INDICE INTRODUCCION......................................................................................3 CAPTULO 1. - REFLEXIONES TERICAS SOBRE LAS AUDITORAS INFORMTICAS............................................................

4
PREMISAS FILOSFICAS ...........................................................................................................................................................4 CARACTERIZACIN, FUNCIONES Y ALCANCE DE LA AUDITORA INFORMTICA...................................................................................5 PRINCIPALES TIPOS DE AUDITORA INFORMTICA........................................................................................................................6

CAPTULO 2. - IMPLEMENTACIN Y PERSONALIZACIN DE LA AUDITORA INFORMTICA EN ETECSA..................................7

ELABORACIN Y DESARROLLO DE LA METODOLOGA DE TRABAJO...................................................................................................7 Elaboracin del programa...........................................................................................................................................11 de Auditora................................................................................................................................................................11 EXPERIENCIA PRCTICA.........................................................................................................................................................18

CAPTULO 3. - PROYECCIONES DE TRABAJO PARA ETECSA EN LAS AUDITORAS INFORMTICAS...........................................25 CONCLUSIONES....................................................................................27 RECOMENDACIONES...........................................................................29 BIBLIOGRAFA......................................................................................30

INTRODUCCION
El trabajo que a continuacin se presenta reflexiona sobre el papel de los Sistemas de Informacin para el buen gobierno empresarial y por ende la importancia que reviste auditar los recursos y tecnologas que lo soportan. Se enfatiza en la importancia del Auditor de Sistemas, el alcance de las funciones que esta llamado a desempear y la implementacin o personalizacin en las condiciones propias de la Empresa de Telecomunicaciones de Cuba. Partiendo de nuestras convicciones filosficas en tal sentido elaboramos nuestra metodologa de trabajo para el desarrollo de las Auditoras Informticas que reflejara y respondiera al proceso de re ingeniera en que actualmente se encuentra esta especialidad internacionalmente y asumiera las principales definiciones que en el mundo contemporneo se manejan. Acompaamos dicha metodologa con una experiencia prctica No dejamos de soslayar y enfatizamos nuestras proyecciones en aras de perfeccionar y contemporanizar el reto que en nuestro pas y en particular la ETECS.A. debe asumir con la Auditora Informtica y las acciones que en tal sentido nos proponemos realizar.

Captulo 1. - Reflexiones tericas sobre las Auditoras Informticas

Premisas Filosficas Segn Alcalde, Garca: Informtica es la ciencia que estudia el tratamiento automtico y racional de la INFORMACIN. Se cre en Francia en el ao de 1962 bajo la denominacin INFORMATIQUE: Informacin automtica. Cuando se habla de la funcin informtica generalmente se tiende a hablar de tecnologas modernas y nuevas formas de elaborar informacin consistente. Sin embargo se suele pasar por alto la base que hace posible la existencia de estos elementos. Esta base es la INFORMACION. "Administrar un negocio bien es administrar su futuro; y administrar el futuro es administrar INFORMACION" Marion Harper Jr. A finales del siglo XX, los SISTEMAS INFORMATICOS se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los SISTEMAS de INFORMACION de la empresa. La Informtica hoy esta integrada en la gestin integral de la empresa, tanto para garantizar la rapidez y eficiencia de las operaciones, as como para facilitar la toma de decisiones oportunas y seguras al ejecutivo. Es por ello que las normas y estndares informticos deben someterse a los generales de la misma. Por ello la importancia del Auditor Informtico: quien ha de velar por la correcta Informtico utilizacin de los amplios recursos que la Empresa pone en juego para disponer de un eficiente, eficaz y seguro Sistema de Informacin.

Caracterizacin, funciones y alcance de la Auditora Informtica La Auditora es el control de los controles. Su misin es emitir un criterio objetivo sobre el grado de diseo y uso de controles que garantizan razonablemente que los objetivos del negocio se alcancen. En el caso de la auditora informtica se centra fundamentalmente en los controles sobre Tecnologas de Informacin, no obstante, sin perder de vista el enfoque sistmico dictamina tambin sobre los controles manuales que afectan directamente a estas tecnologas. Para emitir estos criterios el auditor se basa en principios generalmente aceptados y en documentos regulatorios. Entre sus Funciones se encuentra: Auditoras (Gestin Informtica, Sistemas, Seguridad,...) Dictamn Tcnico como sustento para las Auditoras Financieras. Asesoras o Consultoras Diagnsticos de riesgos en la aplicacin de tecnologas de la informacin. Desarrollo de herramientas informticas para facilitar las funciones de auditoras, anlisis y monitoreo con apoyo de las tecnologas de informacin. Apoyo en la Administracin y Gestin de los servicios computacionales a lo interno de la Auditora Interna. Su Alcance trasciende a: Proceso de emisin de polticas y directrices para administrar la aplicacin de las tecnologas de Informacin en calidad de consultores dada su experiencia en la aplicacin del Control Interno. La evaluacin de los Procesos y Controles aplicados a las Tecnologas de Informacin, as como las etapas de Concepcin, Desarrollo e Implementacin de los Sistemas Informticos. Verificacin de los Procesos inherentes a la red telemtica y los servicios de telecomunicaciones que soportan los servicios informticos.

