UNIVERSIDAD NACIONAL
SISTEMA DE ESTUDIOS DE POSTGRADO
MAESTRIA EN ADMINISTRACION DE
TECNOLOGÍA DE INFORMACIÓN
CURSO PROYECTO INTEGRADO II
PROYECTO DE APLICACIÓN PRACTICA DE TECNOLOGÍA DE INFORMACION
PROPUESTA PARA IMPLANTAR LA AUDITORÍA DE TECNOLOGÍA
DE LA INFORMACION EN EL MINISTERIO DE HACIENDA
Clairé Chacón Rodríguez
José Adrián Vargas Barrantes
Heredia, Costa Rica, agosto del 2001
PROPUESTA PARA IMPLANTAR LA AUDITORÍA DE TECNOLOGÍA DE LA
INFORMACION EN EL MINISTERIO DE HACIENDA
INDICE GENERAL
RESUMEN EJECUTIVO................................................................................................................I
CAPITULO 1.................................................................................................................................1
INTRODUCCION...........................................................................................................................1
CAPITULO 2.................................................................................................................................7
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI...........................7
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI................................................................7
2.1.1 Enfoque De Antonio Echenique........................................................................................7
2.1.2 Enfoque de Sandra García..............................................................................................11
2.1.3 Enfoque de Manuel Arauz...............................................................................................13
2.1.4 Enfoque de Xiomar Delgado...........................................................................................15
2.1.5 Enfoque De Mario Piattini Y Otros..................................................................................21
2.1.6 Enfoque de la Fundación para el Control y Auditoría de Sistemas de Información (Modelo COBIT).........................................................................................................................29
2.1.7 Consideraciones sobre los Diferentes Enfoques.........................................................33
2.2 SITUACIÓN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA..................36
2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI.....................................................................................................................................................40
2.3.1 Criterios de selección......................................................................................................40
2.3.2 Descripción del Modelo Propuesto................................................................................41
CAPITULO 3...............................................................................................................................55
PROPUESTA DE ORGANIZACIÓN DE LA AUDITORIA DE TECNOLOGIA DE LA INFORMACIÓN...........................................................................................................................55
3.1 ASPECTOS CONCEPTUALES Y LEGALES.....................................................................55
3.1.1 Control Interno Informático.............................................................................................55
3.1.2 Auditoría de TI..................................................................................................................56
3.1.3 Normativa sobre evaluación de sistemas de información computadorizada............57
3.1.4 Normativa sobre las auditorías internas........................................................................57
3.1.5 Perfil del Auditor de Tecnología de Información..........................................................58
3.1.6 Principios para el Ejercicio de la Auditoria de TI..........................................................59
3.2 ORGANIZACIÓN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA........63
3.2.1 Antecedentes....................................................................................................................63
3.2.2 Objetivo General de la Auditoría Interna........................................................................65
3.2.3 Misión, Visión y Valores..................................................................................................65
3.2.4 Funciones..........................................................................................................................66
3.2.5 Organización.....................................................................................................................68
3.2.6 Recursos Humanos..........................................................................................................69
3.3 PROPUESTA DE ORGANIZACIÓN y REQUERIMIENTOS DE RECURSOS HUMANOS70
3.3.1 Organización de la Auditoría de TI................................................................................71
3.3.2 Recursos Humanos..........................................................................................................75
CAPITULO 4...............................................................................................................................77
PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA.....................................................................................................................................................77
4.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA AUDITORÍA.................................................................................................................................77
4.2 HERRAMIENTAS INFORMÁTICAS DE APOYO A ADMINISTRACIÓN DE LA AUDITORIA.................................................................................................................................78
4.2.1 Algunos Ejemplos de Herramientas Computadorizadas de Apoyo a la Administración de la Auditoría................................................................................................86
4.3 HERRAMIENTAS INFORMÁTICAS DE APOYO FUNCION DE AUDITORIA DE TI......93
4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la función de Auditoría de TI.........................................................................................................................100
4.4 ELEMENTOS PARA UNA DECISIÓN SOBRE HERRAMIENTAS COMPUTADORIZADAS...........................................................................................................108
4.4.1 Situación Actual de TI en la Dirección General de Auditoría Interna........................108
4.4.2 TI en el Ministerio de Hacienda.....................................................................................109
4.4.3 Modelo metodológico recomendado para la auditoría...............................................110
4.4.4 Proceso de Creación y Desarrollo de la Auditoría de TI............................................110
4.4.5 Requerimientos de Hardware......................................................................................111
4.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS.......................................111
4.5.1 Herramientas de Apoyo a la Administración de la TI.................................................111
4.5.2 Herramientas de Apoyo a la Administración de la Auditoría.....................................112
4.5.3 Herramientas de Apoyo a la Función de Auditoría.....................................................113
CAPITULO 5.............................................................................................................................115
PLAN OPERATIVO PARA LA INTRODUCCIÓN DE LA AUDITORIA DE TI.........................115
5.1 CONSIDERACIONES ESTRATÉGICAS............................................................................115
5.1.1 Aportes de la Administración.......................................................................................115
5.1.2 Alcance del Plan.............................................................................................................116
5.1.3 Organización para el Desarrollo del Plan....................................................................118
5.1.4 Riesgos............................................................................................................................118
5.2 COMPONENTES DEL PLAN OPERATIVO.......................................................................119
5.3 UNA APROXIMACIÓN A LOS COSTOS..........................................................................132
CAPITULO 6.............................................................................................................................134
CONCLUSIONES Y RECOMENDACIONES............................................................................134
BIBLIOGRAFÍA.........................................................................................................................138
SITIOS CONSULTADOS..........................................................................................................139
INDICE DE ANEXOS
ANEXO 1...................................................................................................................................141
PARTICIPANTES PROYECTO COBIT 2000...........................................................................141
ANEXO NO.2............................................................................................................................143
LISTA DE PROVEEDORES Y PRODUCTOS CAATTS..........................................................143
ANEXO 3...................................................................................................................................149
ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edición...............149
DEDICATORIA
A Dios, Fuente de Luz y Esperanza.
A mis padres, Miguel Angel y Amparo Claudia, símbolo de amor, trabajo y bondad.
A mis hijas, Ivania, Hailín y Lizeth, quienes con su amor y comprensión fueron mi fuente de energía e inspiración.
A mi hermana Yalili y a su hijo José Pablo, quienes con su apoyo y cariño, estimularon mis deseos de superación.
Mi sincero agradecimiento a mi compañero José Adrián, a su esposa Sandra y a sus hijos, Alicia, Esteban, Eduardo, Mariel y Andrea, de quienes recibí mucho cariño, apoyo y comprensión para seguir adelante.
Clairé
DEDICATORIA
Dedico este esfuerzo en primer lugar a Dios, quienes creemos en El
sabemos por fe que no solo es Todopoderoso sino que en su infinito amor
nos guía y fortalece día a día. Gracias a El he tenido el apoyo de una
mujer muy especial con la que comparto mi vida, mi esposa Sandra, quien
no solo tuvo comprensión para aceptar las ausencias y privaciones, sino
que también nos acompañó y apoyó en muchos momentos de este
esfuerzo. A El reconozco la comprensión de mis adorados hijos e hijas,
Alicia, Esteban, Eduardo, Mariel y la pequeña Andrea, ellos no solo han
sido testigos sino que también han tenido que entender porqué su papá
no pudo muchas veces acompañarlos en juegos, paseos o en sus
estudios. A Clairé y su familia, con quienes esta experiencia ha hecho
nacer una amistad que tiene mayor valor que todos los otros frutos de los
estudios realizados.
José Adrián
AGRADECIMIENTO
Agradecemos al Ministerio de Hacienda la oportunidad que nos brindó para cursar el Programa de Maestría así como realizar este proyecto de aplicación práctica abordando un tema de interés institucional.
A la Directora General de Auditoría Interna del Ministerio, Licda Rosalía Calderón Gamboa, quien no sólo fue la patrocinadora del proyecto sino que siempre estuvo dispuesta a dedicarnos tiempo para analizar y comentar temas de nuestro interés y facilitó en lo que estuvo a su alcance la realización del proyecto.
Al Máster Luis Chaves Monge, quien como tutor supo orientarnos y presentarnos de manera respetuosa y llena de sabiduría sugerencias y observaciones que contribuyeron a lograr una mayor calidad de nuestro proyecto, y además logró motivarnos en los momentos de dificultad.
A los profesores Máster José Arrieta Salazar y Máster Javier León Mora, quienes orientaron nuestro esfuerzo y con su seguimiento motivaron la constancia y la búsqueda de la excelencia.
A los que mediante entrevistas, facilitación de documentos o sugerencias nos permitieron reunir la información necesaria y enriquecer nuestros criterios.
A todos ....MUCHAS GRACIAS .
Resumen Ejecutivo
RESUMEN EJECUTIVO
El presente documento es el resultado del proyecto de aplicación práctica de tecnología de la
información realizado en el marco del curso Proyecto Integrado II del programa de Maestría en
Administración de Tecnología de la Información y representa una respuesta a la problemática
descrita en el Diagnóstico sobre Auditoría de Sistemas en el Ministerio de Hacienda, elaborado
en el curso Proyecto Integrado I, del mismo programa.
Conforme con lo indicado, pretende como objetivo general promover la implantación de la
Auditoría de Tecnología de la Información en el Ministerio de Hacienda, mediante la
estructuración de una propuesta que considere aspectos organizacionales, recursos humanos
y tecnológicos, así como un plan de trabajo concreto para este fin.
Complementariamente, se plantean los siguientes objetivos específicos:
Definir un modelo metodológico operativo para el desarrollo de la función de la Auditoría
de Tecnología de Información en el Ministerio de Hacienda.
Elaborar una propuesta de organización para la función de la Auditoría de Tecnología
de Información en el Ministerio de Hacienda.
Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,
conocidas como CAATTs por sus siglas en inglés “Computer Assisted Auditor Technics
and Tools”; necesarias para la implantación de la Auditoría de Tecnología de la
Información en el Ministerio de Hacienda.
Estructurar un plan de trabajo específico para la implantación de la Auditoría de
Tecnología de la Información en el Ministerio.
En cuanto a metodología, el estudio se apoya en la investigación bibliográfica, la búsqueda de
información por medio de Internet, la recopilación directa de información mediante observación.
i
Resumen Ejecutivo
Adicionalmente se retoman algunos elementos del análisis de la experiencia de otras
instituciones, realizado como parte del diagnóstico ya comentado.
La propuesta elaborada incorpora los siguientes elementos:
La utilización del modelo elaborado por la Information Systems Audit. And Control
Association –ISACA- denominado Objetivos de Control para la Información y
Tecnologías Afines (COBIT) como modelo metodológico operativo para el desarrollo de
la función de Auditoría de Tecnología de la Información.
Ubicación de la función de auditoría de Tecnología de la Información en el Ministerio de
Hacienda en la Dirección General de Auditoría Interna, mediante la creación del Area
de Auditoría de Tecnología de la Información en dicha Dirección, conformada
inicialmente con un Coordinador General de Area y dos profesionales en informática.
Adquisición de la herramienta computadorizada COBIT Management Advisor como
apoyo a la administración de la Tecnología de la Información y para ser utilizada por las
principales áreas informáticas del Ministerio.
La adquisición de una herramienta de apoyo a la gestión de la auditoría, otra para la
función de Auditoría de TI y una herramienta para la evaluación del riesgo. Como
herramienta de apoyo a la función de la auditoría de Tecnología de la Información se
recomienda la adquisición del COBIT Advisor, herramienta que es congruente con el
modelo recomendado y adicionalmente presenta importantes fortalezas.
Asignación de recursos para la adquisición de nuevo equipo para la Dirección General
de Auditoría Interna, conforme con los requerimientos del software que se decida
adquirir.
Orientación de los primeros esfuerzos al fortalecimiento del ambiente de control, para lo
cual se considera conveniente iniciar con la evaluación del dominio del modelo COBIT
sobre Planeación y Organización, concretamente en tres subdominios o procesos:
Evaluación y Seguimiento del Plan estratégico, Definición de la Organización y
Relaciones de TI y Evaluación del Riesgo.
ii
Resumen Ejecutivo
Asimismo, aunque el plan operativo no incluye las actividades que le corresponderá realizar a
la Administración, se considera oportuno exponer los principales aportes que ésta deberá
concretar como condiciones necesarias para el adecuado funcionamiento de la Auditoría de
Tecnología de la Información en el Ministerio de Hacienda, se plantean los siguientes:
Compromiso de la Administración: La Administración debe asumir la
responsabilidad que le es propia en cuanto al diseño, implantación, actualización y
perfeccionamiento del sistema de control interno. Por grandes que sean los esfuerzos
y aportes de la auditoría, no habrá valor agregado en el tanto la Administración no
asuma ese papel y se comprometa con la implantación de las recomendaciones que
aquella presente como resultado de sus evaluaciones.
Disponibilidad de recursos: La Administración debe asignar los recursos
financieros y humanos requeridos para la implantación de la propuesta. En el
apartado sobre costos estimados, se muestra la inversión inicial en adquisición de
equipo, software, recurso humano adicional y capacitación del personal de la
Dirección General de Auditoría Interna, sin la cual evidentemente no será posible
llevar a cabo la propuesta.
Adquisición de la herramienta COBIT Management Advisor por parte de la
Administración. Como un elemento más del alineamiento de los esfuerzos de la
Aadministración y de la Auditoría de Tecnología dela Información para fortalecer el
sistema de control interno se requiere que ambas partes tengan un mismo enfoque y
se orienten hacia la consecución de los mismos objetivos.
Elaboración del Plan Estratégico Tecnológico, actualmente en proceso, e
inclusión de la Auditoría de Tecnología de la Información dentro del mismo. La
conclusión de este Plan Estratégico Tecnológico y la puesta en marcha del mismo
como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo
tecnológico, será la base fundamental para el accionar de la Auditoría de Tecnología
de la Información.
iii
Resumen Ejecutivo
Además es necesario que dicho Plan conceptúe apropiadamente el rol de la auditoría y
su aporte para el alineamiento de la gestión de la TI y los objetivos del negocio y en
consecuencia considere, tal y como fue manifestado por el equipo de trabajo encargado
de su elaboración, la introducción de la Auditoría de Tecnología de la Información como
uno de sus componentes y proyectos prioritarios.
Con el propósito de establecer de manera específica las acciones que deberán desarrollarse
para ejecutar la propuesta, el documento incorpora un plan de operativo, establecido para lo
que podría considerarse una primera etapa, en la que el objetivo será “ lograr la consolidación
de la organización administrativa de la Auditoría de Tecnología de la Información y la
asignación de recursos humanos y tecnológicos mínimos para el desarrollo de esta función y el
fortalecimiento del ambiente de control de TI dentro del Ministerio”; lo que demandará, según el
cronograma de tareas elaborado, un tiempo estimado de dos años y medio.
El plan propuesto se estructura en 9 componentes, a saber: Aprobación del proyecto, Ajuste de
la organización de la Dirección de Auditoría Interna, Asignación de Recursos Financieros,
Contratación de Recurso Humano, Capacitación de Funcionarios, Adquisición de Software,
Adquisición de Equipo de Cómputo y Fortalecimiento del Ambiente de Control.
Como parte del proceso de elaboración del plan operativo se advierte sobre los
principales riesgos que se identifican en torno al proyecto, concretamente:
Insuficiente apoyo de las nuevas autoridades institucionales.
No lograr la contratación de personal idóneo oportunamente.
Atrasos en el proceso de contratación administrativa.
Asimismo, se incluye una primera aproximación a los costos de la ejecución del plan propuesto,
conforme con el cual se requerirá una inversión cercana a los 120,000 dólares, durante los
periodos presupuestarios 2002 y 2003.
Por otra parte, a los efectos de la puesta en práctica de la propuesta se recomienda la
elaboración de un documento de proyecto basado en la propuesta y en los ajustes que la
Dirección General de Auditoría Interna y las autoridades superiores estimen necesarios.
iv
Resumen Ejecutivo
El trabajo elaborado establece con suficiente precisión a nuestro criterio, los esfuerzos y
actividades a desarrollar, queda por ver si además del interés y conciencia sobre la necesidad
de la auditoría de TI en el Ministerio, existe la voluntad y el compromiso. Nos abriga la
esperanza de que dentro de algún tiempo lo que exponemos como propuesta se convierta en
realidad y genere los beneficios esperados.
v
Capítulo 1 Introducción
CAPITULO 1
INTRODUCCION
Como resultado de la investigación realizada en curso Proyecto Integrado I, la cual consideró
un diagnóstico sobre la auditoría de sistemas en el Ministerio de Hacienda, se establecieron
una serie de aspectos que resaltan la necesidad de una evaluación independiente de la gestión
de la Tecnología de la Información (TI). A continuación se retoman los más relevantes para
efectos del objetivo de este documento:
Concepto de auditoría de sistemas vs auditoría de tecnología de la información
Aunque si bien es cierto en la mayoría de los casos los conceptos se utilizan indistintamente,
algunos pretenden diferenciarlos en el sentido de que la auditoría informática se orienta a la
evaluación de la función informática como tal, considerando los diferentes servicios que esta
presta así como los aspectos organizativos asociados a dicha prestación, mientras que la
auditoría de sistemas se refiere a la actividad de la auditoría al evaluar determinado proceso o
área operativa, en la que debe incluirse un análisis sobre los sistemas de información
computadorizados que apoyan dicho proceso.
Por otra parte, más recientemente se ha ido generalizando el concepto de auditoría de
Tecnología de la Información, en un sentido genérico y con el fin de abarcar además algunas
áreas que han tomado mayor relevancia en los últimos años como son las relativas a las
telecomunicaciones, seguridad, aplicaciones en web y herramientas colaborativas, entre otros.
Necesidad de un modelo operativo
Es posible identificar diferentes formas de estructurar las áreas de acción de la auditoría de
sistemas, no obstante, las diferencias entre las mismas responden, no tanto a diferencias en
torno al ámbito de la misma sino a los criterios para la agrupación de las tareas. En
prácticamente todos los casos se identifica separadamente lo relativo a la administración de la
1
Capítulo 1 Introducción
función informática y las restantes áreas se identifican según los criterios particulares sobre la
forma de visualizar la función informática y la importancia relativa de dichas áreas, lo cual se
ve influenciado por los avances de la tecnología de la información. Por lo tanto, la organización
de la auditoría informática en una institución específica requerirá decidir el esquema o modelo
a utilizar, para lo cual es importante considerar las características de la respectiva institución.
Problemática organizacional y del marco regulador: contradicciones e incongruencias
entre la organización real y la normativa.
Aún no se ha logrado consolidar una organización eficiente y funcional para la gestión de la TI
en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se
identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa
debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las
deficiencias de coordinación entre las áreas, se identifican deficiencias y conflictos que
demandan una oportuna atención.
Magnitud de la inversión realizada en hardware, software y recurso humano dedicado a
soportar la gestión de la TI en el Ministerio.
Aunque por limitaciones de registro y control o de entrega de información no fue posible
obtener una estimación concreta del monto, es evidente que el Ministerio de Hacienda ha
realizado en los últimos años una significativa inversión de recursos en Tecnología de la
Información y mantiene una importante cantidad de funcionarios dedicados a soportar la
gestión de la TI. Ello se convierte en una de las justificaciones para la introducción de la
auditoría de TI y otros esfuerzos que se orienten a mejorar dicha gestión.
Cantidad, naturaleza y relevancia de los sistemas de información.
El esfuerzo de introducción y apoyo al desarrollo de la TI en la institución ha llevado a que en la
actualidad los sistemas de información computadorizados, en operación y desarrollo, no solo
son muchos sino que una buena parte de ellos son herramientas fundamentales para la
2
Capítulo 1 Introducción
prestación de los servicios básicos que corresponden a la institución y gestionan información
de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.
Escaso desarrollo de la auditoría de sistemas en el Ministerio.
Conforme la normativa vigente, la función de auditoría de sistemas o auditoría informática
corresponde a la Dirección General de Auditoría Interna, situación que se presenta de igual
manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos
recursos humanos y tecnológicos, las actividades realizadas se limitan a algunos intentos de
auditoría de sistemas en operación, en aplicaciones para el desarrollo de algunos procesos
computadorizados y en estudios de seguimiento a la aplicación de disposiciones de la
Contraloría General de la República, como resultado de las evaluaciones realizadas en
algunos de los sistemas de información en operación. Asimismo, se han emitido criterios y
recomendaciones en diferentes ocasiones sobre esta temática, especialmente en cuanto a
controles de alto nivel.
Responsabilidad de la administración y responsabilidad de la auditoría de sistemas.
De acuerdo con los conceptos básicos sobre control interno y auditoría, es la Administración la
responsable del establecimiento, análisis y mejora continua de los procedimientos y sistemas
de control interno, mientras que la auditoría se orienta a la evaluación de los mismos con
criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos
conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y
mantener falsas expectativas en torno a los aportes y resultados que genera la auditoría de
sistemas.
Conciencia generalizada sobre la conveniencia o necesidad de la auditoría de sistemas.
3
Capítulo 1 Introducción
Existe un consenso evidente en torno a la necesidad de desarrollar la auditoría de sistemas en
la institución, esto es una destacable fortaleza por representar un importante elemento
facilitador para la introducción y consolidación de la auditoría de sistemas en el Ministerio.
Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarán en
el campo de la auditoría de sistemas.
El Ministerio se ha planteado importantes proyectos y retos para los próximos años en materia
tecnológica, lo cual no sólo resulta meritorio sino también una importante fuente de riesgos,
especialmente en torno al tema de la seguridad de los sistemas, especialmente por la línea
establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del
negocio sustantivo.
Principales expectativas en cuanto al aporte de la auditoría de sistemas.
La mayoría de los entrevistados opina que en el Ministerio el perfeccionamiento de los
sistemas de información es uno de los principales aportes que se esperan de la auditoría de
sistemas, ello denota cierta falta de precisión sobre la responsabilidad de la propia
Administración en torno a los controles que debe establecer en la gestión de la TI, de cuyos
esfuerzos dependerá la superación de la problemática identificada en este campo.
Habiendo quedado claramente establecida la necesidad y consenso sobre la importancia de
contar con una unidad que, con criterio profesional e independiente, evalúe el control interno en
las diferentes áreas de la gestión de la tecnología de la información en el Ministerio, es nuestro
interés plantear una propuesta que permita a la institución contar con ese apoyo, del cual se ha
venido hablando desde hace varios años pero sin que se haya logrado concretar hasta ahora.
Conforme con lo indicado anteriormente, la investigación pretende, como objetivo general
promover la implantación de la Auditoría de Tecnología de la Información en el Ministerio de
Hacienda, mediante la estructuración de una propuesta que considere aspectos
4
Capítulo 1 Introducción
organizacionales, recursos humanos y tecnológicos, así como un plan de trabajo concreto para
este fin.
Complementariamente, se plantean los siguientes objetivos específicos:
Definir un modelo metodológico operativo para el desarrollo de la función de la Auditoría
de Tecnología de la Información en el Ministerio de Hacienda.
Elaborar una propuesta de organización para la función de la Auditoría de Tecnología
de la Información en el Ministerio de Hacienda.
Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,
conocidas como CAATTs por sus siglas en inglés “Computer Assisted Auditor Technics
and Tools”; necesarias para la implantación de la Auditoría de TI en el Ministerio de
Hacienda.
Estructurar un plan de trabajo específico para la implantación de la Auditoría de TI en el
Ministerio.
En cuanto a metodología, el estudio se apoya en la investigación bibliográfica, la búsqueda de
información por medio de internet, la recopilación directa de información mediante observación.
Adicionalmente se retoman algunos elementos del análisis comparativo de la experiencia de
otras instituciones realizado como parte del diagnóstico ya comentado.
Como todo estudio, el presente ha tenido que enfrentar limitaciones, que de una u otra forma
han restringido la consecución de los objetivos. En ese sentido, el interés de estructurar una
propuesta que considere los diferentes aspectos junto con la disponibilidad de tiempo para la
realización del estudio, no permiten profundizar en algunos aspectos como la determinación de
cargas de trabajo para la definición de la plantilla ideal para la Auditoría de Tecnología de la
Información ( en adelante Auditoría de TI) o un análisis técnico de las diferentes herramientas
computadorizadas de apoyo a la gestión de la auditoría, temas que en sí mismos conllevarían
un esfuerzo en tiempo y recursos similar a la investigación que nos ocupa.
5
Capítulo 1 Introducción
Conforme con los objetivos y consideraciones, el documento final del presente proyecto
considera varios capítulos. En el capítulo 2, se analizan los planteamientos de diferentes
autores en cuanto metodología para el desarrollo de la Auditoría de TI y se propone un modelo
que, a nuestro criterio, responde a las características y situación del Ministerio.
En segundo lugar, se analizan los aspectos conceptuales y legales relacionados con la
estructura organizativa de la Auditoría de TI, así como la organización actual y los recursos
humanos con que cuenta la Dirección General de Auditoría Interna, para finalizar con la
propuesta de organización y requerimiento mínimo de recursos humanos para la Auditoría de
TI.
En el capítulo cuatro se plantea la importancia del uso de herramientas computadorizadas en la
Auditoría de TI, tanto para el apoyo de la administración de la auditoría como a la función de
Auditoría de TI, se plantean algunos elementos a considerar en la selección de herramientas
computadorizadas y finalmente se propone la adquisición de algunas de estas.
Seguidamente se presenta un plan operativo para la introducción de la Auditoría de TI, para lo
cual se exponen algunas consideraciones estratégicas, supuestos, alcance, organización y
riesgos asociados con la ejecución del plan. Asimismo se plantea una aproximación de los
costos para la ejecución del plan.
Por último, se presentan las conclusiones del análisis realizado y las recomendaciones para la
ejecución del plan propuesto para la introducción de la Auditoría de TI en el Ministerio.
Finalmente, esperamos que el análisis realizado y la propuesta planteada sirva de base para
convertir en realidad la existencia de un área de Auditoría de TI, y en última instancia, se
consolide y fortalezca el sistema de control interno del Ministerio.
6
Capítulo 2 Modelo Metodológico Propuesto
CAPITULO 2
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI
En el presente capítulo se planteará un modelo metodológico operativo para el desarrollo de la
Auditoría de Tecnología de la Información en el Ministerio de Hacienda. Para ello en un primer
momento se presentan y analizan los enfoques de diferentes autores y luego se retoman los
aspectos básicos del diagnóstico institucional, con el propósito último de que la propuesta
responda a las características y situación de la institución.
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI
La Auditoría de TI se suele estructurar en diferentes áreas, para lo cual se han presentado
diferentes modelos o esquemas. En nuestro caso, con el propósito de ofrecer una visión
general, en vez de presentar uno de ellos se opta por describir varios enfoques y realizar un
análisis sobre similitudes. Al efecto se consideran aquellos que a nivel nacional han destacado
en este campo, así como los que a nivel internacional se han considerado de mayor relevancia
de conformidad con lo investigado en esta oportunidad.
2.1.1 Enfoque De Antonio Echenique
Un primer enfoque es el presentado por Antonio Echenique en su libro Auditoría en Informática,
que es uno de los clásicos en esta materia. Este autor distingue:
“a. La evaluación administrativa del departamento de procesos electrónicos.
b. La evaluación de los sistemas y procedimientos y de la eficiencia que se tiene en el uso
de la información.
c. La evaluación del proceso de datos y de los equipos de cómputo.”1
1 Echenique, José Antonio. Auditoría en Informática. McGraw-Hill Interamericana de México. 1991.Pag. 16.7
Capítulo 2 Modelo Metodológico Propuesto
La evaluación administrativa comprende los aspectos usuales del proceso administrativo con el
propósito de determinar si desde el punto de vista administrativo- organizativo se están
cumpliendo con los criterios preestablecidos. Se cubren aspectos como:
Objetivos del departamento, dirección o gerencia.
En este particular el esfuerzo del auditor se orientará a determinar si:
Las responsabilidades en la organización están definidas adecuadamente y la
estructura organizacional está adecuada a las necesidades.
El control organizacional es adecuado y se tienen los objetivos y las políticas
adecuadas, se encuentran vigentes y están bien definidas.
Los puestos se encuentran definidos y señaladas sus responsabilidades.
El análisis y descripción de puestos está de acuerdo con el personal que los ocupa.
Se cumplen los lineamientos organizacionales y si el nivel de salarios comparado
con el del mercado de trabajo.
Los planes de trabajo concuerdan con los objetivos de la empresa y si se cuenta
con los recursos humanos necesarios que garanticen la continuidad de la operación
o se cuenta con “indispensables”.
Se evalúan los planes y se determinan las desviaciones.
Organización del área y su estructura orgánica.
Se pretende valorar si existen líneas de autoridad justificadas, el nivel de supervisión, la
uniformidad en las asignaciones y si se presentan agrupamientos ilógicos.
Costos y controles presupuestales.
Se obtendrá información sobre la situación presupuestal y financiera del departamento, así
como número de equipos y características para hacer un análisis de la situación desde un
punto de vista económico. Para ello se considerará:
Costos del departamento desglosado por áreas y controles.
Presupuesto del departamento, desglosado por áreas.
Características de los equipos, número de ellos y contratos.
La evaluación de los sistemas y procedimientos y de la eficiencia que se tiene en el uso de la
información comprende, entre otros:
8
Capítulo 2 Modelo Metodológico Propuesto
La evaluación de sistemas: existen sistemas entrelazados como un todo o existen
programas aislados y si existe un plan estratégico para la elaboración de los
sistemas.
La evaluación del análisis.
Se debe valorar si:
o Se está ejecutando en forma correcta y eficiente el proceso de la
información.
o Puede ser simplificado para mejorar su aprovechamiento.
o Se debe tener una mayor interacción de los sistemas.
o Se tiene propuesto un adecuado control y seguridad sobre el sistema.
o Está en el análisis la documentación adecuada.
Evaluación del diseño lógico del sistema.
Los puntos a evaluar son: entradas, salidas, procesos, especificaciones de datos y
especificaciones de proceso.
Evaluación del diseño físico del sistema
En esta etapa se deberán auditar los programas, su diseño, el lenguaje utilizado,
interconexión entre los programas y características del hardware empleado para el
desarrollo del sistema.
Control de proyectos.
Considerará aspectos como la existencia y relación de los proyectos con el plan
maestro, definición de procedimientos y responsabilidades de aprobación de
proyectos, planeación de los proyectos, técnicas de control de proyectos, etc.
Control de sistemas y programación.
