Professional Documents
Culture Documents
A lo largo de este informe de seminario de titulacin, se propone la implantacin del rea de auditora informtica dentro de la Contralora Interna de la H. Cmara de Diputados, ya que no obstante de que este rgano tiene 10 aos de creacin, a la fecha no se cuenta con sta ni con las funciones dedicadas especficamente a las IT; este es el motivo que motiv la realizacin de este informe. Para ello, se comienza por dar una semblanza de los antecedentes, conformacin y legislacin de la Cmara de Diputados; a fin de que se comprenda cul es la ubicacin del rgano Interno de Control (Contralora Interna) dentro de esta institucin, dentro de su estructura se encuentra a la Subcontralora de Auditora, sta ltima objeto de este estudio. De sta ltima se realiza un anlisis y se comienza por sus aspectos generales para terminar con el estudio de sus particularidades a fin de fundamentar esta investigacin. En seguida se analiza el rea de sistemas del rgano, en este caso la Direccin General de Tecnologas de Informacin, de la misma forma que con el rgano Interno de Control se analiza de lo general a lo particular. En seguida, se proporciona toda la investigacin y anlisis correspondiente de las actuales herramientas informticas y manuales que pueden se usadas por los r auditores, las mejores prcticas y dems estrategias que puedan auxiliar a los empleados de la Contralora Interna y as contribuir con la mejor rendicin de cuentas y cumplimiento a las actuales leyes de transparencia y acceso a la inform acin pblica gubernamental. Para concluir, se proporcionan las recomendaciones de cmo deber estar conformada el rea de auditora en informtica de acuerdo a la magnitud del rea de sistemas; los pasos que se consideran necesarios seguir para su implant acin y por ltimo de todas las herramientas estudiadas, se hace una propuesta de aquella que est ms acorde a las funciones y caractersticas tanto de la Subcontralora de Auditora como del rea de sistemas del rgano. Es importante mencionar que el presente informe de seminario de titulacin tiene un sentido preventivo por muchas razones, entre ellas: la creciente importancia de mantener seguros los activos informticos y en particular los datos (tanto del rea de la Contralora Interna como del rea de Sistemas); ya que si bien la informacin es intangible, sta representa el elemento fundamental que sirve de base para el correcto desarrollo de todas las funciones dentro de la H. Cmara de Diputados. Por otro lado, la reciente creacin e implantacin de la Ley Federal de Acceso a la Informacin Pblica Gubernamental obliga en el mediano plazo a todos los rganos de control de gobierno a mejorar, actualizar y modernizar sus mecanismos de revisin y control. As, en este informe se plantea la problemtica a la que hoy da se enfrenta la Subcontralora de Auditora de la H. Cmara de Diputados, cules son sus riegos y oportunidades, y se fundamenta plenamente las recomendaciones hechas en cuanto a la implantacin de IT dentro del rea y diferentes recursos, as como capacitacin de personal y actualizacin de la legislacin existente.
H. Cmara de Diputados Antecedentes Legislacin rganos de gobierno y estructura tcnica y administrativa Estructura orgnica general Conformacin actual Contralora Interna de la Cmara de Diputados Legislacin Estructura orgnica Objetivo y funciones Subcontralora de Auditora Legislacin Estructura orgnica general Objetivo Funciones Metas Misin Visin Debilidades y fortalezas Riesgos Controles Tecnologa informtica actual de la Subcontralora de Auditora Recursos humanos y capacitacin
En este captulo se da un vistazo a la historia y conformacin de la Cmara de Diputados; asimismo se ubica en qu contexto se encuentra el rgano de Control Interno y su respectiva rea de Auditora, estructura, objetivos, funciones y la normatividad con la que actualmente se maneja. Lo anterior, a fin de dar un panorama claro de qu es y a qu se dedica, principalmente enfocado a estudiar la Subcontralora de Auditora, de esta forma, se encuentra en este apartado el punto de partida de nuestro estudio.
H. Cmara de Diputados
Las paredes de la H. Cmara de Diputados pueden relatar una larga historia de triunfos y fracasos, pero sobretodo de cambios y transformaciones constantes que la han convertido en lo que hoy da es, a continuacin se da un repaso de qu es, para qu es y por qu fue creada a H. Cmara de Diputados y como llego a conformarse la Contralora Interna como rgano de control dentro de este rgano hace 10 aos: El pueblo ejerce su soberana por medio del Congreso de la Unin [1] , ste representa la conformacin del Poder Legislativo de los Estados Unidos Mexicanos, mismo que se deposita en dos Cmaras, una de Diputados y otra de Senadores, las cuales ejercen las facultades que la propia Constitucin les confiere.
Antecedentes
Poca gente sabe que el 24 de febrero de 1822, el Mxico Independie nte tuvo a la Iglesia de San Pedro y San Pablo como el primer escenario del Poder Legislativo, donde nace la primera Cmara de Diputados y el primer Congreso Constituyente en Mxico. En 1823 el Congreso Constituyente comenz a esbozar la idea de que el Pod er Legislativo se compusiera por dos Cmaras: una integrada con base en el nmero de habitantes y otra formada por igual nmero de representantes de los nacientes estados, Diputados y Senadores, respectivamente. En este mismo ao, Fray Servando Teresa de M ier concibe la idea del bicameralismo dando lugar a la creacin del Honorable Congreso de la Unin que se plasm en el Acta Constitutiva de la Federacin, que fue la ley fundamental mexicana y base de la creacin de la Constitucin Poltica de los Estados Unidos Mexicanos, que ha pasado por innumerables modificaciones hasta llegar a lo que hoy da se conoce como nuestra Carta Magna. En 1981 se inaugur la construccin de lo que hoy es la sede de la Cmara de Diputados, con slo 24 aos de existencia las par edes de este recinto pueden contar una larga trayectoria de triunfos y fracasos. Como dato curioso mencionar que las distintas instalaciones que ha tenido la Cmara de Diputados a lo largo de este perodo han sido incendiadas por lo menos tres veces, a causa de los diferentes movimientos polticos y sociales que se han dado en Mxico. Nuestro estudio empieza aqu y, no de forma idealista ni inocente este informe trata de comenzar a cambiar la situacin de Mxico desde su parte ms fuerte, dentro del pode r; introduciendo nuevas formas de ver el gobierno. La Cmara de Diputados est compuesta por 500 Diputados, mismos que son los representantes de la Nacin electos en su totalidad por la ciudadana mexicana; divididos en: 300 elegidos, segn el principio de votacin mayoritaria relativa, mediante sistemas de distritos electorales y 200 segn el principio de representacin
Legislacin
En M ico, nuestra carta magna, habla de la divisin de poderes para su ejercicio: Legislativo, Ejecutivo y Judicial; el poder legislativo en nuestro pas consiste en la elaboracin, estudio y aprobacin de las leyes que regulan nuestro territorio a nivel nacional, asimismo la Constitucin Poltica de los Estados Unidos Mexicanos , establece que el Poder Legislativo se deposita en un Congreso General, que se divide La C mara de Diputados es, por tanto, uno de los dos rganos Legislativos que est encargado de brindar representatividad a la poblacin de todo el pas, por medi del o ejercicio del poder legislativo, mediante los 500 diputados que la conforman. Los artculos 51 al 79[3] establecen detalladamente la conformacin, funciones, ejercicio, facultades compartidas y exclusivas, etc. de estos dos rganos, las cuales no se menciona por no ser el objeto de nuestro estudio.
y Pleno. y Mesa Directiva. y Conferencia para la Direccin y Programacin de los Trabajos Legislativos. y Junta de Coordinacin Poltica.
Y por lo que respecta a la organizacin tcnica y administrativa, est integrada por:
y Secretara General. y Secretara de Servicios Parlamentarios. y Secretara de Servicios Administrativos y Financieros. y Contralora Interna. y Coordinacin General de Comunicacin Social.
Figu
. .E
Como se puede ver, la Secretara General es la cabeza de los servicios tcnicos y administrativos (compuesta a su vez por la Secretara de Servicios Parlamentarios y de
Servicios Administrativos y Financieros). Estas ltimas articuladas mediante rganos responsables de la gama de servicios especficos, respectivamente en las reas parlamentaria y administrativo -financiera. Dentro de las reas que conforman a la Secretara de Servicios Administrativos y Financieros, se encuentra a la Direccin General de Informtica y Telecomunicaciones, misma que se estudia en el siguiente captulo de este informe.
Conformacin actual
Para comprender el funcionamiento de la Cmara de Diput ados se menciona su conformacin actual en cuanto a los Grupos Parlamentarios, que en conjunto con los respectivos Senadores conforman un Partido Poltico, los cuales estn encargados de las labores puramente legislativas; dentro de la Cmara de Diputados la informacin
[5] publicada al 15 de julio de 2005 en su pgina oficial , arroja la reparticin de los actuales 500 Diputados con las siguientes cifras:
[1]
Constitucin Poltica de lo Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1. s Constitucin Poltica de los Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1. Constitucin Poltica de los Estados Unidos Mexicanos, Captulo II. Del Poder [bib-manual-camara-diputados] [bib-camara-diputados-web]
Legislativo
[4] [5]
Interno de Control que a fin de propiciar el ptimo aprovechamiento de los recursos de la Institucin.
Legislacin
La formacin de la Contralora Interna se establece en la Ley Orgnica del Congreso General de los Estados Unidos Mexicanos, Artculo 53 que a la letra dice: La Cmara cuenta con su propia Contralora Interna, la que tendr a su cargo recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos de la misma. La Contralora se ubica en el mbito de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Su titular es designado a propuesta de dicha Conferencia, y aprobado por las dos terceras partes de los diputados presentes en el pleno.
Importante
Como puede apreciarse, la creacin de la Contralora Interna dentro de la H. Cmara de Diputados data de hace diez aos y paulatinamente ha venido reforzando sus mecanismos e incrementando su actuacin, ha tenido avances significativos hasta incorporar en sus revisiones las subvenciones a los grupos parlamentarios, a partir de 2002, lo que represent un arduo esfuerzo y rediseo de funciones. Para su manejo interno, la Cmara de Diputados cuenta con el Manual de Organizacin General de la Cmara de Diputados que se expide en cumplimiento , a los Lineamientos para la Organizacin de los Servicios Parlamentarios, Administrativos y Financieros establecidos por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, que en su presentacin ...establece el marco de actuacin de las unidades sustantivas y adjetivas de la Cmara, as como su estructura orgnica, representada a nivel de jefatura de departamento. Comprende las atribuciones de la Secretara General, de las Secretaras de Servicios Administrativos y Financieros, y de sus reas dependientes, as como de otros rganos tcnicos de la Cmara como la Contralora Interna y la Coordinacin General de Coordinacin Social , y al cual se apega la administracin actual.
Estructura orgnica
En el Manual de Organizacin General de la Cmara de Diputados se establece la estructura orgnica autorizada de la Contralora Interna, como se ilustra en Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados :
En la figura anterior, se aprecia en el segundo nivel a tres Direcciones Generales, stas representan lo que en la prctica son la son las tres Subcontraloras que ya se menciona, con sus respectivas Direcciones de rea.
Este problema est siendo regulado en la actualidad para homogeneizar los nombres de los puestos dentro del organigrama Habr que mencionarse que aunque existen autorizados ciertos nmero de plazas, en la prctica, actualmente la nivelacin, regularizacin y autorizacin de algunas plazas d e ms y de menos se encuentra en proceso. Como es el caso de los Jefes de Departamento, entre otros. En cuanto a los niveles salariales, en Tabla 1.1, Niveles salariales de la Contralora Interna de la Cmara de Diputados se describe su rgimen, su nivel segn estructura y rango salarial:
Denominacin Contralor General Director General Director de rea Secretario Particular Subdirector de rea Coordinador Administrativo Jefe de Departamento Total
Homlogos MG 02 a MG 12 8 Base MS 02 a MS 12
Homlogos MS 02 a MS 12 9 27 Base MC 01 a MC 07
Dentro del Manual de Organizacin General de la Cmara de Diputados se encuentra tambin que se plasma el objetivo y funciones de la Contralora Interna, como sigue:
Objetivo
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que s tas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.
Funciones
Elaborar el Programa Anual de Control y Auditora de la Cmara de Diputados, someterlo a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos y proceder a su ejecucin. Disear, implantar y supervisar la operacin del Sistema Integral de Control y Evaluacin de la Gestin de las unidades administrativas de la Cmara de Diputados.
Objeti
y funci nes
Evaluar el cumplimiento de los programas y polticas aprobados por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, con objeto de retroalimentar el proceso de planeacin, programacin y presupuestacin. Establecer los lineamientos y polticas que orienten a la colaboracin, que conforme a la ley deba prestar la Contralora a la Auditora Superior de la Federacin, para el mejor cumplimiento de sus respectivas responsabilidades. Emitir las disposiciones, reglas y bases de carcter general, normas, lineamientos y polticas en el ejercicio de las atribuciones, que conforme a las leyes, competen a la Contralora, previa autorizacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Opinar previamente a su expedicin, sobre los proyectos de disposiciones, reglas, normas, lineamientos y polticas que elaboren las unidades administrativas de la Cmara. Aplicar las normas que se hubieren fijado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos en materia de control, fiscalizacin y evolucin. Proporcionar informacin a la Conferencia para la Direccin y Programacin de los Trabajos Legislativos cuando sta lo requiera. Recibir y atender las quejas y denuncias que se p resenten en contra de los servidores pblicos, adscritos a las reas administrativas y los que realicen funciones de ese carcter en la Cmara de Diputados y en su caso, sustanciar el procedimiento administrativo disciplinario e imponer las sanciones correspondientes en los trminos de la ley en la materia.
Subcontralora de Auditora
La Subcontralora de Auditora se puede apreciar a nivel general en Figura 1.1, Estructura orgnica general de la Cmara de Diputados asimismo corresponde a una ; de las Direcciones Generales de Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados. De esta forma se observa al rea de inters particular, en este apartado se presenta su legislacin, conformacin, principales funciones, estructura, etc.
Legisl ci n
La legislacin de la Subcontralora de Auditora, como ya se mencion, se estructura u O n n T n y n y desde el E de la estructura tcnica y administrativa de este rgano, entre ellos la Contralora Interna[6], en su Ttulo Cuarto habla especficamente de ste rgano, misma que se encarga de recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos y se ubica en el mbito de la Conferencia, segn lo dispone el artculo 53 de la Ley Orgnica. Este Ttulo del estatuto establece todas las particularidades de este rgano de Control Interno, como son: el procedimiento para designar al Contralor Interno, lo sueldos y
'(&% $ )( '35391) @ 0)( & 9 3%& 1% 3 $ 38( 7 & 53 5 63 5& 3 4 & 1 2 & 0 )( '% %& % $ "
percepciones que recibir l y el dems personal del rea, sus derechos y obligaciones, su estructura orgnica y funciones[7]. Para realizar estas funciones, se divide en tres Subco ntraloras:
Ob etivo
El objetivo general de la Subcontralora de Auditora se plasma en el Manual de Organizacin General de la Cmara de Diputados, que a la letra dice: Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normaividad aplicable, t verificando que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin. Adicionalmente, en el Manual de Organizacin de la Contralora General se establece como su objetivo:
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.
