Introduccin

A lo largo de este informe de seminario de titulacin, se propone la implantacin del rea de auditora informtica dentro de la Contralora Interna de la H. Cmara de Diputados, ya que no obstante de que este rgano tiene 10 aos de creacin, a la fecha no se cuenta con sta ni con las funciones dedicadas especficamente a las IT; este es el motivo que motiv la realizacin de este informe. Para ello, se comienza por dar una semblanza de los antecedentes, conformacin y legislacin de la Cmara de Diputados; a fin de que se comprenda cul es la ubicacin del rgano Interno de Control (Contralora Interna) dentro de esta institucin, dentro de su estructura se encuentra a la Subcontralora de Auditora, sta ltima objeto de este estudio. De sta ltima se realiza un anlisis y se comienza por sus aspectos generales para terminar con el estudio de sus particularidades a fin de fundamentar esta investigacin. En seguida se analiza el rea de sistemas del rgano, en este caso la Direccin General de Tecnologas de Informacin, de la misma forma que con el rgano Interno de Control se analiza de lo general a lo particular. En seguida, se proporciona toda la investigacin y anlisis correspondiente de las actuales herramientas informticas y manuales que pueden se usadas por los r auditores, las mejores prcticas y dems estrategias que puedan auxiliar a los empleados de la Contralora Interna y as contribuir con la mejor rendicin de cuentas y cumplimiento a las actuales leyes de transparencia y acceso a la inform acin pblica gubernamental. Para concluir, se proporcionan las recomendaciones de cmo deber estar conformada el rea de auditora en informtica de acuerdo a la magnitud del rea de sistemas; los pasos que se consideran necesarios seguir para su implant acin y por ltimo de todas las herramientas estudiadas, se hace una propuesta de aquella que est ms acorde a las funciones y caractersticas tanto de la Subcontralora de Auditora como del rea de sistemas del rgano. Es importante mencionar que el presente informe de seminario de titulacin tiene un sentido preventivo por muchas razones, entre ellas: la creciente importancia de mantener seguros los activos informticos y en particular los datos (tanto del rea de la Contralora Interna como del rea de Sistemas); ya que si bien la informacin es intangible, sta representa el elemento fundamental que sirve de base para el correcto desarrollo de todas las funciones dentro de la H. Cmara de Diputados. Por otro lado, la reciente creacin e implantacin de la Ley Federal de Acceso a la Informacin Pblica Gubernamental obliga en el mediano plazo a todos los rganos de control de gobierno a mejorar, actualizar y modernizar sus mecanismos de revisin y control. As, en este informe se plantea la problemtica a la que hoy da se enfrenta la Subcontralora de Auditora de la H. Cmara de Diputados, cules son sus riegos y oportunidades, y se fundamenta plenamente las recomendaciones hechas en cuanto a la implantacin de IT dentro del rea y diferentes recursos, as como capacitacin de personal y actualizacin de la legislacin existente.

Captulo 1. Descripcin del rgano legislativo y de su organo interno de control

Tabla de contenidos

H. Cmara de Diputados Antecedentes Legislacin rganos de gobierno y estructura tcnica y administrativa Estructura orgnica general Conformacin actual Contralora Interna de la Cmara de Diputados Legislacin Estructura orgnica Objetivo y funciones Subcontralora de Auditora Legislacin Estructura orgnica general Objetivo Funciones Metas Misin Visin Debilidades y fortalezas Riesgos Controles Tecnologa informtica actual de la Subcontralora de Auditora Recursos humanos y capacitacin

En este captulo se da un vistazo a la historia y conformacin de la Cmara de Diputados; asimismo se ubica en qu contexto se encuentra el rgano de Control Interno y su respectiva rea de Auditora, estructura, objetivos, funciones y la normatividad con la que actualmente se maneja. Lo anterior, a fin de dar un panorama claro de qu es y a qu se dedica, principalmente enfocado a estudiar la Subcontralora de Auditora, de esta forma, se encuentra en este apartado el punto de partida de nuestro estudio.

H. Cmara de Diputados
Las paredes de la H. Cmara de Diputados pueden relatar una larga historia de triunfos y fracasos, pero sobretodo de cambios y transformaciones constantes que la han convertido en lo que hoy da es, a continuacin se da un repaso de qu es, para qu es y por qu fue creada a H. Cmara de Diputados y como llego a conformarse la Contralora Interna como rgano de control dentro de este rgano hace 10 aos: El pueblo ejerce su soberana por medio del Congreso de la Unin [1] , ste representa la conformacin del Poder Legislativo de los Estados Unidos Mexicanos, mismo que se deposita en dos Cmaras, una de Diputados y otra de Senadores, las cuales ejercen las facultades que la propia Constitucin les confiere.

Antecedentes
Poca gente sabe que el 24 de febrero de 1822, el Mxico Independie nte tuvo a la Iglesia de San Pedro y San Pablo como el primer escenario del Poder Legislativo, donde nace la primera Cmara de Diputados y el primer Congreso Constituyente en Mxico. En 1823 el Congreso Constituyente comenz a esbozar la idea de que el Pod er Legislativo se compusiera por dos Cmaras: una integrada con base en el nmero de habitantes y otra formada por igual nmero de representantes de los nacientes estados, Diputados y Senadores, respectivamente. En este mismo ao, Fray Servando Teresa de M ier concibe la idea del bicameralismo dando lugar a la creacin del Honorable Congreso de la Unin que se plasm en el Acta Constitutiva de la Federacin, que fue la ley fundamental mexicana y base de la creacin de la Constitucin Poltica de los Estados Unidos Mexicanos, que ha pasado por innumerables modificaciones hasta llegar a lo que hoy da se conoce como nuestra Carta Magna. En 1981 se inaugur la construccin de lo que hoy es la sede de la Cmara de Diputados, con slo 24 aos de existencia las par edes de este recinto pueden contar una larga trayectoria de triunfos y fracasos. Como dato curioso mencionar que las distintas instalaciones que ha tenido la Cmara de Diputados a lo largo de este perodo han sido incendiadas por lo menos tres veces, a causa de los diferentes movimientos polticos y sociales que se han dado en Mxico. Nuestro estudio empieza aqu y, no de forma idealista ni inocente este informe trata de comenzar a cambiar la situacin de Mxico desde su parte ms fuerte, dentro del pode r; introduciendo nuevas formas de ver el gobierno. La Cmara de Diputados est compuesta por 500 Diputados, mismos que son los representantes de la Nacin electos en su totalidad por la ciudadana mexicana; divididos en: 300 elegidos, segn el principio de votacin mayoritaria relativa, mediante sistemas de distritos electorales y 200 segn el principio de representacin

Legislacin
En M ico, nuestra carta magna, habla de la divisin de poderes para su ejercicio: Legislativo, Ejecutivo y Judicial; el poder legislativo en nuestro pas consiste en la elaboracin, estudio y aprobacin de las leyes que regulan nuestro territorio a nivel nacional, asimismo la Constitucin Poltica de los Estados Unidos Mexicanos , establece que el Poder Legislativo se deposita en un Congreso General, que se divide La C mara de Diputados es, por tanto, uno de los dos rganos Legislativos que est encargado de brindar representatividad a la poblacin de todo el pas, por medi del o ejercicio del poder legislativo, mediante los 500 diputados que la conforman. Los artculos 51 al 79[3] establecen detalladamente la conformacin, funciones, ejercicio, facultades compartidas y exclusivas, etc. de estos dos rganos, las cuales no se menciona por no ser el objeto de nuestro estudio.

en dos C maras, una de Diputados y otra de Senadores [2]

rganos de gobierno y estructura tcnica y administrativa

Como est plasmado en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, sta cuenta con cuatro rganos de Gobierno:

y Pleno. y Mesa Directiva. y Conferencia para la Direccin y Programacin de los Trabajos Legislativos. y Junta de Coordinacin Poltica.
Y por lo que respecta a la organizacin tcnica y administrativa, est integrada por:

y Secretara General. y Secretara de Servicios Parlamentarios. y Secretara de Servicios Administrativos y Financieros. y Contralora Interna. y Coordinacin General de Comunicacin Social.

Estructura orgnica general

A fin de comprender, la conformacin de la Cmara de Diputados y especficamente con el propsito de ubicar tanto de la Contralora Interna como de la Direccin General de Informtica y Telecomunicaciones dentro de este rgano Legislativo, a continuacin se presenta su Estructura Orgnica[4] actual en Figura 1.1, Estructura orgnica general de la Cmara de Diputados .
           

Figu

. .E

gnica general de la Cmara de Dipu a dos

Como se puede ver, la Secretara General es la cabeza de los servicios tcnicos y administrativos (compuesta a su vez por la Secretara de Servicios Parlamentarios y de

proporc onal, m plurinominales

ante el s stema de listas regionales, votadas en 5 circ nscripciones

Servicios Administrativos y Financieros). Estas ltimas articuladas mediante rganos responsables de la gama de servicios especficos, respectivamente en las reas parlamentaria y administrativo -financiera. Dentro de las reas que conforman a la Secretara de Servicios Administrativos y Financieros, se encuentra a la Direccin General de Informtica y Telecomunicaciones, misma que se estudia en el siguiente captulo de este informe.

Conformacin actual
Para comprender el funcionamiento de la Cmara de Diput ados se menciona su conformacin actual en cuanto a los Grupos Parlamentarios, que en conjunto con los respectivos Senadores conforman un Partido Poltico, los cuales estn encargados de las labores puramente legislativas; dentro de la Cmara de Diputados la informacin
[5] publicada al 15 de julio de 2005 en su pgina oficial , arroja la reparticin de los actuales 500 Diputados con las siguientes cifras:
 

Figura 1.2. Conformacin de la

. Cmara de Dipu ados LIX Legislatura

[1]

Constitucin Poltica de lo Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1. s Constitucin Poltica de los Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1. Constitucin Poltica de los Estados Unidos Mexicanos, Captulo II. Del Poder [bib-manual-camara-diputados] [bib-camara-diputados-web]

De la Soberana Nacional y de la Forma de Gobierno, Artculo 41.

[2]

De la Soberana Nacional y de la Forma de Gobierno, Artculos 49 y 50.

[3]

Legislativo
[4] [5]

Contralora Interna de la Cmara de Diputados

Ya que se conoce como se conforma la Cmara de Diputados, el siguiente escaln para hablar en particular de la Contralora Interna, ste es el rgano de Interno de Control que es el encargado de llevar a cabo la gestin del control administrativo y fiscal dentro de esta institucin. Cabe sealar que la Contralora Interna de la Cmara de Diputados del Honorable Congreso de la Unin se cre mediante Acuerdo de la Gran Comisin del 5 de mayo de 1994, con el objetivo de que la Cmara de Diputados cuente con su propio rgano

Interno de Control que a fin de propiciar el ptimo aprovechamiento de los recursos de la Institucin.

Legislacin
La formacin de la Contralora Interna se establece en la Ley Orgnica del Congreso General de los Estados Unidos Mexicanos, Artculo 53 que a la letra dice: La Cmara cuenta con su propia Contralora Interna, la que tendr a su cargo recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos de la misma. La Contralora se ubica en el mbito de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Su titular es designado a propuesta de dicha Conferencia, y aprobado por las dos terceras partes de los diputados presentes en el pleno.

Importante
Como puede apreciarse, la creacin de la Contralora Interna dentro de la H. Cmara de Diputados data de hace diez aos y paulatinamente ha venido reforzando sus mecanismos e incrementando su actuacin, ha tenido avances significativos hasta incorporar en sus revisiones las subvenciones a los grupos parlamentarios, a partir de 2002, lo que represent un arduo esfuerzo y rediseo de funciones. Para su manejo interno, la Cmara de Diputados cuenta con el Manual de Organizacin General de la Cmara de Diputados que se expide en cumplimiento , a los Lineamientos para la Organizacin de los Servicios Parlamentarios, Administrativos y Financieros establecidos por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, que en su presentacin ...establece el marco de actuacin de las unidades sustantivas y adjetivas de la Cmara, as como su estructura orgnica, representada a nivel de jefatura de departamento. Comprende las atribuciones de la Secretara General, de las Secretaras de Servicios Administrativos y Financieros, y de sus reas dependientes, as como de otros rganos tcnicos de la Cmara como la Contralora Interna y la Coordinacin General de Coordinacin Social , y al cual se apega la administracin actual.

Estructura orgnica
En el Manual de Organizacin General de la Cmara de Diputados se establece la estructura orgnica autorizada de la Contralora Interna, como se ilustra en Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados :

Figura 1.3. Estructura orgnica de la Contralora Interna de la Cmara de Diputados

En la figura anterior, se aprecia en el segundo nivel a tres Direcciones Generales, stas representan lo que en la prctica son la son las tres Subcontraloras que ya se menciona, con sus respectivas Direcciones de rea.

Este problema est siendo regulado en la actualidad para homogeneizar los nombres de los puestos dentro del organigrama Habr que mencionarse que aunque existen autorizados ciertos nmero de plazas, en la prctica, actualmente la nivelacin, regularizacin y autorizacin de algunas plazas d e ms y de menos se encuentra en proceso. Como es el caso de los Jefes de Departamento, entre otros. En cuanto a los niveles salariales, en Tabla 1.1, Niveles salariales de la Contralora Interna de la Cmara de Diputados se describe su rgimen, su nivel segn estructura y rango salarial:

Tabla 1.1. Niveles salariales de la Contralora Interna de la Cmara de Diputados

Denominacin Contralor General Director General Director de rea Secretario Particular Subdirector de rea Coordinador Administrativo Jefe de Departamento Total

Rgimen Estructura Rango salarial 1 3 6 Base Base Base MD 02 a MD 06 MD 07 a MD 12 MG 06 a MG 10

Homlogos MG 02 a MG 12 8 Base MS 02 a MS 12

Homlogos MS 02 a MS 12 9 27 Base MC 01 a MC 07

Dentro del Manual de Organizacin General de la Cmara de Diputados se encuentra tambin que se plasma el objetivo y funciones de la Contralora Interna, como sigue:

Objetivo
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que s tas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.

Funciones
Elaborar el Programa Anual de Control y Auditora de la Cmara de Diputados, someterlo a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos y proceder a su ejecucin. Disear, implantar y supervisar la operacin del Sistema Integral de Control y Evaluacin de la Gestin de las unidades administrativas de la Cmara de Diputados.

Objeti

y funci nes

Evaluar el cumplimiento de los programas y polticas aprobados por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, con objeto de retroalimentar el proceso de planeacin, programacin y presupuestacin. Establecer los lineamientos y polticas que orienten a la colaboracin, que conforme a la ley deba prestar la Contralora a la Auditora Superior de la Federacin, para el mejor cumplimiento de sus respectivas responsabilidades. Emitir las disposiciones, reglas y bases de carcter general, normas, lineamientos y polticas en el ejercicio de las atribuciones, que conforme a las leyes, competen a la Contralora, previa autorizacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Opinar previamente a su expedicin, sobre los proyectos de disposiciones, reglas, normas, lineamientos y polticas que elaboren las unidades administrativas de la Cmara. Aplicar las normas que se hubieren fijado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos en materia de control, fiscalizacin y evolucin. Proporcionar informacin a la Conferencia para la Direccin y Programacin de los Trabajos Legislativos cuando sta lo requiera. Recibir y atender las quejas y denuncias que se p resenten en contra de los servidores pblicos, adscritos a las reas administrativas y los que realicen funciones de ese carcter en la Cmara de Diputados y en su caso, sustanciar el procedimiento administrativo disciplinario e imponer las sanciones correspondientes en los trminos de la ley en la materia.

Subcontralora de Auditora
La Subcontralora de Auditora se puede apreciar a nivel general en Figura 1.1, Estructura orgnica general de la Cmara de Diputados asimismo corresponde a una ; de las Direcciones Generales de Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados. De esta forma se observa al rea de inters particular, en este apartado se presenta su legislacin, conformacin, principales funciones, estructura, etc.

Legisl ci n
La legislacin de la Subcontralora de Auditora, como ya se mencion, se estructura u O n n T n y n y desde el E de la estructura tcnica y administrativa de este rgano, entre ellos la Contralora Interna[6], en su Ttulo Cuarto habla especficamente de ste rgano, misma que se encarga de recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos y se ubica en el mbito de la Conferencia, segn lo dispone el artculo 53 de la Ley Orgnica. Este Ttulo del estatuto establece todas las particularidades de este rgano de Control Interno, como son: el procedimiento para designar al Contralor Interno, lo sueldos y
'(&% $ )( '35391) @ 0)( & 9 3%& 1% 3 $ 38( 7 & 53 5 63 5& 3 4 & 1 2 & 0 )( '% %& % $ "

3C )( &1& 8BA & 0 )( &1)11&A D

establece que la organizacin y funcionamiento

percepciones que recibir l y el dems personal del rea, sus derechos y obligaciones, su estructura orgnica y funciones[7]. Para realizar estas funciones, se divide en tres Subco ntraloras:

y Quejas, Denuncias e Inconformidades y Evaluacin y Seguimiento y Auditora[8]

sta ltima, objeto de nuestro estudio es la encargada en particular de la realizacin de , las auditoras que se plasman dentro del Programa Anual de Control y Auditora que es sometido a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Adems de las revisiones por peticiones especiales o por rdenes de la Auditora Superior de la Federacin.

Estructura orgnica general

Adems de la estructura general ( Figura 1.1, Estructura orgnica general de la Cmara de Diputados) dentro de la cual se ubica a la Subcontralora de Auditora dentro del universo entero de la Cmara de Diputados, a continuacin se presenta el Organigrama de la Subcontralora de Auditora de forma particular y desglosada (Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados , ) estos datos se encuentran plasmados tambi n en el Manual de Organizacin General de la Cmara de Diputados. Como a continuacin se aprecia, la Subcontralora de Auditora est compuesta por dos vertientes: la Direccin de Auditora Financiera y la Direccin de Auditora Administrativa y a su vez en las Subdirecciones y Departamentos correspondientes.

Figura 1.4. Estructura orgnica de la Su contralora de Auditora

E

Ob etivo
El objetivo general de la Subcontralora de Auditora se plasma en el Manual de Organizacin General de la Cmara de Diputados, que a la letra dice: Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normaividad aplicable, t verificando que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin. Adicionalmente, en el Manual de Organizacin de la Contralora General se establece como su objetivo:

Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.

Funci nes
Las funciones de la Contralora Interna estn plasmadas en primera instancia de forma general en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados: a. b. c. d. Elaborar, aplicar y verificar el cumplimiento del programa anual de control y auditora; Realizar las auditoras conforme al programa anual de control y auditora y elaborar los informes de los resultados obtenidos; Vigilar que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones aplicables; Convocar y participar en la aclaracin de las observaciones con los titulares de las Unidades Administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar; e. Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la Contralora Interna; f. Fungir como enlace con la entidad de fiscalizacin superior de la federacin de la Cmara, en la revisin de la Cuenta Pblica; y g. Las dems que se deriven del presente Estatuto y de las normas, disposiciones y acuerdos aplicables.[9] En segunda instancia, de forma particular las funciones de la Subcontralora de Auditora estn plasmadas en el Manual de O an acin General de la Cmara de Dipu ados:
G

y Elaborar y verificar el cumplimiento de la aplicacin del Programa Anual de Control

y Auditora, autorizado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos.

y Realizar las auditoras conforme al Programa Anual de Control y Auditora (PACA). y Convocar y participar en la aclaracin de las observaciones con los titulares de las
unidades administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar.

y Elaborar los informes definitivos de los resultados obtenidos de las auditoras

realizadas.

y Elaborar trimestralmente el avance del PACA. y Elaborar las guas y programas detallados de auditoras, correspondiente al PACA. y Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la
Contralora Interna.

y Fungir como enlace con la Auditora Superior de la Federacin, cuando a se s

instruya por las instancias correspondientes, en la revisin de la Cuenta Pblica de la Cmara de Diputados.

P Q

H I

y Promover la capacitacin de los integrantes de la Subcontralora de Auditora, a fin

de elevar la calidad, eficiencia y eficacia de su presencia fiscalizadora.

y Elaborar, revisar y actualizar los manuales correspondientes al rea. y Representar a la Contralora Interna conforme a sus atribuciones.
Por otra parte, en el Manual de Organizacin de la Con ralora General se reiteran las mismas funciones plasmadas con anterioridad en el Manual de Organizacin General de la Cmara de Diputados.
S

Metas
Las metas de la Subcontralora de Auditora no se encuentran plasmadas en ningn documento oficial; sin embargo, en el Marco conceptual y desempeo de la Contralora Interna se plasman sus metas, y a la letra dice:

y Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para

supervisar el funcionamiento de las unidades administrativas y de los Grupos Parlamentarios dentro de su campo de accin.

y Verificar el ejercicio de los recursos pblicos asignados a la Cmara, para que se

realice con eficiencia, eficacia y en apego a los ordenamientos legales aplicables, transparencia y racionalidad.

y Fortalecer la mejora continua en la administracin y uso de los recursos pblicos. y Dar transparencia al ejercicio del gasto. y Reforzar la prevencin de irregularidades en el desempeo de los servidores
pblicos.

Misi n
La misin de la Subcontralora de Auditora no se encuentra plasmada tampoco en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su misin la siguiente:

Importante
La misin de la Subcontralora de Auditora es Dar transparencia a la gestin de las unidades administrativas y de los servidores pblicos de la H. Cmara de Diputados, en el ejercicio del gasto pblico, previniendo la desviacin del mismo.

Visi n
La visin de la Subcontralora de Auditora tampoco se encuentra en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su visin la siguiente:

Importante
La visin de la Subcontralora de Auditora es que la ciudadana tenga confianza y credibilidad en la administracin de la H. Cmara de Diputados.

