PROPUESTA DE ENTREGABLES

Anexo N3

UNIVERSIDAD NACIONALSISTEMA DE ESTUDIOS DE POSTGRADO

MAESTRIA EN ADMINISTRACION DETECNOLOGA DE INFORMACIN

CURSO PROYECTO INTEGRADO II

PROYECTO DE APLICACIN PRACTICA DE TECNOLOGA DE INFORMACION

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA INFORMACION EN EL MINISTERIO DE HACIENDA

Clair Chacn RodrguezJos Adrin Vargas Barrantes

Heredia, Costa Rica, agosto del 2001

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA INFORMACION EN EL MINISTERIO DE HACIENDA

INDICE GENERAL

RESUMEN EJECUTIVOiCAPITULO 11INTRODUCCION1CAPITULO 27MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI72.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI72.1.1 Enfoque De Antonio Echenique72.1.2 Enfoque de Sandra Garca112.1.3 Enfoque de Manuel Arauz132.1.4 Enfoque de Xiomar Delgado152.1.5 Enfoque De Mario Piattini Y Otros212.1.6 Enfoque de la Fundacin para el Control y Auditora de Sistemas de Informacin (Modelo COBIT).292.1.7 Consideraciones sobre los Diferentes Enfoques332.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA362.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI402.3.1 Criterios de seleccin402.3.2 Descripcin del Modelo Propuesto41CAPITULO 355PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE LA INFORMACIN553.1 ASPECTOS CONCEPTUALES Y LEGALES553.1.1 Control Interno Informtico553.1.2 Auditora de TI563.1.3 Normativa sobre evaluacin de sistemas de informacin computadorizada573.1.4 Normativa sobre las auditoras internas573.1.5 Perfil del Auditor de Tecnologa de Informacin583.1.6 Principios para el Ejercicio de la Auditoria de TI593.2 ORGANIZACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA633.2.1 Antecedentes633.2.2 Objetivo General de la Auditora Interna653.2.3 Misin, Visin y Valores653.2.4 Funciones663.2.5 Organizacin683.2.6 Recursos Humanos693.3PROPUESTA DE ORGANIZACIN y REQUERIMIENTOS DE RECURSOS HUMANOS703.3.1 Organizacin de la Auditora de TI713.3.2 Recursos Humanos75CAPITULO 477PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA774.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA AUDITORA774.2 HERRAMIENTAS INFORMTICAS DE APOYO A ADMINISTRACIN DE LA AUDITORIA784.2.1 Algunos Ejemplos de Herramientas Computadorizadas de Apoyo a la Administracin de la Auditora.864.3HERRAMIENTAS INFORMTICAS DE APOYO FUNCION DE AUDITORIA DE TI934.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la funcin de Auditora de TI1004.4ELEMENTOS PARA UNA DECISIN SOBRE HERRAMIENTAS COMPUTADORIZADAS1084.4.1 Situacin Actual de TI en la Direccin General de Auditora Interna.1084.4.2 TI en el Ministerio de Hacienda1094.4.3 Modelo metodolgico recomendado para la auditora1104.4.4 Proceso de Creacin y Desarrollo de la Auditora de TI1104.4.5 Requerimientos de Hardware1114.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS1114.5.1 Herramientas de Apoyo a la Administracin de la TI1114.5.2 Herramientas de Apoyo a la Administracin de la Auditora1124.5.3 Herramientas de Apoyo a la Funcin de Auditora113CAPITULO 5115PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI1155.1 CONSIDERACIONES ESTRATGICAS1155.1.1 Aportes de la Administracin1155.1.2 Alcance del Plan1165.1.3 Organizacin para el Desarrollo del Plan1185.1.4 Riesgos1185.2 COMPONENTES DEL PLAN OPERATIVO1195.3 UNA APROXIMACIN A LOS COSTOS132CAPITULO 6134CONCLUSIONES Y RECOMENDACIONES134BIBLIOGRAFA138

SITIOS CONSULTADOS139

Indice de anexos

ANEXO 1141PARTICIPANTES PROYECTO COBIT 2000141ANEXO No.2143LISTA DE PROVEEDORES Y PRODUCTOS CAATTs143ANEXO 3149ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edicin149

DEDICATORIA

A Dios, Fuente de Luz y Esperanza.

A mis padres, Miguel Angel y Amparo Claudia, smbolo de amor, trabajo y bondad.

A mis hijas, Ivania, Hailn y Lizeth, quienes con su amor y comprensin fueron mi fuente de energa e inspiracin.

A mi hermana Yalili y a su hijo Jos Pablo, quienes con su apoyo y cario, estimularon mis deseos de superacin.

Mi sincero agradecimiento a mi compaero Jos Adrin, a su esposa Sandra y a sus hijos, Alicia, Esteban, Eduardo, Mariel y Andrea, de quienes recib mucho cario, apoyo y comprensin para seguir adelante.

Clair

DEDICATORIA

Dedico este esfuerzo en primer lugar a Dios, quienes creemos en El sabemos por fe que no solo es Todopoderoso sino que en su infinito amor nos gua y fortalece da a da. Gracias a El he tenido el apoyo de una mujer muy especial con la que comparto mi vida, mi esposa Sandra, quien no solo tuvo comprensin para aceptar las ausencias y privaciones, sino que tambin nos acompa y apoy en muchos momentos de este esfuerzo. A El reconozco la comprensin de mis adorados hijos e hijas, Alicia, Esteban, Eduardo, Mariel y la pequea Andrea, ellos no solo han sido testigos sino que tambin han tenido que entender porqu su pap no pudo muchas veces acompaarlos en juegos, paseos o en sus estudios. A Clair y su familia, con quienes esta experiencia ha hecho nacer una amistad que tiene mayor valor que todos los otros frutos de los estudios realizados.

Jos Adrin

AGRADECIMIENTO

Agradecemos al Ministerio de Hacienda la oportunidad que nos brind para cursar el Programa de Maestra as como realizar este proyecto de aplicacin prctica abordando un tema de inters institucional.

A la Directora General de Auditora Interna del Ministerio, Licda Rosala Caldern Gamboa, quien no slo fue la patrocinadora del proyecto sino que siempre estuvo dispuesta a dedicarnos tiempo para analizar y comentar temas de nuestro inters y facilit en lo que estuvo a su alcance la realizacin del proyecto.

Al Mster Luis Chaves Monge, quien como tutor supo orientarnos y presentarnos de manera respetuosa y llena de sabidura sugerencias y observaciones que contribuyeron a lograr una mayor calidad de nuestro proyecto, y adems logr motivarnos en los momentos de dificultad.

A los profesores Mster Jos Arrieta Salazar y Mster Javier Len Mora, quienes orientaron nuestro esfuerzo y con su seguimiento motivaron la constancia y la bsqueda de la excelencia.

A los que mediante entrevistas, facilitacin de documentos o sugerencias nos permitieron reunir la informacin necesaria y enriquecer nuestros criterios.

A todos ....MUCHAS GRACIAS .

iv

RESUMEN EJECUTIVO

El presente documento es el resultado del proyecto de aplicacin prctica de tecnologa de la informacin realizado en el marco del curso Proyecto Integrado II del programa de Maestra en Administracin de Tecnologa de la Informacin y representa una respuesta a la problemtica descrita en el Diagnstico sobre Auditora de Sistemas en el Ministerio de Hacienda, elaborado en el curso Proyecto Integrado I, del mismo programa.

Conforme con lo indicado, pretende como objetivo general promover la implantacin de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda, mediante la estructuracin de una propuesta que considere aspectos organizacionales, recursos humanos y tecnolgicos, as como un plan de trabajo concreto para este fin.

Complementariamente, se plantean los siguientes objetivos especficos:

Definir un modelo metodolgico operativo para el desarrollo de la funcin de la Auditora de Tecnologa de Informacin en el Ministerio de Hacienda.

Elaborar una propuesta de organizacin para la funcin de la Auditora de Tecnologa de Informacin en el Ministerio de Hacienda.

Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor, conocidas como CAATTs por sus siglas en ingls Computer Assisted Auditor Technics and Tools; necesarias para la implantacin de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda.

Estructurar un plan de trabajo especfico para la implantacin de la Auditora de Tecnologa de la Informacin en el Ministerio.

En cuanto a metodologa, el estudio se apoya en la investigacin bibliogrfica, la bsqueda de informacin por medio de Internet, la recopilacin directa de informacin mediante observacin. Adicionalmente se retoman algunos elementos del anlisis de la experiencia de otras instituciones, realizado como parte del diagnstico ya comentado.

La propuesta elaborada incorpora los siguientes elementos:

La utilizacin del modelo elaborado por la Information Systems Audit. And Control Association ISACA- denominado Objetivos de Control para la Informacin y Tecnologas Afines (COBIT) como modelo metodolgico operativo para el desarrollo de la funcin de Auditora de Tecnologa de la Informacin.

Ubicacin de la funcin de auditora de Tecnologa de la Informacin en el Ministerio de Hacienda en la Direccin General de Auditora Interna, mediante la creacin del Area de Auditora de Tecnologa de la Informacin en dicha Direccin, conformada inicialmente con un Coordinador General de Area y dos profesionales en informtica.

Adquisicin de la herramienta computadorizada COBIT Management Advisor como apoyo a la administracin de la Tecnologa de la Informacin y para ser utilizada por las principales reas informticas del Ministerio.

La adquisicin de una herramienta de apoyo a la gestin de la auditora, otra para la funcin de Auditora de TI y una herramienta para la evaluacin del riesgo. Como herramienta de apoyo a la funcin de la auditora de Tecnologa de la Informacin se recomienda la adquisicin del COBIT Advisor, herramienta que es congruente con el modelo recomendado y adicionalmente presenta importantes fortalezas.

Asignacin de recursos para la adquisicin de nuevo equipo para la Direccin General de Auditora Interna, conforme con los requerimientos del software que se decida adquirir.