Principales tipos de Auditora Informtica Un Sistema de Informacin mal diseado puede convertirse en una herramienta harto peligrosa para la Empresa: como las mquinas obedecen ciegamente a las rdenes recibidas y la empresa est prcticamente modelada por sus Sistemas Informticos, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Este concepto obvio es a veces olvidado por muchas empresas. En este caso interviene la AUDITORIA DE SISTEMAS EN DESARROLLO. Las tecnologas de la informacin, y dentro de stas, la informtica, ha vivido durante los ltimos aos una poca dorada dentro de las organizaciones, en la que cualquier persona que trabajase en procesos de datos, gozaba de una inmunidad casi total, en gran parte por la existencia de una relacin inversa entre "formacin" informtica del personal directivo de la organizacin y dependencia hacia stas. La necesidad de toda organizacin de garantizar sus inversiones en este tipo de activos, sobre todo cuando crece la dependencia hacia ellos ha potenciado la aparicin de la AUDITORA A LA GESTIN INFORMTICA para garantizar un grado de eficacia y eficiencia en la utilidad que estos reportan. Un fenmeno que se ha ido incrementado paulatinamente en los ltimos aos es el hecho que las computadoras y los Centros de Proceso de Datos se han convertido en blancos apetecibles para el espionaje de informacin. Por otra parte se suele perder de vista que los Sistemas Informticos creados para procesar y difundir informacin elaborada pueden producir resultados errneos si los datos de entrada en un proceso son, a su vez, errneos. Para impedir estas situaciones y por ende garantizar que la informacin se mantenga confidencial, integra y disponible se realizan AUDITORA A LA SEGURIDAD de tales sistemas.

Captulo 2. - Implementacin y personalizacin de la Auditora Informtica en ETECSA

Elaboracin y desarrollo de la metodologa de trabajo. En nuestra Empresa dado el creciente y acelerado desarrollo de la tecnologa se hizo necesario adoptar la personalizacin de las Auditoras Informticas y las modalidades que sta asumira para el desempeo de la Auditora en general, el reto consista en barrer los tiempos de silencio informtico de la Direccin de Auditora acometiendo aceleradamente el desarrollo de las Auditoras Informticas asumiendo adems la capacitacin e informatizacin del resto de los auditores. Para comenzar en este empeo era imprescindible comprender los procesos de re ingeniera de esta especialidad y personalizar los cambios que en ella se plantean por organizaciones internacionales en aras de insertarnos en la teora ms moderna y eficiente que garantizara el enfoque sistmico en el anlisis de los procesos a Auditar argumentados en el Captulo I de este documento. Para dirigir nuestro estudio y esfuerzos comenzamos por hacer un levantamiento de la situacin en el Area de las Telecomunicaciones, la Informtica y la posicin de esta especialidad en el mbito nacional e interno. En cuanto a las Telecomunicaciones la digitalizacin ha alcanzado ms del 85 % de instalacin en la ETECS.A., amplindose cada vez ms nuestras redes de telecomunicaciones ofreciendo servicios tales como telefona, transmisin de datos, video conferencias, servicios de voz y datos integrados, servicios suplementarios sobre la telefona, entre otros aspectos.

 En el Area de Informtica la Empresa posee en explotacin aplicaciones como el SAP/R3, aplicacin contable que se explota en aproximadamente 40 pases desarrollados, el Sistema de Facturacin Nacional, el Sistema de Facturacin Internacional, entre otros, personalizados a partir de la experiencia del socio extranjero y que tcnicamente se gestionan centralizadamente sobre servidores UNIX-DIGITAL empleando como Gestor de Base de Datos el ORACLE. Para la comunicacin de las ms de 3 000 computadoras se emplean INTRANETs gestionadas en cada Entidad as como un punto de servicio que conecte a la Empresa con el resto del pas y el exterior con el empleo de un equipamiento y tecnologa de punta. En el marco organizativo nuestro grupo est formado por 4 Especialistas, de ellos 3 graduados en Informtica y 1 Ingeniero en Telecomunicaciones. En el marco gubernamental se carece de documentos normativos propios de la especialidad para ejercer sus funciones, adems de aquellos que rijan la actividad de informtica en cada una de las etapas de las aplicaciones. Centralizamos nuestra atencin, luego del conocimiento del entorno en la definicin de la Visin de la Auditora Informtica en ETECS.A. a partir de la cual trazar la Misin y los Objetivos especficos, sustentado en la visin general que de nuestros estudios anteriores se derivara y atemperado a las condiciones concretas de nuestra Entidad.