Las revisiones se realizan en forma paralela desde el análisis hasta la programación
y sus objetivos son los siguientes: en la etapa de análisis identificar inexactitudes,
ambigüedades y omisiones en las especificaciones, en la etapa de diseño descubrir
errores, debilidades y omisiones antes de iniciar la codificación y en la etapa de
programación: buscar la claridad, la modularidad y verificación con base en las
especificaciones.
Instructivos y documentación.
9
Capítulo 2 Modelo Metodológico Propuesto
Se pretende evaluar los instructivos de operación de los sistemas para evitar que los
programadores tengan acceso a los programas en operación y que cumplan con el
contenido mínimo.
Formas de implantación.
Se debe evaluar los trabajos que se realizan para iniciar la operación de un sistema,
esto es la prueba integral del sistema, adecuación, aceptación por parte del usuario,
entrenamiento, etc.
Seguridad física y lógica de los sistemas.
Se debe analizar el impacto en el rendimiento del sistema como resultado de
cambios trascendentales en el sistema operativo en el equipo, pudiendo para ello
utilizar un paquete de pruebas elaborado con ese propósito específico.
Por su parte, la evaluación del proceso de datos y de los equipos de cómputo incluye el análisis
de:
Controles de los datos fuentes y manejo de cifras de control: evaluar la entrada
de la información y que se tengan las cifras de control necesarias para
determinar la veracidad de la información.
Control de operación: valorar los procedimientos e instructivos formales de
operación, analizar su estandarización y evaluar el cumplimiento de los mismos.
Control de salida: Valorar si las salidas del sistema satisfacen los requerimientos
del usuario y son distribuidas según corresponde.
Control de asignación de trabajo: Valorar la dirección de las operaciones de la
computadora en términos de eficiencia y satisfacción del usuario.
Control de medios de almacenamiento masivos: evaluará la forma como se
administran los dispositivos de almacenamiento básico de la dirección.
Control del mantenimiento: analizar cuál de los diferentes tipos de contratación
del mantenimiento es el más conveniente y revisar los detalles del contrato con
el objeto de que las cláusulas estén bien definidas y se elimine la subjetividad e
incorpore las correspondientes penalizaciones para el proveedor, para evitar
contratos parcializados a favor de éste.
10
Capítulo 2 Modelo Metodológico Propuesto
Orden en el centro de cómputo: revisar las disposiciones y reglamentos que
coadyuvan con el mantenimiento del orden dentro de la sala de máquinas.
Seguridad física y lógica: se debe considerar el sistema integral de seguridad,
que comprende, entre otros: elementos administrativos, definición de una política
de seguridad, organización y definición de responsabilidades, seguridad física
contra catástrofes, sistemas de seguridad de equipos y sistemas de información,
planeación de programas de desastre ( contingencia) y su prueba.
2.1.2 Enfoque de Sandra García
Otro esquema a considerar es el presentado en el material del Curso de Auditoría de Sistemas
de la Universidad Estatal a Distancia2, en el que se mencionan como áreas para definir el
alcance de la auditoría de sistemas las siguientes:
Revisión de Controles Generales del Centro de Cómputo: Revisar la estructura
organizacional, políticas, procedimientos operativos, ambiente de control,
operación de las instalaciones de procesamiento de datos, seguridad/lógica/física,
procedimientos para el desarrollo y mantenimiento de sistemas de
aplicación/operativos.
Se deben analizar los controles organizativos y gerenciales, que incluyen aquellos
que brindan protección al ambiente físico, así como la asignación de personal
adecuado y la operación eficiente del centro de procesamiento de datos. Estos
controles deben brindar una operación eficaz a cargo de personal calificado y del
cual se pueda depender. Se debe verificar la existencia de adecuados niveles de
responsabilidad y dar margen a una adecuada segregación de funciones.
Además debe contar con procedimientos y estándares adecuados para el
funcionamiento global del centro de cómputo.
Revisión del Ciclo de Vida del Desarrollo de Sistemas (SDLC): revisar la
metodología, normas, tareas y procedimientos para el desarrollo, adquisición y
mantenimiento de software de aplicaciones. El auditor debe analizar los riesgos
2 García, Sandra. Auditoría Informática I: Nota Técnica para el Curso Auditoría de Sistemas. 1997.11
Capítulo 2 Modelo Metodológico Propuesto
asociados y las exposiciones que son inherentes en cada fase y asegurarse de
que los mecanismos de control adecuados están vigentes para minimizar esos
riesgos de forma eficaz en cuanto a costos.
El sistema debe controlarse desde que ingresa a la compañía ya sea por
adquisición o por el desarrollo. Es crucial que el auditor comprenda la
metodología de desarrollo y adquisición de sistemas con el fin de identificar los
puntos vulnerables que exijan control. En caso de que falten controles el papel
del auditor es asesorar al equipo del proyecto y a la Alta Dirección de los
controles apropiados a implantar y efectuar el seguimiento de los cambios
propuestos.
Revisión de Sistemas de Aplicaciones: revisar, evaluar y analizar las fortalezas y
debilidades de control y operaciones dentro de los sistemas de aplicaciones
existentes. Los controles de aplicaciones se refieren a los controles de las
funciones de imput, procesamiento y output. Los controles de aplicaciones
incluyen métodos para asegurarse que solo en un sistema computadorizado se
ingresan y actualizan datos completos, exactos y válidos, el procesamiento realiza
la tarea correcta y que los datos se mantienen correctos y actualizados.
Revisión de la continuidad de las operaciones: revisar las políticas y
procedimientos referentes a la planificación de contingencias y la eficiencia
operativa. El esfuerzo del auditor se orienta a:
Evaluar el plan de contingencias para determinar la adecuación y
actualidad.
Verificar que el plan de contingencias es eficaz para asegurar la
capacidad de procesamiento.
Evaluar el sitio alterno y determinar adecuidad y seguridad.
Evaluar la habilidad del personal de sistemas y el personal usuario
para responder en forma eficaz a situaciones de emergencia.
12
Capítulo 2 Modelo Metodológico Propuesto
Revisión Técnica (Software de Sistemas Operativos): revisar las políticas y
procedimientos de desarrollo, adquisición y mantenimiento de software de
sistemas operativos ( telecomunicaciones, sistemas operativos, bases de
datos, EDI, etc)”.
2.1.3 Enfoque de Manuel Arauz
Por otra parte, Manuel Arauz en su libro “Auditoría Informática ¿por qué?” indica que la labor
del auditor en el área informática se puede separar en cuatro grandes áreas:
o Evaluación de la administración de la función informática.
o Auditoría a los sistemas en producción.
o Auditoría al desarrollo de aplicaciones.
o Evaluación del ambiente de microcomputadores.
a. Evaluación de la administración de la función informática
En esta área se debe considerar el tipo de planes que se elaboren en el área de sistemas, la
forma en que está organizado el departamento de cómputo, el estilo de dirección que se tenga,
la participación de los usuarios en la definición de los requerimientos y el establecimiento de
prioridades, la cantidad de recursos humanos disponibles, su capacitación, su motivación, la
metodología de trabajo empleada, la calidad de la documentación de los sistemas, la forma de
administrar las bases de datos y otros aspectos más, tienen una influencia muy fuerte en las
características de todos los sistemas de una entidad. En cada uno de estos temas existe una
mezcla de elementos técnicos con otros de carácter administrativo que inciden en todo el
accionar del área de cómputo.
La evaluación de la administración de la función informática, por parte del auditor, procura
determinar el rol que ejerce la gerencia en la definición de los objetivos y metas del área de
cómputo, la calidad de la planeación y el grado de cumplimiento de los planes a largo y corto
plazo, la organización de esta área, los métodos y procedimientos empleados, los mecanismos
de comunicación utilizados, los controles establecidos en funciones claves tales como
13
Capítulo 2 Modelo Metodológico Propuesto
mantenimiento de sistemas, administración de bases de datos, administración de la red de
teleproceso, operación del computador, procedimientos de respaldo y recuperación y otros
puntos más.
En este tipo de evaluación se trata de analizar aspectos como cumplimiento de metas,
protección de activos y uso eficiente de los recursos.
b. Auditoría de los sistemas en producción
La auditoría de los sistemas en producción se orienta a la evaluación de asuntos tales como:
los mecanismos de seguridad de acceso establecidos, los controles de entrada de datos, de
procesamiento y de producción de salidas existentes, los procedimientos de respaldo
aplicados.
Aspectos como mala definición de perfiles, debilidades en las validaciones de la entrada de los
datos y otros más tienen un fuerte impacto en la confianza que se deposite en el sistema de
control interno de la compañía.
El elemento clave de este tipo de evaluación es la integridad de los datos. Los conceptos de
totalidad, exactitud y oportunidad son la base de las auditorías a los sistemas en producción.
En esta área, la participación constante del auditor es muy importante.
c. Auditoría al desarrollo de sistemas
La concepción moderna de la auditoría procura que ésta se convierta en una función asesora
de la administración. En el caso del área informática, este objetivo no se alcanza si el auditor
no participa en el proceso de desarrollo de sistemas.
Las técnicas de desarrollo de sistemas han venido evolucionando con el propósito de lograr
que estos se ajusten con facilidad a los cambios en el entorno. Sin embargo, a pesar de los
esfuerzos realizados, sugerir mejoras en un sistema en producción para reforzar el sistema de
14
Capítulo 2 Modelo Metodológico Propuesto
control interno acarrea costos muy elevados. Esta realidad ha provocado que el auditor no
logre que sus recomendaciones sean implantadas en forma ágil.
La concepción de este tipo de auditoría es de auditar el futuro, prever las debilidades y
solventarlas previo a que el sistema entre en operación. Una de las ventajas más grandes que
posee este tipo de auditoría es que disminuye, en gran medida, los costos de implantación de
las recomendaciones del auditor, lo cual hace también que su labor sea vista de una mejor
manera.
Este campo se le presenta al auditor como la plataforma ideal para lograr una participación
asesora muy activa. Además, le permite desarrollar, con mucho menos esfuerzo, herramientas
automatizadas para incorporarlas a los sistemas en desarrollo que ayuden al cumplimiento de
otras funciones de la auditoría en los campos financiero, contable y administrativo.
d. Evaluación del ambiente de microcomputadores
El auge que tienen hoy los microcomputadores en las empresas ha traído consigo la evolución
de un ambiente distribuido de procesamiento de datos. Con esto, si antes se tenían problemas
de documentación, riesgos de pérdida de privacidad y de integridad de los datos, con los
microcomputadores la problemática se ha incrementado. El auditor debe tomar conciencia de
ello y poner especial atención a su evolución dentro de la empresa.
En su evaluación se deben analizar aspectos como: procedimientos de adquisición de
“hardware” y “software”, seguridad física, estandarización, capacitación, desarrollo de
aplicaciones por usuario final y virus computacional.
2.1.4 Enfoque de Xiomar Delgado
De manera similar Xiomar Delgado, autor del libro “Auditoría Informática”, estructura las áreas
de la auditoría informática con un enfoque similar al recién expuesto, fundamentándose en que
deben llevarse a cabo labores de seguimiento de todas las actividades que se ejecuten en el
área informática, a saber:
15
Capítulo 2 Modelo Metodológico Propuesto
Controles administrativos de los recursos informáticos.
El auditor debe participar activamente en la evaluación de los controles que existen sobre la
administración de los recursos informáticos, revisando la existencia de planes informáticos de
corto y largo plazo y comprobando la coincidencia de éstos planes con los planes generales de
la organización.
Asimismo debe analizar el ambiente normativo en que se desarrolla las actividades, revisando
las políticas, los estándares y los procedimientos que deban respetarse para el alcance de los
resultados ‘’óptimos. Sobre este particular deben considerarse aspectos como: emisión,
pertinencia, publicación, respeto y control.
Finalmente, en este tema debe considerar la ubicación estructural dentro del organigrama en
que se encuentra el departamento de informática así como la descripción de las
responsabilidades de los integrantes del mismo.
El cuanto al recurso humano, se debe evaluar las políticas de selección de personal, las
técnicas de reclutamiento, las políticas de capacitación y entrenamiento, así como la
supervisión y la evaluación de funciones de este personal.
Desarrollo de sistemas de aplicación.
El auditor es responsable de dar seguimiento permanente a la inversión que las empresas
realizan en sistemas de aplicación y esto lo logra mediante su participación en el desarrollo de
los sistemas.
Al efecto deberá considerar aspectos como:
Si se cuenta con una metodología adecuada para el desarrollo de los
sistemas, que cuente con la cantidad adecuada para conseguir sistemas
confiables, seguros y auditables.
Participar activamente en las actividades de mantenimiento de los sistemas y
permanecer alerta.
Comprobar la participación activa del usuario desde las fases más tempranas
del ciclo de vida del desarrollo de sistemas.
Si se realizó un estudio de factibilidad previo a las erogaciones.
16
Capítulo 2 Modelo Metodológico Propuesto
Si se han realizado los estudios suficientes para determinar con exactitud las
necesidades de información del usuario.
Si se han contemplado las formas de presentación de las salidas, las
necesidades de control y de respaldo y si se han incluido suficientes pistas
de auditoría.
Como elemento de comprobación, deben realizarse evaluaciones de lo que ha pasado
inmediatamente después de la implantación:
El nivel de satisfacción del usuario.
El que la aplicación haya brindado una solución satisfactoria a las
necesidades de usuario.
La facilidad de manejo de la aplicación.
Cuál es la relación costo/ beneficio de la aplicación.
Una evaluación de la adherencia a los estándares de desarrollo
Operación de los sistemas de aplicación.
El auditor deberá evaluar que la organización cuenta con los recursos para lograr la ejecución
conforme a lo planeado y que los departamentos usuarios e informáticos dan un uso apropiado
a los recursos. Para ello considerará:
Revisar las adquisiciones de equipos realizadas y evaluar su conveniencia respecto
de lo planeado.
Realizar pruebas que le permitan obtener un criterio sobre la utilización de los
recursos del computador.
Comprobar que los recursos de almacenamiento son administrados de manera
adecuada, realizando planeamiento de su uso y de disposición de los espacios
disponibles.
17
Capítulo 2 Modelo Metodológico Propuesto
Comprobar que los recursos de software cumplen con el planeamiento establecido y
que constituyen herramientas que satisfacen de la mejor manera las necesidades de
organización.
Verificar que los recursos de software son adquiridos cuando constituyen la mejor
opción y enfrentando el análisis de la relación costo – beneficio.
Determinar si el software está siendo bien utilizado, si el mantenimiento que se le
brinda es confiable y seguro, si todos los cambios son suficientemente controlados.
Realizar comprobaciones de que se han establecido suficientes procedimientos de
control de seguridad.
Evaluar las limitaciones existentes de acceso al lugar en que se ubican los equipos.
Comprobar que se han establecido procedimientos para el manejo de posibles
errores.
Que se cuente con un plan de contingencias y que se han contemplado los
principales problemas a que pueda exponerse la empresa, que las medidas de
recuperación son realizables y adecuadas.
Revisión de las aplicaciones.
En la función de evaluación de las aplicaciones el auditor deberá:
Comprobar que los datos cumplen con procedimientos de preparación
adecuados.
Que existe control sobre los documentos originales, de manera que son
suficientemente custodiados.
Que existen controles sobre la entrada de los datos.
18
Capítulo 2 Modelo Metodológico Propuesto
Revisar el procesamiento de los datos, de manera que se mantenga su
integridad, que su manipulación es segura, limitando la posibilidad de ser
conocidos por personal no autorizado.
Que se han definido y se aplican reglas de validación de los datos.
Revisar los controles de salida, verificando que se ponen a disposición del
personal autorizado para ello.
Comprobar que las salidas presentan un formato adecuado a las
necesidades del usuario.
Comprobar que los informes están dirigidos a quien corresponde.
Que se han diseñado procedimientos para el manejo de errores.
Administración de las bases de datos.
El auditor deberá comprometerse con la evaluación y vigilancia del ambiente en que se
mantienen los recursos de información, de forma que compruebe que sobre las bases de datos
existe una buena administración, que las tareas respectivas están segregadas de las restantes
funciones informáticas, que existe asignación de responsabilidades en el uso y regulaciones
que sustenten la integridad y totalidad de los datos contenidos en esas bases.
Asimismo deberá verificar las condiciones en que se mantienen los diccionarios de datos y los
estándares adoptados para su manejo.
Verificar la capacitación que se ha brindado a sus usuarios, tanto informáticos como
administrativos.
Procesamiento distribuido y redes.
El auditor debe estar en capacidad de evaluar la forma en que se distribuyen los recursos
informáticos de la empresa y someter a prueba los controles que se definen para el uso de los
recursos informáticos de la empresa, y someter a prueba los controles que se definen para el
uso de cada uno de esos recursos, para la custodia de los activos de la empresa y para la
limitación de acceso que se pueda dar desde las terminales ubicadas en cualquier lugar de la
empresa.
19
Capítulo 2 Modelo Metodológico Propuesto
Debe evaluar los estándares definidos sobre control de las redes y comprobar que las
características físicas del hardware adquirido o propuesto cumplen satisfactoriamente con las
necesidades del conjunto de equipo y no degradar la capacidad de operación de los equipos ya
conectados.
Debe evaluar los mecanismos de control y la asignación de responsabilidades por el uso de los
recursos disponibles de la red, tomando en cuenta la necesidad de recursos de respaldo.
Asimismo, debe verificarse la existencia de planes de capacitación y adiestramiento que
aseguren un uso provechoso de los recursos y la disminución de riesgos de que la acción de
un usuario pudiera causar problemas a todos los usuarios de la red. En ese mismo sentido,
debe revisarse la existencia de un manual claro y de fácil entendimiento que le permita a los
nuevos usuarios familiarizarse con los recursos a su disposición.
De igual manera deben evaluarse los controles de identificación y verificación de
autorizaciones, que contemplen además la existencia de programas de control que,
permanezcan pendientes del uso de los recursos.
Ambiente de microcomputadores.3
Entres sus actividades, el auditor debe contemplar la evaluación del este ambiente, tomando
en cuenta diferentes aspectos respecto al uso de microcomputadores, de manera que pueda
revisar al inicio las actividades que se relacionan con la adquisición de los equipos, en las
cuales intervienen las políticas de la empresa, verificando si todas las adquisiciones se apegan
a las políticas administrativas.
Se debe verificar si se satisfacen los controles respecto a la administración y valorar su aporte
al cumplimiento de los objetivos de la empresa.
3 Delgado, Xiomar. Auditoría Informática. Editorial UNED. San José. Pag 43.20
Capítulo 2 Modelo Metodológico Propuesto
Debe velar que solamente permanezcan instaladas aquellas versiones de software sobre las
que la empresa disponga de una licencia para operarla y verificar el cumplimiento de la
legislación, motivo por el que debe promover el respeto a los derechos de autor.
En los equipos de mayor tamaño, debe contemplarse la necesidad de contar con un adecuado
ambiente de control sobre los archivos y las transacciones procesadas en ellos, así como las
políticas de acceso a los recursos contenidos en ellos. La correcta operación de los
microcomputadores debe ser revisada por el auditor y éste debe comprobar que existen
adecuadas políticas de respaldo y control de los datos almacenados.
Debe comprobar que las adquisiciones que se realicen mantengan el grado necesario de
compatibilidad para asegurar mayor vida a los recursos de información.
Como puede notarse, en este caso se presentan independientemente la revisión de las
aplicaciones y la administración de las bases de datos que en el enfoque anterior se incluyen
dentro de los sistemas en operación. Asimismo, el procesamiento distribuido se visualiza como
parte del área de ambiente de microcomputadores.
2.1.5 Enfoque De Mario Piattini Y Otros4
En la recopilación “Auditoría Informática: un enfoque práctico” de Mario Piattini y otros, se
ofrece una caracterización de diferentes áreas que abarca esta, distinguiéndose doce áreas. A
continuación se explican brevemente cada una de ellas.
Auditoría Física
La Auditoría Física es el medio que va proporcionar la evidencia o no de la seguridad física en
el ambiente en el que se va a desarrollar la labor informática, por lo que no se debe limitar a
comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y
seguridad. Los objetivos de esta son: el edificio, las instalaciones, equipo y
telecomunicaciones, datos y personas.
4 Piattini V., Mario Gerardo y Del Peso Navarro, Emilio. Auditoría Informática: un enfoque práctico. Alfaomega S.A. México D.F. 1998.
21
Capítulo 2 Modelo Metodológico Propuesto
Auditoría de la Ofimática
Es la evaluación del sistema informatizado que genera, procesa, almacena, recupera,
comunica y presenta datos relacionados con el funcionamiento de la oficina, ejemplo de ello
son las aplicaciones específicas de la gestión de tareas como hojas de cálculo o procesadores
de texto, herramientas para la gestión de documentos, como control de expedientes o sistemas
de almacenamiento óptico de la información, agendas y base de datos personales, sistemas de
trabajo en grupo como el correo electrónico o el control de flujo de trabajo.
Auditoría de la Dirección
Entendida la auditoría de la dirección como auditoría de la gestión de la informática o
Departamento de Informática, el auditor debe examinar:
a) El proceso de planificación de sistemas de información y evaluar si
razonablemente se cumplen los objetivos para el mismo. Debe considerar si se presta
adecuada atención al plan estratégico de la empresa, si se establecen mecanismos de
sincronización entre sus grandes hitos y los proyectos informáticos asociados y si se tienen en
cuenta cambios organizativos entorno legislativo, evolución tecnológica organización
informática recursos y otros.
b) Evaluar el proceso de organizar y controlar los recursos, los flujos de información y
los controles que permitan alcanzar los objetivos marcados durante la planificación.
c) Analizar las funciones y responsabilidades del departamento de informática y luego
la segregación de funciones.
d) Evaluar que la Dirección de Informática realiza sus actividades dentro del respeto a la
normativa legal aplicable. En particular se consideran fundamentales los relativos a la
seguridad e higiene en el trabajo, normativa laboral, protección de datos personales, propiedad
intelectual del software. Requisitos definidos en la cobertura de seguros, contratos de
22
Capítulo 2 Modelo Metodológico Propuesto
comercio electrónico, transmisión de datos por líneas de comunicaciones, así como la
normativa emitida por los órganos reguladores.
Auditoría de la Explotación
Corresponde a la evaluación periódica del funcionamiento adecuado de los sistemas
informáticos o sistemas de información, para asegurar la existencia de la empresa y superar a
los competidores. Siguiendo las recomendaciones de COBIT el objetivo general de la auditoría
de explotación consiste en asegurarse de que las funciones que sirven de apoyo a las
Tecnologías de la Información se realizan de forma ordenada y satisfacen los requisitos
empresariales.
Para hacer el seguimiento y comprobar que el sistema de información está actuando como es
preceptivo, éste habrá de disponer de un control interno que prevenga los eventos no
deseados o en su defecto los detecte y los corrija.
El esquema para llevar acabo las auditorías de la explotación de los sistemas de información
se presenta siguiendo la clasificación de los controles que hace el proyecto COBIT.
Auditoría del Desarrollo
La auditoría del desarrollo tratará de verificar la existencia y aplicación de procedimientos de
control adecuados que permitan garantizar que el desarrollo de sistemas de información se ha
llevado a cabo según principios de ingeniería del software, orientados a obtener software
económico que sea fiable, cumpla los requisitos previamente establecidos y funcione de
manera eficiente sobre máquinas reales.
La auditoría de desarrollo se abordará desglosándola en dos grandes apartados:
Auditoría de la organización y gestión del área de desarrollo
Auditoría de proyectos de desarrollo de sistemas de información
23
Capítulo 2 Modelo Metodológico Propuesto
La metodología que se usará es la propuesta por la ISACA (Information Systems Audit and
Control Association) que está basada en la evaluación del riesgo: partiendo de los riesgos
potenciales a los que está sometida una actividad, en este caso el desarrollo de un sistema de
información, se determinan varios objetivos de control que minimicen esos riesgos.
Dentro del primer apartado debe evaluar los siguientes objetivos de control:
a. Si el área de desarrollo tiene unos cometidos asignados dentro del departamento
y una organización que le permite el cumplimiento de los mismos.
b. Si el personal del área de desarrollo cuenta con la formación adecuada y está
motivado para la realización de su trabajo.
c. Si existe un plan de sistemas, de tal manera que los proyectos se llevan a cabo
se basan en dicho plan.
d. Si la propuesta y aprobación de nuevos proyectos se realiza de forma reglada,
así como la asignación de recursos.
e. Si el desarrollo de sistemas de información se hace aplicando principios de
ingeniería del software ampliamente aceptados.
f. Si la organización del área se adapta a las necesidades d4e cada momento.
El otro grupo relativo a la auditoría de cada proyecto de desarrollo de SI tendrá un plan distinto
dependiendo de los riesgos, la complejidad de mismo y los recursos disponibles para realizar la
auditoría. Esto obliga que sean la pericia y experiencia del auditor las que determinen las
actividades del proyecto que se controlarán con mayor intensidad en función de esos
parámetros.
El auditor debe evaluar:
La aprobación, planificación y gestión del proyecto
La fase de análisis
La fase de diseño
Fase de Construcción
La fase de implantación
24
Capítulo 2 Modelo Metodológico Propuesto
Auditoría del Mantenimiento
La etapa de mantenimiento debe ser especialmente considerada en los estudios de
productividad y de la Auditoría Informática. La mantenibilidad es el factor de calidad que
engloba todas aquellas características del software destinadas a hacer que el producto sea
más fácilmente mantenible, en consecuencia, a conseguir una mayor productividad durante la
etapa de mantenimiento del software.
Auditoría de Bases de Datos
Corresponde a la auditoría de bases de datos la evaluación de los objetivos de control en el
ciclo de vida de una base de datos, a saber: estudio previo y plan de trabajo, concepción de la
base de datos y selección del equipo, diseño y carga, explotación y mantenimiento, y por último
la revisión y post implantación.
Cuando el auditor se encuentra el sistema en explotación debe estudiar entorno de la base de
datos que básicamente comprende:
El Sistema de Gestión de la Base de Datos (SGBD), dentro del que destacan los
siguientes componentes: el núcleo, el catálogo (componente fundamental para
asegurar la seguridad de la base de datos), las utilidades para el administrador de la
base de datos, entre las que se suelen encontrar algunas para crear usuarios,
conceder privilegios, las que se encargan de la recuperación de la base de datos:
arranque, copias de respaldo, ficheros diarios y algunas funcione s de auditoría, así
como los lenguajes de cuarta generación que incorpora el propio SGBD.
Sistema de monitorización y ajuste, que facilitan la optimización de la base de datos
Sistema Operativo, pieza clave del entorno, puesto que el SGBD se apoyará en los
servicios que le ofrezca el sistema operativo en cuanto a control de memoria,
gestión de áreas de procesamiento intermedio, manejo de errores, control de
confidencialidad, mecanismos de interbloqueo.
Monitor de Transacciones.
25
Capítulo 2 Modelo Metodológico Propuesto
Protocolos y Sistemas Distribuidos: al acceder las bases de datos a través de redes,
el riesgo de violación de la confidencialidad e integridad se acentúa. También las
bases de datos distribuidas pueden presentar graves riesgos de seguridad.
Paquetes de seguridad; la existencia en el mercado de varios productos que
permiten la implantación efectiva de una política de seguridad, puesto que
centralizan el control de accesos, la definición de privilegios, perfiles de usuario y
otros.
Diccionario de datos; un fallo en un diccionario o repositorio, suele llevar consigo
una pérdida de integridad de los procesos, que pueden producir errores en forma
repetitiva a lo largo del tiempo, difíciles de detectar.
Herramientas CASE ( Computer Aided System/Software Engineering) / IPSE
( Integrated Project Support Environments)
Lenguajes de cuarta generación independientes.
Facilidades de usuario.
Herramientas de "minería de datos".
Aplicaciones.
El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente
para asegurar que los sistemas de bases de datos continúan cumpliendo los objetivos de la
empresa y que se encuentran controlados de manera efectiva.
Las consideraciones de la auditoría deben incluirse en las distintas fases del ciclo de vida de
una base de datos, siendo muy importante que los auditores participen cada vez más en el
proceso de desarrollo, disminuyendo así ciertos costes y haciendo "más productiva" su labor, la
dirección de las empresas no siempre "ve" la labor de auditoría y control como realmente
productiva, asumiéndola, la mayoría de las veces, como un gasto necesario.
Auditoría de Técnica de Sistemas
La tarea de la auditoría de técnica de sistemas es la encargada de auditar la estructura
informática, es decir el conjunto de instalaciones, equipos de proceso y el llamado software de
datos. Cada uno de esos apartados comprende:
26
Capítulo 2 Modelo Metodológico Propuesto
Instalaciones
Este apartado incluirá salas de proceso, con sus sistemas de seguridad y control, así como
elementos de conexión y cableado, es decir los elementos base para acondicionar los
componentes del apartado siguiente:
Equipos de proceso
Corresponde a la evaluación de los computadores (main, mini y micro), así como sus
periféricos, pantallas, impresoras, unidades de cinta, y los dispositivos de conmutación y
comunicaciones (routers, módems )
Software de base
Se componen de los sistemas operativos, compiladores, traductores e intérpretes de
comandos y programas, junto con los gestores de datos o sistemas de administración de
datos y toda una serie de herramientas y componentes auxiliares e intermedios como
herramientas de desarrollo, facilidades de explotación como planificadores, paquetes de
seguridad
Auditoría de la Calidad
Se refiere a la auditoría de calidad del software, o sea al cumplimiento de los requerimientos
que se han establecido, normalmente por el usuario o el cliente, y las características implícitas
que debe cumplir todo software hecho profesionalmente aparte de su realización según
determinados estándares.
Le compete la evaluación independiente de los procesos, los productos software, el progreso
del proyecto o el cómo se realiza el trabajo, que investiga la coincidencia con los estándares,
líneas guía, especificaciones y procedimientos basados en criterios objetivos que incluyen los
documentos que especifican:
La forma o contenido de los productos a producir.
Los procesos en los que los productos deben ser producidos.
27
Capítulo 2 Modelo Metodológico Propuesto
Cómo debe ser medida a la adherencia con los estándares o líneas guía.
Auditoría de la Seguridad
Corresponde a la evaluación de los modelos u objetivos de control de seguridad establecidos
por la organización, con el propósito de asegurarse que los controles están en consonancia con
las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones,
que garantizan que no se pierde la información, que está disponible en el momento requerido
para la toma de decisiones.
Las áreas que cubre la auditoría de seguridad son:
Auditoría de la seguridad física
Auditoría de la seguridad lógica.
Auditoría de la seguridad y el desarrollo de aplicaciones.
