proyecto ii auditoría de ti-versión impresa final.doc

7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc

1/163

UNIVERSIDAD NACIONAL

SISTEMA DE ESTUDIOS DE POSTGRADO

MAESTRIA EN ADMINISTRACION DE

TECNOLOGA DE INFORMACIN

CURSO PROYECTO INTEGRADO II

PROYECTO DE APLICACIN PRACTICA DE TECNOLOGA DE INFORMACION

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA

DE LA INFORMACION EN EL MINISTERIO DE HACIENDA

Clair Chacn Rodrguez

Jos Adrin Vargas Barrantes

Heredia, Costa Rica, agosto del 2001


2/163

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA

INFORMACION EN EL MINISTERIO DE HACIENDA

INDICE GENERAL

RESUMEN EJECUTIVO..............................................................................................................I

CAPITULO 1...............................................................................................................................1

INTRODUCCION.........................................................................................................................1

CAPITULO 2...............................................................................................................................7

MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI............................7

2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI...............................................................7

2.1.1 Enfoqu D An!on"o E#$n"qu......................................................................................7

2.1.2 Enfoqu % S&n%'& G&'#(&.............................................................................................11

2.1.) Enfoqu % M&nu* A'&u+..............................................................................................13

2.1., Enfoqu % -"o&' D*/&%o..........................................................................................15

2.1.0 Enfoqu D M&'"o P"&!!"n" Y O!'o.................................................................................21

2.1. Enfoqu % *& Fun%"3n 4&'& * Con!'o* 5 Au%"!o'(& % S"!& % Info'"3n6Mo%*o CO7IT8.......................................................................................................................29

2.1.9 Con"%'"on o:' *o D"f'n! Enfoqu........................................................33

2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA..................36

2.) PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI.................................................................................................................................................. 40

2.).1 C'"!'"o % *##"3n....................................................................................................40

2.).2 D#'"4#"3n %* Mo%*o P'o4u!o...............................................................................41

CAPITULO ).............................................................................................................................55


3/163

PROPUESTA DE ORGANI;ACIN DE LA AUDITORIA DE TECNOLOGIA DE LAINFORMACIN.........................................................................................................................55

).1 ASPECTOS CONCEPTUALES Y LEGALES.....................................................................55

).1.1 Con!'o* In!'no Info'

).1. P'"n#"4"o 4&'& * E>'#"#"o % *& Au%"!o'"& % TI.........................................................59

).2 ORGANI;ACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA.........63

).2.1 An!#%n!..................................................................................................................63

).2.2 O:>!"=o Gn'&* % *& Au%"!o'(& In!'n&.......................................................................65

).2.) M""3n? V""3n 5 V&*o'.................................................................................................65

).2., Fun#"on........................................................................................................................66

).2.0 O'/&n"+"3n...................................................................................................................68

).2. R#u'o Hu&no........................................................................................................69

).) PROPUESTA DE ORGANI;ACIN 5 RE@UERIMIENTOS DE RECURSOS HUMANOS70

).).1 O'/&n"+"3n % *& Au%"!o'(& % TI...............................................................................71

).).2 R#u'o Hu&no........................................................................................................75

CAPITULO ,.............................................................................................................................77

PROPUESTA DE HERRAMIENTAS COMPUTADORI;ADAS DE APOYO A LA AUDITORIA .77

,.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORI;ADAS EN LAAUDITORA...............................................................................................................................77

,.2 HERRAMIENTAS INFORMTICAS DE APOYO A ADMINISTRACIN DE LA AUDITORIA.................................................................................................................................................. 78

,.2.1 A*/uno E>4*o % H''&"n!& Co4u!&%o'"+&%& % A4o5o & *&A%"n"!'"3n % *& Au%"!o'(&...............................................................................................86


4/163

,.) HERRAMIENTAS INFORMTICAS DE APOYO FUNCION DE AUDITORIA DE TI.......93

,.).1 A*/uno >4*o % $''&"n!& #o4u!&%o'"+&%& % &4o5o & *& fun#"3n %Au%"!o'(& % TI.......................................................................................................................100

,., ELEMENTOS PARA UNA DECISIN SO7RE HERRAMIENTAS

COMPUTADORI;ADAS.........................................................................................................108

,.,.1 S"!u"3n A#!u&* % TI n *& D"'##"3n Gn'&* % Au%"!o'(& In!'n&........................108

,.,.2 TI n * M"n"!'"o % H"n%&...................................................................................109

,.,.) Mo%*o !o%o*3/"#o '#on%&%o 4&'& *& &u%"!o'(&..............................................110

,.,., P'o#o % C'"3n 5 D&''o**o % *& Au%"!o'(& % TI............................................110

,.,.0 Rqu'""n!o % H&'%B&'.....................................................................................111

,.0 PROPUESTA DE HERRAMIENTAS COMPUTADORI;ADAS........................................111,.0.1 H''&"n!& % A4o5o & *& A%"n"!'"3n % *& TI.................................................111

,.0.2 H''&"n!& % A4o5o & *& A%"n"!'"3n % *& Au%"!o'(&.....................................112

,.0.) H''&"n!& % A4o5o & *& Fun#"3n % Au%"!o'(&.....................................................113

CAPITULO 0...........................................................................................................................115

PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI ..........................115

0.1 CONSIDERACIONES ESTRATGICAS...........................................................................115

0.1.1 A4o'! % *& A%"n"!'"3n.......................................................................................115

0.1.2 A*#&n# %* P*&n............................................................................................................116

0.1.) O'/&n"+"3n 4&'& * D&''o**o %* P*&n....................................................................118

0.1., R"/o.......................................................................................................................... 118

0.2 COMPONENTES DEL PLAN OPERATIVO......................................................................119

0.) UNA APRO-IMACIN A LOS COSTOS.........................................................................132

CAPITULO ...........................................................................................................................134

CONCLUSIONES Y RECOMENDACIONES...........................................................................134

7I7LIOGRAFA.......................................................................................................................138


5/163

SITIOS CONSULTADOS.........................................................................................................139

INDICE DE ANE-OS

ANE-O 1.................................................................................................................................141

PARTICIPANTES PROYECTO CO7IT 2..........................................................................141

ANE-O NO.2..........................................................................................................................143

LISTA DE PROVEEDORES Y PRODUCTOS CAATTS..........................................................143

ANE-O ).................................................................................................................................149

ALGUNAS PANTALLAS DE LA HERRAMIENTACO7IT ADVISOR )ERA EDICIN ............149


6/163

DEDICATORIA

A Dios, Fuente de Luz y Esperanza.

A mis padres, Miguel Angel y Amparo Claudia, smbolo de amor, trabajo y bondad.

A mis hijas, Iania, !ailn y Lizeth, "uienes #on su amor y #omprensi$n %ueron mi

%uente de energa e inspira#i$n.

A mi hermana &alili y a su hijo 'os( )ablo, "uienes #on su apoyo y #ari*o,

estimularon mis deseos de supera#i$n.

Mi sin#ero agrade#imiento a mi #ompa*ero 'os( Adri+n, a su esposa andra y a sus

hijos, Ali#ia, Esteban, Eduardo, Mariel y Andrea, de "uienes re#ib mu#ho #ari*o,

apoyo y #omprensi$n para seguir adelante.

Clair


7/163

DEDICATORIA

Dedico este esfer!o e" #ri$er lgar a Dios, %ie"es cree$os e" &l

sa'e$os #or fe %e "o solo es (odo#oderoso si"o %e e" s i"fi"ito a$or

"os g)a * fortalece d)a a d)a. +racias a &l e te"ido el a#o*o de "a

$-er $* es#ecial co" la %e co$#arto $i ida, $i es#osa /a"dra, %ie"

"o solo to co$#re"si" #ara ace#tar las ase"cias * #riacio"es, si"o

%e ta$'i" "os aco$#a * a#o* e" $cos $o$e"tos de este

esfer!o. &l reco"o!co la co$#re"si" de $is adorados i-os e i-as,licia, &ste'a", &dardo, ariel * la #e%ea "drea, ellos "o solo a"

sido testigos si"o %e ta$'i" a" te"ido %e e"te"der #or% s #a#

"o #do $cas eces aco$#aarlos e" -egos, #aseos o e" ss

estdios. Clair * s fa$ilia, co" %ie"es esta e#erie"cia a eco

"acer "a a$istad %e tie"e $a*or alor %e todos los otros frtos de los

estdios reali!ados.

os dri"


8/163

ARADECI!IE"TO

gradece$os al i"isterio de Hacie"da la o#ort"idad %e "os 'ri"d #ara crsar el rogra$ade aestr)a as) co$o reali!ar este #ro*ecto de a#licaci" #rctica a'orda"do " te$a dei"ters i"stitcio"al.

la Directora +e"eral de ditor)a I"ter"a del i"isterio, icda Rosal)a Calder" +a$'oa,%ie" "o slo fe la #atroci"adora del #ro*ecto si"o %e sie$#re esto dis#esta adedicar"os tie$#o #ara a"ali!ar * co$e"tar te$as de "estro i"ters * facilit e" lo %e estoa s alca"ce la reali!aci" del #ro*ecto.

l ster is Caes o"ge, %ie" co$o ttor s#o orie"tar"os * #rese"tar"os de $a"erares#etosa * lle"a de sa'idr)a sgere"cias * o'seracio"es %e co"tri'*ero" a lograr "a

$a*or calidad de "estro #ro*ecto, * ade$s logr $otiar"os e" los $o$e"tos de dificltad.

los #rofesores ster os rrieta /ala!ar * ster aier e" ora, %ie"es orie"taro""estro esfer!o * co" s segi$ie"to $otiaro" la co"sta"cia * la 's%eda de la ecele"cia.

los %e $edia"te e"treistas, facilitaci" de doc$e"tos o sgere"cias "os #er$itiero" re"irla i"for$aci" "ecesaria * e"ri%ecer "estros criterios.

todos ....:CH/ +RCI/ .


9/163

Resumen Ejecutivo

RESUMEN EJECUTIVO

&l #rese"te doc$e"to es el resltado del #ro*ecto de a#licaci" #rctica de tec"olog)a de la

i"for$aci" reali!ado e" el $arco del crso ro*ecto I"tegrado II del #rogra$a de aestr)a e"

d$i"istraci" de (ec"olog)a de la I"for$aci" * re#rese"ta "a res#esta a la #ro'le$tica

descrita e" el Diag"stico so're ditor)a de /iste$as e" el i"isterio de Hacie"da, ela'orado

e" el crso ro*ecto I"tegrado I, del $is$o #rogra$a.

Co"for$e co" lo i"dicado, #rete"de co$o o'-etio ge"eral #ro$oer la i$#la"taci" de la

ditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da, $edia"te la

estrctraci" de "a #ro#esta %e co"sidere as#ectos orga"i!acio"ales, recrsos $a"os

* tec"olgicos, as) co$o " #la" de tra'a-o co"creto #ara este fi".

Co$#le$e"taria$e"te, se #la"tea" los sigie"tes o'-etios es#ec)ficos;

Defi"ir " $odelo $etodolgico o#eratio #ara el desarrollo de la f"ci" de la ditor)a

de (ec"olog)a de I"for$aci" e" el i"isterio de Hacie"da.

&la'orar "a #ro#esta de orga"i!aci" #ara la f"ci" de la ditor)a de (ec"olog)a de

I"for$aci" e" el i"isterio de Hacie"da.

ro#o"er los recrsos $a"os * erra$ie"tas co$#tadori!adas de a#o*o al aditor,

co"ocidas co$o C((s #or ss siglas e" i"gls "ecesarias #ara la i$#la"taci" de la ditor)a de (ec"olog)a de la

I"for$aci" e" el i"isterio de Hacie"da.

&strctrar " #la" de tra'a-o es#ec)fico #ara la i$#la"taci" de la ditor)a de

(ec"olog)a de la I"for$aci" e" el i"isterio.

&" ca"to a $etodolog)a, el estdio se a#o*a e" la i"estigaci" 'i'liogrfica, la 's%eda de

i"for$aci" #or $edio de I"ter"et, la reco#ilaci" directa de i"for$aci" $edia"te o'seraci".

