proyecto ii auditoría de ti-versión impresa final

UNIVERSIDAD NACIONAL

SISTEMA DE ESTUDIOS DE POSTGRADO

MAESTRIA EN ADMINISTRACION DE

TECNOLOGÍA DE INFORMACIÓN

CURSO PROYECTO INTEGRADO II

PROYECTO DE APLICACIÓN PRACTICA DE TECNOLOGÍA DE INFORMACION

PROPUESTA PARA IMPLANTAR LA AUDITORÍA DE TECNOLOGÍA

DE LA INFORMACION EN EL MINISTERIO DE HACIENDA

Clairé Chacón Rodríguez

José Adrián Vargas Barrantes

Heredia, Costa Rica, agosto del 2001

PROPUESTA PARA IMPLANTAR LA AUDITORÍA DE TECNOLOGÍA DE LA

INFORMACION EN EL MINISTERIO DE HACIENDA

INDICE GENERAL

RESUMEN EJECUTIVO................................................................................................................I

CAPITULO 1.................................................................................................................................1

INTRODUCCION...........................................................................................................................1

CAPITULO 2.................................................................................................................................7

MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI...........................7

2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI................................................................7

2.1.1 Enfoque De Antonio Echenique........................................................................................7

2.1.2 Enfoque de Sandra García..............................................................................................11

2.1.3 Enfoque de Manuel Arauz...............................................................................................13

2.1.4 Enfoque de Xiomar Delgado...........................................................................................15

2.1.5 Enfoque De Mario Piattini Y Otros..................................................................................21

2.1.6 Enfoque de la Fundación para el Control y Auditoría de Sistemas de Información (Modelo COBIT).........................................................................................................................29

2.1.7 Consideraciones sobre los Diferentes Enfoques.........................................................33

2.2 SITUACIÓN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA..................36

2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI.....................................................................................................................................................40

2.3.1 Criterios de selección......................................................................................................40

2.3.2 Descripción del Modelo Propuesto................................................................................41

CAPITULO 3...............................................................................................................................55

PROPUESTA DE ORGANIZACIÓN DE LA AUDITORIA DE TECNOLOGIA DE LA INFORMACIÓN...........................................................................................................................55

3.1 ASPECTOS CONCEPTUALES Y LEGALES.....................................................................55

3.1.1 Control Interno Informático.............................................................................................55

3.1.2 Auditoría de TI..................................................................................................................56

3.1.3 Normativa sobre evaluación de sistemas de información computadorizada............57

3.1.4 Normativa sobre las auditorías internas........................................................................57

3.1.5 Perfil del Auditor de Tecnología de Información..........................................................58

3.1.6 Principios para el Ejercicio de la Auditoria de TI..........................................................59

3.2 ORGANIZACIÓN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA........63

3.2.1 Antecedentes....................................................................................................................63

3.2.2 Objetivo General de la Auditoría Interna........................................................................65

3.2.3 Misión, Visión y Valores..................................................................................................65

3.2.4 Funciones..........................................................................................................................66

3.2.5 Organización.....................................................................................................................68

3.2.6 Recursos Humanos..........................................................................................................69

3.3 PROPUESTA DE ORGANIZACIÓN y REQUERIMIENTOS DE RECURSOS HUMANOS70

3.3.1 Organización de la Auditoría de TI................................................................................71

3.3.2 Recursos Humanos..........................................................................................................75

CAPITULO 4...............................................................................................................................77

PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA.....................................................................................................................................................77

4.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA AUDITORÍA.................................................................................................................................77

4.2 HERRAMIENTAS INFORMÁTICAS DE APOYO A ADMINISTRACIÓN DE LA AUDITORIA.................................................................................................................................78

4.2.1 Algunos Ejemplos de Herramientas Computadorizadas de Apoyo a la Administración de la Auditoría................................................................................................86

4.3 HERRAMIENTAS INFORMÁTICAS DE APOYO FUNCION DE AUDITORIA DE TI......93

4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la función de Auditoría de TI.........................................................................................................................100

4.4 ELEMENTOS PARA UNA DECISIÓN SOBRE HERRAMIENTAS COMPUTADORIZADAS...........................................................................................................108

4.4.1 Situación Actual de TI en la Dirección General de Auditoría Interna........................108

4.4.2 TI en el Ministerio de Hacienda.....................................................................................109

4.4.3 Modelo metodológico recomendado para la auditoría...............................................110

4.4.4 Proceso de Creación y Desarrollo de la Auditoría de TI............................................110

4.4.5 Requerimientos de Hardware......................................................................................111

4.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS.......................................111

4.5.1 Herramientas de Apoyo a la Administración de la TI.................................................111

4.5.2 Herramientas de Apoyo a la Administración de la Auditoría.....................................112

4.5.3 Herramientas de Apoyo a la Función de Auditoría.....................................................113

CAPITULO 5.............................................................................................................................115

PLAN OPERATIVO PARA LA INTRODUCCIÓN DE LA AUDITORIA DE TI.........................115

5.1 CONSIDERACIONES ESTRATÉGICAS............................................................................115

5.1.1 Aportes de la Administración.......................................................................................115

5.1.2 Alcance del Plan.............................................................................................................116

5.1.3 Organización para el Desarrollo del Plan....................................................................118

5.1.4 Riesgos............................................................................................................................118

5.2 COMPONENTES DEL PLAN OPERATIVO.......................................................................119

5.3 UNA APROXIMACIÓN A LOS COSTOS..........................................................................132

CAPITULO 6.............................................................................................................................134

CONCLUSIONES Y RECOMENDACIONES............................................................................134

BIBLIOGRAFÍA.........................................................................................................................138

SITIOS CONSULTADOS..........................................................................................................139

INDICE DE ANEXOS

ANEXO 1...................................................................................................................................141

PARTICIPANTES PROYECTO COBIT 2000...........................................................................141

ANEXO NO.2............................................................................................................................143

LISTA DE PROVEEDORES Y PRODUCTOS CAATTS..........................................................143

ANEXO 3...................................................................................................................................149

ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edición...............149

DEDICATORIA

A Dios, Fuente de Luz y Esperanza.

A mis padres, Miguel Angel y Amparo Claudia, símbolo de amor, trabajo y bondad.

A mis hijas, Ivania, Hailín y Lizeth, quienes con su amor y comprensión fueron mi fuente de energía e inspiración.

A mi hermana Yalili y a su hijo José Pablo, quienes con su apoyo y cariño, estimularon mis deseos de superación.

Mi sincero agradecimiento a mi compañero José Adrián, a su esposa Sandra y a sus hijos, Alicia, Esteban, Eduardo, Mariel y Andrea, de quienes recibí mucho cariño, apoyo y comprensión para seguir adelante.

Clairé

DEDICATORIA

Dedico este esfuerzo en primer lugar a Dios, quienes creemos en El

sabemos por fe que no solo es Todopoderoso sino que en su infinito amor

nos guía y fortalece día a día. Gracias a El he tenido el apoyo de una

mujer muy especial con la que comparto mi vida, mi esposa Sandra, quien

no solo tuvo comprensión para aceptar las ausencias y privaciones, sino

que también nos acompañó y apoyó en muchos momentos de este

esfuerzo. A El reconozco la comprensión de mis adorados hijos e hijas,

Alicia, Esteban, Eduardo, Mariel y la pequeña Andrea, ellos no solo han

sido testigos sino que también han tenido que entender porqué su papá

no pudo muchas veces acompañarlos en juegos, paseos o en sus

estudios. A Clairé y su familia, con quienes esta experiencia ha hecho

nacer una amistad que tiene mayor valor que todos los otros frutos de los

estudios realizados.

José Adrián

AGRADECIMIENTO

Agradecemos al Ministerio de Hacienda la oportunidad que nos brindó para cursar el Programa de Maestría así como realizar este proyecto de aplicación práctica abordando un tema de interés institucional.

A la Directora General de Auditoría Interna del Ministerio, Licda Rosalía Calderón Gamboa, quien no sólo fue la patrocinadora del proyecto sino que siempre estuvo dispuesta a dedicarnos tiempo para analizar y comentar temas de nuestro interés y facilitó en lo que estuvo a su alcance la realización del proyecto.

Al Máster Luis Chaves Monge, quien como tutor supo orientarnos y presentarnos de manera respetuosa y llena de sabiduría sugerencias y observaciones que contribuyeron a lograr una mayor calidad de nuestro proyecto, y además logró motivarnos en los momentos de dificultad.

A los profesores Máster José Arrieta Salazar y Máster Javier León Mora, quienes orientaron nuestro esfuerzo y con su seguimiento motivaron la constancia y la búsqueda de la excelencia.

A los que mediante entrevistas, facilitación de documentos o sugerencias nos permitieron reunir la información necesaria y enriquecer nuestros criterios.

A todos ....MUCHAS GRACIAS .

Resumen Ejecutivo

RESUMEN EJECUTIVO

El presente documento es el resultado del proyecto de aplicación práctica de tecnología de la

información realizado en el marco del curso Proyecto Integrado II del programa de Maestría en

Administración de Tecnología de la Información y representa una respuesta a la problemática

descrita en el Diagnóstico sobre Auditoría de Sistemas en el Ministerio de Hacienda, elaborado

en el curso Proyecto Integrado I, del mismo programa.

Conforme con lo indicado, pretende como objetivo general promover la implantación de la

Auditoría de Tecnología de la Información en el Ministerio de Hacienda, mediante la

estructuración de una propuesta que considere aspectos organizacionales, recursos humanos

y tecnológicos, así como un plan de trabajo concreto para este fin.

Complementariamente, se plantean los siguientes objetivos específicos:

Definir un modelo metodológico operativo para el desarrollo de la función de la Auditoría

de Tecnología de Información en el Ministerio de Hacienda.

Elaborar una propuesta de organización para la función de la Auditoría de Tecnología

de Información en el Ministerio de Hacienda.

Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,

conocidas como CAATTs por sus siglas en inglés “Computer Assisted Auditor Technics

and Tools”; necesarias para la implantación de la Auditoría de Tecnología de la

Información en el Ministerio de Hacienda.

Estructurar un plan de trabajo específico para la implantación de la Auditoría de

Tecnología de la Información en el Ministerio.

En cuanto a metodología, el estudio se apoya en la investigación bibliográfica, la búsqueda de

información por medio de Internet, la recopilación directa de información mediante observación.

i

Resumen Ejecutivo

Adicionalmente se retoman algunos elementos del análisis de la experiencia de otras

instituciones, realizado como parte del diagnóstico ya comentado.

La propuesta elaborada incorpora los siguientes elementos:

La utilización del modelo elaborado por la Information Systems Audit. And Control

Association –ISACA- denominado Objetivos de Control para la Información y

Tecnologías Afines (COBIT) como modelo metodológico operativo para el desarrollo de

la función de Auditoría de Tecnología de la Información.

Ubicación de la función de auditoría de Tecnología de la Información en el Ministerio de

Hacienda en la Dirección General de Auditoría Interna, mediante la creación del Area

de Auditoría de Tecnología de la Información en dicha Dirección, conformada

inicialmente con un Coordinador General de Area y dos profesionales en informática.

Adquisición de la herramienta computadorizada COBIT Management Advisor como

apoyo a la administración de la Tecnología de la Información y para ser utilizada por las

principales áreas informáticas del Ministerio.

La adquisición de una herramienta de apoyo a la gestión de la auditoría, otra para la

función de Auditoría de TI y una herramienta para la evaluación del riesgo. Como

herramienta de apoyo a la función de la auditoría de Tecnología de la Información se

recomienda la adquisición del COBIT Advisor, herramienta que es congruente con el

modelo recomendado y adicionalmente presenta importantes fortalezas.

Asignación de recursos para la adquisición de nuevo equipo para la Dirección General

de Auditoría Interna, conforme con los requerimientos del software que se decida

adquirir.

Orientación de los primeros esfuerzos al fortalecimiento del ambiente de control, para lo

cual se considera conveniente iniciar con la evaluación del dominio del modelo COBIT

sobre Planeación y Organización, concretamente en tres subdominios o procesos:

Evaluación y Seguimiento del Plan estratégico, Definición de la Organización y

Relaciones de TI y Evaluación del Riesgo.

ii

Resumen Ejecutivo

Asimismo, aunque el plan operativo no incluye las actividades que le corresponderá realizar a

la Administración, se considera oportuno exponer los principales aportes que ésta deberá

concretar como condiciones necesarias para el adecuado funcionamiento de la Auditoría de

Tecnología de la Información en el Ministerio de Hacienda, se plantean los siguientes:

Compromiso de la Administración: La Administración debe asumir la

responsabilidad que le es propia en cuanto al diseño, implantación, actualización y

perfeccionamiento del sistema de control interno. Por grandes que sean los esfuerzos

y aportes de la auditoría, no habrá valor agregado en el tanto la Administración no

asuma ese papel y se comprometa con la implantación de las recomendaciones que

aquella presente como resultado de sus evaluaciones.

Disponibilidad de recursos: La Administración debe asignar los recursos

financieros y humanos requeridos para la implantación de la propuesta. En el

apartado sobre costos estimados, se muestra la inversión inicial en adquisición de

equipo, software, recurso humano adicional y capacitación del personal de la

Dirección General de Auditoría Interna, sin la cual evidentemente no será posible

llevar a cabo la propuesta.

Adquisición de la herramienta COBIT Management Advisor por parte de la

Administración. Como un elemento más del alineamiento de los esfuerzos de la

Aadministración y de la Auditoría de Tecnología dela Información para fortalecer el

sistema de control interno se requiere que ambas partes tengan un mismo enfoque y

se orienten hacia la consecución de los mismos objetivos.

Elaboración del Plan Estratégico Tecnológico, actualmente en proceso, e

inclusión de la Auditoría de Tecnología de la Información dentro del mismo. La

conclusión de este Plan Estratégico Tecnológico y la puesta en marcha del mismo

como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo

tecnológico, será la base fundamental para el accionar de la Auditoría de Tecnología

de la Información.

iii

Resumen Ejecutivo

Además es necesario que dicho Plan conceptúe apropiadamente el rol de la auditoría y

su aporte para el alineamiento de la gestión de la TI y los objetivos del negocio y en

consecuencia considere, tal y como fue manifestado por el equipo de trabajo encargado

de su elaboración, la introducción de la Auditoría de Tecnología de la Información como

uno de sus componentes y proyectos prioritarios.

Con el propósito de establecer de manera específica las acciones que deberán desarrollarse

para ejecutar la propuesta, el documento incorpora un plan de operativo, establecido para lo

que podría considerarse una primera etapa, en la que el objetivo será “ lograr la consolidación

de la organización administrativa de la Auditoría de Tecnología de la Información y la

asignación de recursos humanos y tecnológicos mínimos para el desarrollo de esta función y el

fortalecimiento del ambiente de control de TI dentro del Ministerio”; lo que demandará, según el

cronograma de tareas elaborado, un tiempo estimado de dos años y medio.

El plan propuesto se estructura en 9 componentes, a saber: Aprobación del proyecto, Ajuste de

la organización de la Dirección de Auditoría Interna, Asignación de Recursos Financieros,

Contratación de Recurso Humano, Capacitación de Funcionarios, Adquisición de Software,

Adquisición de Equipo de Cómputo y Fortalecimiento del Ambiente de Control.

Como parte del proceso de elaboración del plan operativo se advierte sobre los

principales riesgos que se identifican en torno al proyecto, concretamente:

Insuficiente apoyo de las nuevas autoridades institucionales.

No lograr la contratación de personal idóneo oportunamente.

Atrasos en el proceso de contratación administrativa.

Asimismo, se incluye una primera aproximación a los costos de la ejecución del plan propuesto,

conforme con el cual se requerirá una inversión cercana a los 120,000 dólares, durante los

periodos presupuestarios 2002 y 2003.

Por otra parte, a los efectos de la puesta en práctica de la propuesta se recomienda la

elaboración de un documento de proyecto basado en la propuesta y en los ajustes que la

Dirección General de Auditoría Interna y las autoridades superiores estimen necesarios.

iv

Resumen Ejecutivo

El trabajo elaborado establece con suficiente precisión a nuestro criterio, los esfuerzos y

actividades a desarrollar, queda por ver si además del interés y conciencia sobre la necesidad

de la auditoría de TI en el Ministerio, existe la voluntad y el compromiso. Nos abriga la

esperanza de que dentro de algún tiempo lo que exponemos como propuesta se convierta en

realidad y genere los beneficios esperados.

v

Capítulo 1 Introducción

CAPITULO 1

INTRODUCCION

Como resultado de la investigación realizada en curso Proyecto Integrado I, la cual consideró

un diagnóstico sobre la auditoría de sistemas en el Ministerio de Hacienda, se establecieron

una serie de aspectos que resaltan la necesidad de una evaluación independiente de la gestión

de la Tecnología de la Información (TI). A continuación se retoman los más relevantes para

efectos del objetivo de este documento:

Concepto de auditoría de sistemas vs auditoría de tecnología de la información

Aunque si bien es cierto en la mayoría de los casos los conceptos se utilizan indistintamente,

algunos pretenden diferenciarlos en el sentido de que la auditoría informática se orienta a la

evaluación de la función informática como tal, considerando los diferentes servicios que esta

presta así como los aspectos organizativos asociados a dicha prestación, mientras que la

auditoría de sistemas se refiere a la actividad de la auditoría al evaluar determinado proceso o

área operativa, en la que debe incluirse un análisis sobre los sistemas de información

computadorizados que apoyan dicho proceso.

Por otra parte, más recientemente se ha ido generalizando el concepto de auditoría de

Tecnología de la Información, en un sentido genérico y con el fin de abarcar además algunas

áreas que han tomado mayor relevancia en los últimos años como son las relativas a las

telecomunicaciones, seguridad, aplicaciones en web y herramientas colaborativas, entre otros.

Necesidad de un modelo operativo

Es posible identificar diferentes formas de estructurar las áreas de acción de la auditoría de

sistemas, no obstante, las diferencias entre las mismas responden, no tanto a diferencias en

torno al ámbito de la misma sino a los criterios para la agrupación de las tareas. En

prácticamente todos los casos se identifica separadamente lo relativo a la administración de la

1


función informática y las restantes áreas se identifican según los criterios particulares sobre la

forma de visualizar la función informática y la importancia relativa de dichas áreas, lo cual se

ve influenciado por los avances de la tecnología de la información. Por lo tanto, la organización

de la auditoría informática en una institución específica requerirá decidir el esquema o modelo

a utilizar, para lo cual es importante considerar las características de la respectiva institución.

Problemática organizacional y del marco regulador: contradicciones e incongruencias

entre la organización real y la normativa.

Aún no se ha logrado consolidar una organización eficiente y funcional para la gestión de la TI

en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se

identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa

debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las

deficiencias de coordinación entre las áreas, se identifican deficiencias y conflictos que

demandan una oportuna atención.

Magnitud de la inversión realizada en hardware, software y recurso humano dedicado a

soportar la gestión de la TI en el Ministerio.

Aunque por limitaciones de registro y control o de entrega de información no fue posible

obtener una estimación concreta del monto, es evidente que el Ministerio de Hacienda ha

realizado en los últimos años una significativa inversión de recursos en Tecnología de la

Información y mantiene una importante cantidad de funcionarios dedicados a soportar la

gestión de la TI. Ello se convierte en una de las justificaciones para la introducción de la

auditoría de TI y otros esfuerzos que se orienten a mejorar dicha gestión.

Cantidad, naturaleza y relevancia de los sistemas de información.

El esfuerzo de introducción y apoyo al desarrollo de la TI en la institución ha llevado a que en la

actualidad los sistemas de información computadorizados, en operación y desarrollo, no solo

son muchos sino que una buena parte de ellos son herramientas fundamentales para la

2


prestación de los servicios básicos que corresponden a la institución y gestionan información

de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.

Escaso desarrollo de la auditoría de sistemas en el Ministerio.

Conforme la normativa vigente, la función de auditoría de sistemas o auditoría informática

corresponde a la Dirección General de Auditoría Interna, situación que se presenta de igual

manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos

recursos humanos y tecnológicos, las actividades realizadas se limitan a algunos intentos de

auditoría de sistemas en operación, en aplicaciones para el desarrollo de algunos procesos

computadorizados y en estudios de seguimiento a la aplicación de disposiciones de la

Contraloría General de la República, como resultado de las evaluaciones realizadas en

algunos de los sistemas de información en operación. Asimismo, se han emitido criterios y

recomendaciones en diferentes ocasiones sobre esta temática, especialmente en cuanto a

controles de alto nivel.

Responsabilidad de la administración y responsabilidad de la auditoría de sistemas.

De acuerdo con los conceptos básicos sobre control interno y auditoría, es la Administración la

responsable del establecimiento, análisis y mejora continua de los procedimientos y sistemas

de control interno, mientras que la auditoría se orienta a la evaluación de los mismos con

criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos

conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y

mantener falsas expectativas en torno a los aportes y resultados que genera la auditoría de

sistemas.

Conciencia generalizada sobre la conveniencia o necesidad de la auditoría de sistemas.

3


Existe un consenso evidente en torno a la necesidad de desarrollar la auditoría de sistemas en

la institución, esto es una destacable fortaleza por representar un importante elemento

facilitador para la introducción y consolidación de la auditoría de sistemas en el Ministerio.

Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarán en

el campo de la auditoría de sistemas.

El Ministerio se ha planteado importantes proyectos y retos para los próximos años en materia

tecnológica, lo cual no sólo resulta meritorio sino también una importante fuente de riesgos,

especialmente en torno al tema de la seguridad de los sistemas, especialmente por la línea

establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del

negocio sustantivo.

Principales expectativas en cuanto al aporte de la auditoría de sistemas.

La mayoría de los entrevistados opina que en el Ministerio el perfeccionamiento de los

sistemas de información es uno de los principales aportes que se esperan de la auditoría de

sistemas, ello denota cierta falta de precisión sobre la responsabilidad de la propia

Administración en torno a los controles que debe establecer en la gestión de la TI, de cuyos

esfuerzos dependerá la superación de la problemática identificada en este campo.

Habiendo quedado claramente establecida la necesidad y consenso sobre la importancia de

contar con una unidad que, con criterio profesional e independiente, evalúe el control interno en

las diferentes áreas de la gestión de la tecnología de la información en el Ministerio, es nuestro

interés plantear una propuesta que permita a la institución contar con ese apoyo, del cual se ha

venido hablando desde hace varios años pero sin que se haya logrado concretar hasta ahora.

Conforme con lo indicado anteriormente, la investigación pretende, como objetivo general

promover la implantación de la Auditoría de Tecnología de la Información en el Ministerio de

Hacienda, mediante la estructuración de una propuesta que considere aspectos

4


organizacionales, recursos humanos y tecnológicos, así como un plan de trabajo concreto para

este fin.

Complementariamente, se plantean los siguientes objetivos específicos:

Definir un modelo metodológico operativo para el desarrollo de la función de la Auditoría

de Tecnología de la Información en el Ministerio de Hacienda.

Elaborar una propuesta de organización para la función de la Auditoría de Tecnología

de la Información en el Ministerio de Hacienda.

Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,

conocidas como CAATTs por sus siglas en inglés “Computer Assisted Auditor Technics

and Tools”; necesarias para la implantación de la Auditoría de TI en el Ministerio de

Hacienda.

Estructurar un plan de trabajo específico para la implantación de la Auditoría de TI en el

Ministerio.

En cuanto a metodología, el estudio se apoya en la investigación bibliográfica, la búsqueda de

información por medio de internet, la recopilación directa de información mediante observación.

Adicionalmente se retoman algunos elementos del análisis comparativo de la experiencia de

otras instituciones realizado como parte del diagnóstico ya comentado.

Como todo estudio, el presente ha tenido que enfrentar limitaciones, que de una u otra forma

han restringido la consecución de los objetivos. En ese sentido, el interés de estructurar una

propuesta que considere los diferentes aspectos junto con la disponibilidad de tiempo para la

realización del estudio, no permiten profundizar en algunos aspectos como la determinación de

cargas de trabajo para la definición de la plantilla ideal para la Auditoría de Tecnología de la

Información ( en adelante Auditoría de TI) o un análisis técnico de las diferentes herramientas

computadorizadas de apoyo a la gestión de la auditoría, temas que en sí mismos conllevarían

un esfuerzo en tiempo y recursos similar a la investigación que nos ocupa.

5


Conforme con los objetivos y consideraciones, el documento final del presente proyecto

considera varios capítulos. En el capítulo 2, se analizan los planteamientos de diferentes

autores en cuanto metodología para el desarrollo de la Auditoría de TI y se propone un modelo

que, a nuestro criterio, responde a las características y situación del Ministerio.

En segundo lugar, se analizan los aspectos conceptuales y legales relacionados con la

estructura organizativa de la Auditoría de TI, así como la organización actual y los recursos

humanos con que cuenta la Dirección General de Auditoría Interna, para finalizar con la

propuesta de organización y requerimiento mínimo de recursos humanos para la Auditoría de

TI.

En el capítulo cuatro se plantea la importancia del uso de herramientas computadorizadas en la

Auditoría de TI, tanto para el apoyo de la administración de la auditoría como a la función de

Auditoría de TI, se plantean algunos elementos a considerar en la selección de herramientas

computadorizadas y finalmente se propone la adquisición de algunas de estas.

Seguidamente se presenta un plan operativo para la introducción de la Auditoría de TI, para lo

cual se exponen algunas consideraciones estratégicas, supuestos, alcance, organización y

riesgos asociados con la ejecución del plan. Asimismo se plantea una aproximación de los

costos para la ejecución del plan.

Por último, se presentan las conclusiones del análisis realizado y las recomendaciones para la

ejecución del plan propuesto para la introducción de la Auditoría de TI en el Ministerio.

Finalmente, esperamos que el análisis realizado y la propuesta planteada sirva de base para

convertir en realidad la existencia de un área de Auditoría de TI, y en última instancia, se

consolide y fortalezca el sistema de control interno del Ministerio.

6

Capítulo 2 Modelo Metodológico Propuesto

CAPITULO 2

MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI

En el presente capítulo se planteará un modelo metodológico operativo para el desarrollo de la

Auditoría de Tecnología de la Información en el Ministerio de Hacienda. Para ello en un primer

momento se presentan y analizan los enfoques de diferentes autores y luego se retoman los

aspectos básicos del diagnóstico institucional, con el propósito último de que la propuesta

responda a las características y situación de la institución.

2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI

La Auditoría de TI se suele estructurar en diferentes áreas, para lo cual se han presentado

diferentes modelos o esquemas. En nuestro caso, con el propósito de ofrecer una visión

general, en vez de presentar uno de ellos se opta por describir varios enfoques y realizar un

análisis sobre similitudes. Al efecto se consideran aquellos que a nivel nacional han destacado

en este campo, así como los que a nivel internacional se han considerado de mayor relevancia

de conformidad con lo investigado en esta oportunidad.

2.1.1 Enfoque De Antonio Echenique

Un primer enfoque es el presentado por Antonio Echenique en su libro Auditoría en Informática,

que es uno de los clásicos en esta materia. Este autor distingue:

“a. La evaluación administrativa del departamento de procesos electrónicos.

b. La evaluación de los sistemas y procedimientos y de la eficiencia que se tiene en el uso

de la información.

c. La evaluación del proceso de datos y de los equipos de cómputo.”1

1 Echenique, José Antonio. Auditoría en Informática. McGraw-Hill Interamericana de México. 1991.Pag. 16.7


La evaluación administrativa comprende los aspectos usuales del proceso administrativo con el

propósito de determinar si desde el punto de vista administrativo- organizativo se están

cumpliendo con los criterios preestablecidos. Se cubren aspectos como:

Objetivos del departamento, dirección o gerencia.

En este particular el esfuerzo del auditor se orientará a determinar si:

Las responsabilidades en la organización están definidas adecuadamente y la

estructura organizacional está adecuada a las necesidades.

El control organizacional es adecuado y se tienen los objetivos y las políticas

adecuadas, se encuentran vigentes y están bien definidas.

Los puestos se encuentran definidos y señaladas sus responsabilidades.

El análisis y descripción de puestos está de acuerdo con el personal que los ocupa.

Se cumplen los lineamientos organizacionales y si el nivel de salarios comparado

con el del mercado de trabajo.

Los planes de trabajo concuerdan con los objetivos de la empresa y si se cuenta

con los recursos humanos necesarios que garanticen la continuidad de la operación

o se cuenta con “indispensables”.

Se evalúan los planes y se determinan las desviaciones.

Organización del área y su estructura orgánica.

Se pretende valorar si existen líneas de autoridad justificadas, el nivel de supervisión, la

uniformidad en las asignaciones y si se presentan agrupamientos ilógicos.

Costos y controles presupuestales.

Se obtendrá información sobre la situación presupuestal y financiera del departamento, así

como número de equipos y características para hacer un análisis de la situación desde un

punto de vista económico. Para ello se considerará:

Costos del departamento desglosado por áreas y controles.

Presupuesto del departamento, desglosado por áreas.

Características de los equipos, número de ellos y contratos.

La evaluación de los sistemas y procedimientos y de la eficiencia que se tiene en el uso de la

información comprende, entre otros:

8


La evaluación de sistemas: existen sistemas entrelazados como un todo o existen

programas aislados y si existe un plan estratégico para la elaboración de los

sistemas.

La evaluación del análisis.

Se debe valorar si:

o Se está ejecutando en forma correcta y eficiente el proceso de la

información.

o Puede ser simplificado para mejorar su aprovechamiento.

o Se debe tener una mayor interacción de los sistemas.

o Se tiene propuesto un adecuado control y seguridad sobre el sistema.

o Está en el análisis la documentación adecuada.

Evaluación del diseño lógico del sistema.

Los puntos a evaluar son: entradas, salidas, procesos, especificaciones de datos y

especificaciones de proceso.

Evaluación del diseño físico del sistema

En esta etapa se deberán auditar los programas, su diseño, el lenguaje utilizado,

interconexión entre los programas y características del hardware empleado para el

desarrollo del sistema.

Control de proyectos.