Debilidades y fortalezas
En cuanto a las debilidades, fortalezas de la Subcontralora de Auditora, derivado del estudio al rea, el cual consisti primero en entrevistas con el personal, y asistir a las instalaciones para analizar el rea entera en lo que se refiere a tecnologas de informacin, recursos informticos, infraestructura y cultura informtica, se encuentran las siguientes:

Debilidades
y No cuentan con la debida regulacin legal y jurdica actualizada que apoye y
sustente sus funciones, ni en las reas administrativas, mucho menos en lo que respecta a las funciones de auditora en informtica.

y No existe un rea ni una persona que desarrolle la funcin de auditora en

informtica.

y En general, el personal de mandos medios, as como operativo, se muestra poco

interesado en el avance de las tecnologas de informacin, as como en la formacin de su personal en este sentido.

y Su personal est capacitado para la utilizacin de equipos de cmputo solo para

las funciones ms bsicas.

y Actualmente la Subcontralora de Auditora no ha realizando nunca una auditora

en informtica al rea de sistemas, mucho menos a las dems reas administrativas ni Grupos Parlamentarios.

y No cuentan con ningn tipo de software que apoye la funcin de auditora

cotidiana, mucho menos alguno especializado para la auditora en informtica.

y No aprovechan la infraestructura informtica que les proporciona la Cmara de

Diputados (red).

y No cuentan con una planeacin informtica que les permita ir a la vanguardia,

mucho menos hacer un planteamiento formal en cuanto a este tema.

y El personal de la Cmara de Diputados muestra en general un grado muy bajo de

cultura informtica.

y Existe poco equipo de cmputo en el rea y est mal repartido entre el personal
auditor y los altos mandos.

y El equipo con que cuentan los auditores, en general no cumple con las necesidades
bsicas de procesamiento para que realicen correctamente su funcin.

y El procedimiento para la adquisicin de tecnologas de informacin dentro de la

Cmara de Diputados es muy burocrtico, lleva mucho tiempo el suministro de equipos y bienes de cmputo.

y Hay muy poca participacin del personal del rea en los constantes cursos de
capacitacin en informtica que se imparten en la Cmara de Diputados.

Fortalezas
y En general existe poca rotacin de personal integrante de la Subcontralora de
Auditora en general, lo que ayuda a comprometer paulatinamente ms al personal en sus labores cotidianas.

y La red que tiene la Subcontralora de Auditora es la que proporciona la Cmara de

Diputados, la cual es de banda ancha y adems puede ser adapta da a las necesidades del rea si sta lo fundamenta adecuadamente, asimismo la compra de equipo y dems tecnologa.

y De ser correctamente fundamentada la necesidad de adquirir un software o equipo

de cmputo para la Subcontralora de Auditora en las reas dedicadas a este proceso, podrn ser adquiridos.

y Regularmente existe reconocimiento del trabajo de los niveles superiores hacia los
inferiores.

y Buena motivacin del personal que labora en la Subcontralora de Auditora.

y Es un campo frtil para la implantacin de nuevas tecnologas de informacin, ya

que al no haber un sistema actualmente, no ser necesario ningn proceso de migracin de datos.

y Un planteamiento adecuado y bien pensado de las necesidades presentes y futuras

del rea resolver fcilmente la problemtica que actualmente enfrenta la Subcontralora de Auditora.

Riesgos
Cuando se habla de riesgo, se entiende como: Los riesgos son condiciones del mundo real en el cual hay una exposicin a la adversidad, conformada por una combinacin de
[10] circunstancias del entorno, donde hay posibilidad de perdidas. .

Al asistir a las instalaciones de la Subcontralora de Auditora para analizarla, se revisaron las tecnologas de informacin con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:

Tabla 1. . Lgicos
V

Riesgo Prdida de informacin

Probabilidad Impacto Control Media Alto Alto Medio Bajo No lo hay No lo hay No lo hay No lo hay

Recomendaciones inadecuadas Baja Fuga de informacin Descontrol del personal

Tabla 1. . Fsicos
W

Baja Medio

Riesgo Incendio Robo Desastres naturales

Probabilidad Impacto Baja Media Baja Bajo Alta Alta

Control Sistemas contra incendio Controles de acceso, resguardos e inventarios Programas de capacitacin en caso de desastres naturales

Controles
El personal de la Subcontralora de Auditora no cuenta con un documento formal que establezca sus funciones; sin embargo, cuentan con un documento llamado Marco conceptual y desempeo de la Contralora Interna, que fue se proporcion para este estudio y en el cual se muestran como controles, los siguientes: Preventivo: Una de las prioridades de la Contralora Interna ha sido y es la de fortalecer los sistemas de control interno, a fin de contribuir al ejercicio transparente del gasto y a evitar irregularidades por parte de las diversas reas administrativas, para lo cual se ha venido promoviendo la revisin, actualizacin y complementacin de la normatividad.

En este sentido destaca lo siguiente:

y Expedicin de la Norma de Adquisiciones, Arrendamientos, Obra Pblica y

Servicios.

y Actualizacin del Manual para los eventos de Entrega-Recepcin. y Actualizacin de los Lineamientos Generales para la Administracin de Recursos. y Manual de Bases y Polticas para la Prestacin de Servicios. y Actualizacin de Manuales de Procedimientos.
Otro aspecto al que se le ha dado importancia es a la participacin en los diferentes actos de fiscalizacin relacionados con adquisiciones, tales como licitaciones pblicas, concursos por invitacin restringida, seleccin entre 5 cotizaciones, etc, participando desde la revisin de bases hasta el fallo de los eventos. Esta actividad ha permitido obtener importantes ahorros para la Institucin, adems de hacer ms transparentes los procesos de adquisicin. Se tuvo participacin relevante en los actos de Entrega-Recepcin de los Grupos Parlamentarios, Comisiones y Comits realizados por primera vez, con motivo del cambio de la LVIII a la LIX Legislatura. Como se puede ver, los controles a los que se refiere son puramente administrativos. En cuanto a tecnologas de informacin, actualmente el nico control que se lleva dentro de la Subcontralora de Auditora es como mximo el inventario fsico de los equipos de cmputos, resguardos individuales de los mismos y relacin del software que maneja cada equipo. La Direccin General de Tecnologas de Informacin cuenta con sus propios controles de acceso lgico y sellos de seguridad en cuanto a la seguridad fsica, adems de los ya mencionados resguardos fsicos personales de equipo de cmputo. Adems de eso, no existe control alguno sobre ningn aspecto del mbito informtico, tampoco sobre la capacitacin del personal y actualmente hay total desconocimientos de las mejores prcticas y/o software que pueda auxiliar a los auditores en su desempeo y cumplimiento de funciones.

Tecnologa informtica actual de la Subcontralora de Auditora

La Subcontralora de Auditora tiene un inventario de equipo limitado y mal repartido, hay personal que necesita mquinas ms adecuadas para su trabajo, algunos incluso podra hacer uso de herramientas informticas que apoyarn su labor, mientras que hay personal con equipos ms completos y modernos que en realidad no utilizan. En los siguientes puntos se detalla su infraestructura, su tecnologa actual en cuanto a hardware y software.

Hardware
En la Subcontralora de Auditora se utiliza la red que proporciona la propia Cmara de Diputados, misma que funciona por medio de un anillo lgico de fibra ptica, sobre la cual corren la mayora de las reas administrativas, rganos tcnicos y buena parte de los Grupos Parlamentarios. Sobre la red que provee el rea de sistemas se habla en el siguiente captulo, por el momento concretamente se menciona la tecnologa con la que cuenta nicamente la Subcontralora de Auditora:

y Tres equipos DELL, Pentium IV. y 7 HP Pentium IV

y 8 HP Pentium III y Tres equipos en desuso modelo 486. y Tres impresoras en red: y 1 DELL blanco y negro y 1 Xerox Phaser 4400 blanco y negro y 1 Laser Jet 400 blanco y negro y 2 HP Laser Jet 5500 a color (Propiedad privada)

Software
Los equipos con Pentium IV, tiene instalado Windows XP, con sesin para usuario limitado y office XP con los componentes bsicos. Los equipos de Pentium III para abajo tienen instalado Windows 98 95 y office de la misma versin, con paquetera bsica.

Recursos humanos y capacitaci n

La Subcontralora de Auditora tiene como personal una plantilla de 29 empleados entre los regmenes fiscales de mandos Medios y Superiores, Honorarios Asimilados a Sueldos y Supernumerarios, mismos que a continuacin se enuncian:

y 1 Subcontralor de Auditora, y 1 Auxiliar. y 2 Subdirectores (Director de Auditora Financiera y Director de Auditora

Administrativa),

y 4 Jefes de Departamento (Dos para cada Direccin), y 17 Auditores (Rotan segn las necesidades de auditora entre las dos reas), y 2 Secretarias, y 1 Chofer
ya se mencion que existe un conflicto entre los nombres de los puestos que se plasman en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados y la estructura orgnica de la Subcontralora de Auditora, adicionalmente existen inconsistencias en los tramos de control, entre otras, pero no se ahonda ms en este tema por no ser objeto de este estudio; por otra parte, esta situacin ya est siendo regularizada ante las instancias correspondientes.

Nota
Como ya se mencion, uno de los grandes problemas de la Subcontralora de Auditora es la poca capacitacin de persona, aproximadamente el 30% sabe usar con agilidad la paquetera de office, un 40% la usa pero con dificultades, mientras que el 30% tiene conocimientos muy bsicos de computacin.

[6]

Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 1, Inciso c).

Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculos del 153 al 158.
[8]

[7]

Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de

Artculo 158.
[9]

Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 158.

[10]

[bib-solis-2002]

Captulo

. Descripcin del rea de sistemas

Tabla de contenidos

Normatividad actual Recursos informticos existentes del rea de sistemas Hardware. Software Infraestructura informtica Recursos humanos y capacitacin Estructura orgnica Misin Visin Objetivos y metas Funciones y servicios Estrategias Fortalezas y debilidades Riesgos Controles y mecanismos de seguridad
Una vez que se conoce al rea de auditora del rgano, es necesario ahora que se conozca su contraparte: la Direccin General de Tecnologas de Informacin; misma que existe dentro de la Cmara de Diputados, para la administracin y control de sus recursos informticos, misma que se estudia en este captulo. Parte importante de este estudio es definir los controles y riesgos del rea de sistemas y darle dimensin

respecto de la auditora; as como las debilidades propias a fin de determinar el objetivo a seguir. Por ello, en este captulo, se hace un estudio de la conformacin actual del rea de sistemas, su normatividad, estructura, misin, visin y funciones. recursos, estrategias y servicios actuales,

Las debilidades y fortalezas dirn cules son los requerimientos del rea de auditora y cules sern sus dimensiones. Sobretodo, recordando que toda falla o caencia de r control genera una situacin de riesgo, stos sern estudiados a fin de conocer su funcionamiento actual y posibles mejoras.

Normatividad actual
En la actualidad la Cmara de Diputados en su rea de sistemas no se rige bajo ninguna norma o certificacin externa nacional o internacional. Tampoco cuentan con ningn tipo de manual de procedimientos u organizacin que les permita realizar sus labores de forma sistemtica y ordenada. De igual forma la falta de metas y objetivos genera desorganizacin y falta de control, mala administracin e inclusive representa un riesgo latente ante las posibles fallas del sistema. Tampoco cuentan con ningn tipo de plan de contingencia en caso de que la red falle, mucho menos con medidas para minimizacin de riesgos por posibles ataques, desastres de ningn tipo, etc. A fin de conocer mejor el rea de sistemas se presenta en la Figura 2.1, Conformacin actual del rea de sistemas su conformacin actual:

Figura 2.1. Conformacin actual del rea de sistemas

Recursos informticos existentes del rea de sistemas

Hardware.
Actualmente el rea de sistemas cuenta con un total de 45 mquinas de escritorio, 20 impresoras conectadas en red y 3 tipos de servidores, aunque dentro del rea se cuentan con algunos otros servidores, los 3 que se describen a continuacin son exclusivos del rea de sistemas:

Tabla 2.1. Equipos de escritorio

Ya `b aY`Y Y a`Y h

C ntid d M 22
Y Y

C Pe
g fe c d

t sti s
i

DELL

IV 512 MB Ram 60 GBD.D., Quemador 48 , Pantalla LCD 15"

18 5
Tabla

HP

Compaq Pentium III, 128 MB D.D., CD-Rom, Monitor 15 Flopy 3, Tarjeta de red
. . Impresoras
q r r

5 10 5
Tabla

Impresora Dell Impresora HP

Impresora Epson Inyeccin de tinta color

. . Servidores
u t

2 1

Servidores Sun 1 servidor de Correo 1 servidor Web Servidor Dell Antivirus (McAfee)

Soft are
Para el rea de sistemas todos los equipos incluyendo Pentium III cuentan con Windows XP Professional, Office XP, antivirus McAfee. Todos los equipos cuentan con la paquetera bsica, solo algunos de los equipos Dell cuentan c on Visio 2003, Corel Photoshop. Todo el software tiene licencia, las licencias adquiridas para cualquier software es de tipo corporativa.
w

Infraestructura informtica
La infraestructura con la que cuenta tanto el rea de sistemas como toda la Cmara de Diputados incluyendo cada una de sus reas dentro de cada edificio se describe de la siguiente manera: Debajo de toda la infraestructura de los edificios de encuentra una red de anillo lgico de fibra ptica, la cual esta conectada a un servidor central (Web el cual esta tiene ) salida a Internet por medio de un firewall fsico. En cada uno de los edificios en la planta baja se encuentra un switch que a su vez funciona como router, estos son de alta capacidad, cada unos de estos switch/router se conectan a otros switch tambin de alta capacidad que se encuadran en cada piso por cableado UTP categora 6 5, estos ltimos se conectan a un switch ms, que es de una capacidad menor que se encuentra dentro de cada rea de cada edificio por medio de

Cantidad

Cantidad

arca

Caractersticas Laser a color Inyeccin de tinta color

arca

Caractersticas

Cantidad

arca

Caractersticas Floppy 3, Tarjeta de fibra ptica, Tarjeta de red Pentium III, 256 MB Ram, 40 GB D.D., CD-Rom, Monitor 15 , Floppy 3, Tarjeta de fibra ptica, Tarjeta de red

cableado UTP categora 6 5, cada uno de estos switch se encarga de distribuir los servicios de red a cada una de las PC dentro del rea. En cada piso se maneja una topologa de bus para la distribucin de servicios.

Recursos humanos y capacitacin

El rea de sistemas cuenta con un total de 60 empleados los cuales estn distribuidos de la siguiente manera:

y 1 Director general de tecnologas de informacin. y 1 Director de sistemas. y 1 Subdirector de servicios. y 1 Subdirector de Internet. y 1 Director de infraestructura. y 1 Subdirector de soporte tcnico. y 1 Subdirector de telemtica. y 1 Subdirector de telecomunicaciones y 1 Jefe de telemtica. y 12 Ingenieros de soporte tcnico. y 10 Ingenieros de comunicaciones. y 5 Ingenieros de desarrollo Web. y 5 Ingenieros de desarrollo de aplicaciones. y 1 Webmaster. y 10 Secretarias. y 5 Ingenieros de sistemas. y 3 Auxiliares.

Estructura orgnica
Figura 2.2. Estructura orgnica de la Direccin General de S.I.

Misin
Una misin en el rea de sistemas ayuda a establecer la finalidad o el propsito para la cual fue creada y este debe de ir ligado al objetivo de la organizacin, tambin se deben

de comprender unos o ms objetivos y las tareas que deben de realizarse paraalcanzar dicho objetivo. En la actualidad el rea de sistemas de la Cmara de Diputados no cuenta con una misin que ayude a establecer el propsito para la cual fue creada esta rea, esto representa un riesgo para el rea ya que al no contar con una misi bien establecida n crea confusin en las personas que operan dentro del rea.

Visi n
Una visin ayuda al rea de sistemas a proyectarse en el futuro en una situacin deseada, es decir haca donde va o que es lo que quiere lograr. El rea de sistemas de la Cmara de Diputados an no cuenta con una visin establecida.

Objeti os y metas
Un objetivo para el rea de sistemas es una situacin deseada que elesta intenta lograr, esta es una imagen que el rea pretende para el futuro. Al alcanzar el objetivo, la imagen deja de ser un ideal y se convierte en real y actual, por lo tanto, el objetivo deja de ser deseado y se busca otro para ser alcanzado. Las funciones de establecer objetivos son las siguientes:
y

En la actualidad el rea de sistemas de la H. Cmara de Diputados no cuenta con objetivos ni metas.

Funciones y servicios
En base a la pltica realizada con el los gerentes de las diferentes subreas que conforman al rea de sistemas, actualmente estas son las funciones que realizan:

y Presentacin de una situacin futura: se establecen objeti os que sirven como una v
gua para la etapa de ejecucin de las acciones.

y Fuente de legitimidad: los objetivos justifican las actividades del rea. y Sirven como estndares: sirven para evaluar las acciones y la eficacia del rea. y Unidad de medida: para verificar la eficiencia y comparar la productividad del
rea.

y Instalacin y configuracin de equipos. y Altas y bajas de usuarios. y Instalacin y configuracin de aplicaciones. y Mantenimiento de equipos de usuarios. y Administracin de las listas de correo. y Copias de seguridad de los datos de los usuarios y recuperacin de los mismos en
caso de prdida.

y Instalacin, configuracin y mantenimiento de servicios como correo electrnico. y Desarrollo de nuevas aplicaciones que permitan el mejor uso de los equipos. y Administrar y mantener la disponibilidad y funcionamiento de los servidores
(hardware y software).

y Elaborar proyectos e informes para la implementacin de software y hardware, y

analizar y proponer nuevos programas y equipamientos.

y Mantener y controlar las licencias de software adquiridas por el Organismo. y Intervenir en proyectos especiales en los cuales resulte necesaria la asistencia
informtica.

y Coordinar la capacitacin del personal de la Cmara de Diputados en materia

informtica, en el uso de los programas, manejo de Intranet e Internet.

y Asegurar la disponibilidad de las comunicaciones. y Mejorar la funcionalidad del software asociado a las comunicaciones e incorporarle
novedades.

Estrategias
Una estrategia es un plan que integra las principales metas u objetivos y polticas de una organizacin y a la vez, establece una secuencia coherente de las acciones a realizar. Una estrategia puede ayudar a un rea de sistemas a poner orden y asignar recursos con el fin de lograr una situacin viable y estable, as como a anticiparse a los posibles cambios en el entorno. En base a las platicas sostenidas con los gerentes de la subreas de sistemas y debido a que en los puntos anteriores ya se defini que el rea de sistemas no cuenta con polticas ni objetivos establecidos a su vez esta tampoco cuenta con estratgicas.

Fortalezas y debilidades
De las visitas que se hicieron al rea de la Direccin General de Tecnologas de Informacin, se detectaron las fortalezas y debilidades ms importantes dentro del rea de sistemas de la Cmara de Diputados, mismas que se muestran a continuacin:

Fortalezas Capacidad del personal de trabajo Infraestructura de punta Motivacin haca el personal de trabajo por parte de los Jefes Ganas de crecer Debilidades Riesgo Impacto

Poco crecimiento del rea de sistemas, poca Bajo presupuesto dirigido al implantacin de sistemas que impulsen al rea a ser ALTO rea un rea de servicios y a establecer controles para una mejor administracin de la informacin Mala distribucin de personal No se pueden aprovechar al 100% las capacidades MEDIO del personal

Poco tiempo de creacin (3 No se le da la importancia necesaria pensando que BAJO

Fortalezas aos) No hay procesos Mala rotacin de personal es un rea sin experiencia Las actividades no se realizan de acuerdo a ALTO estandares El personal realiza actividades que no conoce MEDIO

Poca comunicacin con los Los usuarios no ven resultados por parte del rea de MEDIO usuarios finales sistemas como un rea de servicios Los sud-departamentos trabajan en conjunto no Mala administracin de las tecnologas, mala ALTO identificacin de problemas

Pocas posibilidades de No se pueden aprovechar al 100% las capacidades crecimiento personal MEDIO del personal (influyentismo). No cuentan con las herramientas (software) No pueden anticiparse a los posibles problemas, ALTO necesarias para la buena perdida de informacin, cada de sistemas. administracin del rea.

Riesgos
El rea de Tecnologas de Informacin fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Tcnico, quien permiti dar un recorrido a las instalaciones, asimismo, proporcion la normatividad autorizada con la que se cuenta, se realiz un anlisis del rea y basndonos en la experiencia de trabajo en diferentes reas de TI en la actualidad en el rea de sistemas de la H. Cmara de Diputados se detectaron los siguientes riesgos:

Tabla

. . Lgicos

Cada de la red Cada de servicios de produccin

Extraccin, modificacin y destruccin de informacin Baja confidencial Uso inadecuado de las instalaciones Ataques de virus informticos Fuga de informacin Alta Alta Media

Riesgo

Probabilidad Impacto Media Media Alto Bajo Alto Media Alto Alto

Riesgo Inadecuados controles de acceso lgicos Prdida de informacin Falta de disponibilidad de aplicaciones crticas Descontrol del personal

Probabilidad Impacto Baja Baja Baja Medio Alto Medio Alto Bajo

Tabla

.5. Fsicos

Riesgo Vulnerabilidad Incendio Robo Desastres naturales

Probabilidad Impacto Bajo Alto Bajo Alto Alto Media Baja Media Baja

Inadecuados controles de acceso fsico Alta

Teniendo en cuenta que una de las principales causas de los problemas dentro del rea de sistemas, es la inadecuada administracin de riesgos informticos, se debe hacer una buena administracin de riesgos, basndose en los siguientes aspectos:

y y y y y

La evaluacin de los riesgos inherentes a los procesos informticos. La evaluacin de las amenazas causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignacin de responsables a los procesos informticos. La evaluacin de los elementos del anlisis de riesgos.

