE>>>"s!base"comEproductsEinfomaQer 0()*93M-4 '!stem 0ntegrators, 0nc" $ttp4EE>>>"sintegrators"com L&/-(:- "4*M-4 Tall! '!stems Corporation $ttp4EE>>>"tall!s!s"com C-(-4>?J C-(.3M-.-4J N-.C-(:,:J N-.S*(34J V-43(23 EMR Tec$nologic 'oft>are $ttp4EE>>>"tec$nologic"com Concepts, 0nc" RAS E(.-4=4&:Trillion 'oft>are 1td" $ttp4EE>>>"trillion"demon"co"uQ PCUA Trusted 0nformation '!stems, $ttp4EE>>>"tis"comEprodser&EgauntletEinde-"$tml 0nc" G3,(.6-. 3*C $ttp4EE>>>"uac"comEcentral"$tm C-(.436 A29&(&:.43.*4 3+C de Costa Rica" cal&arado]umccr"com G-:.&8( P4*/-:*: A,2&.*453 Danguard 0ntegrit! $ttp4EE>>>"&iplinQ"com /rofessionals V3(>,342 S?:.-9: A,2&.*4

1 5

Ane1o 62

P4*'--2*4 S$eel#roup Corporation Siz'oft 0nc" Sorld Side Digital 'ecurit!, 0nc" F9Tension W!deco

P;>&(3 N-< T P4*2,/.* C:@ $ttp4EE>>>">$eelgroup"comEnetrangrE1netrang"$tml N-.R3(>-4 $ttp4EE>>>">izsoft"com N&74,6$ttp4EE>>>">>dsi"comEsaintE SAINT $ttp4EE>>>"-9tension"comEte-tframesEe-pl^frame"$tml D3.3 EA=6*4-4 $ttp4EE>>>"itssoft>are"comEitsEp&"$tml P3=-4V,-

@uente4 $ttp4EE>>>"t$eiia"orgEecmEguide9ia"cfm\doc^idaMBMbpubref

1 !

Ane1o 6-

ANE#O 3 ALGUNAS PANTALLAS DE LA HERRAMIENTACO"IT ADVISOR 3-43 E2&/&8(

1 7

Ane1o 6-

1 1

Ane1o 6-

1 $

Ane1o 6-

""""E""" 15%