Professional Documents
Culture Documents
INDICE GENERAL
RESUMEN EJECUTIVO.............................................................................................................. I
CAPITULO 1............................................................................................................................... 1
INTRODUCCION......................................................................................................................... 1
CAPITULO 2............................................................................................................................... 7
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI............................7
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI...............................................................7
2.1.1 Enfoque De Antonio Echenique......................................................................................7
2.1.2 Enfoque de Sandra Garca.............................................................................................11
2.1.3 Enfoque de Manuel Arauz..............................................................................................13
2.1.4 Enfoque de Xiomar Delgado..........................................................................................15
2.1.5 Enfoque De Mario Piattini Y Otros.................................................................................21
2.1.6 Enfoque de la Fundacin para el Control y Auditora de Sistemas de Informacin
(Modelo COBIT)....................................................................................................................... 29
2.1.7 Consideraciones sobre los Diferentes Enfoques........................................................33
2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA..................36
2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI
.................................................................................................................................................. 40
2.3.1 Criterios de seleccin....................................................................................................40
2.3.2 Descripcin del Modelo Propuesto...............................................................................41
CAPITULO 3............................................................................................................................. 55
4.3
SITIOS CONSULTADOS.........................................................................................................139
INDICE DE ANEXOS
DEDICATORIA
DEDICATORIA
Jos Adrin
AGRADECIMIENTO
Agradecemos al Ministerio de Hacienda la oportunidad que nos brind para cursar el Programa
de Maestra as como realizar este proyecto de aplicacin prctica abordando un tema de
inters institucional.
A la Directora General de Auditora Interna del Ministerio, Licda Rosala Caldern Gamboa,
quien no slo fue la patrocinadora del proyecto sino que siempre estuvo dispuesta a
dedicarnos tiempo para analizar y comentar temas de nuestro inters y facilit en lo que estuvo
a su alcance la realizacin del proyecto.
Al Mster Luis Chaves Monge, quien como tutor supo orientarnos y presentarnos de manera
respetuosa y llena de sabidura sugerencias y observaciones que contribuyeron a lograr una
mayor calidad de nuestro proyecto, y adems logr motivarnos en los momentos de dificultad.
A los profesores Mster Jos Arrieta Salazar y Mster Javier Len Mora, quienes orientaron
nuestro esfuerzo y con su seguimiento motivaron la constancia y la bsqueda de la excelencia.
A los que mediante entrevistas, facilitacin de documentos o sugerencias nos permitieron reunir
la informacin necesaria y enriquecer nuestros criterios.
A todos ....MUCHAS GRACIAS .
Resumen Ejecutivo
RESUMEN EJECUTIVO
Resumen Ejecutivo
La utilizacin del modelo elaborado por la Information Systems Audit. And Control
Association ISACA- denominado Objetivos de Control para la Informacin y
Tecnologas Afines (COBIT) como modelo metodolgico operativo para el desarrollo de
la funcin de Auditora de Tecnologa de la Informacin.
Resumen Ejecutivo
Asimismo, aunque el plan operativo no incluye las actividades que le corresponder realizar a
la Administracin, se considera oportuno exponer los principales aportes que sta deber
concretar como condiciones necesarias para el adecuado funcionamiento de la Auditora de
Tecnologa de la Informacin en el Ministerio de Hacienda, se plantean los siguientes:
Compromiso
de
la Administracin:
La Administracin
debe
asumir
la
La
Resumen Ejecutivo
Como parte del proceso de elaboracin del plan operativo se advierte sobre los
principales riesgos que se identifican en torno al proyecto, concretamente:
Asimismo, se incluye una primera aproximacin a los costos de la ejecucin del plan propuesto,
conforme con el cual se requerir una inversin cercana a los 120,000 dlares, durante los
periodos presupuestarios 2002 y 2003.
Resumen Ejecutivo
El trabajo elaborado establece con suficiente precisin a nuestro criterio, los esfuerzos y
actividades a desarrollar, queda por ver si adems del inters y conciencia sobre la necesidad
de la auditora de TI en el Ministerio, existe la voluntad y el compromiso. Nos abriga la
esperanza de que dentro de algn tiempo lo que exponemos como propuesta se convierta en
realidad y genere los beneficios esperados.
Captulo 1 Introduccin
CAPITULO 1
INTRODUCCION
Aunque si bien es cierto en la mayora de los casos los conceptos se utilizan indistintamente,
algunos pretenden diferenciarlos en el sentido de que la auditora informtica se orienta a la
evaluacin de la funcin informtica como tal, considerando los diferentes servicios que esta
presta as como los aspectos organizativos asociados a dicha prestacin, mientras que la
auditora de sistemas se refiere a la actividad de la auditora al evaluar determinado proceso o
rea operativa, en la que debe incluirse un anlisis sobre los sistemas de informacin
computadorizados que apoyan dicho proceso.