Controles y mecanismos de seguridad

Los controles en un rea de TI permiten monitorear acciones y tomar medidas para hacer correcciones inmediatas o preventivas para evitar eventos indeseables en el futuro. Existen diferentes tipos de controles que se deben establecer en un rea de sistemas en donde hasta el momento en el rea de sistemas de la H. Cmara de Diputados solo cuenta con los que a continuacin se mencionan y los cuales aun no estn totalmente maduros. Los controles con los que cuenta el rea de sistemas son los siguientes:

y Controles de acceso fsico a las instalaciones y Controles de acceso lgico a las computadoras de todas las reas (por medio de
directorio activo)

y Definicin de roles para equipos de computo todas las reas y Uso de firewall fsico y Polticas de seguridad para el uso de equipos de cmputo (actualmente es un
proyecto de Manual que an no est autorizado oficialmente, pero ya est en uso en la prctica), entre las ms importantes est la prohibicin del uso de programas no autorizados o software pirata, polticas de segu ridad en el rea de sistemas y reas administrativas y parlamentarias.

. Legislacin informtica, mejores Captulo prcticas y tcnicas de auditora informtica

Tabla de contenidos

Legislacin informtica Institute of SystemAudit and Association, ISACA Instituto Mexicano de Auditores Internos, IMAI Institute of Internal Auditors, IIA Certified Internal Auditor, CIA Mejores prcticas de la auditora en informtica Aseguramiento de la informacin Aseguramiento de la calidad de la informacin Control Objectives for Information and related Technology, COBIT Information Technology Infraestructure Library, ITIL BS 7799 e ISO 17799 British Standard BS 15000 Committee of Sponsoring Organizations, COSO Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT Sarbanes-Oxley, SOX Normas, tcnicas y procedimientos de auditora en informtica. Normas. Tcnicas. Procedimientos. Anlisis de datos. Monitoreo. Anlisis de bitcoras. Tcnicas de auditora asistida por computadora

Evaluacin del control interno. Benchmarking Computer Assisted Audit Techniques CAAT Tcnicas para analizar programas Planificacin de CAAT Utilizar CAAT (realizacin de auditora) Documentacin de CAAT (worksheets) Informe/reporte descripcin de los CAAT Tipos de herramientas CAAT

Legislacin informtica
En este punto se describen la regulacin de las mejores prcticas de Auditora en Informtica como administrar los riesgos en tecnologa Informtica, la auditora en el sector pblico en base a los organismos nacionales e internacionales.

Institute of System Audit and Association, ISACA

La InformationSystemsAudit and Control Association Asociacin de Auditora y Control de Sistemas de Informacin ISACA, comenz en 1967. En 1969, el grupo se formaliz, incorporndose bajo el nombre de EDP AuditorsAssociation Asociacin de Auditores de Procesamiento Electrnico de Datos. En 1976 la asociacin form una fundacin de educacin para llevar a cabo proyectos de investigaci de gran escala para expandir n los conocimientos y el valor del campo de gobernacin y control de TI. Actualmente, los miembros de ISACA ms de 28.000 en todo el mundo se caracterizan por su diversidad ya que estn presentes en ms de 100 pases y cubre n una variedad de puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Informacin y Auditores Internos, por mencionar slo algunos. En las tres dcadas transcurridas desde su creacin, ISACA se ha convertido en una organizacin global que establece las pautas para los profesionales de gobernacin, control, seguridad y auditora de informacin. Su certificacin CertifiedInformationSystems Auditor Auditor Certificado de Sistemas de Informacin CISA, es reconocida en forma global y ha sido obtenida por ms de 30.000 profesionales. Su nueva certificacin CertifiedInformation Security Manager Gerente Certificado de Seguridad de Informacin CISM, se concentra exclusivamente en el sector de gerencia de seguridad de la informacin. Publica un peridico tcnico lder en el campo de control de la informacin, el InformationSystems Control Journal Peridico de Control de Sistemas de Informacin. [11] Organiza una serie de conferencias internacionales que se concentran en tpicos tcnicos y administrativos pertinentes a las profesiones de gobernacin de TI y aseguracin, control, seguridad de SI. Juntos, ISACA y su ITGovernanceInstitute Instituto de Gobernacin de TI asociado lideran la comunidad de control de tecnologa

de la informacin y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente Las empresas pblicas y privadas estn valorando cada da ms la creciente importancia que representa mantener sistemas informticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.

CertifiedInformation Security Auditor, CISA

La Asociacin de Auditora y Control de Sistemas de Informacin (ISACA) provee una Certificacin en Auditor en Sistemas de Informacin (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la funcin de Auditora en TI, para lo cual presenta un Manual de Informacin Tcnica para la preparacin de los candidatos. La certificacin de CISA (CertifiedInformationSystems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos tericos y prcticos necesarios para desempearse como Auditor de Sistemas siguiendo los estndares y directrices definidos para una mejor preparacin. La designacin de CISA, se considera hoy en da, una ventaja competitiva y resulta de beneficio no solo para las organizaciones que deben cumplir con requerimientos de certificacin profesional de sus colaboradores, sino para las personas que buscan un desarrollo profesional y la obtencin de certificaciones que ofrecen oportunidades a nivel internacional.

CertifiedInformation Security Manager, CISM

Tambin ISACA provee la Certificacin para la Administracin de la Seguridad de la Informacin del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organizacin. La certificacin CISM est diseada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administracin y consultora de seguridad. Esta orientada a profesionales que administran la seguridad de la informacin en una organizacin y tienen el conocimiento y la experiencia para montar, implementar y dirigir una estructura de seguridad para administrar el riesgo con eficacia y tienen la responsabilidad de entender la relacin entre las necesidades comerciales y la seguridad de TI. Para obtener esta certificacin, los profesionales deben aprobar el examen, adherirse a un cdigo tico y presentar pruebas verificadas de que tienen una experiencia lab oral de cinco aos en seguridad de la informacin. Segn la ISACA, menciona los principales objetivos de esta certificacin como a continuacin se mencionan:

y Desarrollar modelos de riesgos que midan mejor los riesgos de seguridad y los
potenciales impactos sobre el negocio.

y Aumentar la calidad de la gestin ejecutiva de las nuevas amenazas y las ya

existentes, a travs de la convergencia entre la organizacin y las medidas de seguridad

y Impulsar la unificacin del enlace entre la seguridad de las organizaciones y los

organismos gubernamentales y legislativos, informndoles de las mejores prcticas en seguridad.

y Continuar definiendo la cualificacin, certificacin y formacin de los Directores de

Seguridad -Chief Security Officer (CISO)- y otros puestos. (CSO)/ChiefInformation Security Officer

Instituto Mexicano de Auditores Internos, IMAI

El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, est dedicado a la capacitacin e investigacin en de Auditora Interna y Control . A travs del IMAI los profesionales de la auditora interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector pblico como privado y social. De acuerdo al IMAI su misin es promover el mejoramiento constante de la Prctica Profesional de la Auditora Interna, para fortalecer el prestigio de esta profesin y de quienes la practican. El objetivo principal del Instituto es la superacin profesional de sus miembros, mediante lo siguiente: El mejoramiento de la prctica Profesional de la Auditora Interna. Desarrollar y mantener la unin y cooperacin efectiva entre los profesionales de la Auditora Interna. Promover la difusin de las normas de actuacin profesional a travs de las cuales los auditores internos puedan medir y regular su propio desempeo y las organizaciones puedan esperar servicios de calidad. Establecer y mantener el prestigio de la Auditora Interna a travs de la inv estigacin y la divulgacin de conocimientos tcnicos de enfoques conceptuales relativos al ejercicio profesional de esta disciplina y materias afines. Establecer y mantener vnculos con otros organismos profesionales o docentes y entidades pblicas o privadas, para identificacin y desarrollo de aspectos que permitan elevar la calidad de la prctica de la Auditora Interna y el Control en general, dentro de las organizaciones.

Institute of InternalAuditors, IIA

El Institute of InternalAuditors (IIA) organizacin profesional con sede en Estados Unidos, con ms de 70.000 miembros en todo el mundo y 60 aos de existencia anualmente organiza su Conferencia Internacional, la que habitualmente congrega a ms de un millar de auditores de todos los continentes. EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el lder en la certificacin, la investigacin y la gua tecnolgica en la profesin de la audtora interna. El desarrollo de los Estndares de la Prctica Profesional de Auditora Interna, as como las Certificaciones de Auditor Interno (CIA), de Auto evaluacin de Control (CCSA) y de Auditor Interno Gubernamental (CGAP), y su participacin en el diseo del Enfoque COSO son slo algunos de los hitos que han transformado al IIA en la entidad internacional seera en la profesin. Establecen el IIA como el recurso de conocimiento primario sobre las mejores prcticas y publicaciones(cuestiones) que afectan la profesin interna de auditora. Encuentran

las necesidades de desarrollo de profesional que se desarrollan de mdicos internos de auditora.[12]

CertifiedInternal Auditor, CIA

El IIA cuenta con su propia Certificacin de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios. Contar con profesionales certificados en auditora interna, para la organizacin significa contar con un valioso recurso para la direccin y el consej de administracin, que o ayuda a garantizar el avance en la direccin correcta para el logro de sus metas y objetivos. La certificacin como auditor interno la otorga el Institute of InternalAuditors que es una asociacin internacional de profesionales esp ecialistas en auditora interna, administracin de riesgos, gobierno corporativo. control interno, auditora a tecnologa de informacin, educacin y seguridad[13]. La Certificacin CIA (CertifiedInternal Auditor) cumpli 30 aos como un reconocimiento mundial que demuestra la capacidad profesional, el dominio de los estndares y de las normas internacionales de la prctica de auditora interna, el manejo de los principios y controles de la tecnologa de informacin, y las estrategias emergentes para mejorar a la organizacin y a su gobierno corporativo. Para obtener la certificacin CIA adems de los requisitos educacionales y de experiencia sino el apego al Cdigo de tica, y el desarrollo profesional con tinuo. Los rigurosos requerimientos de este programa, aseguran que los auditores internos que logran la certificacin, estn armados con herramientas invaluables que pueden ser aplicadas globalmente en cualquier organizacin o industria.[14] Para mantener la certificacin CIA se requiere que los CIA mantengan y actualicen sus habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos aos, 80 horas de educacin profesional continua.

[11] [12]

[bib-isaca-mx]

http://www.theiia.org/ http://www.theiia.org/index.cfm?doc_id=5119http://www.facpece.org.ar/boletines/37/ 60a-confederacion.htm.

[13] [14]

http://www.isaca.com.mx/ http://www.theiia.org/index.cfm?doc_id=56

Mejores prcticas de la auditora en informtica

Las mejores prcticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones mtodos utilizados para estandariz procesos y administrar de una ar mejor manera los entornos de TI.

Las empresas que deseen utilizar un enfoque basado en mejores prcticas para la estandarizacin de estas directrices, tienen como opcin varias metodologas que sern descritas a lo largo de este captulo. A continuacin se presenta un marco en el que se pueden encerrar las mejores [15] prcticas de la auditora, dado que todas responden al siguiente esquema :

Identificacin
Buscan definir las necesidades de la organizacin que deben ser identificadas respecto de la auditora, as como las debilidades propias, a fin de determinar el objetivo a seguir.

Administracin de calidad total

Incorporan conceptos de calidad total aplicada a la auditora sobre la base de la mejora continua, con el pertinente concepto de medicin y evaluacin de resultados.

Comunicacin
Buscan establecer un proceso de comunicacin interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas.

Tecnologa
Recomiendan emplear recursos de tecnologa informtica al proceso de auditoras privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.

Interrelacin externa
Proponen mantener estrechas relaciones profesionales con otras gerencias de auditora a fin de intercambiar estrategias, criterios y resultados.

Agente de cambio
Proporcionan las bases para posicionar a la Auditora como un agente de cambio en la organizacin a fin de implementar la auto evaluacin del control.

Reingeniera de auditora
Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluacin del control.

Aseguramiento de la informaci n
El aseguramiento de la informacin es la base sobre la que se construye la toma de decisiones de una organizacin. Sin aseguramiento, las empresas no tienen certidumbre de que la informacin sobre la que sustentan sus decisiones es confiable, segura y est disponible cuando se le necesita. Definimos Aseguramiento de la Informacin como la utilizacin de informacin y de diferentes actividades operativas, con el fin de proteger la informacin, los sistemas de informacin y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticacin y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a travs de comunicaciones e Internet[16]. Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuacin se describe brevemente las ms importantes.

Aseguramiento de los Datos

Referente la informacin histrica o prospectiva, probabilstica e indicadores de desempeo.

Aseguramiento de los Procesos

Basado principalmente en controles internos y procedimientos establecidos para la proteccin de intereses.

Aseguramiento del Comportamiento

Conformidad con normas, regulaciones o mejores prcticas.

Aseguramiento del Sistema de Gestin

En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados.

Aseguramiento de la calidad de la informaci n

La administracin del aseguramiento de la calidad valida que los sistemas de informacin producidos por la funcin de sistemas de informacin logren las metas de calidad y que el desarrollo, implementacin, operacin, y mantenimiento de los sistemas de informacin, cumplan con un conjunto de normas de calidad[17]. En la actualidad es ms comn ver que los usuarios se estn haciendo ms exigentes en trminos de la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de la calidad ha tomado mayor importancia en muchas organizaciones. Las organizaciones se estn comprometiendo en proyectos de sistemas de informacin que tienen requerimientos de calidad ms estrictos y se preocupan cada vez ms sobre sus responsabilidades legales al producir y vender software defectuoso. Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de produccin, implementacin, operacin y mantenimiento del software.

Control Objectives for Information and related Technology, COBIT

[18] de TI que ha cambiado la COBIT, lanzado en 1996, es una herramienta de gobierno

forma en que trabajan los profesionales de TI. De acuerdo a ISACA, COBIT es: Una herramienta que permite evaluar la calidad del soporte de TI actual de la organizacin, vinculando los distintos procesos del negocio con los recursos informticos que los sustentan. COBIT establece un diagnstico que permite definir las metas desde el punto de vista de seguridad y control que le sern de utilidad para la organizacin para cada uno de sus procesos, pudiendo entonces establecer un plan de accin para lograr estas mejoras, y posteriormente identificar los lineamientos para sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas. La manera en que COBIT provee este marco para el control y la gobernabilidad de TI se puede presentar en forma sinttica a partir de sus principales caractersticas, que a continuacin sern descritas.

Estructura de CUBO
La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las caractersticas que debe reunir la informacin para ser considerada adecuada a las necesidades de la organizacin. Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificacin estratgica, fundamentalmente a travs de promover las funciones ligadas a la gobernabilidad de TI, la cual es bsica para asegurar el logro de las metas de la organizacin. Esta estructura permite vincular las expectativas de la Direccin con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueos de los procesos.

Dominios
Permite agrupar los objetivos de control de COBIT en distintas reas de actividad de la organizacin. Los cuatro dominios principales son:

y Planificacin y organizacin, y Adquisicin e implantacin, y Soporte y servicios, y y Monitoreo.

Como su nombre indica, cada uno de estos dominios estn enfocados a os diferentes l niveles y departamento que pueden existir en una organizacin.

Modelo de madurez (MaturityModel)

Ofrece las bases para el entendimiento y la evaluacin de las condiciones actuales de seguridad y control de los procesos del ambiente de TI de u na organizacin. Este modelo provee las bases para la evaluacin de las principales funciones del rea de TI, a travs de la consideracin de cada uno de sus procesos clave, a los cuales se les asignar un valor de cero a cinco, segn las definiciones sigu ientes:

Inexistente
Ausencia total de cualquier proceso o control reconocible.

1. Inicial
Existe evidencia de que la organizacin ha reconocido la necesidad de mejorar los procesos o controles.

2. Repetible
Se han desarrollado procesos donde se siguen p rocedimientos similares por diferentes personas para la misma tarea.

3. Definido
Los procedimientos han sido estandarizados y documentados y son comunicados a travs de la capacitacin.

4. Gestionado o administrado
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar acciones cuando los procesos no estn funcionando efectivamente.

5. Optimizado
Los procesos han sido redefinidos al nivel de las mejores prcticas, basados en los resultados de mejoras continuas y el modelo de madurez con otras organizaciones.

InformationTechnologyInfraestructure Library, ITIL

ITIL es un conjunto de las mejores prcticas para la gestin de servicios de TI que ha evolucionado desde 1989, comenz como un conjunto de procesos que utilizaba el gobierno del Reino Unido para mejorar la gestin de los servicios de TI y ha sido adoptado por la industria, como base de una gestin satisfactoria de los servicios de TI[19]. ITIL describe las mejores prcticas que se pueden utilizar y mejor se adecuan a una organizacin, incluye cinco disciplinas que proporcionan las empresas flexibilidad y estabilidad para ofrecer servicios de TI[20] , estas son:

y Gestin de incidencias, y Gestin de problemas, y Gestin de cambios, y Gestin de versiones, y y Gestin de configuracin.
Incluye tambin cinco disciplinas que soportan los servicios TI de calidad y bajo costo de las empresas 6, estas son:

y Gestin del nivel de servicio, y Gestin de la disponibilidad, y Gestin de la capacidad, y Gestin financiera para servicios TI, y y Gestin de la continuidad de los servicios TI.
El objetivo de ITIL en todas sus disciplinas es la definicin de las mejores prcticas para los procesos y responsabilidades que hay que establecer para gestionar de forma eficaz los servicios de TI de la organizacin, y cumplir as los objetivos empresariales en cuanto a la distribucin de servicios y la generacin de beneficios.

BS 7799 e ISO 17799

En 1995 el British Standard Institute (BSI) publica la norma BS 7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. En 1998 tambin el BSI publica la norma BS 7799-2 con especificaciones para los sistemas de gestin de la seguridad de la informacin. Tras una revisin de ambas partes de BS 7799, la primera es adoptada como norma ISO en el ao 2000 y denominada ISO/IEC 17799. Actualmente las empresas deben asegurar que sus recursos y la propiedad intelectual estn protegidos y que los clientes se sientan seguros de realizar negocios. De acuerdo al BSI[21]: BS CIA 7799 es una gua de auditora del Sistema de Gestin de Seguridad de la Informacin (ISMS) basada en los requisitos que deben ser cubiertos por la organizacin. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse a esta norma.

ISO 17799 define la seguridad de la informacin como la preservacin de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que define las mejores prcticas para gestin de la seguridad de la informacin, consta de las siguientes partes: Define un conjunto de objetivos principales e identifica un conjunto de contr les de o seguridad, que son medidas que se pueden adoptar para cumplir los objetivos de la norma. Especifica los controles de seguridad que se pueden utilizar, basndose en los resultados de una evaluacin de gestin de riesgos, como base para una certifica cin formal d una empresa TI bajo la norma BS 7799. ISO 17799 establece la base comn para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. Dominios:

y Poltica de seguridad, y Aspectos organizativos para la seguridad, y Clasificacin y control de activos, y Seguridad ligada al personal, y Seguridad fsica y del entorno, y Gestin de comunicaciones y de operaciones, y Control de accesos, y Desarrollo y mantenimiento de sistemas, y Gestin de continuidad del negocio, y y Conformidad.

British Standard BS 15000

El estndar fue creado por el Grupo de Gestin de Servicio de BSI, este grupo est conformado por expertos de la industria que representan distintas or anizaciones e g industrias, todos ellos con prcticas de excelencia en la Gestin de Servicio. En la dcada de 1980 se inici su estudio con la publicacin de un cdigo de prcticas que cubra cuatro procesos centrales. En 1998 se sustituy con los 13 proce sos de la figura anterior, as la primer edicin como estndar se public en el ao 2000. Al mismo tiempo tambin se public el libro IT Service Management (PD 0015), este libro de trabajo es utilizado para la revisin de la calidad del proceso de servicio.[22] Es el primer estndar mundial para la gestin de servicios de TI. Se dirige tanto a proveedores de la gestin de servicios, as como a empresas que subcontratan o gestionan sus propios requisitos. BS 15000 especifica un conjunto de procesos de gestin interrelacionados basados en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditora del servicio gestionado. En esencia, la norma BS 15000 contiene conceptos cuidadosamente concebidos que definen y demarcan los elementos que una organizacin debe tener en cuenta para estructurar y soportar los Servicios de IT a sus clientes, ya sean internos o externos. El estndar BS 15000 consiste de 2 partes[23]:

La Parte 1 son las especificaciones del sistema de gestin, y contiene alrededor de 14 pginas de requisitos normativos. Est estructurado de acuerdo a las reglas para especificaciones fijadas por el BSI. En general BS 15000 define lo que requiere hacer y cumplir una organizacin para alcanzar su certificacin respecto al estndar. Cubre el cumplimiento de requisitos para:

y El Sistema de Gestin (Management Systems), y El Planeamiento del servicio (ServicePlanning), y Las Relaciones entre procesos (ProcessReationships), y La Estructuracin del Servicio (DeliveryService), y El Control, y y La Liberacin de Servicios (Release).
La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle sobre cada requisito, ofreciendo direccin y gua al Proveedor del Servicio que desee alcanzar el estndar. Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminologa. Provee gua y direccin practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debera ser realizado, y que debera monitorearse para lograr una efectividad real del proceso en la prctica. Su estructura y vocabulario est cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias.

Committee of SponsoringOrganizations, COSO

El informe es un manual de control interno que publica el Instituto de Auditores Internos de Espaa en colaboracin con la empresa de auditora Coopers&Lybrand. En control interno lo ltimo que ha habido es el informe COSO (SponsoringOrganizations of theTreadwayCommission), es denominado as, porque se trata de un trabajo que encomend el Instituto Americano de Contadores Pblicos, la Asociacin Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta pases, el Instituto de Administracin y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administracin de las empresas privadas en Espaa y en los pases de habla hispana.[24] Normalmente en organizaciones medianas o grandes el implantar o monitorear un sistema de control interno sano se enfrentan a todo un desafo. COSO [25] es una herramienta que puede asistirlo en la evaluacin, auditora, documentacin, mejora y seguimiento del sistema de control interno. COSO permite facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de las organizaciones preocupadas por mejorar sus resultados. Esta herramienta permite construir o mejorar en sistema de control interno (total o parcial por ejemplo solo acotado al objetivo informacin contable) y de este modo recibir con tranquilidad la evaluacin de los auditores externos que podrn as efectuar su tarea de atestiguamiento en forma ms rpida y eficaz. Segn el informe COSO, los componentes que se interrelacionan para alcanzar los objetivos son los siguientes[26].