Orientacin de los primeros esfuerzos al fortalecimiento del ambiente de control, para lo cual se considera conveniente iniciar con la evaluacin del dominio del modelo COBIT sobre Planeacin y Organizacin, concretamente en tres subdominios o procesos: Evaluacin y Seguimiento del Plan estratgico, Definicin de la Organizacin y Relaciones de TI y Evaluacin del Riesgo.

Asimismo, aunque el plan operativo no incluye las actividades que le corresponder realizar a la Administracin, se considera oportuno exponer los principales aportes que sta deber concretar como condiciones necesarias para el adecuado funcionamiento de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda, se plantean los siguientes:

Compromiso de la Administracin: La Administracin debe asumir la responsabilidad que le es propia en cuanto al diseo, implantacin, actualizacin y perfeccionamiento del sistema de control interno. Por grandes que sean los esfuerzos y aportes de la auditora, no habr valor agregado en el tanto la Administracin no asuma ese papel y se comprometa con la implantacin de las recomendaciones que aquella presente como resultado de sus evaluaciones.

Disponibilidad de recursos: La Administracin debe asignar los recursos financieros y humanos requeridos para la implantacin de la propuesta. En el apartado sobre costos estimados, se muestra la inversin inicial en adquisicin de equipo, software, recurso humano adicional y capacitacin del personal de la Direccin General de Auditora Interna, sin la cual evidentemente no ser posible llevar a cabo la propuesta.

Adquisicin de la herramienta COBIT Management Advisor por parte de la Administracin. Como un elemento ms del alineamiento de los esfuerzos de la Aadministracin y de la Auditora de Tecnologa dela Informacin para fortalecer el sistema de control interno se requiere que ambas partes tengan un mismo enfoque y se orienten hacia la consecucin de los mismos objetivos.

Elaboracin del Plan Estratgico Tecnolgico, actualmente en proceso, e inclusin de la Auditora de Tecnologa de la Informacin dentro del mismo. La conclusin de este Plan Estratgico Tecnolgico y la puesta en marcha del mismo como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo tecnolgico, ser la base fundamental para el accionar de la Auditora de Tecnologa de la Informacin.

Adems es necesario que dicho Plan concepte apropiadamente el rol de la auditora y su aporte para el alineamiento de la gestin de la TI y los objetivos del negocio y en consecuencia considere, tal y como fue manifestado por el equipo de trabajo encargado de su elaboracin, la introduccin de la Auditora de Tecnologa de la Informacin como uno de sus componentes y proyectos prioritarios.

Con el propsito de establecer de manera especfica las acciones que debern desarrollarse para ejecutar la propuesta, el documento incorpora un plan de operativo, establecido para lo que podra considerarse una primera etapa, en la que el objetivo ser lograr la consolidacin de la organizacin administrativa de la Auditora de Tecnologa de la Informacin y la asignacin de recursos humanos y tecnolgicos mnimos para el desarrollo de esta funcin y el fortalecimiento del ambiente de control de TI dentro del Ministerio; lo que demandar, segn el cronograma de tareas elaborado, un tiempo estimado de dos aos y medio.

El plan propuesto se estructura en 9 componentes, a saber: Aprobacin del proyecto, Ajuste de la organizacin de la Direccin de Auditora Interna, Asignacin de Recursos Financieros, Contratacin de Recurso Humano, Capacitacin de Funcionarios, Adquisicin de Software, Adquisicin de Equipo de Cmputo y Fortalecimiento del Ambiente de Control.

Como parte del proceso de elaboracin del plan operativo se advierte sobre los principales riesgos que se identifican en torno al proyecto, concretamente:

Insuficiente apoyo de las nuevas autoridades institucionales. No lograr la contratacin de personal idneo oportunamente. Atrasos en el proceso de contratacin administrativa.

Asimismo, se incluye una primera aproximacin a los costos de la ejecucin del plan propuesto, conforme con el cual se requerir una inversin cercana a los 120,000 dlares, durante los periodos presupuestarios 2002 y 2003.

Por otra parte, a los efectos de la puesta en prctica de la propuesta se recomienda la elaboracin de un documento de proyecto basado en la propuesta y en los ajustes que la Direccin General de Auditora Interna y las autoridades superiores estimen necesarios.

El trabajo elaborado establece con suficiente precisin a nuestro criterio, los esfuerzos y actividades a desarrollar, queda por ver si adems del inters y conciencia sobre la necesidad de la auditora de TI en el Ministerio, existe la voluntad y el compromiso. Nos abriga la esperanza de que dentro de algn tiempo lo que exponemos como propuesta se convierta en realidad y genere los beneficios esperados.

Resumen Ejecutivo

44

CAPITULO 1

INTRODUCCION

Como resultado de la investigacin realizada en curso Proyecto Integrado I, la cual consider un diagnstico sobre la auditora de sistemas en el Ministerio de Hacienda, se establecieron una serie de aspectos que resaltan la necesidad de una evaluacin independiente de la gestin de la Tecnologa de la Informacin (TI). A continuacin se retoman los ms relevantes para efectos del objetivo de este documento:

Concepto de auditora de sistemas vs auditora de tecnologa de la informacin

Aunque si bien es cierto en la mayora de los casos los conceptos se utilizan indistintamente, algunos pretenden diferenciarlos en el sentido de que la auditora informtica se orienta a la evaluacin de la funcin informtica como tal, considerando los diferentes servicios que esta presta as como los aspectos organizativos asociados a dicha prestacin, mientras que la auditora de sistemas se refiere a la actividad de la auditora al evaluar determinado proceso o rea operativa, en la que debe incluirse un anlisis sobre los sistemas de informacin computadorizados que apoyan dicho proceso.

Por otra parte, ms recientemente se ha ido generalizando el concepto de auditora de Tecnologa de la Informacin, en un sentido genrico y con el fin de abarcar adems algunas reas que han tomado mayor relevancia en los ltimos aos como son las relativas a las telecomunicaciones, seguridad, aplicaciones en web y herramientas colaborativas, entre otros.

Necesidad de un modelo operativo

Es posible identificar diferentes formas de estructurar las reas de accin de la auditora de sistemas, no obstante, las diferencias entre las mismas responden, no tanto a diferencias en torno al mbito de la misma sino a los criterios para la agrupacin de las tareas. En prcticamente todos los casos se identifica separadamente lo relativo a la administracin de la funcin informtica y las restantes reas se identifican segn los criterios particulares sobre la forma de visualizar la funcin informtica y la importancia relativa de dichas reas, lo cual se ve influenciado por los avances de la tecnologa de la informacin. Por lo tanto, la organizacin de la auditora informtica en una institucin especfica requerir decidir el esquema o modelo a utilizar, para lo cual es importante considerar las caractersticas de la respectiva institucin.

Problemtica organizacional y del marco regulador: contradicciones e incongruencias entre la organizacin real y la normativa.

An no se ha logrado consolidar una organizacin eficiente y funcional para la gestin de la TI en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las deficiencias de coordinacin entre las reas, se identifican deficiencias y conflictos que demandan una oportuna atencin.

Magnitud de la inversin realizada en hardware, software y recurso humano dedicado a soportar la gestin de la TI en el Ministerio.

Aunque por limitaciones de registro y control o de entrega de informacin no fue posible obtener una estimacin concreta del monto, es evidente que el Ministerio de Hacienda ha realizado en los ltimos aos una significativa inversin de recursos en Tecnologa de la Informacin y mantiene una importante cantidad de funcionarios dedicados a soportar la gestin de la TI. Ello se convierte en una de las justificaciones para la introduccin de la auditora de TI y otros esfuerzos que se orienten a mejorar dicha gestin.

Cantidad, naturaleza y relevancia de los sistemas de informacin.

El esfuerzo de introduccin y apoyo al desarrollo de la TI en la institucin ha llevado a que en la actualidad los sistemas de informacin computadorizados, en operacin y desarrollo, no solo son muchos sino que una buena parte de ellos son herramientas fundamentales para la prestacin de los servicios bsicos que corresponden a la institucin y gestionan informacin de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.

Escaso desarrollo de la auditora de sistemas en el Ministerio.

Conforme la normativa vigente, la funcin de auditora de sistemas o auditora informtica corresponde a la Direccin General de Auditora Interna, situacin que se presenta de igual manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos recursos humanos y tecnolgicos, las actividades realizadas se limitan a algunos intentos de auditora de sistemas en operacin, en aplicaciones para el desarrollo de algunos procesos computadorizados y en estudios de seguimiento a la aplicacin de disposiciones de la Contralora General de la Repblica, como resultado de las evaluaciones realizadas en algunos de los sistemas de informacin en operacin. Asimismo, se han emitido criterios y recomendaciones en diferentes ocasiones sobre esta temtica, especialmente en cuanto a controles de alto nivel.

Responsabilidad de la administracin y responsabilidad de la auditora de sistemas.

De acuerdo con los conceptos bsicos sobre control interno y auditora, es la Administracin la responsable del establecimiento, anlisis y mejora continua de los procedimientos y sistemas de control interno, mientras que la auditora se orienta a la evaluacin de los mismos con criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y mantener falsas expectativas en torno a los aportes y resultados que genera la auditora de sistemas.

Conciencia generalizada sobre la conveniencia o necesidad de la auditora de sistemas.

Existe un consenso evidente en torno a la necesidad de desarrollar la auditora de sistemas en la institucin, esto es una destacable fortaleza por representar un importante elemento facilitador para la introduccin y consolidacin de la auditora de sistemas en el Ministerio.

Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarn en el campo de la auditora de sistemas.

El Ministerio se ha planteado importantes proyectos y retos para los prximos aos en materia tecnolgica, lo cual no slo resulta meritorio sino tambin una importante fuente de riesgos, especialmente en torno al tema de la seguridad de los sistemas, especialmente por la lnea establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del negocio sustantivo.