"


10/163

Resumen Ejecutivo

dicio"al$e"te se reto$a" alg"os ele$e"tos del a"lisis de la e#erie"cia de otras

i"stitcio"es, reali!ado co$o #arte del diag"stico *a co$e"tado.

a #ro#esta ela'orada i"cor#ora los sigie"tes ele$e"tos;

a tili!aci" del $odelo ela'orado #or la I"for$atio" /*ste$s dit. "d Co"trol

ssociatio" ?I/C@ de"o$i"ado A'-etios de Co"trol #ara la I"for$aci" *

(ec"olog)as fi"es BCAI( co$o $odelo $etodolgico o#eratio #ara el desarrollo de

la f"ci" de ditor)a de (ec"olog)a de la I"for$aci".

:'icaci" de la f"ci" de aditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de

Hacie"da e" la Direcci" +e"eral de ditor)a I"ter"a, $edia"te la creaci" del rea

de ditor)a de (ec"olog)a de la I"for$aci" e" dica Direcci", co"for$ada

i"icial$e"te co" " Coordi"ador +e"eral de rea * dos #rofesio"ales e" i"for$tica.

d%isici" de la erra$ie"ta co$#tadori!ada CAI( a"age$e"t disor co$o

a#o*o a la ad$i"istraci" de la (ec"olog)a de la I"for$aci" * #ara ser tili!ada #or las

#ri"ci#ales reas i"for$ticas del i"isterio.

a ad%isici" de "a erra$ie"ta de a#o*o a la gesti" de la aditor)a, otra #ara la

f"ci" de ditor)a de (I * "a erra$ie"ta #ara la ealaci" del riesgo. Co$o

erra$ie"ta de a#o*o a la f"ci" de la aditor)a de (ec"olog)a de la I"for$aci" se

reco$ie"da la ad%isici" del CAI( disor, erra$ie"ta %e es co"gre"te co" el

$odelo reco$e"dado * adicio"al$e"te #rese"ta i$#orta"tes fortale!as.

sig"aci" de recrsos #ara la ad%isici" de "eo e%i#o #ara la Direcci" +e"eral

de ditor)a I"ter"a, co"for$e co" los re%eri$ie"tos del softEare %e se decida

ad%irir.

Arie"taci" de los #ri$eros esfer!os al fortaleci$ie"to del a$'ie"te de co"trol, #ara lo

cal se co"sidera co"e"ie"te i"iciar co" la ealaci" del do$i"io del $odelo CAI(

so're la"eaci" * Arga"i!aci", co"creta$e"te e" tres s'do$i"ios o #rocesos;

&alaci" * /egi$ie"to del la" estratgico, Defi"ici" de la Arga"i!aci" *

Relacio"es de (I * &alaci" del Riesgo.

""


11/163

Resumen Ejecutivo

si$is$o, a"%e el #la" o#eratio "o i"cl*e las actiidades %e le corres#o"der reali!ar a

la d$i"istraci", se co"sidera o#ort"o e#o"er los #ri"ci#ales a#ortes %e sta de'er

co"cretar co$o co"dicio"es "ecesarias #ara el adecado f"cio"a$ie"to de la ditor)a de

(ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da, se #la"tea" los sigie"tes;

Co$#ro$iso de la d$i"istraci"; a d$i"istraci" de'e as$ir la

res#o"sa'ilidad %e le es #ro#ia e" ca"to al diseo, i$#la"taci", actali!aci" *

#erfeccio"a$ie"to del siste$a de co"trol i"ter"o. or gra"des %e sea" los esfer!os

* a#ortes de la aditor)a, "o a'r alor agregado e" el ta"to la d$i"istraci" "o

as$a ese #a#el * se co$#ro$eta co" la i$#la"taci" de las reco$e"dacio"es %e

a%ella #rese"te co$o resltado de ss ealacio"es.

Dis#o"i'ilidad de recrsos; a d$i"istraci" de'e asig"ar los recrsos

fi"a"cieros * $a"os re%eridos #ara la i$#la"taci" de la #ro#esta. &" el

a#artado so're costos esti$ados, se $estra la i"ersi" i"icial e" ad%isici" de

e%i#o, softEare, recrso $a"o adicio"al * ca#acitaci" del #erso"al de la

Direcci" +e"eral de ditor)a I"ter"a, si" la cal eide"te$e"te "o ser #osi'le

llear a ca'o la #ro#esta.

d%isici" de la erra$ie"ta CAI( a"age$e"t disor #or #arte de la

d$i"istraci". Co$o " ele$e"to $s del ali"ea$ie"to de los esfer!os de la

ad$i"istraci" * de la ditor)a de (ec"olog)a dela I"for$aci" #ara fortalecer el

siste$a de co"trol i"ter"o se re%iere %e a$'as #artes te"ga" " $is$o e"fo%e *

se orie"te" acia la co"secci" de los $is$os o'-etios.

&la'oraci" del la" &stratgico (ec"olgico, actal$e"te e" #roceso, e

i"clsi" de la ditor)a de (ec"olog)a de la I"for$aci" de"tro del $is$o. a

co"clsi" de este la" &stratgico (ec"olgico * la #esta e" $arca del $is$o

co$o ele$e"to orie"tador de los esfer!os del i"isterio de Hacie"da e" el ca$#o

tec"olgico, ser la 'ase f"da$e"tal #ara el accio"ar de la ditor)a de (ec"olog)a

de la I"for$aci".

"""


12/163

Resumen Ejecutivo

de$s es "ecesario %e dico la" co"ce#te a#ro#iada$e"te el rol de la aditor)a *

s a#orte #ara el ali"ea$ie"to de la gesti" de la (I * los o'-etios del "egocio * e"

co"sece"cia co"sidere, tal * co$o fe $a"ifestado #or el e%i#o de tra'a-o e"cargado

de s ela'oraci", la i"trodcci" de la ditor)a de (ec"olog)a de la I"for$aci" co$o

"o de ss co$#o"e"tes * #ro*ectos #rioritarios.

Co" el #ro#sito de esta'lecer de $a"era es#ec)fica las accio"es %e de'er" desarrollarse

#ara e-ectar la #ro#esta, el doc$e"to i"cor#ora " #la" de o#eratio, esta'lecido #ara lo

%e #odr)a co"siderarse "a #ri$era eta#a, e" la %e el o'-etio ser < lograr la co"solidaci"

de la orga"i!aci" ad$i"istratia de la ditor)a de (ec"olog)a de la I"for$aci" * la

asig"aci" de recrsos $a"os * tec"olgicos $)"i$os #ara el desarrollo de esta f"ci" * el

fortaleci$ie"to del a$'ie"te de co"trol de (I de"tro del i"isterio=> lo %e de$a"dar, seg" el

cro"ogra$a de tareas ela'orado, " tie$#o esti$ado de dos aos * $edio.

&l #la" #ro#esto se estrctra e" 9 co$#o"e"tes, a sa'er; #ro'aci" del #ro*ecto, -ste de

la orga"i!aci" de la Direcci" de ditor)a I"ter"a, sig"aci" de Recrsos Fi"a"cieros,

Co"trataci" de Recrso H$a"o, Ca#acitaci" de F"cio"arios, d%isici" de /oftEare,

d%isici" de &%i#o de C$#to * Fortaleci$ie"to del $'ie"te de Co"trol.

Co$o #arte del #roceso de ela'oraci" del #la" o#eratio se adierte so're los

#ri"ci#ales riesgos %e se ide"tifica" e" tor"o al #ro*ecto, co"creta$e"te;

I"sficie"te a#o*o de las "eas atoridades i"stitcio"ales.

Go lograr la co"trataci" de #erso"al id"eo o#ort"a$e"te.

trasos e" el #roceso de co"trataci" ad$i"istratia.

si$is$o, se i"cl*e "a #ri$era a#roi$aci" a los costos de la e-ecci" del #la" #ro#esto,

co"for$e co" el cal se re%erir "a i"ersi" cerca"a a los 120,000 dlares, dra"te los

#eriodos #res#estarios 2002 * 2003.

or otra #arte, a los efectos de la #esta e" #rctica de la #ro#esta se reco$ie"da la

ela'oraci" de " doc$e"to de #ro*ecto 'asado e" la #ro#esta * e" los a-stes %e la

Direcci" +e"eral de ditor)a I"ter"a * las atoridades s#eriores esti$e" "ecesarios.

"=


13/163

Resumen Ejecutivo

&l tra'a-o ela'orado esta'lece co" sficie"te #recisi" a "estro criterio, los esfer!os *

actiidades a desarrollar, %eda #or er si ade$s del i"ters * co"cie"cia so're la "ecesidad

de la aditor)a de (I e" el i"isterio, eiste la ol"tad * el co$#ro$iso. Gos a'riga la

es#era"!a de %e de"tro de alg" tie$#o lo %e e#o"e$os co$o #ro#esta se co"ierta e"

realidad * ge"ere los 'e"eficios es#erados.

=


14/163

Captulo 1 Introduccin

CAPITULO 1

INTRODUCCION

Co$o resltado de la i"estigaci" reali!ada e" crso ro*ecto I"tegrado I, la cal co"sider

" diag"stico so're la aditor)a de siste$as e" el i"isterio de Hacie"da, se esta'leciero"

"a serie de as#ectos %e resalta" la "ecesidad de "a ealaci" i"de#e"die"te de la gesti"

de la (ec"olog)a de la I"for$aci" B(I. co"ti"aci" se reto$a" los $s relea"tes #ara

efectos del o'-etio de este doc$e"to;

Co"ce#to de aditor)a de siste$as s aditor)a de tec"olog)a de la i"for$aci"

"%e si 'ie" es cierto e" la $a*or)a de los casos los co"ce#tos se tili!a" i"disti"ta$e"te,

alg"os #rete"de" difere"ciarlos e" el se"tido de %e la aditor)a i"for$tica se orie"ta a la

ealaci" de la f"ci" i"for$tica co$o tal, co"sidera"do los difere"tes sericios %e esta

#resta as) co$o los as#ectos orga"i!atios asociados a dica #restaci", $ie"tras %e la

aditor)a de siste$as se refiere a la actiidad de la aditor)a al ealar deter$i"ado #roceso o

rea o#eratia, e" la %e de'e i"clirse " a"lisis so're los siste$as de i"for$aci"co$#tadori!ados %e a#o*a" dico #roceso.

or otra #arte, $s recie"te$e"te se a ido ge"erali!a"do el co"ce#to de aditor)a de

(ec"olog)a de la I"for$aci", e" " se"tido ge"rico * co" el fi" de a'arcar ade$s alg"as

reas %e a" to$ado $a*or relea"cia e" los lti$os aos co$o so" las relatias a las

teleco$"icacio"es, segridad, a#licacio"es e" Ee' * erra$ie"tas cola'oratias, e"tre otros.

Gecesidad de " $odelo o#eratio

&s #osi'le ide"tificar difere"tes for$as de estrctrar las reas de acci" de la aditor)a de

siste$as, "o o'sta"te, las difere"cias e"tre las $is$as res#o"de", "o ta"to a difere"cias e"

tor"o al $'ito de la $is$a si"o a los criterios #ara la agr#aci" de las tareas. &"

1


15/163


#rctica$e"te todos los casos se ide"tifica se#arada$e"te lo relatio a la ad$i"istraci" de la

f"ci" i"for$tica * las resta"tes reas se ide"tifica" seg" los criterios #articlares so're la

for$a de isali!ar la f"ci" i"for$tica * la i$#orta"cia relatia de dicas reas, lo cal se

e i"fle"ciado #or los aa"ces de la tec"olog)a de la i"for$aci". or lo ta"to, la orga"i!aci"

de la aditor)a i"for$tica e" "a i"stitci" es#ec)fica re%erir decidir el es%e$a o $odelo

a tili!ar, #ara lo cal es i$#orta"te co"siderar las caracter)sticas de la res#ectia i"stitci".

ro'le$tica orga"i!acio"al * del $arco reglador; co"tradiccio"es e i"co"gre"cias

e"tre la orga"i!aci" real * la "or$atia.

" "o se a logrado co"solidar "a orga"i!aci" eficie"te * f"cio"al #ara la gesti" de la (I

e" el i"isterio de Hacie"da, de tal for$a %e ta"to a "iel del $arco reglador, e" el %e se

ide"tifica" alg"as d#licidades de f"cio"es * la ase"cia de "a estrctra orga"i!atia

de'ida$e"te i"tegrada, co$o a "iel o#eratio, e" el %e so" eide"tes los efectos de las

deficie"cias de coordi"aci" e"tre las reas, se ide"tifica" deficie"cias * co"flictos %e

de$a"da" "a o#ort"a ate"ci".

ag"itd de la i"ersi" reali!ada e" ardEare, softEare * recrso $a"o dedicado a

so#ortar la gesti" de la (I e" el i"isterio.