Ambiente de control
Elemento que proporciona disciplina y estructura, el ambiente de control se denomina en funcin de la integridad y competencia del personal de una organizacin; los valores ticos son un elemento esencial que afectan otros elementos del control

Evaluacin de riesgos
Es la identificacin y anlisis de os riesgos que se relacionan con el logro de los objetivos; la administracin debe cuantificar la magnitud, proyectar su probabilidad y sus posibles consecuencias: En la dinmica actual de los negocios se debe prestar atencin a diversos factores, entre ellos los avances tecnolgicos.

Actividades de control
Ocurren a lo largo de la Organizacin en todos los niveles y en todas las funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones, etc. Las actividades de control se clasifican en:

y Controles preventivos, y Controles detectivos, y Controles correctivos, y Controles manuales y de usuarios, y Controles de cmputo o de tecnologa de informacin, y y Controles administrativos.

Monitoreo y aprendizaje
Los controles internos deben ser monitoreados constantemente para asegurar que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio a travs de evaluaciones separadas de la operacin, es decir, mediante la auditora interna o externa.

Informacin y comunicacin
Se debe generar informacin relevante y comunicarla oportunamente de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.

Metodologa de anlisis y gesti n de riesgos de los sistemas de informaci n, MAGERIT

MAGERIT [27] es una metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las administraciones pblicas, emitida en el ao 1997 por el Consejo Superior de Informtica[28] y recoge las recomendaciones de las directivas de la Unin Europea en materia de seguridad de sistemas de informacin. Esta metodologa presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de informacin y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberan adoptarse para con ocer, prevenir, evaluar y controlar los riesgos investigados. MAGERIT desarrolla el concepto de control de riesgos en las guas de procedimientos, tcnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales. MAGERIT persigue los siguientes objetivos:

y Concienciar a los responsables de los sistemas de informacin de la existencia de

riesgos y de la necesidad de atenderlos a tiempo,

y Ofrecer un mtodo sistemtico para analizar tales riesgos, y Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control, y

y Apoyar la preparacin a la organizacin para procesos de evaluacin, auditora,

certificacin o acreditacin, segn corresponda en cada caso. Asimismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos: modelo de valor, mapa de riesgos, evaluacin de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.

Sarbanes-Oxley, SOX
Actualmente las organizaciones estn expuestas a ataques que propicien la prdida de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos. La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002, fue preparada a partir de los escndalos financieros de los ltimos aos y establece una serie de nuevos requisitos tanto para las empresas estadounidenses como para las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno corporativo. Estos requerimientos deberan estar cumplidos a partir del 15 de diciembre de 2003, pero la Comisin de Valores de Estados Unidos (Security Exchange Commision,SEC) ya dio, el pasado mes de mayo, una prrroga para las empresas extrajeras de dos aos, no ms all del 31 de julio de 2005. Para las empresas estadounidenses la prrroga es de slo un ao, no ms all del 31 de octubre de 2004.[29] La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa. Esta ley estadounidense contempla una revisin mucho ms rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos[30]. Sin embargo, el control interno es un proceso efectuado por los niveles directivos y gerenciales, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de sus reas, teniendo como principales objetivos:

y Efectividad y eficiencia de las operaciones, y Confiabilidad de la informacin financiera, y Cumplimiento de las normas y leyes que sean aplicables, y y Salvaguardia de los recursos.
Esta ley lleva mucho ms lejos las disposiciones sobre la obligacin de la gerencia de asegurar adecuados controles internos por lo que cuenta con una seccin de normas y reglas que dispone que los auditores deben inc luir lo siguiente:

y El alcance de las pruebas del auditor de la estructura de control interno, y Los hallazgos del auditor con respectos a dicha pruebas, y y Una evaluacin sobre dicha estructura de control.

Dentro de esta ley existen 3 secciones que involucran directamente al departamento de TI y que son la 302, 404 y 409, cuyo contenido se explica brevemente a continuacin[31]. La clusula 302. Habla de la obligacin de generar reportes donde muestren el resultado financiero de la empresa[32] y que este debe de estar avaluado en cuanto a su integridad. La clusula 404 nos dice que deben existir procedimientos[33] y polticas aseguren la integridad de la informacin as como la disponibilidad de ella. Por ltimo la clusula 409 indica que toda organizacin debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo[35] y esto afecte de manera seria a las ventas[36] de la organizacin.
[34]

que

[15] [16] [17] [18] [19] [20] [21]

[bib-ti-complejos] [bib-guia-17799] [bib-guia-17799] http://www.monografias.com/trabajos4/derpub/derpub.shtml [bib-sun-itil] [bib-conceptos-itil] Gestin de la seguridad de la informacin ISO 17799- S2 Grupo http://www.nhmadrid.com/itil_bs15000.htm MiguelDaz S.: Ingeniero de Sistemas. / Socio consultor de AUDISIS / Lder de http://www.info.ccss.sa.cr Instituto de Auditores Internos de Espaa 1985 V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico Ministerio de Administraciones Pblicas, Madrid, 16 de junio de 2005 http://www.csi.map.es/csi [bib-rusbacki-2004] http://www.datasec.com.uy/ oxely-coso.pdf [bib-novell-sarbanes-oxley] http://www.monografias.com/trabajos11/empre/empre.shtml http://www.monografias.com/trabajos13/mapro/mapro.shtml http://www.monografias.com/trabajos10/poli/poli.shtml http://www.monografias.com/trabajos6/meti/meti.shtml http://www.monografias.com/trabajos12/evintven/evintven.shtm

AntonioVillaln Huerta
[22] [23]

proyectos de adopcin de ITL en Argentina y Venezuela

[24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36]

Normas, tcnicas y procedimientos de auditora en informtica.

El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos de auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la auditora en informtica. Es fundamental mencionar que para el auditor en informtica conocer los productos de software que han sido creados para apoyar su funcin aparte de los componentes de la propia computadora resulta esencial, esto por razones econm icas y para facilitar el manejo de la informacin. El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos especializados que vienen a formar el cuerpo tcnico de su actividad. El auditor adquiere responsabilidades, no solamen con la persona que directamente contratan te sus servicios, sino con un nmero de personas desconocidas para l que van a utilizar el resultado de su trabajo como base para tomar decisiones. La auditora no es una actividad meramente mecnica, que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo son de de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos[37].

Normas.
Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como resultado de este trabajo. Las normas de auditora se clasifican en: a. b. c. Normas personales. Normas de ejecucin del trabajo. Normas de informacin.

Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias.

Normas de ejecucin del trabajo

son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora.

Normas de informacin
son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen.

Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias.

Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin. Las tcnicas procedimientos estn estrechamente relacionados, si las tcni as no son c elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor. Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de documentos y por examen fsico. Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente manera:

y Estudio General y Anlisis y Inspeccin y Confirmacin y Investigacin y Declaracin y Certificacin y Observacin y Clculo

Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un g rupo de hechos o circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditor y al a, conjunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea. En General los procedimientos de auditora permiten:

y Obtener conocimientos del control interno. y Analizar loas caractersticas del control interno. y Verificar los resultados de control interno. y Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de auditora sern los mas indicados par obtener su opinin.

Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o informacin son de tal importancia que es necesario verifica rlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de

utilizar diversas tcnicas para el anlisis de datos, basados en [ bib-solis-2002], las cuales se describen a continuacin.

Comparacin de programas
esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.

Mapeo y rastreo de programas

esta tcnica emplea un software especializado que permite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes.

Anlisis de cdigo de programas

Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable).

Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados.

Datos de prueba integrados

Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin.

Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados.

Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar progra mas o mdulos que simulen a los programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos.

Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:

y M1 Monitoreo del proceso. y M2 Evaluar lo adecuado del control Interno. y M3 Obtencin de aseguramiento independiente.

y M4 Proveer auditora independiente.

M1 Monitoreo del proceso

Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos. Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y compararlos con los niveles propuestos para evaluar el desempeo de los procesos de la organizacin.

M2 Evaluar lo adecuado del control Interno

Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a travs de actividades administrativas, de supervisin, comparaciones, acciones rutinarias, ev aluar su efectividad y emitir reportes en forma regular[38].

M3 Obtencin de aseguramiento independiente

Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de i plementar nuevos servicios de tecnologa de m informacin que resulten crticos, as como para trabajar con nuevos proveedores de servicios de tecnologa de informacin, luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de tecnologa de informacin, de los proveedores de estos servicios as como tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa de informacin y de los proveedores de dichos servicios.

M4 Proveer auditora independiente.

Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditora. El auditor deber ser independiente del auditado, esto significa que lo auditores no s debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa, esta auditora deber respetar la tica y los estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditora informtica. La funcin de la auditora informtica deber proporcionar un reporte que muestre los objetivos, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora informtica llevado a cabo.

Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras

de los sistemas de computo as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas. El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como para el auditor. Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:

y Fecha y hora. y Direcciones IP origen y destino. y Direccin IP que genera la bitcora. y Usuarios. y Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad, deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cmputo forense. Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:

y Para UNIX, Logcheck, SWATCH. y Para Windows, LogAgent

Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn teniendo mucha relevancia, como evidencia en aspectos legales. El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para mantener un control de las mismas.

Tcnicas de auditora asistida por computadora

La utilizacin de equipos de computacin en las organizaciones, ha tenido una repercusin importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de informacin, sino tambin al uso de las computadoras en la auditora. Al llevar a cabo auditoras donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de muy diversa condicin, uno de ellos, es la revisin de los procedimientos administrativos de control interno establecidos en la empresa que es auditada. La utilizacin de paquetes de programas generalizados de auditora ayuda en gran medida a la realizacin de pruebas de auditora, a la elaboracin de evidencias plasmadas en los papeles de trabajo. Segn [bib-zavaro-martinez] las tcnicas de auditora Asistidas por Computadora (CAAT) son la utilizacin de determinados paquetes de programas que actan sobre los datos, llevando a cabo con ms frecuencia los trabajos siguientes:

y Seleccin e impresin de muestras de auditoras sobre bases estadsticas o no

estadsticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores.

y Verificacin matemtica de sumas, multiplicaciones y otros clculos en los archivos

del sistema auditado.

y Realizacin de funciones de revisin analtica, al establecer comparaciones,

calcular razones, identificar fluctuaciones y llevar a cabo clculos de regresin mltiple.

y Manipulacin de la informacin al calcular subtotales, sumar y clasificar la

informacin, volver a ordenar en serie la informacin, etc.

y Examen de registros de acuerdo con los criterios especificados. y Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que
se encuentra dentro de las bases de datos del sistema que se audita. Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un diverso nmero de operaciones espec ficas del sistema, facilitar la bsqueda de evidencias, reducir al mnimo el riesgo de la auditora para que los resultados expresen la realidad objetiva de las deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo. Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como disear programas auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores que cumplen la funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas auditados. De esta forma los auditores adquieren ms conocimientos de os diferentes temas, l pudiendo incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalizacin del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.

Evaluaci n del control interno.

En un ambiente de evolucin permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el plano econmico soportadas por la evolucin tecnolgica, surge la necesidad de que la funcin de auditora pretenda el mejoramiento de su gestin. La prctica de nuevas tcnicas para evaluar el control interno a travs de las cuales, la funcin de auditora informtica pretende mejorar la efectividad de su funcin y con ello ofrecer servicios ms eficientes y con un valor agregado. La evolucin de la teora del control interno se defini en base a los principios de los controles como mecanismos o prcticas para prevenir, identificar actividades no autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organizacin. En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el director de finanzas, contralor o al director de auditora como los responsables principales del correcto diseo y adecuado funcionamiento de los controles internos.

Benchmarking
Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o frmulas es el Benchmarking.

Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuacin se presentan algunas definiciones. Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra [39] los competidores o aquellas compaas reconocidas como lderes en la industria. Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante. Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores. Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual es: benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia en trminos de productividad, calidad y prcticas con aquellas compaas y organizaciones que representan la excelencia. Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del benchmark. Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la productividad. Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes. Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mej res prcticas de hoy lo o sern tambin de maana. Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las operaciones de produccin, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio. De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria. Dentro del benchmarking existen los siguientes tipos:[40]

Benchmarking interno

en la mayor parte de las gran des organizaciones con mltiples divisiones o internacionales hay funciones similares en diferentes unidades de operacin, una de las investigaciones de benchmarking ms fcil es comparar estas operaciones internas, tambin debe contarse con facilidad con datos e informacin y no existir problemas de confidencialidad y los datos ser tan amplios y completos como se desee. Este primer paso en las investigaciones de benchmarking es una base excelente no slo para descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se enfrentara o que sean de inters para comprender las practicas provenientes de investigaciones externas, tambin pueden ayudar a definir el alcance de un estudio externo.

Benchmarking competitivo
los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en definitiva cualquier investigacin de benchmarking debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos. Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores, quiz sea imposible obtener informacin debido a que est patentada y es la base de la ventaja competitiva de la empresa.

Benchmarking genrico
algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de benchmarking, es que se pueden descubrir prcticas y mtodos que no se implementan en la organizacin propia del investigador. Este tipo de investigacin tiene la posibilidad de revelar lo mejor de las mejores prcticas, la necesidad de objetividad y receptividad por parte del investigador. Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de que la tecnologa ya se ha probado y se encuentra en uso en todas partes, el benchmarking genrico requiere de una amplia conceptualizacin, pero con una comprensin cuidadosa del proceso genrico.

[37] [38] [39] [40]

[bib-imcp] Http://Ilustrados.com/Publicaciones/Epyfapup.php [bib-kearns-1994] http://Monografias.com/Trabajos4.html

Computer Assisted Audit Techni ues CAAT

Las tcnicas de auditora asistidas por computadora son de suma impor ancia para el t auditor de TI cuando realiza una auditora. CAAT (ComputerAuditAssistedTechniques) incluyen distintos tipos de herramientas y de tcnicas, las que ms se utilizan son los software de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. Las CAAT se pueden utilizar para realizar varios procedimientos de auditora incluyendo:

y Prueba de los detalles de operaciones y saldos. y Procedimientos de revisin analticos. y Pruebas de cumplimiento de los controles generales de sistemas de informacin. y Pruebas de cumplimiento de los controles de aplicacin.
A continuacin se enuncian algunas de las normas que el auditor de sistemas de informacin debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de informacin incumplimiento a stas. debe estar preparado para justificar cualquier

Normas Internacionales de Auditora emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditora o International StandardsonAuditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras tcnicas adems de las manuales. Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 (TheEffect of InformationTechnologyontheAuditor'sConsiderat ion of Internal Control in a FinancialStatementaudit) dice que en una organizacin que usa Tecnologas de Informacin, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones. La norma SAP 1009 (Statement of AuditingPractice) denominada ComputerAssistedAuditTechniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, plantea la importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin por computadora. SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin. SAP 1009 describe los procedimientos de auditora en que pueden ser usados los CAAT: 1. 2. 3. Pruebas de detalles de transacciones y balances (reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.) Procedimientos analticos, por ejemplo identificacin de inconsistencias o fluctuaciones significativas. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones. 4. 5. 6. Programas de muestreo para extraer datos. Pruebas de control en aplicaciones. Reclculos.

Segn SAP1009, en su prrafo 26 y como se muestra en la Figura 3.1, Flujo de un CAAT:

El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de su uso.

Figura 3.1. Flu o de un CAAT

Tcnicas para analizar programas

Existen diferentes tcnicas para analizar programas la cuales ayudan al auditor en el trabajo de campo y de las cuales las ms importantes se mencionan a continuacin:

Traceo
Indica por donde paso el programa cada vez que se ejecuta una instruccin. Imprime o muestra en la pantalla el valor de las variables, en una porcin o en todo el programa.

Mapeo
Caracterstica del programa tales como tamao en bytes, localizacin en memoria, fecha de ltima modificacin, etc.

Comparac n de c digo
Involucra los cdigos fuentes y cdigos objetos.

Job Accounting Software. Informe de Contabilidad del Sistema

Utilitario del sistema operativo que provee el medio para acumular y registrar la informacin necesaria para facturar a los usuarios y evaluar el uso del sistema.

Planificacin de CAAT
En este punto se mencionarn cuales son los factores que influyen en la adecuada seleccin de una herramienta CAAT, as como los pasos que se deben tomar en cuenta para la planificacin y seleccin de la misma. Cuando se planifica la auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes:

y Conocimientos computacionales, pericia y experiencia del auditor de sistemas de

informacin.

y Disponibilidad de los CAAT y de los sistemas de informacin. y Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales y Restricciones de tiempo

Los pasos ms importantes que el auditor de sistemas de informacin debe considerar cuando prepara la aplicacin de los CAAT seleccionados son los siguientes:

y Establecer los objetivos de auditora de los CAAT: Determinar accesibilidad y

disponibilidad de los sistemas de informacin, los programas/sistemas y datos de la organizacin.

y Definir los procedimientos a seguir (por ejemplo: una muestra estadstica,

reclculo, confirmacin, etc).

y Definir los requerimientos de output. y Determinar los requerimientos de recursos. y Documentar los costos y los beneficios esperados. y Obtener acceso a las facilidades de los sistemas de informacin de la organizacin,
sus programas/sistemas y sus datos.

y Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel
y las instrucciones a ejecutar.

y Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos
de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por l tanto, el auditor de sistemas de o informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora.

y Organizar el acceso a los sistemas de informacin de la organizacin,

programas/sistemas y datos con anticipacin para mi imizar el efecto en el n ambiente productivo de la organizacin El auditor de sistemas de informacin debe evaluar el efecto que los cambios a los programas/sistemas de produccin puedan tener en el uso de los CAAT. Cuando el auditor de sistemas de informacin lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAAT, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de informacin. Probando los CAAT el auditor de sistemas de informacin debe obtener una garanta razonable de la integridad, confiabilidad, utilidad y seguridad de los CAAT por medio de una planificacin, diseo, prueba, procesamiento y revisin adecuados de la documentacin. sto debe ser hecho antes de depende de los CAAT. La naturaleza, el r tiempo y extensin de las pruebas depende de la disponibilidad y la estabilidad de los CAAT. La seguridad de los datos y de los CAAT pueden ser utilizados para extraer informacin de programas/sistemas y datos de produccin confidenciales. El auditor de sistemas de informacin debe guardar la informacin de los programas/sistemas y los datos de produccin con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organizacin a la cual pertenecen los datos. El auditor de sistemas de informacin debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAAT. Por ejemplo, debe incluir una revisin del mantenimiento de los programas y controles de los cambios de programa de auditora para determinar que slo se hacen los cambios autorizados al CAAT. Cuando los CAAT estn en un ambiente que no e st bajo el control del auditor de sistemas de informacin, un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT Cuando se hacen cambios a los CAAT el auditor de

sistemas de informacin debe asegurarse de su integrida confiabilidad, utilidad y d, seguridad por medio de una planificacin, diseo, prueba, procesamiento y revisin apropiados de la documentacin, antes de confiar en ellos.

Utilizar CAAT (realizaci n de auditora)

Cuando se toma la decisin de hacer una audit ora de sistemas con al ayuda de CAAT es importante tomar en cuenta los pasos que a continuacin se describen. El uso de los CAAT debe ser controlado por el auditor de sistemas de informacin para asegurar razonablemente que se cumple con los objetivos de la auditora y las especificaciones detalladas de los CAAT. El auditor debe:

y Realizar una conciliacin de los totales de control. y Realizar una revisin independiente de la lgica de los CAAT y Realizar una revisin de los controles generales de los sistemas de informacin de
la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos). El software de auditora generalizado, tambin conocidos como paquetes de auditora s on programas de computadora diseados para desempear funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar informacin, realizar clculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Cuando el auditor de sistemas de informacin utiliza el software de auditora generalizado para acceder a los datos de produccin, se deben tomar las medidas apropiadas para proteger la integridad de los datos de la organizacin. Adems, el auditor de sistemas de informacin tendr que conocer en el diseo del sistema y las tcnicas que se utilizaron para el desarrollo y mantenimiento de los programas/sistemas de aplicacin de la organizacin. El software utilitario es usado para desempear funciones comunes de procesamiento de datos, como clasificacin, creacin e impresin de archivos. Estos programas generalmente no estn diseados para propsitos de auditora y, por lo tanto, pueden no contener caractersticas tales como conteo automtico de registros o totales de control. Cuando el auditor de sistemas de informacin utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervencin no plani icada durante el f procesamiento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin del log de la consola del sistema o de la informacin de contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus archivos. Los datos de prueba consisten en tomar una muestra del universo de datos del sistema que se encuentra en produccin para analizarlos. Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que esta tcnica no evala los datos de produccin en su ambiente real. El auditor de sistemas de informacin tambin debe estar consiente de que el anlisis de los datos de prueba pueden resultar muy complejos y extensos,

dependiendo de el nmero de operacione procesadas, el nmero de programas sujetos s a pruebas y la complejidad de los programas/sistemas. Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para sus pruebas CAAT, debe confirmar que el programa fuente que est evaluand es lo mismo o que se utiliza actualmente en produccin. El auditor de sistemas de informacin debe estar consiente de que el software de aplicacin slo indica el potencial de un proceso errneo, no evala los datos de produccin en su ambiente real. Cuand el auditor de o sistemas de informacin utiliza los sistemas de auditora especializados debe conocer profundamente las operaciones del sistema.