Como Visin de Auditora Informtica definimos conceptualmente: El conjunto de procedimientos que permiten evaluar el establecimiento de un Sistema de Control Interno asociado a las Tecnologas de Informacin, para determinar su grado de Seguridad, Auditabilidad, Controlabilidad, as como la eficiencia y eficacia de sus operaciones en correspondencia con los objetivos generales del negocio y acorde al cumplimiento de las normativas vigentes.

Esto conllev a priorizar ante todo, dos aspectos en los cuales sustentar nuestro trabajo: 1- Obtener una base evaluativa confiable o principios evaluados en su correspondiente enfoque sistmico. 2- Definir una metodologa adecuada de trabajo que permitiera elaborar nuestros propios programas de Auditora con la dinmica que estos exigen y adecuado a las caractersticas en concreto de cada lugar atemperado al concepto ms amplio de Sistemas de Informacin soportados sobre las tecnologas de informacin en su concepto ms amplio. Para la consecucin de la Primera tarea trazada estudiamos modelos internacionales tales como COSO, COCO, SAC, etc., como referencia para auditar sistemas complejos y altamente automatizados, arrojando que el Modelo Cobit diseado para el buen gobierno de las Tecnologas de Informacin era el adecuado para la evaluacin de la misma. Es necesario ahondar sobre el Modelo Cobit por cuanto constituye un Modelo de Control Interno dirigido a las necesidades de Control de las Tecnologas de Informacin, es una herramienta innovadora que ayuda tanto a los Directivos a comprender y administrar los riesgos asociados con estas tecnologas as como a los Auditores a evaluar acertadamente el cumplimiento de estas polticas en aras de obtener informaciones con la calidad y seguridad que la alta Direccin necesita para emitir criterios que faciliten el cumplimiento de los Objetivos propuestos. Consta de 302 Objetivos de Control detallados agrupados en 4 Dominios: Planeacin u Organizacin, Adquisicin e implementacin Entrega y Soporte Monitoreo generalmente aceptados que

sustentaran aquellos aspectos que sobre la tecnologa de informacin deban ser

Los cuales aparecen explcitamente en la Ponencia: Implementacin del Modelo Cobit en las Auditoras Informticas, donde se expone la experiencia de su implementacin en la Empresa as como en las Bibliografas que se relacionan al final. Una vez definido el Modelo standard de trabajo el prximo paso lo constituy la definicin de la Metodologa de trabajo a aplicar para el desarrollo de las Auditoras Informticas. A continuacin exponemos en un pequeo Diagrama los pasos de que consta dicha Metodologa, explicndose estos posteriormente y al concluir se ilustrar detalladamente a travs de un ejemplo prctico en una Auditora a una Central Telefnica Digital.

Pasos de la Metodologa.
Diagrama Informativo-Operacional

Determinacin de las Areas de alta exposicin Determinacin de los procesos crticos Determinacin de los riesgos agrupados en los 4 dominios de Cobit

Formular la Estrategia, Alcance y Nivel de Riesgo

Determinacin de tcnicas de prueba

Elaboracin del programa de Auditora

Ejecucin del Plan y anlisis de resultados Elaboracin del Informe

Diagrama Informativo Operacional: En la fase de Exploracin debe conciliarse el alcance del Sistema asociado a las tecnologas de informacin dentro del contexto de los objetivos del auditado, conociendo el Flujo Informativo Operacional y de Control con el correspondiente movimiento de la informacin de entrada y salida e incidencia en la operacin de las Tecnologas de informacin, as como los objetivos, funciones, preparacin del personal, capacitacin, composicin, definicin de funciones, estructura, entre otros aspectos del auditado. Se concluye la etapa para su archivo en el expediente de la Auditora con la elaboracin de un Flujograma aplicando las tcnicas de diseo elaboradas para estos fines. Por ende el ciclo de entrevistas debe estar orientado al siguiente axioma final: Claridad entre la informacin y la tecnologa en funcin de los Objetivos del Auditado. La etapa de Planeamiento de la Auditora se comienza con la: Determinacin de las Areas de mayor exposicin dentro del Sistema Informativo Operacional: Teniendo en cuenta los objetivos claves definidos para la Auditora considerando como Area de mayor exposicin aquellas donde se genera, modifica y elimina la informacin que procesan las tecnologas de informacin. Las Areas crticas se evalan en dependencia del impacto que ellas puedan poseer dentro del Sistema Informativo del Auditado, por tanto, puedo tener ms de un Area con diferentes valores de criticidad, donde la calidad de la informacin o el flujograma que se haya obtenido en la etapa anterior disminuye la subjetividad que pueda incorporarse en la evaluacin de las Areas crticas.