Funci nes
Las funciones de la Contralora Interna estn plasmadas en primera instancia de forma general en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados: a. b. c. d. Elaborar, aplicar y verificar el cumplimiento del programa anual de control y auditora; Realizar las auditoras conforme al programa anual de control y auditora y elaborar los informes de los resultados obtenidos; Vigilar que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones aplicables; Convocar y participar en la aclaracin de las observaciones con los titulares de las Unidades Administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar; e. Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la Contralora Interna; f. Fungir como enlace con la entidad de fiscalizacin superior de la federacin de la Cmara, en la revisin de la Cuenta Pblica; y g. Las dems que se deriven del presente Estatuto y de las normas, disposiciones y acuerdos aplicables.[9] En segunda instancia, de forma particular las funciones de la Subcontralora de Auditora estn plasmadas en el Manual de O an acin General de la Cmara de Dipu ados:
G
y Realizar las auditoras conforme al Programa Anual de Control y Auditora (PACA). y Convocar y participar en la aclaracin de las observaciones con los titulares de las
unidades administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar.
y Elaborar trimestralmente el avance del PACA. y Elaborar las guas y programas detallados de auditoras, correspondiente al PACA. y Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la
Contralora Interna.
P Q
H I
y Elaborar, revisar y actualizar los manuales correspondientes al rea. y Representar a la Contralora Interna conforme a sus atribuciones.
Por otra parte, en el Manual de Organizacin de la Con ralora General se reiteran las mismas funciones plasmadas con anterioridad en el Manual de Organizacin General de la Cmara de Diputados.
S
Metas
Las metas de la Subcontralora de Auditora no se encuentran plasmadas en ningn documento oficial; sin embargo, en el Marco conceptual y desempeo de la Contralora Interna se plasman sus metas, y a la letra dice:
y Fortalecer la mejora continua en la administracin y uso de los recursos pblicos. y Dar transparencia al ejercicio del gasto. y Reforzar la prevencin de irregularidades en el desempeo de los servidores
pblicos.
Misi n
La misin de la Subcontralora de Auditora no se encuentra plasmada tampoco en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su misin la siguiente:
Importante
La misin de la Subcontralora de Auditora es Dar transparencia a la gestin de las unidades administrativas y de los servidores pblicos de la H. Cmara de Diputados, en el ejercicio del gasto pblico, previniendo la desviacin del mismo.
Visi n
La visin de la Subcontralora de Auditora tampoco se encuentra en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su visin la siguiente:
Importante
La visin de la Subcontralora de Auditora es que la ciudadana tenga confianza y credibilidad en la administracin de la H. Cmara de Diputados.
Debilidades y fortalezas
En cuanto a las debilidades, fortalezas de la Subcontralora de Auditora, derivado del estudio al rea, el cual consisti primero en entrevistas con el personal, y asistir a las instalaciones para analizar el rea entera en lo que se refiere a tecnologas de informacin, recursos informticos, infraestructura y cultura informtica, se encuentran las siguientes:
Debilidades
y No cuentan con la debida regulacin legal y jurdica actualizada que apoye y
sustente sus funciones, ni en las reas administrativas, mucho menos en lo que respecta a las funciones de auditora en informtica.
y Existe poco equipo de cmputo en el rea y est mal repartido entre el personal
auditor y los altos mandos.
y El equipo con que cuentan los auditores, en general no cumple con las necesidades
bsicas de procesamiento para que realicen correctamente su funcin.
y Hay muy poca participacin del personal del rea en los constantes cursos de
capacitacin en informtica que se imparten en la Cmara de Diputados.
Fortalezas
y En general existe poca rotacin de personal integrante de la Subcontralora de
Auditora en general, lo que ayuda a comprometer paulatinamente ms al personal en sus labores cotidianas.
y Regularmente existe reconocimiento del trabajo de los niveles superiores hacia los
inferiores.
Riesgos
Cuando se habla de riesgo, se entiende como: Los riesgos son condiciones del mundo real en el cual hay una exposicin a la adversidad, conformada por una combinacin de
[10] circunstancias del entorno, donde hay posibilidad de perdidas. .
Al asistir a las instalaciones de la Subcontralora de Auditora para analizarla, se revisaron las tecnologas de informacin con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:
Tabla 1. . Lgicos
V
Probabilidad Impacto Control Media Alto Alto Medio Bajo No lo hay No lo hay No lo hay No lo hay
Baja Medio
Control Sistemas contra incendio Controles de acceso, resguardos e inventarios Programas de capacitacin en caso de desastres naturales
Controles
El personal de la Subcontralora de Auditora no cuenta con un documento formal que establezca sus funciones; sin embargo, cuentan con un documento llamado Marco conceptual y desempeo de la Contralora Interna, que fue se proporcion para este estudio y en el cual se muestran como controles, los siguientes: Preventivo: Una de las prioridades de la Contralora Interna ha sido y es la de fortalecer los sistemas de control interno, a fin de contribuir al ejercicio transparente del gasto y a evitar irregularidades por parte de las diversas reas administrativas, para lo cual se ha venido promoviendo la revisin, actualizacin y complementacin de la normatividad.
y Actualizacin del Manual para los eventos de Entrega-Recepcin. y Actualizacin de los Lineamientos Generales para la Administracin de Recursos. y Manual de Bases y Polticas para la Prestacin de Servicios. y Actualizacin de Manuales de Procedimientos.
Otro aspecto al que se le ha dado importancia es a la participacin en los diferentes actos de fiscalizacin relacionados con adquisiciones, tales como licitaciones pblicas, concursos por invitacin restringida, seleccin entre 5 cotizaciones, etc, participando desde la revisin de bases hasta el fallo de los eventos. Esta actividad ha permitido obtener importantes ahorros para la Institucin, adems de hacer ms transparentes los procesos de adquisicin. Se tuvo participacin relevante en los actos de Entrega-Recepcin de los Grupos Parlamentarios, Comisiones y Comits realizados por primera vez, con motivo del cambio de la LVIII a la LIX Legislatura. Como se puede ver, los controles a los que se refiere son puramente administrativos. En cuanto a tecnologas de informacin, actualmente el nico control que se lleva dentro de la Subcontralora de Auditora es como mximo el inventario fsico de los equipos de cmputos, resguardos individuales de los mismos y relacin del software que maneja cada equipo. La Direccin General de Tecnologas de Informacin cuenta con sus propios controles de acceso lgico y sellos de seguridad en cuanto a la seguridad fsica, adems de los ya mencionados resguardos fsicos personales de equipo de cmputo. Adems de eso, no existe control alguno sobre ningn aspecto del mbito informtico, tampoco sobre la capacitacin del personal y actualmente hay total desconocimientos de las mejores prcticas y/o software que pueda auxiliar a los auditores en su desempeo y cumplimiento de funciones.
Hardware
En la Subcontralora de Auditora se utiliza la red que proporciona la propia Cmara de Diputados, misma que funciona por medio de un anillo lgico de fibra ptica, sobre la cual corren la mayora de las reas administrativas, rganos tcnicos y buena parte de los Grupos Parlamentarios. Sobre la red que provee el rea de sistemas se habla en el siguiente captulo, por el momento concretamente se menciona la tecnologa con la que cuenta nicamente la Subcontralora de Auditora:
y 8 HP Pentium III y Tres equipos en desuso modelo 486. y Tres impresoras en red: y 1 DELL blanco y negro y 1 Xerox Phaser 4400 blanco y negro y 1 Laser Jet 400 blanco y negro y 2 HP Laser Jet 5500 a color (Propiedad privada)
Software
Los equipos con Pentium IV, tiene instalado Windows XP, con sesin para usuario limitado y office XP con los componentes bsicos. Los equipos de Pentium III para abajo tienen instalado Windows 98 95 y office de la misma versin, con paquetera bsica.
y 4 Jefes de Departamento (Dos para cada Direccin), y 17 Auditores (Rotan segn las necesidades de auditora entre las dos reas), y 2 Secretarias, y 1 Chofer
ya se mencion que existe un conflicto entre los nombres de los puestos que se plasman en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados y la estructura orgnica de la Subcontralora de Auditora, adicionalmente existen inconsistencias en los tramos de control, entre otras, pero no se ahonda ms en este tema por no ser objeto de este estudio; por otra parte, esta situacin ya est siendo regularizada ante las instancias correspondientes.
Nota
Como ya se mencion, uno de los grandes problemas de la Subcontralora de Auditora es la poca capacitacin de persona, aproximadamente el 30% sabe usar con agilidad la paquetera de office, un 40% la usa pero con dificultades, mientras que el 30% tiene conocimientos muy bsicos de computacin.
[6]
Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 1, Inciso c).
Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculos del 153 al 158.
[8]
[7]
Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de
Artculo 158.
[9]
[bib-solis-2002]
Captulo
Tabla de contenidos
Normatividad actual Recursos informticos existentes del rea de sistemas Hardware. Software Infraestructura informtica Recursos humanos y capacitacin Estructura orgnica Misin Visin Objetivos y metas Funciones y servicios Estrategias Fortalezas y debilidades Riesgos Controles y mecanismos de seguridad
Una vez que se conoce al rea de auditora del rgano, es necesario ahora que se conozca su contraparte: la Direccin General de Tecnologas de Informacin; misma que existe dentro de la Cmara de Diputados, para la administracin y control de sus recursos informticos, misma que se estudia en este captulo. Parte importante de este estudio es definir los controles y riesgos del rea de sistemas y darle dimensin
respecto de la auditora; as como las debilidades propias a fin de determinar el objetivo a seguir. Por ello, en este captulo, se hace un estudio de la conformacin actual del rea de sistemas, su normatividad, estructura, misin, visin y funciones. recursos, estrategias y servicios actuales,
Las debilidades y fortalezas dirn cules son los requerimientos del rea de auditora y cules sern sus dimensiones. Sobretodo, recordando que toda falla o caencia de r control genera una situacin de riesgo, stos sern estudiados a fin de conocer su funcionamiento actual y posibles mejoras.
Normatividad actual
En la actualidad la Cmara de Diputados en su rea de sistemas no se rige bajo ninguna norma o certificacin externa nacional o internacional. Tampoco cuentan con ningn tipo de manual de procedimientos u organizacin que les permita realizar sus labores de forma sistemtica y ordenada. De igual forma la falta de metas y objetivos genera desorganizacin y falta de control, mala administracin e inclusive representa un riesgo latente ante las posibles fallas del sistema. Tampoco cuentan con ningn tipo de plan de contingencia en caso de que la red falle, mucho menos con medidas para minimizacin de riesgos por posibles ataques, desastres de ningn tipo, etc. A fin de conocer mejor el rea de sistemas se presenta en la Figura 2.1, Conformacin actual del rea de sistemas su conformacin actual:
C ntid d M 22
Y Y
C Pe
g fe c d
t sti s
i
DELL
18 5
Tabla
HP
Compaq Pentium III, 128 MB D.D., CD-Rom, Monitor 15 Flopy 3, Tarjeta de red
. . Impresoras
q r r
5 10 5
Tabla
2 1
Servidores Sun 1 servidor de Correo 1 servidor Web Servidor Dell Antivirus (McAfee)
Soft are
Para el rea de sistemas todos los equipos incluyendo Pentium III cuentan con Windows XP Professional, Office XP, antivirus McAfee. Todos los equipos cuentan con la paquetera bsica, solo algunos de los equipos Dell cuentan c on Visio 2003, Corel Photoshop. Todo el software tiene licencia, las licencias adquiridas para cualquier software es de tipo corporativa.
w
Infraestructura informtica
La infraestructura con la que cuenta tanto el rea de sistemas como toda la Cmara de Diputados incluyendo cada una de sus reas dentro de cada edificio se describe de la siguiente manera: Debajo de toda la infraestructura de los edificios de encuentra una red de anillo lgico de fibra ptica, la cual esta conectada a un servidor central (Web el cual esta tiene ) salida a Internet por medio de un firewall fsico. En cada uno de los edificios en la planta baja se encuentra un switch que a su vez funciona como router, estos son de alta capacidad, cada unos de estos switch/router se conectan a otros switch tambin de alta capacidad que se encuadran en cada piso por cableado UTP categora 6 5, estos ltimos se conectan a un switch ms, que es de una capacidad menor que se encuentra dentro de cada rea de cada edificio por medio de
Cantidad
Cantidad
arca
arca
Caractersticas
Cantidad
arca
Caractersticas Floppy 3, Tarjeta de fibra ptica, Tarjeta de red Pentium III, 256 MB Ram, 40 GB D.D., CD-Rom, Monitor 15 , Floppy 3, Tarjeta de fibra ptica, Tarjeta de red
cableado UTP categora 6 5, cada uno de estos switch se encarga de distribuir los servicios de red a cada una de las PC dentro del rea. En cada piso se maneja una topologa de bus para la distribucin de servicios.
y 1 Director general de tecnologas de informacin. y 1 Director de sistemas. y 1 Subdirector de servicios. y 1 Subdirector de Internet. y 1 Director de infraestructura. y 1 Subdirector de soporte tcnico. y 1 Subdirector de telemtica. y 1 Subdirector de telecomunicaciones y 1 Jefe de telemtica. y 12 Ingenieros de soporte tcnico. y 10 Ingenieros de comunicaciones. y 5 Ingenieros de desarrollo Web. y 5 Ingenieros de desarrollo de aplicaciones. y 1 Webmaster. y 10 Secretarias. y 5 Ingenieros de sistemas. y 3 Auxiliares.
Estructura orgnica
Figura 2.2. Estructura orgnica de la Direccin General de S.I.
Misin
Una misin en el rea de sistemas ayuda a establecer la finalidad o el propsito para la cual fue creada y este debe de ir ligado al objetivo de la organizacin, tambin se deben
de comprender unos o ms objetivos y las tareas que deben de realizarse paraalcanzar dicho objetivo. En la actualidad el rea de sistemas de la Cmara de Diputados no cuenta con una misin que ayude a establecer el propsito para la cual fue creada esta rea, esto representa un riesgo para el rea ya que al no contar con una misi bien establecida n crea confusin en las personas que operan dentro del rea.