Documentaci n de CAAT ( orksheets)

Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT deben estar registrados en los papeles de trabajo de la auditora. Las conclusiones acerca del funcionamiento del sistema de informacin y de la confiabilidad de los datos tambin deben estar registrados en los papeles de tra bajo de la auditora. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de informacin. Especficamente los papeles de trabajo deben contener la documentacin suficiente para describir la aplicacin de los CAAT incluyendo los detalles que se mencionan en los prrafos siguientes:

y Planificacin y Los objetivos de los CAAT y Los CAAT a utilizar y Los controles a implementar y El personal involucrado, el tiempo que tomar y los costos.
La documentacin debe incluir:

y Los procedimientos de la preparacin y la prueba de los CAAT y los controles

relacionados.

y Los detalles de las pruebas realizadas por los CAAT. y Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el
procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica).

y Evidencia de auditora: el output producido (ejemplo: archivos log, reportes). y Resultado de la auditora. y Conclusiones de la auditora. y Las recomendaciones de la auditora.

Informe/reporte descripci n de los CAAT

La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. La descripcin de los CAAT utilizados tambin debe ser incluida en el informe donde se menciona el hallazgo especfico relacionado con el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la seccin del informe donde se tratan los objetivos, extensin y metodologa y una referencia anexa para el lector, con una descripcin ms detallada.

Tipos de herramientas CAAT

A continuacin se mencionan y se describe el funcionamiento de las principales herramientas CAAT, cuales son sus beneficios y que es lo que ofrecen.

IDEA[41].
A travs de la herramienta IDEA, se puede disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estndar en comparaciones con otras herramientas de anlisis de datos, ofreciendo una combinacin nica en cuanto a poder de funcionalidad y facilidad de uso.

reas de uso de la herramienta

Auditora externa de estados financieros.

y Precisin: comprobacin de clculos y totales. y Revisin analtica: comparaciones, perfiles, estadsticas. y Validez: duplicados, excepciones, muestreos estadsticos. y Integridad: omisiones y coincidencias. y Cortes: anlisis secuencial de fechas y nmeros. y Valuacin:provisiones de inventario.
Auditora interna.

y Conformidad de polticas. y Valor del dinero. y Pruebas de excepcin. y Anlisis. y Comparaciones y coincidencias.
Deteccin de fraudes.

y Compras y pagos: validacin de proveedores, anlisis contables. y Nmina: coincidencias cruzadas, clculos. y Lavado de dinero: valores elevados, cifras redondeadas, movimientos frecuentes.
Informes y anlisis de gestin.

y Anlisis y clculos de porcentajes. y Sumarizacin y categoras (por ejemplo: por cliente, producto o regin). y Establecimiento de medidas de actuacin (por ejemplo: tiempos de respuesta en
un proceso de pedidos).

y Perfiles. y Anlisis de Inventario. y Anlisis de flujo de caja. y Revisiones de Seguridad. y Registros del sistema. y Derechos de acceso.

y Registro de telfonos. y Firewalls.

Transferencias de archivos.

y Importacin de datos desde el sistema central y exportacin a un nuevo siste ma

en un formato ms adecuado. Bancos e instituciones financieras.

y Verificacin de clculos de inters. y Identificacin de cuentas inactivas. y Anlisis de prstamos por ndices de riesgo. y Corroboracin de provisiones para prdidas por prstamos. y Anlisis de reclamos de seguros.
Industrias.

y Verificacin de costos de inventarios. y Anlisis de movimientos de inventario. y Comprobacin de diferencias entre el mayor general y las cuentas de inventario. y Anlisis y anticuacin del trabajo en curso.
Organizaciones de ventas al por menor.

y Anlisis de utilidad bruta. y Anlisis por regin, departamento o lnea de producto. y Anlisis de precios.
Entes gubernamentales (prestadores de ayudas y beneficios).

y Comprobacin de clculos. y Anlisis y acumulacin de estadsticas de pago. y Bsqueda de duplicados: coincidencias cruzadas de nombres, direcciones e
informacin bancaria.

Funciones
Importacin de datos. IDEA permite importar casi todo tipo de archivos desde cualquier tipo de origen, mediante la utilizacin del Asistente de im portacin. IDEA ofrece tambin el editor de Definiciones de Registro (RDE, Record Definition Editor), que lo ayudar en la importacin de archivos complejos, registros de longitud variable, y archivos con mltiples tipos de registros. Este producto tambin puede ser utilizado para modificar definiciones de registros creadas y guardadas por el Asistente de Importacin. Manejo de archivos y clientes. IDEA utiliza un Explotador de Archivos que proporciona un manejo sencillo y estandarizado de los mismos. Esta ventana puede cambiarse de posicin en la pantalla y puede modificarse su tamao. En ella se visualiza, ya sea en forma jerrquica u ordenada, toda la informacin referente a los archivos de IDEA que pertenecen a la carpeta de trabajo (cliente) activa. IDE utiliza el A concepto de Carpetas de Cliente para facilitar el manejo de los archivos. Tanto el nombre del cliente o proyecto como el perodo de anlisis pueden ser asociados a una Carpeta de Cliente. Esta informacin aparecer en todos los informes que se impriman dentro de esta carpeta. La Barra de Herramientas del Explorador de Archivos

proporciona un acceso sencillo a las funciones de manejo de archivos incluyendo la posibilidad de marcar un archivo. Estadsticas de campo. Pueden generarse estadsticas para todos los campos numricos y de fecha pertenecientes a una base de datos. Se pueden calcular, para cada campo numrico, el valor neto, los valores mximos y mnimos, el valor medio, as como tambin la cantidad de registros positivos y negativos y la cantidad de registros de valor cero. Para los campos de fecha se proporcionan estadsticas tales como la fecha ms temprana y fecha ms tarda y el anlisis de transacciones diarias y mensuales. Historial. Dentro de la Ventana de Base de Datos, la pestaa Historial muestra todas y cada una de las operaciones realizadas en la Base de Datos presentadas en una lista que puede expandirse fcilmente. Cada prueba o funcin realizada genera, en forma automtica, un cdigo IDEAScript que puede ser copiado en el Edi or de IDEAScript. t IDEAScript es un lenguaje de programacin compatible con Visual Basic. Extracciones. La Extraccin o prueba de excepcin, es la funcin ms comnmente utilizada en IDEA para identificar elementos que satisfacen una determinada condicin como por ejemplo pagos mayores a $10,000 o transacciones efectuadas con anterioridad a una fecha dada. Los criterios de extraccin son ingresados utilizando el Editor de Ecuaciones y todos los registros que satisfagan el criterio ingresado son extrados a una nueva base de datos. Se puede realizar una sola extraccin de registros a una base de datos o hasta 50 extracciones diferentes a travs de un solo paso por la base de datos. Extraccin indexada. La Extraccin Indexada permite limitar el mbito de los datos a ser buscados por IDEA en la base de datos. Una extraccin indexada ahorra tiempo al trabajar con bases de datos extensas. Extraccin por valor clave. La Extraccin por Valor Clave brinda la posibilidad de generar una serie de bases de datos secundar ias en forma rpida mediante valores comunes encontrados en la base de datos primaria. La extraccin por valor clave no requiere de la creacin de ecuaciones para ejecutar la extraccin. Una clave es un ndice creado en una base de datos y un valor clave es uno de los posibles valores que puede tomar esa clave. @Funciones. Las @Funciones son utilizadas para realizar clculos complejos y pruebas de excepcin. IDEA proporciona ms de 80 funciones las cuales pueden utilizarse para llevar a cabo aritmtica de fechas, manipulaciones de texto, as como clculos estadsticos, numricos, financieros y de conversin. En IDEA las funciones comienzan, ortogrficamente, con el smbolo @, y son muy similares a las funciones proporcionadas por el programa Microsoft Excel. Conector Visual. El conector Visual le permite generar una nica base de datos a travs de otras bases de datos que comparten un campo clave en comn. Para crear una conexin visual entre diferentes bases de datos, se debe seleccionar una base de datos primaria y luego conectar bases de datos que posean registros coincidentes. La relacin creada por el Conector Visual entre las bases de datos es uno a muchos, es decir que la base de datos primaria puede contener diversos registros coincidentes en las bases de datos conectadas. Todos los registros de las bases de datos conectadas que coincidan con los registros de la base de datos primaria son incluidos en la base de datos resultante. Uniones. IDEA, a travs de la opcin Unir Bases de Datos, permite combinar dos campos de bases de datos distintas dentro de una nica base de datos, comprobando la existencia o no de datos coincidentes en ambos archivos. Las uniones entre bases de

datos pueden realizarse si las mismas contienen un campo en comn denominado campo clave. Agregar. La funcin Agregar Bases de Datos se utilizar para concatenar dos o ms archivos dentro de una nica base de datos. Por ejemplo se pueden agregar todos los archivos mensuales de nminas para obtener una base de datos con todas las nminas del ao. Luego esta base de datos podra ser sumarizada por empleado obteniendo el bruto, el neto anual y las deducciones anuales. Pueden concatenarse hasta 32,768 archivos en una nica base de datos. Comparar. La opcin Comparar Bases de Datos identifica las diferencias que existen en un campo numrico dentro de dos archivos para una clave en comn. Estos archivos pueden ser comparados en diferentes momentos, por ejemplo, en el caso de la nm ina al principio y al final del mes para identificar cambios en los salarios de cada empleado. Se puede comparar tambin un campo numrico en sistemas distintos, por ejemplo, la cantidad de inventario existente para un tem tanto en el archivo maestro de nventario i como en el archivo inventarios. Duplicados. IDEA puede identificar elementos duplicados dentro de una base de datos donde existen hasta 8 campos con la misma informacin. Por ejemplo, nmeros de cuenta duplicados, direcciones, plizas de seguros, etc. Omisiones. IDEA le permite buscar omisiones o huecos en secuencias numricas y de fechas dentro de un archivo, as como tambin dentro de secuencias alfanumricas a travs de una mscara previamente definida. Para omisiones de fecha, se pueden elegir las opciones fines de semana e ignorar vacaciones. Como ocurre con muchas de las funciones de IDEA, se pueden establecer criterios antes de realizar la bsqueda, tales como importes superiores a $1,000, e incluso se puede modificar el incremento si se desea buscar, por ejemplo, omisiones mltiplos de 10. Omisiones. La opcin Ordenar se utilizar para crear una base de datos fsicamente ordenada de acuerdo a un orden previamente especificado. El ordenar bases de datos puede mejorar significativamente el desempeo de determinadas funciones. Grficos. La opcin Graficar Datos puede utilizarse para graficar archivos de datos o resultados de pruebas realizadas, ya sea en grficos de barras, barras agrupadas, reas, lneas o sectores. El Asistente de Grficos lo guiar paso a paso en la creacin del grfico proporcionndole opciones para incluir ttulos, efectos 3D, leyendas, colores, formas y estilos de rejillas. Los grficos pueden ser impresos, guardados como archivos de mapa de bits o pueden ser copiados en otra aplicacin de Windows. Ley de Benford. Mediante la aplicacin del anlisis de la ley de Benford podr identificar posibles errores, fraudes potenciales y otras irregularidades. Esta ley determina que los dgitos y las secuencias de dgitos persiguen un p atrn predecible. El anlisis cuenta las apariciones de valores en los dgitos en una serie de datos y compara los totales con un resultado predeterminado de acuerdo a la ley de Benford. Los dgitos distintos de cero son contados de izquierda a derecha. Estratificacin. La Estratificacin Numrica, la Estratificacin de Carcter y la Estratificacin de Fecha son una poderosa herramienta para totalizar la cantidad y el valor de los registros dentro bandas especficas. Permiten analizar, por ejemplo, elementos por cdigo postal o por cdigo alfanumrico de producto o activos por fecha de adquisicin. Sumarizacin. La Sumarizacin de Campo Rpida se utiliza para totalizar valores de campos numricos por cada clave nica, sumarizando un nico campo clave. La Sumarizacin por Campo Clave se utiliza cuando la clave esta formada por uno o ms

campos. Los resultados de las sumarizaciones pueden ser graficados y puede accederse en detalle a los registros asociados a cada clave. Antigedad. La funcin antigedad realiza una anticuacin del archivo desde una fecha especfica en hasta seis intervalos definidos. Por ejemplo, al final del ao pueden anticuarse los crditos a cobrar para determinar si se deben realizar provisiones. La funcin antigedad produce un Informe de Antigedad y dos bases de datos opcionales: la base de datos de antigedad detallada y la base de datos totalizada por clave. Tabla pivot. La Tabla Pvot le permite crear anlisis variables y multi-dimensionales en archivos de datos extensos. Al momento de disear una tabla pvot en IDEA, podr seleccionar la ubicacin de los distintos campos en la tabla para visualizar la informacin en el modo en que usted desea. La posicin de los campos en la tabla definir como estarn organizados y cmo sern sumariz ados los datos. Agrupador de procesos. Cuando se ejecuta una serie de tareas sobre una base de datos de IDEA, cada tarea requiere de un paso a travs de la base de datos. El Agrupador de Procesos analiza las tareas a efectuar y ejecuta las diferentes tarea s realizando un solo paso por la base de datos, siempre y cuando esto sea posible. El Agrupador de Procesos ejecuta cada tarea en forma independiente y crea una salida para cada proceso realizando un solo paso por la base de datos. Muestreo. IDEA proporciona cuatro mtodos de muestreo junto con la posibilidad de calcular tamaos de muestras basadas en parmetros ingresados, y evaluar los resultados de las muestras efectuadas. Los mtodos de muestreo disponibles son: sistemtico (ej. cada 1000 registros); aleatorio (nmero de elementos elegidos al azar); aleatorio estratificado (un nmero especfico de elementos seleccionados de acuerdo al azar de acuerdo a intervalos); y unidad monetaria (ej. De cada 1,000 dlares u otra unidad monetaria).IDEA proporciona tambin una opcin de Planificacin y Evaluacin de Atributos, la cual puede ser utilizada para calcular tamaos de muestras, niveles de confianza, lmites de errores o desvos y cantidad de errores de la muestra. Estos clculos son utilizados para planificar y luego evaluar los resultados de las muestras. Agregar campos. Los datos importados a IDEA son protegidos y no pueden ser modificados. Sin embargo, pueden agregarse campos adicionales editables ya sea para detallar comentarios, para tildar elementos o para corregir datos. Por otro lado, se pueden agregar campos virtuales (calculados) para probar clculos en una base de datos, para realizar nuevos clculos, para obtener porcentajes a travs de otros campos de la base de datos, o para convertir datos de un tipo a otro. Los campos editables pueden estar vacos para ingresar comentarios o datos, o pueden basarse en una expresin como ocurre en el caso de los campos virtuales. Los campos booleanos y triestado permiten etiquetar o marcar los campos de acuerdo a 2 o 3 estados respectivamente. IDEAScript. IDEAScript es un lenguaje de programacin orientada a objetos, compatible con Microsot Visual Basic para Aplicaciones TM y LotusScript TM. Los IDEAScripts, tambin denominados macros, pueden ser creados ya sea grabando una serie de pasos, copindose desde otros scripts, copindose desde el Historial, siendo ingresados en la Ventana de Macro o mediante una combinacin de cualquiera de todas estas posibilidades. Los Scripts pueden incorporarse al men Herramientas o a la Barra de Herramientas de Macro, o ejecutarse simplemente desde el men Herramientas. Los IDEAScript poseen una serie de herramientas complementarias tales como el Editor de Dilogos, el Explorador de Lenguaje y las herramientas de Depuracin para a sistirlo en la creacin de los scripts.

Requerimientos del sistema

y Windows NT4/98/ME/2000/XP y 128 MB para NT4/2000/XP y 64 MB para Windows 98/ME y 80 MB de Disco Duro

ACL[42]
ACL es una herramienta CAAT enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros. Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversin, tambin posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en la organizacin. ACL permite:

y Anlisis de datos para un completo aseguramiento. y Localiza errores y fraudes potenciales. y Identifica errores y los controla. y Limpia y normaliza los datos para incrementar la consistencia de los resultados. y Realiza un test analtico automtico y manda una notificacin va e -mail con el
resultado. ACL brinda una vista de la informacin de la organizacin y habilita directamente el acceso a bsquedas de cualquier transaccin, de cualquier fuente a travs de cualquier sistema. Ahorra tiempo y reduce la necesidad de requerimiento de informacin a departamentos de TI muy ocupados, incrementa el nivel de datos hospedados en mltiples ERP o aplicaciones especializadas. Permite examinar el 100 por ciento de las transacciones de datos, cada campo, cada registro. Accesa a diversos tipo de de datos con facilidad incluyendo bases de datos ODBC. Esta herramienta proporciona una completa integridad de datos, ACL solo tiene acceso de lectura a los datos de los sistemas que se estn monitoreando, es significa que la to fuente de datos nunca ser cambiando, alterada o borrada. Una de las ventajas de esta herramienta es que tiene un tamao ilimitado en el monitoreo de datos y puede procesar rpidamente millones de transacciones de datos ya que permite leer mas de 10,000 y hasta 100,000 registros por segundo ACL destaca por ser de fcil uso: selecciona, identifica y da formato a los datos fcilmente gracias al Data DefinitionWizard con esta librera permite importar y exportar datos directamente a Excel, Access y XML, otra mas de las ventajas es que no es necesario tener conocimientos de programacin para el uso de ACL. La herramienta tiene comandos pre-programados para anlisis de datos, pero tambin puede analizar datos adaptndose a una metodologa y ex cepciones de investigacin en cualquier momento, se pueden implementar continuos monitoreos haciendo anlisis automticos a travs de scripts y habilitando la notificacin en tiempo real. Explora los datos rpida y completamente, como se muestra en Figura 3.2, Comandos precargados

Figura 3.2. Comandos pre-cargados

Otra ventaja es los resultados se pueden ver fcilmente y entenderlos en formatos tabulares, posee graficas precargadas, tambin posee un log de actividad de los registros sto permite analizar y comprar registros pasados con los nuevos, posee vistas de reportes precargadas de CrystalReports, como se muestra en Figura 3.3, Visor de Cristal Reports

Figura 3.3. Visor de Cristal Reports

Especificaciones tcnicas:

y PC
superior.

con

procesador

Pentium

y Windows 98/ME o Windows NT (SP6), 2000 (SP2), XP. y 32MB de RAM (Mnimo). y 26MB de espacio en disco duro para ACL (Mnimo) y 44 MD extras si se desea
instalar la librera de CrystalReports. Otros componentes requeridos:

y Internet Explorer 5.5 o mayor. y Windows Installer y MDAC 2.6 y MsJet 4.0 SP3 o mayor. y MSXML 4.0 o mayor.

Auto Audit es un sistema completo para la automatizacin de la funcin de Auditora, soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando por el trabajo de campo, hasta la preparacin del informe final. Adems del manejo de documentos y papeles de trabajo en forma electrnica, Auto Audit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo de reportes ad hoc. Todos estos mdulos estn completamente integrados y los datos fluyen de uno a otro automticamente. Su pantalla principal se muestra en la Figura 3.4, Ventana principal.

Figura 3.4. Ventana principal

Benefi i s Eficiencia en el trabajo

Aumenta la eficiencia en la conduccin de la evaluacin de riesgos y planificacin anual. El incremento est entre 20 y 45 .

Base de conocimiento
Acceso inmediato a toda la documentacin de auditoras pasadas, en ejecucin o planeadas.

Fle ibilidad
d

Permite que los auditores puedan trabajar en lugares distantes con sus rplicas locales de la auditora en curso y su posterior sincronizacin a la base de datos centralizada.

Estandarizacin y control
Garantiza el seguimiento de metodologas de trabajo de acuerdo a las mejores prcticas de la organizacin con el uso de una biblioteca de documentos estndares (memoranda, programas, evaluaciones, informe final y otros). papeles de trabajo, cuestionarios,

Adaptabilidad
Provee una herramienta de reportes ad hoc para la generacin de informes, tablas y grficos con los formatos requeridos para el Comit de Auditora o Auditor General.

Comunicacin
Mejora la comunicacin con los auditados en el seguimiento de los hallazgos y planes de accin.

Reduccin de costos y aprovec a miento del recurso ms valioso (el auditor):

Se reducen los costos y el tiempo de documentacin y revisin de papeles, logrando invertir ms tiempo en la auditora, aadiendo as valor a la labor de auditora.
e

Seguridad y confidencialidad

Permite la creacin de usuarios definiendo perfiles segn su rol dentro de la auditora para controlar el acceso de documentos e integridad de la informacin. Con sus algoritmos de cifrado (encriptacin) Auto Audit garantiza la confidencialidad de informacin.

Facilidad de uso
Auto Audit se aprende e implementa en menos de una semana.

Integracin con ACL

Es posible integrar los procesos de anlisis de datos que se efectan con ACL en los papeles de trabajo de Auto Audit.

Funcionalidad de Auto Auditfor Windows

y Planificacin de Auditoras en funcin de la Evaluacin de Riesgos, siguiendo la
metodologa de evaluacin vertical y/o por proceso.

y Programacin de auditoras y asignacin de auditores para el trabajo de campo. y Flexibilidad mxima para la numeracin e ndice de los programas y papeles de
trabajo, enlaces y referencias cruzadas de documentos.

y Mantenimiento de una Biblioteca de Estndares de programas de auditora,

papeles de trabajo, memos, listas de chequeo, hallazgos, inform y otros. es

y Establecimiento de usuarios con perfiles definidos para crear, modificar, eliminar,

revisar o aprobar documentos especficos, de acuerdo a su rol dentro del flujo de trabajo en el proceso de auditora (Gerente, Encargado, Staff).

y Creacin automtica del Informe Final de Auditora extrayendo informacin clave

de los hallazgos registrados durante el trabajo de campo.

y Monitoreo de hallazgos para todas las auditoras visualizado por status, fecha de
seguimiento, auditora, nivel de riesgo y otros.

y Registro de tiempos y gastos para la generacin de reportes. y Elaboracin de encuestas post-auditora as como tambin evaluaciones de los
auditores.

y Disponibilidad de reportes estndares ya listos para su uso y posibilidad de crear

reportes ad hoc segn las necesidades.

y Mantiene un registro histrico de todas las actualizaciones, revisiones y

aprobaciones de documentos.

y Permite personalizar reas de la aplicacin para reflejar el ambiente de trabajo

nico de cada organizacin tales como: reas de nego cio, factores de riesgo, calificaciones de hallazgos, entre otros y se adapta a cualquier estructura de auditora (COSO, COCO, CSA).

y Tiene un algoritmo propio que encripta los datos asegurando la confidencialidad de

la informacin y su acceso nicamente a travs de la aplicacin.