Principales expectativas en cuanto al aporte de la auditora de sistemas.

La mayora de los entrevistados opina que en el Ministerio el perfeccionamiento de los sistemas de informacin es uno de los principales aportes que se esperan de la auditora de sistemas, ello denota cierta falta de precisin sobre la responsabilidad de la propia Administracin en torno a los controles que debe establecer en la gestin de la TI, de cuyos esfuerzos depender la superacin de la problemtica identificada en este campo.

Habiendo quedado claramente establecida la necesidad y consenso sobre la importancia de contar con una unidad que, con criterio profesional e independiente, evale el control interno en las diferentes reas de la gestin de la tecnologa de la informacin en el Ministerio, es nuestro inters plantear una propuesta que permita a la institucin contar con ese apoyo, del cual se ha venido hablando desde hace varios aos pero sin que se haya logrado concretar hasta ahora.

Conforme con lo indicado anteriormente, la investigacin pretende, como objetivo general promover la implantacin de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda, mediante la estructuracin de una propuesta que considere aspectos organizacionales, recursos humanos y tecnolgicos, as como un plan de trabajo concreto para este fin.

Complementariamente, se plantean los siguientes objetivos especficos:

Definir un modelo metodolgico operativo para el desarrollo de la funcin de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda.

Elaborar una propuesta de organizacin para la funcin de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda.

Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor, conocidas como CAATTs por sus siglas en ingls Computer Assisted Auditor Technics and Tools; necesarias para la implantacin de la Auditora de TI en el Ministerio de Hacienda.

Estructurar un plan de trabajo especfico para la implantacin de la Auditora de TI en el Ministerio.

En cuanto a metodologa, el estudio se apoya en la investigacin bibliogrfica, la bsqueda de informacin por medio de internet, la recopilacin directa de informacin mediante observacin. Adicionalmente se retoman algunos elementos del anlisis comparativo de la experiencia de otras instituciones realizado como parte del diagnstico ya comentado.

Como todo estudio, el presente ha tenido que enfrentar limitaciones, que de una u otra forma han restringido la consecucin de los objetivos. En ese sentido, el inters de estructurar una propuesta que considere los diferentes aspectos junto con la disponibilidad de tiempo para la realizacin del estudio, no permiten profundizar en algunos aspectos como la determinacin de cargas de trabajo para la definicin de la plantilla ideal para la Auditora de Tecnologa de la Informacin ( en adelante Auditora de TI) o un anlisis tcnico de las diferentes herramientas computadorizadas de apoyo a la gestin de la auditora, temas que en s mismos conllevaran un esfuerzo en tiempo y recursos similar a la investigacin que nos ocupa.

Conforme con los objetivos y consideraciones, el documento final del presente proyecto considera varios captulos. En el captulo 2, se analizan los planteamientos de diferentes autores en cuanto metodologa para el desarrollo de la Auditora de TI y se propone un modelo que, a nuestro criterio, responde a las caractersticas y situacin del Ministerio.

En segundo lugar, se analizan los aspectos conceptuales y legales relacionados con la estructura organizativa de la Auditora de TI, as como la organizacin actual y los recursos humanos con que cuenta la Direccin General de Auditora Interna, para finalizar con la propuesta de organizacin y requerimiento mnimo de recursos humanos para la Auditora de TI.

En el captulo cuatro se plantea la importancia del uso de herramientas computadorizadas en la Auditora de TI, tanto para el apoyo de la administracin de la auditora como a la funcin de Auditora de TI, se plantean algunos elementos a considerar en la seleccin de herramientas computadorizadas y finalmente se propone la adquisicin de algunas de estas.

Seguidamente se presenta un plan operativo para la introduccin de la Auditora de TI, para lo cual se exponen algunas consideraciones estratgicas, supuestos, alcance, organizacin y riesgos asociados con la ejecucin del plan. Asimismo se plantea una aproximacin de los costos para la ejecucin del plan.

Por ltimo, se presentan las conclusiones del anlisis realizado y las recomendaciones para la ejecucin del plan propuesto para la introduccin de la Auditora de TI en el Ministerio.

Finalmente, esperamos que el anlisis realizado y la propuesta planteada sirva de base para convertir en realidad la existencia de un rea de Auditora de TI, y en ltima instancia, se consolide y fortalezca el sistema de control interno del Ministerio.

Captulo 1 Introduccin

CAPITULO 2

MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI

En el presente captulo se plantear un modelo metodolgico operativo para el desarrollo de la Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda. Para ello en un primer momento se presentan y analizan los enfoques de diferentes autores y luego se retoman los aspectos bsicos del diagnstico institucional, con el propsito ltimo de que la propuesta responda a las caractersticas y situacin de la institucin.

2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI

La Auditora de TI se suele estructurar en diferentes reas, para lo cual se han presentado diferentes modelos o esquemas. En nuestro caso, con el propsito de ofrecer una visin general, en vez de presentar uno de ellos se opta por describir varios enfoques y realizar un anlisis sobre similitudes. Al efecto se consideran aquellos que a nivel nacional han destacado en este campo, as como los que a nivel internacional se han considerado de mayor relevancia de conformidad con lo investigado en esta oportunidad.

2.1.1 Enfoque De Antonio Echenique

Un primer enfoque es el presentado por Antonio Echenique en su libro Auditora en Informtica, que es uno de los clsicos en esta materia. Este autor distingue:

a. La evaluacin administrativa del departamento de procesos electrnicos.b. La evaluacin de los sistemas y procedimientos y de la eficiencia que se tiene en el uso de la informacin.c. La evaluacin del proceso de datos y de los equipos de cmputo.[footnoteRef:2] [2: Echenique, Jos Antonio. Auditora en Informtica. McGraw-Hill Interamericana de Mxico. 1991.Pag. 16.]

La evaluacin administrativa comprende los aspectos usuales del proceso administrativo con el propsito de determinar si desde el punto de vista administrativo- organizativo se estn cumpliendo con los criterios preestablecidos. Se cubren aspectos como: Objetivos del departamento, direccin o gerencia.En este particular el esfuerzo del auditor se orientar a determinar si: Las responsabilidades en la organizacin estn definidas adecuadamente y la estructura organizacional est adecuada a las necesidades. El control organizacional es adecuado y se tienen los objetivos y las polticas adecuadas, se encuentran vigentes y estn bien definidas. Los puestos se encuentran definidos y sealadas sus responsabilidades. El anlisis y descripcin de puestos est de acuerdo con el personal que los ocupa. Se cumplen los lineamientos organizacionales y si el nivel de salarios comparado con el del mercado de trabajo. Los planes de trabajo concuerdan con los objetivos de la empresa y si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operacin o se cuenta con indispensables. Se evalan los planes y se determinan las desviaciones.

Organizacin del rea y su estructura orgnica.Se pretende valorar si existen lneas de autoridad justificadas, el nivel de supervisin, la uniformidad en las asignaciones y si se presentan agrupamientos ilgicos.

Costos y controles presupuestales.Se obtendr informacin sobre la situacin presupuestal y financiera del departamento, as como nmero de equipos y caractersticas para hacer un anlisis de la situacin desde un punto de vista econmico. Para ello se considerar: Costos del departamento desglosado por reas y controles. Presupuesto del departamento, desglosado por reas. Caractersticas de los equipos, nmero de ellos y contratos.

La evaluacin de los sistemas y procedimientos y de la eficiencia que se tiene en el uso de la informacin comprende, entre otros:

La evaluacin de sistemas: existen sistemas entrelazados como un todo o existen programas aislados y si existe un plan estratgico para la elaboracin de los sistemas. La evaluacin del anlisis.Se debe valorar si: Se est ejecutando en forma correcta y eficiente el proceso de la informacin. Puede ser simplificado para mejorar su aprovechamiento. Se debe tener una mayor interaccin de los sistemas. Se tiene propuesto un adecuado control y seguridad sobre el sistema. Est en el anlisis la documentacin adecuada. Evaluacin del diseo lgico del sistema.Los puntos a evaluar son: entradas, salidas, procesos, especificaciones de datos y especificaciones de proceso. Evaluacin del diseo fsico del sistemaEn esta etapa se debern auditar los programas, su diseo, el lenguaje utilizado, interconexin entre los programas y caractersticas del hardware empleado para el desarrollo del sistema. Control de proyectos.Considerar aspectos como la existencia y relacin de los proyectos con el plan maestro, definicin de procedimientos y responsabilidades de aprobacin de proyectos, planeacin de los proyectos, tcnicas de control de proyectos, etc. Control de sistemas y programacin.Las revisiones se realizan en forma paralela desde el anlisis hasta la programacin y sus objetivos son los siguientes: en la etapa de anlisis identificar inexactitudes, ambigedades y omisiones en las especificaciones, en la etapa de diseo descubrir errores, debilidades y omisiones antes de iniciar la codificacin y en la etapa de programacin: buscar la claridad, la modularidad y verificacin con base en las especificaciones. Instructivos y documentacin.Se pretende evaluar los instructivos de operacin de los sistemas para evitar que los programadores tengan acceso a los programas en operacin y que cumplan con el contenido mnimo. Formas de implantacin.Se debe evaluar los trabajos que se realizan para iniciar la operacin de un sistema, esto es la prueba integral del sistema, adecuacin, aceptacin por parte del usuario, entrenamiento, etc. Seguridad fsica y lgica de los sistemas.Se debe analizar el impacto en el rendimiento del sistema como resultado de cambios trascendentales en el sistema operativo en el equipo, pudiendo para ello utilizar un paquete de pruebas elaborado con ese propsito especfico.