Visi n
Una visin ayuda al rea de sistemas a proyectarse en el futuro en una situacin deseada, es decir haca donde va o que es lo que quiere lograr. El rea de sistemas de la Cmara de Diputados an no cuenta con una visin establecida.
Objeti os y metas
Un objetivo para el rea de sistemas es una situacin deseada que elesta intenta lograr, esta es una imagen que el rea pretende para el futuro. Al alcanzar el objetivo, la imagen deja de ser un ideal y se convierte en real y actual, por lo tanto, el objetivo deja de ser deseado y se busca otro para ser alcanzado. Las funciones de establecer objetivos son las siguientes:
y
Funciones y servicios
En base a la pltica realizada con el los gerentes de las diferentes subreas que conforman al rea de sistemas, actualmente estas son las funciones que realizan:
y Presentacin de una situacin futura: se establecen objeti os que sirven como una v
gua para la etapa de ejecucin de las acciones.
y Fuente de legitimidad: los objetivos justifican las actividades del rea. y Sirven como estndares: sirven para evaluar las acciones y la eficacia del rea. y Unidad de medida: para verificar la eficiencia y comparar la productividad del
rea.
y Instalacin y configuracin de equipos. y Altas y bajas de usuarios. y Instalacin y configuracin de aplicaciones. y Mantenimiento de equipos de usuarios. y Administracin de las listas de correo. y Copias de seguridad de los datos de los usuarios y recuperacin de los mismos en
caso de prdida.
y Instalacin, configuracin y mantenimiento de servicios como correo electrnico. y Desarrollo de nuevas aplicaciones que permitan el mejor uso de los equipos. y Administrar y mantener la disponibilidad y funcionamiento de los servidores
(hardware y software).
y Mantener y controlar las licencias de software adquiridas por el Organismo. y Intervenir en proyectos especiales en los cuales resulte necesaria la asistencia
informtica.
y Asegurar la disponibilidad de las comunicaciones. y Mejorar la funcionalidad del software asociado a las comunicaciones e incorporarle
novedades.
Estrategias
Una estrategia es un plan que integra las principales metas u objetivos y polticas de una organizacin y a la vez, establece una secuencia coherente de las acciones a realizar. Una estrategia puede ayudar a un rea de sistemas a poner orden y asignar recursos con el fin de lograr una situacin viable y estable, as como a anticiparse a los posibles cambios en el entorno. En base a las platicas sostenidas con los gerentes de la subreas de sistemas y debido a que en los puntos anteriores ya se defini que el rea de sistemas no cuenta con polticas ni objetivos establecidos a su vez esta tampoco cuenta con estratgicas.
Fortalezas y debilidades
De las visitas que se hicieron al rea de la Direccin General de Tecnologas de Informacin, se detectaron las fortalezas y debilidades ms importantes dentro del rea de sistemas de la Cmara de Diputados, mismas que se muestran a continuacin:
Fortalezas Capacidad del personal de trabajo Infraestructura de punta Motivacin haca el personal de trabajo por parte de los Jefes Ganas de crecer Debilidades Riesgo Impacto
Poco crecimiento del rea de sistemas, poca Bajo presupuesto dirigido al implantacin de sistemas que impulsen al rea a ser ALTO rea un rea de servicios y a establecer controles para una mejor administracin de la informacin Mala distribucin de personal No se pueden aprovechar al 100% las capacidades MEDIO del personal
Fortalezas aos) No hay procesos Mala rotacin de personal es un rea sin experiencia Las actividades no se realizan de acuerdo a ALTO estandares El personal realiza actividades que no conoce MEDIO
Poca comunicacin con los Los usuarios no ven resultados por parte del rea de MEDIO usuarios finales sistemas como un rea de servicios Los sud-departamentos trabajan en conjunto no Mala administracin de las tecnologas, mala ALTO identificacin de problemas
Pocas posibilidades de No se pueden aprovechar al 100% las capacidades crecimiento personal MEDIO del personal (influyentismo). No cuentan con las herramientas (software) No pueden anticiparse a los posibles problemas, ALTO necesarias para la buena perdida de informacin, cada de sistemas. administracin del rea.
Riesgos
El rea de Tecnologas de Informacin fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Tcnico, quien permiti dar un recorrido a las instalaciones, asimismo, proporcion la normatividad autorizada con la que se cuenta, se realiz un anlisis del rea y basndonos en la experiencia de trabajo en diferentes reas de TI en la actualidad en el rea de sistemas de la H. Cmara de Diputados se detectaron los siguientes riesgos:
Tabla
. . Lgicos
Extraccin, modificacin y destruccin de informacin Baja confidencial Uso inadecuado de las instalaciones Ataques de virus informticos Fuga de informacin Alta Alta Media
Riesgo
Probabilidad Impacto Media Media Alto Bajo Alto Media Alto Alto
Riesgo Inadecuados controles de acceso lgicos Prdida de informacin Falta de disponibilidad de aplicaciones crticas Descontrol del personal
Probabilidad Impacto Baja Baja Baja Medio Alto Medio Alto Bajo
Tabla
.5. Fsicos
Probabilidad Impacto Bajo Alto Bajo Alto Alto Media Baja Media Baja
Teniendo en cuenta que una de las principales causas de los problemas dentro del rea de sistemas, es la inadecuada administracin de riesgos informticos, se debe hacer una buena administracin de riesgos, basndose en los siguientes aspectos:
y y y y y
La evaluacin de los riesgos inherentes a los procesos informticos. La evaluacin de las amenazas causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignacin de responsables a los procesos informticos. La evaluacin de los elementos del anlisis de riesgos.
y Controles de acceso fsico a las instalaciones y Controles de acceso lgico a las computadoras de todas las reas (por medio de
directorio activo)
y Definicin de roles para equipos de computo todas las reas y Uso de firewall fsico y Polticas de seguridad para el uso de equipos de cmputo (actualmente es un
proyecto de Manual que an no est autorizado oficialmente, pero ya est en uso en la prctica), entre las ms importantes est la prohibicin del uso de programas no autorizados o software pirata, polticas de segu ridad en el rea de sistemas y reas administrativas y parlamentarias.
Legislacin informtica Institute of SystemAudit and Association, ISACA Instituto Mexicano de Auditores Internos, IMAI Institute of Internal Auditors, IIA Certified Internal Auditor, CIA Mejores prcticas de la auditora en informtica Aseguramiento de la informacin Aseguramiento de la calidad de la informacin Control Objectives for Information and related Technology, COBIT Information Technology Infraestructure Library, ITIL BS 7799 e ISO 17799 British Standard BS 15000 Committee of Sponsoring Organizations, COSO Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT Sarbanes-Oxley, SOX Normas, tcnicas y procedimientos de auditora en informtica. Normas. Tcnicas. Procedimientos. Anlisis de datos. Monitoreo. Anlisis de bitcoras. Tcnicas de auditora asistida por computadora
Evaluacin del control interno. Benchmarking Computer Assisted Audit Techniques CAAT Tcnicas para analizar programas Planificacin de CAAT Utilizar CAAT (realizacin de auditora) Documentacin de CAAT (worksheets) Informe/reporte descripcin de los CAAT Tipos de herramientas CAAT
Legislacin informtica
En este punto se describen la regulacin de las mejores prcticas de Auditora en Informtica como administrar los riesgos en tecnologa Informtica, la auditora en el sector pblico en base a los organismos nacionales e internacionales.
de la informacin y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente Las empresas pblicas y privadas estn valorando cada da ms la creciente importancia que representa mantener sistemas informticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.
y Desarrollar modelos de riesgos que midan mejor los riesgos de seguridad y los
potenciales impactos sobre el negocio.
[11] [12]
[bib-isaca-mx]
http://www.isaca.com.mx/ http://www.theiia.org/index.cfm?doc_id=56
Las empresas que deseen utilizar un enfoque basado en mejores prcticas para la estandarizacin de estas directrices, tienen como opcin varias metodologas que sern descritas a lo largo de este captulo. A continuacin se presenta un marco en el que se pueden encerrar las mejores [15] prcticas de la auditora, dado que todas responden al siguiente esquema :
Identificacin
Buscan definir las necesidades de la organizacin que deben ser identificadas respecto de la auditora, as como las debilidades propias, a fin de determinar el objetivo a seguir.
Comunicacin
Buscan establecer un proceso de comunicacin interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas.
Tecnologa
Recomiendan emplear recursos de tecnologa informtica al proceso de auditoras privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.
Interrelacin externa
Proponen mantener estrechas relaciones profesionales con otras gerencias de auditora a fin de intercambiar estrategias, criterios y resultados.
Agente de cambio
Proporcionan las bases para posicionar a la Auditora como un agente de cambio en la organizacin a fin de implementar la auto evaluacin del control.
Reingeniera de auditora
Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluacin del control.
Aseguramiento de la informaci n
El aseguramiento de la informacin es la base sobre la que se construye la toma de decisiones de una organizacin. Sin aseguramiento, las empresas no tienen certidumbre de que la informacin sobre la que sustentan sus decisiones es confiable, segura y est disponible cuando se le necesita. Definimos Aseguramiento de la Informacin como la utilizacin de informacin y de diferentes actividades operativas, con el fin de proteger la informacin, los sistemas de informacin y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticacin y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a travs de comunicaciones e Internet[16]. Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuacin se describe brevemente las ms importantes.
forma en que trabajan los profesionales de TI. De acuerdo a ISACA, COBIT es: Una herramienta que permite evaluar la calidad del soporte de TI actual de la organizacin, vinculando los distintos procesos del negocio con los recursos informticos que los sustentan. COBIT establece un diagnstico que permite definir las metas desde el punto de vista de seguridad y control que le sern de utilidad para la organizacin para cada uno de sus procesos, pudiendo entonces establecer un plan de accin para lograr estas mejoras, y posteriormente identificar los lineamientos para sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas. La manera en que COBIT provee este marco para el control y la gobernabilidad de TI se puede presentar en forma sinttica a partir de sus principales caractersticas, que a continuacin sern descritas.
Estructura de CUBO
La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las caractersticas que debe reunir la informacin para ser considerada adecuada a las necesidades de la organizacin. Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificacin estratgica, fundamentalmente a travs de promover las funciones ligadas a la gobernabilidad de TI, la cual es bsica para asegurar el logro de las metas de la organizacin. Esta estructura permite vincular las expectativas de la Direccin con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueos de los procesos.
Dominios
Permite agrupar los objetivos de control de COBIT en distintas reas de actividad de la organizacin. Los cuatro dominios principales son:
Inexistente
Ausencia total de cualquier proceso o control reconocible.
1. Inicial
Existe evidencia de que la organizacin ha reconocido la necesidad de mejorar los procesos o controles.
2. Repetible
Se han desarrollado procesos donde se siguen p rocedimientos similares por diferentes personas para la misma tarea.
3. Definido
Los procedimientos han sido estandarizados y documentados y son comunicados a travs de la capacitacin.
4. Gestionado o administrado
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar acciones cuando los procesos no estn funcionando efectivamente.
5. Optimizado
Los procesos han sido redefinidos al nivel de las mejores prcticas, basados en los resultados de mejoras continuas y el modelo de madurez con otras organizaciones.
y Gestin de incidencias, y Gestin de problemas, y Gestin de cambios, y Gestin de versiones, y y Gestin de configuracin.
Incluye tambin cinco disciplinas que soportan los servicios TI de calidad y bajo costo de las empresas 6, estas son:
y Gestin del nivel de servicio, y Gestin de la disponibilidad, y Gestin de la capacidad, y Gestin financiera para servicios TI, y y Gestin de la continuidad de los servicios TI.
El objetivo de ITIL en todas sus disciplinas es la definicin de las mejores prcticas para los procesos y responsabilidades que hay que establecer para gestionar de forma eficaz los servicios de TI de la organizacin, y cumplir as los objetivos empresariales en cuanto a la distribucin de servicios y la generacin de beneficios.
ISO 17799 define la seguridad de la informacin como la preservacin de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que define las mejores prcticas para gestin de la seguridad de la informacin, consta de las siguientes partes: Define un conjunto de objetivos principales e identifica un conjunto de contr les de o seguridad, que son medidas que se pueden adoptar para cumplir los objetivos de la norma. Especifica los controles de seguridad que se pueden utilizar, basndose en los resultados de una evaluacin de gestin de riesgos, como base para una certifica cin formal d una empresa TI bajo la norma BS 7799. ISO 17799 establece la base comn para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. Dominios:
y Poltica de seguridad, y Aspectos organizativos para la seguridad, y Clasificacin y control de activos, y Seguridad ligada al personal, y Seguridad fsica y del entorno, y Gestin de comunicaciones y de operaciones, y Control de accesos, y Desarrollo y mantenimiento de sistemas, y Gestin de continuidad del negocio, y y Conformidad.
La Parte 1 son las especificaciones del sistema de gestin, y contiene alrededor de 14 pginas de requisitos normativos. Est estructurado de acuerdo a las reglas para especificaciones fijadas por el BSI. En general BS 15000 define lo que requiere hacer y cumplir una organizacin para alcanzar su certificacin respecto al estndar. Cubre el cumplimiento de requisitos para:
y El Sistema de Gestin (Management Systems), y El Planeamiento del servicio (ServicePlanning), y Las Relaciones entre procesos (ProcessReationships), y La Estructuracin del Servicio (DeliveryService), y El Control, y y La Liberacin de Servicios (Release).
La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle sobre cada requisito, ofreciendo direccin y gua al Proveedor del Servicio que desee alcanzar el estndar. Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminologa. Provee gua y direccin practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debera ser realizado, y que debera monitorearse para lograr una efectividad real del proceso en la prctica. Su estructura y vocabulario est cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias.
Ambiente de control
Elemento que proporciona disciplina y estructura, el ambiente de control se denomina en funcin de la integridad y competencia del personal de una organizacin; los valores ticos son un elemento esencial que afectan otros elementos del control
Evaluacin de riesgos
Es la identificacin y anlisis de os riesgos que se relacionan con el logro de los objetivos; la administracin debe cuantificar la magnitud, proyectar su probabilidad y sus posibles consecuencias: En la dinmica actual de los negocios se debe prestar atencin a diversos factores, entre ellos los avances tecnolgicos.
Actividades de control
Ocurren a lo largo de la Organizacin en todos los niveles y en todas las funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones, etc. Las actividades de control se clasifican en:
y Controles preventivos, y Controles detectivos, y Controles correctivos, y Controles manuales y de usuarios, y Controles de cmputo o de tecnologa de informacin, y y Controles administrativos.
Monitoreo y aprendizaje
Los controles internos deben ser monitoreados constantemente para asegurar que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio a travs de evaluaciones separadas de la operacin, es decir, mediante la auditora interna o externa.