Audicontrol APL (AUDISIS)[43]

La metodologa Audicontrol APL versin 2005 y el software en el que sta se apoya, proveen ayudas para asistir a los diseadores de controles, analistas de seguridad y analistas de riesgos, en el desarrollo de todas las etapas de proyectos de Gestin de Riesgos y Diseo de Controles Internos o de Rediseo, Reingeniera de Sistema de l Control Interno existente para procesos de negocio, sistemas de informacin

(Aplicaciones de Computador) y la Infraestructura de Tecnologa de Informacin de la organizacin. Audicontrol APL es una herramienta para asistir en la construccin d sistemas de e gestin de riesgos y controles internos en los procesos de la cadena de valor y los sistemas de informacin de las empresas. Para este fin, utiliza la tcnica de Autoevaluacin del Control (CSA: Control SelfAssessment) , tambin conocida con el nombre de Autoaseguramiento del Control (CSA: Control SelfAssurance) . Esta es una extensin de los mecanismos de control interno que tiene por objeto el asegurar a los clientes, accionistas y organismos gubernamentales de control y vigilancia, que los controles necesarios estn establecidos y son efectivos para mitigar los riesgos importantes. Desde la perspectiva administrativa, CSA asiste en la determinacin de si la organizacin est satisfaciendo sus objetivos. Las ventajas claves de implementar un CSA incluyen la deteccin temprana de riesgos y el desarrollo de planes de accin concretos que salvaguarden los programas organizacionales contra riesgos del negocio significativos. Los objetivos del CSA son:

y Reducir o eliminar los controles costosos e inefectivos. y Define con precisin las reas de riesgo, mientras se desarrollan adecuadas
medidas de control.

y Evala los estndares de control utilizados. y Enfatiza las responsabilidades de la administracin por el desarrollo y monitoreo
efectivo de los sistemas de control interno.

y Comunicar los resultados a otros.

CSA es una tcnica que implica la conduccin de talleres (workshops) con todos los miembros del staff que intervienen en un proceso o sistema de informacin, en el cual se discuten los riesgos y problemas de control y se aconsejan planes de accin para solucionar esos problemas. Este proceso ofrece un medio de identificar los problemas de control y las recomendaciones de mejoramiento. Los facilitadores ayudan al grupo a ponerse de acuerdo. Audicontrol-APL automatiza las metodologas de diseo y documentacin de controles en operaciones de negocios y procesos de TI, utilizando tres alternativas de escenarios de riesgo:

y Subprocesos o componentes de los procesos de la Cadena de Valor de las

Empresas (misionales o de apoyo administrativo), definidos de acuerdo con las condiciones de funcionamiento reales de cada Organizacin.

y Diez escenarios de riesgos claves para la Infraestructura de TI. La metodologa es

aplicable para desarrollar el enfoque de diseo de gestin de riesgos para procesos de los cuatro dominios del Modelo COBIT (Control ObjectivesforInformation and RelatedTechnology, tercera edicin en el ao 2000).

y Quince escenarios de Riesgo agrupados de manera natural, que representan el

ciclo de vida del control de los datos en las aplicaciones de computador. Audicontrol-APL provee una herramienta de software orientada al usuario final, para apoyar el desarrollo de todas las fases y etapas de la metodologa de Diseo de Controles y Gestin de Riesgos Operacionales. Las 2 fases y 10 etapas de la metodologa son las siguientes: Fase I: fase esttica o estructural del control interno.

1. 2. 3. 4. 5.

Identificar la Seguridad Requerida. Evaluar Riesgos Potenciales e identificar Riesgos Crticos. Elaborar Mapa de Riesgos. Seleccionar Controles Necesarios y evaluar la proteccin que ofrecen. Definir Especificaciones Controles). para Implantar los Controles (Documentar los

Fase II: dinmica u operativa del control interno. 1. 2. 3. 4. 5. Sensibilizar y Concientizar a los propietarios del proceso para el mejorar cultura de Control de la Organizacin. Elaborar e Implantar Guas de Autocontrol. Elaborar e Implantar de Guas de Monitoreo de la Proteccin Existente y del Riesgo Residual. Generar el Manual de Controles y Administracin de Riesgos Operacionales. Mantenimiento y Actualizacin del Manual de Controles.

Audicontrol-APL es un software para Windows, que opera en ambientes monousuario o en Red local. La metodologa AUDICONTROL APL fue creada para apoyar el trabajo de:

y Analistas y Desarrolladores de Sistemas. y Departamentos de Organizacin y Mtodos. y Auditores de Sistemas. y Departamentos de Control Interno. y Administradores de Seguridad en Procesamiento electrnico de datos. y Administradores de Riesgos.
Funciones.

y Para cada proceso o sistema objeto de estudio, Audicontrol APL ayuda a personalizar las bases de datos de conocimientos de las organizaciones, con conceptos y elementos modernos de control aportados por los modelos COBIT( ControlObjectivesforInformation and RelatedTechnologyISACA, 2000 ) y COSO y las normas ISO 9000, ISO 9126, ISO 12207, ISO 14000, ISO 18000 e ISO 17799.

y En las actividades de diseo, rediseo, documentacin e implantacin de los

controles, Audicontrol-APL apoya a los diseadores con guas, cuestionarios estndar y bases de conocimientos sobre procesos de tecnologa de informacin, riesgos, causas del riesgo, controles y objetivos de control.

y Identificar y categorizar los riesgos inherentes a los negocios o servicios de las

empresas, como lo recomienda el modelo COSO.

y Ayuda a elaborar el Mapa de Riesgos con la ubicacin fsica, lgica y funcional de

los riesgos en las dependencias y procesos que intervienen en los negocios o servicios de las empresas.

y Seleccionar los controles necesarios para mitigar el impacto o reducir la

probabilidad de ocurrencia de las amenazas que podran originar cada uno de los riesgos potenciales crticos.

y Mide (califica) el grado de proteccin que aportan los controles seleccionados, por
cada amenaza (causa del riesgo), punto de control, dependencia y objetivo de control de cada proceso de negocio y servicio soportado en tecnologa de informacin.

y Elaborar Guas de Autocontrol que asignan responsabilidades por la ejecucin y/o

supervisin de cada control clave en las dependencias que intervienen en los procesos de negocios automatizados.

y Elaborar Guas de Autoevaluacin del Control o Autoaseguramiento del Control,

para medir (determinar) peridicamente los niveles del riesgo residual en las dependencias de la empresa.

y Disear

e implantar el Plan de Mitigacin de Riesgos no apropiadamente por los controles establecidos en la organizacin. aplicaciones y la infraestructura de TI y permite su

protegidos

y Elaborar los Manuales de Control Interno y Gestin de Riesgos para los procesos,
las actualizacin permanente.

y Para los procesos y sistemas en proceso de desarrollo, Audicontrol APL ayuda a disear e implantar la estructura de control requerida, desde su inicio hasta su implantacin definitiva.

y Ofrece la posibilidad de personalizar y reutilizar las bases de datos generadas con

circunstancias propias de la empresa, como base para el diseo de controles en otras reas o procesos automatizados.

y Provee ayudas y herramientas para valorar y medir el riesgo potencial (RP), la

proteccin ofrecida (PO) por los controles establecidos y el riesgo residual (RR) que estn asumiendo las organizaciones en cada proceso o sistema de informacin.

y Audicontrol-APL cuenta con el soporte y asesora permanente de AUDISIS, que es

una firma de Consultores Gerenciales especializados en control y auditora de sistemas, estable y de reconocido prestigio profesional en Colombia y el exterior. En sntesis, Audicontrol-APL p roporciona un esquema de trabajo seguro y eficiente para:

y Identificar y evaluar los riesgos potenciales y residuales asociados con las

operaciones de negocio y de soporte administrativo de las empresas.

y Definir e implantar controles manuales y automatizados que sean efectivos para

reducir a niveles aceptables la exposicin al riesgo en los sistemas automatizados de las empresas, con su respectiva documentacin.

y Facilitar la implantacin de un Sistema de Gestin de Riesgos Operacionales. y Implantar tcnicas y procedimientos de Autocontrol y de Prevencin del Riesgo en
las empresas.

AuditMaster[44]
AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se re alizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:

Gestor de eventos (Log eventhandler)

Es un plugin que se instala fcilmente en la base de datos. Acta como una especie de caja negra que captura y escribe en un registro de seguimiento todas las actividades que se llevan a cabo en la base de datos. Se instala en el nivel de la base de datos, de forma que siempre que sta funciona, tambin lo hace el gestor de eventos, manteniendo al da el regis tro de seguimiento. El gestor de eventos se instala en el sistema con el motor para servidores Pervasive.SQL.

Base de datos de registro (Log database)

Es un conjunto de archivos de Pervasive.SQL residente en el directorio de datos de AuditMaster. El archivo principal de registro contiene toda la informacin de seguimiento, por ejemplo, la identificacin de usuario, la identificacin de la estacin de red, el tiempo y la fecha de la operacin, el nombre de aplicacin, el nombre de la tabla de la base de dato y el tipo de operacin. Adems, el s archivo crea imgenes, antes y despus de la transaccin, a efectos de actualizacin de los registros. Cada vez que un usuario modifica algn dato, AuditMaster escribe en el registro tanto el valor antiguo como el nuevo.

Visor de registros (Log viewer)

Permite hacer consultas a la base de datos de registro, lo que permite que un administrador de seguridad compruebe las actividades realizadas y analice patrones y tendencias. Las consultas se realizan con rapidez gracias a una sencilla interfaz grfica. Los informes de AuditMaster tambin pueden evidenciar si se utilizan las prcticas requeridas o buenas prcticas generales. Asimismo, el visor de registros tambin se emplea para mantener y configurar el sistema AuditMaster, lo que incluye la creacin de alertas que ejercen una vigilancia dinmica de las actividades realizadas con datos futuros. Una vez definidas las alertas en AuditMaster, esperan a que se lleve a cabo alguna operacin de inters perteneciente al espectro de acciones de los usuarios, tales como la creacin, la actualizacin, la eliminacin o simplemente la lectura de datos. Cuando se produce algn evento de inters, el gestor de eventos activa inmediatamente una alerta, bien a travs de un correo electrnico enviado a uno o ms destinatarios, bien a travs de una llamada a otra aplicacin o mediante el inicio de una nueva aplicacin. El visor de registros puede instalarse en cualquier mquina con acceso al servidor Pervasive.SQL y a los archivos de la base de datos de registro.

Ventajas
AuditMaster no exige modificar el cdigo de la aplicacin actual o de la base de datos Pervasive.SQL, ya que es independiente de la aplicacin y se instala en la propia base de datos, muy por debajo del nivel de las aplicaciones clientes. AuditMaster puede supervisar varias aplicaciones e incluso identificar la fuente original de cada evento en el registro de seguimiento, permitiendo de esta manera llevar a cabo un anlisis interno del sistema y un control detallado de la aplicacin. Adems de presentar informes y activar alertas, el registro de seguimiento detallado ofrece otras ventajas. Al almacenar imgenes de todos los cambios antes y despus de la transaccin, es posible recuperar registros individuales de la base de datos deshaciendo los cambios capturados en el registro de seguimiento. Adems, como el registro est almacenado en tablas de Pervasive.SQL, las aplicaciones pueden acceder

directamente a los datos de registro, lo que permite integrar AuditMaster en otras aplicaciones. Trabaja con todos los datos de Pervasive.SQL, tanto transaccionales como relacionales, tambin puede mantener automticamente en los registros de datos mltiples archivos de metadatos que faciliten actualizaciones a nuevas versiones de la aplicacin cliente, incluso aunque cambien los archivos de definicin de datos (DDF). Los metadatos de AuditMaster pueden ser auditados aunque falten los archivos DDF o estn incompletos. Adems, si el sistema utiliza registros variantes, AuditMaster sigue realizando las mismas funciones de captura, informe y alerta.

Especificaciones.
Plataformas soportadas.

y Windows NT 4.0 (SP3 o superior) y Windows 2000 y Windows 2003 y Windows XP

Bases de datos soportadas.

y Pervasive.SQL V8 y Pervasive.SQL V8 SP1 y Pervasive.SQL V8.5 y Pervasive.SQL V9

Delos[45]
Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin. Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalzado de acuerdo con las i caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas. Para la utilizacin del sistema hemos identificado cuatro roles o que tienen relacin con el control en una organizacin:

y El responsable de disear e implementar el control en la organizacin, quien puede

ser un analista de sistemas, un oficial de seguridad, un diseador de procesos de trabajo o alguien quien realice trabajos de reingeniera.

y El responsable de evaluar el correcto funcionamiento del control de la

organizacin, quien normalmente es un auditor, un representante de aseguramiento de calidad o cualquier persona que se le asigne en forma temporal o definitiva la funcin de evaluacin

y El usuario del control, quien realiza sus actividades cotidianas con la seguridad de
que cuenta con los elementos suficientes para desarrollar sus funciones de forma eficiente, efectiva, segura y consistente y

y Los beneficiarios del control, quienes reciben los benefcios de que una i
organizacin opere con adecuados procedimientos de control. Los beneficiarios pueden ser tanto internos como externos a la organizacin, los primeros representados por la administracin y los accionistas y los segundos

representados normalmente por clientes, proveedores, gobierno, inversionistas, etc. Delos es una herramienta que fue diseada pensando en empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la tecnologa de informacin a travs de actividades relacionadas con auditora, seguridad y control en TI.

Ventajas
Delos presenta una serie de caractersticas que lo distinguen de otras herramientas. Orientacin al negocio. A diferencia de otros productos de auditora de software, Delos tiene una orientacin al negocio, es decir, parte de un marco de referencia estratgico formado por los objetivos de negocio y factores crticos de xito de la empresa y lo relaciona con elementos de control interno en tecnologa de informacin. Consecuentemente, su empleo promueve el cumplimiento de los objetivos institucionales de la empresa, permitiendo alinear sus elementos de tecnologa de informacin con la estrategia de negocio. De manera indirecta, Delos ayuda a estructurar los objetivos, metas y factores crticos de xito de la empresa, as como los indicadores que permiten su medicin. Base de conocimientos. Delos cuenta con una extensa base de conocimientos que contiene tanto elementos de negocio (objetivos, metas y factores crticos de xito) como elementos de control, seguridad y auditora en TI, utilizando relaciones puntuales entre dichos elementos para ofrecer un nivel de inteligencia. Esta base de conocimientos, no solo permite establecer un marco de referencia para las funciones de auditora, sino que ofrece la posibilidad de ampliar su alcance y sus beneficios a otras reas de la empresa que tienen relacin con el concepto de control, tales como el rea de tecnologa de informacin y, en caso de que exista, el rea de contralora (responsable del control en la empresa). Fundamento metodolgico. El funcionamiento de Delos se basa en una metodologa estructurada que ofrece al usuario una orientacin detallada sobre las actividades y la secuencia necesaria para desarrollar auditoras o evaluaciones en am bientes de TI. Esta caracterstica diferencia y posiciona favorablemente a Delos con respecto a otros productos, los cuales primordialmente ofrecen un conjunto de diagramadores, tcnicas y/o reporteadores cuya utilizacin queda supeditada a la experien cia individual de cada usuario o al empleo de una metodologa adicional que no necesariamente corresponde a las caractersticas del software. Personalizable a las caractersticas y re u erimientos de cada empresa. Adicionalmente a contar con una robusta base de conocimientos, Delos permite incorporar nuevos elementos, modificar los existentes y definir nuevas relaciones entre los objetos que integran dicha base. Esto permite complementar el cuerpo de conocimientos y adecuarlo a los requerimientos especficos de cada empresa. Multicompaa y multiproyecto. La estructura de Delos permite crear modelos de diversas compaas definiendo proyectos con diferentes enfoques, objetivos y alcances. Esta capacidad proporciona gran flexibilidad para la realizacin de audi oras en t empresas o instituciones con requerimientos plurales, como pueden ser: corporativos, entidades de supervisin y vigilancia, organismos gubernamentales o firmas de auditora externas. Incluye COBIT. Delos utiliza la estructura y los objetivos de control definidos por COBIT para disear programas de auditora basados en dicha estructura y/o interpretar los resultados de evaluaciones realizadas con el propio enfoque de Delos, con base en el
f

estndar internacional sobre control en tecnologa de inform acin emitido por la ISACA (InformationSystemsAudit and Control Association).

Beneficios
En forma concreta podemos decir que Delos genera los siguientes beneficios:

y Ayuda al logro de objetivos de negocio al apoyar el alineamiento de los recursos

de TI con la estrategia de la entidad y al incrementar el retorno sobre la inversin en tecnologa.

y Apoya la planeacin estratgica de TI, al identificar elementos indispensables para

desarrollar la estrategia tecnolgica y alinearla a los intereses institucionales.

y Promueve la eficiencia y efectividad de la auditora al hacer uso de medios

automatizados para procesar informacin e incorporar a los programas de trabajo slo las actividades que cada auditora requiere en forma especfica.

y Capitaliza el conocimiento de la organizacin y lo materializa en un patrimonio

institucional, al conservar el conocimiento en un repositorio de software, minimizando en gran medida los efectos de rotacin de personal.

y Permite capacitar a personal de nuevo ingreso, tanto de la compa en general a

como de las funciones relacionadas con auditora y control en TI.

y Estandariza el trabajo de auditora al utilizar una metodologa automatizada

incorporada al sistema de software.

Caractersticas.
Adems de la descripcin antes mencionada Delos se divide en 5 mdulos mas, los cuales se describen a continuacin:

y DelosCognos: es el mdulo responsable de la administracin del conocimiento de

Gobierno de Tecnologa de Informacin. Este conocimiento se almacena en una completa base de conocimientos. Este mdulo permite personalizar, consultar y mantener actualizada la base de conocimientos del sistema y se integra tanto por elementos de negocio como: estrategias, fortalezas, stakeholders, objetivos, metas y factores crticos de xito, como por elementos de tecnologa de informacin, tales cmo: Aplicaciones, procesos, recursos, colaboradores y elementos de auditora /aseguramiento, como: Objetivos de control, procedimientos de control y procedimientos de auditora entre otros. En esta base de conocimientos tambin se encuentran los elementos de COBIT. Estos elementos se encuentran interrelacionados, lo cual permite establecer los sistemas de control requeridos por la organizacin y su relacin con elementos de la estrategia institucional.

y Delos Mentor: es el mdulo encargado de guiar las actividades de auditora, es

decir, funge como consejero o gua virtual que proporciona apoyo para la realizacin de tareas especficas de auditora con base en una metodologa de trabajo estructurada. Delos Mentor permite elaborar programas de revisin personalizados de acuerdo con las caractersticas de la organizacin y al alcance y objetivos especficos de cada auditora.

y Delos Tutor: Este mdulo tiene el propsito de ofrecer capacitacin a sus usuarios,
emulando, como su nombre lo indica, la labor de un tutor, que es proporcionar educacin y orientacin a sus alumnos en alguna materia en particular. Delos Tutor tiene incorporados los conceptos tericos de auditora en TI, lo cual es utilizado para proporcionar instruccin autodidacta a sus usuarios.

y Delos Control: Este mdulo esta enfocado a la otra perspectiva del control, es
decir, no a la de quien debe evaluar el control, sino del que es responsable de disear e implantar controles en una empresa u organizacin. La misma base de conocimientos de control de Delos es utilizada para identificar los procedimientos que una organizacin debera tener establecidos en un ambiente de tecnologa de informacin, ya sea en sus procesos de trabajo relacionados con el desarrollo de soluciones informticas (como desarrollo de sistemas, implantacin de paquetes de software, planeacin estratgica de sistemas, adquisicin de tecnologa, etc), como en los procesos de administracin de recursos informticos.

y DelosCentinel: Este mdulo permite administrar la seguridad de acceso a Delos.

Esto incluye tanto la administracin de usuarios del sistema, como la asignacin de distintos niveles de seguridad para acceder a cada una de las organizaciones dadas de alta en Delos. Los niveles de seguridad permiten otorgar privilegios de acceso de manera especfica, inclusive para restringir los tipos de acciones que cada usuario puede ejercer sobre cada uno de los tipos de objetos en la base de conocimientos de la organizacin. Requerimientos.

y Windows 95, 98, 2000, NT y XP. y 150 MB en disco duro. y 32 MB en memoria RAM y Procesador pentium a 100 megahertz.

[41] [42] [43] [44] [45]

www.cynthus.com.mx www.acl.com http://www.audisis.com http://www.pervasive.com http://www.cynthus.com.mx

Captulo

. Anlisis de informacin

Tabla de contenidos

Anlisis de consecuencias y riesgos Seleccin de mejores prcticas Anlisis de la aplicacin de CAAT Estudio de costo-beneficio Anlisis de la aplicacin de cuestionarios

En el presente capitulo, se realiza el anlisis de la informacin que se present en los captulos anteriores, comenzando por el anlisis de consecuencias y riesgos en cuanto a la implantacin del rea de auditora en informtica dentro de la H. Cmara de Diputados. En seguida, se habla de las mejores prcticas y por ltimo del anlisis de las CAAT que ms se adaptan a las necesidades especficas del rea, ya que la implantacin de una mejor prctica y la adquisicin de una herramienta de auditora asistida por computadora, se consideran herramientas bsicas para el desarrollo erices del rea de auditora en informtica, mismas que deben cubrir las necesidades de del personal.