Por su parte, la evaluacin del proceso de datos y de los equipos de cmputo incluye el anlisis de:

Controles de los datos fuentes y manejo de cifras de control: evaluar la entrada de la informacin y que se tengan las cifras de control necesarias para determinar la veracidad de la informacin. Control de operacin: valorar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. Control de salida: Valorar si las salidas del sistema satisfacen los requerimientos del usuario y son distribuidas segn corresponde. Control de asignacin de trabajo: Valorar la direccin de las operaciones de la computadora en trminos de eficiencia y satisfaccin del usuario. Control de medios de almacenamiento masivos: evaluar la forma como se administran los dispositivos de almacenamiento bsico de la direccin.

Control del mantenimiento: analizar cul de los diferentes tipos de contratacin del mantenimiento es el ms conveniente y revisar los detalles del contrato con el objeto de que las clusulas estn bien definidas y se elimine la subjetividad e incorpore las correspondientes penalizaciones para el proveedor, para evitar contratos parcializados a favor de ste. Orden en el centro de cmputo: revisar las disposiciones y reglamentos que coadyuvan con el mantenimiento del orden dentro de la sala de mquinas. Seguridad fsica y lgica: se debe considerar el sistema integral de seguridad, que comprende, entre otros: elementos administrativos, definicin de una poltica de seguridad, organizacin y definicin de responsabilidades, seguridad fsica contra catstrofes, sistemas de seguridad de equipos y sistemas de informacin, planeacin de programas de desastre ( contingencia) y su prueba.

2.1.2 Enfoque de Sandra Garca

Otro esquema a considerar es el presentado en el material del Curso de Auditora de Sistemas de la Universidad Estatal a Distancia[footnoteRef:3], en el que se mencionan como reas para definir el alcance de la auditora de sistemas las siguientes: [3: Garca, Sandra. Auditora Informtica I: Nota Tcnica para el Curso Auditora de Sistemas. 1997.]

Revisin de Controles Generales del Centro de Cmputo: Revisar la estructura organizacional, polticas, procedimientos operativos, ambiente de control, operacin de las instalaciones de procesamiento de datos, seguridad/lgica/fsica, procedimientos para el desarrollo y mantenimiento de sistemas de aplicacin/operativos.Se deben analizar los controles organizativos y gerenciales, que incluyen aquellos que brindan proteccin al ambiente fsico, as como la asignacin de personal adecuado y la operacin eficiente del centro de procesamiento de datos. Estos controles deben brindar una operacin eficaz a cargo de personal calificado y del cual se pueda depender. Se debe verificar la existencia de adecuados niveles de responsabilidad y dar margen a una adecuada segregacin de funciones. Adems debe contar con procedimientos y estndares adecuados para el funcionamiento global del centro de cmputo.

Revisin del Ciclo de Vida del Desarrollo de Sistemas (SDLC): revisar la metodologa, normas, tareas y procedimientos para el desarrollo, adquisicin y mantenimiento de software de aplicaciones. El auditor debe analizar los riesgos asociados y las exposiciones que son inherentes en cada fase y asegurarse de que los mecanismos de control adecuados estn vigentes para minimizar esos riesgos de forma eficaz en cuanto a costos.

El sistema debe controlarse desde que ingresa a la compaa ya sea por adquisicin o por el desarrollo. Es crucial que el auditor comprenda la metodologa de desarrollo y adquisicin de sistemas con el fin de identificar los puntos vulnerables que exijan control. En caso de que falten controles el papel del auditor es asesorar al equipo del proyecto y a la Alta Direccin de los controles apropiados a implantar y efectuar el seguimiento de los cambios propuestos.

Revisin de Sistemas de Aplicaciones: revisar, evaluar y analizar las fortalezas y debilidades de control y operaciones dentro de los sistemas de aplicaciones existentes. Los controles de aplicaciones se refieren a los controles de las funciones de imput, procesamiento y output. Los controles de aplicaciones incluyen mtodos para asegurarse que solo en un sistema computadorizado se ingresan y actualizan datos completos, exactos y vlidos, el procesamiento realiza la tarea correcta y que los datos se mantienen correctos y actualizados.

Revisin de la continuidad de las operaciones: revisar las polticas y procedimientos referentes a la planificacin de contingencias y la eficiencia operativa. El esfuerzo del auditor se orienta a: Evaluar el plan de contingencias para determinar la adecuacin y actualidad. Verificar que el plan de contingencias es eficaz para asegurar la capacidad de procesamiento. Evaluar el sitio alterno y determinar adecuidad y seguridad. Evaluar la habilidad del personal de sistemas y el personal usuario para responder en forma eficaz a situaciones de emergencia.

Revisin Tcnica (Software de Sistemas Operativos): revisar las polticas y procedimientos de desarrollo, adquisicin y mantenimiento de software de sistemas operativos ( telecomunicaciones, sistemas operativos, bases de datos, EDI, etc).

2.1.3 Enfoque de Manuel Arauz

Por otra parte, Manuel Arauz en su libro Auditora Informtica por qu? indica que la labor del auditor en el rea informtica se puede separar en cuatro grandes reas:

Evaluacin de la administracin de la funcin informtica. Auditora a los sistemas en produccin. Auditora al desarrollo de aplicaciones. Evaluacin del ambiente de microcomputadores.

a. Evaluacin de la administracin de la funcin informtica

En esta rea se debe considerar el tipo de planes que se elaboren en el rea de sistemas, la forma en que est organizado el departamento de cmputo, el estilo de direccin que se tenga, la participacin de los usuarios en la definicin de los requerimientos y el establecimiento de prioridades, la cantidad de recursos humanos disponibles, su capacitacin, su motivacin, la metodologa de trabajo empleada, la calidad de la documentacin de los sistemas, la forma de administrar las bases de datos y otros aspectos ms, tienen una influencia muy fuerte en las caractersticas de todos los sistemas de una entidad. En cada uno de estos temas existe una mezcla de elementos tcnicos con otros de carcter administrativo que inciden en todo el accionar del rea de cmputo.

La evaluacin de la administracin de la funcin informtica, por parte del auditor, procura determinar el rol que ejerce la gerencia en la definicin de los objetivos y metas del rea de cmputo, la calidad de la planeacin y el grado de cumplimiento de los planes a largo y corto plazo, la organizacin de esta rea, los mtodos y procedimientos empleados, los mecanismos de comunicacin utilizados, los controles establecidos en funciones claves tales como mantenimiento de sistemas, administracin de bases de datos, administracin de la red de teleproceso, operacin del computador, procedimientos de respaldo y recuperacin y otros puntos ms.

En este tipo de evaluacin se trata de analizar aspectos como cumplimiento de metas, proteccin de activos y uso eficiente de los recursos.

b. Auditora de los sistemas en produccin

La auditora de los sistemas en produccin se orienta a la evaluacin de asuntos tales como: los mecanismos de seguridad de acceso establecidos, los controles de entrada de datos, de procesamiento y de produccin de salidas existentes, los procedimientos de respaldo aplicados.

Aspectos como mala definicin de perfiles, debilidades en las validaciones de la entrada de los datos y otros ms tienen un fuerte impacto en la confianza que se deposite en el sistema de control interno de la compaa.

El elemento clave de este tipo de evaluacin es la integridad de los datos. Los conceptos de totalidad, exactitud y oportunidad son la base de las auditoras a los sistemas en produccin. En esta rea, la participacin constante del auditor es muy importante.

c. Auditora al desarrollo de sistemas

La concepcin moderna de la auditora procura que sta se convierta en una funcin asesora de la administracin. En el caso del rea informtica, este objetivo no se alcanza si el auditor no participa en el proceso de desarrollo de sistemas.

Las tcnicas de desarrollo de sistemas han venido evolucionando con el propsito de lograr que estos se ajusten con facilidad a los cambios en el entorno. Sin embargo, a pesar de los esfuerzos realizados, sugerir mejoras en un sistema en produccin para reforzar el sistema de control interno acarrea costos muy elevados. Esta realidad ha provocado que el auditor no logre que sus recomendaciones sean implantadas en forma gil.

La concepcin de este tipo de auditora es de auditar el futuro, prever las debilidades y solventarlas previo a que el sistema entre en operacin. Una de las ventajas ms grandes que posee este tipo de auditora es que disminuye, en gran medida, los costos de implantacin de las recomendaciones del auditor, lo cual hace tambin que su labor sea vista de una mejor manera.

Este campo se le presenta al auditor como la plataforma ideal para lograr una participacin asesora muy activa. Adems, le permite desarrollar, con mucho menos esfuerzo, herramientas automatizadas para incorporarlas a los sistemas en desarrollo que ayuden al cumplimiento de otras funciones de la auditora en los campos financiero, contable y administrativo.

d. Evaluacin del ambiente de microcomputadores

El auge que tienen hoy los microcomputadores en las empresas ha trado consigo la evolucin de un ambiente distribuido de procesamiento de datos. Con esto, si antes se tenan problemas de documentacin, riesgos de prdida de privacidad y de integridad de los datos, con los microcomputadores la problemtica se ha incrementado. El auditor debe tomar conciencia de ello y poner especial atencin a su evolucin dentro de la empresa.

En su evaluacin se deben analizar aspectos como: procedimientos de adquisicin de hardware y software, seguridad fsica, estandarizacin, capacitacin, desarrollo de aplicaciones por usuario final y virus computacional.

2.1.4 Enfoque de Xiomar Delgado

De manera similar Xiomar Delgado, autor del libro Auditora Informtica, estructura las reas de la auditora informtica con un enfoque similar al recin expuesto, fundamentndose en que deben llevarse a cabo labores de seguimiento de todas las actividades que se ejecuten en el rea informtica, a saber:

Controles administrativos de los recursos informticos.

El auditor debe participar activamente en la evaluacin de los controles que existen sobre la administracin de los recursos informticos, revisando la existencia de planes informticos de corto y largo plazo y comprobando la coincidencia de stos planes con los planes generales de la organizacin.Asimismo debe analizar el ambiente normativo en que se desarrolla las actividades, revisando las polticas, los estndares y los procedimientos que deban respetarse para el alcance de los resultados ptimos. Sobre este particular deben considerarse aspectos como: emisin, pertinencia, publicacin, respeto y control.Finalmente, en este tema debe considerar la ubicacin estructural dentro del organigrama en que se encuentra el departamento de informtica as como la descripcin de las responsabilidades de los integrantes del mismo.El cuanto al recurso humano, se debe evaluar las polticas de seleccin de personal, las tcnicas de reclutamiento, las polticas de capacitacin y entrenamiento, as como la supervisin y la evaluacin de funciones de este personal.