Considerará aspectos como la existencia y relación de los proyectos con el plan

maestro, definición de procedimientos y responsabilidades de aprobación de

proyectos, planeación de los proyectos, técnicas de control de proyectos, etc.

Control de sistemas y programación.

Las revisiones se realizan en forma paralela desde el análisis hasta la programación

y sus objetivos son los siguientes: en la etapa de análisis identificar inexactitudes,

ambigüedades y omisiones en las especificaciones, en la etapa de diseño descubrir

errores, debilidades y omisiones antes de iniciar la codificación y en la etapa de

programación: buscar la claridad, la modularidad y verificación con base en las

especificaciones.

Instructivos y documentación.

9


Se pretende evaluar los instructivos de operación de los sistemas para evitar que los

programadores tengan acceso a los programas en operación y que cumplan con el

contenido mínimo.

Formas de implantación.

Se debe evaluar los trabajos que se realizan para iniciar la operación de un sistema,

esto es la prueba integral del sistema, adecuación, aceptación por parte del usuario,

entrenamiento, etc.

Seguridad física y lógica de los sistemas.

Se debe analizar el impacto en el rendimiento del sistema como resultado de

cambios trascendentales en el sistema operativo en el equipo, pudiendo para ello

utilizar un paquete de pruebas elaborado con ese propósito específico.

Por su parte, la evaluación del proceso de datos y de los equipos de cómputo incluye el análisis

de:

Controles de los datos fuentes y manejo de cifras de control: evaluar la entrada

de la información y que se tengan las cifras de control necesarias para

determinar la veracidad de la información.

Control de operación: valorar los procedimientos e instructivos formales de

operación, analizar su estandarización y evaluar el cumplimiento de los mismos.

Control de salida: Valorar si las salidas del sistema satisfacen los requerimientos

del usuario y son distribuidas según corresponde.

Control de asignación de trabajo: Valorar la dirección de las operaciones de la

computadora en términos de eficiencia y satisfacción del usuario.

Control de medios de almacenamiento masivos: evaluará la forma como se

administran los dispositivos de almacenamiento básico de la dirección.

Control del mantenimiento: analizar cuál de los diferentes tipos de contratación

del mantenimiento es el más conveniente y revisar los detalles del contrato con

el objeto de que las cláusulas estén bien definidas y se elimine la subjetividad e

incorpore las correspondientes penalizaciones para el proveedor, para evitar

contratos parcializados a favor de éste.

10


Orden en el centro de cómputo: revisar las disposiciones y reglamentos que

coadyuvan con el mantenimiento del orden dentro de la sala de máquinas.

Seguridad física y lógica: se debe considerar el sistema integral de seguridad,

que comprende, entre otros: elementos administrativos, definición de una política

de seguridad, organización y definición de responsabilidades, seguridad física

contra catástrofes, sistemas de seguridad de equipos y sistemas de información,

planeación de programas de desastre ( contingencia) y su prueba.

2.1.2 Enfoque de Sandra García

Otro esquema a considerar es el presentado en el material del Curso de Auditoría de Sistemas

de la Universidad Estatal a Distancia2, en el que se mencionan como áreas para definir el

alcance de la auditoría de sistemas las siguientes:

Revisión de Controles Generales del Centro de Cómputo: Revisar la estructura

organizacional, políticas, procedimientos operativos, ambiente de control,

operación de las instalaciones de procesamiento de datos, seguridad/lógica/física,

procedimientos para el desarrollo y mantenimiento de sistemas de

aplicación/operativos.

Se deben analizar los controles organizativos y gerenciales, que incluyen aquellos

que brindan protección al ambiente físico, así como la asignación de personal

adecuado y la operación eficiente del centro de procesamiento de datos. Estos

controles deben brindar una operación eficaz a cargo de personal calificado y del

cual se pueda depender. Se debe verificar la existencia de adecuados niveles de

responsabilidad y dar margen a una adecuada segregación de funciones.

Además debe contar con procedimientos y estándares adecuados para el

funcionamiento global del centro de cómputo.

Revisión del Ciclo de Vida del Desarrollo de Sistemas (SDLC): revisar la

metodología, normas, tareas y procedimientos para el desarrollo, adquisición y

mantenimiento de software de aplicaciones. El auditor debe analizar los riesgos

2 García, Sandra. Auditoría Informática I: Nota Técnica para el Curso Auditoría de Sistemas. 1997.11


asociados y las exposiciones que son inherentes en cada fase y asegurarse de

que los mecanismos de control adecuados están vigentes para minimizar esos

riesgos de forma eficaz en cuanto a costos.

El sistema debe controlarse desde que ingresa a la compañía ya sea por

adquisición o por el desarrollo. Es crucial que el auditor comprenda la

metodología de desarrollo y adquisición de sistemas con el fin de identificar los

puntos vulnerables que exijan control. En caso de que falten controles el papel

del auditor es asesorar al equipo del proyecto y a la Alta Dirección de los

controles apropiados a implantar y efectuar el seguimiento de los cambios

propuestos.

Revisión de Sistemas de Aplicaciones: revisar, evaluar y analizar las fortalezas y

debilidades de control y operaciones dentro de los sistemas de aplicaciones

existentes. Los controles de aplicaciones se refieren a los controles de las

funciones de imput, procesamiento y output. Los controles de aplicaciones

incluyen métodos para asegurarse que solo en un sistema computadorizado se

ingresan y actualizan datos completos, exactos y válidos, el procesamiento realiza

la tarea correcta y que los datos se mantienen correctos y actualizados.

Revisión de la continuidad de las operaciones: revisar las políticas y

procedimientos referentes a la planificación de contingencias y la eficiencia

operativa. El esfuerzo del auditor se orienta a:

Evaluar el plan de contingencias para determinar la adecuación y

actualidad.

Verificar que el plan de contingencias es eficaz para asegurar la

capacidad de procesamiento.

Evaluar el sitio alterno y determinar adecuidad y seguridad.

Evaluar la habilidad del personal de sistemas y el personal usuario

para responder en forma eficaz a situaciones de emergencia.

12


Revisión Técnica (Software de Sistemas Operativos): revisar las políticas y

procedimientos de desarrollo, adquisición y mantenimiento de software de

sistemas operativos ( telecomunicaciones, sistemas operativos, bases de

datos, EDI, etc)”.

2.1.3 Enfoque de Manuel Arauz

Por otra parte, Manuel Arauz en su libro “Auditoría Informática ¿por qué?” indica que la labor

del auditor en el área informática se puede separar en cuatro grandes áreas:

o Evaluación de la administración de la función informática.

o Auditoría a los sistemas en producción.

o Auditoría al desarrollo de aplicaciones.

o Evaluación del ambiente de microcomputadores.

a. Evaluación de la administración de la función informática

En esta área se debe considerar el tipo de planes que se elaboren en el área de sistemas, la

forma en que está organizado el departamento de cómputo, el estilo de dirección que se tenga,

la participación de los usuarios en la definición de los requerimientos y el establecimiento de

prioridades, la cantidad de recursos humanos disponibles, su capacitación, su motivación, la

metodología de trabajo empleada, la calidad de la documentación de los sistemas, la forma de

administrar las bases de datos y otros aspectos más, tienen una influencia muy fuerte en las

características de todos los sistemas de una entidad. En cada uno de estos temas existe una

mezcla de elementos técnicos con otros de carácter administrativo que inciden en todo el

accionar del área de cómputo.

La evaluación de la administración de la función informática, por parte del auditor, procura

determinar el rol que ejerce la gerencia en la definición de los objetivos y metas del área de

cómputo, la calidad de la planeación y el grado de cumplimiento de los planes a largo y corto

plazo, la organización de esta área, los métodos y procedimientos empleados, los mecanismos

de comunicación utilizados, los controles establecidos en funciones claves tales como

13


mantenimiento de sistemas, administración de bases de datos, administración de la red de

teleproceso, operación del computador, procedimientos de respaldo y recuperación y otros

puntos más.

En este tipo de evaluación se trata de analizar aspectos como cumplimiento de metas,

protección de activos y uso eficiente de los recursos.

b. Auditoría de los sistemas en producción

La auditoría de los sistemas en producción se orienta a la evaluación de asuntos tales como:

los mecanismos de seguridad de acceso establecidos, los controles de entrada de datos, de

procesamiento y de producción de salidas existentes, los procedimientos de respaldo

aplicados.

Aspectos como mala definición de perfiles, debilidades en las validaciones de la entrada de los

datos y otros más tienen un fuerte impacto en la confianza que se deposite en el sistema de

control interno de la compañía.

El elemento clave de este tipo de evaluación es la integridad de los datos. Los conceptos de

totalidad, exactitud y oportunidad son la base de las auditorías a los sistemas en producción.

En esta área, la participación constante del auditor es muy importante.

c. Auditoría al desarrollo de sistemas

La concepción moderna de la auditoría procura que ésta se convierta en una función asesora

de la administración. En el caso del área informática, este objetivo no se alcanza si el auditor

no participa en el proceso de desarrollo de sistemas.

Las técnicas de desarrollo de sistemas han venido evolucionando con el propósito de lograr

que estos se ajusten con facilidad a los cambios en el entorno. Sin embargo, a pesar de los

esfuerzos realizados, sugerir mejoras en un sistema en producción para reforzar el sistema de

14


control interno acarrea costos muy elevados. Esta realidad ha provocado que el auditor no

logre que sus recomendaciones sean implantadas en forma ágil.

La concepción de este tipo de auditoría es de auditar el futuro, prever las debilidades y

solventarlas previo a que el sistema entre en operación. Una de las ventajas más grandes que

posee este tipo de auditoría es que disminuye, en gran medida, los costos de implantación de

las recomendaciones del auditor, lo cual hace también que su labor sea vista de una mejor

manera.

Este campo se le presenta al auditor como la plataforma ideal para lograr una participación

asesora muy activa. Además, le permite desarrollar, con mucho menos esfuerzo, herramientas

automatizadas para incorporarlas a los sistemas en desarrollo que ayuden al cumplimiento de

otras funciones de la auditoría en los campos financiero, contable y administrativo.

d. Evaluación del ambiente de microcomputadores

El auge que tienen hoy los microcomputadores en las empresas ha traído consigo la evolución

de un ambiente distribuido de procesamiento de datos. Con esto, si antes se tenían problemas

de documentación, riesgos de pérdida de privacidad y de integridad de los datos, con los

microcomputadores la problemática se ha incrementado. El auditor debe tomar conciencia de

ello y poner especial atención a su evolución dentro de la empresa.

En su evaluación se deben analizar aspectos como: procedimientos de adquisición de

“hardware” y “software”, seguridad física, estandarización, capacitación, desarrollo de

aplicaciones por usuario final y virus computacional.

2.1.4 Enfoque de Xiomar Delgado

De manera similar Xiomar Delgado, autor del libro “Auditoría Informática”, estructura las áreas

de la auditoría informática con un enfoque similar al recién expuesto, fundamentándose en que

deben llevarse a cabo labores de seguimiento de todas las actividades que se ejecuten en el

área informática, a saber:

15


Controles administrativos de los recursos informáticos.

El auditor debe participar activamente en la evaluación de los controles que existen sobre la

administración de los recursos informáticos, revisando la existencia de planes informáticos de

corto y largo plazo y comprobando la coincidencia de éstos planes con los planes generales de

la organización.

Asimismo debe analizar el ambiente normativo en que se desarrolla las actividades, revisando

las políticas, los estándares y los procedimientos que deban respetarse para el alcance de los

resultados ‘’óptimos. Sobre este particular deben considerarse aspectos como: emisión,

pertinencia, publicación, respeto y control.

Finalmente, en este tema debe considerar la ubicación estructural dentro del organigrama en

que se encuentra el departamento de informática así como la descripción de las

responsabilidades de los integrantes del mismo.

El cuanto al recurso humano, se debe evaluar las políticas de selección de personal, las

técnicas de reclutamiento, las políticas de capacitación y entrenamiento, así como la

supervisión y la evaluación de funciones de este personal.

Desarrollo de sistemas de aplicación.

El auditor es responsable de dar seguimiento permanente a la inversión que las empresas

realizan en sistemas de aplicación y esto lo logra mediante su participación en el desarrollo de

los sistemas.

Al efecto deberá considerar aspectos como:

Si se cuenta con una metodología adecuada para el desarrollo de los

sistemas, que cuente con la cantidad adecuada para conseguir sistemas

confiables, seguros y auditables.

Participar activamente en las actividades de mantenimiento de los sistemas y

permanecer alerta.

Comprobar la participación activa del usuario desde las fases más tempranas

del ciclo de vida del desarrollo de sistemas.

Si se realizó un estudio de factibilidad previo a las erogaciones.

16


Si se han realizado los estudios suficientes para determinar con exactitud las

necesidades de información del usuario.

Si se han contemplado las formas de presentación de las salidas, las

necesidades de control y de respaldo y si se han incluido suficientes pistas

de auditoría.

Como elemento de comprobación, deben realizarse evaluaciones de lo que ha pasado

inmediatamente después de la implantación:

El nivel de satisfacción del usuario.

El que la aplicación haya brindado una solución satisfactoria a las

necesidades de usuario.

La facilidad de manejo de la aplicación.

Cuál es la relación costo/ beneficio de la aplicación.

Una evaluación de la adherencia a los estándares de desarrollo

Operación de los sistemas de aplicación.

El auditor deberá evaluar que la organización cuenta con los recursos para lograr la ejecución

conforme a lo planeado y que los departamentos usuarios e informáticos dan un uso apropiado

a los recursos. Para ello considerará:

Revisar las adquisiciones de equipos realizadas y evaluar su conveniencia respecto

de lo planeado.

Realizar pruebas que le permitan obtener un criterio sobre la utilización de los

recursos del computador.

Comprobar que los recursos de almacenamiento son administrados de manera

adecuada, realizando planeamiento de su uso y de disposición de los espacios

disponibles.

17


Comprobar que los recursos de software cumplen con el planeamiento establecido y

que constituyen herramientas que satisfacen de la mejor manera las necesidades de

organización.

Verificar que los recursos de software son adquiridos cuando constituyen la mejor

opción y enfrentando el análisis de la relación costo – beneficio.

Determinar si el software está siendo bien utilizado, si el mantenimiento que se le

brinda es confiable y seguro, si todos los cambios son suficientemente controlados.

Realizar comprobaciones de que se han establecido suficientes procedimientos de

control de seguridad.

Evaluar las limitaciones existentes de acceso al lugar en que se ubican los equipos.

Comprobar que se han establecido procedimientos para el manejo de posibles

errores.

Que se cuente con un plan de contingencias y que se han contemplado los

principales problemas a que pueda exponerse la empresa, que las medidas de

recuperación son realizables y adecuadas.

Revisión de las aplicaciones.

En la función de evaluación de las aplicaciones el auditor deberá:

Comprobar que los datos cumplen con procedimientos de preparación

adecuados.

Que existe control sobre los documentos originales, de manera que son

suficientemente custodiados.

Que existen controles sobre la entrada de los datos.

18


Revisar el procesamiento de los datos, de manera que se mantenga su

integridad, que su manipulación es segura, limitando la posibilidad de ser

conocidos por personal no autorizado.

Que se han definido y se aplican reglas de validación de los datos.

Revisar los controles de salida, verificando que se ponen a disposición del

personal autorizado para ello.

Comprobar que las salidas presentan un formato adecuado a las

necesidades del usuario.

Comprobar que los informes están dirigidos a quien corresponde.

Que se han diseñado procedimientos para el manejo de errores.

Administración de las bases de datos.

El auditor deberá comprometerse con la evaluación y vigilancia del ambiente en que se

mantienen los recursos de información, de forma que compruebe que sobre las bases de datos

existe una buena administración, que las tareas respectivas están segregadas de las restantes

funciones informáticas, que existe asignación de responsabilidades en el uso y regulaciones

que sustenten la integridad y totalidad de los datos contenidos en esas bases.

Asimismo deberá verificar las condiciones en que se mantienen los diccionarios de datos y los

estándares adoptados para su manejo.

Verificar la capacitación que se ha brindado a sus usuarios, tanto informáticos como

administrativos.

Procesamiento distribuido y redes.

El auditor debe estar en capacidad de evaluar la forma en que se distribuyen los recursos

informáticos de la empresa y someter a prueba los controles que se definen para el uso de los

recursos informáticos de la empresa, y someter a prueba los controles que se definen para el

uso de cada uno de esos recursos, para la custodia de los activos de la empresa y para la

limitación de acceso que se pueda dar desde las terminales ubicadas en cualquier lugar de la

empresa.

19


Debe evaluar los estándares definidos sobre control de las redes y comprobar que las

características físicas del hardware adquirido o propuesto cumplen satisfactoriamente con las

necesidades del conjunto de equipo y no degradar la capacidad de operación de los equipos ya

conectados.

Debe evaluar los mecanismos de control y la asignación de responsabilidades por el uso de los

recursos disponibles de la red, tomando en cuenta la necesidad de recursos de respaldo.

Asimismo, debe verificarse la existencia de planes de capacitación y adiestramiento que

aseguren un uso provechoso de los recursos y la disminución de riesgos de que la acción de

un usuario pudiera causar problemas a todos los usuarios de la red. En ese mismo sentido,

debe revisarse la existencia de un manual claro y de fácil entendimiento que le permita a los

nuevos usuarios familiarizarse con los recursos a su disposición.

De igual manera deben evaluarse los controles de identificación y verificación de

autorizaciones, que contemplen además la existencia de programas de control que,

permanezcan pendientes del uso de los recursos.

Ambiente de microcomputadores.3

Entres sus actividades, el auditor debe contemplar la evaluación del este ambiente, tomando

en cuenta diferentes aspectos respecto al uso de microcomputadores, de manera que pueda

revisar al inicio las actividades que se relacionan con la adquisición de los equipos, en las

cuales intervienen las políticas de la empresa, verificando si todas las adquisiciones se apegan

a las políticas administrativas.

Se debe verificar si se satisfacen los controles respecto a la administración y valorar su aporte

al cumplimiento de los objetivos de la empresa.

3 Delgado, Xiomar. Auditoría Informática. Editorial UNED. San José. Pag 43.20


Debe velar que solamente permanezcan instaladas aquellas versiones de software sobre las

que la empresa disponga de una licencia para operarla y verificar el cumplimiento de la

legislación, motivo por el que debe promover el respeto a los derechos de autor.

En los equipos de mayor tamaño, debe contemplarse la necesidad de contar con un adecuado

ambiente de control sobre los archivos y las transacciones procesadas en ellos, así como las

políticas de acceso a los recursos contenidos en ellos. La correcta operación de los

microcomputadores debe ser revisada por el auditor y éste debe comprobar que existen

adecuadas políticas de respaldo y control de los datos almacenados.

Debe comprobar que las adquisiciones que se realicen mantengan el grado necesario de

compatibilidad para asegurar mayor vida a los recursos de información.

Como puede notarse, en este caso se presentan independientemente la revisión de las

aplicaciones y la administración de las bases de datos que en el enfoque anterior se incluyen

dentro de los sistemas en operación. Asimismo, el procesamiento distribuido se visualiza como

parte del área de ambiente de microcomputadores.

2.1.5 Enfoque De Mario Piattini Y Otros4

En la recopilación “Auditoría Informática: un enfoque práctico” de Mario Piattini y otros, se

ofrece una caracterización de diferentes áreas que abarca esta, distinguiéndose doce áreas. A

continuación se explican brevemente cada una de ellas.

Auditoría Física

La Auditoría Física es el medio que va proporcionar la evidencia o no de la seguridad física en

el ambiente en el que se va a desarrollar la labor informática, por lo que no se debe limitar a

comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y

seguridad. Los objetivos de esta son: el edificio, las instalaciones, equipo y

telecomunicaciones, datos y personas.

4 Piattini V., Mario Gerardo y Del Peso Navarro, Emilio. Auditoría Informática: un enfoque práctico. Alfaomega S.A. México D.F. 1998.

21


Auditoría de la Ofimática

Es la evaluación del sistema informatizado que genera, procesa, almacena, recupera,

comunica y presenta datos relacionados con el funcionamiento de la oficina, ejemplo de ello

son las aplicaciones específicas de la gestión de tareas como hojas de cálculo o procesadores

de texto, herramientas para la gestión de documentos, como control de expedientes o sistemas

de almacenamiento óptico de la información, agendas y base de datos personales, sistemas de

trabajo en grupo como el correo electrónico o el control de flujo de trabajo.

Auditoría de la Dirección

Entendida la auditoría de la dirección como auditoría de la gestión de la informática o

Departamento de Informática, el auditor debe examinar:

a) El proceso de planificación de sistemas de información y evaluar si

razonablemente se cumplen los objetivos para el mismo. Debe considerar si se presta

adecuada atención al plan estratégico de la empresa, si se establecen mecanismos de

sincronización entre sus grandes hitos y los proyectos informáticos asociados y si se tienen en

cuenta cambios organizativos entorno legislativo, evolución tecnológica organización

informática recursos y otros.

b) Evaluar el proceso de organizar y controlar los recursos, los flujos de información y

los controles que permitan alcanzar los objetivos marcados durante la planificación.

c) Analizar las funciones y responsabilidades del departamento de informática y luego

la segregación de funciones.

d) Evaluar que la Dirección de Informática realiza sus actividades dentro del respeto a la

normativa legal aplicable. En particular se consideran fundamentales los relativos a la

seguridad e higiene en el trabajo, normativa laboral, protección de datos personales, propiedad

intelectual del software. Requisitos definidos en la cobertura de seguros, contratos de

22


comercio electrónico, transmisión de datos por líneas de comunicaciones, así como la

normativa emitida por los órganos reguladores.

Auditoría de la Explotación

Corresponde a la evaluación periódica del funcionamiento adecuado de los sistemas

informáticos o sistemas de información, para asegurar la existencia de la empresa y superar a

los competidores. Siguiendo las recomendaciones de COBIT el objetivo general de la auditoría

de explotación consiste en asegurarse de que las funciones que sirven de apoyo a las

Tecnologías de la Información se realizan de forma ordenada y satisfacen los requisitos

empresariales.

Para hacer el seguimiento y comprobar que el sistema de información está actuando como es

preceptivo, éste habrá de disponer de un control interno que prevenga los eventos no

deseados o en su defecto los detecte y los corrija.

El esquema para llevar acabo las auditorías de la explotación de los sistemas de información

se presenta siguiendo la clasificación de los controles que hace el proyecto COBIT.

Auditoría del Desarrollo

La auditoría del desarrollo tratará de verificar la existencia y aplicación de procedimientos de

control adecuados que permitan garantizar que el desarrollo de sistemas de información se ha

llevado a cabo según principios de ingeniería del software, orientados a obtener software

económico que sea fiable, cumpla los requisitos previamente establecidos y funcione de

manera eficiente sobre máquinas reales.

La auditoría de desarrollo se abordará desglosándola en dos grandes apartados:

Auditoría de la organización y gestión del área de desarrollo

Auditoría de proyectos de desarrollo de sistemas de información

23


La metodología que se usará es la propuesta por la ISACA (Information Systems Audit and

Control Association) que está basada en la evaluación del riesgo: partiendo de los riesgos

potenciales a los que está sometida una actividad, en este caso el desarrollo de un sistema de

información, se determinan varios objetivos de control que minimicen esos riesgos.

Dentro del primer apartado debe evaluar los siguientes objetivos de control:

a. Si el área de desarrollo tiene unos cometidos asignados dentro del departamento

y una organización que le permite el cumplimiento de los mismos.

b. Si el personal del área de desarrollo cuenta con la formación adecuada y está

motivado para la realización de su trabajo.

c. Si existe un plan de sistemas, de tal manera que los proyectos se llevan a cabo

se basan en dicho plan.

d. Si la propuesta y aprobación de nuevos proyectos se realiza de forma reglada,

así como la asignación de recursos.

e. Si el desarrollo de sistemas de información se hace aplicando principios de

ingeniería del software ampliamente aceptados.

f. Si la organización del área se adapta a las necesidades d4e cada momento.

El otro grupo relativo a la auditoría de cada proyecto de desarrollo de SI tendrá un plan distinto

dependiendo de los riesgos, la complejidad de mismo y los recursos disponibles para realizar la

auditoría. Esto obliga que sean la pericia y experiencia del auditor las que determinen las

actividades del proyecto que se controlarán con mayor intensidad en función de esos

parámetros.

El auditor debe evaluar:

La aprobación, planificación y gestión del proyecto

La fase de análisis

La fase de diseño

Fase de Construcción

La fase de implantación

24


Auditoría del Mantenimiento

La etapa de mantenimiento debe ser especialmente considerada en los estudios de

productividad y de la Auditoría Informática. La mantenibilidad es el factor de calidad que

engloba todas aquellas características del software destinadas a hacer que el producto sea

más fácilmente mantenible, en consecuencia, a conseguir una mayor productividad durante la

etapa de mantenimiento del software.

Auditoría de Bases de Datos

Corresponde a la auditoría de bases de datos la evaluación de los objetivos de control en el

ciclo de vida de una base de datos, a saber: estudio previo y plan de trabajo, concepción de la

base de datos y selección del equipo, diseño y carga, explotación y mantenimiento, y por último

la revisión y post implantación.

Cuando el auditor se encuentra el sistema en explotación debe estudiar entorno de la base de

datos que básicamente comprende:

El Sistema de Gestión de la Base de Datos (SGBD), dentro del que destacan los

siguientes componentes: el núcleo, el catálogo (componente fundamental para

asegurar la seguridad de la base de datos), las utilidades para el administrador de la

base de datos, entre las que se suelen encontrar algunas para crear usuarios,

conceder privilegios, las que se encargan de la recuperación de la base de datos:

arranque, copias de respaldo, ficheros diarios y algunas funcione s de auditoría, así

como los lenguajes de cuarta generación que incorpora el propio SGBD.

Sistema de monitorización y ajuste, que facilitan la optimización de la base de datos

Sistema Operativo, pieza clave del entorno, puesto que el SGBD se apoyará en los

servicios que le ofrezca el sistema operativo en cuanto a control de memoria,

gestión de áreas de procesamiento intermedio, manejo de errores, control de

confidencialidad, mecanismos de interbloqueo.

Monitor de Transacciones.

25


Protocolos y Sistemas Distribuidos: al acceder las bases de datos a través de redes,

el riesgo de violación de la confidencialidad e integridad se acentúa. También las

bases de datos distribuidas pueden presentar graves riesgos de seguridad.

Paquetes de seguridad; la existencia en el mercado de varios productos que

permiten la implantación efectiva de una política de seguridad, puesto que

centralizan el control de accesos, la definición de privilegios, perfiles de usuario y

otros.

Diccionario de datos; un fallo en un diccionario o repositorio, suele llevar consigo

una pérdida de integridad de los procesos, que pueden producir errores en forma

repetitiva a lo largo del tiempo, difíciles de detectar.

Herramientas CASE ( Computer Aided System/Software Engineering) / IPSE

( Integrated Project Support Environments)

Lenguajes de cuarta generación independientes.

Facilidades de usuario.

Herramientas de "minería de datos".

Aplicaciones.

El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente

para asegurar que los sistemas de bases de datos continúan cumpliendo los objetivos de la

empresa y que se encuentran controlados de manera efectiva.

Las consideraciones de la auditoría deben incluirse en las distintas fases del ciclo de vida de

una base de datos, siendo muy importante que los auditores participen cada vez más en el

proceso de desarrollo, disminuyendo así ciertos costes y haciendo "más productiva" su labor, la

dirección de las empresas no siempre "ve" la labor de auditoría y control como realmente

productiva, asumiéndola, la mayoría de las veces, como un gasto necesario.

Auditoría de Técnica de Sistemas

La tarea de la auditoría de técnica de sistemas es la encargada de auditar la estructura

informática, es decir el conjunto de instalaciones, equipos de proceso y el llamado software de

datos. Cada uno de esos apartados comprende:

26


Instalaciones

Este apartado incluirá salas de proceso, con sus sistemas de seguridad y control, así como

elementos de conexión y cableado, es decir los elementos base para acondicionar los

componentes del apartado siguiente:

Equipos de proceso

Corresponde a la evaluación de los computadores (main, mini y micro), así como sus

periféricos, pantallas, impresoras, unidades de cinta, y los dispositivos de conmutación y

comunicaciones (routers, módems )

Software de base

Se componen de los sistemas operativos, compiladores, traductores e intérpretes de

comandos y programas, junto con los gestores de datos o sistemas de administración de

datos y toda una serie de herramientas y componentes auxiliares e intermedios como

herramientas de desarrollo, facilidades de explotación como planificadores, paquetes de

seguridad

Auditoría de la Calidad

Se refiere a la auditoría de calidad del software, o sea al cumplimiento de los requerimientos

que se han establecido, normalmente por el usuario o el cliente, y las características implícitas

que debe cumplir todo software hecho profesionalmente aparte de su realización según

determinados estándares.

Le compete la evaluación independiente de los procesos, los productos software, el progreso

del proyecto o el cómo se realiza el trabajo, que investiga la coincidencia con los estándares,

líneas guía, especificaciones y procedimientos basados en criterios objetivos que incluyen los

documentos que especifican:

La forma o contenido de los productos a producir.

Los procesos en los que los productos deben ser producidos.

27


Cómo debe ser medida a la adherencia con los estándares o líneas guía.

Auditoría de la Seguridad

Corresponde a la evaluación de los modelos u objetivos de control de seguridad establecidos

por la organización, con el propósito de asegurarse que los controles están en consonancia con

las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones,

que garantizan que no se pierde la información, que está disponible en el momento requerido

para la toma de decisiones.

Las áreas que cubre la auditoría de seguridad son:

Auditoría de la seguridad física

Auditoría de la seguridad lógica.

Auditoría de la seguridad y el desarrollo de aplicaciones.

Auditoría de la seguridad en el área de producción

Auditoría de la seguridad de los datos

Auditoría de la seguridad de comunicaciones y redes

Auditoría de la continuidad de las operaciones

Auditoría de Redes

El primer punto es auditar la gerencia de las comunicaciones, a fin determinar que la función de

gestión de redes y comunicaciones esté claramente definida, debiendo ser responsable de la

gestión de la red, inventario de equipo, y normativa de conectividad, por la monitorización de

las comunicaciones, registro y resolución de problemas.