Anlisis de consecuencias y riesgos

(implantacin del rea de auditora informtica) Al crear un rea nueva dentro de una organizacin trae consigo cambios importante, que pueden resultar riesgosos si no se realiza aplicando la metodologa adecuad y se hace un buen anlisis, para el caso especfico de implantar un rea de auditora en informtica dentro de la Subcontralora de Auditora los riesgos se componen de los siguientes:

Riesgos de Implantacin del rea

Consecuencias

Poca aceptacin por las reas de Tecnologas de No podr trabajar en conjunto con el rea Informacin ya que se les establecern controles de Tecnologas de la informacin que es los cuales no son aceptados de una buena manera hacia donde est enfocada el rea de por el personal involucrado. auditora. Falta de capacitacin del Subcontralora de Auditora personal de la Mal uso de las herramientas y los procedimientos.

Uso inadecuado de los equipos, Falta de una mejor cultura informtica en el herramientas, procedimientos e ignorar personal de la Subcontralora de Auditora normas y controles. Falta de una visin general por parte de las reas Ver al rea de auditora como un rea que de TI como una problemtica la falta de un rea de produce y que no sirve as como no poder auditora informtica trabajar en conjunto. Resistencia al cambio. Inadaptabilidad a la implantacin de las tcnicas y herramientas propustas.

Al no implantar el rea de auditora informtica tambin se corren riesgos potenciales, ya que el atraso que generara eventualmente aumentar los rezagos en los trabajos de auditora y la ineficiencia del personal, a continuacin describimos los que detectamos de acuerdo a las visitas realizadas al rea de la Subcontralora de Auditora y en base a los cuestionarios aplicados, se determina lo siguiente:

Riesgos de no Implantacin Consecuencias del rea

Prdida de informacin. Recomendaciones inadecuadas. Fuga de informacin.

Aumento de costos para la organizacin, indisponibilidad de la informacin. Ineficacia en los procesos de auditora. Mal manejo de la informacin por personal interno del rea.

Inadecuado desarrollo del El rea de TI seguir siendo vista como un rea que no ofrece rea de sistemas. servicios y un desarrollo y crecimiento lento. Perdida de informacin por la falta de controles y procedimientos que regulen su uso y redunde su mal uso malintencionado de externos.

Robo

Falta de preparacin del Incapacidad de afrontar contingencias graves. personal.

Seleccin de mejores prcticas

Se ha comentado en el captulo anterior la importancia del uso de las mejores prcticas dentro de las organizaciones, por ello se determina que es indispensable el manejo de las mismas para que el rea de auditora informtica que se implante pueda realizar s us funciones de forma ptima, mismas que se definen especficamente en el siguiente captulo. Se propone el uso de COBIT como mejor prctica de la auditora, debido a que sta herramienta como tal, permite evaluar los procesos de la organizacin que a su v se ez relacionan con las tecnologas de informacin. El uso de COBIT con sus cuatro dominios principales permitir a la nueva rea de auditora en informtica establecer diagnsticos a todos los niveles, tanto administrativa y operacionalmente ya que propo rciona las bases para el establecimiento de controles para la planificacin, porcesos y la informacin utilizada. Es importante recordar que DELOS byCynthus como propuesta de herramienta CAAT para la automatizacin de los procesos de auditora, est basada en el estndar de COBIRT, por lo que se puede decir que son complementarias.

Anlisis de la aplicacin de CAAT

En esta parte del capitulo se habla especficamente de las CAAT que seran ms tiles dentro de la Subcontralora de Auditora para el desarrol o de sus actividades, para lo l cual se compararn las siguientes herramientas: Auto Audit (Grupo XopanTech), WorkingPapers (Grupo Cynthus) y Delos (Grupo Cynthus). A continuacin se hace un anlisis de los beneficios de cada una de ellas, as como de sus costos, necesidades de capacitacin de personal y equipo de software requerido adicional al ya existente, el criterio de seleccin obedece a la posible utilizacin del peronal y hardware ya existente. Para este efecto, se organizaron presentaciones de demos de estas tres herramientas al personal de la Subcontralora de Auditora, de estos tres proveedores obtuvimos tambin la cotizacin de implantacin de stas y las necesidades de software y hardware ( Apndice A, Cotizacin de proveedores). Con esta informacin a continuacin se presenta el estudio comparativo de costo beneficio de estas tres herramientas. En base a la experiencia en la implantacin de herramientas (software y hardware) que ayuden a la automatizacin de procesos y/o informacin se determina que pueden existir algunos riesgos y ms si la herramienta es implementada en un rea nueva como es el caso de la H. Cmara de Diputados, en la implementacin de un rea de auditora informtica, a continuacin se mencionan los riesgos que pueden existir en la implementacin de una herramienta que ayude a la automatizacin de las tareas de el rea de auditora informtica.

Riesgos de implantacin de la Consecuencias herramienta

Mal anlisis para la implantacin Mal funcionamiento de la herramienta de la herramienta. Implantar una herramienta ms barata que no cumpla con los requisitos necesarios para ayudar a automatizar los procesos del rea de auditora informtica. de la Implantar una herramienta que no ayude a automatizar los procesos del rea de auditora Informtica.

Costo muy elevado.

Mala seleccin herramienta.

Mala capacitacin en el uso de la Mala explotacin de la herramienta. herramienta. Los procesos y el flujo de trabajo Mala implantacin de la herramienta, as como un mal no estn bien definidos. funcionamiento de la misma. Mal funcionamiento de la herramienta, cadas de sistema, Arquitectura tecnolgica no perdido de informacin, poca disponibilidad de la soportada por la herramienta. herramienta.

Sobreautomatizacin procesos.

de

los Que no se conozca como realizar los procesos en caso de que falle el sistema, deteccin retardada de fallas.

Estudio de costo-beneficio
El Costo-Beneficio, tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realizacin de la propuesta de implementacin de un rea de Auditora en Informtica en el rgano L egislativo, a su vez comparar dichos costos previstos con los beneficios esperados de la realizacin del proyecto, definiendo la factibilidad de las alternativas a seguir para llevar a cabo la propuesta. Una funcin muy importante de los costos es servir de gua para determinar cul puede ser la combinacin de productos ms rentable y los gastos en que se puede incurrir sin afectar los beneficios.[46] Es importante detallar los costos, ya que se considera que entre mayor sea el costo de la tcnica de auditora asistida por computadora que se seleccione, mayores debern ser los beneficios que conlleve; esto es que la expectativa crece. A continuacin se detallan los costos que se relacionan con la evaluacin a las necesidades de la propuesta de implementacin.

Costos indirectos
De acuerdo a las caractersticas de cada herramienta y en entrevista con el personal de la Subcontralora de Auditora se determin que del software de Auto Audit sera necesario adquirir 20 licencias, para WorkingPapers 5 y para Delos entre 3 y 5, con estos datos proporcionados por el proveedor, proseguimos nuestro anlisis, como sigue:
h g

Tabla

.1. Costos de ad uisicin

Auto Audit (20 usuarios) Licencia Implementacin Hora/especialista Capacitacin Mantenimiento Soporte Total
[a]

WorkingPapers (5 usuarios) 2,800.00

Delos[a] (5 usuarios) 26,000.00

21,600.00
1,440.00

7,200.00

4,800.00
1,025.00

700.00 30,240.00 9,325.00 26,000.00

El costo de las Licencias de Delos incluyen la licencia de uso, manual digital, disco de instalacin y Dongle de proteccin por usuario, as como una licencia para uso del software IDEA (para anlisis de datos que incluye Dongle de proteccin, manual de uso y disco de instalacin) capacitacin para seis personas y una ao de

mantenimiento e implementacin del software en sitio.

La herramienta ms econmica es WorkingPapers y la ms cara es Delos.
j i

Tabla

. . Costos de inversin

Auto Audit WorkingPapers Delos Equipo de cmputo 6 laptop Costo unitario Total Hardware Software Total 160.00 960.00 Ya existe 6 laptop 160.00 960.00
Ya existe

2 laptop 160.00 320.00 Ya existe 26,000.000 26,320.00

30,240.00 9,325.00 31,200.00 10,225.00

Una vez ms la implementacin ms econmica resulta ser la de WorkingPapers y la ms cara es Auto Audit, estos son dos factores importantes a considerar para la eleccin de la herramienta adecuada; sin embargo, no son determinantes, ahora que se conoce el costo habr de realizarse un anlisis de la utilidad que estas herramientas traen consigo, cuales son ms accesibles de implementar de acuerdo a su funcionalidad y que su ambiente sea amigable para el auditor a fin de que esta propuesta no contemple la contratacin de nuevo personal, sino la capacitacin del actual, para lo cual posteriormente se analizan los resultados de la aplicacin de cuestionarios al personal que asisti a las demostraciones de los proveedores, de cada una de las tcnicas de auditora asistidas por computadora. La implantacin del rea no implica necesariamente a aplicacin de una CAAT as como la aplicacin de una CAAT no necesariamente sucede s y solo s se implanta el rea, esto es, no son indispensables una sin la otra; sin embargo el modelo ptimo de desarrollo de la Contralora Interna de acuerdo a este informe de seminario de titulacin contempla la implantacin del rea de auditora en informtica y adems reforzar a toda la Subcontralora de Auditora con la utilizacin de la herramienta seleccionada.

Costos de oportunidad
Los costos de oportunidad son los que se derivan de hacer una cosa en lugar de otra. La herramienta ms barata es WorkingPapers, con un costo de $9,325.00 Dlls, contra la ms cara que es Auto Audit de $30,240.00, por lo tanto la diferencia de $20,915.00 representa el costo de oportunidad de tomar esta alternativa. A continuacin, se presenta un anlisis del equipo que se usara en las actividades de esta rea y el personal estimado que realizara estas labores sin el uso de una herramienta de auditora asistida por computadora para compararla contra el equipo y el personal que se requerir al implantar una de estas herramientas.

Sin uso de herramienta CAAT

Con uso de herramienta CATT

ACTIVIDADES
1.

Equipo
Elaboracin planes trabajo de de

Personal Equipo Personal

2.

Elaboracin cuestionarios,

de

12

encuestas, matrices, etc. 3. 4. Trabajo de campo. Control actividades de a

12

12

realizar en tiempos estimados reales. 5. Evaluacin resultados programas operativos. 6. Evaluacin de la de los

de

problemtica de las reas que cuenten con un sistema informtico. 7. Elaboracin de

papeles de trabajo e informes de auditora. 8. Comunicar resultados recomendaciones evaluaciones. 9. Comprobar que el los y

12

12

12

12

12

que resulten de sus

rea de Sistemas ha tomado las medidas correctivas de los

informes de la Auditora Interna as como de las omisiones que al

Sin uso de herramienta CAAT ACTIVIDADES Equipo

respecto verifiquen seguimiento informes. 10. Evaluacin controles de los de en se el de

Con uso de herramienta CATT

Personal Equipo Personal

seguridades lgicas y fsicas. 11. Evaluacin de los riegos y controles. 12. Evaluar la existencia de polticas[a], objetivos[b], normas[c], metodologas[d], de tareas as

12

como la asignacin y adecuada administracin[e] de los recursos, humanos informticos.

[a] [b]

12

http://www.monografias.com/trabajos10/poli/poli.shtml http://www.monografias.com/trabajos16/objetivos-educacion/objetivoshttp://www.monografias.com/trabajos4/leyes/leyes.shtml http://www.monografias.com/trabajos11/metods/metods.shtml http://www.monografias.com/Administracion_y_Finanzas/index.shtml

educacion.shtml"
[c] [d] [e]

Diagnstico de personal
Deben seguirse procedimientos sistemticos para identificar, seleccionar, programar, implantar, mantener, usar y controlar el software adquirido. Uno de los esquemas generalmente aceptado para tener un a decuado control es que el personal que intervenga est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia). Para complementar el grupo, como colaboradores directos en la realizacin de la auditora se debe tener personas con las siguientes caractersticas:

y Tcnico en informtica y Conocimientos de administracin, contadura y finanzas

y Experiencia en el rea de Informtica y Experiencia en operacin y anlisis de sistemas y Conocimientos y experiencia en psicologa industrial y Conocimiento de los sistemas ms importantes
En cuanto a las certificaciones que se expusieron en Captulo 3, Legislacin informtica, mejores prcticas y tcnicas de auditora informtica se determina que la certificacin CISA (CertifiedInformationSystems Auditor) que la Asociacin de Auditora y Control de Sistemas de Informacin ( ISACA ), es la ms conveniente para que el personal cumpla con la calidad de trabajo requerida, ya que esta certificacin cubre el conocimiento tanto de auditora como de Sistemas.

Anlisis de la aplicaci n de cuestionarios

Por ltimo, se aplic un cuestionario al personal de la Subcontralora de Auditora, el formato lo encontraremos en Apndice B, Formato de cuestionario, y los cuestionarios respondidos en Apndice C, Cuestionarios respondidos , los resultados son los siguientes: 1. Consideras que es importante que la Subcontralora de Auditora adopte una tcnica de auditora asistida por computadora que apoye tu labor como auditor? Por qu?

y S 15 y No Ninguno
Motivos principales : Mejora el tiempo, calidad y presentacin del trabajo, dando ms tiempo al anlisis y oportunidad en las auditoras, la supervisin sera ms eficaz. 2. Qu beneficios personales (como auditor) crees que tendra la adopcin de una de ests herramientas? Beneficios principales: Principalmente ayuda para la elaboracin de informes y papeles de trabajo, superacin personal al conocer programas y herramientas que coadyuven a optimizar el trabajo, aprovechamiento de tiempos con ello mayor productividad, reducir errores e incongruencias, mayor control de la informacin, facilita la consulta de documentos, mantener una base de conocimiento actualizada 3. Qu beneficios institucionales (para la H. Cmara de Diputados) crees que tendra la adopcin de una de ests herramientas? Beneficios principales : Contar con una base de datos donde se almacene y documente toda la informacin generada en las auditoras, reduccin de costos, aprovechamiento de tiempos, mejor presentacin de reportes, ms y mejore s auditoras, informacin oportuna para toma de decisiones oportuna, estar a la vanguardia en tcnicas de auditora y de esta forma lograr el correcto desempeo de todas las reas de la Cmara de Diputados 4. Consideras que una de estas herramientas contribu ira al mejor cumplimiento de metas y objetivos de la Subcontralora de Auditora?

y S: 15 y No: Ninguno
5. Consideras que sera muy complicado el aprendizaje necesario para que apliques este tipo de tcnicas a tu trabajo?

y S: Ninguno y No: 15
Observaciones principales: Solo es necesario tomar capacitacin en la paquetera principal y la que el proveedor brinde de acuerdo al software especifico. 6. De los demos a los que asististe, Qu producto crees que sera mejor adaptar a la Subcontralora de Auditora?

7.

De acuerdo a su funcionalidad y facilidad de uso de los demos a los que asististe, Qu calificacin le daras a cada uno de ellos? (malo/regular/bueno/excelente)

8.

Qu comentarios tienes acerca de estos productos? Principales Comentarios:

Auto Audit
Su manejo es ms complicado, necesita ser complementado, la presentacin no fue adecuada, no puede ser ajustado a las necesidades especficas de cmara por ello es inadecuado.

WorkingPapers
Se puede adaptar especficamente a los procesos que se re alizan aqu, es bueno solo que necesita una base de datos, ms prctico en cuanto a los tiempos de respuesta, adems cuenta con soporte tcnico de calidad, el manejo de word y excel facilita su uso, conviene mucho para revisiones financieras, sera necesario un caso prctico para ver su funcionalidad.

Delos
Falt ms explicacin; sin embargo puede ser aplicable con una buena capacitacin lo podemos aplicar, puede funcionar en cuestin de control de los programas establecidos para las revisiones y tiempos de atencin de los auditores, es el ms adecuado para adaptarse a las necesidades especficas de la Cmara, debe considerarse un curso de este software, es el ms adecuado

[46]

Tcnicas de los Costos, Sealtiel http://www.inei.gob.pe/web/metodologias/attach/lib604/cap3 -6.htm

Alatriste

Captulo 5. Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo

Tabla de contenidos

Propuesta de creacin del rea de auditora informtica Objetivo Justificacin de la creacin del rea Modificacin a la normatividad existente Estructura orgnica de la Subcontralora de Auditora Misin, visin y funciones del rea de Auditora Informtica. Tipos de auditora que realizar el rea de Auditora Informtica. Requerimientos para creacin del rea de Auditoria Informtica Requerimientos de hardware y software Requerimientos de personal Pasos a realizar para la implantacin del rea Propuesta de mejor prctica Justificacin Objetivo Propuesta de herramienta CAAT
En este captulo, una vez que ya se conoce la conformacin de la H. Cmara de Diputados, mostramos la formacin general de su rgano de Control Interno y cmo encaja la Subcontralora de Auditora dentro de este rgano Legislativo, se detallan las posibilidades en cuanto a mejores prcticas, certificaciones, tcnicas de auditora y herramientas automatizadas y del anlisis a cada uno de ellos, de acuerdo a lo anterior se dan a conocer los resultados a los que se llega en el desarrollo de este informe de seminario de titulacin. Derivado del estudio de costo beneficio y de factibilidad, as como del anlisis de las consecuencias y riesgos a los que se enfrentar el rea al implantar esta rea, as como de cules seran las consecuencias de seguir con la est ructura y funciones, misma que

se realiza para darle a los Mandos Medios y Superiores de la Contralora Interna una visin a futuro de las mejoras que traera consigo la adaptacin de esta propuesta, benficas para este rgano de Control Interno as como de estar a la vanguardia en las nuevas tendencias de auditora en informtica actuales, y con ello brindarle a la ciudadana una mejor rendicin de cuentas. As, en este captulo, brindamos las bases y una gua completamente prctica del cmo y porqu es recomendable contar con un rea o las funciones encaminadas a realizar auditoras en informtica dentro de este rgano, desde la ptica de las nuevas tendencias mundiales de auditora y tratando de dar cumplimiento a las recientes Leyes de Transparencia y Acceso a la Informacin Pblica Gubernamental.

Propuesta de creacin del rea de auditora informtica

Nuestro informe de seminario concretamente propone la implantacin de un rea de auditora en informtica dentro de la Subcontralora de Auditora de la H. Cmara de Diputados. Lo anterior, lo fundamos a lo largo de este informe, los principales motivos son: 1. Implantar esta rea dentro del rgano de Control Interno traer consigo la innovacin de la Subcontralora de Auditora para cubrir las funciones de una parte de la Cmara de Diputados que actualmente no es auditada, la Direccin General de Tecnologas de Informacin; 2. La eficiencia, eficacia y calidad de las auditoras que se realizan en el rgano se vern beneficiadas por la capacitacin adecuada del per sonal y la consecuente automatizacin de procedimientos, que dejarn de ser tradicionales para estar a la vanguardia. 3. El crecimiento constante de la Direccin General de Tecnologas de Informacin eventualmente obligar a la Subcontralora de Auditora a implantar procedimientos para auditarla, es por ello que ser benfico aplicar estos procedimientos antes de ser rebasados en un futuro por esta problemtica, es decir tomas medidas preventivas antes de afrontar una contingencia seria en la Cmara de Diputados. Por lo anterior, en los siguientes puntos detallamos la propuesta especfica que contempla cuales seran las actualizaciones ms adecuadas para lograr este objetivo, comenzando por proponer los cambios pertinentes en la normatividad a ctual, cul sera su nueva estructura orgnica, proponemos las nuevas funciones del rea de auditora en informtica de acuerdo a las nuevas tendencias de la auditora en Tecnologas de Informacin mundiales; asimismo, de entre las diferentes herramientas y tcnicas de auditora en informtica, seleccionamos aquellas que resultaran ms convenientes de acuerdo a las caractersticas especficas de la Subcontralora de Auditora as como de la Direccin General de Tecnologas de Informacin, tomando en cuanta su tamao, su capacidad y tecnologa actual.

Objetivo
Evaluar el desempeo de los sistemas informticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la Informacin as como un elevado nivel de seguridad.

Realizar auditoras operacionales, integrales, especiales y de cumplimiento al rea de sistemas, ayudando en la gestin de control de la Auditora Interna y buscando las reas de oportunidad. 1. 2. 3. Evaluar los controles establecidos para proteger los bienes institucionales, referente al manejo hardware, software y valores. Proporcionar al rgano Legislativo, un conocimiento de la situacin informtica real del rea de Sistemas. Realizar auditoras operacionales, integrales, especiales y de cumplimiento a aquellas reas administrativas y Grupos Parlamentarios que as lo requieran.

El rea de Auditora Informtica, como parte de la SubContralora de la H. Cmara de Diputados tendr como misin y visin, los que a continuacin se describe:

Justificaci n de la creaci n del rea

Es bien sabido que actualmente existe la necesidad de crear un mbito de seguridad en cualquier organizacin, debido al aumento de casos internacionales de fraudes tanto contables como informticos, como ya se mencion anteriormente el activo ms valioso de casi cualquier organizacin actualmente es precisamente la informacin, este es el caso de la Cmara de Diputados. En base a los anlisis realizados, se propone la creacin de un rea de Auditora Informtica que proporcione seguridad y control en el mbito tecnolgico, misma que deber promover elevar la cultura informtica tanto dentro de la Subcontralora de Auditora, como en el resto de la Cmara de Diputados. Esta rea deber estar encargada de constatar que se sigan procedimien tos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la informacin y prevean las posibles contingencias en cuanto a la seguridad de la informacin que se maneja en este rgano, misma que por definicin es muy delicada, asimismo que regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del rea de sistemas de esta Institucin mediante las auditoras correspondientes. Adicionalmente, esta rea deber contar con las actualizaciones sobre las regulaciones de la seguridad informtica, mejores prcticas para aplicarlas a esta Institucin, as como de las nuevas tcnicas de auditora en informtica ya sean manuales o asistidas por computadora, apoyados en profesionales capacitados para mantener sistemas informticos seguros, confiables y confidenciales, que eviten y prevengan la ocurrencia de situaciones de riesgo derivadas de las actuales debilidades en los sistemas de control.