"%e #or li$itacio"es de registro * co"trol o de e"trega de i"for$aci" "o fe #osi'le

o'te"er "a esti$aci" co"creta del $o"to, es eide"te %e el i"isterio de Hacie"da a

reali!ado e" los lti$os aos "a sig"ificatia i"ersi" de recrsos e" (ec"olog)a de la

I"for$aci" * $a"tie"e "a i$#orta"te ca"tidad de f"cio"arios dedicados a so#ortar la

gesti" de la (I. &llo se co"ierte e" "a de las -stificacio"es #ara la i"trodcci" de la

aditor)a de (I * otros esfer!os %e se orie"te" a $e-orar dica gesti".

Ca"tidad, "atrale!a * relea"cia de los siste$as de i"for$aci".

&l esfer!o de i"trodcci" * a#o*o al desarrollo de la (I e" la i"stitci" a lleado a %e e" la

actalidad los siste$as de i"for$aci" co$#tadori!ados, e" o#eraci" * desarrollo, "o solo

so" $cos si"o %e "a 'e"a #arte de ellos so" erra$ie"tas f"da$e"tales #ara la

2


16/163


#restaci" de los sericios 'sicos %e corres#o"de" a la i"stitci" * gestio"a" i"for$aci"

de relea"cia "o solo #ara el i"isterio si"o #ara el oder &-ectio co$o " todo.

&scaso desarrollo de la aditor)a de siste$as e" el i"isterio.

Co"for$e la "or$atia ige"te, la f"ci" de aditor)a de siste$as o aditor)a i"for$tica

corres#o"de a la Direcci" +e"eral de ditor)a I"ter"a, sitaci" %e se #rese"ta de igal

$a"era e" las i"stitcio"es a"ali!adas e" el estdio. Go o'sta"te, de'ido a los escasos

recrsos $a"os * tec"olgicos, las actiidades reali!adas se li$ita" a alg"os i"te"tos de

aditor)a de siste$as e" o#eraci", e" a#licacio"es #ara el desarrollo de alg"os #rocesos

co$#tadori!ados * e" estdios de segi$ie"to a la a#licaci" de dis#osicio"es de la

Co"tralor)a +e"eral de la Re#'lica, co$o resltado de las ealacio"es reali!adas e"

alg"os de los siste$as de i"for$aci" e" o#eraci". si$is$o, se a" e$itido criterios *

reco$e"dacio"es e" difere"tes ocasio"es so're esta te$tica, es#ecial$e"te e" ca"to a

co"troles de alto "iel.

Res#o"sa'ilidad de la ad$i"istraci" * res#o"sa'ilidad de la aditor)a de siste$as.

De acerdo co" los co"ce#tos 'sicos so're co"trol i"ter"o * aditor)a, es la d$i"istraci" la

res#o"sa'le del esta'leci$ie"to, a"lisis * $e-ora co"ti"a de los #rocedi$ie"tos * siste$as

de co"trol i"ter"o, $ie"tras %e la aditor)a se orie"ta a la ealaci" de los $is$os co"

criterio #rofesio"al e i"de#e"die"te, co" $iras a gara"ti!ar el adecado f"cio"a$ie"to. &stos

co"ce#tos de'e" estar adecada$e"te asi$ilados a "iel i"stitcio"al #ara "o ge"erar *

$a"te"er falsas e#ectatias e" tor"o a los a#ortes * resltados %e ge"era la aditor)a de

siste$as.

Co"cie"cia ge"erali!ada so're la co"e"ie"cia o "ecesidad de la aditor)a de siste$as.

)


17/163


&iste " co"se"so eide"te e" tor"o a la "ecesidad de desarrollar la aditor)a de siste$as e"

la i"stitci", esto es "a destaca'le fortale!a #or re#rese"tar " i$#orta"te ele$e"to

facilitador #ara la i"trodcci" * co"solidaci" de la aditor)a de siste$as e" el i"isterio.

Geos #ro*ectos * retos %e a ftro se #la"tea" * las eige"cias %e se ge"erar" e"

el ca$#o de la aditor)a de siste$as.

&l i"isterio se a #la"teado i$#orta"tes #ro*ectos * retos #ara los #ri$os aos e" $ateria

tec"olgica, lo cal "o slo reslta $eritorio si"o ta$'i" "a i$#orta"te fe"te de riesgos,

es#ecial$e"te e" tor"o al te$a de la segridad de los siste$as, es#ecial$e"te #or la l)"ea

esta'lecida e" ca"to al a#roeca$ie"to de las facilidades de i"ter"et #ara el desarrollo del

"egocio ssta"tio.

ri"ci#ales e#ectatias e" ca"to al a#orte de la aditor)a de siste$as.

a $a*or)a de los e"treistados o#i"a %e e" el i"isterio el #erfeccio"a$ie"to de los

siste$as de i"for$aci" es "o de los #ri"ci#ales a#ortes %e se es#era" de la aditor)a de

siste$as, ello de"ota cierta falta de #recisi" so're la res#o"sa'ilidad de la #ro#ia

d$i"istraci" e" tor"o a los co"troles %e de'e esta'lecer e" la gesti" de la (I, de c*os

esfer!os de#e"der la s#eraci" de la #ro'le$tica ide"tificada e" este ca$#o.

Ha'ie"do %edado clara$e"te esta'lecida la "ecesidad * co"se"so so're la i$#orta"cia de

co"tar co" "a "idad %e, co" criterio #rofesio"al e i"de#e"die"te, eale el co"trol i"ter"o e"

las difere"tes reas de la gesti" de la tec"olog)a de la i"for$aci" e" el i"isterio, es "estro

i"ters #la"tear "a #ro#esta %e #er$ita a la i"stitci" co"tar co" ese a#o*o, del cal se a

e"ido a'la"do desde ace arios aos #ero si" %e se a*a logrado co"cretar asta aora.

Co"for$e co" lo i"dicado a"terior$e"te, la i"estigaci" #rete"de, co$o o'-etio ge"eral

#ro$oer la i$#la"taci" de la ditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de

Hacie"da, $edia"te la estrctraci" de "a #ro#esta %e co"sidere as#ectos

,


18/163


orga"i!acio"ales, recrsos $a"os * tec"olgicos, as) co$o " #la" de tra'a-o co"creto #ara

este fi".

Co$#le$e"taria$e"te, se #la"tea" los sigie"tes o'-etios es#ec)ficos;

Defi"ir " $odelo $etodolgico o#eratio #ara el desarrollo de la f"ci" de la ditor)a

de (ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da.

&la'orar "a #ro#esta de orga"i!aci" #ara la f"ci" de la ditor)a de (ec"olog)a de

la I"for$aci" e" el i"isterio de Hacie"da.

ro#o"er los recrsos $a"os * erra$ie"tas co$#tadori!adas de a#o*o al aditor,

co"ocidas co$o C((s #or ss siglas e" i"gls "ecesarias #ara la i$#la"taci" de la ditor)a de (I e" el i"isterio de

Hacie"da.

&strctrar " #la" de tra'a-o es#ec)fico #ara la i$#la"taci" de la ditor)a de (I e" el

i"isterio.

&" ca"to a $etodolog)a, el estdio se a#o*a e" la i"estigaci" 'i'liogrfica, la 's%eda de

i"for$aci" #or $edio de i"ter"et, la reco#ilaci" directa de i"for$aci" $edia"te o'seraci".

dicio"al$e"te se reto$a" alg"os ele$e"tos del a"lisis co$#aratio de la e#erie"cia de

otras i"stitcio"es reali!ado co$o #arte del diag"stico *a co$e"tado.

Co$o todo estdio, el #rese"te a te"ido %e e"fre"tar li$itacio"es, %e de "a otra for$a

a" restri"gido la co"secci" de los o'-etios. &" ese se"tido, el i"ters de estrctrar "a

#ro#esta %e co"sidere los difere"tes as#ectos -"to co" la dis#o"i'ilidad de tie$#o #ara la

reali!aci" del estdio, "o #er$ite" #rof"di!ar e" alg"os as#ectos co$o la deter$i"aci" de

cargas de tra'a-o #ara la defi"ici" de la #la"tilla ideal #ara la ditor)a de (ec"olog)a de la

I"for$aci" B e" adela"te ditor)a de (I o " a"lisis tc"ico de las difere"tes erra$ie"tas

co$#tadori!adas de a#o*o a la gesti" de la aditor)a, te$as %e e" s) $is$os co"llear)a"

" esfer!o e" tie$#o * recrsos si$ilar a la i"estigaci" %e "os oc#a.

0


19/163


Co"for$e co" los o'-etios * co"sideracio"es, el doc$e"to fi"al del #rese"te #ro*ecto

co"sidera arios ca#)tlos. &" el ca#)tlo 2, se a"ali!a" los #la"tea$ie"tos de difere"tes

atores e" ca"to $etodolog)a #ara el desarrollo de la ditor)a de (I * se #ro#o"e " $odelo

%e, a "estro criterio, res#o"de a las caracter)sticas * sitaci" del i"isterio.

&" seg"do lgar, se a"ali!a" los as#ectos co"ce#tales * legales relacio"ados co" la

estrctra orga"i!atia de la ditor)a de (I, as) co$o la orga"i!aci" actal * los recrsos

$a"os co" %e ce"ta la Direcci" +e"eral de ditor)a I"ter"a, #ara fi"ali!ar co" la

#ro#esta de orga"i!aci" * re%eri$ie"to $)"i$o de recrsos $a"os #ara la ditor)a de

(I.

&" el ca#)tlo catro se #la"tea la i$#orta"cia del so de erra$ie"tas co$#tadori!adas e" la

ditor)a de (I, ta"to #ara el a#o*o de la ad$i"istraci" de la aditor)a co$o a la f"ci" de

ditor)a de (I, se #la"tea" alg"os ele$e"tos a co"siderar e" la selecci" de erra$ie"tas

co$#tadori!adas * fi"al$e"te se #ro#o"e la ad%isici" de alg"as de estas.

/egida$e"te se #rese"ta " #la" o#eratio #ara la i"trodcci" de la ditor)a de (I, #ara lo

cal se e#o"e" alg"as co"sideracio"es estratgicas, s#estos, alca"ce, orga"i!aci" *

riesgos asociados co" la e-ecci" del #la". si$is$o se #la"tea "a a#roi$aci" de los

costos #ara la e-ecci" del #la".

or lti$o, se #rese"ta" las co"clsio"es del a"lisis reali!ado * las reco$e"dacio"es #ara la

e-ecci" del #la" #ro#esto #ara la i"trodcci" de la ditor)a de (I e" el i"isterio.

Fi"al$e"te, es#era$os %e el a"lisis reali!ado * la #ro#esta #la"teada sira de 'ase #ara

co"ertir e" realidad la eiste"cia de " rea de ditor)a de (I, * e" lti$a i"sta"cia, se

co"solide * fortale!ca el siste$a de co"trol i"ter"o del i"isterio.


20/163

Captulo 2 Modelo Metodolgico Propuesto

CAPITULO 2

MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI

&" el #rese"te ca#)tlo se #la"tear " $odelo $etodolgico o#eratio #ara el desarrollo de la

ditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da. ara ello e" " #ri$er

$o$e"to se #rese"ta" * a"ali!a" los e"fo%es de difere"tes atores * lego se reto$a" los

as#ectos 'sicos del diag"stico i"stitcio"al, co" el #ro#sito lti$o de %e la #ro#esta

res#o"da a las caracter)sticas * sitaci" de la i"stitci".

2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI

a ditor)a de (I se sele estrctrar e" difere"tes reas, #ara lo cal se a" #rese"tado

difere"tes $odelos o es%e$as. &" "estro caso, co" el #ro#sito de ofrecer "a isi"

ge"eral, e" e! de #rese"tar "o de ellos se o#ta #or descri'ir arios e"fo%es * reali!ar "

a"lisis so're si$ilitdes. l efecto se co"sidera" a%ellos %e a "iel "acio"al a" destacado

e" este ca$#o, as) co$o los %e a "iel i"ter"acio"al se a" co"siderado de $a*or relea"cia

de co"for$idad co" lo i"estigado e" esta o#ort"idad.