Considera tanto la auditoría la red física y la red lógica.

Auditoría de Aplicaciones

Se orienta a la revisión de la eficacia del funcionamiento de los controles diseñados para cada

uno de los pasos de la aplicación frente a los riesgos que tratan de eliminar o minimizar, como

28


medios para asegurar la fiabilidad ( totalidad y exactitud, seguridad, disponibilidad y

confidencialidad de la información proporcionada por la aplicación.

Para este propósito se utilizan principalmente las siguientes herramientas: entrevistas,

encuestas, observación del trabajo realizado por los usuarios, pruebas de conformidad,

pruebas sustantivas o de validación y el computador mismos (software especializado).

Algunos casos específicos de auditoría de aplicaciones son la evaluación de los sistemas de

apoyo a la toma de decisiones y las aplicaciones de simulaciones.

2.1.6 Enfoque de la Fundación para el Control y Auditoría de Sistemas de Información

(Modelo COBIT).

La Fundación para el Control y Auditoría de Sistemas de Información y el Comité Directivo de

la misma, con la participación de distinguidos especialistas en el campo del control, la auditoría

y la TI, desarrolló en 1996 la primera versión de este modelo, el cual fue actualizado en 1998 y

en el 2000, y ha logrado una importante aceptación en muchos países. Está diseñado no sólo

para ser utilizado por usuarios y auditores, sino que principalmente para ser usado como una

lista de verificación para los propietarios de los procesos de negocio.

COBIT está basado en los Objetivos de Control existentes de la Information Systems Audit and

Control Foundation (ISACF) mejorados con los estándares internacionales existentes y

emergentes técnicos, profesionales, regulatorios y específicos de la industria. Los Objetivos de

Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para

ser aplicados a los sistemas de información de toda la empresa.

En línea con lo anterior los recursos de Tecnología Informática pueden son definidos de la

siguiente manera:

Datos: Objetos datos en su más amplio sentido, (ej: externos e internos), estructurados

y no estructurados, gráficos, sonido, etc.

29


Sistemas de Aplicación: Se entiende como sistemas de aplicación la suma de

procedimientos programados y manuales.

Tecnología: Cubre hardware, sistemas operativos, sistemas de administración de bases

de datos, redes, multimedia, etc.

Instalaciones: Recursos para albergar y soportar los sistemas de información.

Gente: Habilidades del personal, concientización y productividad para planear,

organizar, adquirir, entregar, soportar y monitorear sistemas de información y servicios.

Un concepto básico del que se parte es que los recursos de Tecnología Informática necesitan

ser administrados por un conjunto de procesos agrupados naturalmente para proveer la

información que necesita la empresa para el logro de sus objetivos.

COBIT destaca el impacto sobre los recursos de Tecnología Informática junto con los

requerimientos del negocio que necesitan ser satisfechos, en cuanto a efectividad, eficiencia,

confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Adicionalmente,

brinda definiciones para los requerimientos del negocio que son destilados de niveles más altos

de objetivos para calidad, seguridad e información financiera según se relacionan con

Tecnología Informática.

Considera un conjunto de 34 objetivos de control de alto nivel, uno por cada uno de los

Procesos de Tecnología Informática, agrupados en cuatro dominios: Planeamiento y

Organización, Adquisición e Implementación, Entrega y Soporte y Monitoreo, según se

caracterizan a continuación.

Planeación y Organización

30


Este dominio cubre la estrategia y las tácticas, es decir se refiere a la identificación de la forma

en que la tecnología de la información puede contribuir de la mejor manera al logro de los

objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada,

comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse

una organización y una infraestructura tecnológica apropiadas.

Este dominio considera los siguientes objetivos de alto nivel o procesos:

PO1 Definir un plan estratégico de tecnología de información

PO2 Definir la arquitectura de Información

PO3 Determinar la dirección tecnológica

PO4 Definir la organización y de las relaciones de TI

PO5 Manejar la inversión en Tecnología de Información

PO6 Comunicar la dirección y aspiraciones de la gerencia

PO7 Administrar recursos humanos

PO8 Asegurar el cumplimiento de requerimientos externos

PO9 Evaluar riesgos

PO10 Administrar proyectos

PO11 Administrar calidad

Adquisición e Implementación

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del

negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas

existentes.

AI1 Identificar soluciones

AI2 Adquirir y mantener software de aplicación

AI3 Adquirir y mantener arquitectura de tecnología

AI4 Desarrollar y mantener procedimientos relacionados con TI

AI5 Instalar y acreditar sistemas

AI6 Administrar cambios

31


Entrega de servicios y Soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde

las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de

continuidad. Con el fin de proveer servicios deberán establecerse los procesos de soporte

necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,

frecuentemente clasificados como controles de aplicación.

DS1 Definir niveles de servicio

DS2 Administrar servicios prestados por terceros

DS3 Administrar desempeño y capacidad

DS4 Asegurar servicio continuo

DS5 Garantizar la seguridad de sistemas

DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuarios

DS8 Apoyar y asistir a los clientes de TI

DS9 Administrar la configuración

DS10 Administrar problemas e incidentes

DS11 Administrar datos

DS12 Administrar instalaciones

DS13 Administrar operaciones

Monitoreo

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su

calidad y suficiencia en cuanto a los requerimientos de control.

M1 Monitorear los procesos

M2 Evaluar lo adecuado del control Interno

M3 Obtener aseguramiento independiente

M4 Proporcionar auditoría independiente.

32


Para los anteriores objetivos de control de alto nivel o procesos de TI, se definen 318 objetivos

detallados, a partir de estos se desarrollan 34 Guías de Auditoría que incluyen 376 pasos de

auditoría, que orientan la evaluación de la gestión y el control de los sistemas de TI.

2.1.7 Consideraciones sobre los Diferentes Enfoques

Después de presentar los enfoques considerados y conforme el propósito planteado se realiza

un análisis comparativo de los mismos. No pretendemos entrar a un análisis detallado por

razones de tiempo y de relevancia para los propósitos de la investigación, sino destacar las

principales diferencias y similitudes, con el propósito último de perfilar lo que debería ser el

modelo a proponer para la institución.

Antes de realizar el análisis es preciso reconocer la diferente naturaleza y situación en el

tiempo de los planteamientos. Varios se refieren a planteamientos de autores individuales, uno

de ellos es resultado de los aportes de diferentes autores y otro es el generado como resultado

de un proceso de análisis y aportes de especialistas en el campo informático y de una

organización especializada en la materia. Por otra parte, los planteamientos se ubican

temporalmente entre el año 1991 y el año 2000, siendo esperado que los más recientes

incorporen aspectos resultantes de la evolución de las tecnologías de la información en los

últimos años.

En primer lugar, debemos destacar que si bien es cierto se detectan diferencias importantes en

el enfoque, la impresión es que dichas diferencias son más de forma que de fondo.

No se identifican conflictos en cuanto a temas o áreas que deban o no considerarse, sino más

bien diferencias en cuanto al criterio de agrupación de dichas tareas. Esta situación se

evidencia en el cuadro No. 1, en el que se presenta una visión resumida de cada uno de los

33


enfoques y las áreas definidas, resultando claro que es posible identificar tres grandes

categorías fundamentales, independientemente del nombre que cada uno de los autores le

asigna y la desagregación con que aborda cada una, a saber: Administración de la TI,

Desarrollo de Sistemas y Administración de los Sistemas en Operación.

En el caso del enfoque COBIT presenta la particularidad de considerar separadamente el

monitoreo, orientado a la evaluación regular a través del tiempo para verificar su calidad y

suficiencia en cuanto a los requerimientos de control.

El rápido avance que se presenta en la tecnología de la información hace que se modifique la

importancia relativa de las áreas o que surjan nuevas funciones, como es el caso de la

identificación separada del ambiente de microcomputadores o más recientemente, el desarrollo

que se da alrededor de la internet y su utilización comercial. En ese sentido en los enfoques

más recientes se nota una mayor presencia de estos componentes.

El grado de desagregación y puntualización de herramientas o criterios para la realización de

las auditorías es distinto entre los diferentes enfoques, siendo COBIT el que llega a plantear un

nivel mayor de desagregación con 34 procesos u objetivos de control de alto nivel y o guías de

auditoría con 376 pasos.

34


CUADRO No. 1

ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI

ECHENIQUE GARCIA ARAUZ DELGADO PIATTINI COBIT

1. Evaluación administrativa del Centro de PED

1. Controles Generales del Centro de Cómputo

1. Administración de la Función Informática

1. Controles administrativos

1. Auditoría de la Dirección

1. Planificación y Organización

2. Eficiencia de sistemas y procedimientos y eficiencia en el uso de la información

2. Ciclo de vida del desarrollo de sistemas

2. Desarrollo de sistemas

2. Desarrollo de sistemas de aplicación

2. Desarrollo3. Calidad

2. Adquisición e implementación

3. Proceso de datos y de los equipos de cómputo

3. Sistemas de aplicaciones4. Continuidad de las operaciones5. Revisión Técnica

3. Sistemas en producción4. Ambiente de microcomputadores

3. Operación de los sistemas de aplicación4. Revisión de las aplicaciones5. Administración de bases de datos6. Procesamiento distribuido y redes

4. Física5. Ofimática6. Explotación7. Mantenimiento8. Bases de datos9. Técnica de sistemas10. Redes11. Aplicaciones12. Seguridad

3. Entrega y Soporte

4. Monitoreo

Fuente: Elaboración propia tomando de referencia lo descrito en este capitulo

AUTOR DEL ENFOQUE

AREA

35


2.2 SITUACIÓN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA

A continuación se presentan los elementos más relevantes sobre la situación de la gestión de

la TI en el Ministerio. Se incluyen aquí, con el interés de que la propuesta considere la situación

específica y responda a las características de la institución en que se pretende implementar. Al

efecto se consideran según fueron puntualizados en el diagnóstico realizado por los mismos

autores como parte del curso Proyecto Integrado I.5

Problemática organizacional y del marco regulador: contradicciones e incongruencias

entre la organización real y la normativa.

Aún no se ha logrado consolidar una organización eficiente y funcional para la gestión de la TI

en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se

identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa

debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las

deficiencias de coordinación entre las áreas, se identifican deficiencias y conflictos que

demandan una oportuna atención.

Magnitud de la inversión realizada en hardware, software y recurso humano dedicado a

soportar la gestión de la TI en el Ministerio.

Aunque por limitaciones de registro y control o de entrega de información no fue posible

obtener una estimación concreta del monto, es evidente que el Ministerio de Hacienda ha

realizado en los últimos años una significativa inversión de recursos en Tecnología de la

Información y mantiene una importante cantidad de funcionarios dedicados a soportar la

gestión de la TI. Ello se convierte en una de las justificaciones para la introducción de la

auditoría informática y otros esfuerzos que se orienten a mejorar dicha gestión.

Cantidad, naturaleza y relevancia de los sistemas de información.

El esfuerzo de introducción y apoyo al desarrollo de la TI en la institución ha llevado a que en la

actualidad los sistemas de información computadorizados, en operación y desarrollo, no solo

son muchos sino que una buena parte de ellos son herramientas fundamentales para la

5 Chacón R, Clairé y Vargas B. José Adrián. Diagnóstico sobre la Auditoría de Sistemas en el Ministerio de Hacienda. Proyecto de Aplicación Práctica. Maestría en Administración de Tecnología de la Información. Universidad Nacional. Abril 2001.

36


prestación de los servicios básicos que corresponden a la institución y gestionan información

de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.

Principales fortalezas del Ministerio en la gestión de TI.

Entre las fortalezas identificadas por los entrevistados en el campo de la gestión de la TI

destacan como más relevantes las relativas al proceso de capacitación que se ha desarrollado

a los funcionarios de nivel ejecutivo medio y el apoyo de las autoridades superiores, así como

también la importante inversión de recursos en adquisición de equipos, sistemas y plataforma

de comunicaciones en los últimos años.

Principales debilidades del Ministerio en la gestión de la TI.

En lo que respecta a debilidades, de especial atención resultan la carencia tanto de un plan

estratégico institucional como para el campo de la TI, así como ausencia de estandarización y

políticas definidas para la gestión de TI.

Merecen destacarse algunos esfuerzos recientes que se orientan a cubrir algunas de éstas

debilidades, como es el caso del proyecto para la elaboración del plan estratégico informático y

lo realizado por el Consejo de Informática para la elaboración de estándares.

Incipiente estandarización

Una de las muestras de las carencias en materia de gestión de la TI es la apenas incipiente

estandarización, dejando en claro que a pesar de llevar más de 10 años de los que podríamos

considerar un proceso de uso de los SIBC con una perspectiva amplia y eficiente, no es sino

recientemente que el Consejo de Informática ha incursionado en la emisión de estándares,

habiéndose aprobado el relativo a las características técnicas del equipo que se adquiera y en

proceso de aprobación los relativos a metodología para desarrollo y mantenimiento de

sistemas de información, metodología para la administración de proyectos y condiciones

contractuales para la adquisición de servicios informáticos.

Escaso desarrollo de la auditoría de sistemas en el Ministerio.

37


Conforme la normativa vigente, la función de auditoría de sistemas o auditoría informática

corresponde a la Dirección General de Auditoría Interna, situación que se presenta de igual

manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos

recursos humanos y tecnológicos, las actividades realizadas se limitan a algunos intentos de

auditoría de sistemas en operación, en aplicaciones para el desarrollo de algunos procesos

computadorizados y en estudios de seguimiento a la aplicación de disposiciones de la

Contraloría General de la República, como resultado de las evaluaciones realizadas en

algunos de los sistemas de información en operación. Asimismo, se han emitido criterios en

diferentes ocasiones sobre esta temática, especialmente en cuanto a controles de alto nivel.

Responsabilidad de la administración y responsabilidad de la auditoría de sistemas.

Conforme los conceptos básicos sobre control interno y auditoría, es la administración la

responsable del establecimiento, análisis y mejora continua de los procedimientos y sistemas

de control interno mientras que la auditoría se orienta a la evaluación de los mismos con

criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos

conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y

mantener falsas expectativas en torno a los aportes y resultados que genera la auditoría de

sistemas.

Estudios realizados por la Contraloría General de la República.

En el campo de la auditoría de sistemas la Contraloría General de la República ha realizado

algunas evaluaciones a determinados sistemas de información, destacando el realizado en el

año 2000 sobre el desarrollo y operación del Sistema de Información Integral para la

Administración Tributaria ( Informe No. 37/2000 ya citado), en el que se precisan varias

deficiencias en la aplicación de un marco metodológico, así como otros tipos de problemáticas

que revelan, por ejemplo, información de mala calidad e inadecuado manejo en sus formatos

fuentes, “que permiten concluir que los recursos invertidos no están redituando todos los

beneficios esperados, que hay puntos de control que no fueron debidamente observados, y

que el usuario de estos servicios, el usuario contribuyente no está obteniendo todo lo que

podría de los tributos que paga”

Conciencia generalizada sobre la conveniencia o necesidad de la auditoría de sistemas.

38


Existe un consenso evidente en torno a la necesidad de desarrollar la auditoría de sistemas en

la institución, esto es una destacable fortaleza por representar un importante elemento

facilitador para la introducción y consolidación de la auditoría de sistemas en el Ministerio.

Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarán en

el campo de la auditoría de sistemas.

El Ministerio se ha planteado importantes proyectos y retos para los próximos años en materia

tecnológica, lo cual no sólo resulta meritorio sino también una importante fuente de riesgos,

especialmente en torno al tema de la seguridad de los sistemas, especialmente por la línea

establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del

negocio sustantivo.

Principales expectativas en cuanto al aporte de la auditoría de sistemas.

Conforme con la opinión mayoritaria de los entrevistados, en el Ministerio el perfeccionamiento

de los sistemas de información es uno de los principales aportes que se esperan de la auditoría

de sistemas, ello denota cierta falta de precisión sobre la responsabilidad de la propia

administración en torno a la gestión de la TI, de cuyos esfuerzos dependerá la superación de la

problemática identificada en este campo.

Conviene indicar que muchos de los puntos mencionados también fueron destacados en los

otros proyectos de aplicación práctica realizados por otros grupos de Proyecto Integrado II del

programa de maestría.

2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI

39


A continuación se presenta la propuesta del ideal de modelo metodológico operativo, elaborada

de la consideración de diferentes alternativas presentadas así como de la situación de la

gestión de la TI en la institución, caracterizada en el diagnóstico ya presentado.

Es importante destacar que se pretende presentar el ideal a alcanzar independientemente de

que luego se analice como entrar a su implantación. En ese sentido es claro que en un

principio no se podrá aplicar en su totalidad en virtud del grado de madurez en cuanto a gestión

de la TI en que se encuentra el Ministerio, según lo descrito en el apartado anterior.

Para la definición de la propuesta a partir de las alternativas ya presentadas existen dos

opciones: seleccionar uno de los modelos presentados o a partir de ellos elaborar un

planteamiento propio. Para nuestros efectos optamos por la primera considerando los

siguientes criterios:

Los modelos presentados son bastante completos.

Las diferencias entre ellos, como ya se estableció, obedecen a aspectos de

forma y a la evolución propia de la TI.

Los modelos han sido elaborados por expertos o equipos de expertos en el

campo.

Nuestra reducida experiencia en el campo

2.3.1 Criterios de selección

Establecido el camino a seguir, a continuación se presentan los criterios utilizados para

seleccionar uno de los modelos presentados.

Actualidad

Es importante que el modelo considere los últimos avances de la TI, esperando que tanto en

cuanto al ámbito como en lo que respecta al enfoque de la función auditora y de control interno,

se tomen en consideración las últimas innovaciones y conceptos de avanzada. En ese sentido,

aspectos como la utilización de los conceptos modernos sobre el control interno elaborados por

organizaciones especializadas a nivel mundial ( como es el caso del Informe COSO) y la

incorporación de la seguridad a nivel de redes en el marco de internet, aplicaciones en

ambiente de tres capas, entre otros, deben ser adecuadamente considerados en la opción que

se seleccione.

40


Respaldo técnico.

Sin menospreciar el aporte de los expertos individuales, es claro que los enfoques logrados con

la participación de equipos multidisciplinarios de distintos expertos y considerando diferentes

estándares internacionales generan una mayor confiabilidad, además de que el respaldo

técnico de estos equipos garantiza una oportuna actualización y la universalidad del mismo.

Consideración del papel de la Administración

Es importante que el modelo pondere adecuadamente el papel de la Administración en el

control y le proporcione herramientas y criterios que le permitan desarrollar los esfuerzos que le

competen en materia de control y la orienten hacia la autoevaluación. Este aspecto es de

especial relevancia para el fortalecimiento del sistema de control interno en la institución, en

virtud de las debilidades en el ambiente de control mencionadas en el diagnóstico.

Disponibilidad de una herramienta automatizada.

La existencia de una herramienta automatizada para la realización de la Auditoría de TI es una

importante fortaleza de un modelo metodológico – operativo, ya que se convierte en una

facilidad para agilizar el cumplimiento de las funciones, permitiendo una mayor oportunidad y

en consecuencia, permitiendo generar valor agregado.

En caso de no disponer de tal herramienta automatizada, el desarrollo de una herramienta

demandaría un esfuerzo mayor para la implantación, por tener que dedicar recursos y tiempo

para este propósito.

En el mismo sentido es ideal que también se disponga de una herramienta para la

Administración.

2.3.2 Descripción del Modelo Propuesto

Conforme con los criterios expuestos, como modelo metodológico operativo para el Ministerio

de Hacienda se propone la utilización del modelo elaborado por la Information Systems Audit

and Control Association-ISACA, denominado Objetivos de Control para la Información y

Tecnologías Afines (COBIT por sus siglas en inglés).

Este modelo fue liberado en 1996 y actualizado en 1998 (2ª Edición) y 2000 (3ª Edición), con lo

cual se ha ajustado para considerar los avances en la gestión de la TI, así como los nuevos

enfoques conceptuales en el campo del control y la auditoría. Este es un aspecto de gran

41


relevancia puesto que evidencia lo que representa sin lugar a dudas una de las importantes

fortalezas del modelo, siendo de especial relevancia en el campo de la TI, caracterizado por la

rapidez y profundidad de los cambios.

Por otra parte, el modelo armoniza 18 reconocidos estándares Internacionales en temas de

control, entre ellos COSO, ISO 9000, OECD, ITSEC, TSEC y Estándares de IS Japón. La

consideración de todos estos estándares, hace que el modelo pueda efectivamente

considerarse como un resumen de “mejores prácticas” en materia de control y TI, aspecto que

difícilmente puede encontrarse en las otras alternativas.

Asimismo, este modelo cuenta con el respaldo de varias organizaciones especializadas y

expertos en la materia, comprometidos con el proyecto a los efectos de garantizar la calidad y

la rigurosidad técnica, tal y como se evidencia en el Anexo 1. La cantidad de expertos

involucrados y el nivel de los mismos, convierten a este modelo en una propuesta difícilmente

superable.

De igual forma, es destacable que está dirigido no sólo a auditores informáticos, sino también

a la Administración y a los usuarios, y permite además, determinar el alcance de la tarea de

auditoría e identificar los controles mínimos; pudiendo también utilizarse como una herramienta

de autoevaluación del área de informática. Este aspecto es destacable para el caso que nos

ocupa, toda vez que ha sido claramente establecida en el diagnóstico la necesidad de un

esfuerzo de la Administración por mejorar el ambiente de control, para lo cual, contar con una

guía orientadora resulta de gran utilidad.

La alternativa propuesta tiene la ventaja de que cuenta con una herramienta automatizada de

implementación, tanto para la Administración como para la Auditoría de TI. En cuanto a esta

última, el COBIT Advisor es la herramienta que automatiza la utilización del modelo en la

realización de auditorías de TI, permitiendo:

un proceso consistente para evaluar/auditar la gestión y control de los sistemas de TI.

un benchmark reconocido para la gestión y control de TI.

realizar las auditorías o auto-evaluaciones en tres (3) niveles: Alto Nivel Gerencial

(Dominios / Procesos), detallado de los Objetivos de control, y detallado con las Guías de

Auditoría (pasos del programa).

42


la identificación e implementación de objetivos de control y guías de auditoría, basadas en

estándares de “mejores prácticas” y brindar un “mayor valor agregado”. En el capítulo 4 se

profundizará sobre estas características.

Por otra partida el COBIT Manager es la herramienta para uso de la Administración.

Asimismo, en cuanto a la facilidad de adaptación del modelo propuesto, aunque cuenta con

318 objetivos de control, no siempre se tendrá que aplicar plenamente, sino que, por la

estructura del mismo, se pueden dejar de considerar los objetivos que por la naturaleza o

situación de la entidad evaluada, no resultan aplicables. En un sentido amplio, cada objetivo de

trabajo y sus respectivas guías pueden ser consideradas de manera individual.

Adicionalmente, está siendo considerado por la Contraloría General de la República como

elemento orientador para el ajuste al Manual sobre Normas Técnicas de Control Interno

Relativas a los Sistemas de Información Computadorizados.

Por las razones indicadas, consideramos que el modelo propuesto es la mejor alternativa de

solución para el Ministerio, con el propósito de garantizar la evaluación de los controles en la

gestión de TI, así como para la consolidación de un sistema de control interno, que facilite el

cumplimiento de las responsabilidades de la Administración y el uso adecuado de los fondos

públicos.

Los aspectos generales de este modelo ya fueron expuestos en el apartado 2.6, siendo

importante recordar en este momento que el mismo comprende: Un Resumen Ejecutivo, Un

Marco Referencial, Objetivos de Control, Directrices de Auditoría y un Conjunto de

Herramientas de implementación. Para mayor facilidad en el cuadro No.2 se describe cada uno

de ellos.

43


CUADRO No. 2DESCRIPCIÓN DE LOS COMPONENTES DEL MODELO COBIT

Resumen Ejecutivo Marco Referencial Objetivos de Control Directrices de Auditoría

Herramientas de Implementación

Consiste en una Síntesis Ejecutiva (que proporciona a la alta gerencia entendimientoy conciencia sobre los conceptos clave y principiosde COBIT

Proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI).Describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la información y los recursos de TI que son impactados en forma primaria por cada objetivo de control.

Contienen declaraciones de los resultados deseados o propósitos a ser alcanzados mediante la implementación de 318 objetivos de control detallados y específicos a través de los 34 procesos de TI.

Contienen los pasos de auditoría correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisión de los procesos de TI con respecto a los 318 objetivosdetallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento.

El cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rápida y exitosamente en sus ambientes de trabajo.El Conjunto de Herramientas de Implementación incluye la Síntesis Ejecutiva, proporcionando a la alta gerencia con-ciencia y entendimiento de COBIT. También incluye una guía de implementación con dos útiles herramientas – Diagnóstico de la Conciencia de la Gerencia 9 y el Diagnóstico de Control de TI 10 - para proporcionar asistencia en el análisis del ambiente de control en TI de una organización.También se incluyen varios casos de estudio que detallan cómo organizaciones en todo el mundo han implementado COBIT

exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerárquicos y audiencias dentro de las organizaciones.

44


A continuación se presentan los el detalle de modelo COBIT según los 4 dominios y 34 procesos, además se detallan los 318 objetivos de control para cada uno de los procesos.

COBIT: OBJETIVOS DE CONTROL SEGÚN DOMINIO Y PROCESO

DOMINIO: PLANEACIÓN Y ORGANIZACIÓN

Proceso: 1.0 Definición de un Plan Estratégico de Tecnología de InformaciónObjetivos de Control:

1.1 Tecnología de Información como parte del Plan de la Organización a corto y largo plazo1.2 Plan a largo plazo de Tecnología de Información.1.3 Plan a largo plazo de Tecnología de Información - Enfoque y Estructura1.4 Cambios al Plan a largo plazo de Tecnología de Información1.5 Planeación a corto plazo para la función de Servicios de Información.1.6 Comunicación de los planes de Tecnología de Información1.7 Monitoreo y Evaluación de los planes de Tecnología de Información1.8 Evaluación de sistemas existentes.