Determinacin de los procesos crticos asociados a las Areas crticas definidas, plantendolos como los procesos ms importantes asociados a las Tecnologas de Informacin para la consecucin de los objetivos trazados en la Auditora. Es importante sealar que los procesos crticos no tienen que estar obligatoriamente relacionados con las Areas crticas, es poco probable pero no imposible que algn proceso evaluado como crtico en la tecnologa no pertenezca al Area crtica, el criterio para su valoracin est dado en la definicin de los objetivos claves del auditado. Determinacin de los Riesgos: Previa definicin de las Areas y procesos de mayor exposicin partiendo de los objetivos claves trazados para la Auditora se determina, en primera instancia, cul o cules dominios correspondientes al Modelo Cobit deben ser evaluados, decidiendo posteriormente, de los Objetivos de Control detallado para cada Dominio cules constituiran nuestra atencin. La aplicacin de Cobit constituye un marco de referencia a partir del cual elaborar los riesgos pero no excluye la personalizacin o adicin de riesgos propios asociados a los objetivos especficos de la Auditora y del Sistema de Informacin que estemos auditando. Al concluir los pasos anteriores hemos focalizado los aspectos que deben ser verificados o evaluados acorde a las caractersticas o Sistema existente en el objeto de Auditora. Las interrogantes que pueden decidir los pasos a seguir tales como: Cul es la relacin Costo Beneficio acorde a la importancia que se le atribuye a la Auditora? Cul es el nivel de riesgo del auditor aceptable para los resultados? Cmo medir los resultados del Auditor? Cul es el tiempo definido para la Auditora y la consideracin de si este debe ser reconsiderado? Qu fuerzas son necesarias emplear para el desarrollo de la Auditora?

 Es necesario la incorporacin de especialistas especficos que dictaminen sobre aspectos concretos? Esto implica que las variables: Estrategia, Alcance, Nivel de riesgo tolerable del Auditor Deben ser definidos antes de elaborar el Plan de Accin o Programa de Auditora, por cuanto de estas respuestas depende la rentabilidad y eficiencia de la Auditora as como la calidad de la informacin y las pruebas que se obtengan. Este es un paso muy importantes en el sentido que es aqu dnde se moldea la Estrategia y las premisas claves de la Auditora, se obtiene el punto de vista y las sugerencias del Jefe de Grupo, se determina cun importante es la Auditora para la Entidad y qu nivel de riesgo de Auditora se puede aceptar en relacin con la importancia del Area o Sistema que representa el Auditado. Se refleja adems en la calidad de la opinin necesaria para minimizar la posibilidad de arribar a una opinin equivocada que pudiera afectar la credibilidad e integridad del auditor. De la Estrategia, los Objetivos Generales de Auditora y el nivel de riesgo de Auditora tienen mucho que ver con el enfoque de prueba que posteriormente deba considerarse. Determinacin del Enfoque de Prueba: Para la determinacin de las tcnicas de prueba nos auxiliamos de una matriz cuyas filas recogen 65 Herramientas o Tcnicas de Prueba posibles y en las columnas los 8 Tipos de Sistemas: 1- Manual 2- En lote 3- En desarrollo 4- En Lnea

5- Disperso de Red 6- Distribuido Cliente/Servidor 7- Microcomputadoras 8- Probabilstico donde en cada escaque se define el nivel de efectividad que la herramienta posee para ese tipo de sistema y adems si se corresponde con una Prueba de Cumplimiento o una Prueba Sustantiva. Es importante destacar que al usar un enfoque de prueba equivocado se pueden obtener resultados de prueba que no sean indicativos del verdadero riesgo inherente al sistema. Elaboracin del Programa de Auditora: Est claro que en esos momentos ya hemos definido: Los Objetivos que hay que verificar, Los riesgos que son necesarios evaluar y Las Tcnicas que vamos a emplear. Para la consecucin de los aspectos anteriores se pueden plantear el empleo de programas especficos propios de la tecnologa existente tales como los que obran en la bibliografa del Manual de la Corporacin CIMEX, La Auditora Informtica: un enfoque prctico, entre otras referencias, pero particularizado el Plan de Accin a las condiciones concretas del Auditado. Queremos sealar que no siempre es posible encontrar en la literatura Programas de Auditora a algunos procesos especficos siendo necesario elaborar los mismos, en nuestra experiencia lo realizamos a travs de la elaboracin de un documento que cuenta con la siguiente estructura:
OBJETIVOS DE CONTROL RIESGOS OBJETIVOS DE AUDITORA Y PRUEBA ESPECFICOS TCNICAS DE PRUEBA