2.1.1 Enfoqu D An!on"o E#$n"qu

:" #ri$er e"fo%e es el #rese"tado #or "to"io &ce"i%e e" s li'ro ditor)a e" I"for$tica,

%e es "o de los clsicos e" esta $ateria. &ste ator disti"ge;


21/163


a ealaci" ad$i"istratia co$#re"de los as#ectos sales del #roceso ad$i"istratio co" el

#ro#sito de deter$i"ar si desde el #"to de ista ad$i"istratio@ orga"i!atio se est"

c$#lie"do co" los criterios #reesta'lecidos. /e c're" as#ectos co$o;

A'-etios del de#arta$e"to, direcci" o gere"cia.

&" este #articlar el esfer!o del aditor se orie"tar a deter$i"ar si;

as res#o"sa'ilidades e" la orga"i!aci" est" defi"idas adecada$e"te * la

estrctra orga"i!acio"al est adecada a las "ecesidades.

&l co"trol orga"i!acio"al es adecado * se tie"e" los o'-etios * las #ol)ticas

adecadas, se e"ce"tra" ige"tes * est" 'ie" defi"idas.

os #estos se e"ce"tra" defi"idos * sealadas ss res#o"sa'ilidades.

&l a"lisis * descri#ci" de #estos est de acerdo co" el #erso"al %e los oc#a.

/e c$#le" los li"ea$ie"tos orga"i!acio"ales * si el "iel de salarios co$#arado

co" el del $ercado de tra'a-o.

os #la"es de tra'a-o co"cerda" co" los o'-etios de la e$#resa * si se ce"ta

co" los recrsos $a"os "ecesarios %e gara"tice" la co"ti"idad de la o#eraci"

o se ce"ta co"


22/163


a ealaci" de los siste$as * #rocedi$ie"tos * de la eficie"cia %e se tie"e e" el so de la

i"for$aci" co$#re"de, e"tre otros;

a ealaci" de siste$as; eiste" siste$as e"trela!ados co$o " todo o eiste"

#rogra$as aislados * si eiste " #la" estratgico #ara la ela'oraci" de los

siste$as.

a ealaci" del a"lisis.

/e de'e alorar si;

o /e est e-ecta"do e" for$a correcta * eficie"te el #roceso de la

i"for$aci".

o ede ser si$#lificado #ara $e-orar s a#roeca$ie"to.

o /e de'e te"er "a $a*or i"teracci" de los siste$as.

o /e tie"e #ro#esto " adecado co"trol * segridad so're el siste$a.

o &st e" el a"lisis la doc$e"taci" adecada.

&alaci" del diseo lgico del siste$a.

os #"tos a ealar so"; e"tradas, salidas, #rocesos, es#ecificacio"es de datos *

es#ecificacio"es de #roceso.

&alaci" del diseo f)sico del siste$a

&" esta eta#a se de'er" aditar los #rogra$as, s diseo, el le"ga-e tili!ado,

i"terco"ei" e"tre los #rogra$as * caracter)sticas del ardEare e$#leado #ara el

desarrollo del siste$a.

Co"trol de #ro*ectos.

Co"siderar as#ectos co$o la eiste"cia * relaci" de los #ro*ectos co" el #la"

$aestro, defi"ici" de #rocedi$ie"tos * res#o"sa'ilidades de a#ro'aci" de

#ro*ectos, #la"eaci" de los #ro*ectos, tc"icas de co"trol de #ro*ectos, etc.

Co"trol de siste$as * #rogra$aci".

as reisio"es se reali!a" e" for$a #aralela desde el a"lisis asta la #rogra$aci"

* ss o'-etios so" los sigie"tes; e" la eta#a de a"lisis ide"tificar i"eactitdes,

a$'igedades * o$isio"es e" las es#ecificacio"es, e" la eta#a de diseo desc'rir

errores, de'ilidades * o$isio"es a"tes de i"iciar la codificaci" * e" la eta#a de


23/163


#rogra$aci"; 'scar la claridad, la $odlaridad * erificaci" co" 'ase e" las

es#ecificacio"es.

I"strctios * doc$e"taci".

/e #rete"de ealar los i"strctios de o#eraci" de los siste$as #ara eitar %e los

#rogra$adores te"ga" acceso a los #rogra$as e" o#eraci" * %e c$#la" co" el

co"te"ido $)"i$o.

For$as de i$#la"taci".

/e de'e ealar los tra'a-os %e se reali!a" #ara i"iciar la o#eraci" de " siste$a,

esto es la #re'a i"tegral del siste$a, adecaci", ace#taci" #or #arte del sario,

e"tre"a$ie"to, etc.

/egridad f)sica * lgica de los siste$as.

/e de'e a"ali!ar el i$#acto e" el re"di$ie"to del siste$a co$o resltado de

ca$'ios trasce"de"tales e" el siste$a o#eratio e" el e%i#o, #die"do #ara ello

tili!ar " #a%ete de #re'as ela'orado co" ese #ro#sito es#ec)fico.

or s #arte, la ealaci" del #roceso de datos * de los e%i#os de c$#to i"cl*e el a"lisis

de;

Co"troles de los datos fe"tes * $a"e-o de cifras de co"trol; ealar la e"trada

de la i"for$aci" * %e se te"ga" las cifras de co"trol "ecesarias #ara

deter$i"ar la eracidad de la i"for$aci".

Co"trol de o#eraci"; alorar los #rocedi$ie"tos e i"strctios for$ales de

o#eraci", a"ali!ar s esta"dari!aci" * ealar el c$#li$ie"to de los $is$os.

Co"trol de salida; alorar si las salidas del siste$a satisface" los re%eri$ie"tos

del sario * so" distri'idas seg" corres#o"de.

Co"trol de asig"aci" de tra'a-o; alorar la direcci" de las o#eracio"es de la

co$#tadora e" tr$i"os de eficie"cia * satisfacci" del sario. Co"trol de $edios de al$ace"a$ie"to $asios; ealar la for$a co$o se

ad$i"istra" los dis#ositios de al$ace"a$ie"to 'sico de la direcci".

1


24/163


Co"trol del $a"te"i$ie"to; a"ali!ar cl de los difere"tes ti#os de co"trataci"

del $a"te"i$ie"to es el $s co"e"ie"te * reisar los detalles del co"trato co"

el o'-eto de %e las clslas est" 'ie" defi"idas * se eli$i"e la s'-etiidad e

i"cor#ore las corres#o"die"tes #e"ali!acio"es #ara el #roeedor, #ara eitar

co"tratos #arciali!ados a faor de ste.

Arde" e" el ce"tro de c$#to; reisar las dis#osicio"es * regla$e"tos %e

coad*a" co" el $a"te"i$ie"to del orde" de"tro de la sala de $%i"as.

/egridad f)sica * lgica; se de'e co"siderar el siste$a i"tegral de segridad,

%e co$#re"de, e"tre otros; ele$e"tos ad$i"istratios, defi"ici" de "a #ol)tica

de segridad, orga"i!aci" * defi"ici" de res#o"sa'ilidades, segridad f)sica

co"tra catstrofes, siste$as de segridad de e%i#os * siste$as de i"for$aci",

#la"eaci" de #rogra$as de desastre B co"ti"ge"cia * s #re'a.

2.1.2 Enfoqu % S&n%'& G&'#(&

Atro es%e$a a co"siderar es el #rese"tado e" el $aterial del Crso de ditor)a de /iste$as

de la :"iersidad &statal a Dista"cia2, e" el %e se $e"cio"a" co$o reas #ara defi"ir el

alca"ce de la aditor)a de siste$as las sigie"tes;

Reisi" de Co"troles +e"erales del Ce"tro de C$#to; Reisar la estrctra

orga"i!acio"al, #ol)ticas, #rocedi$ie"tos o#eratios, a$'ie"te de co"trol,

o#eraci" de las i"stalacio"es de #rocesa$ie"to de datos, segridadJlgicaJf)sica,

#rocedi$ie"tos #ara el desarrollo * $a"te"i$ie"to de siste$as de

a#licaci"Jo#eratios.

/e de'e" a"ali!ar los co"troles orga"i!atios * gere"ciales, %e i"cl*e" a%ellos

%e 'ri"da" #rotecci" al a$'ie"te f)sico, as) co$o la asig"aci" de #erso"al

adecado * la o#eraci" eficie"te del ce"tro de #rocesa$ie"to de datos. &stos

co"troles de'e" 'ri"dar "a o#eraci" efica! a cargo de #erso"al calificado * del

cal se #eda de#e"der. /e de'e erificar la eiste"cia de adecados "ieles de

res#o"sa'ilidad * dar $arge" a "a adecada segregaci" de f"cio"es.

4ar#a, andra. Auditora In%orm+ti#a I5 6ota 7(#ni#a para el Curso Auditora de istemas. -228.

11


25/163


de$s de'e co"tar co" #rocedi$ie"tos * est"dares adecados #ara el

f"cio"a$ie"to glo'al del ce"tro de c$#to.

Reisi" del Ciclo de ida del Desarrollo de /iste$as B/DC; reisar la

$etodolog)a, "or$as, tareas * #rocedi$ie"tos #ara el desarrollo, ad%isici" *

$a"te"i$ie"to de softEare de a#licacio"es. &l aditor de'e a"ali!ar los riesgos

asociados * las e#osicio"es %e so" i"ere"tes e" cada fase * asegrarse de

%e los $eca"is$os de co"trol adecados est" ige"tes #ara $i"i$i!ar esos

riesgos de for$a efica! e" ca"to a costos.

&l siste$a de'e co"trolarse desde %e i"gresa a la co$#a)a *a sea #or

ad%isici" o #or el desarrollo. &s crcial %e el aditor co$#re"da la

$etodolog)a de desarrollo * ad%isici" de siste$as co" el fi" de ide"tificar los

#"tos l"era'les %e ei-a" co"trol. &" caso de %e falte" co"troles el #a#el

del aditor es asesorar al e%i#o del #ro*ecto * a la lta Direcci" de los co"troles

a#ro#iados a i$#la"tar * efectar el segi$ie"to de los ca$'ios #ro#estos.

Reisi" de /iste$as de #licacio"es; reisar, ealar * a"ali!ar las fortale!as *

de'ilidades de co"trol * o#eracio"es de"tro de los siste$as de a#licacio"es

eiste"tes. os co"troles de a#licacio"es se refiere" a los co"troles de las

f"cio"es de i$#t, #rocesa$ie"to * ot#t. os co"troles de a#licacio"es

i"cl*e" $todos #ara asegrarse %e solo e" " siste$a co$#tadori!ado se

i"gresa" * actali!a" datos co$#letos, eactos * lidos, el #rocesa$ie"to reali!a

la tarea correcta * %e los datos se $a"tie"e" correctos * actali!ados.

Reisi" de la co"ti"idad de las o#eracio"es; reisar las #ol)ticas *

#rocedi$ie"tos refere"tes a la #la"ificaci" de co"ti"ge"cias * la eficie"cia

o#eratia. &l esfer!o del aditor se orie"ta a;

&alar el #la" de co"ti"ge"cias #ara deter$i"ar la adecaci" *

actalidad.

erificar %e el #la" de co"ti"ge"cias es efica! #ara asegrar la

ca#acidad de #rocesa$ie"to.

12


26/163


&alar el sitio alter"o * deter$i"ar adecidad * segridad.

&alar la a'ilidad del #erso"al de siste$as * el #erso"al sario

#ara res#o"der e" for$a efica! a sitacio"es de e$erge"cia.

Reisi" (c"ica B/oftEare de /iste$as A#eratios; reisar las #ol)ticas *

#rocedi$ie"tos de desarrollo, ad%isici" * $a"te"i$ie"to de softEare de

siste$as o#eratios B teleco$"icacio"es, siste$as o#eratios, 'ases de

datos, &DI, etc=.

2.1.) Enfoqu % M&nu* A'&u+

or otra #arte, a"el ra! e" s li'ro

for$a e" %e est orga"i!ado el de#arta$e"to de c$#to, el estilo de direcci" %e se te"ga,

la #artici#aci" de los sarios e" la defi"ici" de los re%eri$ie"tos * el esta'leci$ie"to de

#rioridades, la ca"tidad de recrsos $a"os dis#o"i'les, s ca#acitaci", s $otiaci", la

$etodolog)a de tra'a-o e$#leada, la calidad de la doc$e"taci" de los siste$as, la for$a de

ad$i"istrar las 'ases de datos * otros as#ectos $s, tie"e" "a i"fle"cia $* ferte e" las

caracter)sticas de todos los siste$as de "a e"tidad. &" cada "o de estos te$as eiste "a

$e!cla de ele$e"tos tc"icos co" otros de carcter ad$i"istratio %e i"cide" e" todo el

accio"ar del rea de c$#to.