Proceso: 2.0 Definición de la Arquitectura de InformaciónObjetivos de Control:

2.1 Modelo de la Arquitectura de Información2.2 Diccionario de Datos y Reglas de sintaxis de datos de la corporación2.3 Esquema de Clasificación de Datos2.4 Niveles de Seguridad

Proceso: 3.0 Determinación de la dirección tecnológicaObjetivos de Control:

3.1 Planeación de la Infraestructura Tecnológica3.2 Monitoreo de Tendencias y Regulaciones Futuras3.3 Contingencias en la Infraestructura Tecnológica3.4 Planes de Adquisición de Hardware y Software3.5 Estándares de Tecnología

Proceso: 4.0 Definición de la Organización y de las Relaciones de TIObjetivos de Control:

4.1 Comité de planeación o dirección de la función de servicios de información4.2 Ubicación de los servicios de información en la organización4.3 Revisión de Logros Organizacionales4.4 Funciones y Responsabilidades4.5 Responsabilidad del aseguramiento de calidad4.6 Responsabilidad de la seguridad lógica y física4.7 Propiedad y Custodia4.8 Propiedad de Datos y Sistemas4.9 Supervisión4.10 Segregación de Funciones

45


4.11 Asignación de Personal para Tecnología de Información4.12 Descripción de Puestos para el Personal de la Función de TI4.13 Personal clave de TI4.14 Procedimientos para personal por contrato4.15 Relaciones

Proceso : 5.0 Manejo de la Inversión en Tecnología de In-formaciónObjetivos de Control:

5.1 Presupuesto Operativo Anual para la Función de Servicio de información5.2 Monitoreo de Costo - Beneficio5.3 Justificación de Costo - Beneficio

Proceso: 6.0 Comunicación de la dirección y aspiraciones de la gerenciaObjetivos de Control:

6.1 Ambiente positivo de control de la información6.2 Responsabilidad de la Gerencia en cuanto a Políticas6.3 Comunicación de las Políticas de la Organización6.4 Recursos para la implementación de Políticas6.5 Mantenimiento de Políticas6.6 Cumplimiento de Políticas, Procedimientos y Estándares6.7 Compromiso con la Calidad6.8 Política sobre el Marco de Referencia para la Seguridad y el Control Interno6.9 Derechos de propiedad intelectual6.10 Políticas Específicas6.11 Comunicación de Conciencia de Seguridad en TI

Proceso: 7.0 Administración de Recursos HumanosObjetivos de Control:

7.1 Reclutamiento y Promoción de Personal7.2 Personal Calificado7.3 Roles y responsabilidades7.4 Entrenamiento de Personal7.5 Entrenamiento Cruzado o Respaldo de Personal7.6 Procedimientos de Acreditación 17 de Personal7.7 Evaluación de Desempeño de los Empleados7.8 Cambios de Puesto y Despidos

Proceso: 8.0 Aseguramiento del Cumplimiento de Requerimientos ExternosObjetivos de Control:

8.1 Revisión de Requerimientos Externos8.2 Prácticas y Procedimientos para el Cumplimiento de Requerimientos Externos8.3 Cumplimiento de los Estándares de Seguridad y Ergonomía8.4 Privacidad, Propiedad Intelectual y Flujo de Datos8.5 Comercio Electrónico8.6 Cumplimiento con Contratos de Seguros

46


Proceso: 9.0 Evaluación de RiesgosObjetivos de Control:9.1 Evaluación de Riesgos del Negocio9.2 Enfoque de Evaluación de Riesgos9.3 Identificación de Riesgos9.4 Medición de Riesgos9.5 Plan de Acción contra Riesgos9.6 Aceptación de Riesgos9.7 Selección del resguardo9.8 Compromiso de Valoración de riesgo

Proceso: 10.0 Administración de proyectosObjetivos de Control:

10.1 Marco de Referencia para la Administración de Proyectos10.2 Participación del Departamento Usuario en la Iniciación de Proyectos10.3 Miembros y Responsabilidades del Equipo del Proyecto10.4 Definición del Proyecto10.5 Aprobación del Proyecto10.6 Aprobación de las Fases del Proyecto10.7 Plan Maestro del Proyecto10.8 Plan de Aseguramiento de la Calidad de Sistemas10.9 Planeación de Métodos de Aseguramiento10.10 Administración Formal de Riesgos de Proyectos10.11 Plan de Prueba10.12 Plan de Entrenamiento10.13 Plan de Revisión Post Implementación

Proceso: 11.0 Administración de CalidadObjetivos de Control:

11.1 Plan General de Calidad11.2 Enfoque de Aseguramiento de Calidad11.3 Planeación del Aseguramiento de Calidad11.4 Revisión de Aseguramiento de Calidad sobre el Cumplimiento de Estándares y

Procedimientos de la Función de Ser-vicios de Información11.5 Metodología del Ciclo de Vida de Desarrollo de Sistemas11.6 Metodología del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la

Tecnología Actual11.7 Actualización de la Metodología del Ciclo de Vida de Desarrollo de Sistemas11.8 Coordinación y Comunicación11.9 Marco de Referencia de Adquisición y Mantenimiento para la Infraestructura de

Tecnología11.10 Relaciones con Terceras Partes como Implementadores11.11 Estándares para la Documentación de Programas11.12 Estándares para Pruebas de Programas11.13 Estándares para Pruebas de Sistemas11.14 Pruebas Piloto/En Paralelo11.15 Documentación de las Pruebas del Sistema

47


11.16 Evaluación del Aseguramiento de la Calidad sobre el Cumplimiento de Estándar de Desarrollo

11.17 Revisión del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Función de Servicios de Información

11.18 Métricas de Calidad11.19 Reportes de Revisiones de Aseguramiento de la Calidad

DOMINIO ADQUISICIÓN E IMPLEMENTACIÓNProceso: 1.0 Identificación de SolucionesObjetivos de control

1.1 Definición de Requerimientos de Información1.2 Formulación de Acciones Alternativas1.3 Formulación de Estrategias de Adquisición.1.4 Requerimientos de Servicios de Terceros1.5 Estudio de Factibilidad Tecnológica1.6 Estudio de Factibilidad Económica1.7 Arquitectura de Información1.8 Reporte de Análisis de Riesgos1.9 Controles de Seguridad Económicos1.10 Diseño de Pistas de Auditoría1.11 Ergonomía1.12 Selección de Software de Sistema1.13 Control de Abastecimiento1.14 Adquisición de Productos de Software1.15 Mantenimiento de Software de Terceras Partes1.16 Contratos de Programación de Aplicaciones1.17 Aceptación de Instalaciones1.18 Aceptación de Tecnología

Proceso: 2.0 Adquisición y Mantenimiento de Software de AplicaciónObjetivos de control

2.1 Métodos de Diseño2.2 Cambios Significativos a Sistemas Actuales2.3 Aprobación del Diseño2.4 Definición y Documentación de Requerimientos de Archivos2.5 Especificaciones de Programas2.6 Diseño para la Recopilación de Datos Fuente2.7 Definición y Documentación de Requerimientos de Entrada de Datos2.8 Definición de Interfases2.9 Interfases Usuario-Máquina2.10 Definición y Documentación de Requerimientos de Procesamiento2.11 Definición y Documentación de Requerimientos de Salida de Datos2.12 Controlabilidad2.13 Disponibilidad como Factor Clave de Diseño2.14 Estipulación de Integridad de TI en programas de software de aplicaciones2.15 Pruebas de Software de Aplicación2.16 Materiales de Consulta y Soporte para Usuario2.17 Reevaluación del Diseño del Sistema

48


Proceso: 3.0 Adquisición y Mantenimiento de Arquitectura de TecnologíaObjetivos de control

3.1 Evaluación de Nuevo Hardware y Software3.2 Mantenimiento Preventivo para Hardware3.3 Seguridad del Software del Sistema3.4 Instalación del Software del Sistema3.5 Mantenimiento del Software del Sistema3.6 Controles para Cambios del Sofware del Sistema3.7 Uso y Monitoreo de Utilidades del Sistema

Proceso: 4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de InformaciónObjetivos de control

4.1 Futuros Requerimientos y Niveles de Servicios Operacionales4.2 Manual de Procedimientos para Usuario4.3 Manual de Operación4.4 Material de Entrenamiento

Proceso: 5.0 Instalación y Acreditación de SistemasObjetivos de control

5.1 Entrenamiento5.2 Adecuación del Desempeño del Software de Aplicación5.3 Plan de implementación5.4 Conversión del sistema5.5 Conversión de datos5.6 Estrategia y planes de prueba5.7 Pruebas de Cambios5.8 Criterios y Desempeño de Pruebas en Paralelo/ Piloto5.9 Prueba de Aceptación Final5.10 Pruebas y Acreditación de Seguridad5.11 Prueba Operacional5.12 Promoción a Producción5.13 Evaluación de la Satisfacción de los Requerimientos del Usuario5.14 Revisión Gerencial Post - Implementación

Proceso: 6.0 Administración de CambiosObjetivos de control

6.1 Inicio y Control de Requisiciones de Cambio6.2 Evaluación del Impacto6.3 Control de Cambios6.4 Cambios de Emergencia6.5 Documentación y Procedimientos6.6 Mantenimiento Autorizado6.7 Política de Liberación de Software6.8 Distribución de Software

49


DOMINIO ENTREGA DE SERVICIOS Y SOPORTE

Proceso: 1.0 Definición de Niveles de ServicioObjetivos de control:

1.1 Marco de Referencia para el Convenio de Nivel de Servicio1.2 Aspectos sobre los Acuerdos de Nivel de Servicio1.3 Procedimientos de Ejecución1.4 Monitoreo y Reporte1.5 Revisión de Convenios y Contratos de Nivel de Servicio1.6 Elementos sujetos a Cargo1.7 Programa de Mejoramiento del Servicio

Proceso: 2.0 Administración de Servicios prestados por TercerosObjetivos de control:

2.1 Interfases con Proveedores2.2 Relaciones de Dueños2.3 Contratos con Terceros2.4 Calificaciones de terceros2.5 Contratos con Outsourcing2.6 Continuidad de Servicios2.7 Relaciones de Seguridad2.8 Monitoreo

Proceso: 3.0 Administración de Desempeño y CapacidadObjetivos de control:

3.1 Requerimientos de Disponibilidad y Desempeño3.2 Plan de Disponibilidad3.3 Monitoreo y Reporte3.4 Herramientas de Modelado3.5 Manejo de Desempeño Proactivo3.6 Pronóstico de Carga de Trabajo3.7 Administración de Capacidad de Recursos3.8 Disponibilidad de Recursos3.9 Calendarización de recursos

Proceso: 4.0 Aseguramiento de Servicio ContinuoObjetivos de control:

4.1 Marco de Referencia de Continuidad de Tecnología de Información4.2 Estrategia y Filosofía de Continuidad de Tecnología de Información4.3 Contenido del Plan de Continuidad de Tecnología de Información4.4 Minimización de requerimientos de Continuidad de Tecnología de Información4.5 Mantenimiento del Plan de Continuidad de Tecnología de Información4.6 Pruebas del Plan de Continuidad de Tecnología de Información 4.7 Capacitación sobre el Plan de Continuidad de Tecnología de Información4.8 Distribución del Plan de Continuidad de Tecnología de Información4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios

50


4.10 Recursos críticos de Tecnología de Información4.11 Centro de Cómputo y Hardware de respaldo4.12 Sitio externo de almacenamiento de respaldo4.13 Procedimientos de Refinamiento del Plan de Continuidad de TI

Proceso: 5.0 Garantizar la Seguridad de SistemasObjetivos de control:

5.1 Administrar Medidas de Seguridad5.2 Identificación, Autenticación y Acceso5.3 Seguridad de Acceso a Datos en Línea5.4 Administración de Cuentas de Usuario5.5 Revisión Gerencial de Cuentas de Usuario5.6 Control de Usuarios sobre Cuentas de Usuario5.7 Vigilancia de Seguridad5.8 Clasificación de Datos5.9 Administración Centralizada de Identificación y Derechos de Acceso5.10 Reportes de Violación y de Actividades de Seguridad5.11 Manejo de Incidentes5.12 Re-acreditación5.13 Confianza en Contrapartes5.14 Autorización de Transacciones5.15 No Rechazo5.16 Sendero Seguro5.17 Protección de funciones de seguridad5.18 Administración de Llave Criptográfica5.19 Prevención, Detección y Corrección de Software “Malicioso”5.20 Arquitecturas de FireWalls y conexión a redes públicas5.21 Protección de Valores Electrónicos

Proceso: 6.0 Identificación y Asignación de CostosObjetivos de control:

6.1 Elementos Sujetos a Cargo6.2 Procedimientos de Costeo6.3 Procedimientos de Cargo y Facturación a Usuarios

Proceso: 7.0 Educación y Entrenamiento de UsuariosObjetivos de control:

7.1 Identificación de Necesidades de Entrenamiento7.2 Organización de Entrenamiento7.3 Entrenamiento sobre Principios y Conciencia de Seguridad

Proceso: 8.0 Apoyo y Asistencia a los Clientes de Tecnología de InformaciónObjetivos de control:

8.1 Buró de Ayuda8.2 Registro de Preguntas del Usuario8.3 Escalamiento de Preguntas del Cliente

51


8.4 Monitoreo de Atención a Clientes8.5 Análisis y Reporte de Tendencias

Proceso: 9.0 Administración de la ConfiguraciónObjetivos de control:

9.1 Registro de la Configuración9.2 Base de la Configuración9.3 Registro de Estatus9.4 Control de la Configuración9.5 Software no Autorizado9.6 Almacenamiento de Software9.7 Procedimientos de administración de configuración 9.8 Responsabilidad del software

Proceso: 10.0 Administración de Problemas e IncidentesObjetivos de control:

10.1 Sistema de Administración de Problemas10.2 Escalamiento de Problemas10.3 Seguimiento de Problemas y Pistas de Auditoría10.4 Autorizaciones de accesos temporales y de emergencia10.5 Prioridades de procesamiento de emergencia

Proceso: 11.0 Administración de DatosObjetivos de control:

11.1 Procedimientos de Preparación de Datos11.2 Procedimientos de Autorización de Documentos Fuente11.3 Recopilación de Datos de Documentos Fuente11.4 Manejo de Errores de Documentos Fuente11.5 Retención de Documentos Fuente11.6 Procedimientos de Autorización de Entrada de Datos11.7 Chequeos de Exactitud, Suficiencia y Autorización11.8 Manejo de Errores en la Entrada de Datos11.9 Integridad de Procesamiento de Datos11.10 Validación y Edición de Procesamiento de Datos11.11 Manejo de Error en el Procesamiento de Datos11.12 Manejo y Retención de Salida de Datos11.13 Distribución de Salida de Datos11.14 Balanceo y Conciliación de Datos de Salida11.15 Revisión de Salida de Datos y Manejo de Errores11.16 Provisiones de Seguridad para Reportes de Salida11.17 Protección de Información Sensible durante transmisión y transporte11.18 Protección de Información Crítica a ser Desechada11.19 Administración de Almacenamiento11.20 Períodos de Retención y Términos de Almacenamiento11.21 Sistema de Administración de la Librería de Medios

52


11.22 Responsabilidades de la Administración de la Librería de Medios11.23 Respaldo y Restauración11.24 Funciones de Respaldo11.25 Almacenamiento de Respaldo11.26 Archivo11.27 Protección de Mensajes Sensitivos11.28 Autenticación e Integridad11.29 Integridad de Transacciones Electrónicas11.30 Integridad Continua de Datos Almacenados

Proceso: 12.0 Administración de InstalacionesObjetivos de control:

12.1 Seguridad Física12.2 Discreción de las Instalaciones de Tecnología de Información12.3 Escolta de Visitantes12.4 Salud y Seguridad del Personal12.5 Protección contra Factores Ambientales12.6 Suministro Ininterrumpido de Energía

Proceso: 13.0 Administración de OperacionesObjetivos de control:

13.1 Manual de procedimientos de Operación e Instrucciones13.2 Documentación del Proceso de Inicio y de Otras Operaciones13.3 Calendarización de Trabajos13.4 Salidas de la Calendarización de Trabajos Estándar13.5 Continuidad de Procesamiento13.6 Bitácoras de Operación13.7 Resguardo de formas especiales y dispositivos de salida 13.8 Operaciones Remotas

DOMINIO MONITOREO

Proceso: 1.0 Monitoreo del ProcesoObjetivos de control:

1.1 Recolección de Datos de Monitoreo1.2 Evaluación de Desempeño1.3 Evaluación de la Satisfacción de Clientes1.4 Reportes Gerenciales

Proceso: 2.0 Evaluar lo adecuado del Control InternoObjetivos de control:

2.1 Monitoreo de Control Interno2.2 Operación oportuna del Control Interno

53


2.3 Reporte sobre el Nivel de Control Interno2.4 Seguridad de operación y aseguramiento de Control Interno

Proceso: 3.0 Obtención de Aseguramiento IndependienteObjetivos de control3.1 Certificación / Acreditación Independiente de Control y Seguridad de los servicios de TI3.2 Certificación / Acreditación Independiente de Control y Seguridad de proveedores externos de servicios3.3 Evaluación Independiente de la Efectividad de los Servicios de TI3.4 Evaluación Independiente de la Efectividad de proveedores externos de servicios3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios3.7 Competencia de la Función de Aseguramiento Independiente3.8 Participación Proactiva de Auditoría

Proceso: 4.0 Proveer Auditoría IndependienteObjetivos de control4.1 Estatutos de Auditoría4.2 Independencia4.3 Etica y Estándares Profesionales4.4 Competencia4.5 Planeación4.6 Desempeño del Trabajo de Auditoría4.7 Reporte4.8 Actividades de Seguimiento

54

Capítulo 3 Propuesta de Organización de Auditoría de TI

CAPITULO 3

PROPUESTA DE ORGANIZACIÓN DE LA AUDITORIA DE TECNOLOGIA

DE LA INFORMACIÓN

El propósito final de este capítulo es proponer la organización para el ejercicio de la Auditoría

de TI en el Ministerio, así como los requerimientos de recursos humanos y capacitación. Para

ello en primera instancia se repasan los elementos conceptuales del tema y se retoma la

situación actual.

3.1 ASPECTOS CONCEPTUALES Y LEGALES

A continuación se retoman los elementos conceptuales que resultan ilustrativos en cuanto a los

temas de fondo del capítulo.

En primer lugar, es preciso puntualizar la diferenciación desde el punto de vista conceptual y

funcional en cuanto control interno informático y a la Auditoría de TI.

3.1.1 Control Interno Informático

El control interno informático controla diariamente que todas las actividades relacionadas con

gestión de la TI sean realizadas cumpliendo los procedimientos estándares y normas fijados

por la dirección de la organización, así como los requerimientos legales. Este suele

desarrollarse por un órgano de staff de la Dirección del Departamento de Informática.

Como principales objetivos podemos indicar:

Controlar que todas las actividades se realicen según los procedimientos y normas

fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de la Auditoría de TI.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los

grados adecuados del servicio informático.

Realizar en los diferentes sistemas ( centrales, departamentales, redes locales) y

entornos informáticos el control de las diferentes actividades operativas.

55


3.1.2 Auditoría de TI

La Auditoría de TI es el proceso realizado para recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado, salvaguarda los activos, mantiene la integridad de los

datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los

recursos.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y

procedimientos informáticos más complejos, desarrollando y aplicando técnicas de auditoría

incluyendo el uso del software.

El auditor es responsable de revisar e informar a la dirección de la organización sobre el

diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información

suministrada.

En el cuadro siguiente se muestran los objetivos comunes y las diferencias entre ambas

funciones.

CUADRO No 3

SIMILITUDES Y DIFERENCIAS ENTRE LA UNIDAD DE CONTROL INTERNO DE TI Y AUDITORIA DE

TI

CONTROL INTERNO DE TI AUDITORIA DE TI

SIMILITUDES

Personal Interno Conocimientos especializados en TI, verificación del

cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para la gestión de TI.

DIFERENCIAS

Análisis de los controles en el día a día.

Informa a la Dirección del Departamento de Informática

Solo personal interno. Alcance de sus funciones

únicamente sobre el Departamento de Informática

Análisis de un momento determinado.

Informa a la Dirección General de la organización.

Personal interno o externo.

Tiene cobertura sobre todos los componentes de TI de la organización.

56


Fuente: Piattini Mario G. y Del Peso, Emilio. Auditoría Informática: Un Enfoque Práctico. México D.F.

Editorial Alfa Omega,1998. Pag.30

Es preciso recordar que nuestro interés es la Auditoría de TI, por lo que los aspectos relativos a

la organización y funcionamiento del control interno quedan para otra investigación.

3.1.3 Normativa sobre evaluación de sistemas de información computadorizada

La Contraloría General de la República se ha manifestado explícitamente sobre el tema

mediante la norma 302.10.01 del “Manual sobre Normas Técnicas de Control interno relativas

a los Sistemas de Información Computadorizados” (SIC), emitido en noviembre de 1995, según

la cual: “ La Unidad de Auditoría Interna evaluará el cumplimiento, la suficiencia y la validez del

control interno en los SIC.”

Complementariamente se indica que para cumplir con su competencia, la auditoría interna

deberá planear y ejecutar auditorías de los sistemas de información computadorizados y como

parte de ellas, evaluar el cumplimiento, la suficiencia y la validez del sistema de control interno,

teniendo como marco de referencia la normativa expuesta en el citado manual. Debe verificar

que los sistemas operen en forma eficiente y eficaz y que brinden información útil y confiable.

Deberá utilizar las técnicas y herramientas computadorizadas que considere convenientes y

oportunas.

3.1.4 Normativa sobre las auditorías internas

La Ley N°7428 “Ley Orgánica de la Contraloría General de la República” en sus artículos 61 y

62, señala entre otras cosas, que cada sujeto componente de la Hacienda Pública tendrá una

auditoría interna la cual deberá contar con los recursos necesarios para el cumplimiento de sus

funciones. Adicionalmente, las auditorías internas ejercerán sus funciones con independencia

funcional y de criterio, respecto del jerarca y los demás órganos de la administración activa.

Dependerán orgánicamente del jerarca unipersonal o colegiado cuando éste exista, debiendo

organizarse y funcionar conforme lo establece el Manual para el Ejercicio de la Auditoría

Interna y cualesquiera otras disposiciones emitidas por el órgano contralor.

57


3.1.5 Perfil del Auditor de Tecnología de Información

De conformidad con la información recopilada en las instituciones consideradas en el

diagnóstico realizado, así como los criterios de diferentes autores consultados, especialmente

Arauz, Manuel y Piattini, Mario G, los conocimientos y preparación necesaria para ejecutar la

función de auditoría de sistemas a cabalidad, son los siguientes:6

El auditor debe nutrirse de conceptos de tres áreas: la auditoría, la informática y la

administración para estar en capacidad de evaluar la función informática.

Con respecto a la auditoría deberá conocer toda la filosofía del control en la cual ésta se

fundamenta. Las técnicas y procedimientos de trabajo que se utilizan para ejecutar una

auditoría en el área informática difieren muy poco de las que pueden utilizarse en el campo

de la auditoría financiero-contable. Por esta razón, la forma de preparar los programas de

auditoría, los papeles de trabajo y los informes deberán ajustarse a las técnicas y

procedimientos aplicados en el campo de la auditoría.

Conocimientos generales sobre la teoría general de riesgos y controles, sobre el sistema de

control interno de las organizaciones y sobre riesgos y controles aplicables en sistemas

automatizados, son parte de los conocimientos que deberá absorber de esta área.

De la informática requiere obtener conocimientos generales sobre técnicas de análisis y

diseño e implantación de sistemas, sobre bases de datos y telecomunicaciones, de

técnicas y lenguajes de programación, de los sistemas operativos, del “hardware” y

“software” disponibles en la empresa donde labora, ofimática, comercio electrónico, redes

locales, seguridad física, encriptación de datos, operaciones y planificación informática,

efectividad de las operaciones y rendimiento de los sistemas.

De la administración requiere conocer los conceptos tradicionales de planeación,

organización, dirección y control.

6Arauz, Manuel. Auditoría de Sistemas: por qué?. Universidad Internacional de las Américas, 1996.Piattini, Mario G y Del Peso, Emilio. Auditoría Informática: un enfoque práctico. Alfaomega. México. 1998

58


Este auditor requiere contar con habilidades para expresarse con claridad tanto en forma

oral como escrita y necesita de una mente crítica que le permita analizar y cuestionar, con

sumo cuidado, las diferentes actividades que evalúa. Debe sumar a esto un conocimiento

amplio del tipo de organización en la que realiza su labor que le permita ofrecer una

asesoría constructiva.

Para ejercer sus labores cabalmente en cada una de estas áreas el grado de conocimiento que

debe tener de cada uno de los aspectos mencionados anteriormente varía en cuanto a su

profundidad.

Así, un auditor que se dedique a evaluar la función informática requerirá conocimientos

profundos en administración. Por su parte, quien participe en el desarrollo de sistemas

necesitará conocer muy bien de las técnicas de análisis, diseño e implantación de sistemas,

mientras que para el auditor dedicado a evaluar sistemas en producción el conocimiento que

tenga de los riesgos y controles en sistemas automatizados deberá ser muy sólido.

A todos estos conocimientos el auditor debe agregar un ingrediente muy importante: las

relaciones humanas. Para lograr la confianza de los funcionarios auditados y que las

recomendaciones que se emitan sean bien recibidas, cualidades tales como el tacto, la

empatía, la discreción, el respeto y el buen trato, así como una comunicación directa, franca y

cordial son esenciales para que el auditor logre aceptación y haga que su trabajo sea fructífero.

3.1.6 Principios para el Ejercicio de la Auditoria de TI

A continuación se presenta un conjunto de principios para el desarrollo de la Auditoría de TI, de

conformidad con el enfoque presentado por Jorge Paz Umaña7,

Estos toman elementos de las normas morales y reflejan el sentir mayoritario de los

profesionales a que van dirigidos, en cuanto a lo que se considera como un adecuado

comportamiento ético profesional, sirviendo de reprobación moral de aquellas conductas

contrarias a lo regulado en los mismos.

7 Paz Umaña, Jorge.Deontología del Auditor Informático y Códigos Eticos. En Piattini, Mario G. Y Del Peso Emilio. Auditoría Informática: un enfoque práctico. México. Alfaomega. 1998

59


Principio de beneficio del auditado: El auditor deberá ver cómo se puede conseguir la

máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando

obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de

las soluciones más idóneas según los problemas detectados en el sistema informático. En

ningún caso debe realizar el trabajo bajo el prisma del propio beneficio sino que por el

contrario su actividad debe estar en todo momento orientada a sacar el máximo provecho

de su cliente.

Principio de capacidad: El auditor debe estar plenamente capacitado para la realización de

la auditoría encomendada, máxime teniendo en cuenta que en la mayoría de los casos,

dada su especialización, a los auditados en algunos casos le puede ser extremadamente

difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas.

Principio de cautela: El auditor debe en todo momento ser consciente de que sus

recomendaciones deben estar basadas en la experiencia contrastada que se le supone

tiene adquirida, evitando que por un exceso de vanidad, el auditado se embarque en

proyectos de futuro fundamentados en simples intuiciones sobre la posible evolución de las

nuevas tecnologías de la información.

Principio de comportamiento profesional: El auditor tanto en sus relaciones con el auditado

como con terceras personas deberá, en todo momento, actuar conforme a las normas,

implícitas o explícitas de dignidad de la profesión y de corrección en el trato profesional.

Principio de concentración en el trabajo: En su línea de actuación el auditor deberá evitar

que un exceso de trabajo supere las posibilidades de concentración y precisión en cada

una de las tareas a él encomendadas, ya que la saturación y dispersión de trabajos suele a

menudo, si no está debidamente controlada, provocar la conclusión de los mismos sin las

debidas garantías de seguridad.

Principio de confianza: El auditor deberá facilitar e incrementar la confianza del auditado

con base en una actuación de transparencia en su actividad profesional, sin alardes

científico técnicos, que por su incomprensión puedan restar credibilidad a los resultados

obtenidos y a las directrices aconsejadas de actuación. Para fortalecer la confianza mutua

se requiere por ambas partes una disposición de diálogo sin ambigüedades que permita

60


aclarar las dudas que, a lo largo de la auditoría, pudieran surgir sobre cualquier aspecto

que pudieran resultar conflictivos, todo ello con la garantía del secreto profesional que debe

regir en su relación.

Principio de criterio propio: El auditor durante la ejecución de la auditoría deberá actuar con

criterio propio y no permitir que este esté subordinado al de otros profesionales, aún de

reconocido prestigio, que no coincidan con el mismo.

Principio de discreción: El auditor deberá en todo momento mantener una cierta discreción

en el divulgación de datos, aparentemente inocuos, que se hayan puesto de manifiesto

durante la ejecución de la auditoría.

Principio de economía. El auditor deberá proteger en la medida de sus conocimientos los

derechos económicos del auditado, evitando generar gastos innecesarios durante el

ejercicio de su actividad. En las recomendaciones y conclusiones realizadas con base en su

trabajo deberá asimismo eludir, incitar o proponer actuaciones que puedan generar gastos

innecesarios o desproporcionados.

Principio de formación continuada. Este principio íntimamente relacionado al principio de

capacidad y vinculado a la continua evolución de las tecnologías de la información y las

metodologías relacionadas con las mismas, impone a los auditores el deber y la

responsabilidad de mantener una permanente actualización de los conocimientos y

métodos a fin de adecuarlos a las demandas y las exigencias de la competencias de la

oferta.

Principio de fortalecimiento y respeto de la profesión: La defensa de los auditados pasa por

el fortalecimiento de la profesión de los auditores informáticos, lo que exige un respeto por

el ejercicio globalmente considerado, de la actividad desarrollada por los mismos y un

comportamiento acorde con los requisitos exigibles para el idóneo cumplimiento de la

finalidad de las auditorías. Deberá promover el respeto mutuo y la no confrontación entre

compañeros.

61


Principio de independencia: Muy relacionado con el de criterio propio, obliga al auditor a

exigir una total autonomía e independencia en su trabajo, condición imprescindible para

permitirle actuar libremente según su leal saber y entender.

Principio de información suficiente: Obliga al auditor a ser plenamente de su obligación de

aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado,

información tanto sobre todos y cada uno de los puntos relacionados con la auditoría que

pueden tener interés para él, como sobre las conclusiones a las que ha llegado, e

igualmente informarle sobre la actividad desarrollada durante la misma que ha servido de

base para llegar dichas conclusiones.

Principio de integridad moral: Este principio, inherentemente ligado a la dignidad de

persona, obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a

ajustarse a las normas morales de justicia y probidad y a evitar participar, voluntaria o

inconscientemente en cualesquiera actos de corrupción personal o de terceras personas.

Principio de legalidad. En todo momento el auditor deberá utilizar sus conocimientos para

facilitar a los auditados o a terceras personas, la contravención de la legalidad vigente. En

ningún caso consentirá ni colaborará en la desactivación o eliminación de dispositivos de

seguridad ni intentará obtener los códigos o claves de acceso a sectores restringidos de

información generados para proteger los derechos, obligaciones o intereses de terceros.

Principio de la no descriminación. El auditor en su actuación previa, durante y posterior a la

auditoría, deberá evitar inducir, participar, o aceptar situaciones discriminatorias de ningún

tipo, debiendo ejercer su actividad profesional sin prejuicios de ninguna clase y con

independencia de las características personales, sociales o económicas de sus clientes.

Principio de no injerencia. El auditor, dada la incidencia que puede derivarse de su tarea,

deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir

hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar

un cierto desprestigio de su cualificación profesional.

Principio de precisión. Este principio exige del auditor la no conclusión de su trabajo hasta

estar convencido en la medida de lo posible, de la viabilidad de sus propuestas, debiendo

62


ampliar el estudio del sistema informático cuanto considere necesario sin agobios de

plazos, siempre que se cuente con la aquiescencia del auditado, hasta obtener dicho

convencimiento.

Principio de responsabilidad. El auditor deberá, como elemento intrínseco de todo

comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje, sirviendo

esta forma de actuar como cortapisa de injerencias extraprofesionales.

Principio de secreto profesional. La confidencia y la confianza son características

esenciales de las relaciones entre el auditor y el auditado e imponen al primero la

obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de

su actividad profesional. Solamente por imperativo legal podrá decaer esa obligación.

Principio de servicio público. Incita al auditor a hacer lo que esté en su mano para evitar

daños sociales como los que pueden producirse en los casos en que, durante la ejecución

de la auditoría descubra elementos de software dañinos (virus informáticos), que puedan

propagarse a otros sistemas informáticos diferentes del auditado.

Principio de veracidad. El auditor en sus comunicaciones con el auditado deberá tener

siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los

límites impuestos por los deberes de respeto, corrección y secreto profesional.

En tanto éstos principios no estén plenamente asumidos, como configuradores de la dimensión

ética de la profesión, puede apelarse a los comportamientos morales individuales. En nuestro

caso los hemos incluido por considerarlos de utilidad para la conformación de criterios

orientadores sobre la manera en que la Auditoría de TI debe orientar sus actuaciones.

3.2 ORGANIZACIÓN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA

3.2.1 Antecedentes

La Dirección General de Auditoría Interna del Ministerio de Hacienda fue creada en el año 1989

con el nombramiento de la Directora en mayo de ese año, posteriormente con la publicación

del reglamento de organización y funciones, mediante el Decreto Ejecutivo No.19067 – H

63


publicado el 4 de julio de 1989, se formaliza la existencia de la unidad. Se le concibe como una

dependencia asesora del Ministro de Hacienda y orgánicamente dependiente de éste.