Informacin y comunicacin
Se debe generar informacin relevante y comunicarla oportunamente de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.
y Ofrecer un mtodo sistemtico para analizar tales riesgos, y Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control, y
Sarbanes-Oxley, SOX
Actualmente las organizaciones estn expuestas a ataques que propicien la prdida de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos. La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002, fue preparada a partir de los escndalos financieros de los ltimos aos y establece una serie de nuevos requisitos tanto para las empresas estadounidenses como para las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno corporativo. Estos requerimientos deberan estar cumplidos a partir del 15 de diciembre de 2003, pero la Comisin de Valores de Estados Unidos (Security Exchange Commision,SEC) ya dio, el pasado mes de mayo, una prrroga para las empresas extrajeras de dos aos, no ms all del 31 de julio de 2005. Para las empresas estadounidenses la prrroga es de slo un ao, no ms all del 31 de octubre de 2004.[29] La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa. Esta ley estadounidense contempla una revisin mucho ms rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos[30]. Sin embargo, el control interno es un proceso efectuado por los niveles directivos y gerenciales, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de sus reas, teniendo como principales objetivos:
y Efectividad y eficiencia de las operaciones, y Confiabilidad de la informacin financiera, y Cumplimiento de las normas y leyes que sean aplicables, y y Salvaguardia de los recursos.
Esta ley lleva mucho ms lejos las disposiciones sobre la obligacin de la gerencia de asegurar adecuados controles internos por lo que cuenta con una seccin de normas y reglas que dispone que los auditores deben inc luir lo siguiente:
y El alcance de las pruebas del auditor de la estructura de control interno, y Los hallazgos del auditor con respectos a dicha pruebas, y y Una evaluacin sobre dicha estructura de control.
Dentro de esta ley existen 3 secciones que involucran directamente al departamento de TI y que son la 302, 404 y 409, cuyo contenido se explica brevemente a continuacin[31]. La clusula 302. Habla de la obligacin de generar reportes donde muestren el resultado financiero de la empresa[32] y que este debe de estar avaluado en cuanto a su integridad. La clusula 404 nos dice que deben existir procedimientos[33] y polticas aseguren la integridad de la informacin as como la disponibilidad de ella. Por ltimo la clusula 409 indica que toda organizacin debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo[35] y esto afecte de manera seria a las ventas[36] de la organizacin.
[34]
que
[bib-ti-complejos] [bib-guia-17799] [bib-guia-17799] http://www.monografias.com/trabajos4/derpub/derpub.shtml [bib-sun-itil] [bib-conceptos-itil] Gestin de la seguridad de la informacin ISO 17799- S2 Grupo http://www.nhmadrid.com/itil_bs15000.htm MiguelDaz S.: Ingeniero de Sistemas. / Socio consultor de AUDISIS / Lder de http://www.info.ccss.sa.cr Instituto de Auditores Internos de Espaa 1985 V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico Ministerio de Administraciones Pblicas, Madrid, 16 de junio de 2005 http://www.csi.map.es/csi [bib-rusbacki-2004] http://www.datasec.com.uy/ oxely-coso.pdf [bib-novell-sarbanes-oxley] http://www.monografias.com/trabajos11/empre/empre.shtml http://www.monografias.com/trabajos13/mapro/mapro.shtml http://www.monografias.com/trabajos10/poli/poli.shtml http://www.monografias.com/trabajos6/meti/meti.shtml http://www.monografias.com/trabajos12/evintven/evintven.shtm
AntonioVillaln Huerta
[22] [23]
Normas.
Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como resultado de este trabajo. Las normas de auditora se clasifican en: a. b. c. Normas personales. Normas de ejecucin del trabajo. Normas de informacin.
Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias.
Normas de informacin
son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen.
Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin. Las tcnicas procedimientos estn estrechamente relacionados, si las tcni as no son c elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor. Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de documentos y por examen fsico. Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente manera:
y Estudio General y Anlisis y Inspeccin y Confirmacin y Investigacin y Declaracin y Certificacin y Observacin y Clculo
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un g rupo de hechos o circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditor y al a, conjunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea. En General los procedimientos de auditora permiten:
y Obtener conocimientos del control interno. y Analizar loas caractersticas del control interno. y Verificar los resultados de control interno. y Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de auditora sern los mas indicados par obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o informacin son de tal importancia que es necesario verifica rlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de
utilizar diversas tcnicas para el anlisis de datos, basados en [ bib-solis-2002], las cuales se describen a continuacin.
Comparacin de programas
esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.
Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar progra mas o mdulos que simulen a los programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:
y M1 Monitoreo del proceso. y M2 Evaluar lo adecuado del control Interno. y M3 Obtencin de aseguramiento independiente.
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras
de los sistemas de computo as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas. El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como para el auditor. Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:
y Fecha y hora. y Direcciones IP origen y destino. y Direccin IP que genera la bitcora. y Usuarios. y Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad, deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cmputo forense. Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:
y Examen de registros de acuerdo con los criterios especificados. y Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que
se encuentra dentro de las bases de datos del sistema que se audita. Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un diverso nmero de operaciones espec ficas del sistema, facilitar la bsqueda de evidencias, reducir al mnimo el riesgo de la auditora para que los resultados expresen la realidad objetiva de las deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo. Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como disear programas auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores que cumplen la funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas auditados. De esta forma los auditores adquieren ms conocimientos de os diferentes temas, l pudiendo incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalizacin del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.
Benchmarking
Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o frmulas es el Benchmarking.
Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuacin se presentan algunas definiciones. Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra [39] los competidores o aquellas compaas reconocidas como lderes en la industria. Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante. Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores. Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual es: benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia en trminos de productividad, calidad y prcticas con aquellas compaas y organizaciones que representan la excelencia. Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del benchmark. Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la productividad. Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes. Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mej res prcticas de hoy lo o sern tambin de maana. Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las operaciones de produccin, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio. De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria. Dentro del benchmarking existen los siguientes tipos:[40]
Benchmarking interno
en la mayor parte de las gran des organizaciones con mltiples divisiones o internacionales hay funciones similares en diferentes unidades de operacin, una de las investigaciones de benchmarking ms fcil es comparar estas operaciones internas, tambin debe contarse con facilidad con datos e informacin y no existir problemas de confidencialidad y los datos ser tan amplios y completos como se desee. Este primer paso en las investigaciones de benchmarking es una base excelente no slo para descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se enfrentara o que sean de inters para comprender las practicas provenientes de investigaciones externas, tambin pueden ayudar a definir el alcance de un estudio externo.
Benchmarking competitivo
los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en definitiva cualquier investigacin de benchmarking debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos. Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores, quiz sea imposible obtener informacin debido a que est patentada y es la base de la ventaja competitiva de la empresa.
Benchmarking genrico
algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de benchmarking, es que se pueden descubrir prcticas y mtodos que no se implementan en la organizacin propia del investigador. Este tipo de investigacin tiene la posibilidad de revelar lo mejor de las mejores prcticas, la necesidad de objetividad y receptividad por parte del investigador. Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de que la tecnologa ya se ha probado y se encuentra en uso en todas partes, el benchmarking genrico requiere de una amplia conceptualizacin, pero con una comprensin cuidadosa del proceso genrico.
Las tcnicas de auditora asistidas por computadora son de suma impor ancia para el t auditor de TI cuando realiza una auditora. CAAT (ComputerAuditAssistedTechniques) incluyen distintos tipos de herramientas y de tcnicas, las que ms se utilizan son los software de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. Las CAAT se pueden utilizar para realizar varios procedimientos de auditora incluyendo:
y Prueba de los detalles de operaciones y saldos. y Procedimientos de revisin analticos. y Pruebas de cumplimiento de los controles generales de sistemas de informacin. y Pruebas de cumplimiento de los controles de aplicacin.
A continuacin se enuncian algunas de las normas que el auditor de sistemas de informacin debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de informacin incumplimiento a stas. debe estar preparado para justificar cualquier
Normas Internacionales de Auditora emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditora o International StandardsonAuditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras tcnicas adems de las manuales. Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 (TheEffect of InformationTechnologyontheAuditor'sConsiderat ion of Internal Control in a FinancialStatementaudit) dice que en una organizacin que usa Tecnologas de Informacin, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones. La norma SAP 1009 (Statement of AuditingPractice) denominada ComputerAssistedAuditTechniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, plantea la importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin por computadora. SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin. SAP 1009 describe los procedimientos de auditora en que pueden ser usados los CAAT: 1. 2. 3. Pruebas de detalles de transacciones y balances (reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.) Procedimientos analticos, por ejemplo identificacin de inconsistencias o fluctuaciones significativas. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones. 4. 5. 6. Programas de muestreo para extraer datos. Pruebas de control en aplicaciones. Reclculos.
El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de su uso.
Traceo
Indica por donde paso el programa cada vez que se ejecuta una instruccin. Imprime o muestra en la pantalla el valor de las variables, en una porcin o en todo el programa.
Mapeo
Caracterstica del programa tales como tamao en bytes, localizacin en memoria, fecha de ltima modificacin, etc.
Comparac n de c digo
Involucra los cdigos fuentes y cdigos objetos.
Planificacin de CAAT
En este punto se mencionarn cuales son los factores que influyen en la adecuada seleccin de una herramienta CAAT, as como los pasos que se deben tomar en cuenta para la planificacin y seleccin de la misma. Cuando se planifica la auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes:
y Disponibilidad de los CAAT y de los sistemas de informacin. y Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales y Restricciones de tiempo
Los pasos ms importantes que el auditor de sistemas de informacin debe considerar cuando prepara la aplicacin de los CAAT seleccionados son los siguientes:
y Definir los requerimientos de output. y Determinar los requerimientos de recursos. y Documentar los costos y los beneficios esperados. y Obtener acceso a las facilidades de los sistemas de informacin de la organizacin,
sus programas/sistemas y sus datos.
y Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel
y las instrucciones a ejecutar.
y Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos
de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por l tanto, el auditor de sistemas de o informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora.
sistemas de informacin debe asegurarse de su integrida confiabilidad, utilidad y d, seguridad por medio de una planificacin, diseo, prueba, procesamiento y revisin apropiados de la documentacin, antes de confiar en ellos.
y Realizar una conciliacin de los totales de control. y Realizar una revisin independiente de la lgica de los CAAT y Realizar una revisin de los controles generales de los sistemas de informacin de
la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos). El software de auditora generalizado, tambin conocidos como paquetes de auditora s on programas de computadora diseados para desempear funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar informacin, realizar clculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Cuando el auditor de sistemas de informacin utiliza el software de auditora generalizado para acceder a los datos de produccin, se deben tomar las medidas apropiadas para proteger la integridad de los datos de la organizacin. Adems, el auditor de sistemas de informacin tendr que conocer en el diseo del sistema y las tcnicas que se utilizaron para el desarrollo y mantenimiento de los programas/sistemas de aplicacin de la organizacin. El software utilitario es usado para desempear funciones comunes de procesamiento de datos, como clasificacin, creacin e impresin de archivos. Estos programas generalmente no estn diseados para propsitos de auditora y, por lo tanto, pueden no contener caractersticas tales como conteo automtico de registros o totales de control. Cuando el auditor de sistemas de informacin utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervencin no plani icada durante el f procesamiento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin del log de la consola del sistema o de la informacin de contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus archivos. Los datos de prueba consisten en tomar una muestra del universo de datos del sistema que se encuentra en produccin para analizarlos. Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que esta tcnica no evala los datos de produccin en su ambiente real. El auditor de sistemas de informacin tambin debe estar consiente de que el anlisis de los datos de prueba pueden resultar muy complejos y extensos,
dependiendo de el nmero de operacione procesadas, el nmero de programas sujetos s a pruebas y la complejidad de los programas/sistemas. Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para sus pruebas CAAT, debe confirmar que el programa fuente que est evaluand es lo mismo o que se utiliza actualmente en produccin. El auditor de sistemas de informacin debe estar consiente de que el software de aplicacin slo indica el potencial de un proceso errneo, no evala los datos de produccin en su ambiente real. Cuand el auditor de o sistemas de informacin utiliza los sistemas de auditora especializados debe conocer profundamente las operaciones del sistema.
y Planificacin y Los objetivos de los CAAT y Los CAAT a utilizar y Los controles a implementar y El personal involucrado, el tiempo que tomar y los costos.
La documentacin debe incluir:
y Los detalles de las pruebas realizadas por los CAAT. y Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el
procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica).
y Evidencia de auditora: el output producido (ejemplo: archivos log, reportes). y Resultado de la auditora. y Conclusiones de la auditora. y Las recomendaciones de la auditora.
IDEA[41].
A travs de la herramienta IDEA, se puede disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estndar en comparaciones con otras herramientas de anlisis de datos, ofreciendo una combinacin nica en cuanto a poder de funcionalidad y facilidad de uso.
y Precisin: comprobacin de clculos y totales. y Revisin analtica: comparaciones, perfiles, estadsticas. y Validez: duplicados, excepciones, muestreos estadsticos. y Integridad: omisiones y coincidencias. y Cortes: anlisis secuencial de fechas y nmeros. y Valuacin:provisiones de inventario.
Auditora interna.
y Conformidad de polticas. y Valor del dinero. y Pruebas de excepcin. y Anlisis. y Comparaciones y coincidencias.
Deteccin de fraudes.
y Compras y pagos: validacin de proveedores, anlisis contables. y Nmina: coincidencias cruzadas, clculos. y Lavado de dinero: valores elevados, cifras redondeadas, movimientos frecuentes.
Informes y anlisis de gestin.
y Anlisis y clculos de porcentajes. y Sumarizacin y categoras (por ejemplo: por cliente, producto o regin). y Establecimiento de medidas de actuacin (por ejemplo: tiempos de respuesta en
un proceso de pedidos).
y Perfiles. y Anlisis de Inventario. y Anlisis de flujo de caja. y Revisiones de Seguridad. y Registros del sistema. y Derechos de acceso.
y Verificacin de clculos de inters. y Identificacin de cuentas inactivas. y Anlisis de prstamos por ndices de riesgo. y Corroboracin de provisiones para prdidas por prstamos. y Anlisis de reclamos de seguros.
Industrias.
y Verificacin de costos de inventarios. y Anlisis de movimientos de inventario. y Comprobacin de diferencias entre el mayor general y las cuentas de inventario. y Anlisis y anticuacin del trabajo en curso.
Organizaciones de ventas al por menor.
y Anlisis de utilidad bruta. y Anlisis por regin, departamento o lnea de producto. y Anlisis de precios.
Entes gubernamentales (prestadores de ayudas y beneficios).
y Comprobacin de clculos. y Anlisis y acumulacin de estadsticas de pago. y Bsqueda de duplicados: coincidencias cruzadas de nombres, direcciones e
informacin bancaria.