Auditoría de la seguridad en el área de producción
Auditoría de la seguridad de los datos
Auditoría de la seguridad de comunicaciones y redes
Auditoría de la continuidad de las operaciones
Auditoría de Redes
El primer punto es auditar la gerencia de las comunicaciones, a fin determinar que la función de
gestión de redes y comunicaciones esté claramente definida, debiendo ser responsable de la
gestión de la red, inventario de equipo, y normativa de conectividad, por la monitorización de
las comunicaciones, registro y resolución de problemas.
Considera tanto la auditoría la red física y la red lógica.
Auditoría de Aplicaciones
Se orienta a la revisión de la eficacia del funcionamiento de los controles diseñados para cada
uno de los pasos de la aplicación frente a los riesgos que tratan de eliminar o minimizar, como
28
Capítulo 2 Modelo Metodológico Propuesto
medios para asegurar la fiabilidad ( totalidad y exactitud, seguridad, disponibilidad y
confidencialidad de la información proporcionada por la aplicación.
Para este propósito se utilizan principalmente las siguientes herramientas: entrevistas,
encuestas, observación del trabajo realizado por los usuarios, pruebas de conformidad,
pruebas sustantivas o de validación y el computador mismos (software especializado).
Algunos casos específicos de auditoría de aplicaciones son la evaluación de los sistemas de
apoyo a la toma de decisiones y las aplicaciones de simulaciones.
2.1.6 Enfoque de la Fundación para el Control y Auditoría de Sistemas de Información
(Modelo COBIT).
La Fundación para el Control y Auditoría de Sistemas de Información y el Comité Directivo de
la misma, con la participación de distinguidos especialistas en el campo del control, la auditoría
y la TI, desarrolló en 1996 la primera versión de este modelo, el cual fue actualizado en 1998 y
en el 2000, y ha logrado una importante aceptación en muchos países. Está diseñado no sólo
para ser utilizado por usuarios y auditores, sino que principalmente para ser usado como una
lista de verificación para los propietarios de los procesos de negocio.
COBIT está basado en los Objetivos de Control existentes de la Information Systems Audit and
Control Foundation (ISACF) mejorados con los estándares internacionales existentes y
emergentes técnicos, profesionales, regulatorios y específicos de la industria. Los Objetivos de
Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para
ser aplicados a los sistemas de información de toda la empresa.
En línea con lo anterior los recursos de Tecnología Informática pueden son definidos de la
siguiente manera:
Datos: Objetos datos en su más amplio sentido, (ej: externos e internos), estructurados
y no estructurados, gráficos, sonido, etc.
29
Capítulo 2 Modelo Metodológico Propuesto
Sistemas de Aplicación: Se entiende como sistemas de aplicación la suma de
procedimientos programados y manuales.
Tecnología: Cubre hardware, sistemas operativos, sistemas de administración de bases
de datos, redes, multimedia, etc.
Instalaciones: Recursos para albergar y soportar los sistemas de información.
Gente: Habilidades del personal, concientización y productividad para planear,
organizar, adquirir, entregar, soportar y monitorear sistemas de información y servicios.
Un concepto básico del que se parte es que los recursos de Tecnología Informática necesitan
ser administrados por un conjunto de procesos agrupados naturalmente para proveer la
información que necesita la empresa para el logro de sus objetivos.
COBIT destaca el impacto sobre los recursos de Tecnología Informática junto con los
requerimientos del negocio que necesitan ser satisfechos, en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Adicionalmente,
brinda definiciones para los requerimientos del negocio que son destilados de niveles más altos
de objetivos para calidad, seguridad e información financiera según se relacionan con
Tecnología Informática.
Considera un conjunto de 34 objetivos de control de alto nivel, uno por cada uno de los
Procesos de Tecnología Informática, agrupados en cuatro dominios: Planeamiento y
Organización, Adquisición e Implementación, Entrega y Soporte y Monitoreo, según se
caracterizan a continuación.
Planeación y Organización
30
Capítulo 2 Modelo Metodológico Propuesto
Este dominio cubre la estrategia y las tácticas, es decir se refiere a la identificación de la forma
en que la tecnología de la información puede contribuir de la mejor manera al logro de los
objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse
una organización y una infraestructura tecnológica apropiadas.
Este dominio considera los siguientes objetivos de alto nivel o procesos:
PO1 Definir un plan estratégico de tecnología de información
PO2 Definir la arquitectura de Información
PO3 Determinar la dirección tecnológica
PO4 Definir la organización y de las relaciones de TI
PO5 Manejar la inversión en Tecnología de Información
PO6 Comunicar la dirección y aspiraciones de la gerencia
PO7 Administrar recursos humanos
PO8 Asegurar el cumplimiento de requerimientos externos
PO9 Evaluar riesgos
PO10 Administrar proyectos
PO11 Administrar calidad
Adquisición e Implementación
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
AI1 Identificar soluciones
AI2 Adquirir y mantener software de aplicación
AI3 Adquirir y mantener arquitectura de tecnología
AI4 Desarrollar y mantener procedimientos relacionados con TI
AI5 Instalar y acreditar sistemas
AI6 Administrar cambios
31
Capítulo 2 Modelo Metodológico Propuesto
Entrega de servicios y Soporte
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
DS1 Definir niveles de servicio
DS2 Administrar servicios prestados por terceros
DS3 Administrar desempeño y capacidad
DS4 Asegurar servicio continuo
DS5 Garantizar la seguridad de sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Apoyar y asistir a los clientes de TI
DS9 Administrar la configuración
DS10 Administrar problemas e incidentes
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su
calidad y suficiencia en cuanto a los requerimientos de control.
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control Interno
M3 Obtener aseguramiento independiente
M4 Proporcionar auditoría independiente.
32
Capítulo 2 Modelo Metodológico Propuesto
Para los anteriores objetivos de control de alto nivel o procesos de TI, se definen 318 objetivos
detallados, a partir de estos se desarrollan 34 Guías de Auditoría que incluyen 376 pasos de
auditoría, que orientan la evaluación de la gestión y el control de los sistemas de TI.
2.1.7 Consideraciones sobre los Diferentes Enfoques
Después de presentar los enfoques considerados y conforme el propósito planteado se realiza
un análisis comparativo de los mismos. No pretendemos entrar a un análisis detallado por
razones de tiempo y de relevancia para los propósitos de la investigación, sino destacar las
principales diferencias y similitudes, con el propósito último de perfilar lo que debería ser el
modelo a proponer para la institución.
Antes de realizar el análisis es preciso reconocer la diferente naturaleza y situación en el
tiempo de los planteamientos. Varios se refieren a planteamientos de autores individuales, uno
de ellos es resultado de los aportes de diferentes autores y otro es el generado como resultado
de un proceso de análisis y aportes de especialistas en el campo informático y de una
organización especializada en la materia. Por otra parte, los planteamientos se ubican
temporalmente entre el año 1991 y el año 2000, siendo esperado que los más recientes
incorporen aspectos resultantes de la evolución de las tecnologías de la información en los
últimos años.
En primer lugar, debemos destacar que si bien es cierto se detectan diferencias importantes en
el enfoque, la impresión es que dichas diferencias son más de forma que de fondo.
No se identifican conflictos en cuanto a temas o áreas que deban o no considerarse, sino más
bien diferencias en cuanto al criterio de agrupación de dichas tareas. Esta situación se
evidencia en el cuadro No. 1, en el que se presenta una visión resumida de cada uno de los
33
Capítulo 2 Modelo Metodológico Propuesto
enfoques y las áreas definidas, resultando claro que es posible identificar tres grandes
categorías fundamentales, independientemente del nombre que cada uno de los autores le
asigna y la desagregación con que aborda cada una, a saber: Administración de la TI,
Desarrollo de Sistemas y Administración de los Sistemas en Operación.
En el caso del enfoque COBIT presenta la particularidad de considerar separadamente el
monitoreo, orientado a la evaluación regular a través del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de control.
El rápido avance que se presenta en la tecnología de la información hace que se modifique la
importancia relativa de las áreas o que surjan nuevas funciones, como es el caso de la
identificación separada del ambiente de microcomputadores o más recientemente, el desarrollo
que se da alrededor de la internet y su utilización comercial. En ese sentido en los enfoques
más recientes se nota una mayor presencia de estos componentes.
El grado de desagregación y puntualización de herramientas o criterios para la realización de
las auditorías es distinto entre los diferentes enfoques, siendo COBIT el que llega a plantear un
nivel mayor de desagregación con 34 procesos u objetivos de control de alto nivel y o guías de
auditoría con 376 pasos.
34
Capítulo 2 Modelo Metodológico Propuesto
CUADRO No. 1
ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI
ECHENIQUE GARCIA ARAUZ DELGADO PIATTINI COBIT
1. Evaluación administrativa del Centro de PED
1. Controles Generales del Centro de Cómputo
1. Administración de la Función Informática
1. Controles administrativos
1. Auditoría de la Dirección
1. Planificación y Organización
2. Eficiencia de sistemas y procedimientos y eficiencia en el uso de la información
2. Ciclo de vida del desarrollo de sistemas
2. Desarrollo de sistemas
2. Desarrollo de sistemas de aplicación
2. Desarrollo3. Calidad
2. Adquisición e implementación
3. Proceso de datos y de los equipos de cómputo
3. Sistemas de aplicaciones4. Continuidad de las operaciones5. Revisión Técnica
3. Sistemas en producción4. Ambiente de microcomputadores
3. Operación de los sistemas de aplicación4. Revisión de las aplicaciones5. Administración de bases de datos6. Procesamiento distribuido y redes
4. Física5. Ofimática6. Explotación7. Mantenimiento8. Bases de datos9. Técnica de sistemas10. Redes11. Aplicaciones12. Seguridad
3. Entrega y Soporte
4. Monitoreo
Fuente: Elaboración propia tomando de referencia lo descrito en este capitulo
AUTOR DEL ENFOQUE
AREA
35
Capítulo 2 Modelo Metodológico Propuesto
2.2 SITUACIÓN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA
A continuación se presentan los elementos más relevantes sobre la situación de la gestión de
la TI en el Ministerio. Se incluyen aquí, con el interés de que la propuesta considere la situación
específica y responda a las características de la institución en que se pretende implementar. Al
efecto se consideran según fueron puntualizados en el diagnóstico realizado por los mismos
autores como parte del curso Proyecto Integrado I.5
Problemática organizacional y del marco regulador: contradicciones e incongruencias
entre la organización real y la normativa.
Aún no se ha logrado consolidar una organización eficiente y funcional para la gestión de la TI
en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se
identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa
debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las
deficiencias de coordinación entre las áreas, se identifican deficiencias y conflictos que
demandan una oportuna atención.
Magnitud de la inversión realizada en hardware, software y recurso humano dedicado a
soportar la gestión de la TI en el Ministerio.
Aunque por limitaciones de registro y control o de entrega de información no fue posible
obtener una estimación concreta del monto, es evidente que el Ministerio de Hacienda ha
realizado en los últimos años una significativa inversión de recursos en Tecnología de la
Información y mantiene una importante cantidad de funcionarios dedicados a soportar la
gestión de la TI. Ello se convierte en una de las justificaciones para la introducción de la
auditoría informática y otros esfuerzos que se orienten a mejorar dicha gestión.
Cantidad, naturaleza y relevancia de los sistemas de información.
El esfuerzo de introducción y apoyo al desarrollo de la TI en la institución ha llevado a que en la
actualidad los sistemas de información computadorizados, en operación y desarrollo, no solo
son muchos sino que una buena parte de ellos son herramientas fundamentales para la
5 Chacón R, Clairé y Vargas B. José Adrián. Diagnóstico sobre la Auditoría de Sistemas en el Ministerio de Hacienda. Proyecto de Aplicación Práctica. Maestría en Administración de Tecnología de la Información. Universidad Nacional. Abril 2001.
36
Capítulo 2 Modelo Metodológico Propuesto
prestación de los servicios básicos que corresponden a la institución y gestionan información
de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.
Principales fortalezas del Ministerio en la gestión de TI.
Entre las fortalezas identificadas por los entrevistados en el campo de la gestión de la TI
destacan como más relevantes las relativas al proceso de capacitación que se ha desarrollado
a los funcionarios de nivel ejecutivo medio y el apoyo de las autoridades superiores, así como
también la importante inversión de recursos en adquisición de equipos, sistemas y plataforma
de comunicaciones en los últimos años.
Principales debilidades del Ministerio en la gestión de la TI.
En lo que respecta a debilidades, de especial atención resultan la carencia tanto de un plan
estratégico institucional como para el campo de la TI, así como ausencia de estandarización y
políticas definidas para la gestión de TI.
Merecen destacarse algunos esfuerzos recientes que se orientan a cubrir algunas de éstas
debilidades, como es el caso del proyecto para la elaboración del plan estratégico informático y
lo realizado por el Consejo de Informática para la elaboración de estándares.
Incipiente estandarización
Una de las muestras de las carencias en materia de gestión de la TI es la apenas incipiente
estandarización, dejando en claro que a pesar de llevar más de 10 años de los que podríamos
considerar un proceso de uso de los SIBC con una perspectiva amplia y eficiente, no es sino
recientemente que el Consejo de Informática ha incursionado en la emisión de estándares,
habiéndose aprobado el relativo a las características técnicas del equipo que se adquiera y en
proceso de aprobación los relativos a metodología para desarrollo y mantenimiento de
sistemas de información, metodología para la administración de proyectos y condiciones
contractuales para la adquisición de servicios informáticos.
Escaso desarrollo de la auditoría de sistemas en el Ministerio.
37
Capítulo 2 Modelo Metodológico Propuesto
Conforme la normativa vigente, la función de auditoría de sistemas o auditoría informática
corresponde a la Dirección General de Auditoría Interna, situación que se presenta de igual
manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos
recursos humanos y tecnológicos, las actividades realizadas se limitan a algunos intentos de
auditoría de sistemas en operación, en aplicaciones para el desarrollo de algunos procesos
computadorizados y en estudios de seguimiento a la aplicación de disposiciones de la
Contraloría General de la República, como resultado de las evaluaciones realizadas en
algunos de los sistemas de información en operación. Asimismo, se han emitido criterios en
diferentes ocasiones sobre esta temática, especialmente en cuanto a controles de alto nivel.
Responsabilidad de la administración y responsabilidad de la auditoría de sistemas.
Conforme los conceptos básicos sobre control interno y auditoría, es la administración la
responsable del establecimiento, análisis y mejora continua de los procedimientos y sistemas
de control interno mientras que la auditoría se orienta a la evaluación de los mismos con
criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos
conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y
mantener falsas expectativas en torno a los aportes y resultados que genera la auditoría de
sistemas.
Estudios realizados por la Contraloría General de la República.
En el campo de la auditoría de sistemas la Contraloría General de la República ha realizado
algunas evaluaciones a determinados sistemas de información, destacando el realizado en el
año 2000 sobre el desarrollo y operación del Sistema de Información Integral para la
Administración Tributaria ( Informe No. 37/2000 ya citado), en el que se precisan varias
deficiencias en la aplicación de un marco metodológico, así como otros tipos de problemáticas
que revelan, por ejemplo, información de mala calidad e inadecuado manejo en sus formatos
fuentes, “que permiten concluir que los recursos invertidos no están redituando todos los
beneficios esperados, que hay puntos de control que no fueron debidamente observados, y
que el usuario de estos servicios, el usuario contribuyente no está obteniendo todo lo que
podría de los tributos que paga”
Conciencia generalizada sobre la conveniencia o necesidad de la auditoría de sistemas.
38
Capítulo 2 Modelo Metodológico Propuesto
Existe un consenso evidente en torno a la necesidad de desarrollar la auditoría de sistemas en
la institución, esto es una destacable fortaleza por representar un importante elemento
facilitador para la introducción y consolidación de la auditoría de sistemas en el Ministerio.
Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarán en
el campo de la auditoría de sistemas.
El Ministerio se ha planteado importantes proyectos y retos para los próximos años en materia
tecnológica, lo cual no sólo resulta meritorio sino también una importante fuente de riesgos,
especialmente en torno al tema de la seguridad de los sistemas, especialmente por la línea
establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del
negocio sustantivo.
Principales expectativas en cuanto al aporte de la auditoría de sistemas.
Conforme con la opinión mayoritaria de los entrevistados, en el Ministerio el perfeccionamiento
de los sistemas de información es uno de los principales aportes que se esperan de la auditoría
de sistemas, ello denota cierta falta de precisión sobre la responsabilidad de la propia
administración en torno a la gestión de la TI, de cuyos esfuerzos dependerá la superación de la
problemática identificada en este campo.
Conviene indicar que muchos de los puntos mencionados también fueron destacados en los
otros proyectos de aplicación práctica realizados por otros grupos de Proyecto Integrado II del
programa de maestría.
2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI
39
Capítulo 2 Modelo Metodológico Propuesto
A continuación se presenta la propuesta del ideal de modelo metodológico operativo, elaborada
de la consideración de diferentes alternativas presentadas así como de la situación de la
gestión de la TI en la institución, caracterizada en el diagnóstico ya presentado.
Es importante destacar que se pretende presentar el ideal a alcanzar independientemente de
que luego se analice como entrar a su implantación. En ese sentido es claro que en un
principio no se podrá aplicar en su totalidad en virtud del grado de madurez en cuanto a gestión
de la TI en que se encuentra el Ministerio, según lo descrito en el apartado anterior.
Para la definición de la propuesta a partir de las alternativas ya presentadas existen dos
opciones: seleccionar uno de los modelos presentados o a partir de ellos elaborar un
planteamiento propio. Para nuestros efectos optamos por la primera considerando los
siguientes criterios:
Los modelos presentados son bastante completos.
Las diferencias entre ellos, como ya se estableció, obedecen a aspectos de
forma y a la evolución propia de la TI.
Los modelos han sido elaborados por expertos o equipos de expertos en el
campo.
Nuestra reducida experiencia en el campo
2.3.1 Criterios de selección
Establecido el camino a seguir, a continuación se presentan los criterios utilizados para
seleccionar uno de los modelos presentados.
Actualidad
Es importante que el modelo considere los últimos avances de la TI, esperando que tanto en
cuanto al ámbito como en lo que respecta al enfoque de la función auditora y de control interno,
se tomen en consideración las últimas innovaciones y conceptos de avanzada. En ese sentido,
aspectos como la utilización de los conceptos modernos sobre el control interno elaborados por
organizaciones especializadas a nivel mundial ( como es el caso del Informe COSO) y la
incorporación de la seguridad a nivel de redes en el marco de internet, aplicaciones en
ambiente de tres capas, entre otros, deben ser adecuadamente considerados en la opción que
se seleccione.
40
Capítulo 2 Modelo Metodológico Propuesto
Respaldo técnico.
Sin menospreciar el aporte de los expertos individuales, es claro que los enfoques logrados con
la participación de equipos multidisciplinarios de distintos expertos y considerando diferentes
estándares internacionales generan una mayor confiabilidad, además de que el respaldo
técnico de estos equipos garantiza una oportuna actualización y la universalidad del mismo.
Consideración del papel de la Administración
Es importante que el modelo pondere adecuadamente el papel de la Administración en el
control y le proporcione herramientas y criterios que le permitan desarrollar los esfuerzos que le
competen en materia de control y la orienten hacia la autoevaluación. Este aspecto es de
especial relevancia para el fortalecimiento del sistema de control interno en la institución, en
virtud de las debilidades en el ambiente de control mencionadas en el diagnóstico.
Disponibilidad de una herramienta automatizada.
La existencia de una herramienta automatizada para la realización de la Auditoría de TI es una
importante fortaleza de un modelo metodológico – operativo, ya que se convierte en una
facilidad para agilizar el cumplimiento de las funciones, permitiendo una mayor oportunidad y
en consecuencia, permitiendo generar valor agregado.
En caso de no disponer de tal herramienta automatizada, el desarrollo de una herramienta
demandaría un esfuerzo mayor para la implantación, por tener que dedicar recursos y tiempo
para este propósito.
En el mismo sentido es ideal que también se disponga de una herramienta para la
Administración.
2.3.2 Descripción del Modelo Propuesto
Conforme con los criterios expuestos, como modelo metodológico operativo para el Ministerio
de Hacienda se propone la utilización del modelo elaborado por la Information Systems Audit
and Control Association-ISACA, denominado Objetivos de Control para la Información y
Tecnologías Afines (COBIT por sus siglas en inglés).
Este modelo fue liberado en 1996 y actualizado en 1998 (2ª Edición) y 2000 (3ª Edición), con lo
cual se ha ajustado para considerar los avances en la gestión de la TI, así como los nuevos
enfoques conceptuales en el campo del control y la auditoría. Este es un aspecto de gran
41
Capítulo 2 Modelo Metodológico Propuesto
relevancia puesto que evidencia lo que representa sin lugar a dudas una de las importantes
fortalezas del modelo, siendo de especial relevancia en el campo de la TI, caracterizado por la
rapidez y profundidad de los cambios.
Por otra parte, el modelo armoniza 18 reconocidos estándares Internacionales en temas de
control, entre ellos COSO, ISO 9000, OECD, ITSEC, TSEC y Estándares de IS Japón. La
consideración de todos estos estándares, hace que el modelo pueda efectivamente
considerarse como un resumen de “mejores prácticas” en materia de control y TI, aspecto que
difícilmente puede encontrarse en las otras alternativas.
Asimismo, este modelo cuenta con el respaldo de varias organizaciones especializadas y
expertos en la materia, comprometidos con el proyecto a los efectos de garantizar la calidad y
la rigurosidad técnica, tal y como se evidencia en el Anexo 1. La cantidad de expertos
involucrados y el nivel de los mismos, convierten a este modelo en una propuesta difícilmente
superable.
De igual forma, es destacable que está dirigido no sólo a auditores informáticos, sino también
a la Administración y a los usuarios, y permite además, determinar el alcance de la tarea de
auditoría e identificar los controles mínimos; pudiendo también utilizarse como una herramienta
de autoevaluación del área de informática. Este aspecto es destacable para el caso que nos
ocupa, toda vez que ha sido claramente establecida en el diagnóstico la necesidad de un
esfuerzo de la Administración por mejorar el ambiente de control, para lo cual, contar con una
guía orientadora resulta de gran utilidad.
La alternativa propuesta tiene la ventaja de que cuenta con una herramienta automatizada de
implementación, tanto para la Administración como para la Auditoría de TI. En cuanto a esta
última, el COBIT Advisor es la herramienta que automatiza la utilización del modelo en la
realización de auditorías de TI, permitiendo:
un proceso consistente para evaluar/auditar la gestión y control de los sistemas de TI.
un benchmark reconocido para la gestión y control de TI.
realizar las auditorías o auto-evaluaciones en tres (3) niveles: Alto Nivel Gerencial
(Dominios / Procesos), detallado de los Objetivos de control, y detallado con las Guías de
Auditoría (pasos del programa).
42
Capítulo 2 Modelo Metodológico Propuesto
la identificación e implementación de objetivos de control y guías de auditoría, basadas en
estándares de “mejores prácticas” y brindar un “mayor valor agregado”. En el capítulo 4 se
profundizará sobre estas características.
Por otra partida el COBIT Manager es la herramienta para uso de la Administración.
Asimismo, en cuanto a la facilidad de adaptación del modelo propuesto, aunque cuenta con
318 objetivos de control, no siempre se tendrá que aplicar plenamente, sino que, por la
estructura del mismo, se pueden dejar de considerar los objetivos que por la naturaleza o
situación de la entidad evaluada, no resultan aplicables. En un sentido amplio, cada objetivo de
trabajo y sus respectivas guías pueden ser consideradas de manera individual.
Adicionalmente, está siendo considerado por la Contraloría General de la República como
elemento orientador para el ajuste al Manual sobre Normas Técnicas de Control Interno
Relativas a los Sistemas de Información Computadorizados.
Por las razones indicadas, consideramos que el modelo propuesto es la mejor alternativa de
solución para el Ministerio, con el propósito de garantizar la evaluación de los controles en la
gestión de TI, así como para la consolidación de un sistema de control interno, que facilite el
cumplimiento de las responsabilidades de la Administración y el uso adecuado de los fondos
públicos.
Los aspectos generales de este modelo ya fueron expuestos en el apartado 2.6, siendo
importante recordar en este momento que el mismo comprende: Un Resumen Ejecutivo, Un
Marco Referencial, Objetivos de Control, Directrices de Auditoría y un Conjunto de
Herramientas de implementación. Para mayor facilidad en el cuadro No.2 se describe cada uno
de ellos.
43
Capítulo 2 Modelo Metodológico Propuesto
CUADRO No. 2DESCRIPCIÓN DE LOS COMPONENTES DEL MODELO COBIT
Resumen Ejecutivo Marco Referencial Objetivos de Control Directrices de Auditoría
Herramientas de Implementación
Consiste en una Síntesis Ejecutiva (que proporciona a la alta gerencia entendimientoy conciencia sobre los conceptos clave y principiosde COBIT
Proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI).Describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la información y los recursos de TI que son impactados en forma primaria por cada objetivo de control.
Contienen declaraciones de los resultados deseados o propósitos a ser alcanzados mediante la implementación de 318 objetivos de control detallados y específicos a través de los 34 procesos de TI.
Contienen los pasos de auditoría correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisión de los procesos de TI con respecto a los 318 objetivosdetallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento.
El cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rápida y exitosamente en sus ambientes de trabajo.El Conjunto de Herramientas de Implementación incluye la Síntesis Ejecutiva, proporcionando a la alta gerencia con-ciencia y entendimiento de COBIT. También incluye una guía de implementación con dos útiles herramientas – Diagnóstico de la Conciencia de la Gerencia 9 y el Diagnóstico de Control de TI 10 - para proporcionar asistencia en el análisis del ambiente de control en TI de una organización.También se incluyen varios casos de estudio que detallan cómo organizaciones en todo el mundo han implementado COBIT
exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerárquicos y audiencias dentro de las organizaciones.
44
Capítulo 2 Modelo Metodológico Propuesto
A continuación se presentan los el detalle de modelo COBIT según los 4 dominios y 34 procesos, además se detallan los 318 objetivos de control para cada uno de los procesos.
COBIT: OBJETIVOS DE CONTROL SEGÚN DOMINIO Y PROCESO
DOMINIO: PLANEACIÓN Y ORGANIZACIÓN
Proceso: 1.0 Definición de un Plan Estratégico de Tecnología de InformaciónObjetivos de Control:
1.1 Tecnología de Información como parte del Plan de la Organización a corto y largo plazo1.2 Plan a largo plazo de Tecnología de Información.1.3 Plan a largo plazo de Tecnología de Información - Enfoque y Estructura1.4 Cambios al Plan a largo plazo de Tecnología de Información1.5 Planeación a corto plazo para la función de Servicios de Información.1.6 Comunicación de los planes de Tecnología de Información1.7 Monitoreo y Evaluación de los planes de Tecnología de Información1.8 Evaluación de sistemas existentes.