1)


27/163


a ealaci" de la ad$i"istraci" de la f"ci" i"for$tica, #or #arte del aditor, #rocra

deter$i"ar el rol %e e-erce la gere"cia e" la defi"ici" de los o'-etios * $etas del rea de

c$#to, la calidad de la #la"eaci" * el grado de c$#li$ie"to de los #la"es a largo * corto

#la!o, la orga"i!aci" de esta rea, los $todos * #rocedi$ie"tos e$#leados, los $eca"is$os

de co$"icaci" tili!ados, los co"troles esta'lecidos e" f"cio"es claes tales co$o

$a"te"i$ie"to de siste$as, ad$i"istraci" de 'ases de datos, ad$i"istraci" de la red de

tele#roceso, o#eraci" del co$#tador, #rocedi$ie"tos de res#aldo * rec#eraci" * otros

#"tos $s.

&" este ti#o de ealaci" se trata de a"ali!ar as#ectos co$o c$#li$ie"to de $etas,

#rotecci" de actios * so eficie"te de los recrsos.

:. Au%"!o'(& % *o "!& n 4'o%u##"3n

a aditor)a de los siste$as e" #rodcci" se orie"ta a la ealaci" de as"tos tales co$o;

los $eca"is$os de segridad de acceso esta'lecidos, los co"troles de e"trada de datos, de

#rocesa$ie"to * de #rodcci" de salidas eiste"tes, los #rocedi$ie"tos de res#aldo

a#licados.

s#ectos co$o $ala defi"ici" de #erfiles, de'ilidades e" las alidacio"es de la e"trada de los

datos * otros $s tie"e" " ferte i$#acto e" la co"fia"!a %e se de#osite e" el siste$a de

co"trol i"ter"o de la co$#a)a.

&l ele$e"to clae de este ti#o de ealaci" es la i"tegridad de los datos. os co"ce#tos de

totalidad, eactitd * o#ort"idad so" la 'ase de las aditor)as a los siste$as e" #rodcci".

&" esta rea, la #artici#aci" co"sta"te del aditor es $* i$#orta"te.

#. Au%"!o'(& &* %&''o**o % "!&

a co"ce#ci" $oder"a de la aditor)a #rocra %e sta se co"ierta e" "a f"ci" asesora

de la ad$i"istraci". &" el caso del rea i"for$tica, este o'-etio "o se alca"!a si el aditor

"o #artici#a e" el #roceso de desarrollo de siste$as.

1,


28/163


as tc"icas de desarrollo de siste$as a" e"ido eolcio"a"do co" el #ro#sito de lograr

%e estos se a-ste" co" facilidad a los ca$'ios e" el e"tor"o. /i" e$'argo, a #esar de los

esfer!os reali!ados, sgerir $e-oras e" " siste$a e" #rodcci" #ara refor!ar el siste$a de

co"trol i"ter"o acarrea costos $* eleados. &sta realidad a #roocado %e el aditor "o

logre %e ss reco$e"dacio"es sea" i$#la"tadas e" for$a gil.

a co"ce#ci" de este ti#o de aditor)a es de aditar el ftro, #reer las de'ilidades *

sole"tarlas #reio a %e el siste$a e"tre e" o#eraci". :"a de las e"ta-as $s gra"des %e

#osee este ti#o de aditor)a es %e dis$i"*e, e" gra" $edida, los costos de i$#la"taci" de

las reco$e"dacio"es del aditor, lo cal ace ta$'i" %e s la'or sea ista de "a $e-or

$a"era.

&ste ca$#o se le #rese"ta al aditor co$o la #latafor$a ideal #ara lograr "a #artici#aci"

asesora $* actia. de$s, le #er$ite desarrollar, co" $co $e"os esfer!o, erra$ie"tas

ato$ati!adas #ara i"cor#orarlas a los siste$as e" desarrollo %e a*de" al c$#li$ie"to de

otras f"cio"es de la aditor)a e" los ca$#os fi"a"ciero, co"ta'le * ad$i"istratio.

%. E=&*u"3n %* &:"n! % "#'o#o4u!&%o'

&l age %e tie"e" o* los $icroco$#tadores e" las e$#resas a tra)do co"sigo la eolci"

de " a$'ie"te distri'ido de #rocesa$ie"to de datos. Co" esto, si a"tes se te")a" #ro'le$as

de doc$e"taci", riesgos de #rdida de #riacidad * de i"tegridad de los datos, co" los

$icroco$#tadores la #ro'le$tica se a i"cre$e"tado. &l aditor de'e to$ar co"cie"cia de

ello * #o"er es#ecial ate"ci" a s eolci" de"tro de la e$#resa.

&" s ealaci" se de'e" a"ali!ar as#ectos co$o; #rocedi$ie"tos de ad%isici" de


29/163


De $a"era si$ilar Kio$ar Delgado, ator del li'ro

resltados LM#ti$os. /o're este #articlar de'e" co"siderarse as#ectos co$o; e$isi",

#erti"e"cia, #'licaci", res#eto * co"trol.

Fi"al$e"te, e" este te$a de'e co"siderar la 'icaci" estrctral de"tro del orga"igra$a e"

%e se e"ce"tra el de#arta$e"to de i"for$tica as) co$o la descri#ci" de las

res#o"sa'ilidades de los i"tegra"tes del $is$o.

&l ca"to al recrso $a"o, se de'e ealar las #ol)ticas de selecci" de #erso"al, las

tc"icas de reclta$ie"to, las #ol)ticas de ca#acitaci" * e"tre"a$ie"to, as) co$o la

s#erisi" * la ealaci" de f"cio"es de este #erso"al.

D&''o**o % "!& % &4*"#"3n.

&l aditor es res#o"sa'le de dar segi$ie"to #er$a"e"te a la i"ersi" %e las e$#resas

reali!a" e" siste$as de a#licaci" * esto lo logra $edia"te s #artici#aci" e" el desarrollo de

los siste$as.

l efecto de'er co"siderar as#ectos co$o;

/i se ce"ta co" "a $etodolog)a adecada #ara el desarrollo de los

siste$as, %e ce"te co" la ca"tidad adecada #ara co"segir siste$as

co"fia'les, segros * adita'les.

1


30/163


artici#ar actia$e"te e" las actiidades de $a"te"i$ie"to de los siste$as *

#er$a"ecer alerta.

Co$#ro'ar la #artici#aci" actia del sario desde las fases $s te$#ra"as

del ciclo de ida del desarrollo de siste$as.

/i se reali! " estdio de facti'ilidad #reio a las erogacio"es.

/i se a" reali!ado los estdios sficie"tes #ara deter$i"ar co" eactitd las

"ecesidades de i"for$aci" del sario.

/i se a" co"te$#lado las for$as de #rese"taci" de las salidas, las

"ecesidades de co"trol * de res#aldo * si se a" i"clido sficie"tes #istas

de aditor)a.

Co$o ele$e"to de co$#ro'aci", de'e" reali!arse ealacio"es de lo %e a #asado

i"$ediata$e"te des#s de la i$#la"taci";

&l "iel de satisfacci" del sario.

&l %e la a#licaci" a*a 'ri"dado "a solci" satisfactoria a las

"ecesidades de sario.

a facilidad de $a"e-o de la a#licaci".

Cl es la relaci" costoJ 'e"eficio de la a#licaci".

:"a ealaci" de la adere"cia a los est"dares de desarrollo

O4'"3n % *o "!& % &4*"#"3n.

&l aditor de'er ealar %e la orga"i!aci" ce"ta co" los recrsos #ara lograr la e-ecci"

co"for$e a lo #la"eado * %e los de#arta$e"tos sarios e i"for$ticos da" " so a#ro#iado

a los recrsos. ara ello co"siderar;

Reisar las ad%isicio"es de e%i#os reali!adas * ealar s co"e"ie"cia res#ecto

de lo #la"eado.

Reali!ar #re'as %e le #er$ita" o'te"er " criterio so're la tili!aci" de los

recrsos del co$#tador.

19


31/163


Co$#ro'ar %e los recrsos de al$ace"a$ie"to so" ad$i"istrados de $a"era

adecada, reali!a"do #la"ea$ie"to de s so * de dis#osici" de los es#acios

dis#o"i'les.

Co$#ro'ar %e los recrsos de softEare c$#le" co" el #la"ea$ie"to esta'lecido *

%e co"stit*e" erra$ie"tas %e satisface" de la $e-or $a"era las "ecesidades de

orga"i!aci".

erificar %e los recrsos de softEare so" ad%iridos ca"do co"stit*e" la $e-or

o#ci" * e"fre"ta"do el a"lisis de la relaci" costo ? 'e"eficio.

Deter$i"ar si el softEare est sie"do 'ie" tili!ado, si el $a"te"i$ie"to %e se le

'ri"da es co"fia'le * segro, si todos los ca$'ios so" sficie"te$e"te co"trolados.

Reali!ar co$#ro'acio"es de %e se a" esta'lecido sficie"tes #rocedi$ie"tos de

co"trol de segridad.

&alar las li$itacio"es eiste"tes de acceso al lgar e" %e se 'ica" los e%i#os.

Co$#ro'ar %e se a" esta'lecido #rocedi$ie"tos #ara el $a"e-o de #osi'les

errores.

Ne se ce"te co" " #la" de co"ti"ge"cias * %e se a" co"te$#lado los

#ri"ci#ales #ro'le$as a %e #eda e#o"erse la e$#resa, %e las $edidas de

rec#eraci" so" reali!a'les * adecadas.

R=""3n % *& &4*"#"on.

&" la f"ci" de ealaci" de las a#licacio"es el aditor de'er;

1


32/163


Co$#ro'ar %e los datos c$#le" co" #rocedi$ie"tos de #re#araci"

adecados.

Ne eiste co"trol so're los doc$e"tos origi"ales, de $a"era %e so"

sficie"te$e"te cstodiados.

Ne eiste" co"troles so're la e"trada de los datos.

Reisar el #rocesa$ie"to de los datos, de $a"era %e se $a"te"ga s

i"tegridad, %e s $a"i#laci" es segra, li$ita"do la #osi'ilidad de ser

co"ocidos #or #erso"al "o atori!ado.

Ne se a" defi"ido * se a#lica" reglas de alidaci" de los datos.

Reisar los co"troles de salida, erifica"do %e se #o"e" a dis#osici" del

#erso"al atori!ado #ara ello. Co$#ro'ar %e las salidas #rese"ta" " for$ato adecado a las

"ecesidades del sario.

Co$#ro'ar %e los i"for$es est" dirigidos a %ie" corres#o"de.

Ne se a" diseado #rocedi$ie"tos #ara el $a"e-o de errores.

A%"n"!'"3n % *& :& % %&!o.

&l aditor de'er co$#ro$eterse co" la ealaci" * igila"cia del a$'ie"te e" %e se

$a"tie"e" los recrsos de i"for$aci", de for$a %e co$#re'e %e so're las 'ases de datos

eiste "a 'e"a ad$i"istraci", %e las tareas res#ectias est" segregadas de las resta"tes

f"cio"es i"for$ticas, %e eiste asig"aci" de res#o"sa'ilidades e" el so * reglacio"es

%e sste"te" la i"tegridad * totalidad de los datos co"te"idos e" esas 'ases.

si$is$o de'er erificar las co"dicio"es e" %e se $a"tie"e" los diccio"arios de datos * los

est"dares ado#tados #ara s $a"e-o.

erificar la ca#acitaci" %e se a 'ri"dado a ss sarios, ta"to i"for$ticos co$o

ad$i"istratios.

P'o#&"n!o %"!'":u"%o 5 '%.

1


33/163


&l aditor de'e estar e" ca#acidad de ealar la for$a e" %e se distri'*e" los recrsos

i"for$ticos de la e$#resa * so$eter a #re'a los co"troles %e se defi"e" #ara el so de los

recrsos i"for$ticos de la e$#resa, * so$eter a #re'a los co"troles %e se defi"e" #ara el

so de cada "o de esos recrsos, #ara la cstodia de los actios de la e$#resa * #ara la

li$itaci" de acceso %e se #eda dar desde las ter$i"ales 'icadas e" cal%ier lgar de la

e$#resa.