Funciones
Importacin de datos. IDEA permite importar casi todo tipo de archivos desde cualquier tipo de origen, mediante la utilizacin del Asistente de im portacin. IDEA ofrece tambin el editor de Definiciones de Registro (RDE, Record Definition Editor), que lo ayudar en la importacin de archivos complejos, registros de longitud variable, y archivos con mltiples tipos de registros. Este producto tambin puede ser utilizado para modificar definiciones de registros creadas y guardadas por el Asistente de Importacin. Manejo de archivos y clientes. IDEA utiliza un Explotador de Archivos que proporciona un manejo sencillo y estandarizado de los mismos. Esta ventana puede cambiarse de posicin en la pantalla y puede modificarse su tamao. En ella se visualiza, ya sea en forma jerrquica u ordenada, toda la informacin referente a los archivos de IDEA que pertenecen a la carpeta de trabajo (cliente) activa. IDE utiliza el A concepto de Carpetas de Cliente para facilitar el manejo de los archivos. Tanto el nombre del cliente o proyecto como el perodo de anlisis pueden ser asociados a una Carpeta de Cliente. Esta informacin aparecer en todos los informes que se impriman dentro de esta carpeta. La Barra de Herramientas del Explorador de Archivos
proporciona un acceso sencillo a las funciones de manejo de archivos incluyendo la posibilidad de marcar un archivo. Estadsticas de campo. Pueden generarse estadsticas para todos los campos numricos y de fecha pertenecientes a una base de datos. Se pueden calcular, para cada campo numrico, el valor neto, los valores mximos y mnimos, el valor medio, as como tambin la cantidad de registros positivos y negativos y la cantidad de registros de valor cero. Para los campos de fecha se proporcionan estadsticas tales como la fecha ms temprana y fecha ms tarda y el anlisis de transacciones diarias y mensuales. Historial. Dentro de la Ventana de Base de Datos, la pestaa Historial muestra todas y cada una de las operaciones realizadas en la Base de Datos presentadas en una lista que puede expandirse fcilmente. Cada prueba o funcin realizada genera, en forma automtica, un cdigo IDEAScript que puede ser copiado en el Edi or de IDEAScript. t IDEAScript es un lenguaje de programacin compatible con Visual Basic. Extracciones. La Extraccin o prueba de excepcin, es la funcin ms comnmente utilizada en IDEA para identificar elementos que satisfacen una determinada condicin como por ejemplo pagos mayores a $10,000 o transacciones efectuadas con anterioridad a una fecha dada. Los criterios de extraccin son ingresados utilizando el Editor de Ecuaciones y todos los registros que satisfagan el criterio ingresado son extrados a una nueva base de datos. Se puede realizar una sola extraccin de registros a una base de datos o hasta 50 extracciones diferentes a travs de un solo paso por la base de datos. Extraccin indexada. La Extraccin Indexada permite limitar el mbito de los datos a ser buscados por IDEA en la base de datos. Una extraccin indexada ahorra tiempo al trabajar con bases de datos extensas. Extraccin por valor clave. La Extraccin por Valor Clave brinda la posibilidad de generar una serie de bases de datos secundar ias en forma rpida mediante valores comunes encontrados en la base de datos primaria. La extraccin por valor clave no requiere de la creacin de ecuaciones para ejecutar la extraccin. Una clave es un ndice creado en una base de datos y un valor clave es uno de los posibles valores que puede tomar esa clave. @Funciones. Las @Funciones son utilizadas para realizar clculos complejos y pruebas de excepcin. IDEA proporciona ms de 80 funciones las cuales pueden utilizarse para llevar a cabo aritmtica de fechas, manipulaciones de texto, as como clculos estadsticos, numricos, financieros y de conversin. En IDEA las funciones comienzan, ortogrficamente, con el smbolo @, y son muy similares a las funciones proporcionadas por el programa Microsoft Excel. Conector Visual. El conector Visual le permite generar una nica base de datos a travs de otras bases de datos que comparten un campo clave en comn. Para crear una conexin visual entre diferentes bases de datos, se debe seleccionar una base de datos primaria y luego conectar bases de datos que posean registros coincidentes. La relacin creada por el Conector Visual entre las bases de datos es uno a muchos, es decir que la base de datos primaria puede contener diversos registros coincidentes en las bases de datos conectadas. Todos los registros de las bases de datos conectadas que coincidan con los registros de la base de datos primaria son incluidos en la base de datos resultante. Uniones. IDEA, a travs de la opcin Unir Bases de Datos, permite combinar dos campos de bases de datos distintas dentro de una nica base de datos, comprobando la existencia o no de datos coincidentes en ambos archivos. Las uniones entre bases de
datos pueden realizarse si las mismas contienen un campo en comn denominado campo clave. Agregar. La funcin Agregar Bases de Datos se utilizar para concatenar dos o ms archivos dentro de una nica base de datos. Por ejemplo se pueden agregar todos los archivos mensuales de nminas para obtener una base de datos con todas las nminas del ao. Luego esta base de datos podra ser sumarizada por empleado obteniendo el bruto, el neto anual y las deducciones anuales. Pueden concatenarse hasta 32,768 archivos en una nica base de datos. Comparar. La opcin Comparar Bases de Datos identifica las diferencias que existen en un campo numrico dentro de dos archivos para una clave en comn. Estos archivos pueden ser comparados en diferentes momentos, por ejemplo, en el caso de la nm ina al principio y al final del mes para identificar cambios en los salarios de cada empleado. Se puede comparar tambin un campo numrico en sistemas distintos, por ejemplo, la cantidad de inventario existente para un tem tanto en el archivo maestro de nventario i como en el archivo inventarios. Duplicados. IDEA puede identificar elementos duplicados dentro de una base de datos donde existen hasta 8 campos con la misma informacin. Por ejemplo, nmeros de cuenta duplicados, direcciones, plizas de seguros, etc. Omisiones. IDEA le permite buscar omisiones o huecos en secuencias numricas y de fechas dentro de un archivo, as como tambin dentro de secuencias alfanumricas a travs de una mscara previamente definida. Para omisiones de fecha, se pueden elegir las opciones fines de semana e ignorar vacaciones. Como ocurre con muchas de las funciones de IDEA, se pueden establecer criterios antes de realizar la bsqueda, tales como importes superiores a $1,000, e incluso se puede modificar el incremento si se desea buscar, por ejemplo, omisiones mltiplos de 10. Omisiones. La opcin Ordenar se utilizar para crear una base de datos fsicamente ordenada de acuerdo a un orden previamente especificado. El ordenar bases de datos puede mejorar significativamente el desempeo de determinadas funciones. Grficos. La opcin Graficar Datos puede utilizarse para graficar archivos de datos o resultados de pruebas realizadas, ya sea en grficos de barras, barras agrupadas, reas, lneas o sectores. El Asistente de Grficos lo guiar paso a paso en la creacin del grfico proporcionndole opciones para incluir ttulos, efectos 3D, leyendas, colores, formas y estilos de rejillas. Los grficos pueden ser impresos, guardados como archivos de mapa de bits o pueden ser copiados en otra aplicacin de Windows. Ley de Benford. Mediante la aplicacin del anlisis de la ley de Benford podr identificar posibles errores, fraudes potenciales y otras irregularidades. Esta ley determina que los dgitos y las secuencias de dgitos persiguen un p atrn predecible. El anlisis cuenta las apariciones de valores en los dgitos en una serie de datos y compara los totales con un resultado predeterminado de acuerdo a la ley de Benford. Los dgitos distintos de cero son contados de izquierda a derecha. Estratificacin. La Estratificacin Numrica, la Estratificacin de Carcter y la Estratificacin de Fecha son una poderosa herramienta para totalizar la cantidad y el valor de los registros dentro bandas especficas. Permiten analizar, por ejemplo, elementos por cdigo postal o por cdigo alfanumrico de producto o activos por fecha de adquisicin. Sumarizacin. La Sumarizacin de Campo Rpida se utiliza para totalizar valores de campos numricos por cada clave nica, sumarizando un nico campo clave. La Sumarizacin por Campo Clave se utiliza cuando la clave esta formada por uno o ms
campos. Los resultados de las sumarizaciones pueden ser graficados y puede accederse en detalle a los registros asociados a cada clave. Antigedad. La funcin antigedad realiza una anticuacin del archivo desde una fecha especfica en hasta seis intervalos definidos. Por ejemplo, al final del ao pueden anticuarse los crditos a cobrar para determinar si se deben realizar provisiones. La funcin antigedad produce un Informe de Antigedad y dos bases de datos opcionales: la base de datos de antigedad detallada y la base de datos totalizada por clave. Tabla pivot. La Tabla Pvot le permite crear anlisis variables y multi-dimensionales en archivos de datos extensos. Al momento de disear una tabla pvot en IDEA, podr seleccionar la ubicacin de los distintos campos en la tabla para visualizar la informacin en el modo en que usted desea. La posicin de los campos en la tabla definir como estarn organizados y cmo sern sumariz ados los datos. Agrupador de procesos. Cuando se ejecuta una serie de tareas sobre una base de datos de IDEA, cada tarea requiere de un paso a travs de la base de datos. El Agrupador de Procesos analiza las tareas a efectuar y ejecuta las diferentes tarea s realizando un solo paso por la base de datos, siempre y cuando esto sea posible. El Agrupador de Procesos ejecuta cada tarea en forma independiente y crea una salida para cada proceso realizando un solo paso por la base de datos. Muestreo. IDEA proporciona cuatro mtodos de muestreo junto con la posibilidad de calcular tamaos de muestras basadas en parmetros ingresados, y evaluar los resultados de las muestras efectuadas. Los mtodos de muestreo disponibles son: sistemtico (ej. cada 1000 registros); aleatorio (nmero de elementos elegidos al azar); aleatorio estratificado (un nmero especfico de elementos seleccionados de acuerdo al azar de acuerdo a intervalos); y unidad monetaria (ej. De cada 1,000 dlares u otra unidad monetaria).IDEA proporciona tambin una opcin de Planificacin y Evaluacin de Atributos, la cual puede ser utilizada para calcular tamaos de muestras, niveles de confianza, lmites de errores o desvos y cantidad de errores de la muestra. Estos clculos son utilizados para planificar y luego evaluar los resultados de las muestras. Agregar campos. Los datos importados a IDEA son protegidos y no pueden ser modificados. Sin embargo, pueden agregarse campos adicionales editables ya sea para detallar comentarios, para tildar elementos o para corregir datos. Por otro lado, se pueden agregar campos virtuales (calculados) para probar clculos en una base de datos, para realizar nuevos clculos, para obtener porcentajes a travs de otros campos de la base de datos, o para convertir datos de un tipo a otro. Los campos editables pueden estar vacos para ingresar comentarios o datos, o pueden basarse en una expresin como ocurre en el caso de los campos virtuales. Los campos booleanos y triestado permiten etiquetar o marcar los campos de acuerdo a 2 o 3 estados respectivamente. IDEAScript. IDEAScript es un lenguaje de programacin orientada a objetos, compatible con Microsot Visual Basic para Aplicaciones TM y LotusScript TM. Los IDEAScripts, tambin denominados macros, pueden ser creados ya sea grabando una serie de pasos, copindose desde otros scripts, copindose desde el Historial, siendo ingresados en la Ventana de Macro o mediante una combinacin de cualquiera de todas estas posibilidades. Los Scripts pueden incorporarse al men Herramientas o a la Barra de Herramientas de Macro, o ejecutarse simplemente desde el men Herramientas. Los IDEAScript poseen una serie de herramientas complementarias tales como el Editor de Dilogos, el Explorador de Lenguaje y las herramientas de Depuracin para a sistirlo en la creacin de los scripts.
ACL[42]
ACL es una herramienta CAAT enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros. Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversin, tambin posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en la organizacin. ACL permite:
y Anlisis de datos para un completo aseguramiento. y Localiza errores y fraudes potenciales. y Identifica errores y los controla. y Limpia y normaliza los datos para incrementar la consistencia de los resultados. y Realiza un test analtico automtico y manda una notificacin va e -mail con el
resultado. ACL brinda una vista de la informacin de la organizacin y habilita directamente el acceso a bsquedas de cualquier transaccin, de cualquier fuente a travs de cualquier sistema. Ahorra tiempo y reduce la necesidad de requerimiento de informacin a departamentos de TI muy ocupados, incrementa el nivel de datos hospedados en mltiples ERP o aplicaciones especializadas. Permite examinar el 100 por ciento de las transacciones de datos, cada campo, cada registro. Accesa a diversos tipo de de datos con facilidad incluyendo bases de datos ODBC. Esta herramienta proporciona una completa integridad de datos, ACL solo tiene acceso de lectura a los datos de los sistemas que se estn monitoreando, es significa que la to fuente de datos nunca ser cambiando, alterada o borrada. Una de las ventajas de esta herramienta es que tiene un tamao ilimitado en el monitoreo de datos y puede procesar rpidamente millones de transacciones de datos ya que permite leer mas de 10,000 y hasta 100,000 registros por segundo ACL destaca por ser de fcil uso: selecciona, identifica y da formato a los datos fcilmente gracias al Data DefinitionWizard con esta librera permite importar y exportar datos directamente a Excel, Access y XML, otra mas de las ventajas es que no es necesario tener conocimientos de programacin para el uso de ACL. La herramienta tiene comandos pre-programados para anlisis de datos, pero tambin puede analizar datos adaptndose a una metodologa y ex cepciones de investigacin en cualquier momento, se pueden implementar continuos monitoreos haciendo anlisis automticos a travs de scripts y habilitando la notificacin en tiempo real. Explora los datos rpida y completamente, como se muestra en Figura 3.2, Comandos precargados
Otra ventaja es los resultados se pueden ver fcilmente y entenderlos en formatos tabulares, posee graficas precargadas, tambin posee un log de actividad de los registros sto permite analizar y comprar registros pasados con los nuevos, posee vistas de reportes precargadas de CrystalReports, como se muestra en Figura 3.3, Visor de Cristal Reports
y PC
superior.
con
procesador
Pentium
y Windows 98/ME o Windows NT (SP6), 2000 (SP2), XP. y 32MB de RAM (Mnimo). y 26MB de espacio en disco duro para ACL (Mnimo) y 44 MD extras si se desea
instalar la librera de CrystalReports. Otros componentes requeridos:
y Internet Explorer 5.5 o mayor. y Windows Installer y MDAC 2.6 y MsJet 4.0 SP3 o mayor. y MSXML 4.0 o mayor.
Auto Audit es un sistema completo para la automatizacin de la funcin de Auditora, soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando por el trabajo de campo, hasta la preparacin del informe final. Adems del manejo de documentos y papeles de trabajo en forma electrnica, Auto Audit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo de reportes ad hoc. Todos estos mdulos estn completamente integrados y los datos fluyen de uno a otro automticamente. Su pantalla principal se muestra en la Figura 3.4, Ventana principal.