Desarrollo de sistemas de aplicacin.El auditor es responsable de dar seguimiento permanente a la inversin que las empresas realizan en sistemas de aplicacin y esto lo logra mediante su participacin en el desarrollo de los sistemas.

Al efecto deber considerar aspectos como: Si se cuenta con una metodologa adecuada para el desarrollo de los sistemas, que cuente con la cantidad adecuada para conseguir sistemas confiables, seguros y auditables. Participar activamente en las actividades de mantenimiento de los sistemas y permanecer alerta. Comprobar la participacin activa del usuario desde las fases ms tempranas del ciclo de vida del desarrollo de sistemas. Si se realiz un estudio de factibilidad previo a las erogaciones. Si se han realizado los estudios suficientes para determinar con exactitud las necesidades de informacin del usuario. Si se han contemplado las formas de presentacin de las salidas, las necesidades de control y de respaldo y si se han incluido suficientes pistas de auditora.

Como elemento de comprobacin, deben realizarse evaluaciones de lo que ha pasado inmediatamente despus de la implantacin: El nivel de satisfaccin del usuario. El que la aplicacin haya brindado una solucin satisfactoria a las necesidades de usuario. La facilidad de manejo de la aplicacin. Cul es la relacin costo/ beneficio de la aplicacin. Una evaluacin de la adherencia a los estndares de desarrollo

Operacin de los sistemas de aplicacin.

El auditor deber evaluar que la organizacin cuenta con los recursos para lograr la ejecucin conforme a lo planeado y que los departamentos usuarios e informticos dan un uso apropiado a los recursos. Para ello considerar: Revisar las adquisiciones de equipos realizadas y evaluar su conveniencia respecto de lo planeado.

Realizar pruebas que le permitan obtener un criterio sobre la utilizacin de los recursos del computador.

Comprobar que los recursos de almacenamiento son administrados de manera adecuada, realizando planeamiento de su uso y de disposicin de los espacios disponibles.

Comprobar que los recursos de software cumplen con el planeamiento establecido y que constituyen herramientas que satisfacen de la mejor manera las necesidades de organizacin.

Verificar que los recursos de software son adquiridos cuando constituyen la mejor opcin y enfrentando el anlisis de la relacin costo beneficio.

Determinar si el software est siendo bien utilizado, si el mantenimiento que se le brinda es confiable y seguro, si todos los cambios son suficientemente controlados.

Realizar comprobaciones de que se han establecido suficientes procedimientos de control de seguridad.

Evaluar las limitaciones existentes de acceso al lugar en que se ubican los equipos.

Comprobar que se han establecido procedimientos para el manejo de posibles errores.

Que se cuente con un plan de contingencias y que se han contemplado los principales problemas a que pueda exponerse la empresa, que las medidas de recuperacin son realizables y adecuadas.

Revisin de las aplicaciones.

En la funcin de evaluacin de las aplicaciones el auditor deber:

Comprobar que los datos cumplen con procedimientos de preparacin adecuados. Que existe control sobre los documentos originales, de manera que son suficientemente custodiados. Que existen controles sobre la entrada de los datos. Revisar el procesamiento de los datos, de manera que se mantenga su integridad, que su manipulacin es segura, limitando la posibilidad de ser conocidos por personal no autorizado. Que se han definido y se aplican reglas de validacin de los datos. Revisar los controles de salida, verificando que se ponen a disposicin del personal autorizado para ello. Comprobar que las salidas presentan un formato adecuado a las necesidades del usuario. Comprobar que los informes estn dirigidos a quien corresponde. Que se han diseado procedimientos para el manejo de errores.

Administracin de las bases de datos.

El auditor deber comprometerse con la evaluacin y vigilancia del ambiente en que se mantienen los recursos de informacin, de forma que compruebe que sobre las bases de datos existe una buena administracin, que las tareas respectivas estn segregadas de las restantes funciones informticas, que existe asignacin de responsabilidades en el uso y regulaciones que sustenten la integridad y totalidad de los datos contenidos en esas bases.Asimismo deber verificar las condiciones en que se mantienen los diccionarios de datos y los estndares adoptados para su manejo.Verificar la capacitacin que se ha brindado a sus usuarios, tanto informticos como administrativos.

Procesamiento distribuido y redes.

El auditor debe estar en capacidad de evaluar la forma en que se distribuyen los recursos informticos de la empresa y someter a prueba los controles que se definen para el uso de los recursos informticos de la empresa, y someter a prueba los controles que se definen para el uso de cada uno de esos recursos, para la custodia de los activos de la empresa y para la limitacin de acceso que se pueda dar desde las terminales ubicadas en cualquier lugar de la empresa.

Debe evaluar los estndares definidos sobre control de las redes y comprobar que las caractersticas fsicas del hardware adquirido o propuesto cumplen satisfactoriamente con las necesidades del conjunto de equipo y no degradar la capacidad de operacin de los equipos ya conectados.

Debe evaluar los mecanismos de control y la asignacin de responsabilidades por el uso de los recursos disponibles de la red, tomando en cuenta la necesidad de recursos de respaldo.

Asimismo, debe verificarse la existencia de planes de capacitacin y adiestramiento que aseguren un uso provechoso de los recursos y la disminucin de riesgos de que la accin de un usuario pudiera causar problemas a todos los usuarios de la red. En ese mismo sentido, debe revisarse la existencia de un manual claro y de fcil entendimiento que le permita a los nuevos usuarios familiarizarse con los recursos a su disposicin.

De igual manera deben evaluarse los controles de identificacin y verificacin de autorizaciones, que contemplen adems la existencia de programas de control que, permanezcan pendientes del uso de los recursos.

Ambiente de microcomputadores.[footnoteRef:4] [4: Delgado, Xiomar. Auditora Informtica. Editorial UNED. San Jos. Pag 43.]

Entres sus actividades, el auditor debe contemplar la evaluacin del este ambiente, tomando en cuenta diferentes aspectos respecto al uso de microcomputadores, de manera que pueda revisar al inicio las actividades que se relacionan con la adquisicin de los equipos, en las cuales intervienen las polticas de la empresa, verificando si todas las adquisiciones se apegan a las polticas administrativas.

Se debe verificar si se satisfacen los controles respecto a la administracin y valorar su aporte al cumplimiento de los objetivos de la empresa.

Debe velar que solamente permanezcan instaladas aquellas versiones de software sobre las que la empresa disponga de una licencia para operarla y verificar el cumplimiento de la legislacin, motivo por el que debe promover el respeto a los derechos de autor.

En los equipos de mayor tamao, debe contemplarse la necesidad de contar con un adecuado ambiente de control sobre los archivos y las transacciones procesadas en ellos, as como las polticas de acceso a los recursos contenidos en ellos. La correcta operacin de los microcomputadores debe ser revisada por el auditor y ste debe comprobar que existen adecuadas polticas de respaldo y control de los datos almacenados.

Debe comprobar que las adquisiciones que se realicen mantengan el grado necesario de compatibilidad para asegurar mayor vida a los recursos de informacin.

Como puede notarse, en este caso se presentan independientemente la revisin de las aplicaciones y la administracin de las bases de datos que en el enfoque anterior se incluyen dentro de los sistemas en operacin. Asimismo, el procesamiento distribuido se visualiza como parte del rea de ambiente de microcomputadores.

2.1.5 Enfoque De Mario Piattini Y Otros[footnoteRef:5] [5: Piattini V., Mario Gerardo y Del Peso Navarro, Emilio. Auditora Informtica: un enfoque prctico. Alfaomega S.A. Mxico D.F. 1998.]

En la recopilacin Auditora Informtica: un enfoque prctico de Mario Piattini y otros, se ofrece una caracterizacin de diferentes reas que abarca esta, distinguindose doce reas. A continuacin se explican brevemente cada una de ellas.

Auditora Fsica

La Auditora Fsica es el medio que va proporcionar la evidencia o no de la seguridad fsica en el ambiente en el que se va a desarrollar la labor informtica, por lo que no se debe limitar a comprobar la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. Los objetivos de esta son: el edificio, las instalaciones, equipo y telecomunicaciones, datos y personas.

Auditora de la Ofimtica

Es la evaluacin del sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina, ejemplo de ello son las aplicaciones especficas de la gestin de tareas como hojas de clculo o procesadores de texto, herramientas para la gestin de documentos, como control de expedientes o sistemas de almacenamiento ptico de la informacin, agendas y base de datos personales, sistemas de trabajo en grupo como el correo electrnico o el control de flujo de trabajo.

Auditora de la Direccin

Entendida la auditora de la direccin como auditora de la gestin de la informtica o Departamento de Informtica, el auditor debe examinar:

a) El proceso de planificacin de sistemas de informacin y evaluar si razonablemente se cumplen los objetivos para el mismo. Debe considerar si se presta adecuada atencin al plan estratgico de la empresa, si se establecen mecanismos de sincronizacin entre sus grandes hitos y los proyectos informticos asociados y si se tienen en cuenta cambios organizativos entorno legislativo, evolucin tecnolgica organizacin informtica recursos y otros.

b) Evaluar el proceso de organizar y controlar los recursos, los flujos de informacin y los controles que permitan alcanzar los objetivos marcados durante la planificacin.

c) Analizar las funciones y responsabilidades del departamento de informtica y luego la segregacin de funciones.

d)Evaluar que la Direccin de Informtica realiza sus actividades dentro del respeto a la normativa legal aplicable. En particular se consideran fundamentales los relativos a la seguridad e higiene en el trabajo, normativa laboral, proteccin de datos personales, propiedad intelectual del software. Requisitos definidos en la cobertura de seguros, contratos de comercio electrnico, transmisin de datos por lneas de comunicaciones, as como la normativa emitida por los rganos reguladores.