Proceso: 2.0 Definición de la Arquitectura de InformaciónObjetivos de Control:
2.1 Modelo de la Arquitectura de Información2.2 Diccionario de Datos y Reglas de sintaxis de datos de la corporación2.3 Esquema de Clasificación de Datos2.4 Niveles de Seguridad
Proceso: 3.0 Determinación de la dirección tecnológicaObjetivos de Control:
3.1 Planeación de la Infraestructura Tecnológica3.2 Monitoreo de Tendencias y Regulaciones Futuras3.3 Contingencias en la Infraestructura Tecnológica3.4 Planes de Adquisición de Hardware y Software3.5 Estándares de Tecnología
Proceso: 4.0 Definición de la Organización y de las Relaciones de TIObjetivos de Control:
4.1 Comité de planeación o dirección de la función de servicios de información4.2 Ubicación de los servicios de información en la organización4.3 Revisión de Logros Organizacionales4.4 Funciones y Responsabilidades4.5 Responsabilidad del aseguramiento de calidad4.6 Responsabilidad de la seguridad lógica y física4.7 Propiedad y Custodia4.8 Propiedad de Datos y Sistemas4.9 Supervisión4.10 Segregación de Funciones
45
Capítulo 2 Modelo Metodológico Propuesto
4.11 Asignación de Personal para Tecnología de Información4.12 Descripción de Puestos para el Personal de la Función de TI4.13 Personal clave de TI4.14 Procedimientos para personal por contrato4.15 Relaciones
Proceso : 5.0 Manejo de la Inversión en Tecnología de In-formaciónObjetivos de Control:
5.1 Presupuesto Operativo Anual para la Función de Servicio de información5.2 Monitoreo de Costo - Beneficio5.3 Justificación de Costo - Beneficio
Proceso: 6.0 Comunicación de la dirección y aspiraciones de la gerenciaObjetivos de Control:
6.1 Ambiente positivo de control de la información6.2 Responsabilidad de la Gerencia en cuanto a Políticas6.3 Comunicación de las Políticas de la Organización6.4 Recursos para la implementación de Políticas6.5 Mantenimiento de Políticas6.6 Cumplimiento de Políticas, Procedimientos y Estándares6.7 Compromiso con la Calidad6.8 Política sobre el Marco de Referencia para la Seguridad y el Control Interno6.9 Derechos de propiedad intelectual6.10 Políticas Específicas6.11 Comunicación de Conciencia de Seguridad en TI
Proceso: 7.0 Administración de Recursos HumanosObjetivos de Control:
7.1 Reclutamiento y Promoción de Personal7.2 Personal Calificado7.3 Roles y responsabilidades7.4 Entrenamiento de Personal7.5 Entrenamiento Cruzado o Respaldo de Personal7.6 Procedimientos de Acreditación 17 de Personal7.7 Evaluación de Desempeño de los Empleados7.8 Cambios de Puesto y Despidos
Proceso: 8.0 Aseguramiento del Cumplimiento de Requerimientos ExternosObjetivos de Control:
8.1 Revisión de Requerimientos Externos8.2 Prácticas y Procedimientos para el Cumplimiento de Requerimientos Externos8.3 Cumplimiento de los Estándares de Seguridad y Ergonomía8.4 Privacidad, Propiedad Intelectual y Flujo de Datos8.5 Comercio Electrónico8.6 Cumplimiento con Contratos de Seguros
46
Capítulo 2 Modelo Metodológico Propuesto
Proceso: 9.0 Evaluación de RiesgosObjetivos de Control:9.1 Evaluación de Riesgos del Negocio9.2 Enfoque de Evaluación de Riesgos9.3 Identificación de Riesgos9.4 Medición de Riesgos9.5 Plan de Acción contra Riesgos9.6 Aceptación de Riesgos9.7 Selección del resguardo9.8 Compromiso de Valoración de riesgo
Proceso: 10.0 Administración de proyectosObjetivos de Control:
10.1 Marco de Referencia para la Administración de Proyectos10.2 Participación del Departamento Usuario en la Iniciación de Proyectos10.3 Miembros y Responsabilidades del Equipo del Proyecto10.4 Definición del Proyecto10.5 Aprobación del Proyecto10.6 Aprobación de las Fases del Proyecto10.7 Plan Maestro del Proyecto10.8 Plan de Aseguramiento de la Calidad de Sistemas10.9 Planeación de Métodos de Aseguramiento10.10 Administración Formal de Riesgos de Proyectos10.11 Plan de Prueba10.12 Plan de Entrenamiento10.13 Plan de Revisión Post Implementación
Proceso: 11.0 Administración de CalidadObjetivos de Control:
11.1 Plan General de Calidad11.2 Enfoque de Aseguramiento de Calidad11.3 Planeación del Aseguramiento de Calidad11.4 Revisión de Aseguramiento de Calidad sobre el Cumplimiento de Estándares y
Procedimientos de la Función de Ser-vicios de Información11.5 Metodología del Ciclo de Vida de Desarrollo de Sistemas11.6 Metodología del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnología Actual11.7 Actualización de la Metodología del Ciclo de Vida de Desarrollo de Sistemas11.8 Coordinación y Comunicación11.9 Marco de Referencia de Adquisición y Mantenimiento para la Infraestructura de
Tecnología11.10 Relaciones con Terceras Partes como Implementadores11.11 Estándares para la Documentación de Programas11.12 Estándares para Pruebas de Programas11.13 Estándares para Pruebas de Sistemas11.14 Pruebas Piloto/En Paralelo11.15 Documentación de las Pruebas del Sistema
47
Capítulo 2 Modelo Metodológico Propuesto
11.16 Evaluación del Aseguramiento de la Calidad sobre el Cumplimiento de Estándar de Desarrollo
11.17 Revisión del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Función de Servicios de Información
11.18 Métricas de Calidad11.19 Reportes de Revisiones de Aseguramiento de la Calidad
DOMINIO ADQUISICIÓN E IMPLEMENTACIÓNProceso: 1.0 Identificación de SolucionesObjetivos de control
1.1 Definición de Requerimientos de Información1.2 Formulación de Acciones Alternativas1.3 Formulación de Estrategias de Adquisición.1.4 Requerimientos de Servicios de Terceros1.5 Estudio de Factibilidad Tecnológica1.6 Estudio de Factibilidad Económica1.7 Arquitectura de Información1.8 Reporte de Análisis de Riesgos1.9 Controles de Seguridad Económicos1.10 Diseño de Pistas de Auditoría1.11 Ergonomía1.12 Selección de Software de Sistema1.13 Control de Abastecimiento1.14 Adquisición de Productos de Software1.15 Mantenimiento de Software de Terceras Partes1.16 Contratos de Programación de Aplicaciones1.17 Aceptación de Instalaciones1.18 Aceptación de Tecnología
Proceso: 2.0 Adquisición y Mantenimiento de Software de AplicaciónObjetivos de control
2.1 Métodos de Diseño2.2 Cambios Significativos a Sistemas Actuales2.3 Aprobación del Diseño2.4 Definición y Documentación de Requerimientos de Archivos2.5 Especificaciones de Programas2.6 Diseño para la Recopilación de Datos Fuente2.7 Definición y Documentación de Requerimientos de Entrada de Datos2.8 Definición de Interfases2.9 Interfases Usuario-Máquina2.10 Definición y Documentación de Requerimientos de Procesamiento2.11 Definición y Documentación de Requerimientos de Salida de Datos2.12 Controlabilidad2.13 Disponibilidad como Factor Clave de Diseño2.14 Estipulación de Integridad de TI en programas de software de aplicaciones2.15 Pruebas de Software de Aplicación2.16 Materiales de Consulta y Soporte para Usuario2.17 Reevaluación del Diseño del Sistema
48
Capítulo 2 Modelo Metodológico Propuesto
Proceso: 3.0 Adquisición y Mantenimiento de Arquitectura de TecnologíaObjetivos de control
3.1 Evaluación de Nuevo Hardware y Software3.2 Mantenimiento Preventivo para Hardware3.3 Seguridad del Software del Sistema3.4 Instalación del Software del Sistema3.5 Mantenimiento del Software del Sistema3.6 Controles para Cambios del Sofware del Sistema3.7 Uso y Monitoreo de Utilidades del Sistema
Proceso: 4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de InformaciónObjetivos de control
4.1 Futuros Requerimientos y Niveles de Servicios Operacionales4.2 Manual de Procedimientos para Usuario4.3 Manual de Operación4.4 Material de Entrenamiento
Proceso: 5.0 Instalación y Acreditación de SistemasObjetivos de control
5.1 Entrenamiento5.2 Adecuación del Desempeño del Software de Aplicación5.3 Plan de implementación5.4 Conversión del sistema5.5 Conversión de datos5.6 Estrategia y planes de prueba5.7 Pruebas de Cambios5.8 Criterios y Desempeño de Pruebas en Paralelo/ Piloto5.9 Prueba de Aceptación Final5.10 Pruebas y Acreditación de Seguridad5.11 Prueba Operacional5.12 Promoción a Producción5.13 Evaluación de la Satisfacción de los Requerimientos del Usuario5.14 Revisión Gerencial Post - Implementación
Proceso: 6.0 Administración de CambiosObjetivos de control
6.1 Inicio y Control de Requisiciones de Cambio6.2 Evaluación del Impacto6.3 Control de Cambios6.4 Cambios de Emergencia6.5 Documentación y Procedimientos6.6 Mantenimiento Autorizado6.7 Política de Liberación de Software6.8 Distribución de Software
49
Capítulo 2 Modelo Metodológico Propuesto
DOMINIO ENTREGA DE SERVICIOS Y SOPORTE
Proceso: 1.0 Definición de Niveles de ServicioObjetivos de control:
1.1 Marco de Referencia para el Convenio de Nivel de Servicio1.2 Aspectos sobre los Acuerdos de Nivel de Servicio1.3 Procedimientos de Ejecución1.4 Monitoreo y Reporte1.5 Revisión de Convenios y Contratos de Nivel de Servicio1.6 Elementos sujetos a Cargo1.7 Programa de Mejoramiento del Servicio
Proceso: 2.0 Administración de Servicios prestados por TercerosObjetivos de control:
2.1 Interfases con Proveedores2.2 Relaciones de Dueños2.3 Contratos con Terceros2.4 Calificaciones de terceros2.5 Contratos con Outsourcing2.6 Continuidad de Servicios2.7 Relaciones de Seguridad2.8 Monitoreo
Proceso: 3.0 Administración de Desempeño y CapacidadObjetivos de control:
3.1 Requerimientos de Disponibilidad y Desempeño3.2 Plan de Disponibilidad3.3 Monitoreo y Reporte3.4 Herramientas de Modelado3.5 Manejo de Desempeño Proactivo3.6 Pronóstico de Carga de Trabajo3.7 Administración de Capacidad de Recursos3.8 Disponibilidad de Recursos3.9 Calendarización de recursos
Proceso: 4.0 Aseguramiento de Servicio ContinuoObjetivos de control:
4.1 Marco de Referencia de Continuidad de Tecnología de Información4.2 Estrategia y Filosofía de Continuidad de Tecnología de Información4.3 Contenido del Plan de Continuidad de Tecnología de Información4.4 Minimización de requerimientos de Continuidad de Tecnología de Información4.5 Mantenimiento del Plan de Continuidad de Tecnología de Información4.6 Pruebas del Plan de Continuidad de Tecnología de Información 4.7 Capacitación sobre el Plan de Continuidad de Tecnología de Información4.8 Distribución del Plan de Continuidad de Tecnología de Información4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
50
Capítulo 2 Modelo Metodológico Propuesto
4.10 Recursos críticos de Tecnología de Información4.11 Centro de Cómputo y Hardware de respaldo4.12 Sitio externo de almacenamiento de respaldo4.13 Procedimientos de Refinamiento del Plan de Continuidad de TI
Proceso: 5.0 Garantizar la Seguridad de SistemasObjetivos de control:
5.1 Administrar Medidas de Seguridad5.2 Identificación, Autenticación y Acceso5.3 Seguridad de Acceso a Datos en Línea5.4 Administración de Cuentas de Usuario5.5 Revisión Gerencial de Cuentas de Usuario5.6 Control de Usuarios sobre Cuentas de Usuario5.7 Vigilancia de Seguridad5.8 Clasificación de Datos5.9 Administración Centralizada de Identificación y Derechos de Acceso5.10 Reportes de Violación y de Actividades de Seguridad5.11 Manejo de Incidentes5.12 Re-acreditación5.13 Confianza en Contrapartes5.14 Autorización de Transacciones5.15 No Rechazo5.16 Sendero Seguro5.17 Protección de funciones de seguridad5.18 Administración de Llave Criptográfica5.19 Prevención, Detección y Corrección de Software “Malicioso”5.20 Arquitecturas de FireWalls y conexión a redes públicas5.21 Protección de Valores Electrónicos
Proceso: 6.0 Identificación y Asignación de CostosObjetivos de control:
6.1 Elementos Sujetos a Cargo6.2 Procedimientos de Costeo6.3 Procedimientos de Cargo y Facturación a Usuarios
Proceso: 7.0 Educación y Entrenamiento de UsuariosObjetivos de control:
7.1 Identificación de Necesidades de Entrenamiento7.2 Organización de Entrenamiento7.3 Entrenamiento sobre Principios y Conciencia de Seguridad
Proceso: 8.0 Apoyo y Asistencia a los Clientes de Tecnología de InformaciónObjetivos de control:
8.1 Buró de Ayuda8.2 Registro de Preguntas del Usuario8.3 Escalamiento de Preguntas del Cliente
51
Capítulo 2 Modelo Metodológico Propuesto
8.4 Monitoreo de Atención a Clientes8.5 Análisis y Reporte de Tendencias
Proceso: 9.0 Administración de la ConfiguraciónObjetivos de control:
9.1 Registro de la Configuración9.2 Base de la Configuración9.3 Registro de Estatus9.4 Control de la Configuración9.5 Software no Autorizado9.6 Almacenamiento de Software9.7 Procedimientos de administración de configuración 9.8 Responsabilidad del software
Proceso: 10.0 Administración de Problemas e IncidentesObjetivos de control:
10.1 Sistema de Administración de Problemas10.2 Escalamiento de Problemas10.3 Seguimiento de Problemas y Pistas de Auditoría10.4 Autorizaciones de accesos temporales y de emergencia10.5 Prioridades de procesamiento de emergencia
Proceso: 11.0 Administración de DatosObjetivos de control:
11.1 Procedimientos de Preparación de Datos11.2 Procedimientos de Autorización de Documentos Fuente11.3 Recopilación de Datos de Documentos Fuente11.4 Manejo de Errores de Documentos Fuente11.5 Retención de Documentos Fuente11.6 Procedimientos de Autorización de Entrada de Datos11.7 Chequeos de Exactitud, Suficiencia y Autorización11.8 Manejo de Errores en la Entrada de Datos11.9 Integridad de Procesamiento de Datos11.10 Validación y Edición de Procesamiento de Datos11.11 Manejo de Error en el Procesamiento de Datos11.12 Manejo y Retención de Salida de Datos11.13 Distribución de Salida de Datos11.14 Balanceo y Conciliación de Datos de Salida11.15 Revisión de Salida de Datos y Manejo de Errores11.16 Provisiones de Seguridad para Reportes de Salida11.17 Protección de Información Sensible durante transmisión y transporte11.18 Protección de Información Crítica a ser Desechada11.19 Administración de Almacenamiento11.20 Períodos de Retención y Términos de Almacenamiento11.21 Sistema de Administración de la Librería de Medios
52
Capítulo 2 Modelo Metodológico Propuesto
11.22 Responsabilidades de la Administración de la Librería de Medios11.23 Respaldo y Restauración11.24 Funciones de Respaldo11.25 Almacenamiento de Respaldo11.26 Archivo11.27 Protección de Mensajes Sensitivos11.28 Autenticación e Integridad11.29 Integridad de Transacciones Electrónicas11.30 Integridad Continua de Datos Almacenados
Proceso: 12.0 Administración de InstalacionesObjetivos de control:
12.1 Seguridad Física12.2 Discreción de las Instalaciones de Tecnología de Información12.3 Escolta de Visitantes12.4 Salud y Seguridad del Personal12.5 Protección contra Factores Ambientales12.6 Suministro Ininterrumpido de Energía
Proceso: 13.0 Administración de OperacionesObjetivos de control:
13.1 Manual de procedimientos de Operación e Instrucciones13.2 Documentación del Proceso de Inicio y de Otras Operaciones13.3 Calendarización de Trabajos13.4 Salidas de la Calendarización de Trabajos Estándar13.5 Continuidad de Procesamiento13.6 Bitácoras de Operación13.7 Resguardo de formas especiales y dispositivos de salida 13.8 Operaciones Remotas
DOMINIO MONITOREO
Proceso: 1.0 Monitoreo del ProcesoObjetivos de control:
1.1 Recolección de Datos de Monitoreo1.2 Evaluación de Desempeño1.3 Evaluación de la Satisfacción de Clientes1.4 Reportes Gerenciales
Proceso: 2.0 Evaluar lo adecuado del Control InternoObjetivos de control:
2.1 Monitoreo de Control Interno2.2 Operación oportuna del Control Interno
53
Capítulo 2 Modelo Metodológico Propuesto
2.3 Reporte sobre el Nivel de Control Interno2.4 Seguridad de operación y aseguramiento de Control Interno
Proceso: 3.0 Obtención de Aseguramiento IndependienteObjetivos de control3.1 Certificación / Acreditación Independiente de Control y Seguridad de los servicios de TI3.2 Certificación / Acreditación Independiente de Control y Seguridad de proveedores externos de servicios3.3 Evaluación Independiente de la Efectividad de los Servicios de TI3.4 Evaluación Independiente de la Efectividad de proveedores externos de servicios3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios3.7 Competencia de la Función de Aseguramiento Independiente3.8 Participación Proactiva de Auditoría
Proceso: 4.0 Proveer Auditoría IndependienteObjetivos de control4.1 Estatutos de Auditoría4.2 Independencia4.3 Etica y Estándares Profesionales4.4 Competencia4.5 Planeación4.6 Desempeño del Trabajo de Auditoría4.7 Reporte4.8 Actividades de Seguimiento
54
Capítulo 3 Propuesta de Organización de Auditoría de TI
CAPITULO 3
PROPUESTA DE ORGANIZACIÓN DE LA AUDITORIA DE TECNOLOGIA
DE LA INFORMACIÓN
El propósito final de este capítulo es proponer la organización para el ejercicio de la Auditoría
de TI en el Ministerio, así como los requerimientos de recursos humanos y capacitación. Para
ello en primera instancia se repasan los elementos conceptuales del tema y se retoma la
situación actual.
3.1 ASPECTOS CONCEPTUALES Y LEGALES
A continuación se retoman los elementos conceptuales que resultan ilustrativos en cuanto a los
temas de fondo del capítulo.
En primer lugar, es preciso puntualizar la diferenciación desde el punto de vista conceptual y
funcional en cuanto control interno informático y a la Auditoría de TI.
3.1.1 Control Interno Informático
El control interno informático controla diariamente que todas las actividades relacionadas con
gestión de la TI sean realizadas cumpliendo los procedimientos estándares y normas fijados
por la dirección de la organización, así como los requerimientos legales. Este suele
desarrollarse por un órgano de staff de la Dirección del Departamento de Informática.
Como principales objetivos podemos indicar:
Controlar que todas las actividades se realicen según los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de la Auditoría de TI.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático.
Realizar en los diferentes sistemas ( centrales, departamentales, redes locales) y
entornos informáticos el control de las diferentes actividades operativas.
55
Capítulo 3 Propuesta de Organización de Auditoría de TI
3.1.2 Auditoría de TI
La Auditoría de TI es el proceso realizado para recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado, salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y
procedimientos informáticos más complejos, desarrollando y aplicando técnicas de auditoría
incluyendo el uso del software.
El auditor es responsable de revisar e informar a la dirección de la organización sobre el
diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información
suministrada.
En el cuadro siguiente se muestran los objetivos comunes y las diferencias entre ambas
funciones.
CUADRO No 3
SIMILITUDES Y DIFERENCIAS ENTRE LA UNIDAD DE CONTROL INTERNO DE TI Y AUDITORIA DE
TI
CONTROL INTERNO DE TI AUDITORIA DE TI
SIMILITUDES
Personal Interno Conocimientos especializados en TI, verificación del
cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para la gestión de TI.
DIFERENCIAS
Análisis de los controles en el día a día.
Informa a la Dirección del Departamento de Informática
Solo personal interno. Alcance de sus funciones
únicamente sobre el Departamento de Informática
Análisis de un momento determinado.
Informa a la Dirección General de la organización.
Personal interno o externo.
Tiene cobertura sobre todos los componentes de TI de la organización.
56
Capítulo 3 Propuesta de Organización de Auditoría de TI
Fuente: Piattini Mario G. y Del Peso, Emilio. Auditoría Informática: Un Enfoque Práctico. México D.F.
Editorial Alfa Omega,1998. Pag.30
Es preciso recordar que nuestro interés es la Auditoría de TI, por lo que los aspectos relativos a
la organización y funcionamiento del control interno quedan para otra investigación.
3.1.3 Normativa sobre evaluación de sistemas de información computadorizada
La Contraloría General de la República se ha manifestado explícitamente sobre el tema
mediante la norma 302.10.01 del “Manual sobre Normas Técnicas de Control interno relativas
a los Sistemas de Información Computadorizados” (SIC), emitido en noviembre de 1995, según
la cual: “ La Unidad de Auditoría Interna evaluará el cumplimiento, la suficiencia y la validez del
control interno en los SIC.”
Complementariamente se indica que para cumplir con su competencia, la auditoría interna
deberá planear y ejecutar auditorías de los sistemas de información computadorizados y como
parte de ellas, evaluar el cumplimiento, la suficiencia y la validez del sistema de control interno,
teniendo como marco de referencia la normativa expuesta en el citado manual. Debe verificar
que los sistemas operen en forma eficiente y eficaz y que brinden información útil y confiable.
Deberá utilizar las técnicas y herramientas computadorizadas que considere convenientes y
oportunas.
3.1.4 Normativa sobre las auditorías internas
La Ley N°7428 “Ley Orgánica de la Contraloría General de la República” en sus artículos 61 y
62, señala entre otras cosas, que cada sujeto componente de la Hacienda Pública tendrá una
auditoría interna la cual deberá contar con los recursos necesarios para el cumplimiento de sus
funciones. Adicionalmente, las auditorías internas ejercerán sus funciones con independencia
funcional y de criterio, respecto del jerarca y los demás órganos de la administración activa.
Dependerán orgánicamente del jerarca unipersonal o colegiado cuando éste exista, debiendo
organizarse y funcionar conforme lo establece el Manual para el Ejercicio de la Auditoría
Interna y cualesquiera otras disposiciones emitidas por el órgano contralor.
57
Capítulo 3 Propuesta de Organización de Auditoría de TI
3.1.5 Perfil del Auditor de Tecnología de Información
De conformidad con la información recopilada en las instituciones consideradas en el
diagnóstico realizado, así como los criterios de diferentes autores consultados, especialmente
Arauz, Manuel y Piattini, Mario G, los conocimientos y preparación necesaria para ejecutar la
función de auditoría de sistemas a cabalidad, son los siguientes:6
El auditor debe nutrirse de conceptos de tres áreas: la auditoría, la informática y la
administración para estar en capacidad de evaluar la función informática.
Con respecto a la auditoría deberá conocer toda la filosofía del control en la cual ésta se
fundamenta. Las técnicas y procedimientos de trabajo que se utilizan para ejecutar una
auditoría en el área informática difieren muy poco de las que pueden utilizarse en el campo
de la auditoría financiero-contable. Por esta razón, la forma de preparar los programas de
auditoría, los papeles de trabajo y los informes deberán ajustarse a las técnicas y
procedimientos aplicados en el campo de la auditoría.
Conocimientos generales sobre la teoría general de riesgos y controles, sobre el sistema de
control interno de las organizaciones y sobre riesgos y controles aplicables en sistemas
automatizados, son parte de los conocimientos que deberá absorber de esta área.
De la informática requiere obtener conocimientos generales sobre técnicas de análisis y
diseño e implantación de sistemas, sobre bases de datos y telecomunicaciones, de
técnicas y lenguajes de programación, de los sistemas operativos, del “hardware” y
“software” disponibles en la empresa donde labora, ofimática, comercio electrónico, redes
locales, seguridad física, encriptación de datos, operaciones y planificación informática,
efectividad de las operaciones y rendimiento de los sistemas.
De la administración requiere conocer los conceptos tradicionales de planeación,
organización, dirección y control.
6Arauz, Manuel. Auditoría de Sistemas: por qué?. Universidad Internacional de las Américas, 1996.Piattini, Mario G y Del Peso, Emilio. Auditoría Informática: un enfoque práctico. Alfaomega. México. 1998
58
Capítulo 3 Propuesta de Organización de Auditoría de TI
Este auditor requiere contar con habilidades para expresarse con claridad tanto en forma
oral como escrita y necesita de una mente crítica que le permita analizar y cuestionar, con
sumo cuidado, las diferentes actividades que evalúa. Debe sumar a esto un conocimiento
amplio del tipo de organización en la que realiza su labor que le permita ofrecer una
asesoría constructiva.
Para ejercer sus labores cabalmente en cada una de estas áreas el grado de conocimiento que
debe tener de cada uno de los aspectos mencionados anteriormente varía en cuanto a su
profundidad.
Así, un auditor que se dedique a evaluar la función informática requerirá conocimientos
profundos en administración. Por su parte, quien participe en el desarrollo de sistemas
necesitará conocer muy bien de las técnicas de análisis, diseño e implantación de sistemas,
mientras que para el auditor dedicado a evaluar sistemas en producción el conocimiento que
tenga de los riesgos y controles en sistemas automatizados deberá ser muy sólido.
A todos estos conocimientos el auditor debe agregar un ingrediente muy importante: las
relaciones humanas. Para lograr la confianza de los funcionarios auditados y que las
recomendaciones que se emitan sean bien recibidas, cualidades tales como el tacto, la
empatía, la discreción, el respeto y el buen trato, así como una comunicación directa, franca y
cordial son esenciales para que el auditor logre aceptación y haga que su trabajo sea fructífero.
3.1.6 Principios para el Ejercicio de la Auditoria de TI
A continuación se presenta un conjunto de principios para el desarrollo de la Auditoría de TI, de
conformidad con el enfoque presentado por Jorge Paz Umaña7,
Estos toman elementos de las normas morales y reflejan el sentir mayoritario de los
profesionales a que van dirigidos, en cuanto a lo que se considera como un adecuado
comportamiento ético profesional, sirviendo de reprobación moral de aquellas conductas
contrarias a lo regulado en los mismos.
7 Paz Umaña, Jorge.Deontología del Auditor Informático y Códigos Eticos. En Piattini, Mario G. Y Del Peso Emilio. Auditoría Informática: un enfoque práctico. México. Alfaomega. 1998
59
Capítulo 3 Propuesta de Organización de Auditoría de TI
Principio de beneficio del auditado: El auditor deberá ver cómo se puede conseguir la
máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando
obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de
las soluciones más idóneas según los problemas detectados en el sistema informático. En
ningún caso debe realizar el trabajo bajo el prisma del propio beneficio sino que por el
contrario su actividad debe estar en todo momento orientada a sacar el máximo provecho
de su cliente.
Principio de capacidad: El auditor debe estar plenamente capacitado para la realización de
la auditoría encomendada, máxime teniendo en cuenta que en la mayoría de los casos,
dada su especialización, a los auditados en algunos casos le puede ser extremadamente
difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas.
Principio de cautela: El auditor debe en todo momento ser consciente de que sus
recomendaciones deben estar basadas en la experiencia contrastada que se le supone
tiene adquirida, evitando que por un exceso de vanidad, el auditado se embarque en
proyectos de futuro fundamentados en simples intuiciones sobre la posible evolución de las
nuevas tecnologías de la información.
Principio de comportamiento profesional: El auditor tanto en sus relaciones con el auditado
como con terceras personas deberá, en todo momento, actuar conforme a las normas,
implícitas o explícitas de dignidad de la profesión y de corrección en el trato profesional.
Principio de concentración en el trabajo: En su línea de actuación el auditor deberá evitar
que un exceso de trabajo supere las posibilidades de concentración y precisión en cada
una de las tareas a él encomendadas, ya que la saturación y dispersión de trabajos suele a
menudo, si no está debidamente controlada, provocar la conclusión de los mismos sin las
debidas garantías de seguridad.
Principio de confianza: El auditor deberá facilitar e incrementar la confianza del auditado
con base en una actuación de transparencia en su actividad profesional, sin alardes
científico técnicos, que por su incomprensión puedan restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas de actuación. Para fortalecer la confianza mutua
se requiere por ambas partes una disposición de diálogo sin ambigüedades que permita
60
Capítulo 3 Propuesta de Organización de Auditoría de TI
aclarar las dudas que, a lo largo de la auditoría, pudieran surgir sobre cualquier aspecto
que pudieran resultar conflictivos, todo ello con la garantía del secreto profesional que debe
regir en su relación.
Principio de criterio propio: El auditor durante la ejecución de la auditoría deberá actuar con
criterio propio y no permitir que este esté subordinado al de otros profesionales, aún de
reconocido prestigio, que no coincidan con el mismo.
Principio de discreción: El auditor deberá en todo momento mantener una cierta discreción
en el divulgación de datos, aparentemente inocuos, que se hayan puesto de manifiesto
durante la ejecución de la auditoría.
Principio de economía. El auditor deberá proteger en la medida de sus conocimientos los
derechos económicos del auditado, evitando generar gastos innecesarios durante el
ejercicio de su actividad. En las recomendaciones y conclusiones realizadas con base en su
trabajo deberá asimismo eludir, incitar o proponer actuaciones que puedan generar gastos
innecesarios o desproporcionados.
Principio de formación continuada. Este principio íntimamente relacionado al principio de
capacidad y vinculado a la continua evolución de las tecnologías de la información y las
metodologías relacionadas con las mismas, impone a los auditores el deber y la
responsabilidad de mantener una permanente actualización de los conocimientos y
métodos a fin de adecuarlos a las demandas y las exigencias de la competencias de la
oferta.
Principio de fortalecimiento y respeto de la profesión: La defensa de los auditados pasa por
el fortalecimiento de la profesión de los auditores informáticos, lo que exige un respeto por
el ejercicio globalmente considerado, de la actividad desarrollada por los mismos y un
comportamiento acorde con los requisitos exigibles para el idóneo cumplimiento de la
finalidad de las auditorías. Deberá promover el respeto mutuo y la no confrontación entre
compañeros.
61
Capítulo 3 Propuesta de Organización de Auditoría de TI
Principio de independencia: Muy relacionado con el de criterio propio, obliga al auditor a
exigir una total autonomía e independencia en su trabajo, condición imprescindible para
permitirle actuar libremente según su leal saber y entender.
Principio de información suficiente: Obliga al auditor a ser plenamente de su obligación de
aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado,
información tanto sobre todos y cada uno de los puntos relacionados con la auditoría que
pueden tener interés para él, como sobre las conclusiones a las que ha llegado, e
igualmente informarle sobre la actividad desarrollada durante la misma que ha servido de
base para llegar dichas conclusiones.
Principio de integridad moral: Este principio, inherentemente ligado a la dignidad de
persona, obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a
ajustarse a las normas morales de justicia y probidad y a evitar participar, voluntaria o
inconscientemente en cualesquiera actos de corrupción personal o de terceras personas.
Principio de legalidad. En todo momento el auditor deberá utilizar sus conocimientos para
facilitar a los auditados o a terceras personas, la contravención de la legalidad vigente. En
ningún caso consentirá ni colaborará en la desactivación o eliminación de dispositivos de
seguridad ni intentará obtener los códigos o claves de acceso a sectores restringidos de
información generados para proteger los derechos, obligaciones o intereses de terceros.
Principio de la no descriminación. El auditor en su actuación previa, durante y posterior a la
auditoría, deberá evitar inducir, participar, o aceptar situaciones discriminatorias de ningún
tipo, debiendo ejercer su actividad profesional sin prejuicios de ninguna clase y con
independencia de las características personales, sociales o económicas de sus clientes.
Principio de no injerencia. El auditor, dada la incidencia que puede derivarse de su tarea,
deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir
hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar
un cierto desprestigio de su cualificación profesional.
Principio de precisión. Este principio exige del auditor la no conclusión de su trabajo hasta
estar convencido en la medida de lo posible, de la viabilidad de sus propuestas, debiendo
62
Capítulo 3 Propuesta de Organización de Auditoría de TI
ampliar el estudio del sistema informático cuanto considere necesario sin agobios de
plazos, siempre que se cuente con la aquiescencia del auditado, hasta obtener dicho
convencimiento.
Principio de responsabilidad. El auditor deberá, como elemento intrínseco de todo
comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje, sirviendo
esta forma de actuar como cortapisa de injerencias extraprofesionales.
Principio de secreto profesional. La confidencia y la confianza son características
esenciales de las relaciones entre el auditor y el auditado e imponen al primero la
obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de
su actividad profesional. Solamente por imperativo legal podrá decaer esa obligación.
Principio de servicio público. Incita al auditor a hacer lo que esté en su mano para evitar
daños sociales como los que pueden producirse en los casos en que, durante la ejecución
de la auditoría descubra elementos de software dañinos (virus informáticos), que puedan
propagarse a otros sistemas informáticos diferentes del auditado.
Principio de veracidad. El auditor en sus comunicaciones con el auditado deberá tener
siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los
límites impuestos por los deberes de respeto, corrección y secreto profesional.
En tanto éstos principios no estén plenamente asumidos, como configuradores de la dimensión
ética de la profesión, puede apelarse a los comportamientos morales individuales. En nuestro
caso los hemos incluido por considerarlos de utilidad para la conformación de criterios
orientadores sobre la manera en que la Auditoría de TI debe orientar sus actuaciones.
3.2 ORGANIZACIÓN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA
3.2.1 Antecedentes
La Dirección General de Auditoría Interna del Ministerio de Hacienda fue creada en el año 1989
con el nombramiento de la Directora en mayo de ese año, posteriormente con la publicación
del reglamento de organización y funciones, mediante el Decreto Ejecutivo No.19067 – H
63
Capítulo 3 Propuesta de Organización de Auditoría de TI
publicado el 4 de julio de 1989, se formaliza la existencia de la unidad. Se le concibe como una
dependencia asesora del Ministro de Hacienda y orgánicamente dependiente de éste.