El contenido de cada columna y fila se detallar posteriormente en el ejemplo pues en dicho caso no se encontr literatura con programas especficos para las Centrales Digitales. Lo que no cabe duda es que estos programas son diseados a la medida del Auditado y de las condiciones concretas y materiales con que cuenta el Auditor, lo que no implica que la especializacin de este Programa de Accin d al traste con la posibilidad de consultar este plan cuando sea necesario en otra Auditora, por el contrario estriba en la justeza de sus acciones y en la experiencia documental que transmite y ayuda para el desarrollo de otras auditoras. Ejecucin del Plan, Anlisis de los resultados y Elaboracin del Informe de Auditora: En este aspecto nos centramos fundamentalmente en los aspectos que deben tenerse en cuenta para la elaboracin del Informe de Auditora, ya que la ejecucin del plan y el anlisis de los resultados se corresponde con las acciones que siempre en este apartado se realizan. Entre las consideraciones que tenemos en cuenta para la elaboracin de los Informes se encuentra:

Deben contener un lenguaje sencillo y comprensible por los directivos sin exageraciones tcnicas. No renunciar al lenguaje tcnico pero asequible para la persona que los vaya a leer, acompaado de ser necesario de un glosario de definiciones. Debe contabilizar los aspectos que sean posibles, cuantificando gastos o prdidas monetarias en las tecnologas ante el impacto de los riesgos verificados. Acompaarlo del Anlisis de Riesgo y el programa de Auditora realizados con el objetivo de que el auditado posea una herramienta que le permita auto evaluarse. Promover el conocimiento del Modelo Cobit a travs de los informes de Auditora, focalizando las deficiencias acorde a los dominios establecidos por ste.

La intencin de la Metodologa propuesta y que aplicamos en la Empresa es elaborar programas o planes de Auditora en funcin de la evaluacin de los riesgos y los objetivos generales del negocio, sin pretender que este sea esttico sino un traje a la medida en correspondencia con la situacin concreta que estemos analizando. En nuestra Empresa los resultados de nuestro enfoque se han hecho palpables toda vez que es mayor el nmero de directivos que solicitan el apoyo de nuestra especialidad para el desarrollo e implementacin de nuevas tecnologas conscientes de que el desarrollo acelerado de las tecnologas de informacin requieren de metas ambiciosas e integradoras. Esta Metodologa que se aplica en ETECSA se simplificar en la medida que los auditados elaboren sus propios anlisis y evaluacin de riesgos, los cuales podremos emplear en la elaboracin de nuestros programas y no partiendo de cero como trabajamos en la actualidad, nuestros resultados los incorporamos como valor agregado de la actividad anexndolo al informe en aras de contribuir con los auditados.

Experiencia prctica Experiencia prctica de la Metodologa en una Auditora a una Central Digital Telefnica. Objetivos claves de la Auditora Gestin de Tarifas Control sobre la informacin de los Abonados Cumplimiento de normativas internas En el Diagrama Informativo-Operacional resultado de la etapa de exploracin anterior se observa el flujo informativo que se establece en el Sistema Objeto de Auditora, aprecindose los datos de entrada y salida que son procesados por la Central Telefnica y supervisados centralmente por el Centro de Supervisin, relacionados con 4 Entidades donde se puede observar con facilidad que existen principios contables violados toda vez que la fijacin de las responsabilidades sobre el Documento Orden de Servicio recae sobre dos Entidades que actan sobre el Centro de Supervisin y Gestin Regional (CSGR-M).

Diagrama Informativo-Operacional VPON Vicepresidencia Comercial

Cumplimiento de normativas internas

Orden de Orden de Servicio Trabajo Orden de Trabajo

Solicitud de Servicio

Centro Telefnico

Centro de Supervisin y Gestin

Trfico a Facturar Cumplimiento Indicadores

Direccin Facturacin

Oficina Comercial

Cumplimiento Indicadores

Trfico Abonados

Como parte adems de la fase de investigacin preliminar o etapa de exploracin se muestra la arquitectura funcional de la Central Telefnica desde le punto de vista de los macro procesos que la componen.
SUBSISTEMA DE AGRUPACIN DE ABONADOS
CSNL PCM CSND PCM CSED SMT LR