Auditora de la Explotacin

Corresponde a la evaluacin peridica del funcionamiento adecuado de los sistemas informticos o sistemas de informacin, para asegurar la existencia de la empresa y superar a los competidores. Siguiendo las recomendaciones de COBIT el objetivo general de la auditora de explotacin consiste en asegurarse de que las funciones que sirven de apoyo a las Tecnologas de la Informacin se realizan de forma ordenada y satisfacen los requisitos empresariales.

Para hacer el seguimiento y comprobar que el sistema de informacin est actuando como es preceptivo, ste habr de disponer de un control interno que prevenga los eventos no deseados o en su defecto los detecte y los corrija.

El esquema para llevar acabo las auditoras de la explotacin de los sistemas de informacin se presenta siguiendo la clasificacin de los controles que hace el proyecto COBIT.

Auditora del Desarrollo

La auditora del desarrollo tratar de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de sistemas de informacin se ha llevado a cabo segn principios de ingeniera del software, orientados a obtener software econmico que sea fiable, cumpla los requisitos previamente establecidos y funcione de manera eficiente sobre mquinas reales.

La auditora de desarrollo se abordar desglosndola en dos grandes apartados:

Auditora de la organizacin y gestin del rea de desarrollo Auditora de proyectos de desarrollo de sistemas de informacin

La metodologa que se usar es la propuesta por la ISACA (Information Systems Audit and Control Association) que est basada en la evaluacin del riesgo: partiendo de los riesgos potenciales a los que est sometida una actividad, en este caso el desarrollo de un sistema de informacin, se determinan varios objetivos de control que minimicen esos riesgos.

Dentro del primer apartado debe evaluar los siguientes objetivos de control:a. Si el rea de desarrollo tiene unos cometidos asignados dentro del departamento y una organizacin que le permite el cumplimiento de los mismos.b. Si el personal del rea de desarrollo cuenta con la formacin adecuada y est motivado para la realizacin de su trabajo.c. Si existe un plan de sistemas, de tal manera que los proyectos se llevan a cabo se basan en dicho plan. d. Si la propuesta y aprobacin de nuevos proyectos se realiza de forma reglada, as como la asignacin de recursos. e. Si el desarrollo de sistemas de informacin se hace aplicando principios de ingeniera del software ampliamente aceptados. f. Si la organizacin del rea se adapta a las necesidades d4e cada momento.

El otro grupo relativo a la auditora de cada proyecto de desarrollo de SI tendr un plan distinto dependiendo de los riesgos, la complejidad de mismo y los recursos disponibles para realizar la auditora. Esto obliga que sean la pericia y experiencia del auditor las que determinen las actividades del proyecto que se controlarn con mayor intensidad en funcin de esos parmetros.

El auditor debe evaluar: La aprobacin, planificacin y gestin del proyecto La fase de anlisis La fase de diseo Fase de Construccin La fase de implantacin

Auditora del Mantenimiento

La etapa de mantenimiento debe ser especialmente considerada en los estudios de productividad y de la Auditora Informtica. La mantenibilidad es el factor de calidad que engloba todas aquellas caractersticas del software destinadas a hacer que el producto sea ms fcilmente mantenible, en consecuencia, a conseguir una mayor productividad durante la etapa de mantenimiento del software.

Auditora de Bases de Datos

Corresponde a la auditora de bases de datos la evaluacin de los objetivos de control en el ciclo de vida de una base de datos, a saber: estudio previo y plan de trabajo, concepcin de la base de datos y seleccin del equipo, diseo y carga, explotacin y mantenimiento, y por ltimo la revisin y post implantacin.

Cuando el auditor se encuentra el sistema en explotacin debe estudiar entorno de la base de datos que bsicamente comprende: El Sistema de Gestin de la Base de Datos (SGBD), dentro del que destacan los siguientes componentes: el ncleo, el catlogo (componente fundamental para asegurar la seguridad de la base de datos), las utilidades para el administrador de la base de datos, entre las que se suelen encontrar algunas para crear usuarios, conceder privilegios, las que se encargan de la recuperacin de la base de datos: arranque, copias de respaldo, ficheros diarios y algunas funcione s de auditora, as como los lenguajes de cuarta generacin que incorpora el propio SGBD. Sistema de monitorizacin y ajuste, que facilitan la optimizacin de la base de datos Sistema Operativo, pieza clave del entorno, puesto que el SGBD se apoyar en los servicios que le ofrezca el sistema operativo en cuanto a control de memoria, gestin de reas de procesamiento intermedio, manejo de errores, control de confidencialidad, mecanismos de interbloqueo. Monitor de Transacciones. Protocolos y Sistemas Distribuidos: al acceder las bases de datos a travs de redes, el riesgo de violacin de la confidencialidad e integridad se acenta. Tambin las bases de datos distribuidas pueden presentar graves riesgos de seguridad. Paquetes de seguridad; la existencia en el mercado de varios productos que permiten la implantacin efectiva de una poltica de seguridad, puesto que centralizan el control de accesos, la definicin de privilegios, perfiles de usuario y otros. Diccionario de datos; un fallo en un diccionario o repositorio, suele llevar consigo una prdida de integridad de los procesos, que pueden producir errores en forma repetitiva a lo largo del tiempo, difciles de detectar. Herramientas CASE ( Computer Aided System/Software Engineering) / IPSE ( Integrated Project Support Environments) Lenguajes de cuarta generacin independientes. Facilidades de usuario. Herramientas de "minera de datos". Aplicaciones.

El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente para asegurar que los sistemas de bases de datos continan cumpliendo los objetivos de la empresa y que se encuentran controlados de manera efectiva.

Las consideraciones de la auditora deben incluirse en las distintas fases del ciclo de vida de una base de datos, siendo muy importante que los auditores participen cada vez ms en el proceso de desarrollo, disminuyendo as ciertos costes y haciendo "ms productiva" su labor, la direccin de las empresas no siempre "ve" la labor de auditora y control como realmente productiva, asumindola, la mayora de las veces, como un gasto necesario.

Auditora de Tcnica de Sistemas

La tarea de la auditora de tcnica de sistemas es la encargada de auditar la estructura informtica, es decir el conjunto de instalaciones, equipos de proceso y el llamado software de datos. Cada uno de esos apartados comprende:

InstalacionesEste apartado incluir salas de proceso, con sus sistemas de seguridad y control, as como elementos de conexin y cableado, es decir los elementos base para acondicionar los componentes del apartado siguiente:

Equipos de procesoCorresponde a la evaluacin de los computadores (main, mini y micro), as como sus perifricos, pantallas, impresoras, unidades de cinta, y los dispositivos de conmutacin y comunicaciones (routers, mdems )

Software de baseSe componen de los sistemas operativos, compiladores, traductores e intrpretes de comandos y programas, junto con los gestores de datos o sistemas de administracin de datos y toda una serie de herramientas y componentes auxiliares e intermedios como herramientas de desarrollo, facilidades de explotacin como planificadores, paquetes de seguridad

Auditora de la Calidad

Se refiere a la auditora de calidad del software, o sea al cumplimiento de los requerimientos que se han establecido, normalmente por el usuario o el cliente, y las caractersticas implcitas que debe cumplir todo software hecho profesionalmente aparte de su realizacin segn determinados estndares.

Le compete la evaluacin independiente de los procesos, los productos software, el progreso del proyecto o el cmo se realiza el trabajo, que investiga la coincidencia con los estndares, lneas gua, especificaciones y procedimientos basados en criterios objetivos que incluyen los documentos que especifican:

La forma o contenido de los productos a producir. Los procesos en los que los productos deben ser producidos. Cmo debe ser medida a la adherencia con los estndares o lneas gua.

Auditora de la Seguridad

Corresponde a la evaluacin de los modelos u objetivos de control de seguridad establecidos por la organizacin, con el propsito de asegurarse que los controles estn en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones, que garantizan que no se pierde la informacin, que est disponible en el momento requerido para la toma de decisiones.

Las reas que cubre la auditora de seguridad son: Auditora de la seguridad fsica Auditora de la seguridad lgica. Auditora de la seguridad y el desarrollo de aplicaciones. Auditora de la seguridad en el rea de produccin Auditora de la seguridad de los datos Auditora de la seguridad de comunicaciones y redes Auditora de la continuidad de las operaciones

Auditora de Redes

El primer punto es auditar la gerencia de las comunicaciones, a fin determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable de la gestin de la red, inventario de equipo, y normativa de conectividad, por la monitorizacin de las comunicaciones, registro y resolucin de problemas.Considera tanto la auditora la red fsica y la red lgica.

Auditora de Aplicaciones

Se orienta a la revisin de la eficacia del funcionamiento de los controles diseados para cada uno de los pasos de la aplicacin frente a los riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad ( totalidad y exactitud, seguridad, disponibilidad y confidencialidad de la informacin proporcionada por la aplicacin.

Para este propsito se utilizan principalmente las siguientes herramientas: entrevistas, encuestas, observacin del trabajo realizado por los usuarios, pruebas de conformidad, pruebas sustantivas o de validacin y el computador mismos (software especializado). Algunos casos especficos de auditora de aplicaciones son la evaluacin de los sistemas de apoyo a la toma de decisiones y las aplicaciones de simulaciones.

2.1.6 Enfoque de la Fundacin para el Control y Auditora de Sistemas de Informacin (Modelo COBIT).

La Fundacin para el Control y Auditora de Sistemas de Informacin y el Comit Directivo de la misma, con la participacin de distinguidos especialistas en el campo del control, la auditora y la TI, desarroll en 1996 la primera versin de este modelo, el cual fue actualizado en 1998 y en el 2000, y ha logrado una importante aceptacin en muchos pases. Est diseado no slo para ser utilizado por usuarios y auditores, sino que principalmente para ser usado como una lista de verificacin para los propietarios de los procesos de negocio.