En el año 1990 se nombraron nuevos funcionarios y gradualmente se fue consolidando el
equipo humano de la dirección, que llegó a ser de 30 puestos en el año 1996, para
posteriormente disminuir como resultado de la política de reducción de puestos en el Gobierno,
hasta llegar a los 18 puestos que actualmente la conforman.
En el año 2000 se aprobó un nuevo Manual Institucional de Clases, que entre otros aspectos
respondió a la ya citada política de reducción de puestos como también a la reforma general
del Ministerio con una marcada tendencia al uso de nueva tecnología y sistemas de
información computadorizados. De esta manera la propuesta de reestructuración consideró
como ejes los siguientes elementos:
Planilla reducida de alto nivel
Tecnología avanzada
Capacitación adecuada permanente
Actualización profesional permanente
Contratación de servicios de auditoría por excepción.8
El proceso de reforma en sentido estricto está aún en desarrollo, habiéndose logrado a la fecha
avances importantes, entre los que destacan:
Reubicación de funcionarios: 1997-1998
Definición de nuevos perfiles de puestos, elaboración y aprobación del Manual
Institucional de Clases de la Dirección General de Auditoría InternaReasignación de
puestos.
Compra de equipo de cómputo
Manejo de software de oficina
Servicio de Internet y correo electrónico: a partir de febrero del 2000
Un sitio en la Página WEB del Ministerio, a partir de agosto del 2000
3.2.2 Objetivo General de la Auditoría Interna
8 Dirección General de Auditoría Interna. Propuesta de Reforma de la Dirección General de Auditoría Interna. Documento Interno presentado al Ministro de Hacienda en julio de 1996.
64
Capítulo 3 Propuesta de Organización de Auditoría de TI
El objetivo general de la Auditoría Interna es prestar un servicio profesional de asesoría
constructiva y de protección a la Administración, proporcionándole en forma oportuna
información, análisis y recomendaciones pertinentes para que alcance sus metas y objetivos
con eficiencia y economía.
3.2.3 Misión, Visión y Valores
La misión ha sido establecida en los siguientes términos:
“Prestar un servicio de asesoría profesional al Ministerio de Hacienda, para el logro de sus
metas y objetivos con eficiencia y economía, proporcionándole, en forma oportuna,
información, análisis y recomendaciones, a fin de colaborar en asegurar a la sociedad
costarricense los recursos necesarios para satisfacer sus necesidades sociales”.9
La Dirección General de Auditoría Interna ha definido su visión de la siguiente manera:
“La visión de la Auditoría Interna se fundamenta en su desarrollo y consolidación como
parte de la estructura de control interno del Ministerio. Con capacidad para formular
recomendaciones viables que proporcionen mejoras sustanciales para el logro de la
misión del Ministerio. Aspiramos a una auditoría de excelencia con una clara orientación
hacia los usuarios, con personal profesional responsable, de gran mística e identificado
con su misión y la del ministerio; con tecnologías modernas y apropiadas a las tareas
que les corresponde ejecutar y con recursos materiales suficientes para su desempeño.
Definimos la auditoría Interna como una unidad asesora al servicio del ministerio para la
salvaguarda de los recursos”. 9
Como complemento, en octubre del año 2000 los funcionarios de la Dirección General de
Auditoría Interna proclamaron los siguientes valores compartidos :
Amor : nuestra labor diaria se fundamenta en el amor personal, a la familia, al
trabajo, a los compañeros y a la institución.
Excelencia: todo lo que realizamos lo hacemos de la mejor forma.
9 Obtenida de la página web del Ministerio: www.hacienda.go.cr9
65
Capítulo 3 Propuesta de Organización de Auditoría de TI
Integridad: como personas y funcionarios públicos nos exigimos integridad total en el
diario vivir.
Sabiduría: nuestras actuaciones siempre serán guiadas por el conocimiento, el
pensamiento, la creatividad, la percepción y la razón.
Cooperación: contribuimos con la unión y estabilidad familiar. Somos un equipo de
apoyo y asesoría a la Administración para el logro de los objetivos institucionales.
3.2.4 Funciones
El artículo 63 de la Ley Orgánica de la Contraloría General de la República (Ley No. 7428 del 4
de noviembre 1994), establece en términos generales las competencias de las auditorías
internas:
a) “Controlar y evaluar el sistema de control interno correspondiente y proponer las
medidas correctivas.
b) Cumplir con las normas técnicas de auditoría, las disposiciones emitidas por la
Contraloría General de la República y las del ordenamiento jurídico.
c) Realiza auditorías y estudios especiales en relación con cualquiera de los órganos
sujetos a su jurisdicción institucional.
d) Asesorar en materia de su competencia al jerarca del cual depende e igualmente
advertir a los órganos pasivos que ellas fiscalizan sobre las posibles consecuencias
de determinadas conductas o decisiones cuando sean de su conocimiento.
e) Autorizar mediante razón de apertura los libros de contabilidad y actas que legal o
reglamentariamente deben llevar los órganos sujetos a su jurisdicción institucional.
f) Las demás que contemplan las normas del ordenamiento de control y fiscalización y
los manuales sobre la materia emitidos por la Contraloría General de la República.”
Para el caso de la Auditoría Interna del Ministerio, el decreto No. 19067 - H y sus reformas le
establece algunas funciones, entre las que destacan:
“Artículo 14º-Para el cumplimiento de sus deberes, la auditoría interna tendrá las
siguientes funciones:
a) Realizar auditorías o estudios especiales de auditoría, de acuerdo con las
normas técnicas de auditoría y otras disposiciones dictadas por la Contraloría
66
Capítulo 3 Propuesta de Organización de Auditoría de TI
General de la República y con las normas de auditoría generalmente aceptadas
en cuanto fueren aplicadas, en cualesquiera unidades administrativas del
Ministerio, en el momento que considere oportuno.
b) Evaluar en forma regular el sistema de control interno en relación con los
aspectos contables, financiero y administrativo, con el fin de determinar su
cumplimiento, suficiencia y validez.
c) Verificar que los bienes patrimoniales se hallen debidamente controlados,
contabilizados, protegidos contra pérdida, menoscabo, mal uso o desperdicio e
inscritos a nombre del Ministerio, cuando se trate de bienes inmuebles sujetos a
ese requisito.
d) Verificar que los recursos financieros, materiales y humanos de que dispone el
Ministerio, se hayan utilizado por la administración con eficiencia, economía y
eficacia.
e) Evaluar el contenido informativo, la oportunidad y la confiabilidad de la
información contable, financiera, administrativa y de otro tipo producida en el
Ministerio.
f) Evaluar los informes que prepara la administración sobre la eficiencia, economía
y eficacia con que se han utilizado los recursos, en el cumplimiento de metas y
objetivos.
g) Verificar el cumplimiento de las disposiciones legales y reglamentarias, de los
objetivos y metas, de las políticas, de los planes, de los programas y de los
procedimientos financieros y administrativos que rigen en el Ministerio.
h) Revisar en forma posterior las operaciones contables, financieras y
administrativas, los registros, los informes y los estados financieros cuando lo
considere pertinente, de acuerdo con su plan de auditoría.
i) Efectuar la evaluación posterior a la ejecución y liquidación presupuestaria del
Ministerio.
j) Realizar la evaluación de los sistemas de procesamiento electrónico de
información del Ministerio y de la información producida por tales sistemas, de
acuerdo con disposiciones generalmente aceptadas.”
3.2.5 Organización
67
Capítulo 3 Propuesta de Organización de Auditoría de TI
La organización de la Dirección General de Auditoría Interna fue aprobada por el Ministerio de
Planificación y Política Económica en diciembre de 1989, conforme ésta se distingue la
Dirección General y dos áreas funcionales: Administración Tributaria y Administrativa
Financiera
En concordancia con la organización del Ministerio, el Area de Auditoría de Administración
Tributaria, le corresponde al Area de Ingresos, donde se ubican las siguientes dependencias:
Despacho del Viceministro de Ingresos
Dirección General de Aduanas
Dirección General de Tributación
Dirección General de Hacienda
Policía de Control Fiscal.
Tribunal Fiscal Administrativo
Tribunal Aduanero Nacional.
Por su parte, el Area de Auditoría Administrativa Financiera atiende el Area de Egresos, que
comprende las siguientes dependencias:
Despacho del Ministro
Despacho del Viceministro de Egresos
Oficinas Asesoras
Oficialía Mayor
Dirección General Administrativa y Financiera
Dirección Jurídica
Dirección General de Informática
Dirección de Crédito Público
Dirección General de Presupuesto Nacional
Contabilidad Nacional
Tesorería Nacional
Proveeduría Nacional.
La estructura funcional de la Dirección General de Auditoría Interna se presenta a continuación:
DIRECCIONGENERA
L
AREA DE AUDITORIA
ADMINISTRACIÓN TRIBUTARIA
AREA DE AUDITORIA ADMINISTRATIVA
FINANCIERA
ESTRUCTURA FUNCIONAL DE LA DIRECCIÓN GENERAL DE AUDITORÍA INTERNA- MINISTERIO DE HACIENDA
A julio 2001
68
Capítulo 3 Propuesta de Organización de Auditoría de TI
3.2.6 Recursos Humanos
La Dirección General de Auditoría Interna cuenta con una plantilla de 18 cargos, según se
muestra en el siguiente cuadro.
CUADRO No. 4
CARGOS DE LA DIRECCION GENERAL DE AUDITORIA INTERNA
A JULIO 2001
Cargo
Cargos Ocupados Cargos vacantes
Total
Director General de Auditoría Interna 1 0 1
Subdirector General de Auditoría Interna 1 0 1
Coordinador General de Auditoría Interna 1 1 2
Auditor Encargado 4 2 6
Auditor 3 1 4
Informático de Auditoría Interna 0 2 2
69
Capítulo 3 Propuesta de Organización de Auditoría de TI
Cargo
Cargos Ocupados Cargos vacantes
Total
Técnico de Auditoría Interna 1 0 1
Asistente Administrativo de Auditoría Interna 1 0 1
Total 12 6 18
Fuente: Manual de Cargos de la Dirección General de Auditoría Interna. Agosto 1999 e información sobre su
ocupación suministrado por la Unidad Técnica de Recursos Humanos.
Conforme lo expuesto en el cuadro anterior, en este momento se cuenta con 12 funcionarios,
por lo que se tienen 6 puestos vacantes, de los cuales 2 corresponden a bachilleres en el área
de informática o computación y los otros 4 son del área de administración. Además se nos
informó que de los 12 actuales, 7 están en propiedad y 5 interinos, lo que significa que deben
sacarse a concurso un total de 11 puestos.
De acuerdo con el Manual Institucional de Clases de la Dirección General de Auditoría Interna,
como requisito específico de capacitación para los cargos de Coordinador General, Auditor
Encargado, Informático de Auditoría Interna y Auditor se establece la auditoría de sistemas.
No obstante lo indicado, de los funcionarios actuales sólo un Auditor Encargado ha recibido
capacitación en auditoría de sistemas por parte del Ministerio y el Coordinador General obtuvo
por sus propios medios la Maestría en Auditoría de Procesamiento Electrónico de Datos.
3.3 PROPUESTA DE ORGANIZACIÓN y REQUERIMIENTOS DE RECURSOS
HUMANOS
A continuación se presenta la propuesta de organización de la Auditoría de TI para el
Ministerio, visualizada de conformidad con lo ya planteado en cuanto al modelo metodológico
operativo y atendiendo lo que sería una primera etapa en el desarrollo de función.
La propuesta distingue el nivel institucional, es decir, el planteamiento sobre la ubicación de la
Auditoría de TI como parte de la estructura orgánica del Ministerio, y por otra parte, la
organización para la unidad que asumirá el desarrollo de estas competencias
70
Capítulo 3 Propuesta de Organización de Auditoría de TI
3.3.1 Organización de la Auditoría de TI
A nivel institucional
De conformidad con la normativa vigente, la naturaleza de las funciones y la estructura
orgánica del Ministerio, es indudable que el desarrollo de las competencias en cuanto a la
Auditoría de TI corresponde a la Dirección General de Auditoría Interna.
Al respecto es preciso recordar que por la naturaleza de la función de auditoría, uno de sus
principios fundamentales es la independencia y objetividad de criterio para lo cual resulta
conveniente que no pertenezca a la unidad responsable de establecer los controles. En ese
sentido, resulta ilustrativo lo indicado por José María González:
“La función de Control Informático Independiente debería ser en primer lugar
independiente del departamento controlado. Ya que “ por segregación de funciones
la informática no debería controlarse a sí misma”. Partiendo de la base de un
concepto en que la seguridad de sistemas abarca un campo mucho mayor de lo
que es la seguridad lógica, podríamos decir que:
-El Area Informática monta los procesos informáticos seguros.
-El control interno monta los controles.
-La Auditoría Informática evalúa el grado de control”10:
De acuerdo con lo expuesto, existen claras diferencias entre las funciones de control
informático y las de auditoría informática (Auditoría de TI para nuestros efectos).
En concordancia con lo indicado, es ilustrativa la siguiente afirmación del tratadista Rafael
Ruano Diez:
“Esta concepción se basa en el nacimiento histórico de la auditoría informática y
en la dificultad de separar el elemento informático de lo que es la auditoría
10 González, Z. José María. Metodologías de Control Interno, Seguridad y Auditoría Informática. En Piattini, Mario y del Peso Emilio. Op cit. Pag. 68
71
Capítulo 3 Propuesta de Organización de Auditoría de TI
operativa y financiera, al igual que lo es separar la operativa de una empresa de
los sistemas de información que la soportan” 11
Finalmente debemos tener presente que la normativa de la Contraloría General de la República
es de acatamiento obligatorio, y lo prescrito en ese particular es congruente con lo propuesto.
A nivel interno
Habiéndose establecido la Auditoría de TI en la Dirección General de Auditoría Interna, es
preciso plantearnos como se integra esta función dentro de la estructura funcional de dicha
Dirección.
La definición de una propuesta sobre este particular no es tan simple, especialmente por la ya
expuesta dificultad de separar en muchos casos la auditoría de sistemas de la auditoría
operacional, así como por la concepción general de la estructura funcional actual, orientada por
el concepto de auditoría integral.
Con el propósito de llegar a un planteamiento específico congruente con el enfoque
metodológico propuesto en el capítulo anterior, a continuación se precisan las consideraciones
que estimamos son el fundamento para la propuesta a presentar:
El modelo metodológico clasifica los objetivos de control en cuatro dominios
funcionales: Planeación y Organización, Adquisición e Implementación, Entrega de
Servicios y Soporte, y Monitoreo.
En virtud del conocimiento del negocio que logran los auditores ubicados en las
áreas funcionales de Administración Tributaria y Administrativa Financiera, la evaluación
de los procesos relacionados con el desarrollo de sistemas de información así como la
evaluación de sistemas en operación, ubicados en los dominios Adquisición e
Implementación y en el de Entrega de Servicios y Soporte, respectivamente, resulta
conveniente que sean atendidos por los auditores de las respectivas áreas funcionales.
11 Ruano Diez, Rafael. Organización del Departamento de Auditoría Informática. Pag 109. En Piattini, Mario y del Peso Emilio. Op cit.
72
Capítulo 3 Propuesta de Organización de Auditoría de TI
La necesidad de especialización, en un campo en el que mantenerse al día con los
avances de la tecnología demanda dedicación y esfuerzos cada vez mayores. Si se
quiere tener capacidad de generar valor agregado en cada una de las evaluaciones,
deberá tenerse suficiente conocimiento técnico y una actitud de adecuación a los
cambios cada vez más acelerados en el campo de la TI.
La conveniencia de que la gestión de TI sea evaluada con una visión integral y no solo
de las áreas funcionales (Administración Tributaria y Administrativa Financiera). En ese
mismo sentido, algunas tareas de la gestión de la TI, como la planeación estratégica y
ciertos servicios específicos como correo electrónico, página web, herramientas
colaborativas, etc, tienen una naturaleza institucional.
La necesidad de que la misma Dirección cuente con un apoyo técnico para la gestión
de la informática en auditoría, es decir, para el soporte y potenciación del uso de las
herramientas informáticas que se introduzcan en apoyo a la labor de la auditoría y la
administración de los recursos disponibles.
En ese sentido se propone la creación de una tercera área funcional denominada Area de
Auditoría de Tecnología de la Información, que será la responsable de atender las funciones y
responsabilidades propias de esta función de conformidad con el modelo operativo
metodológico ya presentado.
Adicionalmente, se recomienda que la evaluación de sistemas en operación corresponda a las
áreas funcionales según el sistema de que se trate, debiendo también preverse que para la
asesoría al desarrollo de sistemas se puedan conformar equipos integrados por funcionarios
del área específica y del área de Auditoría de TI. Para efectos de la conformación de estos
equipos y asignar la responsabilidad del liderazgo de los mismos se debería considerar la
naturaleza del sistema involucrado, entendiendo que en la medida en que sea un sistema de
ámbito institucional será conveniente que el liderazgo corresponda al funcionario del Area de
Auditoría de TI.
Lo propuesto implicaría que los auditores de las áreas de Administración Tributaria y
Administrativa Financiera deberán tener conocimientos en materia de auditoría de la TI, que les
permita desarrollar sus funciones y trabajar en el entorno de las tecnologías de la información
73
Capítulo 3 Propuesta de Organización de Auditoría de TI
dentro de la institución. Los integrantes del Area de Auditoría de TI tendrían con respecto a
éstos una función de apoyo y actualización.
A continuación se visualiza la organización de la Dirección General de Auditoría Interna de
conformidad con la propuesta presentada.
DIRECCIONGENERA
L
AREA DE AUDITORIA
ADMINISTRACIÓN TRIBUTARIA
AREA DE AUDITORIA ADMINISTRATIVA
FINANCIERA
ESTRUCTURA FUNCIONAL PROPUESTA PARA LA DIRECCIÓN GENERAL DE AUDITORÍA INTERNA- MINISTERIO DE
HACIENDA
AREA DE AUDITORIA DE
TECNOLOGÍA DE LA INFORMACION
74
Capítulo 3 Propuesta de Organización de Auditoría de TI
3.3.2 Recursos Humanos
La determinación de una plantilla ideal para un departamento específico plantea retos muy
importantes, cuya atención demanda esfuerzos de orden técnico que exceden nuestras
posibilidades. En efecto, definir la cantidad ideal de funcionarios que debería tener el Area de
Auditoría de TI, implicaría realizar un estudio de cargas de trabajo que supera nuestras
capacidades técnicas y los objetivos mismos de esta investigación, requiriendo para ello
además valorar y profundizar en aspectos como los siguientes:
Ambiente de control de la institución.
Sistemas de información en operación y en desarrollo y una proyección de los mismos.
Situación de otras instituciones públicas.
Capacitación y experiencia de los auditores de las otras áreas de la auditoría.
Rendimientos o medidas de productividad promedio de los auditores.
Disponibilidad de herramientas automatizadas para llevar a cabo las auditorías.
Requerimientos de apoyo técnico para la adecuada utilización de la TI en la auditoría.
Posibilidad de contratación externa de servicios de Auditoría de TI.
Políticas de Gobierno y disposiciones internas en cuanto a creación de plazas.
Una adecuada valoración de todos estos elementos excede nuestras posibilidades. Con el
propósito de plantear una propuesta lo más razonable posible con la información disponible a la
fecha, independientemente de que la misma pueda ser ajustada en la medida en que se
disponga de elementos adicionales, a partir de los siguientes elementos se presentará un
planteamiento:
75
Capítulo 3 Propuesta de Organización de Auditoría de TI
Situación de las instituciones consideradas en el diagnóstico en cuanto a la
relación auditores de TI con respecto al total de la auditoría interna: Compañía
Nacional de Fuerza y Luz 8 de 19 puestos, Banco Central de Costa Rica 8 de
30, Banco Nacional 6 de 76.
Disponibilidad de dos plazas de Profesional Informático de Auditoría Interna
actualmente vacantes en la DGAI.
Restricciones institucionales para la creación de plazas.
Capacitación de todos los funcionarios de las dos áreas funcionales en
Auditoría de TI en temas como: Metodologías para el desarrollo de sistemas,
COBIT, Auditoría de sistemas, Administración del Riesgo, los sistemas
informáticos en operación.
Utilización de herramientas de software tanto para administrar los recursos
como para la realización de auditorías y la adquisición de la herramienta COBIT
tanto para la Administración como para la Auditoría Interna.
Posibilidad de contratación externa.
Considerando los anteriores elementos se propone que la nueva área cuente con los siguientes
recursos:
Un Coordinador General para el Area de Auditoría de TI: Informático con capacitación
y experiencia en auditoría informática y en administración.
2 auditores de TI, Informáticos con capacitación en Administración y en Auditoría de TI.
La propuesta planteada requeriría únicamente la creación o asignación de una plaza, lo
cual se estima factible dentro de las políticas actuales.
76
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
CAPITULO 4
PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA
En el presente capítulo pretendemos ofrecer un panorama sobre las diferentes herramientas
computadorizadas que se pueden utilizar en apoyo a la función de auditoría de la TI y a la
auditoría en general. Para ello se consideran herramientas informáticas de apoyo a la
administración de la auditoría así como para la auditoría informática.
Asimismo, se establecerá una primera orientación sobre las mejores opciones, planteando
algunos elementos a tomar en consideración en la selección de estas herramientas, en el
entendido que corresponderá a las autoridades respectivas, en su oportunidad, tomar las
respectivas decisiones.
4.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA
AUDITORÍA
Las herramientas computadorizadas de apoyo a la auditoría se suelen clasificar en dos
categorías genéricas, a saber: técnicas y herramientas, de ahí el nombre genérico de CAATTs,
por sus siglas en inglés “Computer Assisted Auditor Technics and Tools”.
En ese sentido, sin pretender ser exhaustivo, como ejemplos de ambas categorías tenemos:
Técnicas: extracción y análisis de datos, detección de fraude, monitoreo continuo,
valoración de la seguridad de la red, control de comercio electrónico, evaluación del
control interno y papeles de trabajo automatizados.
Herramientas: procesadores de texto, hojas electrónicas, software especializado de
auditoría, correo electrónico, diagramas de flujo, bases de datos, administración de
datos y groupware, administración de la auditoría y administración de riesgo.
77
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
La utilización de las herramientas y técnicas computadorizadas resulta hoy en día casi
inevitable en cualquier campo, en el caso particular de la Auditoría de TI se suele justificar en
virtud de diferentes beneficios o ventajas que se generan con su utilización, destacando las
siguientes:
Reducción de costos
Incremento de la cobertura: más con los mismos recursos
Facilidad de acceso a los datos y manipulación o análisis de los mismos.
Promueven la integración de las diferentes herramientas del auditor
Fortalecen la credibilidad de la auditoría
Mejoras en la administración de la experiencia y conocimiento acumulativo de los
auditores y evaluadores.
En el caso de la Auditoría de TI, la utilización de estas herramientas y técnicas resulta
imprescindible, ya que muchos de los análisis requeridos para evaluar los sistemas y las bases
de datos resultarían imposibles en caso de no contarse con herramientas especializadas.
Por otra parte, reconociendo las limitaciones para la contratación de personal dentro del sector
público, se requiere elevar la productividad de los funcionarios mediante la utilización de este
tipo de herramientas y técnicas, para lograr el cumplimiento de los objetivos de la auditoría.
4.2 HERRAMIENTAS INFORMÁTICAS DE APOYO A ADMINISTRACIÓN DE LA
AUDITORIA
La administración de la auditoría se preocupa de dirigir los recursos de la auditoría para lograr
el mayor beneficio para la organización, promoviendo el respeto a las leyes, regulaciones y
políticas. Esto involucra un proceso administrativo que conlleva diversas actividades que van
desde el análisis de riesgos, planeación, seguimiento de las auditorías actuales, asignación y
dirección del personal, y comunicación eficaz con los clientes y la Administración Superior.
78
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Atendiendo el enfoque de Charles H. Le Grand, 12las herramientas usadas por auditores como
apoyo a la administración pueden ser clasificadas como sigue:
Análisis de riesgo.
Inventario del universo de la auditoría
Planeación y asignación
Administración de proyectos y seguimiento de auditorías
Bases de datos del personal e inventario de herramientas
Biblioteca de referencia
Comunicaciones
Presentaciones
Seguimiento de resultados / hallazgos
Valoración de la satisfacción del cliente
Entrenamiento y educación
Internet
A continuación se presenta una breve descripción de cada una de las anteriores categorías.
a. Análisis de Riesgo
La decisión sobre el área y alcance de las auditorías debería fundamentarse en un análisis de
áreas que representan riesgos más grandes a la organización. Hay muchos acercamientos
para análisis de riesgo.
A veces los auditores se enfocan en el control del negocio y se desvían del hecho que el
control existe con el propósito de administrar los riesgos. A menudo los gerentes no piensan en
sus responsabilidades como administración en términos de control. En cambio, piensan en los
procesos y actividades que ellos administran y sobre cómo manejar riesgos.
En relación con lo anterior, una herramienta de comunicación importante para auditores es una
clara y entendida identificación y valoración de riesgos. Los gerentes entienden riesgos y
12 Le Grand, Charles H. Computer Assisted Audit Tools and Techniques. En www.theiia.org
79
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
pueden probablemente describir los riesgos más significantes que manejan. Un auditor puede
complementar la lista de los riesgos mediante preguntas acerca de los aspectos que saben que
usualmente andan mal.
La lista de riesgos proporcionada por la Administración y complementada por el auditor es el
primer elemento del análisis de riesgo. Los próximos pasos involucran la evaluación de las
probabilidades de exposición que son el resultado de los riesgos y los costos potenciales. Para
esto, un auditor puede usar herramientas tan simples como las hojas de cálculo o bases de
datos, o posiblemente puede optar para sistemas más complejos atados en un sistema de
administración de auditoría integrado.
Cualquiera que sea el acercamiento y las herramientas usadas, la valoración de riesgo del
auditor debe compartirse con la Administración y buscarse un acuerdo general para asegurar
una comunicación eficaz de los objetivos, prioridad y alcance de las auditorías.
b. Inventario del Universo de la Auditoría
Las prioridades y la disponibilidad de recursos de la auditoría determinan el alcance de
actividades de la auditoría. Probablemente la auditoría nunca dispondrá de recursos suficientes
para cubrir todas las actividades del sujeto a intervenir, por ello el inventario de áreas a ser
auditadas–y no auditadas– resulta importante a los efectos de la toma de decisiones.
El inventario del universo de la auditoría debe mostrar todas las áreas a ser cubiertas, y podría
incluir la siguiente información:
La prioridad y el criterio para determinar prioridad;
Ciclo de intervención (anual, cada tres años, etc.);
Historial de resultados de las auditorías;
Resumen de hallazgos de la auditoría, recomendaciones y seguimiento;
Los indicadores de riesgo importantes y naturaleza de riesgos (monetario, privacidad,
confidencialidad, disponibilidad, etc.);
Anotaciones especiales, instrucciones; etc.
80
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
El universo de la auditoría también puede estar sujeto al cambio, a veces a cambios
significativos. Por ejemplo, hace dos o tres años Internet y el comercio electrónico era un área
sin mayor importancia en el inventario de universo de auditoría–si es que se mencionaba-, hoy
es un tema de moda en algunos inventarios pero todavía no aparece en la lista de otros.
c. Planeación y asignación
La planeación de la auditoría tiene a la vez un carácter estratégico y táctico. La definición del
universo de la auditoría, prioridades para los auditores, y la disponibilidad de recursos de la
auditoría representan los insumos para la orientación estratégica de la auditoría. La
planificación táctica se realiza para cada proyecto de la auditoría.
Los factores de planificación estratégica son lógicos y logísticos. Por ejemplo, problemas con
métodos de desarrollo de sistemas, el control de cambios de programa, o controles de acceso
deberían ser analizados antes de involucrarse en desarrollo de los sistemas específicos o
revisiones de aplicaciones en operación. Las debilidades en áreas claves de control como la
administración de accesos y control de cambios también pueden impactar la fiabilidad de
cualquier información usada por auditores y el alcance y tiempo necesario para evaluar y
probar los controles.
Las herramientas del software pueden ayudar evaluando habilidades de los auditores
disponibles y asignando a las personas apropiadas para participar en los diferentes equipos del
proyecto. El software debe apoyar asignación de auditores con habilidades críticas para
determinado proyecto de auditoría. El software también debe evaluar los impactos de cambios
de horario y prioridades, así como extender el impacto de desbordamientos del horario a otros
proyectos
d. Administración de Proyectos y Supervisión de la Auditoría
La administración de proyectos y la supervisión de la auditoría proveen una retroalimentación
clave para la planeación y programación de las auditorías. El software de administración de
proyectos puede ser simple o muy sofisticado. Al menos debe permitir a la dirección de la
auditoría hacer el uso más eficiente de los recursos disponibles. Debe grabar e informar
cualquier variación de los planes y debe determinar los efectos en planes subsecuentes. El
81
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
software de administración de proyectos también puede proporcionar informes y gráficos para
ayudar en la toma de decisiones.
Algunos software de administración de proyectos son suficientemente poderosos como para
permitir la programación de todos los proyectos de auditoría y las subactividades, tanto
individualmente como colectivamente.
El software puede proporcionar reportes detallados o resumen con elementos como los
cuadros y gráficos ilustrativos de los impactos de retrasos o reprogramaciones en los planes de
la auditoría relacionados o subsecuentes.
Por supuesto que la operación y administración de tal software también tiende a requerir un
tiempo significativo, de manera que esto debe considerarse en la planeación y en la selección
de la dirección del proyecto.
Los auditores deben determinar si utilizan un software de administración de proyectos que se
use en otras funciones dentro de la organización. Esto puede proporcionar las ventajas en
apoyo y entrenamiento, y les puede dar movilidad dentro de la organización si tienen
experiencia con los sistemas de administración de proyectos usados en otras partes dentro de
la organización.
e. Base de Datos del Personal e Inventario de Herramientas
Una base de datos para el personal y el inventario de herramientas son elementos importantes
para la planeación y proyección propios de la administración de la auditoría.
Una base de datos de esta naturaleza puede facilitar la programación del entrenamiento y
experiencias necesitadas por auditores para su desarrollo profesional. También puede resaltar
áreas de debilidad dentro del personal que puede ser complementado por la contratación de
servicios externos.
f. Biblioteca de Referencia
82
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Una biblioteca de referencia poderosa puede estructurarse en formato electrónico y estar
disponible para acceso local, portátil y/o remoto. Los recursos de información pueden incluir las
referencias de las asociaciones profesionales de auditores, normas de auditoría, folletos de
guía y otros trabajos de la referencia o textos.