De'e ealar los est"dares defi"idos so're co"trol de las redes * co$#ro'ar %e las

caracter)sticas f)sicas del ardEare ad%irido o #ro#esto c$#le" satisfactoria$e"te co" las

"ecesidades del co"-"to de e%i#o * "o degradar la ca#acidad de o#eraci" de los e%i#os *a

co"ectados.

De'e ealar los $eca"is$os de co"trol * la asig"aci" de res#o"sa'ilidades #or el so de los

recrsos dis#o"i'les de la red, to$a"do e" ce"ta la "ecesidad de recrsos de res#aldo.

si$is$o, de'e erificarse la eiste"cia de #la"es de ca#acitaci" * adiestra$ie"to %e

asegre" " so #roecoso de los recrsos * la dis$i"ci" de riesgos de %e la acci" de

" sario #diera casar #ro'le$as a todos los sarios de la red. &" ese $is$o se"tido,

de'e reisarse la eiste"cia de " $a"al claro * de fcil e"te"di$ie"to %e le #er$ita a los

"eos sarios fa$iliari!arse co" los recrsos a s dis#osici".

De igal $a"era de'e" ealarse los co"troles de ide"tificaci" * erificaci" de

atori!acio"es, %e co"te$#le" ade$s la eiste"cia de #rogra$as de co"trol %e,

#er$a"e!ca" #e"die"tes del so de los recrsos.

A:"n! % "#'o#o4u!&%o'.3

&"tres ss actiidades, el aditor de'e co"te$#lar la ealaci" del este a$'ie"te, to$a"do

e" ce"ta difere"tes as#ectos res#ecto al so de $icroco$#tadores, de $a"era %e #eda

reisar al i"icio las actiidades %e se relacio"a" co" la ad%isici" de los e%i#os, e" las

9Delgado, :iomar. Auditora In%orm+ti#a. Editorial ;6ED. an 'os(. )ag


34/163


cales i"terie"e" las #ol)ticas de la e$#resa, erifica"do si todas las ad%isicio"es se a#ega"

a las #ol)ticas ad$i"istratias.

/e de'e erificar si se satisface" los co"troles res#ecto a la ad$i"istraci" * alorar s a#orte

al c$#li$ie"to de los o'-etios de la e$#resa.

De'e elar %e sola$e"te #er$a"e!ca" i"staladas a%ellas ersio"es de softEare so're las

%e la e$#resa dis#o"ga de "a lice"cia #ara o#erarla * erificar el c$#li$ie"to de la

legislaci", $otio #or el %e de'e #ro$oer el res#eto a los derecos de ator.

&" los e%i#os de $a*or ta$ao, de'e co"te$#larse la "ecesidad de co"tar co" " adecado

a$'ie"te de co"trol so're los arcios * las tra"saccio"es #rocesadas e" ellos, as) co$o las

#ol)ticas de acceso a los recrsos co"te"idos e" ellos. a correcta o#eraci" de los

$icroco$#tadores de'e ser reisada #or el aditor * ste de'e co$#ro'ar %e eiste"

adecadas #ol)ticas de res#aldo * co"trol de los datos al$ace"ados.

De'e co$#ro'ar %e las ad%isicio"es %e se realice" $a"te"ga" el grado "ecesario de

co$#ati'ilidad #ara asegrar $a*or ida a los recrsos de i"for$aci".

Co$o #ede "otarse, e" este caso se #rese"ta" i"de#e"die"te$e"te la reisi" de las

a#licacio"es * la ad$i"istraci" de las 'ases de datos %e e" el e"fo%e a"terior se i"cl*e"

de"tro de los siste$as e" o#eraci". si$is$o, el #rocesa$ie"to distri'ido se isali!a co$o

#arte del rea de a$'ie"te de $icroco$#tadores.

2.1.0 Enfoqu D M&'"o P"&!!"n" Y O!'o,

&" la reco#ilaci"


35/163


a ditor)a F)sica es el $edio %e a #ro#orcio"ar la eide"cia o "o de la segridad f)sica e"

el a$'ie"te e" el %e se a a desarrollar la la'or i"for$tica, #or lo %e "o se de'e li$itar a

co$#ro'ar la eiste"cia de los $edios f)sicos, si"o ta$'i" s f"cio"alidad, racio"alidad *

segridad. os o'-etios de esta so"; el edificio, las i"stalacio"es, e%i#o *

teleco$"icacio"es, datos * #erso"as.

Au%"!o'(& % *& Of"

de teto, erra$ie"tas #ara la gesti" de doc$e"tos, co$o co"trol de e#edie"tes o siste$as

de al$ace"a$ie"to #tico de la i"for$aci", age"das * 'ase de datos #erso"ales, siste$as de

tra'a-o e" gr#o co$o el correo electr"ico o el co"trol de fl-o de tra'a-o.

Au%"!o'(& % *& D"'##"3n

&"te"dida la aditor)a de la direcci" co$o aditor)a de la gesti" de la i"for$tica o

De#arta$e"to de I"for$tica, el aditor de'e ea$i"ar;

&8 &l #roceso de #la"ificaci" de siste$as de i"for$aci" * ealar si

ra!o"a'le$e"te se c$#le" los o'-etios #ara el $is$o. De'e co"siderar si se #resta

adecada ate"ci" al #la" estratgico de la e$#resa, si se esta'lece" $eca"is$os de

si"cro"i!aci" e"tre ss gra"des itos * los #ro*ectos i"for$ticos asociados * si se tie"e" e"

ce"ta ca$'ios orga"i!atios e"tor"o legislatio, eolci" tec"olgica orga"i!aci"

i"for$tica recrsos * otros.

:8 &alar el #roceso de orga"i!ar * co"trolar los recrsos, los fl-os de i"for$aci" *

los co"troles %e #er$ita" alca"!ar los o'-etios $arcados dra"te la #la"ificaci".

22


36/163


#8 "ali!ar las f"cio"es * res#o"sa'ilidades del de#arta$e"to de i"for$tica * lego

la segregaci" de f"cio"es.

%8 &alar %e la Direcci" de I"for$tica reali!a ss actiidades de"tro del res#eto a la

"or$atia legal a#lica'le. &" #articlar se co"sidera" f"da$e"tales los relatios a la

segridad e igie"e e" el tra'a-o, "or$atia la'oral, #rotecci" de datos #erso"ales, #ro#iedad

i"telectal del softEare. Re%isitos defi"idos e" la co'ertra de segros, co"tratos de

co$ercio electr"ico, tra"s$isi" de datos #or l)"eas de co$"icacio"es, as) co$o la

"or$atia e$itida #or los rga"os regladores.

Au%"!o'(& % *& E4*o!"3n

Corres#o"de a la ealaci" #eridica del f"cio"a$ie"to adecado de los siste$as

i"for$ticos o siste$as de i"for$aci", #ara asegrar la eiste"cia de la e$#resa * s#erar a

los co$#etidores. /igie"do las reco$e"dacio"es de CAI( el o'-etio ge"eral de la aditor)a

de e#lotaci" co"siste e" asegrarse de %e las f"cio"es %e sire" de a#o*o a las

(ec"olog)as de la I"for$aci" se reali!a" de for$a orde"ada * satisface" los re%isitos

e$#resariales.

ara acer el segi$ie"to * co$#ro'ar %e el siste$a de i"for$aci" est acta"do co$o es

#rece#tio, ste a'r de dis#o"er de " co"trol i"ter"o %e #ree"ga los ee"tos "o

deseados o e" s defecto los detecte * los corri-a.

&l es%e$a #ara llear aca'o las aditor)as de la e#lotaci" de los siste$as de i"for$aci"

se #rese"ta sigie"do la clasificaci" de los co"troles %e ace el #ro*ecto CAI(.

Au%"!o'(& %* D&''o**o

a aditor)a del desarrollo tratar de erificar la eiste"cia * a#licaci" de #rocedi$ie"tos de

co"trol adecados %e #er$ita" gara"ti!ar %e el desarrollo de siste$as de i"for$aci" se a

lleado a ca'o seg" #ri"ci#ios de i"ge"ier)a del softEare, orie"tados a o'te"er softEare

2)


37/163


eco"$ico %e sea fia'le, c$#la los re%isitos #reia$e"te esta'lecidos * f"cio"e de

$a"era eficie"te so're $%i"as reales.

a aditor)a de desarrollo se a'ordar desglos"dola e" dos gra"des a#artados;

ditor)a de la orga"i!aci" * gesti" del rea de desarrollo

ditor)a de #ro*ectos de desarrollo de siste$as de i"for$aci"

a $etodolog)a %e se sar es la #ro#esta #or la I/C BI"for$atio" /*ste$s dit a"d

Co"trol ssociatio" %e est 'asada e" la ealaci" del riesgo; #artie"do de los riesgos

#ote"ciales a los %e est so$etida "a actiidad, e" este caso el desarrollo de " siste$a de

i"for$aci", se deter$i"a" arios o'-etios de co"trol %e $i"i$ice" esos riesgos.

De"tro del #ri$er a#artado de'e ealar los sigie"tes o'-etios de co"trol;

a. /i el rea de desarrollo tie"e "os co$etidos asig"ados de"tro del de#arta$e"to

* "a orga"i!aci" %e le #er$ite el c$#li$ie"to de los $is$os.

'. /i el #erso"al del rea de desarrollo ce"ta co" la for$aci" adecada * est

$otiado #ara la reali!aci" de s tra'a-o.

c. /i eiste " #la" de siste$as, de tal $a"era %e los #ro*ectos se llea" a ca'o

se 'asa" e" dico #la".

d. /i la #ro#esta * a#ro'aci" de "eos #ro*ectos se reali!a de for$a reglada,

as) co$o la asig"aci" de recrsos.

e. /i el desarrollo de siste$as de i"for$aci" se ace a#lica"do #ri"ci#ios de

i"ge"ier)a del softEare a$#lia$e"te ace#tados.

f. /i la orga"i!aci" del rea se ada#ta a las "ecesidades d4e cada $o$e"to.

&l otro gr#o relatio a la aditor)a de cada #ro*ecto de desarrollo de /I te"dr " #la" disti"to

de#e"die"do de los riesgos, la co$#le-idad de $is$o * los recrsos dis#o"i'les #ara reali!ar la

aditor)a. &sto o'liga %e sea" la #ericia * e#erie"cia del aditor las %e deter$i"e" las

actiidades del #ro*ecto %e se co"trolar" co" $a*or i"te"sidad e" f"ci" de esos

#ar$etros.

2,


38/163


&l aditor de'e ealar;

a a#ro'aci", #la"ificaci" * gesti" del #ro*ecto

a fase de a"lisis

a fase de diseo

Fase de Co"strcci"

a fase de i$#la"taci"

Au%"!o'(& %* M&n!n""n!o

a eta#a de $a"te"i$ie"to de'e ser es#ecial$e"te co"siderada e" los estdios de

#rodctiidad * de la ditor)a I"for$tica. a $a"te"i'ilidad es el factor de calidad %e

e"glo'a todas a%ellas caracter)sticas del softEare desti"adas a acer %e el #rodcto sea

$s fcil$e"te $a"te"i'le, e" co"sece"cia, a co"segir "a $a*or #rodctiidad dra"te la

eta#a de $a"te"i$ie"to del softEare.

Au%"!o'(& % 7& % D&!o

Corres#o"de a la aditor)a de 'ases de datos la ealaci" de los o'-etios de co"trol e" el

ciclo de ida de "a 'ase de datos, a sa'er; estdio #reio * #la" de tra'a-o, co"ce#ci" de la

'ase de datos * selecci" del e%i#o, diseo * carga, e#lotaci" * $a"te"i$ie"to, * #or lti$o

la reisi" * #ost i$#la"taci".

Ca"do el aditor se e"ce"tra el siste$a e" e#lotaci" de'e estdiar e"tor"o de la 'ase de

datos %e 'sica$e"te co$#re"de;

&l /iste$a de +esti" de la ase de Datos B/+D, de"tro del %e destaca" los

sigie"tes co$#o"e"tes; el "cleo, el catlogo Bco$#o"e"te f"da$e"tal #ara

asegrar la segridad de la 'ase de datos, las tilidades #ara el ad$i"istrador de

la 'ase de datos, e"tre las %e se sele" e"co"trar alg"as #ara crear sarios,

co"ceder #riilegios, las %e se e"carga" de la rec#eraci" de la 'ase de datos;

arra"%e, co#ias de res#aldo, ficeros diarios * alg"as f"cio"e s de aditor)a, as)

co$o los le"ga-es de carta ge"eraci" %e i"cor#ora el #ro#io /+D.