COBIT est basado en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF) mejorados con los estndares internacionales existentes y emergentes tcnicos, profesionales, regulatorios y especficos de la industria. Los Objetivos de Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para ser aplicados a los sistemas de informacin de toda la empresa.

En lnea con lo anterior los recursos de Tecnologa Informtica pueden son definidos de la siguiente manera: Datos: Objetos datos en su ms amplio sentido, (ej: externos e internos), estructurados y no estructurados, grficos, sonido, etc. Sistemas de Aplicacin: Se entiende como sistemas de aplicacin la suma de procedimientos programados y manuales. Tecnologa: Cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones: Recursos para albergar y soportar los sistemas de informacin. Gente: Habilidades del personal, concientizacin y productividad para planear, organizar, adquirir, entregar, soportar y monitorear sistemas de informacin y servicios.

Un concepto bsico del que se parte es que los recursos de Tecnologa Informtica necesitan ser administrados por un conjunto de procesos agrupados naturalmente para proveer la informacin que necesita la empresa para el logro de sus objetivos.

COBIT destaca el impacto sobre los recursos de Tecnologa Informtica junto con los requerimientos del negocio que necesitan ser satisfechos, en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Adicionalmente, brinda definiciones para los requerimientos del negocio que son destilados de niveles ms altos de objetivos para calidad, seguridad e informacin financiera segn se relacionan con Tecnologa Informtica.

Considera un conjunto de 34 objetivos de control de alto nivel, uno por cada uno de los Procesos de Tecnologa Informtica, agrupados en cuatro dominios: Planeamiento y Organizacin, Adquisicin e Implementacin, Entrega y Soporte y Monitoreo, segn se caracterizan a continuacin.

Planeacin y Organizacin

Este dominio cubre la estrategia y las tcticas, es decir se refiere a la identificacin de la forma en que la tecnologa de la informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas.

Este dominio considera los siguientes objetivos de alto nivel o procesos: PO1 Definir un plan estratgico de tecnologa de informacin PO2 Definir la arquitectura de Informacin PO3 Determinar la direccin tecnolgica PO4 Definir la organizacin y de las relaciones de TI PO5 Manejar la inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar recursos humanos PO8 Asegurar el cumplimiento de requerimientos externos PO9 Evaluar riesgos PO10 Administrar proyectos PO11 Administrar calidad

Adquisicin e Implementacin

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

AI1 Identificar soluciones AI2 Adquirir y mantener software de aplicacin AI3 Adquirir y mantener arquitectura de tecnologa AI4 Desarrollar y mantener procedimientos relacionados con TI AI5 Instalar y acreditar sistemas AI6 Administrar cambios

Entrega de servicios y Soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

DS1 Definir niveles de servicio DS2 Administrar servicios prestados por terceros DS3 Administrar desempeo y capacidad DS4 Asegurar servicio continuo DS5 Garantizar la seguridad de sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Apoyar y asistir a los clientes de TI DS9 Administrar la configuracin DS10 Administrar problemas e incidentes DS11 Administrar datos DS12 Administrar instalaciones DS13 Administrar operaciones

Monitoreo

Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente.

Para los anteriores objetivos de control de alto nivel o procesos de TI, se definen 318 objetivos detallados, a partir de estos se desarrollan 34 Guas de Auditora que incluyen 376 pasos de auditora, que orientan la evaluacin de la gestin y el control de los sistemas de TI.

2.1.7 Consideraciones sobre los Diferentes Enfoques

Despus de presentar los enfoques considerados y conforme el propsito planteado se realiza un anlisis comparativo de los mismos. No pretendemos entrar a un anlisis detallado por razones de tiempo y de relevancia para los propsitos de la investigacin, sino destacar las principales diferencias y similitudes, con el propsito ltimo de perfilar lo que debera ser el modelo a proponer para la institucin.

Antes de realizar el anlisis es preciso reconocer la diferente naturaleza y situacin en el tiempo de los planteamientos. Varios se refieren a planteamientos de autores individuales, uno de ellos es resultado de los aportes de diferentes autores y otro es el generado como resultado de un proceso de anlisis y aportes de especialistas en el campo informtico y de una organizacin especializada en la materia. Por otra parte, los planteamientos se ubican temporalmente entre el ao 1991 y el ao 2000, siendo esperado que los ms recientes incorporen aspectos resultantes de la evolucin de las tecnologas de la informacin en los ltimos aos.

En primer lugar, debemos destacar que si bien es cierto se detectan diferencias importantes en el enfoque, la impresin es que dichas diferencias son ms de forma que de fondo.

No se identifican conflictos en cuanto a temas o reas que deban o no considerarse, sino ms bien diferencias en cuanto al criterio de agrupacin de dichas tareas. Esta situacin se evidencia en el cuadro No. 1, en el que se presenta una visin resumida de cada uno de los enfoques y las reas definidas, resultando claro que es posible identificar tres grandes categoras fundamentales, independientemente del nombre que cada uno de los autores le asigna y la desagregacin con que aborda cada una, a saber: Administracin de la TI, Desarrollo de Sistemas y Administracin de los Sistemas en Operacin.

En el caso del enfoque COBIT presenta la particularidad de considerar separadamente el monitoreo, orientado a la evaluacin regular a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

El rpido avance que se presenta en la tecnologa de la informacin hace que se modifique la importancia relativa de las reas o que surjan nuevas funciones, como es el caso de la identificacin separada del ambiente de microcomputadores o ms recientemente, el desarrollo que se da alrededor de la internet y su utilizacin comercial. En ese sentido en los enfoques ms recientes se nota una mayor presencia de estos componentes.

El grado de desagregacin y puntualizacin de herramientas o criterios para la realizacin de las auditoras es distinto entre los diferentes enfoques, siendo COBIT el que llega a plantear un nivel mayor de desagregacin con 34 procesos u objetivos de control de alto nivel y o guas de auditora con 376 pasos.

Captulo 2 Modelo Metodolgico Propuesto

CUADRO No. 1ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI

AUTOR DEL ENFOQUEAREA

ECHENIQUEGARCIAARAUZDELGADOPIATTINICOBIT

1. Evaluacin administrativa del Centro de PED1. Controles Generales del Centro de Cmputo1. Administracin de la Funcin Informtica1. Controles administrativos1. Auditora de la Direccin1. Planificacin y Organizacin

2. Eficiencia de sistemas y procedimientos y eficiencia en el uso de la informacin2. Ciclo de vida del desarrollo de sistemas2. Desarrollo de sistemas2. Desarrollo de sistemas de aplicacin2. Desarrollo3. Calidad

2. Adquisicin e implementacin

3. Proceso de datos y de los equipos de cmputo3. Sistemas de aplicaciones4. Continuidad de las operaciones5. Revisin Tcnica3. Sistemas en produccin4. Ambiente de microcomputadores3. Operacin de los sistemas de aplicacin4. Revisin de las aplicaciones5. Administracin de bases de datos6. Procesamiento distribuido y redes4. Fsica5. Ofimtica6. Explotacin7. Mantenimiento8. Bases de datos9. Tcnica de sistemas10. Redes11. Aplicaciones12. Seguridad3. Entrega y Soporte

4. Monitoreo

Fuente: Elaboracin propia tomando de referencia lo descrito en este capitulo

2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA

A continuacin se presentan los elementos ms relevantes sobre la situacin de la gestin de la TI en el Ministerio. Se incluyen aqu, con el inters de que la propuesta considere la situacin especfica y responda a las caractersticas de la institucin en que se pretende implementar. Al efecto se consideran segn fueron puntualizados en el diagnstico realizado por los mismos autores como parte del curso Proyecto Integrado I.[footnoteRef:6] [6: Chacn R, Clair y Vargas B. Jos Adrin. Diagnstico sobre la Auditora de Sistemas en el Ministerio de Hacienda. Proyecto de Aplicacin Prctica. Maestra en Administracin de Tecnologa de la Informacin. Universidad Nacional. Abril 2001.]

Problemtica organizacional y del marco regulador: contradicciones e incongruencias entre la organizacin real y la normativa.

An no se ha logrado consolidar una organizacin eficiente y funcional para la gestin de la TI en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las deficiencias de coordinacin entre las reas, se identifican deficiencias y conflictos que demandan una oportuna atencin.

Magnitud de la inversin realizada en hardware, software y recurso humano dedicado a soportar la gestin de la TI en el Ministerio.

Aunque por limitaciones de registro y control o de entrega de informacin no fue posible obtener una estimacin concreta del monto, es evidente que el Ministerio de Hacienda ha realizado en los ltimos aos una significativa inversin de recursos en Tecnologa de la Informacin y mantiene una importante cantidad de funcionarios dedicados a soportar la gestin de la TI. Ello se convierte en una de las justificaciones para la introduccin de la auditora informtica y otros esfuerzos que se orienten a mejorar dicha gestin.

Cantidad, naturaleza y relevancia de los sistemas de informacin.El esfuerzo de introduccin y apoyo al desarrollo de la TI en la institucin ha llevado a que en la actualidad los sistemas de informacin computadorizados, en operacin y desarrollo, no solo son muchos sino que una buena parte de ellos son herramientas fundamentales para la prestacin de los servicios bsicos que corresponden a la institucin y gestionan informacin de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.

Principales fortalezas del Ministerio en la gestin de TI.

Entre las fortalezas identificadas por los entrevistados en el campo de la gestin de la TI destacan como ms relevantes las relativas al proceso de capacitacin que se ha desarrollado a los funcionarios de nivel ejecutivo medio y el apoyo de las autoridades superiores, as como tambin la importante inversin de recursos en adquisicin de equipos, sistemas y plataforma de comunicaciones en los ltimos aos.