Los requerimientos y pautas para las actividades de auditoría pueden estar disponibles en
formato electrónico, así como los manuales de referencia mantenidos por productos técnicos
disponibles por parte de los vendedores comerciales.
Las políticas y procedimientos deben estar emigrando a, o ya pueden estar en formato
electrónico y disponible para el acceso por cualquier auditor que debe verificar procesos o otras
actividades contra las tales políticas y procedimientos. Los contratos, documentos legales y
cualquier otro cuerpo de volumen de papel voluminoso son candidatos buenos para la
migración al formato electrónico. La tecnología para crear y reproducir CD ROMs está
disponible y es relativamente barata.
Deben proporcionarse las formas, formatos, plantillas y cualquier otro artículo que pueden
simplificar o pueden disminuir esfuerzo del auditor individual en una biblioteca normal y tendrá
el beneficio agregado de facilitar a todos los auditores del equipo las versiones más actuales.
g. Comunicaciones y Administración del Conocimiento
Las comunicaciones son importantes tanto dentro de la auditoría como con las áreas de la
administración atendidas por ésta. Herramientas de comunicación como groupware, el acceso
remoto a los sistemas, servicios de correo electrónico y traslado electrónico de archivos, han
mejorado significativamente la actuación de la auditoría. Pueden compartirse papeles de
trabajo de auditoría, hallazgos, borradores del informe y otra información seleccionada para
permitirles a gerentes de la auditoría inspeccionar trabajo en marcha y proporcionar
retroalimentación inmediata.
Los auditores pueden acostumbrarse a comunicaciones electrónicas para compartir resultados
de auditorías en marcha con el propósito de reducir las sorpresas al final de la auditoría. Esto
puede permitir a la dirección tomar acciones correctivas más oportunas y responder a las
recomendaciones más rápidamente. El resultado puede ser la preparación más temprana y
83
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
descargo de informes de la auditoría. Y los informes pueden ser más positivos cuando ellos
informan progreso en lugar de considerar sólo los problemas.
h. Presentación
Las herramientas de la presentación tienen tremenda funcionalidad ahora y están ganando un
grado de sofisticación que puede proporcionar comunicación clara y poderosa de los resultados
de la auditoría.
Es relativamente fácil de empotrar mapas electrónicamente, gráficos, cuadros e incluso videos
en los archivos de trabajos de auditoría y en las presentaciones. Las presentaciones pueden
entregarse personalmente o vía email o mediante transferencia de archivos. El software para
las presentaciones puede proporcionar consistencia en calidad y puede agregarse al
profesionalismo global de la función de la auditoría.
Una herramienta de la presentación importante que gana popularidad con auditores es la
página web de la auditoría. Bien sea vía Internet o intranet, la página web de la auditoría puede
ser una valiosa fuente para las relaciones públicas, recopilando o anunciando información
como horarios de la auditoría, reuniones, u otros eventos. En el futuro, las páginas web de
auditoría pueden mantener una fuente segura casi para cualquier comunicación o presentación
de la auditoría.
i. Seguimiento de Resultados y Hallazgos
Cuando se implementan las recomendaciones de la auditoría las organizaciones pueden ganar
fortaleciendo los controles internos, mejorando en economía, eficacia, u otras mejoras que
puede ser medidas y pueden informarse a la administración superior como beneficios
derivados de los servicios de la auditoría. Dependiendo de la cultura de la organización esto
pueden tomar la forma de un "valor-agregado" durante el proceso del presupuesto, o
simplemente podría ser testimonios de ejecutivos en la organización que recibió el beneficio de
mejoras.
Hay también por supuesto el lado negativo del seguimiento de resultados: cuando los cambios
no se llevan a cabo como se prometió y los auditores tienen que volver para investigar las
84
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
circunstancias. Hasta que los resultados de hallazgos estén resueltos deben permanecer en la
lista de seguimiento.
j. Valoración de la Satisfacción del Cliente
Los auditores hoy están debidamente interesados sobre la efectividad, calidad, y
profesionalismo en su trabajo, y continuamente mejorando su imagen profesional. La
retroalimentación de las áreas y las personas atendidas son un elemento importante de
administración de la calidad. Muchos grupos de auditoría piden manifestaciones formales de
sus clientes acerca del profesionalismo y valor de la auditoría y la actuación de auditores
individuales.
El software de satisfacción de cliente debe mantener una base de datos de respuestas del
cliente y debe permitir la comparación de cualquier auditoría o actuación del auditor contra los
niveles establecidos. Sin embargo, también debe tenerse el cuidado en considerar la
retroalimentación del cliente porque algunas de las funciones de la auditoría más importantes
no pueden ser en absoluto populares con los clientes de la auditoría.
k. Entrenamiento y Educación
El entrenamiento basado en computadora se presenta de muchas formas, desde las funciones
de ayuda hasta programas completos de entrenamiento e incluyen pruebas y retroalimentación.
En algunos casos es posible obtener educación de nivel universitario reconocido e incluso
ganar un grado usando programas de entrenamiento proporcionados vía el Internet. Cada
organización de auditoría debe evaluar las necesidades y disponibilidad de entrenamiento
basado en computadoras, considerando, entre otros criterios, la eficacia con que el auditor usa
y aplica tales herramientas de entrenamiento.
l. Internet
Además de los usos de Internet descritos con anterioridad, los auditores están encontrando
que la "red" es una tremenda fuente de información disponible, en cualquier tiempo y lugar. Los
“buscadores de Internet” permiten encontrar información sobre cualquier tema. De hecho, es
85
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
fácil de conseguir demasiada información y no bastantes respuestas en la red y está resultando
clave el tener herramientas fuertes de rastreo y búsqueda de información importante.
Los auditores también pueden usar una página web para proporcionar un sistema de
información ejecutivo continuamente disponible. Tal uso de la página web involucrará un
compromiso significativo de recursos y sólo debe emprenderse con una comprensión clara de
los costos esperados así como de los beneficios.
Las listas de correo electrónico y los grupos de discusión proporcionan un método fácil para
mandar por correo preguntas o información a un grupo grande a través del uso de comandos y
órdenes relativamente simples.
El uso de Internet también cambia rápidamente, de manera que el conocimiento y habilidades
en éste tópico resultan muy valiosos para la planeación y realización de las auditorías. El
comercio electrónico en la red está creciendo rápidamente y ello también presenta muchos
nuevos riesgos a una organización.
4.2.1 Algunos Ejemplos de Herramientas Computadorizadas de Apoyo a la
Administración de la Auditoría.
A continuación se presenta una breve caracterización de una muestra de herramientas
computadorizadas de apoyo a la administración de la auditoría. Se han considerado aquellas
que a nuestro criterio son más conocidas en nuestro medio y que potencialmente pueden
resultar de interés para la Auditoría de TI en el Ministerio. Complementariamente, en el Anexo
2 se presenta información sobre proveedores y direcciones.
Audit Builder V.2
Permite a las empresas implementar o mejorar la ejecución de la auditoría en múltiples
localidades, o implementar la Auto evaluación de Riesgos y Controles (CRSA). Permite
construir modelos estándar diseñados a la medida de los riesgos y controles de cada proceso
de la organización.
86
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
El sistema permite la Auditoría Integral (Financiera, Operacional, de Sistemas, etc), con
programas de auditoría paso a paso, o mediante el enfoque basado en la administración del
riesgo. y la captura y administración de la experiencia y conocimientos acumulados de los
auditores a través del tiempo y su mejoramiento continuo.
Entre las ventajas que ofrece destacan: facilidad para la toma de decisiones, estandarización
de las evaluaciones y auditorias, mejorar la administración de la experiencia y conocimiento
acumulativo de los auditores.
AuditJob
AuditJob le permite guardar los archivos electrónicamente para cada trabajo de la auditoría en
un joblet que contienen tres tipos de objetos que corresponden a estos archivos - un archivo,
una copia dura o un paso. Un objeto puede ser un artículo en un programa de la auditoría o en
un checklist.
El beneficio inmediato está en la eliminación de muchos papeles de trabajo y los problemas de
transportarlos y guardarlos. AuditJob introduce plantillas estándar, programas de trabajo de
auditoría, y listas del chequeo a muy poco costo. También le permite al usuario adoptar un
nuevo estilo de trabajo electrónico, mediante la revisión electrónica de los papeles de trabajo y
crear en línea un archivo centralizado de papeles de trabajo.
Audit. Masterplan
El Audit Masterplan (AMP)es científicamente un diseño de cómputo basado en la valoración de
riesgo, planificación y sistemas de trabajo de los auditores internos, desarrollado bajo el
auspicio del Instituto Internacional de Auditores Internos para lograr un cumplimiento
satisfactorio de los objetivos de la auditoría. Este ha sido usado con éxito por centenares de
profesionales de auditoría interna a lo largo del mundo.
Puede ayudarle a hacer un uso más eficaz de los recursos escasos - tiempo, dinero y personal.
Una vez que usted identifica las unidades auditables y define factores de riesgo importantes, el
AMP va a trabajar para usted. El AMP ayuda en el enfoque de las áreas de alto-riesgo, los
87
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
costos de la auditoría y otros recursos, y le ayuda a un alto desarrollo de la calidad, y planea
una cobertura de auditoría defendible para la presentación a la alta dirección.
Audit Sentry
Audit Sentry es un sistema de administración de la información, desarrollado por un equipo de
auditores internos expertos para apoyar el proceso completo de la auditoría, desde la
planeación, la ejecución del trabajo el seguimiento de los resultados.
Ayuda a crear un esquema de información global que abarca un sistema de administración de
la información compartido dentro de un ambiente del workstation. Es un sistema basado en
Lotus Notes.
Audit Sentry provee las herramientas efectivas de la administración del riesgo, ahorra tiempo
y elimina redundancias, mejora la utilización de recursos del personal de auditoría, y mantiene
a todos enfocados en los mismos objetivos y procedimientos.
GESIA 2000
GESIA es una herramienta integral para la realización, gestión y control de trabajos de
auditoría. Destaca por su sencillez y conectividad con otros programas, permitiendo a los
responsables de la firma de auditoría, realizar un control permanente y global sobre los papeles
de trabajo. Asimismo, permite mejorar la organización, por cuanto:
Normaliza papeles y referencias de trabajo.
Sistematiza la labor del auditor.
Modela los trabajos por tipos y sectores.
Prepara auditorias recurrentes.
Respecto a las mejoras que introduce a la gestión:
Introducción de cuentas y saldos.
Preparación y emisión de cédulas de trabajo.
Ajustes y reclasificaciones propuestos.
Sencilla navegación a través de todos sus módulos.
Inclusión de comentarios y conclusiones.
88
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Más de 70 listados diseñados (Cuentas, Financiación, etc.).
Facilita el control del grado de avance de los trabajos, del cumplimiento de la programación y
de la calidad de los procedimientos aplicados
Una de las características principales de GESIA 2000 es su flexibilidad tanto para adaptarlo a
la metodología y sistemas de organización de cada firma o despacho de auditoría, como para
cada trabajo o sector auditado. El módulo de Intercambio de Datos, permite la transferencia
entre sí, de cualquier tipo de información introducida en los ficheros de trabajo de GESIA 2000.
Los objetivos de este módulo opcional de Intercambio de Datos pueden resumirse en los
siguientes:
Permitir la transferencia de estructuras contables (Cuentas, Cuentas Anuales, Estados
Financieros, Ajustes y Reclasificaciones, Cédulas Contables, Origen y Aplicación de Fondos)
así como parametrización, textos o comentarios (Personal, Grupos, Areas, Archivos y
Carpetas, Referencias, Guías, Referencias de documentación), para su utilización y/o
incorporación a otras auditorías, evitando así la repetición de tareas.
Facilitar la elaboración de Masters sectoriales, al poder transferir de diferentes auditorías o
Masters, cualquier tipo de información introducida respecto a parametrizaciones, estructuras
contables, Referencias Guías y Documentación.
Gestión Procesos Auditoría (GPA).
GPA es un sistema que automatiza los flujos de trabajo y los documentos que intervienen en el
Proceso de Auditoría. En su diseño se han contemplado todos los componentes necesarios
para llevar a cabo la labor de auditoría y su estructura está basada en tres pilares: El
Conocimiento del Area, El Proceso de Auditoría y las Herramientas de Análisis e Información.
Módulos de GPA:
Universo Auditable.
89
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Se establece un inventario completo de las auditorías que se pueden realizar definiendo las
áreas en las que se divide la empresa para efectos de los estudios de Auditoría y los tipos de
Auditorías.
Criterios
Fuentes de los criterios utilizados para sustentar el trabajo de Auditoría estableciendo un índice
de criterios por fuente e índice de criterios por tema.
Formularios de Gestión
Módulo que permite crear modelos de papeles de trabajo, modelos de observaciones
(debilidades, hallazgos, etc.) modelos de informes, modelos de notas al auditado, modelos de
cartas, memorandos, anexos, etc.
Recurso Humano
Perfil actualizado de los Auditores. Registro del conocimiento que posee y que va adquiriendo
cada auditor (estudios formales y empíricos, etc), Experiencias de trabajo (experiencia sobre
cada intervención del auditor).
Planificación
Elaboración de planes para cualquier período de tiempo. Análisis de riesgos y presupuesto de
los recursos y su asignación a los diferentes estudios. Programación y ajustes a los programas
de trabajo.
Ejecución
Preparación de papeles de trabajo, actualización de la Agenda, desarrollo de los programas de
trabajo y preparación y revisión de informes internos.
Comunicación
Permite de forma visual y electrónica el manejo, control y seguimiento de todas las notas
emitidas y recibidas por la auditoría. Control absoluto de las notas pendientes. Asegura el
control sobre el cumplimiento de las recomendaciones giradas por la Unidad de Auditoría.
90
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Análisis de la Gestión
Indices de gestión, índices de costos, índices de debilidades e índices del comportamiento
histórico de las unidades administrativas. Informes gerenciales y otros.
Algunos de los beneficios derivados que se obtienen del uso de este software de auditoría son
los siguientes:
Elaborar planes y programas de auditoría en forma electrónica y colaborativa, lo cual a su
vez permitirá que éstos se puedan mejorar y estandarizar.
Crear, mantener e identificar en forma oportuna los criterios internos y externos de auditoría
relacionados con las leyes, normas, políticas y procedimientos existentes.
Mantener un inventario de los recursos humanos (auditores), tiempo disponible y recursos
materiales con que cuenta la Unidad de Auditoría, que conlleve una mejor asignación de las
labores o funciones de auditoría. A su vez, facilita la evaluación y definición de necesidades de
éstos recursos.
Establece la Gerencia del Conocimiento o “Knowledge Managment” dentro del
departamento de Auditoría permitiendo que la experiencia y el conocimiento de sus personas
permanezca dentro de la empresa.
Permite tener una perspectiva completa sobre las auditorías por efectuar y sobre las que se
están llevando a cabo.
Consulta rápida y efectiva del archivo permanente.
Ejecutar en forma colaborativa o aislada las tareas definidas para cumplir con los
programas de trabajo.
Controlar el avance de las auditorías en ejecución.
Supervisión efectiva y oportuna sobre los estudios de auditoría que se estén ejecutando.
91
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Facilitar la emisión de informes de auditoría, tomando como base los papeles de trabajo
electrónicos generados durante la ejecución.
Administración segura y centralizada de papeles de trabajo en Bases de Datos orientadas
al manejo de documentos, imágenes, sonido y vídeo.
Permite llevar un seguimiento efectivo de todas las recomendaciones emitidas por la
Auditoría.
Risk Advisor 99
Permite estructurar la administración de los riesgos específicos de cada organización y/o
procesos críticos por sus facilidades para identificar los riesgos en el contexto estratégico y con
base en las fuentes de riesgo y áreas de impacto.
Aplica un esquema de administración del riesgo consistente con la Norma 4360 de Nueva
Zelanda/Australia sobre Administración del Riesgo.
La norma indicada mantiene una guía para el establecimiento y aplicación del proceso de
administración del riesgo que involucra la identificación, análisis, valoración, tratamiento, y la
supervisión continua de los riesgos.
Es genérico e independiente de cualquier industria específica o sector económico. Recomienda
el acercamiento que debe ser considerado a cada paso del ciclo de vida y dirección de riesgo,
pero deja cada negocio para desarrollar maneras pragmáticas de aplicar el ciclo de vida dentro
de sus condiciones actuales.
Risk Advisor 1999 proporciona al usuario:
La administración del riesgo consistente con la norma AS/NZ 4360:1999.
Administración de riesgo a través de la habilidad del usuario para definir la estrategia
organizacional en el contexto de la dirección de riesgo específico para la organización.
La identificación de la matriz específica de riesgo en el contexto de la estrategia.
La consolidación y dirección de planes de acción y supervisión en una sola base de
datos.
92
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
La evaluación del tratamiento y controles cuantitativos a través de la frecuencia,
consecuencia y análisis de efectividad.
Un retrato visual de riesgo a través del graficación en línea.
Informes de alta calidad conforme con los requisitos comerciales individuales.
Provee un marco reconocido para implementar el manejo del riesgo.
Proporciona la clasificación de la dirección de riesgo.
Permite que los riesgos y controles sean exportados e importados entre las revisiones
diferentes.
Proporciona la documentación para cada fase del proceso de dirección de riesgo.
Es fácil al usar y navegar
Proporciona una interface paso a paso.
Proporciona un solo almacén de los datos.
Tiene ayuda en línea.
Genera de documentos soportados en Microsoft Word.
4.3 HERRAMIENTAS INFORMÁTICAS DE APOYO FUNCION DE AUDITORIA DE TI
A continuación se presentan los principales usos de herramientas computadorizadas como
apoyo a la función de auditoría.
a. Papeles de Trabajo electrónicos
La habilidad de requerir formas de la auditoría regularizadas y formatos puede mejorar la
calidad y consistencia de los papeles de trabajo de auditoría. La administración de trabajos
actuales o archivados en un archivo o base de datos central puede hacer más fácil para la
administración de la auditoría la coordinación de las auditorías coexistentes y asegurar los
hallazgos de los proyectos relacionados.
Los sistemas expertos proporcionan una oportunidad de agregar mayor apoyo y funcionalidad
para las herramientas de papeles de trabajo de auditoría. Por ejemplo, un sistema experto
puede evaluar respuestas a una encuesta y automáticamente puede generar links a las
preguntas relacionadas adicionales. Los sistemas expertos también pueden buscar patrones en
información, hallazgos, recomendaciones o de auditorías coexistentes anteriores y
93
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
proporcionan informes que indican las áreas potenciales relacionadas o las áreas sistémicas
del problema.
Como las herramientas de papeles de trabajo de auditoría proporcionan la habilidad de incluir
información de soporte además de texto o números - como cuadros, sonido, video, etc., los
métodos para organizar y proporcionar acceso a tal información deben adaptar a tal situación.
En el futuro, los auditores podrán encontrar que las cantidades significantes de información
necesitadas en revisiones de la auditoría pueden existir en formas diferentes del texto,
números o caracteres gráficos.
b. Recuperación de información y análisis
Históricamente los auditores han confiado en muestras de transacciones para realizar sus
pruebas. Ahora, con el uso de recuperación automatizada y herramientas del análisis, es
normalmente más fácil evaluar todos los archivos que evaluar una muestra. Más allá, los
auditores pueden poner parámetros en su software identificar todos los archivos que se
cumplen con determinado criterio de selección. La selección completa de archivos con
determinado tipo de error conocido puede eliminar el problema de "estimar" las proporciones
del error. En cambio, el análisis del error puede enfocarse en esos archivos con datos que
están fuera del rango de transacción esperada pero todavía dentro de las limitaciones de
condiciones del error definidas.
Pueden aplicarse técnicas de muestreo a los archivos seleccionados del sistema de la
producción, o pueden seleccionarse todos los archivos de un determinado tipo o aplicarse una
selección más detallada en el proceso del análisis.
El criterio de selección puede basarse en auditorías anteriores, pero los auditores deben
aprovechar las oportunidades de mejorar la cobertura de la auditoría continuamente–sobre
todo si esto puede lograrse sin incrementos importantes en los costos. La selección
automatizada y las herramientas del análisis pueden facilitar mejoras, pero no asegurarán tales
mejoras automáticamente.
94
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
c. Software de recuperación y análisis
La recuperación de información y herramientas de análisis pueden presentar desafíos técnicos
importantes para los auditores en la medida en que la información sujeto a la auditoría pueda
residir en diversos sistemas distribuidos con diferentes grados de control y estandarización.
Pueden guardarse datos bajo el control de diferentes tipos de máquinas y sistemas operativos,
usando diferentes formatos; puede moverse por ambientes de las telecomunicaciones que
usan protocolos diferentes; puede guardarse o puede ser archivado por varios sistemas de
administración de bases de datos que usan campos de longitud fijos o variables o archivos y
sujeto a diferentes normas de bases de datos; e incluso puede residir en numerosas
ubicaciones físicas como en una base de datos distribuido o ambiente de datawarehouse.
Los datos particularmente sensibles pueden estar sólo disponibles en formato encriptado y
puede estar sujeto a las regulaciones gubernamentales con respecto a su transmisión,
almacenamiento, software de control, etc.
Muchos departamentos de auditoría usan a los especialistas técnicos para localizar y evaluar
fuentes de los datos y proporcionar las herramientas de software para extraer datos y
convertirlo en una forma que pueda ser usada por auditoría en las herramientas analíticas.
Como hay tantas formas y formatos para la información y tantos "normas" propietarias para el
almacenamiento de información, y como los ambientes de sistemas de información
frecuentemente cambian, puede ser necesario mantener especialización técnica significativa
entre los miembros de equipo de auditoría responsable para el software de recuperación de
información. Las personas con tal especialización pueden ser difíciles de reclutar o mantener, y
proporcionar entrenamiento al personal de auditoría para desarrollar tales habilidades pueden
hacerlos muy “apetecidos”.
En algunas organizaciones o industrias la información se almacena según normas
especificadas que frecuentemente no cambian, y pueden realizarse auditorías múltiples en
información en un formato común. En tales casos pueden mantenerse bibliotecas de los casos
de rutinas de recuperación de información, que pueden llamarse y ser ejecutadas por cualquier
auditor. En otras organizaciones la frecuencia de cambio puede ser mayor que la frecuencia de
95
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
auditorías y la preparación de rutinas de software de recuperación puede impedir el uso de
rutinas pre-programadas.
Una vez que la información es almacenada en una forma utilizable por las herramientas
analíticas de auditoría, los auditores con grados variantes de especialización técnica realmente
pueden realizar y repasar los resultados del análisis. Muchas herramientas de software de
oficina como las hojas de cálculo o bases de datos pueden accesar y analizar información
almacenada en un formato ODBC.
Algunas organizaciones de auditoría no sólo mantienen rutinas automatizadas para la
recuperación de información y análisis, sino que ellos despliegan tal software vía las
telecomunicaciones permitir revisiones de sistemas remotos sin el tiempo y gastos de viaje del
personal.
La acumulación de información sobre los datos comerciales encima de un periodo de tiempo
puede permitir al software del análisis identificar modelos, cambios, o tendencias en los datos
que indican cambios en el negocio, el ambiente comercial, la base del cliente, la economía, etc.
Esos patrones pueden ser importantes para la planificación de negocio y ventaja competitiva, y
puede ser realizado por grupos externos al equipo de auditoría. Sin embargo, si el análisis de la
auditoría reconoce tales modelos entonces los auditores pueden proporcionar una valiosa
contribución a la organización.
d. Tendencias en Recuperación de Información y Análisis
Una tendencia en recuperación y análisis de información por parte del auditor es incluir mayor
inteligencia en el software de auditoría o monitoreo incorporado en sistemas comerciales y
redes. Cuando los auditores identifican elementos de riesgo y desarrollan software para
descubrir errores o las transacciones sospechosas, o los modelos de los datos raros, resulta
relativamente simple incorporar esas pruebas en los sistemas de la producción. En tales casos,
los auditores pueden informarse poco después de errores o cambios en modelos de los datos.
Los auditores pueden visualizarse como usuarios de un sistema en desarrollo en la medida en
que identifican y plantean sus propios requerimientos en cuanto a la generación de interfases o
facilidades para obtener información. En lugar de funcionar como especialistas en control en el
96
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
equipo de diseño y desarrollo, ellos funcionan como cualquier otro usuario del sistema o
representante de una interfase del sistema. Los auditores especifican los criterios de selección
de registros y datos así como cualquier rasgo especial como la habilidad de modificar, extender
o suspender el monitoreo del sistema.
En el futuro, la lógica usada por auditores rastrear transacciones y eventos hacia delante y
hacia atrás dentro de los sistemas de la computadora, redes, y archivos será probablemente
incorporada en sistemas sensibles. Entonces transacciones sensibles que fluyen a través de
los sistemas pueden llevar con ellos información sobre la fuente de las transacciones y todas
las rutas tomadas a través de procesamiento, redes, o archivos. Tales "etiquetas de la
auditoría" serán muy útiles en el caso de transacciones monetarias como procesamiento de
pagos o transferencias de fondos y proporcionará la información para descubrir o detener
fraudes.
Con los costos decrecientes y las nuevas capacidades del procesamiento de información,
sistemas del almacenamiento y medios de comunicación, está resultando cada vez más
factible la captura y archivo de información sensible en los todos los puntos de entrada,
procesamiento, transferencia o almacenamiento. De esta forma se podrá dar seguimiento a los
cambios que se aplican a los datos a lo largo de su ciclo de vida. Así las apreciaciones de
integridad de información en el futuro podrían ser basadas en complejos análisis de los datos y
sustituir al análisis de control cuando se encuentran anomalías. Esto es lo opuesto de cómo se
aplican apreciaciones de la auditoría tradicional y pueden requerir alguna reingeniería del
proceso dentro de la profesión de auditoría.
e. Informes de auditoría
Algunas herramientas de auditoría hoy en día proporcionan vinculación automática entre
trabajo realizado, la información extraída, valoraciones del auditor, y la información utilizada o
de soporte a los informes de la auditoría. Los papeles de trabajo inteligentes pueden identificar
respuestas en encuestas de control interno que reflejan debilidades reales o potenciales y
automáticamente preparar una sección en el informe de la auditoría para documentar la
debilidad o resolución del problema.
97
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Los software de apoyo a los reportes de auditoría también pueden proporcionar información
automáticamente sobre las secciones de auditorías realizadas por auditores individuales
conforme se van completando, de manera que el supervisor de la auditoría conocerá
permanentemente el estado de los proyectos de la auditoría. Tales reportes le permitirán al
supervisor concentrarse en procesos de la auditoría que indican problemas y/o proporcionar
recursos adicionales en áreas que se quedan atrasadas.
El informe de la auditoría puede contener links a los documentos de trabajo, hojas electrónicas,
gráficos u otra información que se pondrán al día automáticamente según cambien los datos.
Los archivos del informe pueden ser compartidos por miembros de equipo de auditoría y
dirección llevando a cabo controles simples como “accesos de solo lectura” para aquellos que
no estén autorizados para cambiar los archivos.
Los informes de auditoría pueden distribuirse en formato electrónico vía el email, transferencia
de archivos o una página web de la auditoría. En tales casos los auditores deben asegurarse
de contar con la seguridad apropiada, confidencialidad y controles de acceso a tales informes.
La tecnología de encriptamiento está desarrollándose rápidamente y se volverá el mecanismo
normal para garantizar la integridad del mensaje, y la autenticación del remitente y del receptor
así como del control de acceso.
f. Entrenamiento basado en computadores
El entrenamiento incorporado y rasgos de ayuda son incluidos en la mayoría las herramientas
de software de auditoría hoy en día. Muchos proveedores del software y otras organizaciones
ofrecen entrenamiento genérico y específico para el uso de herramientas del software. Pero el
entrenamiento basado en la computadora puede ampliar el ámbito de la auditoría así como de
las actividades objeto de auditoría y no debe ser limitado a las experiencias anteriores. El
entrenamiento puede ser informal y automotivado, o puede ser un elemento formal de
administración de la auditoría que proporciona retroalimentación al aprendiz y a la dirección.
En el contexto de entrenamiento basado en computadora como una herramienta de la
auditoría, es más probable que deba ser auto motivado. Puede limitarse por el tiempo y las
herramientas disponibles, la velocidad a la que las herramientas operan, o la energía e
imaginación del auditor. Por ejemplo, si los auditores no tienen acceso a internet entonces no
98
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
pueden utilizarla para buscar información. Si su camino de acceso es lento, entonces los
requisitos de tiempo pueden sobrepasar rápidamente el valor recibido y reducir el entusiasmo
del auditor por tal aprendizaje. Si los auditores de viaje no tienen acceso remoto a sus archivos
centrales o email, entonces ellos no pueden investigar la historia de la auditoría y no pueden
usar un servidor de la lista para buscar apoyo de otros ante un problema o pregunta.
Finalmente la dirección de la auditoría y por supuesto el presupuesto, determinará el juego de
las herramientas que se proporcione a los auditores, pero los auditores serán los que
determinen qué tan eficazmente se usen las herramientas. El entrenamiento deberá enfocarse
en cómo buscar y aprender nueva información y acercamientos, no sólo cómo realizar tareas
previamente definidas o usar facilidades del software disponible.
g. Seguimiento de tiempo
En algunos casos, puede ser posible utilizar los relojes internos del sistema para grabar el
tiempo que los auditores gastan usando sus computadoras y rastrear el tiempo dedicado a los
proyectos individuales. También puede ser pertinente grabar el tiempo y los recursos usados
por programas cuando ellos procesan para los propósitos de proyectos de la auditoría
específicos. Eventualmente los rastreos automatizados de recursos se volverán la norma, pero
hoy en día principalmente se utilizan para proporcionar insumos para el proceso de
administración.
Un sistema de administración de auditoría puede proporcionar un detallado y resumido análisis
de productividad y otros parámetros requeridos para lograr una eficiente administración de la
auditoría. El seguimiento del tiempo y su información pueden ser elementos del sistema de
administración de proyectos anteriormente descrito, y pueden usarse para evaluar el
desempeño, estimar requerimientos de tiempo por fijar y otras herramientas relacionadas para
su mejor utilización.
99
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la función de
Auditoría de TI
A continuación se presenta una descripción general de algunas de herramientas
computadorizadas de apoyo a la función de auditoría. Se incluye una muestra de aquellas que,
a criterio de los autores, son las más utilizadas en nuestro medio y pueden ser de interés a los
efectos de la labor de la Auditoría de TI en el Ministerio. Como complemento a la información
que se presenta, en el Anexo 2 se incluye información sobre otras herramientas así como las
referencias generales de proveedores de las mismas.