Por otra parte, ms recientemente se ha ido generalizando el concepto de auditora de
Tecnologa de la Informacin, en un sentido genrico y con el fin de abarcar adems algunas
reas que han tomado mayor relevancia en los ltimos aos como son las relativas a las
telecomunicaciones, seguridad, aplicaciones en web y herramientas colaborativas, entre otros.
Captulo 1 Introduccin
Captulo 1 Introduccin
en
De acuerdo con los conceptos bsicos sobre control interno y auditora, es la Administracin la
responsable del establecimiento, anlisis y mejora continua de los procedimientos y sistemas
de control interno, mientras que la auditora se orienta a la evaluacin de los mismos con
criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos
conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y
mantener falsas expectativas en torno a los aportes y resultados que genera la auditora de
sistemas.
Captulo 1 Introduccin
Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarn en
el campo de la auditora de sistemas.
El Ministerio se ha planteado importantes proyectos y retos para los prximos aos en materia
tecnolgica, lo cual no slo resulta meritorio sino tambin una importante fuente de riesgos,
especialmente en torno al tema de la seguridad de los sistemas, especialmente por la lnea
establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del
negocio sustantivo.
mediante
la
estructuracin
de
4
una
propuesta
que
considere
aspectos
Captulo 1 Introduccin
Captulo 1 Introduccin
Conforme con los objetivos y consideraciones, el documento final del presente proyecto
considera varios captulos. En el captulo 2, se analizan los planteamientos de diferentes
autores en cuanto metodologa para el desarrollo de la Auditora de TI y se propone un modelo
que, a nuestro criterio, responde a las caractersticas y situacin del Ministerio.
En segundo lugar, se analizan los aspectos conceptuales y legales relacionados con la
estructura organizativa de la Auditora de TI, as como la organizacin actual y los recursos
humanos con que cuenta la Direccin General de Auditora Interna, para finalizar con la
propuesta de organizacin y requerimiento mnimo de recursos humanos para la Auditora de
TI.
En el captulo cuatro se plantea la importancia del uso de herramientas computadorizadas en la
Auditora de TI, tanto para el apoyo de la administracin de la auditora como a la funcin de
Auditora de TI, se plantean algunos elementos a considerar en la seleccin de herramientas
computadorizadas y finalmente se propone la adquisicin de algunas de estas.
Seguidamente se presenta un plan operativo para la introduccin de la Auditora de TI, para lo
cual se exponen algunas consideraciones estratgicas, supuestos, alcance, organizacin y
riesgos asociados con la ejecucin del plan. Asimismo se plantea una aproximacin de los
costos para la ejecucin del plan.
Por ltimo, se presentan las conclusiones del anlisis realizado y las recomendaciones para la
ejecucin del plan propuesto para la introduccin de la Auditora de TI en el Ministerio.
Finalmente, esperamos que el anlisis realizado y la propuesta planteada sirva de base para
convertir en realidad la existencia de un rea de Auditora de TI, y en ltima instancia, se
consolide y fortalezca el sistema de control interno del Ministerio.
CAPITULO 2
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI
Echenique, Jos Antonio. Auditora en Informtica. McGraw-Hill Interamericana de Mxico. 1991.Pag. 16.
La evaluacin administrativa comprende los aspectos usuales del proceso administrativo con el
propsito de determinar si desde el punto de vista administrativo- organizativo se estn
cumpliendo con los criterios preestablecidos. Se cubren aspectos como:
El anlisis y descripcin de puestos est de acuerdo con el personal que los ocupa.
Control de proyectos.
Considerar aspectos como la existencia y relacin de los proyectos con el plan
maestro, definicin de procedimientos y responsabilidades de aprobacin de
proyectos, planeacin de los proyectos, tcnicas de control de proyectos, etc.
Instructivos y documentacin.
Se pretende evaluar los instructivos de operacin de los sistemas para evitar que los
programadores tengan acceso a los programas en operacin y que cumplan con el
contenido mnimo.
Formas de implantacin.
Se debe evaluar los trabajos que se realizan para iniciar la operacin de un sistema,
esto es la prueba integral del sistema, adecuacin, aceptacin por parte del usuario,
entrenamiento, etc.
Por su parte, la evaluacin del proceso de datos y de los equipos de cmputo incluye el anlisis
de:
Control de salida: Valorar si las salidas del sistema satisfacen los requerimientos
del usuario y son distribuidas segn corresponde.
10
para
el
desarrollo
mantenimiento
de
sistemas
de
aplicacin/operativos.