Base de conocimiento
Acceso inmediato a toda la documentacin de auditoras pasadas, en ejecucin o planeadas.
Fle ibilidad
d
Permite que los auditores puedan trabajar en lugares distantes con sus rplicas locales de la auditora en curso y su posterior sincronizacin a la base de datos centralizada.
Estandarizacin y control
Garantiza el seguimiento de metodologas de trabajo de acuerdo a las mejores prcticas de la organizacin con el uso de una biblioteca de documentos estndares (memoranda, programas, evaluaciones, informe final y otros). papeles de trabajo, cuestionarios,
Adaptabilidad
Provee una herramienta de reportes ad hoc para la generacin de informes, tablas y grficos con los formatos requeridos para el Comit de Auditora o Auditor General.
Comunicacin
Mejora la comunicacin con los auditados en el seguimiento de los hallazgos y planes de accin.
Seguridad y confidencialidad
Permite la creacin de usuarios definiendo perfiles segn su rol dentro de la auditora para controlar el acceso de documentos e integridad de la informacin. Con sus algoritmos de cifrado (encriptacin) Auto Audit garantiza la confidencialidad de informacin.
Facilidad de uso
Auto Audit se aprende e implementa en menos de una semana.
y Programacin de auditoras y asignacin de auditores para el trabajo de campo. y Flexibilidad mxima para la numeracin e ndice de los programas y papeles de
trabajo, enlaces y referencias cruzadas de documentos.
y Monitoreo de hallazgos para todas las auditoras visualizado por status, fecha de
seguimiento, auditora, nivel de riesgo y otros.
y Registro de tiempos y gastos para la generacin de reportes. y Elaboracin de encuestas post-auditora as como tambin evaluaciones de los
auditores.
(Aplicaciones de Computador) y la Infraestructura de Tecnologa de Informacin de la organizacin. Audicontrol APL es una herramienta para asistir en la construccin d sistemas de e gestin de riesgos y controles internos en los procesos de la cadena de valor y los sistemas de informacin de las empresas. Para este fin, utiliza la tcnica de Autoevaluacin del Control (CSA: Control SelfAssessment) , tambin conocida con el nombre de Autoaseguramiento del Control (CSA: Control SelfAssurance) . Esta es una extensin de los mecanismos de control interno que tiene por objeto el asegurar a los clientes, accionistas y organismos gubernamentales de control y vigilancia, que los controles necesarios estn establecidos y son efectivos para mitigar los riesgos importantes. Desde la perspectiva administrativa, CSA asiste en la determinacin de si la organizacin est satisfaciendo sus objetivos. Las ventajas claves de implementar un CSA incluyen la deteccin temprana de riesgos y el desarrollo de planes de accin concretos que salvaguarden los programas organizacionales contra riesgos del negocio significativos. Los objetivos del CSA son:
y Reducir o eliminar los controles costosos e inefectivos. y Define con precisin las reas de riesgo, mientras se desarrollan adecuadas
medidas de control.
y Evala los estndares de control utilizados. y Enfatiza las responsabilidades de la administracin por el desarrollo y monitoreo
efectivo de los sistemas de control interno.
1. 2. 3. 4. 5.
Identificar la Seguridad Requerida. Evaluar Riesgos Potenciales e identificar Riesgos Crticos. Elaborar Mapa de Riesgos. Seleccionar Controles Necesarios y evaluar la proteccin que ofrecen. Definir Especificaciones Controles). para Implantar los Controles (Documentar los
Fase II: dinmica u operativa del control interno. 1. 2. 3. 4. 5. Sensibilizar y Concientizar a los propietarios del proceso para el mejorar cultura de Control de la Organizacin. Elaborar e Implantar Guas de Autocontrol. Elaborar e Implantar de Guas de Monitoreo de la Proteccin Existente y del Riesgo Residual. Generar el Manual de Controles y Administracin de Riesgos Operacionales. Mantenimiento y Actualizacin del Manual de Controles.
Audicontrol-APL es un software para Windows, que opera en ambientes monousuario o en Red local. La metodologa AUDICONTROL APL fue creada para apoyar el trabajo de:
y Analistas y Desarrolladores de Sistemas. y Departamentos de Organizacin y Mtodos. y Auditores de Sistemas. y Departamentos de Control Interno. y Administradores de Seguridad en Procesamiento electrnico de datos. y Administradores de Riesgos.
Funciones.
y Para cada proceso o sistema objeto de estudio, Audicontrol APL ayuda a personalizar las bases de datos de conocimientos de las organizaciones, con conceptos y elementos modernos de control aportados por los modelos COBIT( ControlObjectivesforInformation and RelatedTechnologyISACA, 2000 ) y COSO y las normas ISO 9000, ISO 9126, ISO 12207, ISO 14000, ISO 18000 e ISO 17799.
y Mide (califica) el grado de proteccin que aportan los controles seleccionados, por
cada amenaza (causa del riesgo), punto de control, dependencia y objetivo de control de cada proceso de negocio y servicio soportado en tecnologa de informacin.
y Disear
e implantar el Plan de Mitigacin de Riesgos no apropiadamente por los controles establecidos en la organizacin. aplicaciones y la infraestructura de TI y permite su
protegidos
y Elaborar los Manuales de Control Interno y Gestin de Riesgos para los procesos,
las actualizacin permanente.
y Para los procesos y sistemas en proceso de desarrollo, Audicontrol APL ayuda a disear e implantar la estructura de control requerida, desde su inicio hasta su implantacin definitiva.
y Facilitar la implantacin de un Sistema de Gestin de Riesgos Operacionales. y Implantar tcnicas y procedimientos de Autocontrol y de Prevencin del Riesgo en
las empresas.
AuditMaster[44]
AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se re alizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:
Ventajas
AuditMaster no exige modificar el cdigo de la aplicacin actual o de la base de datos Pervasive.SQL, ya que es independiente de la aplicacin y se instala en la propia base de datos, muy por debajo del nivel de las aplicaciones clientes. AuditMaster puede supervisar varias aplicaciones e incluso identificar la fuente original de cada evento en el registro de seguimiento, permitiendo de esta manera llevar a cabo un anlisis interno del sistema y un control detallado de la aplicacin. Adems de presentar informes y activar alertas, el registro de seguimiento detallado ofrece otras ventajas. Al almacenar imgenes de todos los cambios antes y despus de la transaccin, es posible recuperar registros individuales de la base de datos deshaciendo los cambios capturados en el registro de seguimiento. Adems, como el registro est almacenado en tablas de Pervasive.SQL, las aplicaciones pueden acceder
directamente a los datos de registro, lo que permite integrar AuditMaster en otras aplicaciones. Trabaja con todos los datos de Pervasive.SQL, tanto transaccionales como relacionales, tambin puede mantener automticamente en los registros de datos mltiples archivos de metadatos que faciliten actualizaciones a nuevas versiones de la aplicacin cliente, incluso aunque cambien los archivos de definicin de datos (DDF). Los metadatos de AuditMaster pueden ser auditados aunque falten los archivos DDF o estn incompletos. Adems, si el sistema utiliza registros variantes, AuditMaster sigue realizando las mismas funciones de captura, informe y alerta.
Especificaciones.
Plataformas soportadas.
Delos[45]
Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin. Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalzado de acuerdo con las i caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas. Para la utilizacin del sistema hemos identificado cuatro roles o que tienen relacin con el control en una organizacin:
y El usuario del control, quien realiza sus actividades cotidianas con la seguridad de
que cuenta con los elementos suficientes para desarrollar sus funciones de forma eficiente, efectiva, segura y consistente y
y Los beneficiarios del control, quienes reciben los benefcios de que una i
organizacin opere con adecuados procedimientos de control. Los beneficiarios pueden ser tanto internos como externos a la organizacin, los primeros representados por la administracin y los accionistas y los segundos
representados normalmente por clientes, proveedores, gobierno, inversionistas, etc. Delos es una herramienta que fue diseada pensando en empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la tecnologa de informacin a travs de actividades relacionadas con auditora, seguridad y control en TI.
Ventajas
Delos presenta una serie de caractersticas que lo distinguen de otras herramientas. Orientacin al negocio. A diferencia de otros productos de auditora de software, Delos tiene una orientacin al negocio, es decir, parte de un marco de referencia estratgico formado por los objetivos de negocio y factores crticos de xito de la empresa y lo relaciona con elementos de control interno en tecnologa de informacin. Consecuentemente, su empleo promueve el cumplimiento de los objetivos institucionales de la empresa, permitiendo alinear sus elementos de tecnologa de informacin con la estrategia de negocio. De manera indirecta, Delos ayuda a estructurar los objetivos, metas y factores crticos de xito de la empresa, as como los indicadores que permiten su medicin. Base de conocimientos. Delos cuenta con una extensa base de conocimientos que contiene tanto elementos de negocio (objetivos, metas y factores crticos de xito) como elementos de control, seguridad y auditora en TI, utilizando relaciones puntuales entre dichos elementos para ofrecer un nivel de inteligencia. Esta base de conocimientos, no solo permite establecer un marco de referencia para las funciones de auditora, sino que ofrece la posibilidad de ampliar su alcance y sus beneficios a otras reas de la empresa que tienen relacin con el concepto de control, tales como el rea de tecnologa de informacin y, en caso de que exista, el rea de contralora (responsable del control en la empresa). Fundamento metodolgico. El funcionamiento de Delos se basa en una metodologa estructurada que ofrece al usuario una orientacin detallada sobre las actividades y la secuencia necesaria para desarrollar auditoras o evaluaciones en am bientes de TI. Esta caracterstica diferencia y posiciona favorablemente a Delos con respecto a otros productos, los cuales primordialmente ofrecen un conjunto de diagramadores, tcnicas y/o reporteadores cuya utilizacin queda supeditada a la experien cia individual de cada usuario o al empleo de una metodologa adicional que no necesariamente corresponde a las caractersticas del software. Personalizable a las caractersticas y re u erimientos de cada empresa. Adicionalmente a contar con una robusta base de conocimientos, Delos permite incorporar nuevos elementos, modificar los existentes y definir nuevas relaciones entre los objetos que integran dicha base. Esto permite complementar el cuerpo de conocimientos y adecuarlo a los requerimientos especficos de cada empresa. Multicompaa y multiproyecto. La estructura de Delos permite crear modelos de diversas compaas definiendo proyectos con diferentes enfoques, objetivos y alcances. Esta capacidad proporciona gran flexibilidad para la realizacin de audi oras en t empresas o instituciones con requerimientos plurales, como pueden ser: corporativos, entidades de supervisin y vigilancia, organismos gubernamentales o firmas de auditora externas. Incluye COBIT. Delos utiliza la estructura y los objetivos de control definidos por COBIT para disear programas de auditora basados en dicha estructura y/o interpretar los resultados de evaluaciones realizadas con el propio enfoque de Delos, con base en el
f
estndar internacional sobre control en tecnologa de inform acin emitido por la ISACA (InformationSystemsAudit and Control Association).
Beneficios
En forma concreta podemos decir que Delos genera los siguientes beneficios:
Caractersticas.
Adems de la descripcin antes mencionada Delos se divide en 5 mdulos mas, los cuales se describen a continuacin:
y Delos Tutor: Este mdulo tiene el propsito de ofrecer capacitacin a sus usuarios,
emulando, como su nombre lo indica, la labor de un tutor, que es proporcionar educacin y orientacin a sus alumnos en alguna materia en particular. Delos Tutor tiene incorporados los conceptos tericos de auditora en TI, lo cual es utilizado para proporcionar instruccin autodidacta a sus usuarios.
y Delos Control: Este mdulo esta enfocado a la otra perspectiva del control, es
decir, no a la de quien debe evaluar el control, sino del que es responsable de disear e implantar controles en una empresa u organizacin. La misma base de conocimientos de control de Delos es utilizada para identificar los procedimientos que una organizacin debera tener establecidos en un ambiente de tecnologa de informacin, ya sea en sus procesos de trabajo relacionados con el desarrollo de soluciones informticas (como desarrollo de sistemas, implantacin de paquetes de software, planeacin estratgica de sistemas, adquisicin de tecnologa, etc), como en los procesos de administracin de recursos informticos.
y Windows 95, 98, 2000, NT y XP. y 150 MB en disco duro. y 32 MB en memoria RAM y Procesador pentium a 100 megahertz.
Captulo
. Anlisis de informacin
Tabla de contenidos
Anlisis de consecuencias y riesgos Seleccin de mejores prcticas Anlisis de la aplicacin de CAAT Estudio de costo-beneficio Anlisis de la aplicacin de cuestionarios
En el presente capitulo, se realiza el anlisis de la informacin que se present en los captulos anteriores, comenzando por el anlisis de consecuencias y riesgos en cuanto a la implantacin del rea de auditora en informtica dentro de la H. Cmara de Diputados. En seguida, se habla de las mejores prcticas y por ltimo del anlisis de las CAAT que ms se adaptan a las necesidades especficas del rea, ya que la implantacin de una mejor prctica y la adquisicin de una herramienta de auditora asistida por computadora, se consideran herramientas bsicas para el desarrollo erices del rea de auditora en informtica, mismas que deben cubrir las necesidades de del personal.
Consecuencias
Poca aceptacin por las reas de Tecnologas de No podr trabajar en conjunto con el rea Informacin ya que se les establecern controles de Tecnologas de la informacin que es los cuales no son aceptados de una buena manera hacia donde est enfocada el rea de por el personal involucrado. auditora. Falta de capacitacin del Subcontralora de Auditora personal de la Mal uso de las herramientas y los procedimientos.
Uso inadecuado de los equipos, Falta de una mejor cultura informtica en el herramientas, procedimientos e ignorar personal de la Subcontralora de Auditora normas y controles. Falta de una visin general por parte de las reas Ver al rea de auditora como un rea que de TI como una problemtica la falta de un rea de produce y que no sirve as como no poder auditora informtica trabajar en conjunto. Resistencia al cambio. Inadaptabilidad a la implantacin de las tcnicas y herramientas propustas.
Al no implantar el rea de auditora informtica tambin se corren riesgos potenciales, ya que el atraso que generara eventualmente aumentar los rezagos en los trabajos de auditora y la ineficiencia del personal, a continuacin describimos los que detectamos de acuerdo a las visitas realizadas al rea de la Subcontralora de Auditora y en base a los cuestionarios aplicados, se determina lo siguiente:
Aumento de costos para la organizacin, indisponibilidad de la informacin. Ineficacia en los procesos de auditora. Mal manejo de la informacin por personal interno del rea.