ACL Para Windows
ACL para Windows es reconocido mundialmente como el líder en tecnología para el acceso y
análisis de datos y la generación de reportes. Permite convertir datos en información
significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su
organización.
ACL puede usarse eficazmente para:
Identificar tendencias, señalar excepciones y destacar áreas que requieren
atención
Localizar errores y fraudes potenciales, mediante la comparación y el análisis de
archivos según los criterios especificados por el usuario.
Volver a calcular y verificar saldos.
Identificar problemas de control y asegurar el cumplimiento de las normas.
Analizar y determinar la antigüedad de las cuentas por cobrar, cuentas por pagar u
otras transacciones a las que afecta el tiempo transcurrido.
Recuperar gastos o ingresos perdidos, detectando pagos duplicados, secuencias
numéricas incompletas en la facturación o servicios no facturados.
Detectar relaciones no autorizadas entre el personal de la empresa y los
proveedores y miles más.
A continuación se destacan algunas de sus principales características.
Funcionalidad incorporada de auditoría
100
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
El software ACL para acceso, análisis de datos y generación de informes posee abundantes
funciones específicas para la auditoría: desde comandos tales como GAPS (Faltantes),
DUPLICATES (Duplicados) y STRATIFY (Estratificar) hasta el importante log de comandos o el
historial detallado del proceso. La funcionalidad incorporada de revisión de cuentas le permite a
auditores y contadores, sin experiencia técnica o de programación, realizar rápidamente
análisis e informes sobre datos financieros.
Capacidad de análisis interactivo.
Analiza datos de manera interactiva y obtiene resultados inmediatos mientras aplica una
metodología de auditoría e investiga las excepciones en cualquier momento.
Alta capacidad y velocidad.
Ofrece las ventajas de la capacidad de tamaño ilimitado de archivo y su velocidad para
procesar rápidamente millones de transacciones, asegura una cobertura del 100% y una
confianza absoluta en sus resultados.
Facilidad de uso.
Realiza un análisis rápido e independientemente de su departamento de SI (sistemas de
información), con la facilidad de uso de la interfaz de ACL; se puede extraer menús, barras de
herramientas y señalar y seleccionar comandos. Las innovaciones tales como el procesamiento
de archivos de entrada mejorado y el selector de fechas simplifican la funcionalidad en ACL.
Análisis universal de datos.
El Asistente de definición de datos fácilmente selecciona, identifica y da formato a los datos,
acelerando su acceso a las capacidades de análisis y generación de informes de ACL. Puede
usarse para leer y analizar virtualmente cualquier tipo de datos de cualquier entorno de
cómputo, incluyendo datos de bases de datos en conformidad con ODBC, archivos de informe
de longitud variable, archivos privados de SAP™ R/3™, archivos tradicionales, archivos de
informe y muchos más.
Procesamiento de archivos múltiples.
Relaciona y trabaja simultáneamente con varios archivos, para hacer análisis e informes aún
más completos.
101
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Informes de alta calidad.
Produce informes de líneas múltiples fáciles de entender para apoyar los hallazgos. Permite el
diseño para ver previamente y modificar sus resultados en pantalla con la facilidad de arrastrar
y colocar. Envía por correo electrónico notificaciones automáticas de los resultados de los
análisis en apoyo a metodologías de auditoría específicas. Asimismo permite crear informes en
HTML para su publicación en el Internet o en la intranet de la organización.
Detalle integral del trabajo realizado.
Permite revisar o imprimir en cualquier momento, un historial completo de los archivos, pasos y
resultados
Auditors´Software Toolset (AST)
Es una solución integral, compuesta por un conjunto de tres productos que permiten la
automatización de cualquier tipo de evaluación y auditoría.
Ranking Advisor: Permite el modelo de riesgos y la valoración y clasificación por nivel de
riesgo del universo auditable. Automatiza cada etapa del proceso de auditoría (Planeación,
Diseño del Programa, Ejecución de las Pruebas, papeles de Trabajo, supervisión, informes,
seguimiento, etc.)
Pro audit. Advisor v.2.: Mejora la valoración y evaluación detallada de los riesgos y
controles. Permite un proceso de evaluación/auditoría, consistente con modelos de control
interno internacionales(COSO, COCO, Cadbury), desagregando las áreas de acuerdo a la
estructura real de cada organización. Permite crear o vincular a la evaluación / auditoría, la
documentación y papeles de trabajo externos electrónicos (Word, Excel-PowerPoint) como
soporte y evidencia del trabajo.
COBIT Advisor, provee a las organizaciones una herramienta automatizada para evaluar
y/o auditar, de manera ágil y consistente el cumplimiento de los objetivos de control y
controles detallados, que aseguran que los procesos y recursos de Información y
Tecnología contribuyan al logro de los objetivos de negocios.
102
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Funcionalidad
La Evaluación y Mejoramiento del Sistema de Control basados en estándares
internacionales.
La Auditoría Integral (Financiera, Operacional, de Sistemas, etc), con programas de
auditoría paso a paso, o mediante el enfoque basado en la administración del Riesgo.
La captura y administración de la experiencia y conocimientos acumulados de los
evaluadores y auditores a través del tiempo y su mejoramiento continuo.
Barefoot Auditor ( PC)
Este sistema de auditoría no requiere de una base de datos de productos y archivos para
reconocer su instalación de software. No exige el entrenamiento costoso para reconocer los
productos y nunca estar fuera de fecha.
Cada nuevo producto, cada nueva versión se identifica automáticamente. Todo el sistema corre
igualmente bien en las máquinas autosuficientes y PCs conectadas a una red de computadoras
y puede grabar sus datos al diskette, disco duro o servidor. El sistema viene completo con
funciones para unir cualquier número de auditorías, un generador del informe sofisticado y
herramientas de mantenimiento de datos. El paquete entero puede correrse desde DOS o
Windows.
Idea 2001
Permite a los usuarios mejorar la eficacia y efectividad en sus tareas de análisis de datos.
IDEA 2001 ofrece a los usuarios las siguientes funciones:
Agregar campos editables y etiquetas del manual - agregar comentarios o un valor
asignado a un campo, o indicar su status.
Con un doble click en una columna ordenar alfanuméricamente, por fecha o por orden
numérico.
Estadísticas de nuevos datos y funciones duplicadas
Extraer resultados y gráficos con un doble click en una fila o en una parte del gráfico, y
trabajar los datos subyacentes.
103
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Los usuarios de IDEA participan activamente para el desarrollo del producto a través de grupos
de usuarios, suministro de e-mail y a través de la red de distribución global de Idea.
IDEA 2001 permite a los usuarios leer, desplegar, analizar, manipular, o extraer una muestra
de los datos archivados en casi cualquier fuente - mainframe o PC, incluso informes impresos
a un archivo. IDEA extiende el alcance del auditor o analista proporcionando funciones únicas
y características no encontrados en software genérico y les da el poder a los usuarios para
bajar el costo de trabajo de la auditoría, refuerza la calidad a su trabajo y asume nuevos
papeles.
CMM Advisor
Capability Maturity Model (CMM)Advisor es la herramienta automatizada para ayudar a los
negocios a desarrollar y mantener efectivos procesos de software.
CMM asiste a las unidades comerciales uniendo el desarrollo y mantenimiento del proceso de
software. CMM ha sido desarrollado por el Instituto de Ingeniería de Software (SEI) para
proporcionar una referencia al negocio con benchmarck para el proceso de TI. Está diseñado
para usarse en los negocios, involucrado planeamiento, diseño y desarrollo del software.
COBIT Advisor
COBIT Advisor 3rd Edition brinda al usuario:
Un proceso consistente para evaluar la administración y el control de TI.
Un patrón de comparación (benchmark) reconocido para la administración y el control
de TI.
Revisiones enfocadas mediante selección de los procesos más relevantes, los criterios
de información y los recursos de TI.
Informes de alta calidad a medida de los requerimientos particulares del negocio.
Una representación visual de la evaluación mediante graficación en línea.
Comparación gráfica y elaboración de informes sobre las evaluaciones realizadas del
negocio y en el tiempo.
104
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Es utilizado por los auditores, los consultores de negocios y los responsables de los procesos
del negocio.
COBIT Advisor 3rd Edition se caracteriza por:
Contar con una base de datos de 34 procesos, 318 objetivos de control y 374
guías de auditoría.
Brindar pistas en los procesos.
Asegurar cobertura.
Brindar revisiones más enfocadas mediante diferentes vistas.
Brindar la generación de un programa de auditoría a la medida.
Facilitar la administración de auditoría mediante registro de observaciones, su
clasificación y filtrado.
COBIT Management Advisor
Es una herramienta automatizada de valoración para la administración y control de TI. COBIT
Management Advisor proporciona al negocio una herramienta de autovaloración por medio de
la evaluación del proceso TI contra el esquema de COBIT.
La aplicación le proporciona a los usuarios cinco puntos de valoración para cada uno de los
318 objetivos de control detallados. COBIT Management Advisor está diseñado para la
dirección de TI, para evaluar sus procesos contra las mejores practicas de la industria. La
aplicación le permite a los gerentes de TI realizar una valoración para identificar si se cuenta
con efectivos controles y tomar acciones correctivas, sin la necesidad de un experto
independiente.
Crystal Reports
Crystal Reports accesa más de 30 fuentes de datos, tiene capacidades de análisis de datos y
opciones de tipo de informe. Además, su plan modular permite usar Cristal Reports Engine
para integrar información en las aplicaciones del banco de datos y distribuido con un runtime
libre.
Este sistema es usado por profesionales comerciales que quieren informar o preguntar
directamente de una fuente de los datos, por profesionales en sistemas de información que
necesitan proporcionar informes a los usuarios comerciales, y por los vendedores del software
105
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
independientes, diseñadores del software corporativos y VARs que necesitan incluir
información en aplicaciones del banco de datos.
La arquitectura asegura la respuesta a tiempo y reduce el tráfico de la WEB. Los usuarios
simplemente escogen el browser que ellos prefieren, y los este software hace el resto. Puede
integrarse directamente al “Active Server Pages”.
Ctrain
El Instituto de Certificación de Entrenamiento ha completado la primera misma herramienta de
autovaloración totalmente probada para ISACA, que liberó los Objetivos de Control para la
Información y Tecnologías Afines, o COBIT.
Esta herramienta es aplicada por los profesionales en Sistemas de Información y Controles
para evaluar el nivel de cumplimiento de los estándares sobre objetivos de control publicados
por la Asociación de Auditores de Sistemas de Información y Control (ISACA) - normas que
sirven de base para el control de los sistemas de información y los profesionales de la
auditoría. Esta herramienta de valoración incluye una apreciación global del producto de
COBIT, su pertinencia a los sistemas de información y del control, lista cinco niveles de
cumplimiento para cada uno de los objetivos de control publicados, una hoja de cálculo que
sumariza un subtotal y total del nivel numérico de cumplimiento y una explicación de cómo
usarlo.
Data Explorer
Fue diseñado atendiendo los principios para facilitar las aplicaciones del cliente/servidor,
capitalizar la arquitectura de la computadora moderna. Data Explorer se caracteriza por su
velocidad, flexibilidad, combinadas con la facilidad para usar interface visual. Data Explorer
está aplicado en cualquier situación donde se presente la necesidad de explorar cantidades
grandes de datos de una manera flexible y representar los resultados en una forma gráfica.
Examine®
Es el líder de industria en MVS de verificación y auditoría de la integridad de los en sistemas en
operación, el cual es crítico para la seguridad y confiabilidad de sistema CA-examine ayuda a
identificar y controlar las exposiciones de seguridad de MVS, virus, puertas de trampa, caballos
106
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
de troja y bombas de lógica que pueden destruir la seguridad de producción y pueden engañar
los mecanismos de seguridad. A través del uso de técnicas especialistas del sistema y una
interface del idioma inglés, CA-examine al instante proporciona información que es difícil o
imposible de obtener de otras fuentes.
También identifica problemas potenciales, hace sugerencias y contesta preguntas. CA-examine
apoya la nueva Interface de Comprobación de Producto (PVI) que establece traceability de
productos de software de sistema e identifica requisitos de la instalación apropiados para un
número creciente de Computadora Socios sistemas productos.
El análisis de CA/Examine y funciones del despliegue ahorran valioso tiempo por los datos
centre a gerentes, administradores de seguridad, personas de los funcionamientos, el personal
de convicción de calidad y otros que necesitan saber MVS sistema opciones actuales,
parámetros e información de estado.
Rat-Stats
Es un paquete de herramientas del software estadísticas diseñadas para ayudar al usuario a
obtener muestras al azar y evaluar los resultados.
De una versión inicial con cuatro módulos de la apreciación y tres programas de utilidad, el
paquete ha crecido incluir siete módulos para generar números al azar, dieciséis módulos para
estimar resultados de la muestra, y cuatro módulos que proporcionan datos las utilidades
relacionadas.
RAT-STATS es la herramienta primaria de auditoría estadística usada por la Oficina de
Servicios de la Auditoría en la Sección de Salud y Servicios Humanos.
El software estadístico ha sido usado por la Oficina del Inspector General desde principios de
años setenta. Con la llegada de las microcomputadoras se tiene la oportunidad de mover el
software estadístico de los sistemas para “mainframe”. Los programas se han evaluado y
certificado independientemente.
Una apreciación global de RAT-STATS se presentó a la 1991 Conferencia de Desarrollo
Profesional patrocinada por la Asociación de Cuentas Gubernamentales (AGA). El paquete se
107
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
ha anunciado subsecuentemente y ha sido distribuido por el AGA. El paquete es usado ahora
por organizaciones de auditoría alrededor del mundo.
4.4 ELEMENTOS PARA UNA DECISIÓN SOBRE HERRAMIENTAS
COMPUTADORIZADAS
A continuación se plantean algunos elementos que a nuestro criterio deben ser considerados a
los efectos de la toma de decisiones sobre la adquisición de herramientas computadorizadas
de apoyo a la administración y a la Auditoría de TI en el campo del control y la auditoría ( tanto
para su administración como para el desarrollo de sus funciones).
4.4.1 Situación Actual de TI en la Dirección General de Auditoría Interna.
En primer término se describe un breve diagnóstico de la situación actual en cuanto a
disponibilidad de facilidades de tecnología de la información en la Dirección General de
Auditoría Interna del Ministerio de Hacienda.
Acceso a internet: Desde enero del año 2000 todos los funcionarios tienen acceso a internet,
con la particularidad de que únicamente se dispone de 12 puertos para estaciones de trabajo
del personal, de manera que, considerando la plantilla ideal, se tiene un faltante de 6 puertos
para que todo el personal pudiera accesar internet simultáneamente. Esta facilidad ha
permitido tener acceso a documentos e información de organizaciones especializadas en el
campo del control y la auditoría.
Página web. La auditoría tiene su página web como parte del sitio web del Ministerio de
Hacienda. Hasta ahora dicha página únicamente dispone de información de carácter general
sobre la dependencia y la lista de los diferentes informes generados anualmente a partir de
1998.
Correo electrónico: Actualmente todo el personal tiene su cuenta de correo electrónico. En
virtud de la limitación de puertos ya comentada, uno de los funcionarios debe accesar su
cuenta desde la computadora de un compañero. Aunque se ha empezado a utilizar como
108
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
medio de comunicación con otras instancias, en sentido estricto no se ha sustituido plenamente
la comunicación formal mediante oficios. Algunas gestiones y asesorías, como solicitudes de
información para seguimiento del cumplimiento de recomendaciones disposiciones y
advertencias sobre debilidades de control, se realizan utilizando esta herramienta.
Software: En cuanto a software, únicamente se dispone de las herramientas de oficina
básicos: procesador de palabras y hoja electrónica. Asimismo se cuenta con Microsoft Proyect
como software especializado de administración de proyectos y recientemente se recibió una
capacitación básica en el uso de ésta.
Hardware: El equipo de cómputo disponible en la actualidad es el siguiente:
2 microcomputadoras portátiles de 32 MB memoria RAM
11 estaciones de trabajo, clasificadas según memoria RAM de la siguiente
manera:
1 de 128 MB
6 de 64 MB
1 con 32 MB
3 con 16 MB
1 servidor de red de 64 MB RAM, el que por razones técnicas no ha sido
utilizado como tal.
4 Impresoras.
Como se desprende de lo indicado, la Dirección de Auditoría Interna, desde el punto de vista
de equipo y herramientas de TI, se encuentra en una situación deficitaria, especialmente por
las limitaciones de memoria de algunas de las microcomputadoras utilizadas, las limitaciones
de puertos de conexión a red y la no disponibilidad de software especializado.
4.4.2 TI en el Ministerio de Hacienda
En la selección de herramientas deberán considerarse algunos aspectos de carácter
institucional que de una u otra manera establecen restricciones o requerimientos para lograr
una mayor efectividad de la labor de la auditoría.
109
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Estándares y lineamientos establecidos
En la selección de herramientas se deberán considerar los estándares establecidos por el
Consejo de Informática, especialmente en el sentido de que las que las herramientas de
auditoría puedan interactuar con las bases de datos que el Ministerio ha seleccionado.
Asimismo debe tomarse en cuenta el contrato corporativo suscrito con Microsoft.
Debilidades institucionales en el ambiente de control.
Las debilidades del ambiente de control en el Ministerio han sido apuntadas tanto por la
Dirección General de Auditoría Interna como por la Contraloría General de la República, siendo
evidente la necesidad de un esfuerzo por parte de la Administración para establecer y
perfeccionar los sistemas de control en la gestión de los recursos de TI. Para estos efectos es
importante el uso de una herramienta que oriente las acciones según las mejores prácticas en
ésta área y además promueva la autoevaluación. Lo anterior se considera una condición
necesaria para que la evaluación independiente que corresponde realizar a la auditoría
agregue valor y contribuya al fortalecimiento de los controles.
4.4.3 Modelo metodológico recomendado para la auditoría
El modelo metodológico operativo recomendado en el capítulo 2, denominado Objetivos de
Control para la Información y Tecnologías Afines (COBIT por sus siglas en inglés), tiene como
una de sus fortalezas el desarrollo de herramientas automatizadas tanto para la administración
como para la auditoría, lo cual evidentemente deberá considerarse en la selección de las
herramientas automatizadas de apoyo a la auditoría.
4.4.4 Proceso de Creación y Desarrollo de la Auditoría de TI
La adquisición de herramientas deberá guardar relación con la estrategia de desarrollo de la
Auditoría de TI que se desarrollará en el siguiente capítulo, debiendo darse prioridad a aquellas
herramientas que apoyen los esfuerzos que se desarrollarán en las primeras etapas. Esto
resulta de especial relevancia considerando la rápida evolución que en este campo se da, de
tal suerte que no se justificaría adquirir herramientas que no se van a utilizar a corto plazo ya
que versiones posteriores de la misma podrían adquirirse a un mejor precio e incorporar
facilidades adicionales.
110
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
4.4.5 Requerimientos de Hardware
Las herramientas computadorizadas podrían requerir de la adquisición de equipo de computo
adicional, lo cual debe ser valorado a la luz de la disponibilidad de recursos y los costos y
beneficios que pueden generarse.
4.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS
No ha sido el propósito del análisis realizado llegar a seleccionar herramientas específicas, ya
que ello conllevaría un análisis de mayor profundidad de cada una de ellas en relación con las
necesidades específicas para el desarrollo de la Auditoría de TI en el Ministerio, por lo que no
fue considerado dentro del alcance de la presente investigación.
No obstante, considerando los elementos planteados en el apartado anterior pretendemos
plantear orientaciones sobre las prioridades en cuanto a herramientas computadorizadas
requeridas para la implantación de la Auditoría de TI en el Ministerio, salvo en el caso en que
dichos elementos conlleven la selección de una herramienta específica.
4.5.1 Herramientas de Apoyo a la Administración de la TI
La adquisición de herramientas que fomenten la cultura de control y faciliten el cumplimiento de
las responsabilidades de control que le corresponden a la administración es una de las
prioridades evidentes, especialmente considerando las debilidades que han sido planteadas en
el diagnóstico realizado en el Proyecto Integrado I.
Por otra parte, considerando el modelo metodológico de Auditoría de TI que ha sido propuesto
en el capítulo 2, el cual tiene la particularidad de contar con soporte computadorizado para la
Administración, se considera necesario contar con la herramienta COBIT, en este caso la
COBIT Management Advisor, cuyas características ya fueron planteadas en términos generales
en el punto 4.3.1.
Para mejor provee,r a continuación se presentan con mayor detalle las principales facilidades
que ofrece a la Administración para el control de la gestión de la TI.
111
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
• Soporta consolidación multinivel, permitiendo la comparación de áreas de la misma
organización y en el tiempo.
• El sistema de alerta facilita el seguimiento de las áreas que ameritan mayor atención.
• Puede ser modificado para atender los requerimientos específicos de la organización.
• Proporciona facilidades de reportes y graficación tanto ad-hoc como estandarizados
para las diferentes etapas del proceso de auditoría.
• Está basado en Windows, siendo muy amigable y fácil de aprender para el usuario.
• Tiene capacidad de funcionar vía intranet/internet.
• Permite ajustar su análisis incorporando aquellas partes del marco de referencia de
COBIT que resulten relevantes para el caso específico.
Adicionalmente, en virtud de las limitaciones de recursos se considera de gran necesidad
contar con una herramienta que permita valorar y administrar los riesgos, para lo cual se
presentaron varias alternativas en el punto 4.3.1, que tendrían que ser analizadas con mayor
detalle por la Administración al tomar la decisión.
4.5.2 Herramientas de Apoyo a la Administración de la Auditoría
Para una adecuada administración de los recursos de la auditoría se considera necesario
disponer de una herramienta que permita la administración integrada de éstos. Esta facilidad
busca que los escasos recursos se puedan concentrar en la labor sustantiva y menos al control
y administración de los recursos.
Para tal efecto conviene recordar las diferentes herramientas, de manera que la solución que
se adquiera incorpore la mayor cantidad de éstas en un software integrado:
Análisis de riesgo.
Inventario del universo de la auditoría
Planeación y asignación
Administración de Proyectos y seguimiento de auditorías
Bases de datos del personal y Inventario de Herramientas
Biblioteca de la Referencia
Comunicaciones
Presentaciones
Seguimiento de Resultados / Hallazgos
112
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Valoración de Satisfacción del cliente
Entrenamiento y Educación
4.5.3 Herramientas de Apoyo a la Función de Auditoría
Como apoyo a la función de auditoría de TI es necesario contar con una herramienta que por
una parte sea congruente con el modelo metodológico operativo y que como herramienta
ofrezca ventajas y facilidades para su utilización. En ese sentido, tal y como se mencionó en el
capítulo 2, una de las ventajas del modelo COBIT es que se han desarrollado herramientas
computadorizadas para su aplicación, en este caso el COBIT Advisor, ya descrita en el
apartado 4.3.1 de este documento, ha sido desarrollado por la firma Methodware en estricta
coordinación con ISACA. Por otra parte, como herramienta ofrece destacadas facilidades para
los auditores de TI, tales como:
Un proceso consistente para evaluar y auditar la gestión y control de los sistemas de TI.
Un benchmark reconocido para la gestión y control de sus sistemas de TI.
Revisiones focalizadas mediante la selección de los dominios, procesos, criterios de
calidad de la información y recursos de TI, relevantes en el plan de cada auditoría.
Permite realizar las auditorías en tres (3) niveles: Alto Nivel Gerencial (Dominios /
Procesos), detallado de los Objetivos de control, y detallado con las Guías de Auditoría
(pasos del programa).
La identificación e implementación de objetivos de control y guías de auditoría, basadas
en estándares de “mejores prácticas” y brindar un “mayor valor agregado”.
Generación automática de diferentes tipos de informes y emisión gráficos que facilitan
la interpretación de los resultados.
Interfase gráfica de diseño muy amigable, tal y como se puede apreciar en el anexo 3.
Asimismo, considerando la realidad institucional, se pueden identificar elementos adicionales a
favor de la herramienta propuesta:
Es compatible con los estándares institucionales para sistemas operativos.
Facilita la incorporación a los informes de aspectos de interés no necesariamente
cubiertos en alguno de los objetivos de control considerados por el modelo.
113
Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría
Es una herramienta que está siendo utilizada y considerada como referencia útil por
otras auditorías internas de instituciones públicas, como la del Banco Nacional de Costa
Rica, el Banco Central de Costa Rica y la Compañía Nacional de Fuerza y Luz.
114
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
CAPITULO 5
PLAN OPERATIVO PARA LA INTRODUCCIÓN DE LA AUDITORIA DE TI
En este capítulo se presenta el plan para la puesta en práctica de los elementos planteados en
los capítulos anteriores. Inicialmente se presentan las consideraciones de carácter general que
de una u otra manera inciden en el plan. Posteriormente se muestran los elementos que
componen el plan y el detalle de las tareas para un periodo de 2 años y medio, finalmente se
incluye el presupuesto económico, en el que se puede encontrar una estimación del costo para
la implementación de la propuesta. Con el planteamiento de estos aspectos específicos se
pretende facilitar la toma de decisiones asociadas con la introducción y consolidación de la
Auditoría de TI, de tal forma que se pueda trazar, con el mayor detalle posible, las acciones
que deberán realizarse para concretar el propósito final de este
5.1 CONSIDERACIONES ESTRATÉGICAS
5.1.1 Aportes de la Administración
En un primer momento es necesario evidenciar los aportes por cuenta de la Administración que
a su vez se consideran condiciones necesarias para la adecuada introducción de la Auditoría
de TI en el Ministerio de Hacienda.
Compromiso de la Administración: La Administración debe asumir la responsabilidad
que le es propia en cuanto al diseño, actualización e implantación del sistema de
control interno. Por grandes los esfuerzos y aportes de la auditoría, no habrá valor
agregado en el tanto la administración no asuma ese papel y se comprometa con la
implantación de las recomendaciones que aquella presente como resultado de sus
evaluaciones.
Disponibilidad de recursos: La Administración debe asignar los recursos financieros y
humanos requeridos para la implantación de la propuesta. En el apartado sobre
costos estimados, se muestra la inversión inicial en adquisición de equipo, software,
115
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
recurso humano adicional y capacitación del personal de la Dirección General de
Auditoría Interna, sin la cual evidentemente no será posible llevar a cabo la propuesta.
Adquisición de la herramienta COBIT Management Advisor por parte de la
Administración. Como un elemento más del alineamiento de los esfuerzos de la
Administración y de la Auditoría de TI para fortalecer el sistema de control se requiere
que ambas partes tengan un mismo enfoque y se orienten hacia la consecución de los
mismos objetivos. No obstante, en el plan no se incluye las actividades que le
corresponderá realizar a la administración.
Elaboración del Plan Estratégico Tecnológico, actualmente en proceso, e
inclusión de la Auditoría de Tecnología de la Información dentro del mismo. La
conclusión de este Plan Estratégico Tecnológico y la puesta en marcha del mismo
como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo
tecnológico, será la base fundamental para el accionar de la Auditoría de Tecnología
de la Información.
Además es necesario que dicho Plan conceptúe apropiadamente el rol de la auditoría
y su aporte para el alineamiento de la gestión de la TI y los objetivos del negocio y en
consecuencia considere, tal y como fue manifestado por el equipo de trabajo
encargado de su elaboración, la introducción de la Auditoría de Tecnología de la
Información como uno de sus componentes y proyectos prioritarios.
5.1.2 Alcance del Plan
La consolidación de la Auditoría de TI en el Ministerio de Hacienda es sin lugar a dudas un
proceso complejo y evolutivo, toda vez que ésta deberá ajustarse a los cambios tanto
institucionales como del entorno, no sólo a nivel tecnológico sino también a nivel
organizacional, legal y administrativo.
En ese sentido, es necesario establecer con claridad los limites del plan que se presentará. Al
efecto, como orientación general se pretende abarcar lo que denominaremos una primera
etapa del proceso, caracterizada por los siguientes elementos:
116
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Objetivo:
Lograr la consolidación de la organización administrativa de la Auditoría de TI y la asignación
de recursos humanos y tecnológicos mínimos para el desarrollo de esta función y fortalecer el
ambiente de control de TI dentro del Ministerio.
Areas consideradas:
En esta primera etapa no sólo es necesario disponer de los recursos sino que se considera
clave que la Auditoría de TI de muestras claras de un aporte positivo para la organización y se
posicione como un elemento fundamental del sistema de control interno y de asesoría a la
Administración. Para estos efectos, será fundamental una participación proactiva y asesora.
En línea con lo indicado, dentro del marco metodológico propuesto (Modelo COBIT) se
considera conveniente que en esta primera etapa se atienda prioritariamente el dominio
Planeamiento y Organización, orientado a identificar la forma en que la TI contribuye de la
mejor manera al logro de los objetivos del negocio, así como el establecimiento de una
organización y una infraestructura tecnológica apropiada.
Dentro de este dominio estimamos prioritarios tres subdominios o procesos, a saber:
PO1 Definición de un plan estratégico de tecnología de información. Este proceso
comprende seis objetivos de control.
PO4 Definición de la organización y las relaciones de TI, que abarca quince objetivos
de control.
PO9 Evaluación de riesgos, el cual cubre seis objetivos de control.
Estos tres procesos son a nuestro criterio claves para lograr una respuesta clara a las
principales debilidades apuntadas en el diagnóstico institucional realizado como primera fase
del presente estudio.13 Adicionalmente, mediante el enfoque planteado se pretende orientar los
primeros esfuerzos hacia el fortalecimiento del sistema control interno, más que a la
identificación de las limitaciones puntuales de las aplicaciones y la gestión actual de la TI, en el
entendido de que ello resulta clave en virtud de la situación institucional evidenciada en los
diferentes documentos elaborados por los grupos de Proyecto Integrado I.
13 Ver apartado 2.2 de este documento.117
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
5.1.3 Organización para el Desarrollo del Plan
Para la ejecución del plan no se considera necesario una organización formalmente
establecida, entendiendo que resulta evidente que la coordinación corresponderá a la Directora
General de Auditoría Interna. Por otra parte, será de especial importancia el apoyo y
participación de la Dirección General de Informática, en lo correspondiente al soporte técnico,
así como también del Director General Administrativo y Financiero, que en su carácter de
Director del programa presupuestario al que está incorporada la Dirección General de Auditoría
Interna juega un papel relevante en cuanto a la asignación y ejecución de los recursos
presupuestarios.