20


39/163


/iste$a de $o"itori!aci" * a-ste, %e facilita" la o#ti$i!aci" de la 'ase de datos

/iste$a A#eratio, #ie!a clae del e"tor"o, #esto %e el /+D se a#o*ar e" los

sericios %e le ofre!ca el siste$a o#eratio e" ca"to a co"trol de $e$oria,

gesti" de reas de #rocesa$ie"to i"ter$edio, $a"e-o de errores, co"trol de

co"fide"cialidad, $eca"is$os de i"ter'lo%eo.

o"itor de (ra"saccio"es.

rotocolos * /iste$as Distri'idos; al acceder las 'ases de datos a tras de redes,

el riesgo de iolaci" de la co"fide"cialidad e i"tegridad se ace"ta. (a$'i" las

'ases de datos distri'idas #ede" #rese"tar graes riesgos de segridad.

a%etes de segridad> la eiste"cia e" el $ercado de arios #rodctos %e

#er$ite" la i$#la"taci" efectia de "a #ol)tica de segridad, #esto %e

ce"trali!a" el co"trol de accesos, la defi"ici" de #riilegios, #erfiles de sario *

otros.

Diccio"ario de datos> " fallo e" " diccio"ario o re#ositorio, sele llear co"sigo

"a #rdida de i"tegridad de los #rocesos, %e #ede" #rodcir errores e" for$a

re#etitia a lo largo del tie$#o, dif)ciles de detectar.

Herra$ie"tas C/& B Co$#ter ided /*ste$J/oftEare &"gi"eeri"g J I/&

B I"tegrated ro-ect /##ort &"iro"$e"ts

e"ga-es de carta ge"eraci" i"de#e"die"tes.

Facilidades de sario.

Herra$ie"tas de O$i"er)a de datosO.

#licacio"es.

&l aditor de'e erificar %e todos estos co$#o"e"tes tra'a-a" co"-"ta * coordi"ada$e"te

#ara asegrar %e los siste$as de 'ases de datos co"ti"a" c$#lie"do los o'-etios de la

e$#resa * %e se e"ce"tra" co"trolados de $a"era efectia.

as co"sideracio"es de la aditor)a de'e" i"clirse e" las disti"tas fases del ciclo de ida de

"a 'ase de datos, sie"do $* i$#orta"te %e los aditores #artici#e" cada e! $s e" el

#roceso de desarrollo, dis$i"*e"do as) ciertos costes * acie"do O$s #rodctiaO s la'or, la

direcci" de las e$#resas "o sie$#re OeO la la'or de aditor)a * co"trol co$o real$e"te

#rodctia, as$i"dola, la $a*or)a de las eces, co$o " gasto "ecesario.

2


40/163


Au%"!o'(& % T#n"#& % S"!&

a tarea de la aditor)a de tc"ica de siste$as es la e"cargada de aditar la estrctra

i"for$tica, es decir el co"-"to de i"stalacio"es, e%i#os de #roceso * el lla$ado softEare de

datos. Cada "o de esos a#artados co$#re"de;

Instalaciones

&ste a#artado i"clir salas de #roceso, co" ss siste$as de segridad * co"trol, as) co$o

ele$e"tos de co"ei" * ca'leado, es decir los ele$e"tos 'ase #ara aco"dicio"ar los

co$#o"e"tes del a#artado sigie"te;

Euipos de proceso

Corres#o"de a la ealaci" de los co$#tadores B$ai", $i"i * $icro, as) co$o ss

#erifricos, #a"tallas, i$#resoras, "idades de ci"ta, * los dis#ositios de co"$taci" *

co$"icacio"es Broters, $de$s

%oft&are de 'ase

/e co$#o"e" de los siste$as o#eratios, co$#iladores, tradctores e i"tr#retes de

co$a"dos * #rogra$as, -"to co" los gestores de datos o siste$as de ad$i"istraci" de

datos * toda "a serie de erra$ie"tas * co$#o"e"tes ailiares e i"ter$edios co$o

erra$ie"tas de desarrollo, facilidades de e#lotaci" co$o #la"ificadores, #a%etes de

segridad

Au%"!o'(& % *& C&*"%&%

/e refiere a la aditor)a de calidad del softEare, o sea al c$#li$ie"to de los re%eri$ie"tos

%e se a" esta'lecido, "or$al$e"te #or el sario o el clie"te, * las caracter)sticas i$#l)citas

%e de'e c$#lir todo softEare eco #rofesio"al$e"te a#arte de s reali!aci" seg"

deter$i"ados est"dares.

29


41/163


e co$#ete la ealaci" i"de#e"die"te de los #rocesos, los #rodctos softEare, el #rogreso

del #ro*ecto o el c$o se reali!a el tra'a-o, %e i"estiga la coi"cide"cia co" los est"dares,

l)"eas g)a, es#ecificacio"es * #rocedi$ie"tos 'asados e" criterios o'-etios %e i"cl*e" los

doc$e"tos %e es#ecifica";

a for$a o co"te"ido de los #rodctos a #rodcir.

os #rocesos e" los %e los #rodctos de'e" ser #rodcidos.

C$o de'e ser $edida a la adere"cia co" los est"dares o l)"eas g)a.

Au%"!o'(& % *& S/u'"%&%

Corres#o"de a la ealaci" de los $odelos o'-etios de co"trol de segridad esta'lecidos

#or la orga"i!aci", co" el #ro#sito de asegrarse %e los co"troles est" e" co"so"a"cia co"

las "eas ar%itectras, las disti"tas #latafor$as * las #osi'ilidades de las co$"icacio"es,

%e gara"ti!a" %e "o se #ierde la i"for$aci", %e est dis#o"i'le e" el $o$e"to re%erido

#ara la to$a de decisio"es.

as reas %e c're la aditor)a de segridad so";

Auditora de la seguridad fsica

ditor)a de la segridad lgica.

Auditora de la seguridad ( el desarrollo de aplicaciones)

Auditora de la seguridad en el rea de produccin

Auditora de la seguridad de los datos

Auditora de la seguridad de comunicaciones ( redes

Auditora de la continuidad de las operaciones

Au%"!o'(& % R%

&l #ri$er #"to es aditar la gere"cia de las co$"icacio"es, a fi" deter$i"ar %e la f"ci" de

gesti" de redes * co$"icacio"es est clara$e"te defi"ida, de'ie"do ser res#o"sa'le de la

gesti" de la red, i"e"tario de e%i#o, * "or$atia de co"ectiidad, #or la $o"itori!aci" de

las co$"icacio"es, registro * resolci" de #ro'le$as.

2


42/163


Co"sidera ta"to la aditor)a la red f)sica * la red lgica.

Au%"!o'(& % A4*"#"on

/e orie"ta a la reisi" de la eficacia del f"cio"a$ie"to de los co"troles diseados #ara cada

"o de los #asos de la a#licaci" fre"te a los riesgos %e trata" de eli$i"ar o $i"i$i!ar, co$o

$edios #ara asegrar la fia'ilidad B totalidad * eactitd, segridad, dis#o"i'ilidad *

co"fide"cialidad de la i"for$aci" #ro#orcio"ada #or la a#licaci".

ara este #ro#sito se tili!a" #ri"ci#al$e"te las sigie"tes erra$ie"tas; e"treistas,

e"cestas, o'seraci" del tra'a-o reali!ado #or los sarios, #re'as de co"for$idad,

#re'as ssta"tias o de alidaci" * el co$#tador $is$os BsoftEare es#eciali!ado.

lg"os casos es#ec)ficos de aditor)a de a#licacio"es so" la ealaci" de los siste$as de

a#o*o a la to$a de decisio"es * las a#licacio"es de si$lacio"es.

2.1. Enfoqu % *& Fun%"3n 4&'& * Con!'o* 5 Au%"!o'(& % S"!& % Info'"3n

6Mo%*o CO7IT8.

a F"daci" #ara el Co"trol * ditor)a de /iste$as de I"for$aci" * el Co$it Directio de la

$is$a, co" la #artici#aci" de disti"gidos es#ecialistas e" el ca$#o del co"trol, la aditor)a *

la (I, desarroll e" 1996 la #ri$era ersi" de este $odelo, el cal fe actali!ado e" 1998 *

e" el 2000, * a logrado "a i$#orta"te ace#taci" e" $cos #a)ses. &st diseado "o slo

#ara ser tili!ado #or sarios * aditores, si"o %e #ri"ci#al$e"te #ara ser sado co$o "a

lista de erificaci" #ara los #ro#ietarios de los #rocesos de "egocio.

CAI( est 'asado e" los A'-etios de Co"trol eiste"tes de la I"for$atio" /*ste$s dit a"d

Co"trol Fo"datio" BI/CF $e-orados co" los est"dares i"ter"acio"ales eiste"tes *

e$erge"tes tc"icos, #rofesio"ales, reglatorios * es#ec)ficos de la i"dstria. os A'-etios de

Co"trol reslta"tes, a#lica'les * ace#tados e" for$a ge"erali!ada, a" sido desarrollados #ara

ser a#licados a los siste$as de i"for$aci" de toda la e$#resa.

2


43/163


&" l)"ea co" lo a"terior los recrsos de (ec"olog)a I"for$tica #ede" so" defi"idos de la

sigie"te $a"era;

Datos; A'-etos datos e" s $s a$#lio se"tido, Be-; eter"os e i"ter"os, estrctrados* "o estrctrados, grficos, so"ido, etc.

/iste$as de #licaci"; /e e"tie"de co$o siste$as de a#licaci" la s$a de

#rocedi$ie"tos #rogra$ados * $a"ales.

(ec"olog)a; C're ardEare, siste$as o#eratios, siste$as de ad$i"istraci" de 'ases

de datos, redes, $lti$edia, etc.

I"stalacio"es; Recrsos #ara al'ergar * so#ortar los siste$as de i"for$aci".

+e"te; Ha'ilidades del #erso"al, co"cie"ti!aci" * #rodctiidad #ara #la"ear,

orga"i!ar, ad%irir, e"tregar, so#ortar * $o"itorear siste$as de i"for$aci" * sericios.

:" co"ce#to 'sico del %e se #arte es %e los recrsos de (ec"olog)a I"for$tica "ecesita"

ser ad$i"istrados #or " co"-"to de #rocesos agr#ados "atral$e"te #ara #roeer la

i"for$aci" %e "ecesita la e$#resa #ara el logro de ss o'-etios.

CAI( destaca el i$#acto so're los recrsos de (ec"olog)a I"for$tica -"to co" los

re%eri$ie"tos del "egocio %e "ecesita" ser satisfecos, e" ca"to a efectiidad, eficie"cia,

co"fide"cialidad, i"tegridad, dis#o"i'ilidad, c$#li$ie"to * co"fia'ilidad. dicio"al$e"te, 'ri"da

defi"icio"es #ara los re%eri$ie"tos del "egocio %e so" destilados de "ieles $s altos de

o'-etios #ara calidad, segridad e i"for$aci" fi"a"ciera seg" se relacio"a" co" (ec"olog)a

I"for$tica.

Co"sidera " co"-"to de 34 o'-etios de co"trol de alto "iel, "o #or cada "o de los

rocesos de (ec"olog)a I"for$tica, agr#ados e" catro do$i"ios; la"ea$ie"to *

Arga"i!aci", d%isici" e I$#le$e"taci", &"trega * /o#orte * o"itoreo, seg" se

caracteri!a" a co"ti"aci".

)


44/163


P*&n"3n 5 O'/&n"+"3n

&ste do$i"io c're la estrategia * las tcticas, es decir se refiere a la ide"tificaci" de la for$a

e" %e la tec"olog)a de la i"for$aci" #ede co"tri'ir de la $e-or $a"era al logro de los

o'-etios del "egocio. de$s, la co"secci" de la isi" estratgica "ecesita ser #la"eada,

co$"icada * ad$i"istrada desde difere"tes #ers#ectias. Fi"al$e"te, de'er" esta'lecerse

"a orga"i!aci" * "a i"fraestrctra tec"olgica a#ro#iadas.