LR

MATRIZ CENTRAL DE CONEXIN STS

PCM BSC* PCM RCP* CIRCUITOS Y MAQUINA DE MENSAJES OTRAS CENTRALES PCM SMA

LR

SMX

MAS MAS

SUBSISTEMA DE CONEXIN Y MANDO

SMC

MIS CSED: CONCENTRADOR SATELITE ELECTRONICO DISTANTE CSND: CONCENTRADOR SATELITE DIGITAL DISTANTE CSNL: CONCENTRADOR SATELITE DIGITAL LOICAL MAS : MULTIPLEX DE ACCESO A LAS ESTACIONES MIS : MULTIPLEX ENTRE ESTACIONES REM : RED DE EXPLOTACIN/MANTENIMIENTO DISTANTE SMA : ESTACIN MULTIPROCESADOR DE AUXILIARES SMC : ESTACIN MULTIPROCESADOR DE CONTROL SMM: ESTACIN MULTIPROCESADOR MANTENIMIENTO SMT : ESTACIN MULTIPROCESADOR DE TERMINACIN PCM SMX : ESTACIN MULTIPROCESADOR DE CONEXIN STS : ESTACIN DE TIEMPO Y SINCRONIZACIN BSC : CONTROLAROR DE ESTACIN BASE RCP : PUNTO DE CONTROL RADIO MOVIL

SMM

REM

ALARMAS POSICIN GENERAL DE SUPERVISIN

PGS

SUBSISTEMA DE EXPLOTACIN Y MANTENIMIENTO

A continuacin enfocamos las Areas de mayor exposicin de riesgos teniendo en cuenta los objetivos claves de la Auditora: La Tasacin y la Informacin de los Abonados, aprecindose que las Areas del Centro de Supervisin y Gestin as como el Centro de Facturacin constituyen las Entidades de ms inters para nuestra Auditora, las cuales aparecen circuladas en rojo en el Diagrama. Vicepresidencia Comercial

VPON

Solicitud de Servicio

Orden de Orden de Servicio Trabajo

Orden de Trabajo

Centro Telefnico

Centro de Supervisin y Gestin

Trfico a Facturar Cumplimiento Indicadores

Direccin Facturacin

Oficina Comercial

Cumplimiento Indicadores

Trfico Abonados

En la Tecnologa destacamos el SMC por ser el Subsistema de Multiprocesadoras encargada de llevar el control de las funciones de los Abonados, la Tasacin , el Traductor, entre otros, y a ste estn conectados las estaciones de trabajo que opera y gestiona el hombre las que actan directamente sobre la Central Telefnica. SUBSISTEMA DE AGRUPACIN DE ABONADOS
LR CSNL PCM CSND PCM CSED SMT LR MATRIZ CENTRAL DE CONEXIN STS

PCM BSC* PCM RCP* CIRCUITOS Y MAQUINA DE MENSAJES OTRAS CENTRALES PCM SMA

LR

SMX

MAS MAS

SUBSISTEMA DE CONEXIN Y MANDO

SMC

MIS CSED: CONCENTRADOR SATELITE ELECTRONICO DISTANTE CSND: CONCENTRADOR SATELITE DIGITAL DISTANTE CSNL: CONCENTRADOR SATELITE DIGITAL LOICAL MAS : MULTIPLEX DE ACCESO A LAS ESTACIONES MIS : MULTIPLEX ENTRE ESTACIONES REM : RED DE EXPLOTACIN/MANTENIMIENTO DISTANTE SMA : ESTACIN MULTIPROCESADOR DE AUXILIARES SMC : ESTACIN MULTIPROCESADOR DE CONTROL SMM: ESTACIN MULTIPROCESADOR MANTENIMIENTO SMT : ESTACIN MULTIPROCESADOR DE TERMINACIN PCM SMX : ESTACIN MULTIPROCESADOR DE CONEXIN STS : ESTACIN DE TIEMPO Y SINCRONIZACIN BSC : CONTROLAROR DE ESTACIN BASE RCP : PUNTO DE CONTROL RADIO MOVIL

SMM

REM

ALARMAS POSICIN GENERAL DE SUPERVISIN

PGS

SUBSISTEMA DE EXPLOTACIN Y MANTENIMIENTO

Luego de determinar las Area y procesos a verificar debemos definir la relacin de riesgos que deben ser evaluados determinando ante todo los dominios del Modelo Cobit que deben ser empleados, en este caso: Entrega y Soporte y Monitoreo. A continuacin relacionamos algunos de los riesgos asociados:

Algunos Riesgos asociados: 1- Inadecuada poltica para la gestin de terminales como por ejemplo definir adecuadamente las clases asignadas a cada terminal, seleccionar los mandos a proteger por contraseas, etc. 2-Incongruencia entre las tarifas definidas por Comercial y las existentes en la Central Telefnica. 3- Inconsistencia en la informacin referente a los abonados segn contrato y la definida a los mismos en la Central Telefnica. 4- Deficiente anlisis peridico de la informacin contenida en las bitcoras de la Central Telefnica con miras a la prevencin de los problemas La Estrategia, Alcance y Nivel de Riesgo del auditor fueron analizados cuidadosamente toda vez que no poseamos experiencia en este sentido ni literatura que propiciara indicios de cmo actuar en estas circunstancias, determinando que debamos elaborar programas que formalizaran la informacin de la Central, redefinimos los objetivos claves en aras de una relacin eficaz Costo/Beneficio y creamos condiciones para futuras actuaciones los procesos asociados a una Central Digital. Esto permiti disminuir considerablemente el nivel de riesgo, minimizando el nivel de riesgo y revisando sistemticamente la estrategia trazada evaluando la efectividad de la misma.

Las tcnicas y herramientas a emplear estn en dependencia de la caracterizacin del tipo de sistema que estemos auditando, nos encontrbamos ante un sistema En Lnea dnde se plantea que entre otras herramientas de prueba ms eficaces se encuentran, entre otros: Documentacin de Especificaciones del Sistema Simulador de terminal batch. Facilidad integrada de Prueba. Programas implantados para colectar datos de prueba Reconocimiento en lnea. Prueba de transacciones virtuales. Mdulos de Auditabilidad implantados Mdulos de Simulacin de Sistemas Por consiguiente, luego de definir los Riesgos y tcnicas de prueba a emplear definimos el Programa de Auditora a emplear del cual adjuntamos algunos aspectos del mismo.
OBJETIVOS DE TCNICAS DE AUDITORA Y PRUEBA/PASOS PRUEBA ESPECFICOS E.S. 11 Administracin de Inconsistencia entre las tarifas Verificar Aplicacin de softwares si se Datos especficos para el anlisis definidas en Comercial y las corresponden la Ordenes de existentes en la Central Digital de Trabajo con los datos las Bases de Datos. Elaboracin de programas Error en las zonas tarifarias de la Central que definidas por Comercial y las Conciliacin de Bases de normalicen las Bases de Datos de la Central definidas en la Central. Datos para verificar su exactitud, suficiencia y validez con Bases anlogas. E.S. 11.28 Garantizar la Inconsistencia Aplicacin de softwares en la Verificacin de la integridad en el informacin referente a los integridad especficos como el WinIdea de la procesamiento de datos. o abonados segn contrato y la informacin a travs de ACL definida a los mismos en la la tcnica del muestreo. Central Telefnica. E.S. 13.6 Realizar la Deficiente anlisis peridico Interrogacin de mandos Seleccin de los mandos a revisin del llenado de las de la informacin contenida y revisin de modelos verificar. bitcoras de operaciones en las bitcoras de la Central con el objetivo de Aplicacin de softwares de mediante interrogacin en con miras a la prevencin de verificar seleccin el sus salvas sistemticas. los problemas. cumplimiento de esta tarea. OBJETIVOS DE CONTROL RIESGOS

Captulo 3. - Proyecciones de trabajo para ETECSA en las Auditoras Informticas

Promover con nuestros resultados la participacin en la concepcin de los Sistemas Informticos que se elaboren en la Empresa con el objetivo de: Obtener sistemas que cuenten con el cumplimiento de las Normativas, Regulaciones y las exigencias del Control Interno a fin de que su controlabilidad sea ms eficaz para la direccin que concibe el mismo. Crear condiciones que nos permitan a los auditores trabajar con menos costo y mayor eficiencia toda vez que los sistemas son ms auditables. Fomentar con la discusin de nuestros informes con los directivos el papel preponderante que en nuestros tiempos le asiste a la Informacin y por consiguiente a la consistencia de esta para dirigir y proyectar el futuro. Impulsar el conocimiento del Modelo Cobit a travs de la capacitacin que se realiza a los directivos por los resultados internaciones que este ha demostrado para el buen gobierno de las Empresas. Continuar con el desarrollo de nuestro sitio WEB hacindolo ms dinmico como alternativa de promover y dar a conocer los fundamentos, resultados y principales riesgos y deficiencias de la Empresa. Transitar, gradualmente, hacia la aplicacin de la Auditora de Sistemas de Informacin como meta de la integracin de la Auditora de nuestros tiempos. Capacitar a nuestros auditores en especialidades como la Contabilidad, las Finanzas, las Telecomunicaciones, y los principios del Control Interno que coadyuven a la evaluacin eficiente de los procesos con el enfoque sistmico adecuado, lo que redundar un valor agregado para la especialidad toda vez que haremos ms tangible nuestros resultados.