Inadecuado desarrollo del El rea de TI seguir siendo vista como un rea que no ofrece rea de sistemas. servicios y un desarrollo y crecimiento lento. Perdida de informacin por la falta de controles y procedimientos que regulen su uso y redunde su mal uso malintencionado de externos.
Robo
En esta parte del capitulo se habla especficamente de las CAAT que seran ms tiles dentro de la Subcontralora de Auditora para el desarrol o de sus actividades, para lo l cual se compararn las siguientes herramientas: Auto Audit (Grupo XopanTech), WorkingPapers (Grupo Cynthus) y Delos (Grupo Cynthus). A continuacin se hace un anlisis de los beneficios de cada una de ellas, as como de sus costos, necesidades de capacitacin de personal y equipo de software requerido adicional al ya existente, el criterio de seleccin obedece a la posible utilizacin del peronal y hardware ya existente. Para este efecto, se organizaron presentaciones de demos de estas tres herramientas al personal de la Subcontralora de Auditora, de estos tres proveedores obtuvimos tambin la cotizacin de implantacin de stas y las necesidades de software y hardware ( Apndice A, Cotizacin de proveedores). Con esta informacin a continuacin se presenta el estudio comparativo de costo beneficio de estas tres herramientas. En base a la experiencia en la implantacin de herramientas (software y hardware) que ayuden a la automatizacin de procesos y/o informacin se determina que pueden existir algunos riesgos y ms si la herramienta es implementada en un rea nueva como es el caso de la H. Cmara de Diputados, en la implementacin de un rea de auditora informtica, a continuacin se mencionan los riesgos que pueden existir en la implementacin de una herramienta que ayude a la automatizacin de las tareas de el rea de auditora informtica.
Mal anlisis para la implantacin Mal funcionamiento de la herramienta de la herramienta. Implantar una herramienta ms barata que no cumpla con los requisitos necesarios para ayudar a automatizar los procesos del rea de auditora informtica. de la Implantar una herramienta que no ayude a automatizar los procesos del rea de auditora Informtica.
Mala capacitacin en el uso de la Mala explotacin de la herramienta. herramienta. Los procesos y el flujo de trabajo Mala implantacin de la herramienta, as como un mal no estn bien definidos. funcionamiento de la misma. Mal funcionamiento de la herramienta, cadas de sistema, Arquitectura tecnolgica no perdido de informacin, poca disponibilidad de la soportada por la herramienta. herramienta.
Sobreautomatizacin procesos.
de
los Que no se conozca como realizar los procesos en caso de que falle el sistema, deteccin retardada de fallas.
Estudio de costo-beneficio
El Costo-Beneficio, tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realizacin de la propuesta de implementacin de un rea de Auditora en Informtica en el rgano L egislativo, a su vez comparar dichos costos previstos con los beneficios esperados de la realizacin del proyecto, definiendo la factibilidad de las alternativas a seguir para llevar a cabo la propuesta. Una funcin muy importante de los costos es servir de gua para determinar cul puede ser la combinacin de productos ms rentable y los gastos en que se puede incurrir sin afectar los beneficios.[46] Es importante detallar los costos, ya que se considera que entre mayor sea el costo de la tcnica de auditora asistida por computadora que se seleccione, mayores debern ser los beneficios que conlleve; esto es que la expectativa crece. A continuacin se detallan los costos que se relacionan con la evaluacin a las necesidades de la propuesta de implementacin.
Costos indirectos
De acuerdo a las caractersticas de cada herramienta y en entrevista con el personal de la Subcontralora de Auditora se determin que del software de Auto Audit sera necesario adquirir 20 licencias, para WorkingPapers 5 y para Delos entre 3 y 5, con estos datos proporcionados por el proveedor, proseguimos nuestro anlisis, como sigue:
h g
Tabla
Auto Audit (20 usuarios) Licencia Implementacin Hora/especialista Capacitacin Mantenimiento Soporte Total
[a]
21,600.00
1,440.00
7,200.00
4,800.00
1,025.00
El costo de las Licencias de Delos incluyen la licencia de uso, manual digital, disco de instalacin y Dongle de proteccin por usuario, as como una licencia para uso del software IDEA (para anlisis de datos que incluye Dongle de proteccin, manual de uso y disco de instalacin) capacitacin para seis personas y una ao de
Tabla
. . Costos de inversin
Auto Audit WorkingPapers Delos Equipo de cmputo 6 laptop Costo unitario Total Hardware Software Total 160.00 960.00 Ya existe 6 laptop 160.00 960.00
Ya existe
Una vez ms la implementacin ms econmica resulta ser la de WorkingPapers y la ms cara es Auto Audit, estos son dos factores importantes a considerar para la eleccin de la herramienta adecuada; sin embargo, no son determinantes, ahora que se conoce el costo habr de realizarse un anlisis de la utilidad que estas herramientas traen consigo, cuales son ms accesibles de implementar de acuerdo a su funcionalidad y que su ambiente sea amigable para el auditor a fin de que esta propuesta no contemple la contratacin de nuevo personal, sino la capacitacin del actual, para lo cual posteriormente se analizan los resultados de la aplicacin de cuestionarios al personal que asisti a las demostraciones de los proveedores, de cada una de las tcnicas de auditora asistidas por computadora. La implantacin del rea no implica necesariamente a aplicacin de una CAAT as como la aplicacin de una CAAT no necesariamente sucede s y solo s se implanta el rea, esto es, no son indispensables una sin la otra; sin embargo el modelo ptimo de desarrollo de la Contralora Interna de acuerdo a este informe de seminario de titulacin contempla la implantacin del rea de auditora en informtica y adems reforzar a toda la Subcontralora de Auditora con la utilizacin de la herramienta seleccionada.
Costos de oportunidad
Los costos de oportunidad son los que se derivan de hacer una cosa en lugar de otra. La herramienta ms barata es WorkingPapers, con un costo de $9,325.00 Dlls, contra la ms cara que es Auto Audit de $30,240.00, por lo tanto la diferencia de $20,915.00 representa el costo de oportunidad de tomar esta alternativa. A continuacin, se presenta un anlisis del equipo que se usara en las actividades de esta rea y el personal estimado que realizara estas labores sin el uso de una herramienta de auditora asistida por computadora para compararla contra el equipo y el personal que se requerir al implantar una de estas herramientas.
ACTIVIDADES
1.
Equipo
Elaboracin planes trabajo de de
2.
Elaboracin cuestionarios,
de
12
12
12
realizar en tiempos estimados reales. 5. Evaluacin resultados programas operativos. 6. Evaluacin de la de los
de
papeles de trabajo e informes de auditora. 8. Comunicar resultados recomendaciones evaluaciones. 9. Comprobar que el los y
12
12
12
12
12
seguridades lgicas y fsicas. 11. Evaluacin de los riegos y controles. 12. Evaluar la existencia de polticas[a], objetivos[b], normas[c], metodologas[d], de tareas as
12
12
educacion.shtml"
[c] [d] [e]
Diagnstico de personal
Deben seguirse procedimientos sistemticos para identificar, seleccionar, programar, implantar, mantener, usar y controlar el software adquirido. Uno de los esquemas generalmente aceptado para tener un a decuado control es que el personal que intervenga est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia). Para complementar el grupo, como colaboradores directos en la realizacin de la auditora se debe tener personas con las siguientes caractersticas:
y Experiencia en el rea de Informtica y Experiencia en operacin y anlisis de sistemas y Conocimientos y experiencia en psicologa industrial y Conocimiento de los sistemas ms importantes
En cuanto a las certificaciones que se expusieron en Captulo 3, Legislacin informtica, mejores prcticas y tcnicas de auditora informtica se determina que la certificacin CISA (CertifiedInformationSystems Auditor) que la Asociacin de Auditora y Control de Sistemas de Informacin ( ISACA ), es la ms conveniente para que el personal cumpla con la calidad de trabajo requerida, ya que esta certificacin cubre el conocimiento tanto de auditora como de Sistemas.
y S 15 y No Ninguno
Motivos principales : Mejora el tiempo, calidad y presentacin del trabajo, dando ms tiempo al anlisis y oportunidad en las auditoras, la supervisin sera ms eficaz. 2. Qu beneficios personales (como auditor) crees que tendra la adopcin de una de ests herramientas? Beneficios principales: Principalmente ayuda para la elaboracin de informes y papeles de trabajo, superacin personal al conocer programas y herramientas que coadyuven a optimizar el trabajo, aprovechamiento de tiempos con ello mayor productividad, reducir errores e incongruencias, mayor control de la informacin, facilita la consulta de documentos, mantener una base de conocimiento actualizada 3. Qu beneficios institucionales (para la H. Cmara de Diputados) crees que tendra la adopcin de una de ests herramientas? Beneficios principales : Contar con una base de datos donde se almacene y documente toda la informacin generada en las auditoras, reduccin de costos, aprovechamiento de tiempos, mejor presentacin de reportes, ms y mejore s auditoras, informacin oportuna para toma de decisiones oportuna, estar a la vanguardia en tcnicas de auditora y de esta forma lograr el correcto desempeo de todas las reas de la Cmara de Diputados 4. Consideras que una de estas herramientas contribu ira al mejor cumplimiento de metas y objetivos de la Subcontralora de Auditora?
y S: 15 y No: Ninguno
5. Consideras que sera muy complicado el aprendizaje necesario para que apliques este tipo de tcnicas a tu trabajo?
y S: Ninguno y No: 15
Observaciones principales: Solo es necesario tomar capacitacin en la paquetera principal y la que el proveedor brinde de acuerdo al software especifico. 6. De los demos a los que asististe, Qu producto crees que sera mejor adaptar a la Subcontralora de Auditora?
7.
De acuerdo a su funcionalidad y facilidad de uso de los demos a los que asististe, Qu calificacin le daras a cada uno de ellos? (malo/regular/bueno/excelente)
8.
Auto Audit
Su manejo es ms complicado, necesita ser complementado, la presentacin no fue adecuada, no puede ser ajustado a las necesidades especficas de cmara por ello es inadecuado.
WorkingPapers
Se puede adaptar especficamente a los procesos que se re alizan aqu, es bueno solo que necesita una base de datos, ms prctico en cuanto a los tiempos de respuesta, adems cuenta con soporte tcnico de calidad, el manejo de word y excel facilita su uso, conviene mucho para revisiones financieras, sera necesario un caso prctico para ver su funcionalidad.
Delos
Falt ms explicacin; sin embargo puede ser aplicable con una buena capacitacin lo podemos aplicar, puede funcionar en cuestin de control de los programas establecidos para las revisiones y tiempos de atencin de los auditores, es el ms adecuado para adaptarse a las necesidades especficas de la Cmara, debe considerarse un curso de este software, es el ms adecuado
[46]
Alatriste
Propuesta de creacin del rea de auditora informtica Objetivo Justificacin de la creacin del rea Modificacin a la normatividad existente Estructura orgnica de la Subcontralora de Auditora Misin, visin y funciones del rea de Auditora Informtica. Tipos de auditora que realizar el rea de Auditora Informtica. Requerimientos para creacin del rea de Auditoria Informtica Requerimientos de hardware y software Requerimientos de personal Pasos a realizar para la implantacin del rea Propuesta de mejor prctica Justificacin Objetivo Propuesta de herramienta CAAT
En este captulo, una vez que ya se conoce la conformacin de la H. Cmara de Diputados, mostramos la formacin general de su rgano de Control Interno y cmo encaja la Subcontralora de Auditora dentro de este rgano Legislativo, se detallan las posibilidades en cuanto a mejores prcticas, certificaciones, tcnicas de auditora y herramientas automatizadas y del anlisis a cada uno de ellos, de acuerdo a lo anterior se dan a conocer los resultados a los que se llega en el desarrollo de este informe de seminario de titulacin. Derivado del estudio de costo beneficio y de factibilidad, as como del anlisis de las consecuencias y riesgos a los que se enfrentar el rea al implantar esta rea, as como de cules seran las consecuencias de seguir con la est ructura y funciones, misma que
se realiza para darle a los Mandos Medios y Superiores de la Contralora Interna una visin a futuro de las mejoras que traera consigo la adaptacin de esta propuesta, benficas para este rgano de Control Interno as como de estar a la vanguardia en las nuevas tendencias de auditora en informtica actuales, y con ello brindarle a la ciudadana una mejor rendicin de cuentas. As, en este captulo, brindamos las bases y una gua completamente prctica del cmo y porqu es recomendable contar con un rea o las funciones encaminadas a realizar auditoras en informtica dentro de este rgano, desde la ptica de las nuevas tendencias mundiales de auditora y tratando de dar cumplimiento a las recientes Leyes de Transparencia y Acceso a la Informacin Pblica Gubernamental.
Objetivo
Evaluar el desempeo de los sistemas informticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la Informacin as como un elevado nivel de seguridad.
Realizar auditoras operacionales, integrales, especiales y de cumplimiento al rea de sistemas, ayudando en la gestin de control de la Auditora Interna y buscando las reas de oportunidad. 1. 2. 3. Evaluar los controles establecidos para proteger los bienes institucionales, referente al manejo hardware, software y valores. Proporcionar al rgano Legislativo, un conocimiento de la situacin informtica real del rea de Sistemas. Realizar auditoras operacionales, integrales, especiales y de cumplimiento a aquellas reas administrativas y Grupos Parlamentarios que as lo requieran.
El rea de Auditora Informtica, como parte de la SubContralora de la H. Cmara de Diputados tendr como misin y visin, los que a continuacin se describe:
Importante
Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicacin de los recursos financieros, humanos, materiales y tecnolgicos se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin.