&ste do$i"io co"sidera los sigie"tes o'-etios de alto "iel o #rocesos;

A1 Defi"ir " #la" estratgico de tec"olog)a de i"for$aci"

A2 Defi"ir la ar%itectra de I"for$aci"

A3 Deter$i"ar la direcci" tec"olgica

A4 Defi"ir la orga"i!aci" * de las relacio"es de (I

A5 a"e-ar la i"ersi" e" (ec"olog)a de I"for$aci"

A6 Co$"icar la direcci" * as#iracio"es de la gere"cia

A7 d$i"istrar recrsos $a"os

A8 segrar el c$#li$ie"to de re%eri$ie"tos eter"os

A9 &alar riesgos

A10 d$i"istrar #ro*ectos

A11 d$i"istrar calidad

A%qu""#"3n I4*n!"3n

ara llear a ca'o la estrategia de (I, las solcio"es de (I de'e" ser ide"tificadas,

desarrolladas o ad%iridas, as) co$o i$#le$e"tadas e i"tegradas de"tro del #roceso del

"egocio. de$s, este do$i"io c're los ca$'ios * el $a"te"i$ie"to reali!ados a siste$as

eiste"tes.

I1 Ide"tificar solcio"es

)1


45/163


I2 d%irir * $a"te"er softEare de a#licaci"

I3 d%irir * $a"te"er ar%itectra de tec"olog)a

I4 Desarrollar * $a"te"er #rocedi$ie"tos relacio"ados co" (I

I5 I"stalar * acreditar siste$as

I6 d$i"istrar ca$'ios

En!'/& % '="#"o 5 So4o'!

&" este do$i"io se ace refere"cia a la e"trega de los sericios re%eridos, %e a'arca desde

las o#eracio"es tradicio"ales asta el e"tre"a$ie"to, #asa"do #or segridad * as#ectos de

co"ti"idad. Co" el fi" de #roeer sericios de'er" esta'lecerse los #rocesos de so#orte

"ecesarios. &ste do$i"io i"cl*e el #rocesa$ie"to de los datos #or siste$as de a#licaci",

frece"te$e"te clasificados co$o co"troles de a#licaci".

D/1 Defi"ir "ieles de sericio

D/2 d$i"istrar sericios #restados #or terceros

D/3 d$i"istrar dese$#eo * ca#acidad

D/4 segrar sericio co"ti"o

D/5 +ara"ti!ar la segridad de siste$as

D/6 Ide"tificar * asig"ar costos

D/7 &dcar * e"tre"ar a los sarios

D/8 #o*ar * asistir a los clie"tes de (I

D/9 d$i"istrar la co"figraci"

D/10 d$i"istrar #ro'le$as e i"cide"tes

D/11 d$i"istrar datos

D/12 d$i"istrar i"stalacio"es

D/13 d$i"istrar o#eracio"es

Mon"!o'o

)2


46/163


(odos los #rocesos "ecesita" ser ealados reglar$e"te a tras del tie$#o #ara erificar s

calidad * sficie"cia e" ca"to a los re%eri$ie"tos de co"trol.

1 o"itorear los #rocesos

2 &alar lo adecado del co"trol I"ter"o

3 A'te"er asegra$ie"to i"de#e"die"te

4 ro#orcio"ar aditor)a i"de#e"die"te.

ara los a"teriores o'-etios de co"trol de alto "iel o #rocesos de (I, se defi"e" 318 o'-etios

detallados, a #artir de estos se desarrolla" 34 +)as de ditor)a %e i"cl*e" 376 #asos de

aditor)a, %e orie"ta" la ealaci" de la gesti" * el co"trol de los siste$as de (I.

2.1.9 Con"%'"on o:' *o D"f'n! Enfoqu

Des#s de #rese"tar los e"fo%es co"siderados * co"for$e el #ro#sito #la"teado se reali!a

" a"lisis co$#aratio de los $is$os. Go #rete"de$os e"trar a " a"lisis detallado #or

ra!o"es de tie$#o * de relea"cia #ara los #ro#sitos de la i"estigaci", si"o destacar las

#ri"ci#ales difere"cias * si$ilitdes, co" el #ro#sito lti$o de #erfilar lo %e de'er)a ser el

$odelo a #ro#o"er #ara la i"stitci".

"tes de reali!ar el a"lisis es #reciso reco"ocer la difere"te "atrale!a * sitaci" e" el

tie$#o de los #la"tea$ie"tos. arios se refiere" a #la"tea$ie"tos de atores i"diidales, "o

de ellos es resltado de los a#ortes de difere"tes atores * otro es el ge"erado co$o resltado

de " #roceso de a"lisis * a#ortes de es#ecialistas e" el ca$#o i"for$tico * de "a

orga"i!aci" es#eciali!ada e" la $ateria. or otra #arte, los #la"tea$ie"tos se 'ica"

te$#oral$e"te e"tre el ao 1991 * el ao 2000, sie"do es#erado %e los $s recie"tes

))


47/163


i"cor#ore" as#ectos reslta"tes de la eolci" de las tec"olog)as de la i"for$aci" e" los

lti$os aos.

&" #ri$er lgar, de'e$os destacar %e si 'ie" es cierto se detecta" difere"cias i$#orta"tes e"

el e"fo%e, la i$#resi" es %e dicas difere"cias so" $s de for$a %e de fo"do.

Go se ide"tifica" co"flictos e" ca"to a te$as o reas %e de'a" o "o co"siderarse, si"o $s

'ie" difere"cias e" ca"to al criterio de agr#aci" de dicas tareas. &sta sitaci" se

eide"cia e" el cadro Go. 1, e" el %e se #rese"ta "a isi" res$ida de cada "o de los

e"fo%es * las reas defi"idas, reslta"do claro %e es #osi'le ide"tificar tres gra"des

categor)as f"da$e"tales, i"de#e"die"te$e"te del "o$'re %e cada "o de los atores le

asig"a * la desagregaci" co" %e a'orda cada "a, a sa'er; d$i"istraci" de la (I,

Desarrollo de /iste$as * d$i"istraci" de los /iste$as e" A#eraci".

&" el caso del e"fo%e CAI( #rese"ta la #articlaridad de co"siderar se#arada$e"te el

$o"itoreo, orie"tado a la ealaci" reglar a tras del tie$#o #ara erificar s calidad *

sficie"cia e" ca"to a los re%eri$ie"tos de co"trol.

&l r#ido aa"ce %e se #rese"ta e" la tec"olog)a de la i"for$aci" ace %e se $odifi%e la

i$#orta"cia relatia de las reas o %e sr-a" "eas f"cio"es, co$o es el caso de la

ide"tificaci" se#arada del a$'ie"te de $icroco$#tadores o $s recie"te$e"te, el desarrollo

%e se da alrededor de la i"ter"et * s tili!aci" co$ercial. &" ese se"tido e" los e"fo%es

$s recie"tes se "ota "a $a*or #rese"cia de estos co$#o"e"tes.

&l grado de desagregaci" * #"tali!aci" de erra$ie"tas o criterios #ara la reali!aci" de

las aditor)as es disti"to e"tre los difere"tes e"fo%es, sie"do CAI( el %e llega a #la"tear "

"iel $a*or de desagregaci" co" 34 #rocesos o'-etios de co"trol de alto "iel * o g)as de

aditor)a co" 376 #asos.

),


48/163


CUADRO No. 1

ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI

ECHENI@UE GARCIA ARAU; DELGADO PIATTINI CO7IT

1. &alaci"ad$i"istratia del

Ce"tro de &D

1. Co"troles+e"erales del

Ce"tro de C$#to

1. d$i"istraci"de la F"ci"

I"for$tica

1. Co"trolesad$i"istratios

1. ditor)a de laDirecci"

1. la"ificaci" *Arga"i!aci"

2. &ficie"cia desiste$as *#rocedi$ie"tos *eficie"cia e" el sode la i"for$aci"

2. Ciclo de ida deldesarrollo desiste$as

2. Desarrollo desiste$as

2. Desarrollo desiste$as dea#licaci"

2. Desarrollo3. Calidad

2. d%isici" ei$#le$e"taci"

3. roceso dedatos * de lose%i#os de c$#to

3. /iste$as dea#licacio"es4. Co"ti"idad delas o#eracio"es5. Reisi" (c"ica

3. /iste$as e"#rodcci"4. $'ie"te de$icroco$#tadores

3. A#eraci" de lossiste$as dea#licaci"4. Reisi" de lasa#licacio"es5. d$i"istraci"de 'ases de datos6. rocesa$ie"todistri'ido * redes

4. F)sica5. Afi$tica6. lotaci"7. a"te"i$ie"to8. ases de datos9. (c"ica desiste$as10. Redes11. #licacio"es

12. /egridad

3. &"trega */o#orte

4. o"itoreo

Fe"te; &la'oraci" #ro#ia to$a"do de refere"cia lo descrito e" este ca#itlo

AUTOR DEL ENFOQUE

A

R

E

A

)0


49/163


2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA

co"ti"aci" se #rese"ta" los ele$e"tos $s relea"tes so're la sitaci" de la gesti" de

la (I e" el i"isterio. /e i"cl*e" a%), co" el i"ters de %e la #ro#esta co"sidere la sitaci"

es#ec)fica * res#o"da a las caracter)sticas de la i"stitci" e" %e se #rete"de i$#le$e"tar. l

efecto se co"sidera" seg" fero" #"tali!ados e" el diag"stico reali!ado #or los $is$os

atores co$o #arte del crso ro*ecto I"tegrado I.5

ro'le$tica orga"i!acio"al * del $arco reglador; co"tradiccio"es e i"co"gre"cias

e"tre la orga"i!aci" real * la "or$atia.

" "o se a logrado co"solidar "a orga"i!aci" eficie"te * f"cio"al #ara la gesti" de la (I

e" el i"isterio de Hacie"da, de tal for$a %e ta"to a "iel del $arco reglador, e" el %e se

ide"tifica" alg"as d#licidades de f"cio"es * la ase"cia de "a estrctra orga"i!atia

de'ida$e"te i"tegrada, co$o a "iel o#eratio, e" el %e so" eide"tes los efectos de las

deficie"cias de coordi"aci" e"tre las reas, se ide"tifica" deficie"cias * co"flictos %e

de$a"da" "a o#ort"a ate"ci".

ag"itd de la i"ersi" reali!ada e" ardEare, softEare * recrso $a"o dedicado a

so#ortar la gesti" de la (I e" el i"isterio.

"%e #or li$itacio"es de registro * co"trol o de e"trega de i"for$aci" "o fe #osi'le

o'te"er "a esti$aci" co"creta del $o"to, es eide"te %e el i"isterio de Hacie"da a

reali!ado e" los lti$os aos "a sig"ificatia i"ersi" de recrsos e" (ec"olog)a de la

I"for$aci" * $a"tie"e "a i$#orta"te ca"tidad de f"cio"arios dedicados a so#ortar la

gesti" de la (I. &llo se co"ierte e" "a de las -stificacio"es #ara la i"trodcci" de la

aditor)a i"for$tica * otros esfer!os %e se orie"te" a $e-orar dica gesti".

Ca"tidad, "atrale!a * relea"cia de los siste$as de i"for$aci".

&l esfer!o de i"trodcci" * a#o*o al desarrollo de la (I e" la i"stitci" a lleado a %e e" la

actalidad los siste$as de i"for$aci" co$#tadori!ados, e" o#eraci" * desarrollo, "o solo

so" $cos si"o %e "a 'e"a #arte de ellos so" erra$ie"tas f"da$e"tales #ara la

?Cha#$n @, Clair( y =argas . 'os( Adri+n. Diagn$sti#o sobre la Auditora de istemas en el Ministerio de!a#ienda. )roye#to de Apli#a#i$n )r+#ti#a. Maestra en Administra#i$n de 7e#nologa de la In%orma#i$n.

;niersidad 6a#ional. Abril 4BB-.

)


50/163


#restaci" de los sericios 'sicos %e corres#o"de" a la i"stitci" * gestio"a" i"for$aci"

de relea"cia "o solo #ara el i"isterio si"o #ara el oder &-ectio co$o " todo.

ri"ci#ales fortale!as del i"isterio e" la gesti" de (I.

&"tre las fortale!as ide"tificadas #or los e"treistados e" el ca$#o de

proyecto ii auditoría de ti-versión impresa final.doc

Documents