 Fomentar el anlisis de riesgo como herramienta de consecucin de objetivos de la direccin, demostrndolo con los resultados de su aplicacin en el desarrollo de las Auditoria Informticas Comenzar la preparacin de programas de Auditoria que nos pongan a tono con las aspiraciones del pas y la Empresa en aspectos tales como el Comercio Electrnico, Servicios de videoconferencia, Gestin Integrada de Tecnologas, entre otros. Elaborar herramientas informticas que faciliten la conversin de los datos asociados a las Telecomunicaciones a formatos entendibles por los softwares de Auditora con que contamos: WinIdea y ACL.

CONCLUSIONES
No cabe duda de que nuestra lnea de accin es adecuada por el empuje que la Auditoria Informtica ha obtenido en nuestra Empresa en el escaso trmino de 3 aos. Resulta sincero plantear que, a priori, la metodologa planteada es costosa en tiempo porque ella requiere de una preparacin en nuestros auditores, sin embargo en nuestro marco una Auditora Integral a la Direccin de Telefona Pblica elaborada en el 2000 requiri de 3 meses incluyendo la elaboracin del Informe, lo que se redujo en cuanto a tiempo en una Auditora a una Central Telefnica Digital la cual emple 1 mes, por el grado de pericia y el conocimiento que los auditores actuantes han adquirido. Adems, en estos momentos nos encontramos explorando Herramientas que permiten evaluar automatizadamente las Areas y Procesos de mayor exposicin as como la aplicacin del Modelo Cobit en la Entidad auditada. No transitar hacia el desarrollo no puede estar avalado por una valoracin de Costo/Beneficio inadecuada, este es innegable y requiere de una inversin en preparacin que debemos estar dispuestos a pagar. No es posible continuar realizando en las Auditorias Informticas dictmenes que calcen el trabajo de los Auditores Financieros en la era de los Sistemas de informacin, las exigencias del mundo contemporneo nos llaman a evaluar los Sistemas Informticos en toda su dimensin y a medir su eficiencia y eficacia en fusin de los Objetivos de la Empresa y no como un proceso aislado enmarcado solamente en la tecnologa.

Las metas ambiciosas trazadas requieren del esfuerzo mancomunado de todos: El respaldo legal que permita tipificar y enjuiciar el delito informtico en su justa medida, los documentos regulatorios que normen las acciones cuando se conciben Sistemas Informticos, Planes de estudio en nuestras Universidades que enfatizan es esta Especialidad a los que luego ejercern la Informtica, preparar una vanguardia de Auditores Informticos para enfrentar la correcta evaluacin de la Telemtica, trabajar de conjunto en aras del desarrollo organizado de la Informtica pues su negacin es una aberracin. No obstante, no existe justificacin para que transitemos en nuestras Entidades por el camino correcto e impulsemos acertadamente la Auditoria Informtica en funcin del primer nivel de la Empresa. Trabajar de acuerdo a la frase de John Donne: Ningn ser humano es una isla en s mismo; cualquier ser humano forma parte del todo.

RECOMENDACIONES
COM Consideramos conveniente, en nuestra opinin, la generalizacin e implantacin del Modelo Cobit en el conocimiento de las Auditoras Informticas como principio generalmente aceptable para la evaluacin de los Sistemas Informticos. Su aprendizaje nos permitir transitar nuestro conocimiento hacia valoraciones ms integradoras en el desarrollo de la especialidad. Debemos pronunciarnos, ahora y no despus, por impulsar la actividad informtica en todas las Areas del pas especialmente las Auditoras Informticas si queremos estar a tono con la accin de las Direccin del gobierno y brindarle los resultados que ellos esperan con el impulso e la Informatizacin que hoy se est llevando a cabo Impulsar la aplicacin de esta Metodologa en otras Entidades, discutirla, enriquecerla y ajustarla a las particularidades de cada uno.

BIBLIOGRAFA
Grupo de Trabajo de la AHCIET: Manual de Auditora Interna para las Empresas de Telecomunicaciones. Kuong, Javier: Seguridad, Control y Auditora de las Tecnologas de Informacin. Pea, Eloy: Evolucin de los sistemas de informacin y su auditora. Pea, Eloy: Programa de Auditora Informtica Piattini, Mario y Del Peso, Emilio: Auditora Informtica, un enfoque prctico. Documentos obtenidos de INTERNET:

CoBit: Resumen Ejecutivo. Abril de 1998 2da Edicin. CoBit: Marco Referencial. Abril de 1998. 2da edicin CoBit: Guas de Auditoras. Mayo 1999. Boletn Oficial No. 29.198 en Argentina Auditora Informtica en http://www.gestiopolis.com/