Principales debilidades del Ministerio en la gestin de la TI.

En lo que respecta a debilidades, de especial atencin resultan la carencia tanto de un plan estratgico institucional como para el campo de la TI, as como ausencia de estandarizacin y polticas definidas para la gestin de TI.Merecen destacarse algunos esfuerzos recientes que se orientan a cubrir algunas de stas debilidades, como es el caso del proyecto para la elaboracin del plan estratgico informtico y lo realizado por el Consejo de Informtica para la elaboracin de estndares.

Incipiente estandarizacin

Una de las muestras de las carencias en materia de gestin de la TI es la apenas incipiente estandarizacin, dejando en claro que a pesar de llevar ms de 10 aos de los que podramos considerar un proceso de uso de los SIBC con una perspectiva amplia y eficiente, no es sino recientemente que el Consejo de Informtica ha incursionado en la emisin de estndares, habindose aprobado el relativo a las caractersticas tcnicas del equipo que se adquiera y en proceso de aprobacin los relativos a metodologa para desarrollo y mantenimiento de sistemas de informacin, metodologa para la administracin de proyectos y condiciones contractuales para la adquisicin de servicios informticos.

Escaso desarrollo de la auditora de sistemas en el Ministerio.

Conforme la normativa vigente, la funcin de auditora de sistemas o auditora informtica corresponde a la Direccin General de Auditora Interna, situacin que se presenta de igual manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos recursos humanos y tecnolgicos, las actividades realizadas se limitan a algunos intentos de auditora de sistemas en operacin, en aplicaciones para el desarrollo de algunos procesos computadorizados y en estudios de seguimiento a la aplicacin de disposiciones de la Contralora General de la Repblica, como resultado de las evaluaciones realizadas en algunos de los sistemas de informacin en operacin. Asimismo, se han emitido criterios en diferentes ocasiones sobre esta temtica, especialmente en cuanto a controles de alto nivel.

Responsabilidad de la administracin y responsabilidad de la auditora de sistemas.

Conforme los conceptos bsicos sobre control interno y auditora, es la administracin la responsable del establecimiento, anlisis y mejora continua de los procedimientos y sistemas de control interno mientras que la auditora se orienta a la evaluacin de los mismos con criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y mantener falsas expectativas en torno a los aportes y resultados que genera la auditora de sistemas.

Estudios realizados por la Contralora General de la Repblica.

En el campo de la auditora de sistemas la Contralora General de la Repblica ha realizado algunas evaluaciones a determinados sistemas de informacin, destacando el realizado en el ao 2000 sobre el desarrollo y operacin del Sistema de Informacin Integral para la Administracin Tributaria ( Informe No. 37/2000 ya citado), en el que se precisan varias deficiencias en la aplicacin de un marco metodolgico, as como otros tipos de problemticas que revelan, por ejemplo, informacin de mala calidad e inadecuado manejo en sus formatos fuentes, que permiten concluir que los recursos invertidos no estn redituando todos los beneficios esperados, que hay puntos de control que no fueron debidamente observados, y que el usuario de estos servicios, el usuario contribuyente no est obteniendo todo lo que podra de los tributos que paga

Conciencia generalizada sobre la conveniencia o necesidad de la auditora de sistemas.

Existe un consenso evidente en torno a la necesidad de desarrollar la auditora de sistemas en la institucin, esto es una destacable fortaleza por representar un importante elemento facilitador para la introduccin y consolidacin de la auditora de sistemas en el Ministerio.

Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarn en el campo de la auditora de sistemas.

El Ministerio se ha planteado importantes proyectos y retos para los prximos aos en materia tecnolgica, lo cual no slo resulta meritorio sino tambin una importante fuente de riesgos, especialmente en torno al tema de la seguridad de los sistemas, especialmente por la lnea establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del negocio sustantivo.

Principales expectativas en cuanto al aporte de la auditora de sistemas.

Conforme con la opinin mayoritaria de los entrevistados, en el Ministerio el perfeccionamiento de los sistemas de informacin es uno de los principales aportes que se esperan de la auditora de sistemas, ello denota cierta falta de precisin sobre la responsabilidad de la propia administracin en torno a la gestin de la TI, de cuyos esfuerzos depender la superacin de la problemtica identificada en este campo.

Conviene indicar que muchos de los puntos mencionados tambin fueron destacados en los otros proyectos de aplicacin prctica realizados por otros grupos de Proyecto Integrado II del programa de maestra.

2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI

A continuacin se presenta la propuesta del ideal de modelo metodolgico operativo, elaborada de la consideracin de diferentes alternativas presentadas as como de la situacin de la gestin de la TI en la institucin, caracterizada en el diagnstico ya presentado.

Es importante destacar que se pretende presentar el ideal a alcanzar independientemente de que luego se analice como entrar a su implantacin. En ese sentido es claro que en un principio no se podr aplicar en su totalidad en virtud del grado de madurez en cuanto a gestin de la TI en que se encuentra el Ministerio, segn lo descrito en el apartado anterior.

Para la definicin de la propuesta a partir de las alternativas ya presentadas existen dos opciones: seleccionar uno de los modelos presentados o a partir de ellos elaborar un planteamiento propio. Para nuestros efectos optamos por la primera considerando los siguientes criterios: Los modelos presentados son bastante completos. Las diferencias entre ellos, como ya se estableci, obedecen a aspectos de forma y a la evolucin propia de la TI. Los modelos han sido elaborados por expertos o equipos de expertos en el campo. Nuestra reducida experiencia en el campo

2.3.1 Criterios de seleccin

Establecido el camino a seguir, a continuacin se presentan los criterios utilizados para seleccionar uno de los modelos presentados.

ActualidadEs importante que el modelo considere los ltimos avances de la TI, esperando que tanto en cuanto al mbito como en lo que respecta al enfoque de la funcin auditora y de control interno, se tomen en consideracin las ltimas innovaciones y conceptos de avanzada. En ese sentido, aspectos como la utilizacin de los conceptos modernos sobre el control interno elaborados por organizaciones especializadas a nivel mundial ( como es el caso del Informe COSO) y la incorporacin de la seguridad a nivel de redes en el marco de internet, aplicaciones en ambiente de tres capas, entre otros, deben ser adecuadamente considerados en la opcin que se seleccione.

Respaldo tcnico.Sin menospreciar el aporte de los expertos individuales, es claro que los enfoques logrados con la participacin de equipos multidisciplinarios de distintos expertos y considerando diferentes estndares internacionales generan una mayor confiabilidad, adems de que el respaldo tcnico de estos equipos garantiza una oportuna actualizacin y la universalidad del mismo.

Consideracin del papel de la AdministracinEs importante que el modelo pondere adecuadamente el papel de la Administracin en el control y le proporcione herramientas y criterios que le permitan desarrollar los esfuerzos que le competen en materia de control y la orienten hacia la autoevaluacin. Este aspecto es de especial relevancia para el fortalecimiento del sistema de control interno en la institucin, en virtud de las debilidades en el ambiente de control mencionadas en el diagnstico.

Disponibilidad de una herramienta automatizada.La existencia de una herramienta automatizada para la realizacin de la Auditora de TI es una importante fortaleza de un modelo metodolgico operativo, ya que se convierte en una facilidad para agilizar el cumplimiento de las funciones, permitiendo una mayor oportunidad y en consecuencia, permitiendo generar valor agregado.En caso de no disponer de tal herramienta automatizada, el desarrollo de una herramienta demandara un esfuerzo mayor para la implantacin, por tener que dedicar recursos y tiempo para este propsito.En el mismo sentido es ideal que tambin se disponga de una herramienta para la Administracin.

2.3.2 Descripcin del Modelo PropuestoConforme con los criterios expuestos, como modelo metodolgico operativo para el Ministerio de Hacienda se propone la utilizacin del modelo elaborado por la Information Systems Audit and Control Association-ISACA, denominado Objetivos de Control para la Informacin y Tecnologas Afines (COBIT por sus siglas en ingls).

Este modelo fue liberado en 1996 y actualizado en 1998 (2 Edicin) y 2000 (3 Edicin), con lo cual se ha ajustado para considerar los avances en la gestin de la TI, as como los nuevos enfoques conceptuales en el campo del control y la auditora. Este es un aspecto de gran relevancia puesto que evidencia lo que representa sin lugar a dudas una de las importantes fortalezas del modelo, siendo de especial relevancia en el campo de la TI, caracterizado por la rapidez y profundidad de los cambios.

Por otra parte, el modelo armoniza 18 reconocidos estndares Internacionales en temas de control, entre ellos COSO, ISO 9000, OECD, ITSEC, TSEC y Estndares de IS Japn. La consideracin de todos estos estndares, hace que el modelo pueda efectivamente considerarse como un resumen de mejores prcticas en materia de control y TI, aspecto que difcilmente puede encontrarse en las otras alternativas.

Asimismo, este modelo cuenta con el respaldo de varias organizaciones especializadas y expertos en la materia, comprometidos con el proyecto a los efectos de garantizar la calidad y la rigurosidad tcnica, tal y como se evidencia en el Anexo 1. La cantidad de expertos involucrados y el nivel de los mismos, convierten a este modelo en una propuesta difcilmente superable.

De igual forma, es destacable que est dirigido no slo a auditores informticos, sino tambin a la Administracin y a los usuarios, y permite adems, determinar el alcance de la tarea de auditora e identificar los controles mnimos; pudiendo tambin utilizarse como una herramienta de autoevaluacin del rea de informtica. Este aspecto es destacable para el caso que nos ocupa, toda vez que ha sido claramente establecida en el diagnstico la necesidad de un esfuerzo de la Administracin por mejorar el ambiente de control, para lo cual, contar con una gua orientadora resulta de gran utilidad.

La alternativa propuesta tiene la ventaja de que cuenta con una herramienta