Importante
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos financieros, humanos, materiales y tecnolgicos de los que dispone la Cmara.
confiabilidad y disponibilidad de los datos, garanticen la seguridad de la informacin y prevean las posibles contingencias en cuanto a la seguridad de la informacin que se maneja en este rgano, misma que por definicin es muy delicada, asimismo que regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del rea de sistemas de esta Institucin mediante las auditoras correspondientes. A continuacin se listan las funciones principales que esta rea, deber llevar a cabo. 1. Elaboracin de planes de trabajo para llevar a cabo auditoras en informtica y el desarrollo de actividades apropiadas que permitan maximizar la eficacia del rea de sistemas. 2. 3. 4. 5. 6. Elaboracin de cuestionarios, encuestas, matrices y herramientas que ayuden al levantamiento de la informacin para el debido desarrollo de las auditoras. Implementacin de los planes de trabajo llevando un control de las actividades a realizar en tiempos estimados reales. Evaluacin de sistemas, procedimientos y equipos de cmputo. Verificar que los activos, estn debidamente controlados y salvaguardados contra prdida y mal uso. Evaluar los resultados de los programas operativos que realice el rea de Sistemas para conocer eficiencia y efectividad con que se han utilizado los recursos. 7. Comprobar Institucin. 8. Realizar auditoras y estudios especiales de acuerdo con programas y especiales debidamente respaldados por las Normas pa el ejercicio profesional de la ra Auditora Interna. 9. Evaluar la problemtica del rea de Sistemas a travs de un pre -anlisis de la situacin del rea, para la determinacin de las principales necesidades de sta. mediante los informes de auditora. 11. Comprobar que el rea de Sistemas ha tomado las medidas correctivas de los informes de la Auditora Interna as como de las omisiones que al respecto se verifiquen en el seguimiento de informes. 12. Evaluacin de los controles de seguridades lgicas y fsicas que garanticen la integridad, confidencialidad y disponibilidad de los datos de esta institucin. 13. Constatar que el rea de sistemas se riga por los procedimientos ms adecuados para garantizar el adecuado funcionamiento de la red de trabajo. 14. Evaluacin de los riegos y controles establecidos para la bsqueda e identificacin de debilidades, as como de las reas de oportunidad 15. Evaluar la existencia de polticas[47], objetivos[48], normas[49], metodologas[50],
[51] de los recursos, as como la asignacin de tareas y adecuada administracin humanos e informticos.
el
cumplimiento
de
mandatos
constitucionales,
legales
16. Generar el Archivo de Papeles de Trabajo con la documentacin las auditoras realizadas.
y Conocimiento general del rea de sistemas o Organigrama o Estructura del rea o departamento o Relaciones funcionales y jerrquicas o Recursos (equipos con los que se cuenta) o Aplicaciones en desarrollo o Aplicaciones en produccin o Sistemas de explotacin y Planificacin o Concentracin de objetivos o Definicin de objetivos y alcances o Personas de la organizacin que se involucrarn en el proceso de auditora o Plan de trabajo Tareas Calendario Resultados parciales Presupuesto y Desarrollo de la auditora o Entrevistas o Cuestionarios o Observacin de las situaciones deficientes o Observacin de los procedimientos y Fase de diagnstico o Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles
tipos de solucin y mejora
y Presentacin de conclusiones o Integracin de soporte documental o Formulacin de cdulas de observaciones y papeles de trabajo o Informe final y Formacin del plan de mejoras o Resumen de las deficiencias encontradas
o Medidas a corto plazo: mejoras en plazo, calidad, planificacin o formacin o Medidas a medio plazo: mayor necesidad de recursos, optimizacin de
programas o documentacin y aspectos de diseo
Gua de auditora
Existirn tantas guas de auditora como procedimientos se realicen, s embargo, a in manera de ejemplo, se presenta la siguiente gua como propuesta de las subsecuentes:
Objetivos
Objetivo general:
Verificar que la seguridad fsica y lgica en la red de la H. Cmara de Diputados que maneja la Direccin General de Tecnologas de Informacin. Actividades:
Direccin General de 1.- Conocimiento general de la Direccin General de Tecnologas de Tecnologas de Informacin a fin de conocer sus instalaciones, tamao, condiciones Informacin de trabajo, software, hardware, estructura, etc. 2.- Definicin de objetivos y alcances de auditora claros y bien delimitados de acuerdo a la magnitud del rea a revisar. 3.- Realizacin de Grfica de GANTT para planeacin de actividades y tiempos estimados de inicio y trmino de auditora. 4.- Preparacin del formato de oficio de presentacin. 5.- Preparacin del cuestionario de control interno y dems material de apoyo. 6.- Conocimiento previo de los manuales de procedimientos, manuales de organizacin, planes de contingencia, recuperacin, lineamientos, polticas, normas, reglamentos, procedimientos, etc., existentes en el rea. 7.- Preparacin de pruebas de cumplimiento, para la realizacin de
Unidad administrativa
Objetivos pruebas generales y especficas a fin de cubrir el alcance de la revisin. 8.- Preparacin del material de apoyo, formato de cdulas de marcas, gua de auditora, cuestionario, checklist, formato de papeles de trabajo, cdulas de observaciones, etc. 9.- Aplicacin del oficio de presentacin. 10.- Pltica con el equipo, para determinar el desarrollo de la auditora y actividades a realizar. 11.- Levantamiento de la informacin. Aplicacin de tcnicas de auditora y material de apoyo previamente diseado para la obtencin de informacin. 12.- Anlisis de la informacin.- Deteccin de debilidades de control, identificacin de observaciones por medio del anlisis de la informacin recabada. As como determinacin de causas e impactos. 13.- Integracin de Papeles de trabajo.- Apoyados en las pruebas necesarias, como son los cuestionarios, fotografas o cualquier tipo de constancia de hechos. 14.- Confirmacin de observaciones.- Verificar que las observaciones estn fundamentadas y que se cuenta con la evidencia suficiente para presentar las observaciones levantadas. 15.- Identificacin de niveles de riesgo.- Por medio del anlisis de la informacin de cada una de las observaciones, se le asocia un nivel de riesgo; inminente, potencial o controlable. 16.- Consolidacin de niveles de riesgo.- Agrupacin de observaciones comunes, con objeto de determinar las debilidades y sugerencias de forma general. 17.- Elaboracin del informe final. 18.- Actividades finales de papeles de trabajo.
m
los que cuenta, a continuacin realizamos la propuesta de los requerimientos que sern necesarios para el funcionamiento de la nueva rea.
y Proveedor CYNTHUS y Herramienta DELOS y Mejor Practica COBIT y Precio $26000 dls (herramienta y mejor prctica) y Cantidad de equipos existentes 18 PC y Cantidad de equipos necesarios 6 laptop adicionales y Caractersticas de equipos modelo Pentium 4 y Equipos auxiliares SQL Server
Requerimientos de personal
Puestos Direccin General Subdireccin Jefe Departamento Auditores de Plazas 1 1 1 1 5 3 2 5 Experiencia en el puesto B B C C Capacitacin requerida 24 24 24 24 Horas de capacitacin
Claves
Tipo de capacitacin Requerida A. Principiante B. Intermedio C. Avanzado
6. 7. 8. 9.
Remodelacin de reas. Contratacin y/o capacitacin de personal. Adquisicin de equipo de hardware. Adquisicin de software especializado.
10. Inclusin de la(s) auditora(s) en el PACA. 11. Aplicacin de la metodologa para las revisiones al rea de sistemas.
[47] [48]
http://www.monografias.com/trabajos10/poli/poli.shtml
http://www.monografias.com/trabajos16/objetivos-educacion/objetivoseducacion.shtml"
[49]
[50] [51]
Justificaci n
La misin y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores. COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los usuarios y los auditores de cualquier tipo. Hemos considerado que COBIT es la mejor prctica que podra ser de mayor utilidad a la Subcontralora de Auditora, debido a que provee a la administracin un entendimiento de los principios y conceptos claves sobre los requerimientos del negocio para la informacin e impactos preliminares de recursos de TI a detalle en sus 34 Objetivos de Control de TI. COBIT prever al negocio de guas de auditora, las cuales contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control, estas guas sern un macro para asistir a los auditores de sistemas de informacin en cuanto a las en revisiones de los procesos de TI y la seguridad de la administracin.
Objetivo Importante
Preparar a los funcionarios en temas como auditora, seguridad y control de TI. As com en o impulsar la investigacin y el desarrollo de temas sobre seguridad y riesgos en cuanto al uso de TI.
Captulo 6. Conclusin
Durante el desarrollo de este informe de seminario de tesis, podemos observar que en la Cmara de Diputados las tecnologas de informacin no han sido c ontroladas por su rgano de Control Interno, siendo este la Subcontralora de Auditora, y debido a la creciente dependencia de toda organizacin en su activo informtico ms importante la informacin, sta debe ser correctamente gestionada, controlada y asegurada por medio de controles que prevengan la ocurrencia de situaciones de riesgo para la organizacin y que a su vez asegure su integridad, disponibilidad y confidencialidad tanto de los datos como de los procesos, asimismo, contar con mecanismos de recuperacin. La propuesta de la creacin de un rea de auditora en informtica, debern estar apoyada en las nuevas tcnicas y procedimientos de auditora como son anlisis de datos de prueba, simulacin paralela, paquetes de auditora, software de audit ra, o juegos de prueba, entre otros. De manera importante, se concluye que los productos de software especiales para la auditora informtica son de particular importancia para el apoyo de la labor de auditora, no solo en informtica, sino de cualquier rea debido a la facilidad con que el auditor podr manipular la Informacin con algunas de las antes mencionadas tcnicas y procedimientos de auditora informtica.
Para lo cual, y en base a los anlisis efectuados se recomienda el uso de las tcnicas de auditora asistidas por computadora, ya que son de gran utilidad para un rea de auditora informtica, debido a que con su uso se obtiene considerables beneficios tanto para la Subcontralora de Auditora como para la Cmara de Diputados, como son: reduccin de los tiempos hombre por concepto de realizacin de papeles de trabajo e informes de auditora y mayor dedicacin al trabajo sustantivo y pruebas de cumplimiento, mejora de la calidad en la presentacin y contenido de cada auditora, aumento de programacin y cumplimiento, estandarizacin del trabajo de auditora y reduccin de costos para la realizacin de las mismas por insumos. Como ltimo factor de decisin para la seleccin de esta herramienta fue su costo y los beneficios que conlleva la propuesta, ya que es ms bajo que el las dems comparando los beneficios que esta provee y sus funcionalidades extras. Es muy importante mencionar que dentro del anlisis de costo beneficio pudimos percatarnos que la organizacin no cuentan con los suficientes eleme ntos para el buen funcionamiento de un rea de auditora dentro de la Subcontralora de Auditora. Concluimos, por tanto que esta propuesta aportar considerables beneficios a la Contralora Interna, los principales son mayor eficiencia en el trabajo, cont con una ar base de conocimiento que pueda retroalimentar a los auditores y apoyar sus funciones, flexibilidad de procesos, estandarizacin y control, adaptabilidad a los diferentes procesos, mayor comunicacin, reduccin de costos y aprovechamiento de recu rsos materiales y humanos, garantizar la seguridad, confiabilidad y disponibilidad de los datos, facilidad en el manejo de la informacin y mayor integracin en los equipos de trabajo.
Captulo 7. Bibliografa
Tabla de contenidos
Libros
[bib-solis-2002] Reingeniera de la Auditora Informtica. Gustavo Adolfo. Sols Montes.
2002. Trillas. Mxico.
Metodologa de la Investigacin. Roberto. Hernndez Sapieri. Segunda Edicin. 1997. McGraw-Hill. Mxico. Constitucin Poltica de los Estados Unidos Mexicanos . http://constitucion.presidencia.gob.mx/index.php?idseccion=211 . Normas y Procedimientos de Auditora. Comisin de Normas y Procedimientos de Auditora, Instituto Mexicano de Contadores Pblicos. 2 Edicin. Agosto de 2000. ANFECA. Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados.
Letras de oro en los muros de honor de la Cmara de Diputados. Comisin de Reglamentos y Prcticas Parlamentarias LIX Legislatura. Primera Edicin. Agosto de 2003. Vargas Impresores, S.A. [bib-ti-complejos] Formulacin de mejores prcticas para entornos TI Complejos Eli . Egozi, Mike Stephenson, y John Kampman. Auditora informtica en la empresa. Juan Jos Archa Itumendi. Ed. Paraninfo. Auditora Informtica. Mario G. Piattini y Emilio Peso Navarro. Ed. RA-MA. [bib-guia-17799] MANAGEMENT SYSTEMS Gua para la implementacin del Sistema de Gestin de Seguridad de la Informacin ISO 17799. Miguel Daz S.. Auditora informtica: un enfoque prctico. 2 Edicin, ampliada y revisada. [bib-rusbacki-2004] Sarbanes-Oxley, IT Governance and Enterprise Change Management. Tim Rusbacki. 2004. MKS White Paper. [bib-kearns-1994] Benchmarking. David T. Kearns. Primera edicin. 1994. Tcnicas de la auditora inforrmtica. YannDerrien. Ed. Marcombo. [bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP). [bib-zavaro-martinez] Auditora informtica, las tcnicas de auditora asistidas por computadora (CAAT). L. Zavaro y C. Martnez. Formulacin y Evaluacin de Proyectos. Francisco Baca Urbina. Tcnicas de los Costos. Sealtiel Alatriste. Auditora en Informtica. Jos A. Echenique. McGraw-Hill. Auditora en Centros de Cmputo. David H Li. Ed. Trillas. [bib-manual-camara-diputados] Manual de Organizacin General de la Cmara de Diputados .http://cddhcu.gob.mx/organiza.html . Instituto de Auditores Internos de Espaa. . V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico. 1985. . [bib-conceptos-itil] Conceptos Generales sobre ITIL .Lic. . Patricia Combalia. itSMF Argentina. Buenos Aires. 22 Abril 2005. [bib-sun-itil] Soporte de Microsystems.http://www.sun.es/services/itil . [bib-camara-diputados-web] http://cddhcu.gob.mx/ . Pgina oficial servicios de la Cmara ITIL. de Sun
Diputados.
[bib-isaca-mx] Isaca captulo Ciudad de Mxico, A.Chttp://www.isaca.com.mx/. [bib-novell-sarbanes-oxley] A Flexible Approach for Sarbanes-Oxley and Other Business Drivers,White Paper. Novell. 2004. .
Referencias en Internet
y y y y
http://www.cibertec.edu.pe/modulos/noticias.asp?ARE=1&PFL=2&NOT= 912 http://www.datasec.com.uy/index.php?option=content&task=view&id=6 5&Itemid=62 http://www.emb.cl/gerencia/articulo.mv?sec=14&num=85 http://www.isaca.org.mx
y y y y y y y y y y y y y y y y y
http://www.economia.gob.mx http://www.tecnologiaempresarial.info/circuito5.asp?id_nota=10568&ids =2 http://www.info.ccss.sa.cr Comit Directivo de CobiT/ISACA http://www.datasec.com.uy/ oxely-coso.pdf http://www.theiia.org/index.cfm?doc_id=56 http://www.theiia.org/ http://www.theiia.org/index.cfm?doc_id=5119 http://www.facpece.org.ar/boletines/37/60a-confederacion.htm http://www.isaca.org http://www.theiia.org/index.cfm?doc_id=56 http://www.inei.gob.pe/web/metodologias/attach/lib604/cap3 -6.htm http://www.glosarium.com/term/178,12,xhtml http://www.inei.gob.pe/web/metodologias/attach/lib604/htm http://www.glosarium.com/term/178,12,xhtml http://www.itlp.edu.mx/publica/tutoriales/desproyectos/tema%203_1.ht m http://Ilustrados.com/Publicaciones/Epyfapup.php