En el año 1990 se nombraron nuevos funcionarios y gradualmente se fue consolidando el

equipo humano de la dirección, que llegó a ser de 30 puestos en el año 1996, para

posteriormente disminuir como resultado de la política de reducción de puestos en el Gobierno,

hasta llegar a los 18 puestos que actualmente la conforman.

En el año 2000 se aprobó un nuevo Manual Institucional de Clases, que entre otros aspectos

respondió a la ya citada política de reducción de puestos como también a la reforma general

del Ministerio con una marcada tendencia al uso de nueva tecnología y sistemas de

información computadorizados. De esta manera la propuesta de reestructuración consideró

como ejes los siguientes elementos:

Planilla reducida de alto nivel

Tecnología avanzada

Capacitación adecuada permanente

Actualización profesional permanente

Contratación de servicios de auditoría por excepción.8

El proceso de reforma en sentido estricto está aún en desarrollo, habiéndose logrado a la fecha

avances importantes, entre los que destacan:

Reubicación de funcionarios: 1997-1998

Definición de nuevos perfiles de puestos, elaboración y aprobación del Manual

Institucional de Clases de la Dirección General de Auditoría InternaReasignación de

puestos.

Compra de equipo de cómputo

Manejo de software de oficina

Servicio de Internet y correo electrónico: a partir de febrero del 2000

Un sitio en la Página WEB del Ministerio, a partir de agosto del 2000

3.2.2 Objetivo General de la Auditoría Interna

8 Dirección General de Auditoría Interna. Propuesta de Reforma de la Dirección General de Auditoría Interna. Documento Interno presentado al Ministro de Hacienda en julio de 1996.

64


El objetivo general de la Auditoría Interna es prestar un servicio profesional de asesoría

constructiva y de protección a la Administración, proporcionándole en forma oportuna

información, análisis y recomendaciones pertinentes para que alcance sus metas y objetivos

con eficiencia y economía.

3.2.3 Misión, Visión y Valores

La misión ha sido establecida en los siguientes términos:

“Prestar un servicio de asesoría profesional al Ministerio de Hacienda, para el logro de sus

metas y objetivos con eficiencia y economía, proporcionándole, en forma oportuna,

información, análisis y recomendaciones, a fin de colaborar en asegurar a la sociedad

costarricense los recursos necesarios para satisfacer sus necesidades sociales”.9

La Dirección General de Auditoría Interna ha definido su visión de la siguiente manera:

“La visión de la Auditoría Interna se fundamenta en su desarrollo y consolidación como

parte de la estructura de control interno del Ministerio. Con capacidad para formular

recomendaciones viables que proporcionen mejoras sustanciales para el logro de la

misión del Ministerio. Aspiramos a una auditoría de excelencia con una clara orientación

hacia los usuarios, con personal profesional responsable, de gran mística e identificado

con su misión y la del ministerio; con tecnologías modernas y apropiadas a las tareas

que les corresponde ejecutar y con recursos materiales suficientes para su desempeño.

Definimos la auditoría Interna como una unidad asesora al servicio del ministerio para la

salvaguarda de los recursos”. 9

Como complemento, en octubre del año 2000 los funcionarios de la Dirección General de

Auditoría Interna proclamaron los siguientes valores compartidos :

Amor : nuestra labor diaria se fundamenta en el amor personal, a la familia, al

trabajo, a los compañeros y a la institución.

Excelencia: todo lo que realizamos lo hacemos de la mejor forma.

9 Obtenida de la página web del Ministerio: www.hacienda.go.cr9

65


Integridad: como personas y funcionarios públicos nos exigimos integridad total en el

diario vivir.

Sabiduría: nuestras actuaciones siempre serán guiadas por el conocimiento, el

pensamiento, la creatividad, la percepción y la razón.

Cooperación: contribuimos con la unión y estabilidad familiar. Somos un equipo de

apoyo y asesoría a la Administración para el logro de los objetivos institucionales.

3.2.4 Funciones

El artículo 63 de la Ley Orgánica de la Contraloría General de la República (Ley No. 7428 del 4

de noviembre 1994), establece en términos generales las competencias de las auditorías

internas:

a) “Controlar y evaluar el sistema de control interno correspondiente y proponer las

medidas correctivas.

b) Cumplir con las normas técnicas de auditoría, las disposiciones emitidas por la

Contraloría General de la República y las del ordenamiento jurídico.

c) Realiza auditorías y estudios especiales en relación con cualquiera de los órganos

sujetos a su jurisdicción institucional.

d) Asesorar en materia de su competencia al jerarca del cual depende e igualmente

advertir a los órganos pasivos que ellas fiscalizan sobre las posibles consecuencias

de determinadas conductas o decisiones cuando sean de su conocimiento.

e) Autorizar mediante razón de apertura los libros de contabilidad y actas que legal o

reglamentariamente deben llevar los órganos sujetos a su jurisdicción institucional.

f) Las demás que contemplan las normas del ordenamiento de control y fiscalización y

los manuales sobre la materia emitidos por la Contraloría General de la República.”

Para el caso de la Auditoría Interna del Ministerio, el decreto No. 19067 - H y sus reformas le

establece algunas funciones, entre las que destacan:

“Artículo 14º-Para el cumplimiento de sus deberes, la auditoría interna tendrá las

siguientes funciones:

a) Realizar auditorías o estudios especiales de auditoría, de acuerdo con las

normas técnicas de auditoría y otras disposiciones dictadas por la Contraloría

66


General de la República y con las normas de auditoría generalmente aceptadas

en cuanto fueren aplicadas, en cualesquiera unidades administrativas del

Ministerio, en el momento que considere oportuno.

b) Evaluar en forma regular el sistema de control interno en relación con los

aspectos contables, financiero y administrativo, con el fin de determinar su

cumplimiento, suficiencia y validez.

c) Verificar que los bienes patrimoniales se hallen debidamente controlados,

contabilizados, protegidos contra pérdida, menoscabo, mal uso o desperdicio e

inscritos a nombre del Ministerio, cuando se trate de bienes inmuebles sujetos a

ese requisito.

d) Verificar que los recursos financieros, materiales y humanos de que dispone el

Ministerio, se hayan utilizado por la administración con eficiencia, economía y

eficacia.

e) Evaluar el contenido informativo, la oportunidad y la confiabilidad de la

información contable, financiera, administrativa y de otro tipo producida en el

Ministerio.

f) Evaluar los informes que prepara la administración sobre la eficiencia, economía

y eficacia con que se han utilizado los recursos, en el cumplimiento de metas y

objetivos.

g) Verificar el cumplimiento de las disposiciones legales y reglamentarias, de los

objetivos y metas, de las políticas, de los planes, de los programas y de los

procedimientos financieros y administrativos que rigen en el Ministerio.

h) Revisar en forma posterior las operaciones contables, financieras y

administrativas, los registros, los informes y los estados financieros cuando lo

considere pertinente, de acuerdo con su plan de auditoría.

i) Efectuar la evaluación posterior a la ejecución y liquidación presupuestaria del

Ministerio.

j) Realizar la evaluación de los sistemas de procesamiento electrónico de

información del Ministerio y de la información producida por tales sistemas, de

acuerdo con disposiciones generalmente aceptadas.”

3.2.5 Organización

67


La organización de la Dirección General de Auditoría Interna fue aprobada por el Ministerio de

Planificación y Política Económica en diciembre de 1989, conforme ésta se distingue la

Dirección General y dos áreas funcionales: Administración Tributaria y Administrativa

Financiera

En concordancia con la organización del Ministerio, el Area de Auditoría de Administración

Tributaria, le corresponde al Area de Ingresos, donde se ubican las siguientes dependencias:

Despacho del Viceministro de Ingresos

Dirección General de Aduanas

Dirección General de Tributación

Dirección General de Hacienda

Policía de Control Fiscal.

Tribunal Fiscal Administrativo

Tribunal Aduanero Nacional.

Por su parte, el Area de Auditoría Administrativa Financiera atiende el Area de Egresos, que

comprende las siguientes dependencias:

Despacho del Ministro

Despacho del Viceministro de Egresos

Oficinas Asesoras

Oficialía Mayor

Dirección General Administrativa y Financiera

Dirección Jurídica

Dirección General de Informática

Dirección de Crédito Público

Dirección General de Presupuesto Nacional

Contabilidad Nacional

Tesorería Nacional

Proveeduría Nacional.

La estructura funcional de la Dirección General de Auditoría Interna se presenta a continuación:

DIRECCIONGENERA

L

AREA DE AUDITORIA

ADMINISTRACIÓN TRIBUTARIA

AREA DE AUDITORIA ADMINISTRATIVA

FINANCIERA

ESTRUCTURA FUNCIONAL DE LA DIRECCIÓN GENERAL DE AUDITORÍA INTERNA- MINISTERIO DE HACIENDA

A julio 2001

68


3.2.6 Recursos Humanos

La Dirección General de Auditoría Interna cuenta con una plantilla de 18 cargos, según se

muestra en el siguiente cuadro.

CUADRO No. 4

CARGOS DE LA DIRECCION GENERAL DE AUDITORIA INTERNA

A JULIO 2001

Cargo

Cargos Ocupados Cargos vacantes

Total

Director General de Auditoría Interna 1 0 1

Subdirector General de Auditoría Interna 1 0 1

Coordinador General de Auditoría Interna 1 1 2

Auditor Encargado 4 2 6

Auditor 3 1 4

Informático de Auditoría Interna 0 2 2

69


Cargo

Cargos Ocupados Cargos vacantes

Total

Técnico de Auditoría Interna 1 0 1

Asistente Administrativo de Auditoría Interna 1 0 1

Total 12 6 18

Fuente: Manual de Cargos de la Dirección General de Auditoría Interna. Agosto 1999 e información sobre su

ocupación suministrado por la Unidad Técnica de Recursos Humanos.

Conforme lo expuesto en el cuadro anterior, en este momento se cuenta con 12 funcionarios,

por lo que se tienen 6 puestos vacantes, de los cuales 2 corresponden a bachilleres en el área

de informática o computación y los otros 4 son del área de administración. Además se nos

informó que de los 12 actuales, 7 están en propiedad y 5 interinos, lo que significa que deben

sacarse a concurso un total de 11 puestos.

De acuerdo con el Manual Institucional de Clases de la Dirección General de Auditoría Interna,

como requisito específico de capacitación para los cargos de Coordinador General, Auditor

Encargado, Informático de Auditoría Interna y Auditor se establece la auditoría de sistemas.

No obstante lo indicado, de los funcionarios actuales sólo un Auditor Encargado ha recibido

capacitación en auditoría de sistemas por parte del Ministerio y el Coordinador General obtuvo

por sus propios medios la Maestría en Auditoría de Procesamiento Electrónico de Datos.

3.3 PROPUESTA DE ORGANIZACIÓN y REQUERIMIENTOS DE RECURSOS

HUMANOS

A continuación se presenta la propuesta de organización de la Auditoría de TI para el

Ministerio, visualizada de conformidad con lo ya planteado en cuanto al modelo metodológico

operativo y atendiendo lo que sería una primera etapa en el desarrollo de función.

La propuesta distingue el nivel institucional, es decir, el planteamiento sobre la ubicación de la

Auditoría de TI como parte de la estructura orgánica del Ministerio, y por otra parte, la

organización para la unidad que asumirá el desarrollo de estas competencias

70


3.3.1 Organización de la Auditoría de TI

A nivel institucional

De conformidad con la normativa vigente, la naturaleza de las funciones y la estructura

orgánica del Ministerio, es indudable que el desarrollo de las competencias en cuanto a la

Auditoría de TI corresponde a la Dirección General de Auditoría Interna.

Al respecto es preciso recordar que por la naturaleza de la función de auditoría, uno de sus

principios fundamentales es la independencia y objetividad de criterio para lo cual resulta

conveniente que no pertenezca a la unidad responsable de establecer los controles. En ese

sentido, resulta ilustrativo lo indicado por José María González:

“La función de Control Informático Independiente debería ser en primer lugar

independiente del departamento controlado. Ya que “ por segregación de funciones

la informática no debería controlarse a sí misma”. Partiendo de la base de un

concepto en que la seguridad de sistemas abarca un campo mucho mayor de lo

que es la seguridad lógica, podríamos decir que:

-El Area Informática monta los procesos informáticos seguros.

-El control interno monta los controles.

-La Auditoría Informática evalúa el grado de control”10:

De acuerdo con lo expuesto, existen claras diferencias entre las funciones de control

informático y las de auditoría informática (Auditoría de TI para nuestros efectos).

En concordancia con lo indicado, es ilustrativa la siguiente afirmación del tratadista Rafael

Ruano Diez:

“Esta concepción se basa en el nacimiento histórico de la auditoría informática y

en la dificultad de separar el elemento informático de lo que es la auditoría

10 González, Z. José María. Metodologías de Control Interno, Seguridad y Auditoría Informática. En Piattini, Mario y del Peso Emilio. Op cit. Pag. 68

71


operativa y financiera, al igual que lo es separar la operativa de una empresa de

los sistemas de información que la soportan” 11

Finalmente debemos tener presente que la normativa de la Contraloría General de la República

es de acatamiento obligatorio, y lo prescrito en ese particular es congruente con lo propuesto.

A nivel interno

Habiéndose establecido la Auditoría de TI en la Dirección General de Auditoría Interna, es

preciso plantearnos como se integra esta función dentro de la estructura funcional de dicha

Dirección.

La definición de una propuesta sobre este particular no es tan simple, especialmente por la ya

expuesta dificultad de separar en muchos casos la auditoría de sistemas de la auditoría

operacional, así como por la concepción general de la estructura funcional actual, orientada por

el concepto de auditoría integral.

Con el propósito de llegar a un planteamiento específico congruente con el enfoque

metodológico propuesto en el capítulo anterior, a continuación se precisan las consideraciones

que estimamos son el fundamento para la propuesta a presentar:

El modelo metodológico clasifica los objetivos de control en cuatro dominios

funcionales: Planeación y Organización, Adquisición e Implementación, Entrega de

Servicios y Soporte, y Monitoreo.

En virtud del conocimiento del negocio que logran los auditores ubicados en las

áreas funcionales de Administración Tributaria y Administrativa Financiera, la evaluación

de los procesos relacionados con el desarrollo de sistemas de información así como la

evaluación de sistemas en operación, ubicados en los dominios Adquisición e

Implementación y en el de Entrega de Servicios y Soporte, respectivamente, resulta

conveniente que sean atendidos por los auditores de las respectivas áreas funcionales.

11 Ruano Diez, Rafael. Organización del Departamento de Auditoría Informática. Pag 109. En Piattini, Mario y del Peso Emilio. Op cit.

72


La necesidad de especialización, en un campo en el que mantenerse al día con los

avances de la tecnología demanda dedicación y esfuerzos cada vez mayores. Si se

quiere tener capacidad de generar valor agregado en cada una de las evaluaciones,

deberá tenerse suficiente conocimiento técnico y una actitud de adecuación a los

cambios cada vez más acelerados en el campo de la TI.

La conveniencia de que la gestión de TI sea evaluada con una visión integral y no solo

de las áreas funcionales (Administración Tributaria y Administrativa Financiera). En ese

mismo sentido, algunas tareas de la gestión de la TI, como la planeación estratégica y

ciertos servicios específicos como correo electrónico, página web, herramientas

colaborativas, etc, tienen una naturaleza institucional.

La necesidad de que la misma Dirección cuente con un apoyo técnico para la gestión

de la informática en auditoría, es decir, para el soporte y potenciación del uso de las

herramientas informáticas que se introduzcan en apoyo a la labor de la auditoría y la

administración de los recursos disponibles.

En ese sentido se propone la creación de una tercera área funcional denominada Area de

Auditoría de Tecnología de la Información, que será la responsable de atender las funciones y

responsabilidades propias de esta función de conformidad con el modelo operativo

metodológico ya presentado.

Adicionalmente, se recomienda que la evaluación de sistemas en operación corresponda a las

áreas funcionales según el sistema de que se trate, debiendo también preverse que para la

asesoría al desarrollo de sistemas se puedan conformar equipos integrados por funcionarios

del área específica y del área de Auditoría de TI. Para efectos de la conformación de estos

equipos y asignar la responsabilidad del liderazgo de los mismos se debería considerar la

naturaleza del sistema involucrado, entendiendo que en la medida en que sea un sistema de

ámbito institucional será conveniente que el liderazgo corresponda al funcionario del Area de

Auditoría de TI.

Lo propuesto implicaría que los auditores de las áreas de Administración Tributaria y

Administrativa Financiera deberán tener conocimientos en materia de auditoría de la TI, que les

permita desarrollar sus funciones y trabajar en el entorno de las tecnologías de la información

73


dentro de la institución. Los integrantes del Area de Auditoría de TI tendrían con respecto a

éstos una función de apoyo y actualización.

A continuación se visualiza la organización de la Dirección General de Auditoría Interna de

conformidad con la propuesta presentada.

DIRECCIONGENERA

L

AREA DE AUDITORIA

ADMINISTRACIÓN TRIBUTARIA

AREA DE AUDITORIA ADMINISTRATIVA

FINANCIERA

ESTRUCTURA FUNCIONAL PROPUESTA PARA LA DIRECCIÓN GENERAL DE AUDITORÍA INTERNA- MINISTERIO DE

HACIENDA

AREA DE AUDITORIA DE

TECNOLOGÍA DE LA INFORMACION

74


3.3.2 Recursos Humanos

La determinación de una plantilla ideal para un departamento específico plantea retos muy

importantes, cuya atención demanda esfuerzos de orden técnico que exceden nuestras

posibilidades. En efecto, definir la cantidad ideal de funcionarios que debería tener el Area de

Auditoría de TI, implicaría realizar un estudio de cargas de trabajo que supera nuestras

capacidades técnicas y los objetivos mismos de esta investigación, requiriendo para ello

además valorar y profundizar en aspectos como los siguientes:

Ambiente de control de la institución.

Sistemas de información en operación y en desarrollo y una proyección de los mismos.

Situación de otras instituciones públicas.

Capacitación y experiencia de los auditores de las otras áreas de la auditoría.

Rendimientos o medidas de productividad promedio de los auditores.

Disponibilidad de herramientas automatizadas para llevar a cabo las auditorías.

Requerimientos de apoyo técnico para la adecuada utilización de la TI en la auditoría.

Posibilidad de contratación externa de servicios de Auditoría de TI.

Políticas de Gobierno y disposiciones internas en cuanto a creación de plazas.

Una adecuada valoración de todos estos elementos excede nuestras posibilidades. Con el

propósito de plantear una propuesta lo más razonable posible con la información disponible a la

fecha, independientemente de que la misma pueda ser ajustada en la medida en que se

disponga de elementos adicionales, a partir de los siguientes elementos se presentará un

planteamiento:

75


Situación de las instituciones consideradas en el diagnóstico en cuanto a la

relación auditores de TI con respecto al total de la auditoría interna: Compañía

Nacional de Fuerza y Luz 8 de 19 puestos, Banco Central de Costa Rica 8 de

30, Banco Nacional 6 de 76.

Disponibilidad de dos plazas de Profesional Informático de Auditoría Interna

actualmente vacantes en la DGAI.

Restricciones institucionales para la creación de plazas.

Capacitación de todos los funcionarios de las dos áreas funcionales en

Auditoría de TI en temas como: Metodologías para el desarrollo de sistemas,

COBIT, Auditoría de sistemas, Administración del Riesgo, los sistemas

informáticos en operación.

Utilización de herramientas de software tanto para administrar los recursos

como para la realización de auditorías y la adquisición de la herramienta COBIT

tanto para la Administración como para la Auditoría Interna.

Posibilidad de contratación externa.

Considerando los anteriores elementos se propone que la nueva área cuente con los siguientes

recursos:

Un Coordinador General para el Area de Auditoría de TI: Informático con capacitación

y experiencia en auditoría informática y en administración.

2 auditores de TI, Informáticos con capacitación en Administración y en Auditoría de TI.

La propuesta planteada requeriría únicamente la creación o asignación de una plaza, lo

cual se estima factible dentro de las políticas actuales.

76

Capítulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditoría

CAPITULO 4

PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA

En el presente capítulo pretendemos ofrecer un panorama sobre las diferentes herramientas

computadorizadas que se pueden utilizar en apoyo a la función de auditoría de la TI y a la

auditoría en general. Para ello se consideran herramientas informáticas de apoyo a la

administración de la auditoría así como para la auditoría informática.

Asimismo, se establecerá una primera orientación sobre las mejores opciones, planteando

algunos elementos a tomar en consideración en la selección de estas herramientas, en el

entendido que corresponderá a las autoridades respectivas, en su oportunidad, tomar las

respectivas decisiones.

4.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA

AUDITORÍA

Las herramientas computadorizadas de apoyo a la auditoría se suelen clasificar en dos

categorías genéricas, a saber: técnicas y herramientas, de ahí el nombre genérico de CAATTs,

por sus siglas en inglés “Computer Assisted Auditor Technics and Tools”.

En ese sentido, sin pretender ser exhaustivo, como ejemplos de ambas categorías tenemos:

Técnicas: extracción y análisis de datos, detección de fraude, monitoreo continuo,

valoración de la seguridad de la red, control de comercio electrónico, evaluación del

control interno y papeles de trabajo automatizados.

Herramientas: procesadores de texto, hojas electrónicas, software especializado de

auditoría, correo electrónico, diagramas de flujo, bases de datos, administración de

datos y groupware, administración de la auditoría y administración de riesgo.

77


La utilización de las herramientas y técnicas computadorizadas resulta hoy en día casi

inevitable en cualquier campo, en el caso particular de la Auditoría de TI se suele justificar en

virtud de diferentes beneficios o ventajas que se generan con su utilización, destacando las

siguientes:

Reducción de costos

Incremento de la cobertura: más con los mismos recursos

Facilidad de acceso a los datos y manipulación o análisis de los mismos.

Promueven la integración de las diferentes herramientas del auditor

Fortalecen la credibilidad de la auditoría

Mejoras en la administración de la experiencia y conocimiento acumulativo de los

auditores y evaluadores.

En el caso de la Auditoría de TI, la utilización de estas herramientas y técnicas resulta

imprescindible, ya que muchos de los análisis requeridos para evaluar los sistemas y las bases

de datos resultarían imposibles en caso de no contarse con herramientas especializadas.

Por otra parte, reconociendo las limitaciones para la contratación de personal dentro del sector

público, se requiere elevar la productividad de los funcionarios mediante la utilización de este

tipo de herramientas y técnicas, para lograr el cumplimiento de los objetivos de la auditoría.

4.2 HERRAMIENTAS INFORMÁTICAS DE APOYO A ADMINISTRACIÓN DE LA

AUDITORIA

La administración de la auditoría se preocupa de dirigir los recursos de la auditoría para lograr

el mayor beneficio para la organización, promoviendo el respeto a las leyes, regulaciones y

políticas. Esto involucra un proceso administrativo que conlleva diversas actividades que van

desde el análisis de riesgos, planeación, seguimiento de las auditorías actuales, asignación y

dirección del personal, y comunicación eficaz con los clientes y la Administración Superior.

78


Atendiendo el enfoque de Charles H. Le Grand, 12las herramientas usadas por auditores como

apoyo a la administración pueden ser clasificadas como sigue:

Análisis de riesgo.

Inventario del universo de la auditoría

Planeación y asignación

Administración de proyectos y seguimiento de auditorías

Bases de datos del personal e inventario de herramientas

Biblioteca de referencia

Comunicaciones

Presentaciones

Seguimiento de resultados / hallazgos

Valoración de la satisfacción del cliente

Entrenamiento y educación

Internet

A continuación se presenta una breve descripción de cada una de las anteriores categorías.

a. Análisis de Riesgo

La decisión sobre el área y alcance de las auditorías debería fundamentarse en un análisis de

áreas que representan riesgos más grandes a la organización. Hay muchos acercamientos

para análisis de riesgo.

A veces los auditores se enfocan en el control del negocio y se desvían del hecho que el

control existe con el propósito de administrar los riesgos. A menudo los gerentes no piensan en

sus responsabilidades como administración en términos de control. En cambio, piensan en los

procesos y actividades que ellos administran y sobre cómo manejar riesgos.

En relación con lo anterior, una herramienta de comunicación importante para auditores es una

clara y entendida identificación y valoración de riesgos. Los gerentes entienden riesgos y

12 Le Grand, Charles H. Computer Assisted Audit Tools and Techniques. En www.theiia.org

79


pueden probablemente describir los riesgos más significantes que manejan. Un auditor puede

complementar la lista de los riesgos mediante preguntas acerca de los aspectos que saben que

usualmente andan mal.

La lista de riesgos proporcionada por la Administración y complementada por el auditor es el

primer elemento del análisis de riesgo. Los próximos pasos involucran la evaluación de las

probabilidades de exposición que son el resultado de los riesgos y los costos potenciales. Para

esto, un auditor puede usar herramientas tan simples como las hojas de cálculo o bases de

datos, o posiblemente puede optar para sistemas más complejos atados en un sistema de

administración de auditoría integrado.

Cualquiera que sea el acercamiento y las herramientas usadas, la valoración de riesgo del

auditor debe compartirse con la Administración y buscarse un acuerdo general para asegurar

una comunicación eficaz de los objetivos, prioridad y alcance de las auditorías.

b. Inventario del Universo de la Auditoría

Las prioridades y la disponibilidad de recursos de la auditoría determinan el alcance de

actividades de la auditoría. Probablemente la auditoría nunca dispondrá de recursos suficientes

para cubrir todas las actividades del sujeto a intervenir, por ello el inventario de áreas a ser

auditadas–y no auditadas– resulta importante a los efectos de la toma de decisiones.

El inventario del universo de la auditoría debe mostrar todas las áreas a ser cubiertas, y podría

incluir la siguiente información:

La prioridad y el criterio para determinar prioridad;

Ciclo de intervención (anual, cada tres años, etc.);

Historial de resultados de las auditorías;

Resumen de hallazgos de la auditoría, recomendaciones y seguimiento;

Los indicadores de riesgo importantes y naturaleza de riesgos (monetario, privacidad,

confidencialidad, disponibilidad, etc.);

Anotaciones especiales, instrucciones; etc.

80


El universo de la auditoría también puede estar sujeto al cambio, a veces a cambios

significativos. Por ejemplo, hace dos o tres años Internet y el comercio electrónico era un área

sin mayor importancia en el inventario de universo de auditoría–si es que se mencionaba-, hoy

es un tema de moda en algunos inventarios pero todavía no aparece en la lista de otros.

c. Planeación y asignación

La planeación de la auditoría tiene a la vez un carácter estratégico y táctico. La definición del

universo de la auditoría, prioridades para los auditores, y la disponibilidad de recursos de la

auditoría representan los insumos para la orientación estratégica de la auditoría. La

planificación táctica se realiza para cada proyecto de la auditoría.

Los factores de planificación estratégica son lógicos y logísticos. Por ejemplo, problemas con

métodos de desarrollo de sistemas, el control de cambios de programa, o controles de acceso

deberían ser analizados antes de involucrarse en desarrollo de los sistemas específicos o

revisiones de aplicaciones en operación. Las debilidades en áreas claves de control como la

administración de accesos y control de cambios también pueden impactar la fiabilidad de

cualquier información usada por auditores y el alcance y tiempo necesario para evaluar y

probar los controles.

Las herramientas del software pueden ayudar evaluando habilidades de los auditores

disponibles y asignando a las personas apropiadas para participar en los diferentes equipos del

proyecto. El software debe apoyar asignación de auditores con habilidades críticas para

determinado proyecto de auditoría. El software también debe evaluar los impactos de cambios

de horario y prioridades, así como extender el impacto de desbordamientos del horario a otros

proyectos

d. Administración de Proyectos y Supervisión de la Auditoría

La administración de proyectos y la supervisión de la auditoría proveen una retroalimentación

clave para la planeación y programación de las auditorías. El software de administración de

proyectos puede ser simple o muy sofisticado. Al menos debe permitir a la dirección de la

auditoría hacer el uso más eficiente de los recursos disponibles. Debe grabar e informar

cualquier variación de los planes y debe determinar los efectos en planes subsecuentes. El

81


software de administración de proyectos también puede proporcionar informes y gráficos para

ayudar en la toma de decisiones.

Algunos software de administración de proyectos son suficientemente poderosos como para

permitir la programación de todos los proyectos de auditoría y las subactividades, tanto

individualmente como colectivamente.

El software puede proporcionar reportes detallados o resumen con elementos como los

cuadros y gráficos ilustrativos de los impactos de retrasos o reprogramaciones en los planes de

la auditoría relacionados o subsecuentes.

Por supuesto que la operación y administración de tal software también tiende a requerir un

tiempo significativo, de manera que esto debe considerarse en la planeación y en la selección

de la dirección del proyecto.

Los auditores deben determinar si utilizan un software de administración de proyectos que se

use en otras funciones dentro de la organización. Esto puede proporcionar las ventajas en

apoyo y entrenamiento, y les puede dar movilidad dentro de la organización si tienen

experiencia con los sistemas de administración de proyectos usados en otras partes dentro de

la organización.

e. Base de Datos del Personal e Inventario de Herramientas

Una base de datos para el personal y el inventario de herramientas son elementos importantes

para la planeación y proyección propios de la administración de la auditoría.

Una base de datos de esta naturaleza puede facilitar la programación del entrenamiento y

experiencias necesitadas por auditores para su desarrollo profesional. También puede resaltar

áreas de debilidad dentro del personal que puede ser complementado por la contratación de

servicios externos.

f. Biblioteca de Referencia

82


Una biblioteca de referencia poderosa puede estructurarse en formato electrónico y estar

disponible para acceso local, portátil y/o remoto. Los recursos de información pueden incluir las

referencias de las asociaciones profesionales de auditores, normas de auditoría, folletos de

guía y otros trabajos de la referencia o textos.

Los requerimientos y pautas para las actividades de auditoría pueden estar disponibles en

formato electrónico, así como los manuales de referencia mantenidos por productos técnicos

disponibles por parte de los vendedores comerciales.