Se deben analizar los controles organizativos y gerenciales, que incluyen aquellos
que brindan proteccin al ambiente fsico, as como la asignacin de personal
adecuado y la operacin eficiente del centro de procesamiento de datos. Estos
controles deben brindar una operacin eficaz a cargo de personal calificado y del
cual se pueda depender. Se debe verificar la existencia de adecuados niveles de
responsabilidad
Garca, Sandra. Auditora Informtica I: Nota Tcnica para el Curso Auditora de Sistemas. 1997.
11
a.
En esta rea se debe considerar el tipo de planes que se elaboren en el rea de sistemas, la
forma en que est organizado el departamento de cmputo, el estilo de direccin que se tenga,
la participacin de los usuarios en la definicin de los requerimientos y el establecimiento de
prioridades, la cantidad de recursos humanos disponibles, su capacitacin, su motivacin, la
metodologa de trabajo empleada, la calidad de la documentacin de los sistemas, la forma de
administrar las bases de datos y otros aspectos ms, tienen una influencia muy fuerte en las
caractersticas de todos los sistemas de una entidad. En cada uno de estos temas existe una
mezcla de elementos tcnicos con otros de carcter administrativo que inciden en todo el
accionar del rea de cmputo.
13
La concepcin moderna de la auditora procura que sta se convierta en una funcin asesora
de la administracin. En el caso del rea informtica, este objetivo no se alcanza si el auditor
no participa en el proceso de desarrollo de sistemas.
14
Las tcnicas de desarrollo de sistemas han venido evolucionando con el propsito de lograr
que estos se ajusten con facilidad a los cambios en el entorno. Sin embargo, a pesar de los
esfuerzos realizados, sugerir mejoras en un sistema en produccin para reforzar el sistema de
control interno acarrea costos muy elevados. Esta realidad ha provocado que el auditor no
logre que sus recomendaciones sean implantadas en forma gil.
La concepcin de este tipo de auditora es de auditar el futuro, prever las debilidades y
solventarlas previo a que el sistema entre en operacin. Una de las ventajas ms grandes que
posee este tipo de auditora es que disminuye, en gran medida, los costos de implantacin de
las recomendaciones del auditor, lo cual hace tambin que su labor sea vista de una mejor
manera.
Este campo se le presenta al auditor como la plataforma ideal para lograr una participacin
asesora muy activa. Adems, le permite desarrollar, con mucho menos esfuerzo, herramientas
automatizadas para incorporarlas a los sistemas en desarrollo que ayuden al cumplimiento de
otras funciones de la auditora en los campos financiero, contable y administrativo.
d.
El auge que tienen hoy los microcomputadores en las empresas ha trado consigo la evolucin
de un ambiente distribuido de procesamiento de datos. Con esto, si antes se tenan problemas
de documentacin, riesgos de prdida de privacidad y de integridad de los datos, con los
microcomputadores la problemtica se ha incrementado. El auditor debe tomar conciencia de
ello y poner especial atencin a su evolucin dentro de la empresa.
En su evaluacin se deben analizar aspectos como:
procedimientos de adquisicin de
15
De manera similar Xiomar Delgado, autor del libro Auditora Informtica, estructura las reas
de la auditora informtica con un enfoque similar al recin expuesto, fundamentndose en que
deben llevarse a cabo labores de seguimiento de todas las actividades que se ejecuten en el
rea informtica, a saber:
El auditor debe participar activamente en la evaluacin de los controles que existen sobre la
administracin de los recursos informticos, revisando la existencia de planes informticos de
corto y largo plazo y comprobando la coincidencia de stos planes con los planes generales de
la organizacin.
Asimismo debe analizar el ambiente normativo en que se desarrolla las actividades, revisando
las polticas, los estndares y los procedimientos que deban respetarse para el alcance de los
resultados ptimos. Sobre este particular deben considerarse aspectos como: emisin,
pertinencia, publicacin, respeto y control.
Finalmente, en este tema debe considerar la ubicacin estructural dentro del organigrama en
que se encuentra el departamento de informtica as como la descripcin de las
responsabilidades de los integrantes del mismo.
El cuanto al recurso humano, se debe evaluar las polticas de seleccin de personal, las
tcnicas de reclutamiento, las polticas de capacitacin y entrenamiento, as como la
supervisin y la evaluacin de funciones de este personal.
Si se han realizado los estudios suficientes para determinar con exactitud las
necesidades de informacin del usuario.
El auditor deber evaluar que la organizacin cuenta con los recursos para lograr la ejecucin
conforme a lo planeado y que los departamentos usuarios e informticos dan un uso apropiado
a los recursos. Para ello considerar:
Verificar que los recursos de software son adquiridos cuando constituyen la mejor
opcin y enfrentando el anlisis de la relacin costo beneficio.