5.1.4 Riesgos
A continuación se presentan los principales riesgos que amenazan el desarrollo del plan:
Apoyo de nuevas autoridades. El cambio de gobierno que se enfrentará en mayo
del próximo año podría impactar el proyecto en función del apoyo que brinden
las nuevas autoridades del Ministerio. Al efecto, aunque se reconoce que la
permanencia de la Directora General y Subdirectora de Auditoría Interna en
algo mitiga el mencionado riesgo, lo cierto es que el apoyo de las autoridades
superiores es un elemento clave, no solo en lo que respecta a la asignación de
recursos, sino también en lo que se refiere al espacio de acción y relevancia que
se le otorgue al trabajo que realice la Dirección.
No lograr la contratación de personal idóneo oportunamente. Retrasos en la
contratación del personal requerido para el funcionamiento de la Auditoría de TI,
conllevarán retrasos en el avance del proyecto, siendo de especial preocupación
la reacción de los usuarios en caso de no observarse aportes concretos por
parte de la auditoría, por el contrario podría darse un desperdicio por la no
utilización del equipo y software que se hubiera adquirido.
Atrasos en el proceso de contratación administrativa. La adquisición de bienes y
servicios, en especial del equipo, con alguna frecuencia se retrasa en virtud de
las apelaciones y otros recursos que la Ley de Contratación Administrativa
permite a los proveedores. En la medida en que no se cuente con las
118
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
herramientas necesarias, difícilmente se podrán alcanzar los objetivos
planteados para la Auditoría de TI.
5.2 COMPONENTES DEL PLAN OPERATIVO
A los efectos de la estructuración del plan operativo, se han establecido 8 componentes, que
se desglosan por tareas:
Aprobación del proyecto: Comprende las actividades orientadas a lograr la aprobación
del proyecto por parte de las autoridades superiores del Ministerio.
Ajuste de la organización de la Auditoría de TI. Considera las tareas requeridas para la
modificación y ajuste del decreto de organización y funciones de la Dirección General
de Auditoría Interna, con el fin de que en su estructura funcional se considere el Area de
Auditoría de TI.
Contratación del recurso humano. Comprende las actividades a desarrollar con el fin de
que el Area de TI disponga de los recursos humanos mínimos para su funcionamiento.
Capacitación: En cuanto a este particular se considera la capacitación de trece
funcionarios en la Universidad de Costa Rica, con el propósito de que todos cuenten
con el grado de Técnico en Auditoría Informática y que se tengan posibilidades de
actualización profesional, participando en el desarrollo del seminario latinoamericano
sobre auditoría de sistemas de información impartido por la ISACA.
Adquisición de licencias de software: Se incluyen las diferentes tareas a realizar para
concretar la adquisición de software, concretamente de COBIT Advisor, y una
herramienta para la administración de la gestión de la Auditoría y otra para la
Administración de Riesgo.
Adquisición de equipo: Se explicitan las diferentes tareas asociadas con la adquisición
de un servidor y estaciones de trabajo que soporten las características del software que
se propone adquirir.
119
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Fortalecimiento del ambiente de control: Se consideran las tareas requeridas para
concretar la evaluación de tres subdominios o procesos del dominio titulado “Planeación
y Organización”, a saber:
Evaluación y seguimiento del plan estratégico
Definición de la organización y de las relaciones de TI
Evaluación del riesgo
El detalle de todas y cada una de las actividades se muestra en el cronograma que se muestra
a continuación.
120
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
CRONOGRAMA DEL PROYECTOAUDITORIA DE TI EN EL MINISTERIO DE HACIENDA
Id Nombre de tarea
2 Preparar el documento del proyecto
3 Preparar presentación a las autoridades
4 Realizar presentación
5 Analizar proyecto
6 Comentar y valorar observaciones
7 Aprobar proyecto
8
9 Ajuste de la organización de la auditoría interna
10 Preparar documento propuesta de modificación a la estructura organizacional
11 Presentar documento a las autoridades superiores
12 Analizar propuesta
13 Presentar propuesta a MIDEPLAN
14 Analizar propuesta
15 Aprobar propuesta
16 Preparar modificación al Reglamento de Organización y Funciones de la DGAI Decreto 19067-H
17 Presentar propuesta de modificación al Ministro
18 Análizar la propuesta
19 Aprobar propuesta de modificación
20 Tramitar firma del Presidente
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
121
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea21 Publicar decreto
22
23 Asignación de recursos financieros
24 Presentar solicitud de recursos a la DG Ad. Y Fi.
25 Asignar recursos financieros
26
27 Contratación de recurso humano
28 Elaborar propuesta de ajuste al manual de cargos para coordinador de ATI y profesional informático
29 Presentar propuesta de ajuste al manual de cargos
30 Analizar propuesta de manual de cargos
31 Elaborar propuesta de ajuste al Manual institucional
32 Presentar ajuste al Manual institucional a la Dirección General de Servicio Civil
33 Aprobar ajuste
34 Emitir resolución de ajuste al Manual Institucional
35 Preparar propuesta de reestructuración de puesto
36 Analizar propuesta de reestructuración
37 Aprobar reestructuración
38 Emitir resolución de reestructuración de puesto coordinador TI y profesional informático
39 Solicitar a la DGPN modificación a la RP
0%
1%
3%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
122
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea40 Tramitar decreto de modificación a la Relación de Puestos
41 Publicar decreto de modificación
42 Tramitar concurso interno para nombramiento
43 Reclutar coordinador de auditoría TI
44 Seleccionar
45 Tramitar nombramiento de coordinador ATI
46 Solicitud de puesto nuevo profes. Inform.
47 Aprobar traslado de plaza vacante
48 Preparar solicitud de reestructuración
49 Analizar propuesta de reestructuración puesto
50 Aprobar reestructuración
51 Emitir resolución de reestructuración de puesto coordinador TI y profesional informático
52 Solicitar a la DGPN modificación a la RP
53 Tramitar decreto de modificación a la Relación de Puestos
54 Publicar decreto de modificación
55 Tramitar concurso interno para nombramiento
56 Reclutar profesional en informática
57 Seleccionar
58 Tramitar nombramiento de prof. Inf.
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
123
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea60 Capacitación de funcionarios
61 Programa modular de técnico en auditoría de TI
62 Solicitar inclusión del curso en el programa de capacitación
63 Autorizar inclusión en programa de capacitación
64 Solicitar emisión de Orden de compra
65 Emitir orden de compra
66 Inscribir funcionarios
67 Participar módulo 1 UCR
68 Solicitar emisión de Orden de compra
69 Emitir orden de compra
70 Inscribir funcionarios
71 Participar módulo 2
72 Solicitar emisión de Orden de compra
73 Emitir orden de compra
74 Inscribir funcionarios
75 Participar módulo 3
76 Solicitar emisión de Orden de compra
77 Emitir orden de compra
78 Inscribir funcionarios
0
0
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
124
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea79 Participar módulo 4
80 Solicitar emisión de Orden de compra
81 Emitir orden de compra
82 Inscribir funcionarios
83 Participar módulo 5
84 Solicitar emisión de Orden de compra
85 Emitir orden de compra
86 Inscribir funcionarios
87 Participar módulo 6
88 Solicitar emisión de Orden de compra
89 Emitir orden de compra
90 Inscribir funcionarios
91 Participar módulo 7
92
93 Seminario Internacional en auditoría de TI
94 Solicitar inclusión del curso en el programa de capacitación
95 Autorizar inclusión en programa de capacitación
96 Solicitar emisión de Orden de compra
97 Emitir orden de compra
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
125
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea98 Inscribir prov. funcionarios
99 Tramitar Acuerdo de Viaje
100 Autorizar Acuerdo de Viaje
101 Participar en Seminario
102
103
104 Adquisición de licencias de software
105 Adquisición de Cobit Advisor
106 Preparar solicitud de mercancía
107 Tramitar aprobación de solicitud de mercancía
108 Realizar proceso de contratación administrativa
109 Adjudicar
110 Entregar software
111 Instalar software
112 Capacitar en el uso de la herramienta
113 Adquisición de Cobit Management Advisor
114 Elaborar solicitud de mercancía
115 Tramitar aprobación de solicitud de mercancía
116 Realizar proceso de contratación administrativa
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
126
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea
117 Adjudicar
118 Entregar software
119 Instalar software
120 Capacitar en el uso de la herramienta
121 Adquisición de herramienta de administración de la auditoría
122 Investigación de alternativas
123 Elaborar solicitud de mercancía
124 Tramitar aprobación de solicitud de mercancía
125 Realizar proceso de contratación administrativa
126 Adjudicar
127 Entregar
128 Instalar software
129 Capacitar en el uso de la herramienta
130
131 Adquisición de herramienta de administración de riesgo
132 Realizar investigación de mercado
133 Elaborar solicitud de mercancía
134 Tramitar aprobación de solicitud de mercancía
135 Realizar proceso de contratación administrativa
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
127
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea
137 Entregar
138 Instalar software
139 Capacitar en el uso de la herramienta
140
141 Adquisición de equipo de cómputo
142 Realizar estudio de mercado
143 Elaborar solicitud de mercancías
144 Tramitar aprobación de la solicitud de mercancías.
145 Tramitar ampliación de cuota presupuestaria
146 Realizar proceso de contratación administrativa
147 Adjudicar
148 Entregar e instalar el equipo
149
150 Fortalecimiento del ambiente de control
151
152 Evaluación plan estratégico de TI
153 Comunicar inicio de evaluación
154 Realizar Evaluación
155 Preparar presentación de resultados
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
128
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
Id Nombre de tarea156 Comunicar resultados a la administración
157 Elaborar informe
158 Entregar informe
159
160 Evaluación de organización y relaciones de TI
161 Comunicar inicio de evaluación
162 Realizar Evaluación
163 Preparar presentación de resultados
164 Comunicar resultados a la administración
165 Elaborar informe
166 Entregar informe
167
168 Evaluación de riesgos
169 Comunicar inicio de evaluación
170 Realizar Evaluación
171 Preparar presentación de resultados
172 Comunicar resultados a la administración
173 Elaborar informe
174 Entregar informe
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre
129
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
5.3 UNA APROXIMACIÓN A LOS COSTOS
De acuerdo con la investigación realizada, a continuación se presentan los costos estimados
para los diferentes componentes considerados en el plan: recursos humanos, adquisición de
equipo y adquisición de software. Las cifras se presentan en dólares estadounidenses con el
propósito de evitar el efecto de la devaluación.
Para efectos de la estimación se han considerado los siguientes supuestos:
El coordinador del área de TI tendrá un salario base similar al de los otros puestos de
coordinador general de la Dirección General de Auditoría Interna.
Para efectos de estimación de otros componentes salariales se consideró: prohibición
(65%), anualidades (5), carrera profesional (16 puntos).
El puesto nuevo de profesional informático tiene la misma categoría del profesional
informático actual.
Las estimaciones de costos de las herramientas computadorizadas se fundamentan en
cotizaciones obtenidas por algunos distribuidores nacionales.
El costo del equipo se estimó según datos proporcionados por distribuidores de equipo.
Se considera la adquisición de 8 estaciones de trabajo, cantidad que corresponde al
faltante en la Dirección General de Auditoría Interna para que cada funcionario disponga
de equipo con la capacidad mínima requerida para la instalación y funcionamiento del
software que se propone adquirir.
El servidor que se propone adquirir responde a los requerimientos mínimos del software
que se propone adquirir, a saber: procesador Pentium III, velocidad de 400 Mhz, 128 Mb
de memoria RAM.
130
Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI
131
Capítulo 6 Conclusiones y Recomendaciones
CAPITULO 6
CONCLUSIONES Y RECOMENDACIONES
Aunque si bien es cierto, los objetivos planteados del presente proyecto giran en torno a la
propuesta para la introducción y consolidación de la Auditoría de Tecnología de la Información
en el Ministerio de Hacienda, lo cual ha sido expuesto en los capítulos anteriores,
consideramos oportuno resaltar algunas conclusiones y recomendaciones asociadas con la
investigación realizada y los planteamientos incluidos para su puesta en ejecución.
Como conclusiones estimamos merecen destacarse las siguientes.
La introducción de la Auditoría de TI no sólo es una sentida necesidad sino que resulta
factible con un aporte de recursos humanos y financieros considerado asequible dentro
de la realidad institucional.
Adicionalmente, el proceso requiere del compromiso de los principales involucrados: la
Dirección General de Auditoría Interna y las autoridades superiores del Ministerio. De la
investigación realizada destacamos que existe ese interés y disposición de las
diferentes partes, siendo necesario se mantengan en el tiempo.
Para el desarrollo de la Auditoría de TI en el Ministerio es fundamental el fortalecimiento
y desarrollo del sistema de control interno, ello plantea la necesidad del desarrollo de
una nueva cultura de control, para lo cual resulta clave que la Administración asuma su
responsabilidad y se identifique plenamente con los controles.
Para el desarrollo de la Auditoría de TI es primordial la clara definición de una
metodología operativa, acorde con el desarrollo de la tecnología de la información y la
realidad institucional. En ese sentido, el modelo COBIT desarrollado bajo la
coordinación de ISACA ofrece importantes fortalezas.
132
Capítulo 6 Conclusiones y Recomendaciones
La introducción de la Auditoría de TI como función de la Dirección General de Auditoría
Interna requiere de la modificación de la estructura organizacional y funcional de dicha
Dirección.
Es necesario contar con recurso humano especializado para el desarrollo de las
funciones propias de la Auditoría de TI.
Existe una gran cantidad de herramientas computadorizadas de apoyo a la función de
auditoría, su adecuada utilización puede redundar en significativos beneficios para la
organización, siendo de especial relevancia una adecuada selección conforme a los
requerimientos y características institucionales.
Conforme con la propuesta elaborada, el proceso de introducción y consolidación de la
Auditoría de TI lo que se ha considerado una primera etapa en el desarrollo de sus
funciones, conlleva importantes esfuerzos y requerirá alrededor de 2 años y medio, no
obstante, es claro que se trata de un proceso evolutivo cuya consolidación demandará
un esfuerzo continuado en el tiempo, en el que la evolución de la tecnología de la
información será uno de los factores que marcará la pauta.
Por otra parte, con miras a la ejecución de la propuesta, consideramos procedentes las
siguientes recomendaciones.
Como modelo metodológico operativo para el desarrollo de la función de Auditoría de TI
se recomienda la utilización del elaborado por la Information Systems Audit. And Control
Association –ISACA- denominado Objetivos de Control para la Información y
Tecnologías Afines (COBIT).
La función de Auditoría de TI en el Ministerio de Hacienda debe ubicarse en la
Dirección General de Auditoría Interna, para lo cual se recomienda la creación del Area
de Auditoría de TI en dicha Dirección y el respectivo ajuste la estructura organizacional
y funcional, conformándola inicialmente con un Coordinador General de Area y dos
profesionales en informática.
133
Capítulo 6 Conclusiones y Recomendaciones
Es recomendable que con miras a fortalecer la responsabilidad y la actuación de la
Administración en cuanto al control de la TI, que se adquiera una herramienta
computadorizada para la Administración. En ese sentido, en concordancia con el
modelo metodológico operativo y la herramienta recomendada para la Auditoría de TI,
se recomienda la adquisición del COBIT Management Advisor.
Se estima necesario la adquisición de una herramienta de apoyo a la administración de
la auditoría, otra para la función de Auditoría de TI y una herramienta para evaluación
de riesgo. Como herramienta de apoyo a la función de la Auditoría de TI se recomienda
la adquisición del COBIT Advisor, herramienta que es congruente con el modelo
recomendado y adicionalmente presenta importantes fortalezas, entre las que destacan
su actualización frecuente, respaldo técnico y amplitud en cuanto al papel de la
administración en el control. Las herramientas para la administración de la auditoría y
administración del riesgo deberán seleccionarse en atención a la disponibilidad de
recursos, opciones disponibles en el mercado y los requerimientos institucionales.
Paralelamente a la adquisición de software deben destinarse recursos a la inversión en
actualización del equipo actual y a la adquisición de nuevo equipo para la Dirección
General de Auditoría Interna, para lo cual deberán atenderse los requerimientos del
software que se decida adquirir.
En atención a los elementos del diagnóstico institucional y dentro del marco del modelo
metodológico operativo propuesto, en una primera etapa se recomienda orientar los
esfuerzos para el fortalecimiento del ambiente de control, para lo cual se considera
conveniente iniciar con la evaluación del dominio de planeación y organización,
concretamente con tres subdominios o procesos: evaluación y seguimiento del plan
estratégico, definición de la organización y relaciones de TI y evaluación del riesgo.
Elaborar un documento de proyecto que, basado en la propuesta y considerando los
ajustes que la Dirección de Auditoría Interna y las autoridades superiores estimen
necesarias una vez valorado lo que hemos planteado. Consecuentemente se deberá
revisar el cronograma elaborado a efecto de contar con una herramienta que
efectivamente permita el seguimiento para la realización del proyecto y la consecución
de los objetivos planteados.
134
Capítulo 6 Conclusiones y Recomendaciones
Se estima recomendable promover una actitud de actualización permanente en los
funcionarios de la Dirección General de Auditoría Interna.
135
Capítulo 6 Conclusiones y Recomendaciones
BIBLIOGRAFÍA
Arauz, Manuel. Auditoría de Sistemas: ¿por qué?. Universidad Internacional de las
Américas.1966.
Contraloría General de la República. Manuales sobre Normas Técnicas de Control Interno
relativas a los Sistemas de Información Computadorizados. Alcance No. 7 a la Gaceta No. 24
del 2 de Febrero de 1996.
Comité Directivo de COBIT. COBIT: Resumen Ejecutivo. Segunda Edición. México.1998
Delgado Rojas, Xiomar. “Auditoría Informática”. Primera Edición, EUNED, Costa Rica, 1997.
Dirección General de Auditoría Interna. Propuesta de Reforma de la Dirección General de Auditoría Interna. Documento Interno presentado al Ministro de Hacienda en julio de 1996.
Echenique García, José Antonio. Auditoría en informática. Primera Edición. McGraw-Hill
Interamericana de México. México D.F. 1991
García, Sandra. “Auditoría Informática I: Nota técnica para el curso”. Primera Edición, UNED,
Costa Rica, 1997.
Hevia Vázquez Eduardo. Concepto Moderno de la Auditoría Interna. Instituto de Auditores
Internos. España.1999.
Ley Orgánica de la Contraloría General de la República, No. 7428. Gaceta No. 210 del 4 de
noviembre de 1994.
Reglamento de Organización y Funciones de la Dirección General de Auditoría Interna del
Ministerio de Hacienda. Decreto Ejecutivo No. 19067 – H, publicado el 4 de julio de 1989,
Gaceta No. 102
136
Capítulo 6 Conclusiones y Recomendaciones
SITIOS CONSULTADOS
http://www.hacienda.go.cr
http://www.bsa.org/info/bsamailer/page4.html
http://www.pleier.com/overview.htm
http://www.newtech.co.cr
http://www.audinfor.com/
e-mail: [email protected]
http://www.pentasafe.com/products/database-overview.htm
http://www.auditnet.org/docs/inet_ap.txt
http://www.methodware.com
http://www.theiia.org/
137
Anexo N1
ANEXOS
138
Anexo N1
ANEXO 1
PARTICIPANTES PROYECTO COBIT 2000
ANALISTAS EXPERTOS —USA
Prof. Ulric J. Gelinas, Bentley CollegeJohn Hayes, Price Waterhouse LLPGreg Hedges, Arthur Andersen & Co., S.C.Dave Kent, Price Waterhouse LLPTom Kothe, Ernst & Young LLPJohn Lainhart, Inspector General, U.S. House ofRepresentatives, USARobert Roussey, University of Southern California
EQUIPO DE CALIDAD
Gary Austin, GAOChris Bagot, NATORick Beatty, California Federal BankPeter De Koninck, Coopers & LybrandBalencia Dozier, Manufacturers BankDoris Gin, Arthur Andersen & Co., LLPA.I. Heijkamp, Computercentrum VSBMax Huijbers, RijkscomputercentrumPeter Maertens, NATOBill Pepper, Zergo, Ltd.Mark Stanley, Santa Barbara BankTjerk Terpstra, Inter AccessMark Wheeler, Farmers InsuranceCarla Williams, Executive Consultants
EL EQUIPO DEL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., BelgiumEddy Schuermans, Coopers & Lybrand, BelgiumThomas Lamm, ISACF, USA
COMITÉ QUE DIRIGE EL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., BelgiumJohn Beveridge, State Auditors’ Office,Massachusetts, USAProf. Dr. Bart De Schutter, Vrije Universiteit Brussels,Chairman BRT BelgiumGary Hardy, Arthur Andersen, United KingdomJohn Lainhart, Inspector General, U.S. House ofRepresentatives, USA
139
Anexo N1
Akira Matsuo, Chuo Audit Corporation, JapanEddy Schuermans, Coopers & Lybrand, BelgiumPaul Williams, Arthur Andersen, United KingdomThomas Lamm, ISACF, USA
INVESTIGADORES
Vrije Universiteit Amsterdam, The NetherlandsProf. M.E. Van Biene-HersheyRené Barlage, RB ConsultantsCalifornia Polytechnic University, USAProf. Dan Manson, Lead Researcher
ANALISTAS EXPERTOS —EUROPA
Chris Bagot, NATORené Barlage, RB ConsultantsProf. Dr. Henri Beker, Zergo, Ltd.John Beveridge, ISACA Past PresidentErik Guldentops, S.W.I.F.T. S.C.Gary Hardy, Arthur AndersenEddy Schuermans, Coopers & LybrandAlan Stanley, European Security ForumDanny Van Riel, Johnson & JohnsonBram Vandenberg, Ernst & Young.
140
Anexo N2
ANEXO No.2
LISTA DE PROVEEDORES Y PRODUCTOS CAATTs
Proveedor Página Web & Producto (s)
ABC Systems and Development, Inc.
http://www.abcsystems.com
ABC Lan Licenser 3
ACL Software http://www.acl.com/mvs
ACL for MVS/Windows
AntiOnline http://www.antionline.com/SpecialReports/Ogre/
Ogre
AT&T Info-Security http://www.att.com/secure_software/sa_sw.html
SecretAgent
Attest Systems, Inc. http://www.attest-gasp.com
GASP
Audit Serve Inc. http://www.auditserve.com
ExtrAUDITnaire
Auditek, Inc. http://www.auditek.com/auditek.html
TEAM Rite
Authentex Software Corporation
http://www.authentex.com/encryption/ds.html
DataSAFE
AutoTester, Inc. http://www.autotester.com
AutoController, AutoTester, AutoAdviser
AXENT Technologies, Inc. http://www.axent.com
OmniGuard Product Suite
Bindview Development http://www.bindview.com
Enterprise Management System
Blue Lance, Inc. http://www.bluelance.com/noframe/auditor.shtml
LT Auditor
Business Software Alliance, The
http://www.bsa.org
Guide to Software Management
Canadian Institute of Chartered Accountants
http://www.cica.ca/idea
IDEA
Candle Corp. http://www.candle.com
MQSecure
CaseWare International Inc. http://www.caseware.com
Caseware
Certification Training Institute, Inc.
http://www.ctrain.com
Ctrain
141
Anexo N2
Proveedor Página Web & Producto (s)
Computer Associates International, Inc.
http://www.cai.com/products/dsm/sca.htm
ACF2, Examine, PANAUDIT PLUS, Panvalet, Top Secret
CONSUL Risk Management, Inc.
http://www.consulrisk.com
Consul/Audit for RACF
Data Junction Corporation http://www.datajunction.com/products/prod_idx_djwin.htm
Data Junction
Datawatch Corporation http://www.datawatch.com
Monarch
Decision Technology http://www.dtiprinceton.com/products.htm
Decision Analyzer
Deloitte & Touche http://www.dtcas.co.za/va.htm
Visual Assurance
Deloitte Touche Tohmatsu International
http://www.dttus.com/us/what/SerLines/AUD_ACC/as20001.htm
AuditSystem/2
Elron Software http://www.elronsoftware.com
Firewall, Internet Manager, SofTrack Software Metering
Expert Choice, Inc. http://www.ExpertChoice.com
Expert Choice
Eye-t Technology Ltd. http://www.eye-t.com
Authorize, TF2000
Finjan Software http://www.finjan.com
Finjan
First Chicago NBD http://audit.wordlink.com
Auditor Assistant, Auditor Assistant Team Manager
Funk Software http://www.funk.com
AppMeter II
Geac Computer Corporation Limited
http://www.smartstream.geac.com/solutions/index.htm
Smartstream
Goldmine Software Corporation
http://www.goldminesw.com
Goldmine
Grupo TI Soluciones http://www.newtech.co.cr
Auditors´Software Toolset (AST)
IBM Corporation http://www.s390.ibm.com/products/racf/racfhp.html
Resource Access Control Facility
IHS Finanial Products http://www.ihsfinancial.com/sentpage.htm
Audit Sentry
IMTI Systems http://www.imtisystems.com
ARIES Audit System, Premis Audit System, Premium Audit System
142
Anexo N2
Proveedor Página Web & Producto (s)
InfoProtect http://www.InfoProtect.com
Dial-Up Auditor
Information Builders http://www.ibi.com
EDA, FOCUS, SNAPpack Audit
Information Discovery, Inc. http://datamine.inter.net/datamine
Data Mining Suite
Integralis, Inc. http://www.mimesweeper.integralis.com
MIMEsweeper
Internet Security Systems, Inc. http://iss.net/prod/complete.html
SAFEsuite
INTERSOLV, Inc. http://www.intersolv.com/products/index.htm
DataDirect, PVCS Series, QualityWorks
Intrusion Detection, Inc. http://www.intrusion.com/products/ksm.htm
Kane Security Monitor
ISACA http://www.isaca.org
COBIT
J.E. Boritz Consultants Limited http://www.jebcl.com
auditMASTERPLAN
JD Edwards http://www.jdedwards.com/technology/oneworld.asp
OneWorld
KansasBay Systems http://www.kansasbay.com
DeskTracy
Linton Shafer Computer Services, Inc.
http://www.lintonshafer.com
The Number
KPMG Peat Marwick http://www.audinfor.com
GESIA 2000
Lockheed Martin Labs http://www.atl.external.lmco.com/projects/minotaur
Minotaur-II File Encryptor
Majengo Software http://www.majengo.com
AuditJob
Mark Nigrini none
DATAS
MAS-Hamilton Group http://www.mas-hamilton.com/auditcon.htm
AUDITCON
McAfee http://www.mcafee.com
Service Desk, ZAC Suite
MegaSolve Corp. http://www.megasolve.com
MegaSolve Security Server Administrator
Methodware http://www.methodware.co.nz/cgi-bin/products/products.pl
CMM Advisor, COBIT Advisor, COBIT Management Advisor
Micrografx Inc. http://www.micrografx.com
ABC Flowcharter
143
Anexo N2
Proveedor Página Web & Producto (s)
MicroMash http://www.micromash.com
MicroMash
Microsoft Inc. different sites
MS Resource Kit, Team Manager 97
More Systems http://www.moresys.com
MORE Application Manager
Network Associates, Inc. http://www.nai.com/default_pgp.asp
Pretty Good Privacy
Network Flight Recorder, Inc. http://www.nfr.net/forum/publications/LISA-97.htm
Network Flight Recorder
Network General http://www.ngc.com
Sniffer Network Analyzer
New Dimension Software http://www.ndsoft.com
Control-D, Control-SA
Novell http://www.novell.com/products/managewise/index.html
ManageWise 2.1
Oracle http://www.oracle.com/st/products/uds/oracle8
Oracle 8
Paisley Consulting http://cmgate.com/~paisley/index.html
AutoAudit, Workforce
Pathfinder http://www.u-net.com/pathfinder
Barefoot Auditor
PCI Services, Inc. http://www.pciwiz.com
The Wiz
Pentasafe http://www.pentasafe.com
PS Audit, PS Secure
Platinum Software Corp. http://www.platsoft.com/products/sql/sqlapps.htm
Platinum SQL
Pleier & Associates http://www.pleier.com
ADM PLUS
Preferred Systems Inc. http://interop.sbforums.com/ltbdir/company/192065/320927.html
Auditware for NDS
Price Waterhouse http://www.pw.com/energy/applications.htm
PW Controls, Price Waterhouse Products, TeamMate
Reuters Risk Management http://risk.reuters.com
Kondor +, SailFish
SAS Institute Inc. http://www.sas.com
SAS System
Sassafras Software, Inc http://www.sassafras.com
KeyAudit, KeyServer
SATAN http://www.fish.com/satan
SATAN
Seagate Software http://www.crystalinc.com/crystalreports
144
Anexo N2
Proveedor Página Web & Producto (s)
Crystal Reports
Secure Networks, Inc. http://www.secnet.com/ballista
Ballista
Shatswell, MacLeod Software Group, Inc.
http://www.bancaudit.com/welcome1.htm
BancAudit, Patrol400
ShowCase Corporation http://www.showcasecorp.com/home.html
Showcase
Silvon Software http://www.silvon.com/sdm/sdm_asvu.htm
AS/vu
Software Publishers Association
http://www.spa.org/piracy/download.htm;
SPAudit
Somarsoft, Inc. http://www.somarsoft.com
DumpAcl
SPSS Inc. http://www.spss.com/software/allclear
AllClear
Strohl Systems http://www.strohl-systems.com/main.html
BIA Professional, LDRPS
Sybase, Inc. http://www.sybase.com/products/infomaker
Infomaker
System Integrators, Inc. http://www.sintegrators.com
License Broker
Tally Systems Corporation http://www.tallysys.com
Cenergy, CentaMeter, NetCensus, NetSonar, Veranda EMR
Technologic Software Concepts, Inc.
http://www.technologic.com
RAS Enterprise
Trillion Software Ltd. http://www.trillion.demon.co.uk
PCUA
Trusted Information Systems, Inc.
http://www.tis.com/prodserv/gauntlet/index.html
Gauntlet
UAC http://www.uac.com/central.htm
Central Administrator
UMC de Costa Rica. [email protected]
Gestión Procesos Auditoría
Vanguard Integrity Professionals
http://www.viplink.com
Vanguard Systems Auditor
WheelGroup Corporation http://www.wheelgroup.com/netrangr/1netrang.html
NetRanger
WizSoft Inc. http://www.wizsoft.com
Wizrule
145
Anexo N2
Proveedor Página Web & Producto (s)
World Wide Digital Security, Inc.
http://www.wwdsi.com/saint/
SAINT
X-Tension http://www.x-tension.com/textframes/expl_frame.html
Data Explorer
Zydeco http://www.itssoftware.com/its/pv.html
PaperVue
Fuente: http://www.theiia.org/ecm/guide-ia.cfm?doc_id=838#pubref
146
Anexo N3
ANEXO 3
ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edición
147
Anexo N3
148
Anexo N3
149
Anexo N3
..../...
150