Las políticas y procedimientos deben estar emigrando a, o ya pueden estar en formato

electrónico y disponible para el acceso por cualquier auditor que debe verificar procesos o otras

actividades contra las tales políticas y procedimientos. Los contratos, documentos legales y

cualquier otro cuerpo de volumen de papel voluminoso son candidatos buenos para la

migración al formato electrónico. La tecnología para crear y reproducir CD ROMs está

disponible y es relativamente barata.

Deben proporcionarse las formas, formatos, plantillas y cualquier otro artículo que pueden

simplificar o pueden disminuir esfuerzo del auditor individual en una biblioteca normal y tendrá

el beneficio agregado de facilitar a todos los auditores del equipo las versiones más actuales.

g. Comunicaciones y Administración del Conocimiento

Las comunicaciones son importantes tanto dentro de la auditoría como con las áreas de la

administración atendidas por ésta. Herramientas de comunicación como groupware, el acceso

remoto a los sistemas, servicios de correo electrónico y traslado electrónico de archivos, han

mejorado significativamente la actuación de la auditoría. Pueden compartirse papeles de

trabajo de auditoría, hallazgos, borradores del informe y otra información seleccionada para

permitirles a gerentes de la auditoría inspeccionar trabajo en marcha y proporcionar

retroalimentación inmediata.

Los auditores pueden acostumbrarse a comunicaciones electrónicas para compartir resultados

de auditorías en marcha con el propósito de reducir las sorpresas al final de la auditoría. Esto

puede permitir a la dirección tomar acciones correctivas más oportunas y responder a las

recomendaciones más rápidamente. El resultado puede ser la preparación más temprana y

83


descargo de informes de la auditoría. Y los informes pueden ser más positivos cuando ellos

informan progreso en lugar de considerar sólo los problemas.

h. Presentación

Las herramientas de la presentación tienen tremenda funcionalidad ahora y están ganando un

grado de sofisticación que puede proporcionar comunicación clara y poderosa de los resultados

de la auditoría.

Es relativamente fácil de empotrar mapas electrónicamente, gráficos, cuadros e incluso videos

en los archivos de trabajos de auditoría y en las presentaciones. Las presentaciones pueden

entregarse personalmente o vía email o mediante transferencia de archivos. El software para

las presentaciones puede proporcionar consistencia en calidad y puede agregarse al

profesionalismo global de la función de la auditoría.

Una herramienta de la presentación importante que gana popularidad con auditores es la

página web de la auditoría. Bien sea vía Internet o intranet, la página web de la auditoría puede

ser una valiosa fuente para las relaciones públicas, recopilando o anunciando información

como horarios de la auditoría, reuniones, u otros eventos. En el futuro, las páginas web de

auditoría pueden mantener una fuente segura casi para cualquier comunicación o presentación

de la auditoría.

i. Seguimiento de Resultados y Hallazgos

Cuando se implementan las recomendaciones de la auditoría las organizaciones pueden ganar

fortaleciendo los controles internos, mejorando en economía, eficacia, u otras mejoras que

puede ser medidas y pueden informarse a la administración superior como beneficios

derivados de los servicios de la auditoría. Dependiendo de la cultura de la organización esto

pueden tomar la forma de un "valor-agregado" durante el proceso del presupuesto, o

simplemente podría ser testimonios de ejecutivos en la organización que recibió el beneficio de

mejoras.

Hay también por supuesto el lado negativo del seguimiento de resultados: cuando los cambios

no se llevan a cabo como se prometió y los auditores tienen que volver para investigar las

84


circunstancias. Hasta que los resultados de hallazgos estén resueltos deben permanecer en la

lista de seguimiento.

j. Valoración de la Satisfacción del Cliente

Los auditores hoy están debidamente interesados sobre la efectividad, calidad, y

profesionalismo en su trabajo, y continuamente mejorando su imagen profesional. La

retroalimentación de las áreas y las personas atendidas son un elemento importante de

administración de la calidad. Muchos grupos de auditoría piden manifestaciones formales de

sus clientes acerca del profesionalismo y valor de la auditoría y la actuación de auditores

individuales.

El software de satisfacción de cliente debe mantener una base de datos de respuestas del

cliente y debe permitir la comparación de cualquier auditoría o actuación del auditor contra los

niveles establecidos. Sin embargo, también debe tenerse el cuidado en considerar la

retroalimentación del cliente porque algunas de las funciones de la auditoría más importantes

no pueden ser en absoluto populares con los clientes de la auditoría.

k. Entrenamiento y Educación

El entrenamiento basado en computadora se presenta de muchas formas, desde las funciones

de ayuda hasta programas completos de entrenamiento e incluyen pruebas y retroalimentación.

En algunos casos es posible obtener educación de nivel universitario reconocido e incluso

ganar un grado usando programas de entrenamiento proporcionados vía el Internet. Cada

organización de auditoría debe evaluar las necesidades y disponibilidad de entrenamiento

basado en computadoras, considerando, entre otros criterios, la eficacia con que el auditor usa

y aplica tales herramientas de entrenamiento.

l. Internet

Además de los usos de Internet descritos con anterioridad, los auditores están encontrando

que la "red" es una tremenda fuente de información disponible, en cualquier tiempo y lugar. Los

“buscadores de Internet” permiten encontrar información sobre cualquier tema. De hecho, es

85


fácil de conseguir demasiada información y no bastantes respuestas en la red y está resultando

clave el tener herramientas fuertes de rastreo y búsqueda de información importante.

Los auditores también pueden usar una página web para proporcionar un sistema de

información ejecutivo continuamente disponible. Tal uso de la página web involucrará un

compromiso significativo de recursos y sólo debe emprenderse con una comprensión clara de

los costos esperados así como de los beneficios.

Las listas de correo electrónico y los grupos de discusión proporcionan un método fácil para

mandar por correo preguntas o información a un grupo grande a través del uso de comandos y

órdenes relativamente simples.

El uso de Internet también cambia rápidamente, de manera que el conocimiento y habilidades

en éste tópico resultan muy valiosos para la planeación y realización de las auditorías. El

comercio electrónico en la red está creciendo rápidamente y ello también presenta muchos

nuevos riesgos a una organización.

4.2.1 Algunos Ejemplos de Herramientas Computadorizadas de Apoyo a la

Administración de la Auditoría.

A continuación se presenta una breve caracterización de una muestra de herramientas

computadorizadas de apoyo a la administración de la auditoría. Se han considerado aquellas

que a nuestro criterio son más conocidas en nuestro medio y que potencialmente pueden

resultar de interés para la Auditoría de TI en el Ministerio. Complementariamente, en el Anexo

2 se presenta información sobre proveedores y direcciones.

Audit Builder V.2

Permite a las empresas implementar o mejorar la ejecución de la auditoría en múltiples

localidades, o implementar la Auto evaluación de Riesgos y Controles (CRSA). Permite

construir modelos estándar diseñados a la medida de los riesgos y controles de cada proceso

de la organización.

86


El sistema permite la Auditoría Integral (Financiera, Operacional, de Sistemas, etc), con

programas de auditoría paso a paso, o mediante el enfoque basado en la administración del

riesgo. y la captura y administración de la experiencia y conocimientos acumulados de los

auditores a través del tiempo y su mejoramiento continuo.

Entre las ventajas que ofrece destacan: facilidad para la toma de decisiones, estandarización

de las evaluaciones y auditorias, mejorar la administración de la experiencia y conocimiento

acumulativo de los auditores.

AuditJob

AuditJob le permite guardar los archivos electrónicamente para cada trabajo de la auditoría en

un joblet que contienen tres tipos de objetos que corresponden a estos archivos - un archivo,

una copia dura o un paso. Un objeto puede ser un artículo en un programa de la auditoría o en

un checklist.

El beneficio inmediato está en la eliminación de muchos papeles de trabajo y los problemas de

transportarlos y guardarlos. AuditJob introduce plantillas estándar, programas de trabajo de

auditoría, y listas del chequeo a muy poco costo. También le permite al usuario adoptar un

nuevo estilo de trabajo electrónico, mediante la revisión electrónica de los papeles de trabajo y

crear en línea un archivo centralizado de papeles de trabajo.

Audit. Masterplan

El Audit Masterplan (AMP)es científicamente un diseño de cómputo basado en la valoración de

riesgo, planificación y sistemas de trabajo de los auditores internos, desarrollado bajo el

auspicio del Instituto Internacional de Auditores Internos para lograr un cumplimiento

satisfactorio de los objetivos de la auditoría. Este ha sido usado con éxito por centenares de

profesionales de auditoría interna a lo largo del mundo.

Puede ayudarle a hacer un uso más eficaz de los recursos escasos - tiempo, dinero y personal.

Una vez que usted identifica las unidades auditables y define factores de riesgo importantes, el

AMP va a trabajar para usted. El AMP ayuda en el enfoque de las áreas de alto-riesgo, los

87


costos de la auditoría y otros recursos, y le ayuda a un alto desarrollo de la calidad, y planea

una cobertura de auditoría defendible para la presentación a la alta dirección.

Audit Sentry

Audit Sentry es un sistema de administración de la información, desarrollado por un equipo de

auditores internos expertos para apoyar el proceso completo de la auditoría, desde la

planeación, la ejecución del trabajo el seguimiento de los resultados.

Ayuda a crear un esquema de información global que abarca un sistema de administración de

la información compartido dentro de un ambiente del workstation. Es un sistema basado en

Lotus Notes.

Audit Sentry provee las herramientas efectivas de la administración del riesgo, ahorra tiempo

y elimina redundancias, mejora la utilización de recursos del personal de auditoría, y mantiene

a todos enfocados en los mismos objetivos y procedimientos.

GESIA 2000

GESIA es una herramienta integral para la realización, gestión y control de trabajos de

auditoría. Destaca por su sencillez y conectividad con otros programas, permitiendo a los

responsables de la firma de auditoría, realizar un control permanente y global sobre los papeles

de trabajo. Asimismo, permite mejorar la organización, por cuanto:

Normaliza papeles y referencias de trabajo.

Sistematiza la labor del auditor.

Modela los trabajos por tipos y sectores.

Prepara auditorias recurrentes.

Respecto a las mejoras que introduce a la gestión:

Introducción de cuentas y saldos.

Preparación y emisión de cédulas de trabajo.

Ajustes y reclasificaciones propuestos.

Sencilla navegación a través de todos sus módulos.

Inclusión de comentarios y conclusiones.

88


Más de 70 listados diseñados (Cuentas, Financiación, etc.).

Facilita el control del grado de avance de los trabajos, del cumplimiento de la programación y

de la calidad de los procedimientos aplicados

Una de las características principales de GESIA 2000 es su flexibilidad tanto para adaptarlo a

la metodología y sistemas de organización de cada firma o despacho de auditoría, como para

cada trabajo o sector auditado. El módulo de Intercambio de Datos, permite la transferencia

entre sí, de cualquier tipo de información introducida en los ficheros de trabajo de GESIA 2000.

Los objetivos de este módulo opcional de Intercambio de Datos pueden resumirse en los

siguientes:

Permitir la transferencia de estructuras contables (Cuentas, Cuentas Anuales, Estados

Financieros, Ajustes y Reclasificaciones, Cédulas Contables, Origen y Aplicación de Fondos)

así como parametrización, textos o comentarios (Personal, Grupos, Areas, Archivos y

Carpetas, Referencias, Guías, Referencias de documentación), para su utilización y/o

incorporación a otras auditorías, evitando así la repetición de tareas.

Facilitar la elaboración de Masters sectoriales, al poder transferir de diferentes auditorías o

Masters, cualquier tipo de información introducida respecto a parametrizaciones, estructuras

contables, Referencias Guías y Documentación.

Gestión Procesos Auditoría (GPA).

GPA es un sistema que automatiza los flujos de trabajo y los documentos que intervienen en el

Proceso de Auditoría. En su diseño se han contemplado todos los componentes necesarios

para llevar a cabo la labor de auditoría y su estructura está basada en tres pilares: El

Conocimiento del Area, El Proceso de Auditoría y las Herramientas de Análisis e Información.

Módulos de GPA:

Universo Auditable.

89


Se establece un inventario completo de las auditorías que se pueden realizar definiendo las

áreas en las que se divide la empresa para efectos de los estudios de Auditoría y los tipos de

Auditorías.

Criterios

Fuentes de los criterios utilizados para sustentar el trabajo de Auditoría estableciendo un índice

de criterios por fuente e índice de criterios por tema.

Formularios de Gestión

Módulo que permite crear modelos de papeles de trabajo, modelos de observaciones

(debilidades, hallazgos, etc.) modelos de informes, modelos de notas al auditado, modelos de

cartas, memorandos, anexos, etc.

Recurso Humano

Perfil actualizado de los Auditores. Registro del conocimiento que posee y que va adquiriendo

cada auditor (estudios formales y empíricos, etc), Experiencias de trabajo (experiencia sobre

cada intervención del auditor).

Planificación

Elaboración de planes para cualquier período de tiempo. Análisis de riesgos y presupuesto de

los recursos y su asignación a los diferentes estudios. Programación y ajustes a los programas

de trabajo.

Ejecución

Preparación de papeles de trabajo, actualización de la Agenda, desarrollo de los programas de

trabajo y preparación y revisión de informes internos.

Comunicación

Permite de forma visual y electrónica el manejo, control y seguimiento de todas las notas

emitidas y recibidas por la auditoría. Control absoluto de las notas pendientes. Asegura el

control sobre el cumplimiento de las recomendaciones giradas por la Unidad de Auditoría.

90


Análisis de la Gestión

Indices de gestión, índices de costos, índices de debilidades e índices del comportamiento

histórico de las unidades administrativas. Informes gerenciales y otros.

Algunos de los beneficios derivados que se obtienen del uso de este software de auditoría son

los siguientes:

Elaborar planes y programas de auditoría en forma electrónica y colaborativa, lo cual a su

vez permitirá que éstos se puedan mejorar y estandarizar.

Crear, mantener e identificar en forma oportuna los criterios internos y externos de auditoría

relacionados con las leyes, normas, políticas y procedimientos existentes.

Mantener un inventario de los recursos humanos (auditores), tiempo disponible y recursos

materiales con que cuenta la Unidad de Auditoría, que conlleve una mejor asignación de las

labores o funciones de auditoría. A su vez, facilita la evaluación y definición de necesidades de

éstos recursos.

Establece la Gerencia del Conocimiento o “Knowledge Managment” dentro del

departamento de Auditoría permitiendo que la experiencia y el conocimiento de sus personas

permanezca dentro de la empresa.

Permite tener una perspectiva completa sobre las auditorías por efectuar y sobre las que se

están llevando a cabo.

Consulta rápida y efectiva del archivo permanente.

Ejecutar en forma colaborativa o aislada las tareas definidas para cumplir con los

programas de trabajo.

Controlar el avance de las auditorías en ejecución.

Supervisión efectiva y oportuna sobre los estudios de auditoría que se estén ejecutando.

91


Facilitar la emisión de informes de auditoría, tomando como base los papeles de trabajo

electrónicos generados durante la ejecución.

Administración segura y centralizada de papeles de trabajo en Bases de Datos orientadas

al manejo de documentos, imágenes, sonido y vídeo.

Permite llevar un seguimiento efectivo de todas las recomendaciones emitidas por la

Auditoría.

Risk Advisor 99

Permite estructurar la administración de los riesgos específicos de cada organización y/o

procesos críticos por sus facilidades para identificar los riesgos en el contexto estratégico y con

base en las fuentes de riesgo y áreas de impacto.

Aplica un esquema de administración del riesgo consistente con la Norma 4360 de Nueva

Zelanda/Australia sobre Administración del Riesgo.

La norma indicada mantiene una guía para el establecimiento y aplicación del proceso de

administración del riesgo que involucra la identificación, análisis, valoración, tratamiento, y la

supervisión continua de los riesgos.

Es genérico e independiente de cualquier industria específica o sector económico. Recomienda

el acercamiento que debe ser considerado a cada paso del ciclo de vida y dirección de riesgo,

pero deja cada negocio para desarrollar maneras pragmáticas de aplicar el ciclo de vida dentro

de sus condiciones actuales.

Risk Advisor 1999 proporciona al usuario:

La administración del riesgo consistente con la norma AS/NZ 4360:1999.

Administración de riesgo a través de la habilidad del usuario para definir la estrategia

organizacional en el contexto de la dirección de riesgo específico para la organización.

La identificación de la matriz específica de riesgo en el contexto de la estrategia.

La consolidación y dirección de planes de acción y supervisión en una sola base de

datos.

92


La evaluación del tratamiento y controles cuantitativos a través de la frecuencia,

consecuencia y análisis de efectividad.

Un retrato visual de riesgo a través del graficación en línea.

Informes de alta calidad conforme con los requisitos comerciales individuales.

Provee un marco reconocido para implementar el manejo del riesgo.

Proporciona la clasificación de la dirección de riesgo.

Permite que los riesgos y controles sean exportados e importados entre las revisiones

diferentes.

Proporciona la documentación para cada fase del proceso de dirección de riesgo.

Es fácil al usar y navegar

Proporciona una interface paso a paso.

Proporciona un solo almacén de los datos.

Tiene ayuda en línea.

Genera de documentos soportados en Microsoft Word.

4.3 HERRAMIENTAS INFORMÁTICAS DE APOYO FUNCION DE AUDITORIA DE TI

A continuación se presentan los principales usos de herramientas computadorizadas como

apoyo a la función de auditoría.

a. Papeles de Trabajo electrónicos

La habilidad de requerir formas de la auditoría regularizadas y formatos puede mejorar la

calidad y consistencia de los papeles de trabajo de auditoría. La administración de trabajos

actuales o archivados en un archivo o base de datos central puede hacer más fácil para la

administración de la auditoría la coordinación de las auditorías coexistentes y asegurar los

hallazgos de los proyectos relacionados.

Los sistemas expertos proporcionan una oportunidad de agregar mayor apoyo y funcionalidad

para las herramientas de papeles de trabajo de auditoría. Por ejemplo, un sistema experto

puede evaluar respuestas a una encuesta y automáticamente puede generar links a las

preguntas relacionadas adicionales. Los sistemas expertos también pueden buscar patrones en

información, hallazgos, recomendaciones o de auditorías coexistentes anteriores y

93


proporcionan informes que indican las áreas potenciales relacionadas o las áreas sistémicas

del problema.

Como las herramientas de papeles de trabajo de auditoría proporcionan la habilidad de incluir

información de soporte además de texto o números - como cuadros, sonido, video, etc., los

métodos para organizar y proporcionar acceso a tal información deben adaptar a tal situación.

En el futuro, los auditores podrán encontrar que las cantidades significantes de información

necesitadas en revisiones de la auditoría pueden existir en formas diferentes del texto,

números o caracteres gráficos.

b. Recuperación de información y análisis

Históricamente los auditores han confiado en muestras de transacciones para realizar sus

pruebas. Ahora, con el uso de recuperación automatizada y herramientas del análisis, es

normalmente más fácil evaluar todos los archivos que evaluar una muestra. Más allá, los

auditores pueden poner parámetros en su software identificar todos los archivos que se

cumplen con determinado criterio de selección. La selección completa de archivos con

determinado tipo de error conocido puede eliminar el problema de "estimar" las proporciones

del error. En cambio, el análisis del error puede enfocarse en esos archivos con datos que

están fuera del rango de transacción esperada pero todavía dentro de las limitaciones de

condiciones del error definidas.

Pueden aplicarse técnicas de muestreo a los archivos seleccionados del sistema de la

producción, o pueden seleccionarse todos los archivos de un determinado tipo o aplicarse una

selección más detallada en el proceso del análisis.

El criterio de selección puede basarse en auditorías anteriores, pero los auditores deben

aprovechar las oportunidades de mejorar la cobertura de la auditoría continuamente–sobre

todo si esto puede lograrse sin incrementos importantes en los costos. La selección

automatizada y las herramientas del análisis pueden facilitar mejoras, pero no asegurarán tales

mejoras automáticamente.

94


c. Software de recuperación y análisis

La recuperación de información y herramientas de análisis pueden presentar desafíos técnicos

importantes para los auditores en la medida en que la información sujeto a la auditoría pueda

residir en diversos sistemas distribuidos con diferentes grados de control y estandarización.

Pueden guardarse datos bajo el control de diferentes tipos de máquinas y sistemas operativos,

usando diferentes formatos; puede moverse por ambientes de las telecomunicaciones que

usan protocolos diferentes; puede guardarse o puede ser archivado por varios sistemas de

administración de bases de datos que usan campos de longitud fijos o variables o archivos y

sujeto a diferentes normas de bases de datos; e incluso puede residir en numerosas

ubicaciones físicas como en una base de datos distribuido o ambiente de datawarehouse.

Los datos particularmente sensibles pueden estar sólo disponibles en formato encriptado y

puede estar sujeto a las regulaciones gubernamentales con respecto a su transmisión,

almacenamiento, software de control, etc.

Muchos departamentos de auditoría usan a los especialistas técnicos para localizar y evaluar

fuentes de los datos y proporcionar las herramientas de software para extraer datos y

convertirlo en una forma que pueda ser usada por auditoría en las herramientas analíticas.

Como hay tantas formas y formatos para la información y tantos "normas" propietarias para el

almacenamiento de información, y como los ambientes de sistemas de información

frecuentemente cambian, puede ser necesario mantener especialización técnica significativa

entre los miembros de equipo de auditoría responsable para el software de recuperación de

información. Las personas con tal especialización pueden ser difíciles de reclutar o mantener, y

proporcionar entrenamiento al personal de auditoría para desarrollar tales habilidades pueden

hacerlos muy “apetecidos”.

En algunas organizaciones o industrias la información se almacena según normas

especificadas que frecuentemente no cambian, y pueden realizarse auditorías múltiples en

información en un formato común. En tales casos pueden mantenerse bibliotecas de los casos

de rutinas de recuperación de información, que pueden llamarse y ser ejecutadas por cualquier

auditor. En otras organizaciones la frecuencia de cambio puede ser mayor que la frecuencia de

95


auditorías y la preparación de rutinas de software de recuperación puede impedir el uso de

rutinas pre-programadas.

Una vez que la información es almacenada en una forma utilizable por las herramientas

analíticas de auditoría, los auditores con grados variantes de especialización técnica realmente

pueden realizar y repasar los resultados del análisis. Muchas herramientas de software de

oficina como las hojas de cálculo o bases de datos pueden accesar y analizar información

almacenada en un formato ODBC.

Algunas organizaciones de auditoría no sólo mantienen rutinas automatizadas para la

recuperación de información y análisis, sino que ellos despliegan tal software vía las

telecomunicaciones permitir revisiones de sistemas remotos sin el tiempo y gastos de viaje del

personal.

La acumulación de información sobre los datos comerciales encima de un periodo de tiempo

puede permitir al software del análisis identificar modelos, cambios, o tendencias en los datos

que indican cambios en el negocio, el ambiente comercial, la base del cliente, la economía, etc.

Esos patrones pueden ser importantes para la planificación de negocio y ventaja competitiva, y

puede ser realizado por grupos externos al equipo de auditoría. Sin embargo, si el análisis de la

auditoría reconoce tales modelos entonces los auditores pueden proporcionar una valiosa

contribución a la organización.

d. Tendencias en Recuperación de Información y Análisis

Una tendencia en recuperación y análisis de información por parte del auditor es incluir mayor

inteligencia en el software de auditoría o monitoreo incorporado en sistemas comerciales y

redes. Cuando los auditores identifican elementos de riesgo y desarrollan software para

descubrir errores o las transacciones sospechosas, o los modelos de los datos raros, resulta

relativamente simple incorporar esas pruebas en los sistemas de la producción. En tales casos,

los auditores pueden informarse poco después de errores o cambios en modelos de los datos.

Los auditores pueden visualizarse como usuarios de un sistema en desarrollo en la medida en

que identifican y plantean sus propios requerimientos en cuanto a la generación de interfases o

facilidades para obtener información. En lugar de funcionar como especialistas en control en el

96


equipo de diseño y desarrollo, ellos funcionan como cualquier otro usuario del sistema o

representante de una interfase del sistema. Los auditores especifican los criterios de selección

de registros y datos así como cualquier rasgo especial como la habilidad de modificar, extender

o suspender el monitoreo del sistema.

En el futuro, la lógica usada por auditores rastrear transacciones y eventos hacia delante y

hacia atrás dentro de los sistemas de la computadora, redes, y archivos será probablemente

incorporada en sistemas sensibles. Entonces transacciones sensibles que fluyen a través de

los sistemas pueden llevar con ellos información sobre la fuente de las transacciones y todas

las rutas tomadas a través de procesamiento, redes, o archivos. Tales "etiquetas de la

auditoría" serán muy útiles en el caso de transacciones monetarias como procesamiento de

pagos o transferencias de fondos y proporcionará la información para descubrir o detener

fraudes.

Con los costos decrecientes y las nuevas capacidades del procesamiento de información,

sistemas del almacenamiento y medios de comunicación, está resultando cada vez más

factible la captura y archivo de información sensible en los todos los puntos de entrada,

procesamiento, transferencia o almacenamiento. De esta forma se podrá dar seguimiento a los

cambios que se aplican a los datos a lo largo de su ciclo de vida. Así las apreciaciones de

integridad de información en el futuro podrían ser basadas en complejos análisis de los datos y

sustituir al análisis de control cuando se encuentran anomalías. Esto es lo opuesto de cómo se

aplican apreciaciones de la auditoría tradicional y pueden requerir alguna reingeniería del

proceso dentro de la profesión de auditoría.

e. Informes de auditoría

Algunas herramientas de auditoría hoy en día proporcionan vinculación automática entre

trabajo realizado, la información extraída, valoraciones del auditor, y la información utilizada o

de soporte a los informes de la auditoría. Los papeles de trabajo inteligentes pueden identificar

respuestas en encuestas de control interno que reflejan debilidades reales o potenciales y

automáticamente preparar una sección en el informe de la auditoría para documentar la

debilidad o resolución del problema.

97


Los software de apoyo a los reportes de auditoría también pueden proporcionar información

automáticamente sobre las secciones de auditorías realizadas por auditores individuales

conforme se van completando, de manera que el supervisor de la auditoría conocerá

permanentemente el estado de los proyectos de la auditoría. Tales reportes le permitirán al

supervisor concentrarse en procesos de la auditoría que indican problemas y/o proporcionar

recursos adicionales en áreas que se quedan atrasadas.

El informe de la auditoría puede contener links a los documentos de trabajo, hojas electrónicas,

gráficos u otra información que se pondrán al día automáticamente según cambien los datos.

Los archivos del informe pueden ser compartidos por miembros de equipo de auditoría y

dirección llevando a cabo controles simples como “accesos de solo lectura” para aquellos que

no estén autorizados para cambiar los archivos.

Los informes de auditoría pueden distribuirse en formato electrónico vía el email, transferencia

de archivos o una página web de la auditoría. En tales casos los auditores deben asegurarse

de contar con la seguridad apropiada, confidencialidad y controles de acceso a tales informes.

La tecnología de encriptamiento está desarrollándose rápidamente y se volverá el mecanismo

normal para garantizar la integridad del mensaje, y la autenticación del remitente y del receptor

así como del control de acceso.

f. Entrenamiento basado en computadores

El entrenamiento incorporado y rasgos de ayuda son incluidos en la mayoría las herramientas

de software de auditoría hoy en día. Muchos proveedores del software y otras organizaciones

ofrecen entrenamiento genérico y específico para el uso de herramientas del software. Pero el

entrenamiento basado en la computadora puede ampliar el ámbito de la auditoría así como de

las actividades objeto de auditoría y no debe ser limitado a las experiencias anteriores. El

entrenamiento puede ser informal y automotivado, o puede ser un elemento formal de

administración de la auditoría que proporciona retroalimentación al aprendiz y a la dirección.

En el contexto de entrenamiento basado en computadora como una herramienta de la

auditoría, es más probable que deba ser auto motivado. Puede limitarse por el tiempo y las

herramientas disponibles, la velocidad a la que las herramientas operan, o la energía e

imaginación del auditor. Por ejemplo, si los auditores no tienen acceso a internet entonces no

98


pueden utilizarla para buscar información. Si su camino de acceso es lento, entonces los

requisitos de tiempo pueden sobrepasar rápidamente el valor recibido y reducir el entusiasmo

del auditor por tal aprendizaje. Si los auditores de viaje no tienen acceso remoto a sus archivos

centrales o email, entonces ellos no pueden investigar la historia de la auditoría y no pueden

usar un servidor de la lista para buscar apoyo de otros ante un problema o pregunta.

Finalmente la dirección de la auditoría y por supuesto el presupuesto, determinará el juego de

las herramientas que se proporcione a los auditores, pero los auditores serán los que

determinen qué tan eficazmente se usen las herramientas. El entrenamiento deberá enfocarse

en cómo buscar y aprender nueva información y acercamientos, no sólo cómo realizar tareas

previamente definidas o usar facilidades del software disponible.

g. Seguimiento de tiempo

En algunos casos, puede ser posible utilizar los relojes internos del sistema para grabar el

tiempo que los auditores gastan usando sus computadoras y rastrear el tiempo dedicado a los

proyectos individuales. También puede ser pertinente grabar el tiempo y los recursos usados

por programas cuando ellos procesan para los propósitos de proyectos de la auditoría

específicos. Eventualmente los rastreos automatizados de recursos se volverán la norma, pero

hoy en día principalmente se utilizan para proporcionar insumos para el proceso de

administración.

Un sistema de administración de auditoría puede proporcionar un detallado y resumido análisis

de productividad y otros parámetros requeridos para lograr una eficiente administración de la

auditoría. El seguimiento del tiempo y su información pueden ser elementos del sistema de

administración de proyectos anteriormente descrito, y pueden usarse para evaluar el

desempeño, estimar requerimientos de tiempo por fijar y otras herramientas relacionadas para

su mejor utilización.

99


4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la función de

Auditoría de TI

A continuación se presenta una descripción general de algunas de herramientas

computadorizadas de apoyo a la función de auditoría. Se incluye una muestra de aquellas que,

a criterio de los autores, son las más utilizadas en nuestro medio y pueden ser de interés a los

efectos de la labor de la Auditoría de TI en el Ministerio. Como complemento a la información

que se presenta, en el Anexo 2 se incluye información sobre otras herramientas así como las

referencias generales de proveedores de las mismas.