Modificaci n a la normatividad existente

La normatividad que propone ser modificada comienza a nivel del Manual de Organizacin General de la Cmara de Diputados que en Captulo 1, Descripcin del rgano legislativo y de su organo interno de control se menciona textualmente, dentro del objetivo que ah se plasma, deber cambiar de la siguiente forma:

Importante
Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicacin de los recursos financieros, humanos, materiales y tecnolgicos se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin.

Adicionalmente, en el Manual de Organizacin de la Contralora General el texto propuesto es el siguiente:

Importante
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos financieros, humanos, materiales y tecnolgicos de los que dispone la Cmara.

Estructura orgnica de la Subcontralora de Auditora

La reestructuracin de la Subcontralora de Auditora no estar completa si no contempla una modificacin a su estructura orgnica que incluya un rea que se dedique a realizar las funciones propias de la auditora en informtica, como se puede apreciar en la Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados, los puestos de la Subdireccin hacia abajo son genricos, lo que redunda en confusiones en los tramos de contro y funciones, por ello y para acabar con esta l problemtica, adems de incluir esta nueva rea se propone que el Organigrma de la Subcontralora detalle los nombres especficos de los puestos. La nueva estructura orgnica de la Subcontralora de Auditora deber establecerse como se indica en la Figura 5.1, Nueva estructura orgnica para la Subcontralora de Auditora.

Figura 5.1. Nueva estructura orgnica para la Subcontralora de Auditora

Misin, visin y funciones del rea de Auditora Informtica.

En esta parte del capitulo, sern presentadas las funciones que deber realizar el rea de Auditora Informtica, como parte de la Subcontralora de la H. Cmara de Diputados; mismas que han sido definidas para la realizacin de auditorias internas dentro de ste rgano Legislativo. Misin. Brindar a travs de las auditoras, la informacin suficiente y competente, que permita la implementacin de controles para una mejora continua que ayude a la prevencin de delitos informticos. Visin. Consolidar el rea de Auditor a I nformtica, como un rea que pueda prever apoyo y asesora a la H. Cmara de Diputados, para el cumplimiento de sus metas institucionales. Funciones. El rea de Auditora Informtica deber realizar las actividades correspondientes a la verificacin de los controles internos establecidos en el rea de Sistemas as como estudios de seguridad fsica y lgica; anlisis de los riesgos a que est expuesta la informacin y los equipos y la elaboracin de documentacin que en las auditoras sea requerida. Adems d eber promover elevar la cultura informtica tanto dentro de la Subcontralora de Auditora, como en el resto de la Cmara de Diputados, constatar que se sigan procedimientos que aseguren la confidencialidad,

confiabilidad y disponibilidad de los datos, garanticen la seguridad de la informacin y prevean las posibles contingencias en cuanto a la seguridad de la informacin que se maneja en este rgano, misma que por definicin es muy delicada, asimismo que regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del rea de sistemas de esta Institucin mediante las auditoras correspondientes. A continuacin se listan las funciones principales que esta rea, deber llevar a cabo. 1. Elaboracin de planes de trabajo para llevar a cabo auditoras en informtica y el desarrollo de actividades apropiadas que permitan maximizar la eficacia del rea de sistemas. 2. 3. 4. 5. 6. Elaboracin de cuestionarios, encuestas, matrices y herramientas que ayuden al levantamiento de la informacin para el debido desarrollo de las auditoras. Implementacin de los planes de trabajo llevando un control de las actividades a realizar en tiempos estimados reales. Evaluacin de sistemas, procedimientos y equipos de cmputo. Verificar que los activos, estn debidamente controlados y salvaguardados contra prdida y mal uso. Evaluar los resultados de los programas operativos que realice el rea de Sistemas para conocer eficiencia y efectividad con que se han utilizado los recursos. 7. Comprobar Institucin. 8. Realizar auditoras y estudios especiales de acuerdo con programas y especiales debidamente respaldados por las Normas pa el ejercicio profesional de la ra Auditora Interna. 9. Evaluar la problemtica del rea de Sistemas a travs de un pre -anlisis de la situacin del rea, para la determinacin de las principales necesidades de sta. mediante los informes de auditora. 11. Comprobar que el rea de Sistemas ha tomado las medidas correctivas de los informes de la Auditora Interna as como de las omisiones que al respecto se verifiquen en el seguimiento de informes. 12. Evaluacin de los controles de seguridades lgicas y fsicas que garanticen la integridad, confidencialidad y disponibilidad de los datos de esta institucin. 13. Constatar que el rea de sistemas se riga por los procedimientos ms adecuados para garantizar el adecuado funcionamiento de la red de trabajo. 14. Evaluacin de los riegos y controles establecidos para la bsqueda e identificacin de debilidades, as como de las reas de oportunidad 15. Evaluar la existencia de polticas[47], objetivos[48], normas[49], metodologas[50],
[51] de los recursos, as como la asignacin de tareas y adecuada administracin humanos e informticos.

el

cumplimiento

de

mandatos

constitucionales,

legales

reglamentarios, polticas, planes y acuerdos normativos que rigen a la

10. Comunicar los resultados y recomendaciones que resulten de sus evaluaciones,

16. Generar el Archivo de Papeles de Trabajo con la documentacin las auditoras realizadas.

Tipos de auditora que realizar el rea de Auditora Informtica.

1. 2. 3. 4. Auditora a Sistemas de Informacin, Auditora a las Comunicaciones, Auditora a la Red Fsica, y Auditora a la Red Lgica.

Metodologa para la realizacin de auditoras informticas

Para la realizacin especifica de auditoras en informtica se propone tambin se propone una metodologa especifica, misma que se menciona a continuacin:

y Conocimiento general del rea de sistemas o Organigrama o Estructura del rea o departamento o Relaciones funcionales y jerrquicas o Recursos (equipos con los que se cuenta) o Aplicaciones en desarrollo o Aplicaciones en produccin o Sistemas de explotacin y Planificacin o Concentracin de objetivos o Definicin de objetivos y alcances o Personas de la organizacin que se involucrarn en el proceso de auditora o Plan de trabajo  Tareas  Calendario  Resultados parciales  Presupuesto y Desarrollo de la auditora o Entrevistas o Cuestionarios o Observacin de las situaciones deficientes o Observacin de los procedimientos y Fase de diagnstico o Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles
tipos de solucin y mejora

y Presentacin de conclusiones o Integracin de soporte documental o Formulacin de cdulas de observaciones y papeles de trabajo o Informe final y Formacin del plan de mejoras o Resumen de las deficiencias encontradas

o Recoger las recomendaciones encaminadas a paliar las deficiencias

detectadas

o Medidas a corto plazo: mejoras en plazo, calidad, planificacin o formacin o Medidas a medio plazo: mayor necesidad de recursos, optimizacin de
programas o documentacin y aspectos de diseo

o Medidas a largo plazo: cambios en polticas, medios y estructuras del

servicio

o Seguimiento de cumplimiento de recomendaciones

Gua de auditora
Existirn tantas guas de auditora como procedimientos se realicen, s embargo, a in manera de ejemplo, se presenta la siguiente gua como propuesta de las subsecuentes:

Unidad administrativa Punto de revisin Aspectos a revisar

Objetivos

Objetivo general:

Verificar que la seguridad fsica y lgica en la red de la H. Cmara de Diputados que maneja la Direccin General de Tecnologas de Informacin. Actividades:

Direccin General de 1.- Conocimiento general de la Direccin General de Tecnologas de Tecnologas de Informacin a fin de conocer sus instalaciones, tamao, condiciones Informacin de trabajo, software, hardware, estructura, etc. 2.- Definicin de objetivos y alcances de auditora claros y bien delimitados de acuerdo a la magnitud del rea a revisar. 3.- Realizacin de Grfica de GANTT para planeacin de actividades y tiempos estimados de inicio y trmino de auditora. 4.- Preparacin del formato de oficio de presentacin. 5.- Preparacin del cuestionario de control interno y dems material de apoyo. 6.- Conocimiento previo de los manuales de procedimientos, manuales de organizacin, planes de contingencia, recuperacin, lineamientos, polticas, normas, reglamentos, procedimientos, etc., existentes en el rea. 7.- Preparacin de pruebas de cumplimiento, para la realizacin de

Unidad administrativa

Objetivos pruebas generales y especficas a fin de cubrir el alcance de la revisin. 8.- Preparacin del material de apoyo, formato de cdulas de marcas, gua de auditora, cuestionario, checklist, formato de papeles de trabajo, cdulas de observaciones, etc. 9.- Aplicacin del oficio de presentacin. 10.- Pltica con el equipo, para determinar el desarrollo de la auditora y actividades a realizar. 11.- Levantamiento de la informacin. Aplicacin de tcnicas de auditora y material de apoyo previamente diseado para la obtencin de informacin. 12.- Anlisis de la informacin.- Deteccin de debilidades de control, identificacin de observaciones por medio del anlisis de la informacin recabada. As como determinacin de causas e impactos. 13.- Integracin de Papeles de trabajo.- Apoyados en las pruebas necesarias, como son los cuestionarios, fotografas o cualquier tipo de constancia de hechos. 14.- Confirmacin de observaciones.- Verificar que las observaciones estn fundamentadas y que se cuenta con la evidencia suficiente para presentar las observaciones levantadas. 15.- Identificacin de niveles de riesgo.- Por medio del anlisis de la informacin de cada una de las observaciones, se le asocia un nivel de riesgo; inminente, potencial o controlable. 16.- Consolidacin de niveles de riesgo.- Agrupacin de observaciones comunes, con objeto de determinar las debilidades y sugerencias de forma general. 17.- Elaboracin del informe final. 18.- Actividades finales de papeles de trabajo.
m

Requerimientos para creaci n del rea de Auditoria Informtica

Dados los antecedentes con los que contamos sobre la estructura de la Subcontralora Auditora de la H. Cmara de Diputados, su conformacin y los activos informticos con

los que cuenta, a continuacin realizamos la propuesta de los requerimientos que sern necesarios para el funcionamiento de la nueva rea.

Requerimientos de hard are y soft are

En este apartado proponemos la herramienta y el equipo que ser necesario para la implantacin de esta nueva rea. Los factores relevantes para la determinacin de la adquisicin de estos activos son los siguientes:
n n

y Proveedor CYNTHUS y Herramienta DELOS y Mejor Practica COBIT y Precio $26000 dls (herramienta y mejor prctica) y Cantidad de equipos existentes 18 PC y Cantidad de equipos necesarios 6 laptop adicionales y Caractersticas de equipos modelo Pentium 4 y Equipos auxiliares SQL Server

Requerimientos de personal
Puestos Direccin General Subdireccin Jefe Departamento Auditores de Plazas 1 1 1 1 5 3 2 5 Experiencia en el puesto B B C C Capacitacin requerida 24 24 24 24 Horas de capacitacin

Claves
Tipo de capacitacin Requerida A. Principiante B. Intermedio C. Avanzado

Pasos a realizar para la implantaci n del rea

Derivado de este informe, se determina que los pasos ms recomendables para la implantacin del rea de auditora en informtica son los siguientes: 1. 2. 3. 4. 5. Presentar la propuesta al Comit de Administracin para la implantacin del rea de auditora en informtica. Revisin de la propuesta para la implantacin del rea. Aprobacin de la propuesta. Modificaciones a la estructura orgnica y normatividad pertinente. Solicitud de recursos para infraestructura, personal, software y/o capacitacin.
o

6. 7. 8. 9.

Remodelacin de reas. Contratacin y/o capacitacin de personal. Adquisicin de equipo de hardware. Adquisicin de software especializado.

10. Inclusin de la(s) auditora(s) en el PACA. 11. Aplicacin de la metodologa para las revisiones al rea de sistemas.

[47] [48]

http://www.monografias.com/trabajos10/poli/poli.shtml

http://www.monografias.com/trabajos16/objetivos-educacion/objetivoseducacion.shtml"
[49]

http://www.monografias.com/trabajos4/leyes/leyes.shtml http://www.monografias.com/trabajos11/metods/metods.shtml http://www.monografias.com/Administracion_y_Finanzas/index.shtml

[50] [51]

Propuesta de mejor prctica

El objetivo que se persigue al establecer que el rea de auditora en informtica haga uso de una mejor prctica es promover una cultura inf ormtica que ayude al cumplimiento de las metas organizacionales de seguridad y calidad de la informacin respaldadas por una organizacin mundial que aporte la experiencia en este campo, mediante el establecimiento de controles.

Justificaci n
La misin y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores. COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los usuarios y los auditores de cualquier tipo. Hemos considerado que COBIT es la mejor prctica que podra ser de mayor utilidad a la Subcontralora de Auditora, debido a que provee a la administracin un entendimiento de los principios y conceptos claves sobre los requerimientos del negocio para la informacin e impactos preliminares de recursos de TI a detalle en sus 34 Objetivos de Control de TI. COBIT prever al negocio de guas de auditora, las cuales contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control, estas guas sern un macro para asistir a los auditores de sistemas de informacin en cuanto a las en revisiones de los procesos de TI y la seguridad de la administracin.

Objetivo Importante
Preparar a los funcionarios en temas como auditora, seguridad y control de TI. As com en o impulsar la investigacin y el desarrollo de temas sobre seguridad y riesgos en cuanto al uso de TI.

Propuesta de herramienta CAAT

Del anlisis realizado en Captulo 4, Anlisis de informacin, determinamos que es importante la implantacin de una herramienta CAAT dados los beneficios que estas proveen a la organizacin. Esencialmente el uso de una herramienta CAAT mejorara favorablemente la realizacin de las actividades de la Subcontralora de Auditora principalmente en lo que se refiere a los tiempos de realizacin de las actividades que actualmente se desempean as, como en las que se han propuesto para la nueva rea de auditora en informtica. De las 3 herramientas que fueron comparadas, hemos determinado que DelosByCynthus es la que proporciona mayores beneficios y mayor funcionalidad, adems de ser la que se adapta al 100% a las necesidades esp ecficas del rea. Adicionalmente Delos como propuesta de herramienta CAAT incorpora todos los componentes de COBIT y es un complemento ideal para el software de extraccin y anlisis de datos (IDEA), ya que permite identificar las causas (deficiencias en el control interno de TI) de posibles inconsistencias en los archivos de datos.

Captulo 6. Conclusin
Durante el desarrollo de este informe de seminario de tesis, podemos observar que en la Cmara de Diputados las tecnologas de informacin no han sido c ontroladas por su rgano de Control Interno, siendo este la Subcontralora de Auditora, y debido a la creciente dependencia de toda organizacin en su activo informtico ms importante la informacin, sta debe ser correctamente gestionada, controlada y asegurada por medio de controles que prevengan la ocurrencia de situaciones de riesgo para la organizacin y que a su vez asegure su integridad, disponibilidad y confidencialidad tanto de los datos como de los procesos, asimismo, contar con mecanismos de recuperacin. La propuesta de la creacin de un rea de auditora en informtica, debern estar apoyada en las nuevas tcnicas y procedimientos de auditora como son anlisis de datos de prueba, simulacin paralela, paquetes de auditora, software de audit ra, o juegos de prueba, entre otros. De manera importante, se concluye que los productos de software especiales para la auditora informtica son de particular importancia para el apoyo de la labor de auditora, no solo en informtica, sino de cualquier rea debido a la facilidad con que el auditor podr manipular la Informacin con algunas de las antes mencionadas tcnicas y procedimientos de auditora informtica.

Para lo cual, y en base a los anlisis efectuados se recomienda el uso de las tcnicas de auditora asistidas por computadora, ya que son de gran utilidad para un rea de auditora informtica, debido a que con su uso se obtiene considerables beneficios tanto para la Subcontralora de Auditora como para la Cmara de Diputados, como son: reduccin de los tiempos hombre por concepto de realizacin de papeles de trabajo e informes de auditora y mayor dedicacin al trabajo sustantivo y pruebas de cumplimiento, mejora de la calidad en la presentacin y contenido de cada auditora, aumento de programacin y cumplimiento, estandarizacin del trabajo de auditora y reduccin de costos para la realizacin de las mismas por insumos. Como ltimo factor de decisin para la seleccin de esta herramienta fue su costo y los beneficios que conlleva la propuesta, ya que es ms bajo que el las dems comparando los beneficios que esta provee y sus funcionalidades extras. Es muy importante mencionar que dentro del anlisis de costo beneficio pudimos percatarnos que la organizacin no cuentan con los suficientes eleme ntos para el buen funcionamiento de un rea de auditora dentro de la Subcontralora de Auditora. Concluimos, por tanto que esta propuesta aportar considerables beneficios a la Contralora Interna, los principales son mayor eficiencia en el trabajo, cont con una ar base de conocimiento que pueda retroalimentar a los auditores y apoyar sus funciones, flexibilidad de procesos, estandarizacin y control, adaptabilidad a los diferentes procesos, mayor comunicacin, reduccin de costos y aprovechamiento de recu rsos materiales y humanos, garantizar la seguridad, confiabilidad y disponibilidad de los datos, facilidad en el manejo de la informacin y mayor integracin en los equipos de trabajo.

Captulo 7. Bibliografa
Tabla de contenidos

Libros Referencias en Internet

Libros
[bib-solis-2002] Reingeniera de la Auditora Informtica. Gustavo Adolfo. Sols Montes.
2002. Trillas. Mxico.

Metodologa de la Investigacin. Roberto. Hernndez Sapieri. Segunda Edicin. 1997. McGraw-Hill. Mxico. Constitucin Poltica de los Estados Unidos Mexicanos . http://constitucion.presidencia.gob.mx/index.php?idseccion=211 . Normas y Procedimientos de Auditora. Comisin de Normas y Procedimientos de Auditora, Instituto Mexicano de Contadores Pblicos. 2 Edicin. Agosto de 2000. ANFECA. Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados.

Letras de oro en los muros de honor de la Cmara de Diputados. Comisin de Reglamentos y Prcticas Parlamentarias LIX Legislatura. Primera Edicin. Agosto de 2003. Vargas Impresores, S.A. [bib-ti-complejos] Formulacin de mejores prcticas para entornos TI Complejos Eli . Egozi, Mike Stephenson, y John Kampman. Auditora informtica en la empresa. Juan Jos Archa Itumendi. Ed. Paraninfo. Auditora Informtica. Mario G. Piattini y Emilio Peso Navarro. Ed. RA-MA. [bib-guia-17799] MANAGEMENT SYSTEMS Gua para la implementacin del Sistema de Gestin de Seguridad de la Informacin ISO 17799. Miguel Daz S.. Auditora informtica: un enfoque prctico. 2 Edicin, ampliada y revisada. [bib-rusbacki-2004] Sarbanes-Oxley, IT Governance and Enterprise Change Management. Tim Rusbacki. 2004. MKS White Paper. [bib-kearns-1994] Benchmarking. David T. Kearns. Primera edicin. 1994. Tcnicas de la auditora inforrmtica. YannDerrien. Ed. Marcombo. [bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP). [bib-zavaro-martinez] Auditora informtica, las tcnicas de auditora asistidas por computadora (CAAT). L. Zavaro y C. Martnez. Formulacin y Evaluacin de Proyectos. Francisco Baca Urbina. Tcnicas de los Costos. Sealtiel Alatriste. Auditora en Informtica. Jos A. Echenique. McGraw-Hill. Auditora en Centros de Cmputo. David H Li. Ed. Trillas. [bib-manual-camara-diputados] Manual de Organizacin General de la Cmara de Diputados .http://cddhcu.gob.mx/organiza.html . Instituto de Auditores Internos de Espaa. . V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico. 1985. . [bib-conceptos-itil] Conceptos Generales sobre ITIL .Lic. . Patricia Combalia. itSMF Argentina. Buenos Aires. 22 Abril 2005. [bib-sun-itil] Soporte de Microsystems.http://www.sun.es/services/itil . [bib-camara-diputados-web] http://cddhcu.gob.mx/ . Pgina oficial servicios de la Cmara ITIL. de Sun

Diputados.

[bib-isaca-mx] Isaca captulo Ciudad de Mxico, A.Chttp://www.isaca.com.mx/. [bib-novell-sarbanes-oxley] A Flexible Approach for Sarbanes-Oxley and Other Business Drivers,White Paper. Novell. 2004. .

Referencias en Internet
y y y y
http://www.cibertec.edu.pe/modulos/noticias.asp?ARE=1&PFL=2&NOT= 912 http://www.datasec.com.uy/index.php?option=content&task=view&id=6 5&Itemid=62 http://www.emb.cl/gerencia/articulo.mv?sec=14&num=85 http://www.isaca.org.mx

y y y y y y y y y y y y y y y y y

http://www.economia.gob.mx http://www.tecnologiaempresarial.info/circuito5.asp?id_nota=10568&ids =2 http://www.info.ccss.sa.cr Comit Directivo de CobiT/ISACA http://www.datasec.com.uy/ oxely-coso.pdf http://www.theiia.org/index.cfm?doc_id=56 http://www.theiia.org/ http://www.theiia.org/index.cfm?doc_id=5119 http://www.facpece.org.ar/boletines/37/60a-confederacion.htm http://www.isaca.org http://www.theiia.org/index.cfm?doc_id=56 http://www.inei.gob.pe/web/metodologias/attach/lib604/cap3 -6.htm http://www.glosarium.com/term/178,12,xhtml http://www.inei.gob.pe/web/metodologias/attach/lib604/htm http://www.glosarium.com/term/178,12,xhtml http://www.itlp.edu.mx/publica/tutoriales/desproyectos/tema%203_1.ht m http://Ilustrados.com/Publicaciones/Epyfapup.php