ACL Para Windows

ACL para Windows es reconocido mundialmente como el líder en tecnología para el acceso y

análisis de datos y la generación de reportes. Permite convertir datos en información

significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su

organización.

ACL puede usarse eficazmente para:

Identificar tendencias, señalar excepciones y destacar áreas que requieren

atención

Localizar errores y fraudes potenciales, mediante la comparación y el análisis de

archivos según los criterios especificados por el usuario.

Volver a calcular y verificar saldos.

Identificar problemas de control y asegurar el cumplimiento de las normas.

Analizar y determinar la antigüedad de las cuentas por cobrar, cuentas por pagar u

otras transacciones a las que afecta el tiempo transcurrido.

Recuperar gastos o ingresos perdidos, detectando pagos duplicados, secuencias

numéricas incompletas en la facturación o servicios no facturados.

Detectar relaciones no autorizadas entre el personal de la empresa y los

proveedores y miles más.

A continuación se destacan algunas de sus principales características.

Funcionalidad incorporada de auditoría

100


El software ACL para acceso, análisis de datos y generación de informes posee abundantes

funciones específicas para la auditoría: desde comandos tales como GAPS (Faltantes),

DUPLICATES (Duplicados) y STRATIFY (Estratificar) hasta el importante log de comandos o el

historial detallado del proceso. La funcionalidad incorporada de revisión de cuentas le permite a

auditores y contadores, sin experiencia técnica o de programación, realizar rápidamente

análisis e informes sobre datos financieros.

Capacidad de análisis interactivo.

Analiza datos de manera interactiva y obtiene resultados inmediatos mientras aplica una

metodología de auditoría e investiga las excepciones en cualquier momento.

Alta capacidad y velocidad.

Ofrece las ventajas de la capacidad de tamaño ilimitado de archivo y su velocidad para

procesar rápidamente millones de transacciones, asegura una cobertura del 100% y una

confianza absoluta en sus resultados.

Facilidad de uso.

Realiza un análisis rápido e independientemente de su departamento de SI (sistemas de

información), con la facilidad de uso de la interfaz de ACL; se puede extraer menús, barras de

herramientas y señalar y seleccionar comandos. Las innovaciones tales como el procesamiento

de archivos de entrada mejorado y el selector de fechas simplifican la funcionalidad en ACL.

Análisis universal de datos.

El Asistente de definición de datos fácilmente selecciona, identifica y da formato a los datos,

acelerando su acceso a las capacidades de análisis y generación de informes de ACL. Puede

usarse para leer y analizar virtualmente cualquier tipo de datos de cualquier entorno de

cómputo, incluyendo datos de bases de datos en conformidad con ODBC, archivos de informe

de longitud variable, archivos privados de SAP™ R/3™, archivos tradicionales, archivos de

informe y muchos más.

Procesamiento de archivos múltiples.

Relaciona y trabaja simultáneamente con varios archivos, para hacer análisis e informes aún

más completos.

101


Informes de alta calidad.

Produce informes de líneas múltiples fáciles de entender para apoyar los hallazgos. Permite el

diseño para ver previamente y modificar sus resultados en pantalla con la facilidad de arrastrar

y colocar. Envía por correo electrónico notificaciones automáticas de los resultados de los

análisis en apoyo a metodologías de auditoría específicas. Asimismo permite crear informes en

HTML para su publicación en el Internet o en la intranet de la organización.

Detalle integral del trabajo realizado.

Permite revisar o imprimir en cualquier momento, un historial completo de los archivos, pasos y

resultados

Auditors´Software Toolset (AST)

Es una solución integral, compuesta por un conjunto de tres productos que permiten la

automatización de cualquier tipo de evaluación y auditoría.

Ranking Advisor: Permite el modelo de riesgos y la valoración y clasificación por nivel de

riesgo del universo auditable. Automatiza cada etapa del proceso de auditoría (Planeación,

Diseño del Programa, Ejecución de las Pruebas, papeles de Trabajo, supervisión, informes,

seguimiento, etc.)

Pro audit. Advisor v.2.: Mejora la valoración y evaluación detallada de los riesgos y

controles. Permite un proceso de evaluación/auditoría, consistente con modelos de control

interno internacionales(COSO, COCO, Cadbury), desagregando las áreas de acuerdo a la

estructura real de cada organización. Permite crear o vincular a la evaluación / auditoría, la

documentación y papeles de trabajo externos electrónicos (Word, Excel-PowerPoint) como

soporte y evidencia del trabajo.

COBIT Advisor, provee a las organizaciones una herramienta automatizada para evaluar

y/o auditar, de manera ágil y consistente el cumplimiento de los objetivos de control y

controles detallados, que aseguran que los procesos y recursos de Información y

Tecnología contribuyan al logro de los objetivos de negocios.

102


Funcionalidad

La Evaluación y Mejoramiento del Sistema de Control basados en estándares

internacionales.

La Auditoría Integral (Financiera, Operacional, de Sistemas, etc), con programas de

auditoría paso a paso, o mediante el enfoque basado en la administración del Riesgo.

La captura y administración de la experiencia y conocimientos acumulados de los

evaluadores y auditores a través del tiempo y su mejoramiento continuo.

Barefoot Auditor ( PC)

Este sistema de auditoría no requiere de una base de datos de productos y archivos para

reconocer su instalación de software. No exige el entrenamiento costoso para reconocer los

productos y nunca estar fuera de fecha.

Cada nuevo producto, cada nueva versión se identifica automáticamente. Todo el sistema corre

igualmente bien en las máquinas autosuficientes y PCs conectadas a una red de computadoras

y puede grabar sus datos al diskette, disco duro o servidor. El sistema viene completo con

funciones para unir cualquier número de auditorías, un generador del informe sofisticado y

herramientas de mantenimiento de datos. El paquete entero puede correrse desde DOS o

Windows.

Idea 2001

Permite a los usuarios mejorar la eficacia y efectividad en sus tareas de análisis de datos.

IDEA 2001 ofrece a los usuarios las siguientes funciones:

Agregar campos editables y etiquetas del manual - agregar comentarios o un valor

asignado a un campo, o indicar su status.

Con un doble click en una columna ordenar alfanuméricamente, por fecha o por orden

numérico.

Estadísticas de nuevos datos y funciones duplicadas

Extraer resultados y gráficos con un doble click en una fila o en una parte del gráfico, y

trabajar los datos subyacentes.

103


Los usuarios de IDEA participan activamente para el desarrollo del producto a través de grupos

de usuarios, suministro de e-mail y a través de la red de distribución global de Idea.

IDEA 2001 permite a los usuarios leer, desplegar, analizar, manipular, o extraer una muestra

de los datos archivados en casi cualquier fuente - mainframe o PC, incluso informes impresos

a un archivo. IDEA extiende el alcance del auditor o analista proporcionando funciones únicas

y características no encontrados en software genérico y les da el poder a los usuarios para

bajar el costo de trabajo de la auditoría, refuerza la calidad a su trabajo y asume nuevos

papeles.

CMM Advisor

Capability Maturity Model (CMM)Advisor es la herramienta automatizada para ayudar a los

negocios a desarrollar y mantener efectivos procesos de software.

CMM asiste a las unidades comerciales uniendo el desarrollo y mantenimiento del proceso de

software. CMM ha sido desarrollado por el Instituto de Ingeniería de Software (SEI) para

proporcionar una referencia al negocio con benchmarck para el proceso de TI. Está diseñado

para usarse en los negocios, involucrado planeamiento, diseño y desarrollo del software.

COBIT Advisor

COBIT Advisor 3rd Edition brinda al usuario:

Un proceso consistente para evaluar la administración y el control de TI.

Un patrón de comparación (benchmark) reconocido para la administración y el control

de TI.

Revisiones enfocadas mediante selección de los procesos más relevantes, los criterios

de información y los recursos de TI.

Informes de alta calidad a medida de los requerimientos particulares del negocio.

Una representación visual de la evaluación mediante graficación en línea.

Comparación gráfica y elaboración de informes sobre las evaluaciones realizadas del

negocio y en el tiempo.

104


Es utilizado por los auditores, los consultores de negocios y los responsables de los procesos

del negocio.

COBIT Advisor 3rd Edition se caracteriza por:

Contar con una base de datos de 34 procesos, 318 objetivos de control y 374

guías de auditoría.

Brindar pistas en los procesos.

Asegurar cobertura.

Brindar revisiones más enfocadas mediante diferentes vistas.

Brindar la generación de un programa de auditoría a la medida.

Facilitar la administración de auditoría mediante registro de observaciones, su

clasificación y filtrado.

COBIT Management Advisor

Es una herramienta automatizada de valoración para la administración y control de TI. COBIT

Management Advisor proporciona al negocio una herramienta de autovaloración por medio de

la evaluación del proceso TI contra el esquema de COBIT.

La aplicación le proporciona a los usuarios cinco puntos de valoración para cada uno de los

318 objetivos de control detallados. COBIT Management Advisor está diseñado para la

dirección de TI, para evaluar sus procesos contra las mejores practicas de la industria. La

aplicación le permite a los gerentes de TI realizar una valoración para identificar si se cuenta

con efectivos controles y tomar acciones correctivas, sin la necesidad de un experto

independiente.

Crystal Reports

Crystal Reports accesa más de 30 fuentes de datos, tiene capacidades de análisis de datos y

opciones de tipo de informe. Además, su plan modular permite usar Cristal Reports Engine

para integrar información en las aplicaciones del banco de datos y distribuido con un runtime

libre.

Este sistema es usado por profesionales comerciales que quieren informar o preguntar

directamente de una fuente de los datos, por profesionales en sistemas de información que

necesitan proporcionar informes a los usuarios comerciales, y por los vendedores del software

105


independientes, diseñadores del software corporativos y VARs que necesitan incluir

información en aplicaciones del banco de datos.

La arquitectura asegura la respuesta a tiempo y reduce el tráfico de la WEB. Los usuarios

simplemente escogen el browser que ellos prefieren, y los este software hace el resto. Puede

integrarse directamente al “Active Server Pages”.

Ctrain

El Instituto de Certificación de Entrenamiento ha completado la primera misma herramienta de

autovaloración totalmente probada para ISACA, que liberó los Objetivos de Control para la

Información y Tecnologías Afines, o COBIT.

Esta herramienta es aplicada por los profesionales en Sistemas de Información y Controles

para evaluar el nivel de cumplimiento de los estándares sobre objetivos de control publicados

por la Asociación de Auditores de Sistemas de Información y Control (ISACA) - normas que

sirven de base para el control de los sistemas de información y los profesionales de la

auditoría. Esta herramienta de valoración incluye una apreciación global del producto de

COBIT, su pertinencia a los sistemas de información y del control, lista cinco niveles de

cumplimiento para cada uno de los objetivos de control publicados, una hoja de cálculo que

sumariza un subtotal y total del nivel numérico de cumplimiento y una explicación de cómo

usarlo.

Data Explorer

Fue diseñado atendiendo los principios para facilitar las aplicaciones del cliente/servidor,

capitalizar la arquitectura de la computadora moderna. Data Explorer se caracteriza por su

velocidad, flexibilidad, combinadas con la facilidad para usar interface visual. Data Explorer

está aplicado en cualquier situación donde se presente la necesidad de explorar cantidades

grandes de datos de una manera flexible y representar los resultados en una forma gráfica.

Examine®

Es el líder de industria en MVS de verificación y auditoría de la integridad de los en sistemas en

operación, el cual es crítico para la seguridad y confiabilidad de sistema CA-examine ayuda a

identificar y controlar las exposiciones de seguridad de MVS, virus, puertas de trampa, caballos

106


de troja y bombas de lógica que pueden destruir la seguridad de producción y pueden engañar

los mecanismos de seguridad. A través del uso de técnicas especialistas del sistema y una

interface del idioma inglés, CA-examine al instante proporciona información que es difícil o

imposible de obtener de otras fuentes.

También identifica problemas potenciales, hace sugerencias y contesta preguntas. CA-examine

apoya la nueva Interface de Comprobación de Producto (PVI) que establece traceability de

productos de software de sistema e identifica requisitos de la instalación apropiados para un

número creciente de Computadora Socios sistemas productos.

El análisis de CA/Examine y funciones del despliegue ahorran valioso tiempo por los datos

centre a gerentes, administradores de seguridad, personas de los funcionamientos, el personal

de convicción de calidad y otros que necesitan saber MVS sistema opciones actuales,

parámetros e información de estado.

Rat-Stats

Es un paquete de herramientas del software estadísticas diseñadas para ayudar al usuario a

obtener muestras al azar y evaluar los resultados.

De una versión inicial con cuatro módulos de la apreciación y tres programas de utilidad, el

paquete ha crecido incluir siete módulos para generar números al azar, dieciséis módulos para

estimar resultados de la muestra, y cuatro módulos que proporcionan datos las utilidades

relacionadas.

RAT-STATS es la herramienta primaria de auditoría estadística usada por la Oficina de

Servicios de la Auditoría en la Sección de Salud y Servicios Humanos.

El software estadístico ha sido usado por la Oficina del Inspector General desde principios de

años setenta. Con la llegada de las microcomputadoras se tiene la oportunidad de mover el

software estadístico de los sistemas para “mainframe”. Los programas se han evaluado y

certificado independientemente.

Una apreciación global de RAT-STATS se presentó a la 1991 Conferencia de Desarrollo

Profesional patrocinada por la Asociación de Cuentas Gubernamentales (AGA). El paquete se

107


ha anunciado subsecuentemente y ha sido distribuido por el AGA. El paquete es usado ahora

por organizaciones de auditoría alrededor del mundo.

4.4 ELEMENTOS PARA UNA DECISIÓN SOBRE HERRAMIENTAS

COMPUTADORIZADAS

A continuación se plantean algunos elementos que a nuestro criterio deben ser considerados a

los efectos de la toma de decisiones sobre la adquisición de herramientas computadorizadas

de apoyo a la administración y a la Auditoría de TI en el campo del control y la auditoría ( tanto

para su administración como para el desarrollo de sus funciones).

4.4.1 Situación Actual de TI en la Dirección General de Auditoría Interna.

En primer término se describe un breve diagnóstico de la situación actual en cuanto a

disponibilidad de facilidades de tecnología de la información en la Dirección General de

Auditoría Interna del Ministerio de Hacienda.

Acceso a internet: Desde enero del año 2000 todos los funcionarios tienen acceso a internet,

con la particularidad de que únicamente se dispone de 12 puertos para estaciones de trabajo

del personal, de manera que, considerando la plantilla ideal, se tiene un faltante de 6 puertos

para que todo el personal pudiera accesar internet simultáneamente. Esta facilidad ha

permitido tener acceso a documentos e información de organizaciones especializadas en el

campo del control y la auditoría.

Página web. La auditoría tiene su página web como parte del sitio web del Ministerio de

Hacienda. Hasta ahora dicha página únicamente dispone de información de carácter general

sobre la dependencia y la lista de los diferentes informes generados anualmente a partir de

1998.

Correo electrónico: Actualmente todo el personal tiene su cuenta de correo electrónico. En

virtud de la limitación de puertos ya comentada, uno de los funcionarios debe accesar su

cuenta desde la computadora de un compañero. Aunque se ha empezado a utilizar como

108


medio de comunicación con otras instancias, en sentido estricto no se ha sustituido plenamente

la comunicación formal mediante oficios. Algunas gestiones y asesorías, como solicitudes de

información para seguimiento del cumplimiento de recomendaciones disposiciones y

advertencias sobre debilidades de control, se realizan utilizando esta herramienta.

Software: En cuanto a software, únicamente se dispone de las herramientas de oficina

básicos: procesador de palabras y hoja electrónica. Asimismo se cuenta con Microsoft Proyect

como software especializado de administración de proyectos y recientemente se recibió una

capacitación básica en el uso de ésta.

Hardware: El equipo de cómputo disponible en la actualidad es el siguiente:

2 microcomputadoras portátiles de 32 MB memoria RAM

11 estaciones de trabajo, clasificadas según memoria RAM de la siguiente

manera:

1 de 128 MB

6 de 64 MB

1 con 32 MB

3 con 16 MB

1 servidor de red de 64 MB RAM, el que por razones técnicas no ha sido

utilizado como tal.

4 Impresoras.

Como se desprende de lo indicado, la Dirección de Auditoría Interna, desde el punto de vista

de equipo y herramientas de TI, se encuentra en una situación deficitaria, especialmente por

las limitaciones de memoria de algunas de las microcomputadoras utilizadas, las limitaciones

de puertos de conexión a red y la no disponibilidad de software especializado.

4.4.2 TI en el Ministerio de Hacienda

En la selección de herramientas deberán considerarse algunos aspectos de carácter

institucional que de una u otra manera establecen restricciones o requerimientos para lograr

una mayor efectividad de la labor de la auditoría.

109


Estándares y lineamientos establecidos

En la selección de herramientas se deberán considerar los estándares establecidos por el

Consejo de Informática, especialmente en el sentido de que las que las herramientas de

auditoría puedan interactuar con las bases de datos que el Ministerio ha seleccionado.

Asimismo debe tomarse en cuenta el contrato corporativo suscrito con Microsoft.

Debilidades institucionales en el ambiente de control.

Las debilidades del ambiente de control en el Ministerio han sido apuntadas tanto por la

Dirección General de Auditoría Interna como por la Contraloría General de la República, siendo

evidente la necesidad de un esfuerzo por parte de la Administración para establecer y

perfeccionar los sistemas de control en la gestión de los recursos de TI. Para estos efectos es

importante el uso de una herramienta que oriente las acciones según las mejores prácticas en

ésta área y además promueva la autoevaluación. Lo anterior se considera una condición

necesaria para que la evaluación independiente que corresponde realizar a la auditoría

agregue valor y contribuya al fortalecimiento de los controles.

4.4.3 Modelo metodológico recomendado para la auditoría

El modelo metodológico operativo recomendado en el capítulo 2, denominado Objetivos de

Control para la Información y Tecnologías Afines (COBIT por sus siglas en inglés), tiene como

una de sus fortalezas el desarrollo de herramientas automatizadas tanto para la administración

como para la auditoría, lo cual evidentemente deberá considerarse en la selección de las

herramientas automatizadas de apoyo a la auditoría.

4.4.4 Proceso de Creación y Desarrollo de la Auditoría de TI

La adquisición de herramientas deberá guardar relación con la estrategia de desarrollo de la

Auditoría de TI que se desarrollará en el siguiente capítulo, debiendo darse prioridad a aquellas

herramientas que apoyen los esfuerzos que se desarrollarán en las primeras etapas. Esto

resulta de especial relevancia considerando la rápida evolución que en este campo se da, de

tal suerte que no se justificaría adquirir herramientas que no se van a utilizar a corto plazo ya

que versiones posteriores de la misma podrían adquirirse a un mejor precio e incorporar

facilidades adicionales.

110


4.4.5 Requerimientos de Hardware

Las herramientas computadorizadas podrían requerir de la adquisición de equipo de computo

adicional, lo cual debe ser valorado a la luz de la disponibilidad de recursos y los costos y

beneficios que pueden generarse.

4.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS

No ha sido el propósito del análisis realizado llegar a seleccionar herramientas específicas, ya

que ello conllevaría un análisis de mayor profundidad de cada una de ellas en relación con las

necesidades específicas para el desarrollo de la Auditoría de TI en el Ministerio, por lo que no

fue considerado dentro del alcance de la presente investigación.

No obstante, considerando los elementos planteados en el apartado anterior pretendemos

plantear orientaciones sobre las prioridades en cuanto a herramientas computadorizadas

requeridas para la implantación de la Auditoría de TI en el Ministerio, salvo en el caso en que

dichos elementos conlleven la selección de una herramienta específica.

4.5.1 Herramientas de Apoyo a la Administración de la TI

La adquisición de herramientas que fomenten la cultura de control y faciliten el cumplimiento de

las responsabilidades de control que le corresponden a la administración es una de las

prioridades evidentes, especialmente considerando las debilidades que han sido planteadas en

el diagnóstico realizado en el Proyecto Integrado I.

Por otra parte, considerando el modelo metodológico de Auditoría de TI que ha sido propuesto

en el capítulo 2, el cual tiene la particularidad de contar con soporte computadorizado para la

Administración, se considera necesario contar con la herramienta COBIT, en este caso la

COBIT Management Advisor, cuyas características ya fueron planteadas en términos generales

en el punto 4.3.1.

Para mejor provee,r a continuación se presentan con mayor detalle las principales facilidades

que ofrece a la Administración para el control de la gestión de la TI.

111


• Soporta consolidación multinivel, permitiendo la comparación de áreas de la misma

organización y en el tiempo.

• El sistema de alerta facilita el seguimiento de las áreas que ameritan mayor atención.

• Puede ser modificado para atender los requerimientos específicos de la organización.

• Proporciona facilidades de reportes y graficación tanto ad-hoc como estandarizados

para las diferentes etapas del proceso de auditoría.

• Está basado en Windows, siendo muy amigable y fácil de aprender para el usuario.

• Tiene capacidad de funcionar vía intranet/internet.

• Permite ajustar su análisis incorporando aquellas partes del marco de referencia de

COBIT que resulten relevantes para el caso específico.

Adicionalmente, en virtud de las limitaciones de recursos se considera de gran necesidad

contar con una herramienta que permita valorar y administrar los riesgos, para lo cual se

presentaron varias alternativas en el punto 4.3.1, que tendrían que ser analizadas con mayor

detalle por la Administración al tomar la decisión.

4.5.2 Herramientas de Apoyo a la Administración de la Auditoría

Para una adecuada administración de los recursos de la auditoría se considera necesario

disponer de una herramienta que permita la administración integrada de éstos. Esta facilidad

busca que los escasos recursos se puedan concentrar en la labor sustantiva y menos al control

y administración de los recursos.

Para tal efecto conviene recordar las diferentes herramientas, de manera que la solución que

se adquiera incorpore la mayor cantidad de éstas en un software integrado:

Análisis de riesgo.

Inventario del universo de la auditoría

Planeación y asignación

Administración de Proyectos y seguimiento de auditorías

Bases de datos del personal y Inventario de Herramientas

Biblioteca de la Referencia

Comunicaciones

Presentaciones

Seguimiento de Resultados / Hallazgos

112


Valoración de Satisfacción del cliente

Entrenamiento y Educación

4.5.3 Herramientas de Apoyo a la Función de Auditoría

Como apoyo a la función de auditoría de TI es necesario contar con una herramienta que por

una parte sea congruente con el modelo metodológico operativo y que como herramienta

ofrezca ventajas y facilidades para su utilización. En ese sentido, tal y como se mencionó en el

capítulo 2, una de las ventajas del modelo COBIT es que se han desarrollado herramientas

computadorizadas para su aplicación, en este caso el COBIT Advisor, ya descrita en el

apartado 4.3.1 de este documento, ha sido desarrollado por la firma Methodware en estricta

coordinación con ISACA. Por otra parte, como herramienta ofrece destacadas facilidades para

los auditores de TI, tales como:

Un proceso consistente para evaluar y auditar la gestión y control de los sistemas de TI.

Un benchmark reconocido para la gestión y control de sus sistemas de TI.

Revisiones focalizadas mediante la selección de los dominios, procesos, criterios de

calidad de la información y recursos de TI, relevantes en el plan de cada auditoría.

Permite realizar las auditorías en tres (3) niveles: Alto Nivel Gerencial (Dominios /

Procesos), detallado de los Objetivos de control, y detallado con las Guías de Auditoría

(pasos del programa).

La identificación e implementación de objetivos de control y guías de auditoría, basadas

en estándares de “mejores prácticas” y brindar un “mayor valor agregado”.

Generación automática de diferentes tipos de informes y emisión gráficos que facilitan

la interpretación de los resultados.

Interfase gráfica de diseño muy amigable, tal y como se puede apreciar en el anexo 3.

Asimismo, considerando la realidad institucional, se pueden identificar elementos adicionales a

favor de la herramienta propuesta:

Es compatible con los estándares institucionales para sistemas operativos.

Facilita la incorporación a los informes de aspectos de interés no necesariamente

cubiertos en alguno de los objetivos de control considerados por el modelo.

113


Es una herramienta que está siendo utilizada y considerada como referencia útil por

otras auditorías internas de instituciones públicas, como la del Banco Nacional de Costa

Rica, el Banco Central de Costa Rica y la Compañía Nacional de Fuerza y Luz.

114

Capítulo 5 Plan operativo para la Introducción de la Auditoría de TI

CAPITULO 5

PLAN OPERATIVO PARA LA INTRODUCCIÓN DE LA AUDITORIA DE TI

En este capítulo se presenta el plan para la puesta en práctica de los elementos planteados en

los capítulos anteriores. Inicialmente se presentan las consideraciones de carácter general que

de una u otra manera inciden en el plan. Posteriormente se muestran los elementos que

componen el plan y el detalle de las tareas para un periodo de 2 años y medio, finalmente se

incluye el presupuesto económico, en el que se puede encontrar una estimación del costo para

la implementación de la propuesta. Con el planteamiento de estos aspectos específicos se

pretende facilitar la toma de decisiones asociadas con la introducción y consolidación de la

Auditoría de TI, de tal forma que se pueda trazar, con el mayor detalle posible, las acciones

que deberán realizarse para concretar el propósito final de este

5.1 CONSIDERACIONES ESTRATÉGICAS

5.1.1 Aportes de la Administración

En un primer momento es necesario evidenciar los aportes por cuenta de la Administración que

a su vez se consideran condiciones necesarias para la adecuada introducción de la Auditoría

de TI en el Ministerio de Hacienda.

Compromiso de la Administración: La Administración debe asumir la responsabilidad

que le es propia en cuanto al diseño, actualización e implantación del sistema de

control interno. Por grandes los esfuerzos y aportes de la auditoría, no habrá valor

agregado en el tanto la administración no asuma ese papel y se comprometa con la

implantación de las recomendaciones que aquella presente como resultado de sus

evaluaciones.

Disponibilidad de recursos: La Administración debe asignar los recursos financieros y

humanos requeridos para la implantación de la propuesta. En el apartado sobre

costos estimados, se muestra la inversión inicial en adquisición de equipo, software,

115


recurso humano adicional y capacitación del personal de la Dirección General de

Auditoría Interna, sin la cual evidentemente no será posible llevar a cabo la propuesta.

Adquisición de la herramienta COBIT Management Advisor por parte de la

Administración. Como un elemento más del alineamiento de los esfuerzos de la

Administración y de la Auditoría de TI para fortalecer el sistema de control se requiere

que ambas partes tengan un mismo enfoque y se orienten hacia la consecución de los

mismos objetivos. No obstante, en el plan no se incluye las actividades que le

corresponderá realizar a la administración.

Elaboración del Plan Estratégico Tecnológico, actualmente en proceso, e

inclusión de la Auditoría de Tecnología de la Información dentro del mismo. La

conclusión de este Plan Estratégico Tecnológico y la puesta en marcha del mismo

como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo

tecnológico, será la base fundamental para el accionar de la Auditoría de Tecnología

de la Información.

Además es necesario que dicho Plan conceptúe apropiadamente el rol de la auditoría

y su aporte para el alineamiento de la gestión de la TI y los objetivos del negocio y en

consecuencia considere, tal y como fue manifestado por el equipo de trabajo

encargado de su elaboración, la introducción de la Auditoría de Tecnología de la

Información como uno de sus componentes y proyectos prioritarios.

5.1.2 Alcance del Plan

La consolidación de la Auditoría de TI en el Ministerio de Hacienda es sin lugar a dudas un

proceso complejo y evolutivo, toda vez que ésta deberá ajustarse a los cambios tanto

institucionales como del entorno, no sólo a nivel tecnológico sino también a nivel

organizacional, legal y administrativo.

En ese sentido, es necesario establecer con claridad los limites del plan que se presentará. Al

efecto, como orientación general se pretende abarcar lo que denominaremos una primera

etapa del proceso, caracterizada por los siguientes elementos:

116


Objetivo:

Lograr la consolidación de la organización administrativa de la Auditoría de TI y la asignación

de recursos humanos y tecnológicos mínimos para el desarrollo de esta función y fortalecer el

ambiente de control de TI dentro del Ministerio.

Areas consideradas:

En esta primera etapa no sólo es necesario disponer de los recursos sino que se considera

clave que la Auditoría de TI de muestras claras de un aporte positivo para la organización y se

posicione como un elemento fundamental del sistema de control interno y de asesoría a la

Administración. Para estos efectos, será fundamental una participación proactiva y asesora.

En línea con lo indicado, dentro del marco metodológico propuesto (Modelo COBIT) se

considera conveniente que en esta primera etapa se atienda prioritariamente el dominio

Planeamiento y Organización, orientado a identificar la forma en que la TI contribuye de la

mejor manera al logro de los objetivos del negocio, así como el establecimiento de una

organización y una infraestructura tecnológica apropiada.

Dentro de este dominio estimamos prioritarios tres subdominios o procesos, a saber:

PO1 Definición de un plan estratégico de tecnología de información. Este proceso

comprende seis objetivos de control.

PO4 Definición de la organización y las relaciones de TI, que abarca quince objetivos

de control.

PO9 Evaluación de riesgos, el cual cubre seis objetivos de control.

Estos tres procesos son a nuestro criterio claves para lograr una respuesta clara a las

principales debilidades apuntadas en el diagnóstico institucional realizado como primera fase

del presente estudio.13 Adicionalmente, mediante el enfoque planteado se pretende orientar los

primeros esfuerzos hacia el fortalecimiento del sistema control interno, más que a la

identificación de las limitaciones puntuales de las aplicaciones y la gestión actual de la TI, en el

entendido de que ello resulta clave en virtud de la situación institucional evidenciada en los

diferentes documentos elaborados por los grupos de Proyecto Integrado I.

13 Ver apartado 2.2 de este documento.117


5.1.3 Organización para el Desarrollo del Plan

Para la ejecución del plan no se considera necesario una organización formalmente

establecida, entendiendo que resulta evidente que la coordinación corresponderá a la Directora

General de Auditoría Interna. Por otra parte, será de especial importancia el apoyo y

participación de la Dirección General de Informática, en lo correspondiente al soporte técnico,

así como también del Director General Administrativo y Financiero, que en su carácter de

Director del programa presupuestario al que está incorporada la Dirección General de Auditoría

Interna juega un papel relevante en cuanto a la asignación y ejecución de los recursos

presupuestarios.

5.1.4 Riesgos

A continuación se presentan los principales riesgos que amenazan el desarrollo del plan:

Apoyo de nuevas autoridades. El cambio de gobierno que se enfrentará en mayo

del próximo año podría impactar el proyecto en función del apoyo que brinden

las nuevas autoridades del Ministerio. Al efecto, aunque se reconoce que la

permanencia de la Directora General y Subdirectora de Auditoría Interna en

algo mitiga el mencionado riesgo, lo cierto es que el apoyo de las autoridades

superiores es un elemento clave, no solo en lo que respecta a la asignación de

recursos, sino también en lo que se refiere al espacio de acción y relevancia que

se le otorgue al trabajo que realice la Dirección.

No lograr la contratación de personal idóneo oportunamente. Retrasos en la

contratación del personal requerido para el funcionamiento de la Auditoría de TI,

conllevarán retrasos en el avance del proyecto, siendo de especial preocupación

la reacción de los usuarios en caso de no observarse aportes concretos por

parte de la auditoría, por el contrario podría darse un desperdicio por la no

utilización del equipo y software que se hubiera adquirido.

Atrasos en el proceso de contratación administrativa. La adquisición de bienes y

servicios, en especial del equipo, con alguna frecuencia se retrasa en virtud de

las apelaciones y otros recursos que la Ley de Contratación Administrativa

permite a los proveedores. En la medida en que no se cuente con las

118


herramientas necesarias, difícilmente se podrán alcanzar los objetivos

planteados para la Auditoría de TI.

5.2 COMPONENTES DEL PLAN OPERATIVO

A los efectos de la estructuración del plan operativo, se han establecido 8 componentes, que

se desglosan por tareas:

Aprobación del proyecto: Comprende las actividades orientadas a lograr la aprobación

del proyecto por parte de las autoridades superiores del Ministerio.

Ajuste de la organización de la Auditoría de TI. Considera las tareas requeridas para la

modificación y ajuste del decreto de organización y funciones de la Dirección General

de Auditoría Interna, con el fin de que en su estructura funcional se considere el Area de

Auditoría de TI.

Contratación del recurso humano. Comprende las actividades a desarrollar con el fin de

que el Area de TI disponga de los recursos humanos mínimos para su funcionamiento.

Capacitación: En cuanto a este particular se considera la capacitación de trece

funcionarios en la Universidad de Costa Rica, con el propósito de que todos cuenten

con el grado de Técnico en Auditoría Informática y que se tengan posibilidades de

actualización profesional, participando en el desarrollo del seminario latinoamericano

sobre auditoría de sistemas de información impartido por la ISACA.

Adquisición de licencias de software: Se incluyen las diferentes tareas a realizar para

concretar la adquisición de software, concretamente de COBIT Advisor, y una

herramienta para la administración de la gestión de la Auditoría y otra para la

Administración de Riesgo.

Adquisición de equipo: Se explicitan las diferentes tareas asociadas con la adquisición

de un servidor y estaciones de trabajo que soporten las características del software que

se propone adquirir.

119


Fortalecimiento del ambiente de control: Se consideran las tareas requeridas para

concretar la evaluación de tres subdominios o procesos del dominio titulado “Planeación

y Organización”, a saber:

Evaluación y seguimiento del plan estratégico

Definición de la organización y de las relaciones de TI

Evaluación del riesgo

El detalle de todas y cada una de las actividades se muestra en el cronograma que se muestra

a continuación.

120


CRONOGRAMA DEL PROYECTOAUDITORIA DE TI EN EL MINISTERIO DE HACIENDA

Id Nombre de tarea

2 Preparar el documento del proyecto

3 Preparar presentación a las autoridades

4 Realizar presentación

5 Analizar proyecto

6 Comentar y valorar observaciones

7 Aprobar proyecto

8

9 Ajuste de la organización de la auditoría interna

10 Preparar documento propuesta de modificación a la estructura organizacional

11 Presentar documento a las autoridades superiores

12 Analizar propuesta

13 Presentar propuesta a MIDEPLAN

14 Analizar propuesta

15 Aprobar propuesta

16 Preparar modificación al Reglamento de Organización y Funciones de la DGAI Decreto 19067-H

17 Presentar propuesta de modificación al Ministro

18 Análizar la propuesta

19 Aprobar propuesta de modificación

20 Tramitar firma del Presidente

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun4º trimestre 1er trimestre 2º trimestre 3er trimestre 4º trimestre 1er trimestre 2º trimestre

121


Id Nombre de tarea21 Publicar decreto

22

23 Asignación de recursos financieros

24 Presentar solicitud de recursos a la DG Ad. Y Fi.

25 Asignar recursos financieros

26

27 Contratación de recurso humano

28 Elaborar propuesta de ajuste al manual de cargos para coordinador de ATI y profesional informático

29 Presentar propuesta de ajuste al manual de cargos

30 Analizar propuesta de manual de cargos

31 Elaborar propuesta de ajuste al Manual institucional

32 Presentar ajuste al Manual institucional a la Dirección General de Servicio Civil

33 Aprobar ajuste

34 Emitir resolución de ajuste al Manual Institucional

35 Preparar propuesta de reestructuración de puesto

36 Analizar propuesta de reestructuración

37 Aprobar reestructuración

38 Emitir resolución de reestructuración de puesto coordinador TI y profesional informático

39 Solicitar a la DGPN modificación a la RP

0%

1%

3%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


122


Id Nombre de tarea40 Tramitar decreto de modificación a la Relación de Puestos

41 Publicar decreto de modificación

42 Tramitar concurso interno para nombramiento

43 Reclutar coordinador de auditoría TI

44 Seleccionar

45 Tramitar nombramiento de coordinador ATI

46 Solicitud de puesto nuevo profes. Inform.

47 Aprobar traslado de plaza vacante

48 Preparar solicitud de reestructuración

49 Analizar propuesta de reestructuración puesto

50 Aprobar reestructuración

51 Emitir resolución de reestructuración de puesto coordinador TI y profesional informático

52 Solicitar a la DGPN modificación a la RP

53 Tramitar decreto de modificación a la Relación de Puestos

54 Publicar decreto de modificación

55 Tramitar concurso interno para nombramiento

56 Reclutar profesional en informática

57 Seleccionar

58 Tramitar nombramiento de prof. Inf.

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


123


Id Nombre de tarea60 Capacitación de funcionarios

61 Programa modular de técnico en auditoría de TI

62 Solicitar inclusión del curso en el programa de capacitación

63 Autorizar inclusión en programa de capacitación

64 Solicitar emisión de Orden de compra

65 Emitir orden de compra

66 Inscribir funcionarios

67 Participar módulo 1 UCR




71 Participar módulo 2








0

0

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


124


Id Nombre de tarea79 Participar módulo 4













92

93 Seminario Internacional en auditoría de TI

94 Solicitar inclusión del curso en el programa de capacitación

95 Autorizar inclusión en programa de capacitación



0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


125


Id Nombre de tarea98 Inscribir prov. funcionarios

99 Tramitar Acuerdo de Viaje

100 Autorizar Acuerdo de Viaje

101 Participar en Seminario

102

103

104 Adquisición de licencias de software

105 Adquisición de Cobit Advisor

106 Preparar solicitud de mercancía

107 Tramitar aprobación de solicitud de mercancía

108 Realizar proceso de contratación administrativa

109 Adjudicar

110 Entregar software

111 Instalar software

112 Capacitar en el uso de la herramienta

113 Adquisición de Cobit Management Advisor

114 Elaborar solicitud de mercancía



0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


126


Id Nombre de tarea

117 Adjudicar

118 Entregar software



121 Adquisición de herramienta de administración de la auditoría

122 Investigación de alternativas




126 Adjudicar

127 Entregar



130

131 Adquisición de herramienta de administración de riesgo

132 Realizar investigación de mercado




0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


127


Id Nombre de tarea

137 Entregar



140

141 Adquisición de equipo de cómputo

142 Realizar estudio de mercado

143 Elaborar solicitud de mercancías

144 Tramitar aprobación de la solicitud de mercancías.

145 Tramitar ampliación de cuota presupuestaria


147 Adjudicar

148 Entregar e instalar el equipo

149

150 Fortalecimiento del ambiente de control

151

152 Evaluación plan estratégico de TI

153 Comunicar inicio de evaluación

154 Realizar Evaluación

155 Preparar presentación de resultados

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


128


Id Nombre de tarea156 Comunicar resultados a la administración

157 Elaborar informe

158 Entregar informe

159

160 Evaluación de organización y relaciones de TI




164 Comunicar resultados a la administración



167

168 Evaluación de riesgos




172 Comunicar resultados a la administración



0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%

0%


129


5.3 UNA APROXIMACIÓN A LOS COSTOS

De acuerdo con la investigación realizada, a continuación se presentan los costos estimados

para los diferentes componentes considerados en el plan: recursos humanos, adquisición de

equipo y adquisición de software. Las cifras se presentan en dólares estadounidenses con el

propósito de evitar el efecto de la devaluación.

Para efectos de la estimación se han considerado los siguientes supuestos:

El coordinador del área de TI tendrá un salario base similar al de los otros puestos de

coordinador general de la Dirección General de Auditoría Interna.

Para efectos de estimación de otros componentes salariales se consideró: prohibición

(65%), anualidades (5), carrera profesional (16 puntos).

El puesto nuevo de profesional informático tiene la misma categoría del profesional

informático actual.

Las estimaciones de costos de las herramientas computadorizadas se fundamentan en

cotizaciones obtenidas por algunos distribuidores nacionales.

El costo del equipo se estimó según datos proporcionados por distribuidores de equipo.

Se considera la adquisición de 8 estaciones de trabajo, cantidad que corresponde al

faltante en la Dirección General de Auditoría Interna para que cada funcionario disponga

de equipo con la capacidad mínima requerida para la instalación y funcionamiento del

software que se propone adquirir.

El servidor que se propone adquirir responde a los requerimientos mínimos del software

que se propone adquirir, a saber: procesador Pentium III, velocidad de 400 Mhz, 128 Mb

de memoria RAM.

130


131

Capítulo 6 Conclusiones y Recomendaciones

CAPITULO 6

CONCLUSIONES Y RECOMENDACIONES

Aunque si bien es cierto, los objetivos planteados del presente proyecto giran en torno a la

propuesta para la introducción y consolidación de la Auditoría de Tecnología de la Información

en el Ministerio de Hacienda, lo cual ha sido expuesto en los capítulos anteriores,

consideramos oportuno resaltar algunas conclusiones y recomendaciones asociadas con la

investigación realizada y los planteamientos incluidos para su puesta en ejecución.

Como conclusiones estimamos merecen destacarse las siguientes.

La introducción de la Auditoría de TI no sólo es una sentida necesidad sino que resulta

factible con un aporte de recursos humanos y financieros considerado asequible dentro

de la realidad institucional.

Adicionalmente, el proceso requiere del compromiso de los principales involucrados: la

Dirección General de Auditoría Interna y las autoridades superiores del Ministerio. De la

investigación realizada destacamos que existe ese interés y disposición de las

diferentes partes, siendo necesario se mantengan en el tiempo.

Para el desarrollo de la Auditoría de TI en el Ministerio es fundamental el fortalecimiento

y desarrollo del sistema de control interno, ello plantea la necesidad del desarrollo de

una nueva cultura de control, para lo cual resulta clave que la Administración asuma su

responsabilidad y se identifique plenamente con los controles.

Para el desarrollo de la Auditoría de TI es primordial la clara definición de una

metodología operativa, acorde con el desarrollo de la tecnología de la información y la

realidad institucional. En ese sentido, el modelo COBIT desarrollado bajo la

coordinación de ISACA ofrece importantes fortalezas.

132


La introducción de la Auditoría de TI como función de la Dirección General de Auditoría

Interna requiere de la modificación de la estructura organizacional y funcional de dicha

Dirección.

Es necesario contar con recurso humano especializado para el desarrollo de las

funciones propias de la Auditoría de TI.

Existe una gran cantidad de herramientas computadorizadas de apoyo a la función de

auditoría, su adecuada utilización puede redundar en significativos beneficios para la

organización, siendo de especial relevancia una adecuada selección conforme a los

requerimientos y características institucionales.

Conforme con la propuesta elaborada, el proceso de introducción y consolidación de la

Auditoría de TI lo que se ha considerado una primera etapa en el desarrollo de sus

funciones, conlleva importantes esfuerzos y requerirá alrededor de 2 años y medio, no

obstante, es claro que se trata de un proceso evolutivo cuya consolidación demandará

un esfuerzo continuado en el tiempo, en el que la evolución de la tecnología de la

información será uno de los factores que marcará la pauta.

Por otra parte, con miras a la ejecución de la propuesta, consideramos procedentes las

siguientes recomendaciones.

Como modelo metodológico operativo para el desarrollo de la función de Auditoría de TI

se recomienda la utilización del elaborado por la Information Systems Audit. And Control

Association –ISACA- denominado Objetivos de Control para la Información y

Tecnologías Afines (COBIT).

La función de Auditoría de TI en el Ministerio de Hacienda debe ubicarse en la

Dirección General de Auditoría Interna, para lo cual se recomienda la creación del Area

de Auditoría de TI en dicha Dirección y el respectivo ajuste la estructura organizacional

y funcional, conformándola inicialmente con un Coordinador General de Area y dos

profesionales en informática.

133


Es recomendable que con miras a fortalecer la responsabilidad y la actuación de la

Administración en cuanto al control de la TI, que se adquiera una herramienta

computadorizada para la Administración. En ese sentido, en concordancia con el

modelo metodológico operativo y la herramienta recomendada para la Auditoría de TI,

se recomienda la adquisición del COBIT Management Advisor.

Se estima necesario la adquisición de una herramienta de apoyo a la administración de

la auditoría, otra para la función de Auditoría de TI y una herramienta para evaluación

de riesgo. Como herramienta de apoyo a la función de la Auditoría de TI se recomienda

la adquisición del COBIT Advisor, herramienta que es congruente con el modelo

recomendado y adicionalmente presenta importantes fortalezas, entre las que destacan

su actualización frecuente, respaldo técnico y amplitud en cuanto al papel de la

administración en el control. Las herramientas para la administración de la auditoría y

administración del riesgo deberán seleccionarse en atención a la disponibilidad de

recursos, opciones disponibles en el mercado y los requerimientos institucionales.

Paralelamente a la adquisición de software deben destinarse recursos a la inversión en

actualización del equipo actual y a la adquisición de nuevo equipo para la Dirección

General de Auditoría Interna, para lo cual deberán atenderse los requerimientos del

software que se decida adquirir.

En atención a los elementos del diagnóstico institucional y dentro del marco del modelo

metodológico operativo propuesto, en una primera etapa se recomienda orientar los

esfuerzos para el fortalecimiento del ambiente de control, para lo cual se considera

conveniente iniciar con la evaluación del dominio de planeación y organización,

concretamente con tres subdominios o procesos: evaluación y seguimiento del plan

estratégico, definición de la organización y relaciones de TI y evaluación del riesgo.

Elaborar un documento de proyecto que, basado en la propuesta y considerando los

ajustes que la Dirección de Auditoría Interna y las autoridades superiores estimen

necesarias una vez valorado lo que hemos planteado. Consecuentemente se deberá

revisar el cronograma elaborado a efecto de contar con una herramienta que

efectivamente permita el seguimiento para la realización del proyecto y la consecución

de los objetivos planteados.

134


Se estima recomendable promover una actitud de actualización permanente en los

funcionarios de la Dirección General de Auditoría Interna.

135


BIBLIOGRAFÍA

Arauz, Manuel. Auditoría de Sistemas: ¿por qué?. Universidad Internacional de las

Américas.1966.

Contraloría General de la República. Manuales sobre Normas Técnicas de Control Interno

relativas a los Sistemas de Información Computadorizados. Alcance No. 7 a la Gaceta No. 24

del 2 de Febrero de 1996.

Comité Directivo de COBIT. COBIT: Resumen Ejecutivo. Segunda Edición. México.1998

Delgado Rojas, Xiomar. “Auditoría Informática”. Primera Edición, EUNED, Costa Rica, 1997.

Dirección General de Auditoría Interna. Propuesta de Reforma de la Dirección General de Auditoría Interna. Documento Interno presentado al Ministro de Hacienda en julio de 1996.

Echenique García, José Antonio. Auditoría en informática. Primera Edición. McGraw-Hill

Interamericana de México. México D.F. 1991

García, Sandra. “Auditoría Informática I: Nota técnica para el curso”. Primera Edición, UNED,

Costa Rica, 1997.

Hevia Vázquez Eduardo. Concepto Moderno de la Auditoría Interna. Instituto de Auditores

Internos. España.1999.

Ley Orgánica de la Contraloría General de la República, No. 7428. Gaceta No. 210 del 4 de

noviembre de 1994.

Reglamento de Organización y Funciones de la Dirección General de Auditoría Interna del

Ministerio de Hacienda. Decreto Ejecutivo No. 19067 – H, publicado el 4 de julio de 1989,

Gaceta No. 102

136


SITIOS CONSULTADOS

http://www.hacienda.go.cr

http://www.bsa.org/info/bsamailer/page4.html

http://www.pleier.com/overview.htm

http://www.newtech.co.cr

http://www.audinfor.com/

e-mail: [email protected]

http://www.pentasafe.com/products/database-overview.htm

http://www.auditnet.org/docs/inet_ap.txt

http://www.methodware.com

http://www.theiia.org/

137

http://www.auditnet.org/docs/inet_ap.txt

http://www.pentasafe.com/products/database-overview.htm

mailto:[email protected]

http://www.audinfor.com/

http://www.pleier.com/overview.htm

http://www.bsa.org/info/bsamailer/page4.html

http://www.hacienda.go.cr/

Anexo N1

ANEXOS

138

Anexo N1

ANEXO 1

PARTICIPANTES PROYECTO COBIT 2000

ANALISTAS EXPERTOS —USA

Prof. Ulric J. Gelinas, Bentley CollegeJohn Hayes, Price Waterhouse LLPGreg Hedges, Arthur Andersen & Co., S.C.Dave Kent, Price Waterhouse LLPTom Kothe, Ernst & Young LLPJohn Lainhart, Inspector General, U.S. House ofRepresentatives, USARobert Roussey, University of Southern California

EQUIPO DE CALIDAD

Gary Austin, GAOChris Bagot, NATORick Beatty, California Federal BankPeter De Koninck, Coopers & LybrandBalencia Dozier, Manufacturers BankDoris Gin, Arthur Andersen & Co., LLPA.I. Heijkamp, Computercentrum VSBMax Huijbers, RijkscomputercentrumPeter Maertens, NATOBill Pepper, Zergo, Ltd.Mark Stanley, Santa Barbara BankTjerk Terpstra, Inter AccessMark Wheeler, Farmers InsuranceCarla Williams, Executive Consultants

EL EQUIPO DEL PROYECTO

Erik Guldentops, S.W.I.F.T. S.C., BelgiumEddy Schuermans, Coopers & Lybrand, BelgiumThomas Lamm, ISACF, USA

COMITÉ QUE DIRIGE EL PROYECTO

Erik Guldentops, S.W.I.F.T. S.C., BelgiumJohn Beveridge, State Auditors’ Office,Massachusetts, USAProf. Dr. Bart De Schutter, Vrije Universiteit Brussels,Chairman BRT BelgiumGary Hardy, Arthur Andersen, United KingdomJohn Lainhart, Inspector General, U.S. House ofRepresentatives, USA

139

Anexo N1

Akira Matsuo, Chuo Audit Corporation, JapanEddy Schuermans, Coopers & Lybrand, BelgiumPaul Williams, Arthur Andersen, United KingdomThomas Lamm, ISACF, USA

INVESTIGADORES

Vrije Universiteit Amsterdam, The NetherlandsProf. M.E. Van Biene-HersheyRené Barlage, RB ConsultantsCalifornia Polytechnic University, USAProf. Dan Manson, Lead Researcher

ANALISTAS EXPERTOS —EUROPA

Chris Bagot, NATORené Barlage, RB ConsultantsProf. Dr. Henri Beker, Zergo, Ltd.John Beveridge, ISACA Past PresidentErik Guldentops, S.W.I.F.T. S.C.Gary Hardy, Arthur AndersenEddy Schuermans, Coopers & LybrandAlan Stanley, European Security ForumDanny Van Riel, Johnson & JohnsonBram Vandenberg, Ernst & Young.

140

Anexo N2

ANEXO No.2

LISTA DE PROVEEDORES Y PRODUCTOS CAATTs

Proveedor Página Web & Producto (s)

ABC Systems and Development, Inc.

http://www.abcsystems.com

ABC Lan Licenser 3

ACL Software http://www.acl.com/mvs

ACL for MVS/Windows

AntiOnline http://www.antionline.com/SpecialReports/Ogre/

Ogre

AT&T Info-Security http://www.att.com/secure_software/sa_sw.html

SecretAgent

Attest Systems, Inc. http://www.attest-gasp.com

GASP

Audit Serve Inc. http://www.auditserve.com

ExtrAUDITnaire

Auditek, Inc. http://www.auditek.com/auditek.html

TEAM Rite

Authentex Software Corporation

http://www.authentex.com/encryption/ds.html

DataSAFE

AutoTester, Inc. http://www.autotester.com

AutoController, AutoTester, AutoAdviser

AXENT Technologies, Inc. http://www.axent.com

OmniGuard Product Suite

Bindview Development http://www.bindview.com

Enterprise Management System

Blue Lance, Inc. http://www.bluelance.com/noframe/auditor.shtml

LT Auditor

Business Software Alliance, The

http://www.bsa.org

Guide to Software Management

Canadian Institute of Chartered Accountants

http://www.cica.ca/idea

IDEA

Candle Corp. http://www.candle.com

MQSecure

CaseWare International Inc. http://www.caseware.com

Caseware

Certification Training Institute, Inc.

http://www.ctrain.com

Ctrain

141

Anexo N2


Computer Associates International, Inc.

http://www.cai.com/products/dsm/sca.htm

ACF2, Examine, PANAUDIT PLUS, Panvalet, Top Secret

CONSUL Risk Management, Inc.

http://www.consulrisk.com

Consul/Audit for RACF

Data Junction Corporation http://www.datajunction.com/products/prod_idx_djwin.htm

Data Junction

Datawatch Corporation http://www.datawatch.com

Monarch

Decision Technology http://www.dtiprinceton.com/products.htm

Decision Analyzer

Deloitte & Touche http://www.dtcas.co.za/va.htm

Visual Assurance

Deloitte Touche Tohmatsu International

http://www.dttus.com/us/what/SerLines/AUD_ACC/as20001.htm

AuditSystem/2

Elron Software http://www.elronsoftware.com

Firewall, Internet Manager, SofTrack Software Metering

Expert Choice, Inc. http://www.ExpertChoice.com

Expert Choice

Eye-t Technology Ltd. http://www.eye-t.com

Authorize, TF2000

Finjan Software http://www.finjan.com

Finjan

First Chicago NBD http://audit.wordlink.com

Auditor Assistant, Auditor Assistant Team Manager

Funk Software http://www.funk.com

AppMeter II

Geac Computer Corporation Limited

http://www.smartstream.geac.com/solutions/index.htm

Smartstream

Goldmine Software Corporation

http://www.goldminesw.com

Goldmine

Grupo TI Soluciones http://www.newtech.co.cr

Auditors´Software Toolset (AST)

IBM Corporation http://www.s390.ibm.com/products/racf/racfhp.html

Resource Access Control Facility

IHS Finanial Products http://www.ihsfinancial.com/sentpage.htm

Audit Sentry

IMTI Systems http://www.imtisystems.com

ARIES Audit System, Premis Audit System, Premium Audit System

142

http://www.datawatch.com/

http://www.consulrisk.com/

Anexo N2


InfoProtect http://www.InfoProtect.com

Dial-Up Auditor

Information Builders http://www.ibi.com

EDA, FOCUS, SNAPpack Audit

Information Discovery, Inc. http://datamine.inter.net/datamine

Data Mining Suite

Integralis, Inc. http://www.mimesweeper.integralis.com

MIMEsweeper

Internet Security Systems, Inc. http://iss.net/prod/complete.html

SAFEsuite

INTERSOLV, Inc. http://www.intersolv.com/products/index.htm

DataDirect, PVCS Series, QualityWorks

Intrusion Detection, Inc. http://www.intrusion.com/products/ksm.htm

Kane Security Monitor

ISACA http://www.isaca.org

COBIT

J.E. Boritz Consultants Limited http://www.jebcl.com

auditMASTERPLAN

JD Edwards http://www.jdedwards.com/technology/oneworld.asp

OneWorld

KansasBay Systems http://www.kansasbay.com

DeskTracy

Linton Shafer Computer Services, Inc.

http://www.lintonshafer.com

The Number

KPMG Peat Marwick http://www.audinfor.com

GESIA 2000

Lockheed Martin Labs http://www.atl.external.lmco.com/projects/minotaur

Minotaur-II File Encryptor

Majengo Software http://www.majengo.com

AuditJob

Mark Nigrini none

DATAS

MAS-Hamilton Group http://www.mas-hamilton.com/auditcon.htm

AUDITCON

McAfee http://www.mcafee.com

Service Desk, ZAC Suite

MegaSolve Corp. http://www.megasolve.com

MegaSolve Security Server Administrator

Methodware http://www.methodware.co.nz/cgi-bin/products/products.pl

CMM Advisor, COBIT Advisor, COBIT Management Advisor

Micrografx Inc. http://www.micrografx.com

ABC Flowcharter

143

Anexo N2


MicroMash http://www.micromash.com

MicroMash

Microsoft Inc. different sites

MS Resource Kit, Team Manager 97

More Systems http://www.moresys.com

MORE Application Manager

Network Associates, Inc. http://www.nai.com/default_pgp.asp

Pretty Good Privacy

Network Flight Recorder, Inc. http://www.nfr.net/forum/publications/LISA-97.htm

Network Flight Recorder

Network General http://www.ngc.com

Sniffer Network Analyzer

New Dimension Software http://www.ndsoft.com

Control-D, Control-SA

Novell http://www.novell.com/products/managewise/index.html

ManageWise 2.1

Oracle http://www.oracle.com/st/products/uds/oracle8

Oracle 8

Paisley Consulting http://cmgate.com/~paisley/index.html

AutoAudit, Workforce

Pathfinder http://www.u-net.com/pathfinder

Barefoot Auditor

PCI Services, Inc. http://www.pciwiz.com

The Wiz

Pentasafe http://www.pentasafe.com

PS Audit, PS Secure

Platinum Software Corp. http://www.platsoft.com/products/sql/sqlapps.htm

Platinum SQL

Pleier & Associates http://www.pleier.com

ADM PLUS

Preferred Systems Inc. http://interop.sbforums.com/ltbdir/company/192065/320927.html

Auditware for NDS

Price Waterhouse http://www.pw.com/energy/applications.htm

PW Controls, Price Waterhouse Products, TeamMate

Reuters Risk Management http://risk.reuters.com

Kondor +, SailFish

SAS Institute Inc. http://www.sas.com

SAS System

Sassafras Software, Inc http://www.sassafras.com

KeyAudit, KeyServer

SATAN http://www.fish.com/satan

SATAN

Seagate Software http://www.crystalinc.com/crystalreports

144

Anexo N2


Crystal Reports

Secure Networks, Inc. http://www.secnet.com/ballista

Ballista

Shatswell, MacLeod Software Group, Inc.

http://www.bancaudit.com/welcome1.htm

BancAudit, Patrol400

ShowCase Corporation http://www.showcasecorp.com/home.html

Showcase

Silvon Software http://www.silvon.com/sdm/sdm_asvu.htm

AS/vu

Software Publishers Association

http://www.spa.org/piracy/download.htm;

SPAudit

Somarsoft, Inc. http://www.somarsoft.com

DumpAcl

SPSS Inc. http://www.spss.com/software/allclear

AllClear

Strohl Systems http://www.strohl-systems.com/main.html

BIA Professional, LDRPS

Sybase, Inc. http://www.sybase.com/products/infomaker

Infomaker

System Integrators, Inc. http://www.sintegrators.com

License Broker

Tally Systems Corporation http://www.tallysys.com

Cenergy, CentaMeter, NetCensus, NetSonar, Veranda EMR

Technologic Software Concepts, Inc.

http://www.technologic.com

RAS Enterprise

Trillion Software Ltd. http://www.trillion.demon.co.uk

PCUA

Trusted Information Systems, Inc.

http://www.tis.com/prodserv/gauntlet/index.html

Gauntlet

UAC http://www.uac.com/central.htm

Central Administrator

UMC de Costa Rica. [email protected]

Gestión Procesos Auditoría

Vanguard Integrity Professionals

http://www.viplink.com

Vanguard Systems Auditor

WheelGroup Corporation http://www.wheelgroup.com/netrangr/1netrang.html

NetRanger

WizSoft Inc. http://www.wizsoft.com

Wizrule

145

mailto:[email protected]

Anexo N2


World Wide Digital Security, Inc.

http://www.wwdsi.com/saint/

SAINT

X-Tension http://www.x-tension.com/textframes/expl_frame.html

Data Explorer

Zydeco http://www.itssoftware.com/its/pv.html

PaperVue

Fuente: http://www.theiia.org/ecm/guide-ia.cfm?doc_id=838#pubref

146

Anexo N3

ANEXO 3

ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edición

147

Anexo N3

148

Anexo N3

149

Anexo N3

..../...

150

proyecto ii auditoría de ti-versión impresa final

Documents