Evaluar las limitaciones existentes de acceso al lugar en que se ubican los equipos.
18
Que existe control sobre los documentos originales, de manera que son
suficientemente custodiados.
19
El auditor debe estar en capacidad de evaluar la forma en que se distribuyen los recursos
informticos de la empresa y someter a prueba los controles que se definen para el uso de los
recursos informticos de la empresa, y someter a prueba los controles que se definen para el
uso de cada uno de esos recursos, para la custodia de los activos de la empresa y para la
limitacin de acceso que se pueda dar desde las terminales ubicadas en cualquier lugar de la
empresa.
Debe evaluar los estndares definidos sobre control de las redes y comprobar que las
caractersticas fsicas del hardware adquirido o propuesto cumplen satisfactoriamente con las
necesidades del conjunto de equipo y no degradar la capacidad de operacin de los equipos ya
conectados.
Debe evaluar los mecanismos de control y la asignacin de responsabilidades por el uso de los
recursos disponibles de la red, tomando en cuenta la necesidad de recursos de respaldo.
Asimismo, debe verificarse la existencia de planes de capacitacin y adiestramiento que
aseguren un uso provechoso de los recursos y la disminucin de riesgos de que la accin de
un usuario pudiera causar problemas a todos los usuarios de la red. En ese mismo sentido,
debe revisarse la existencia de un manual claro y de fcil entendimiento que le permita a los
nuevos usuarios familiarizarse con los recursos a su disposicin.
De igual manera deben evaluarse los controles de identificacin y verificacin de
autorizaciones, que contemplen adems la existencia de programas de control que,
permanezcan pendientes del uso de los recursos.
Ambiente de microcomputadores.3
Entres sus actividades, el auditor debe contemplar la evaluacin del este ambiente, tomando
en cuenta diferentes aspectos respecto al uso de microcomputadores, de manera que pueda
revisar al inicio las actividades que se relacionan con la adquisicin de los equipos, en las
Delgado, Xiomar. Auditora Informtica. Editorial UNED. San Jos. Pag 43.
20
cuales intervienen las polticas de la empresa, verificando si todas las adquisiciones se apegan
a las polticas administrativas.
Se debe verificar si se satisfacen los controles respecto a la administracin y valorar su aporte
al cumplimiento de los objetivos de la empresa.
Debe velar que solamente permanezcan instaladas aquellas versiones de software sobre las
que la empresa disponga de una licencia para operarla y verificar el cumplimiento de la
legislacin, motivo por el que debe promover el respeto a los derechos de autor.
En los equipos de mayor tamao, debe contemplarse la necesidad de contar con un adecuado
ambiente de control sobre los archivos y las transacciones procesadas en ellos, as como las
polticas de acceso a los recursos contenidos en ellos. La correcta operacin de los
microcomputadores debe ser revisada por el auditor y ste debe comprobar que existen
adecuadas polticas de respaldo y control de los datos almacenados.
Debe comprobar que las adquisiciones que se realicen mantengan el grado necesario de
compatibilidad para asegurar mayor vida a los recursos de informacin.
Como puede notarse, en este caso se presentan independientemente la revisin de las
aplicaciones y la administracin de las bases de datos que en el enfoque anterior se incluyen
dentro de los sistemas en operacin. Asimismo, el procesamiento distribuido se visualiza como
parte del rea de ambiente de microcomputadores.
2.1.5 Enfoque De Mario Piattini Y Otros4
En la recopilacin Auditora Informtica: un enfoque prctico de Mario Piattini y otros, se
ofrece una caracterizacin de diferentes reas que abarca esta, distinguindose doce reas. A
continuacin se explican brevemente cada una de ellas.
Auditora Fsica
Piattini V., Mario Gerardo y Del Peso Navarro, Emilio. Auditora Informtica: un enfoque prctico. Alfaomega
S.A. Mxico D.F. 1998.
21
Los
objetivos
de
esta
son:
el
edificio,
las
instalaciones,
equipo
Auditora de la Ofimtica
Auditora de la Direccin
El
proceso
de
planificacin
de
sistemas de
informacin
y evaluar
si
los controles que permitan alcanzar los objetivos marcados durante la planificacin.
22
c)
la segregacin de funciones.
d)
Evaluar que la Direccin de Informtica realiza sus actividades dentro del respeto a la
de
Auditora de la Explotacin
23
econmico que sea fiable, cumpla los requisitos previamente establecidos y funcione de
manera eficiente sobre mquinas reales.
La auditora de desarrollo se abordar desglosndola en dos grandes apartados:
La metodologa que se usar es la propuesta por la ISACA (Information Systems Audit and
Control Association) que est basada en la evaluacin del riesgo: partiendo de los riesgos
potenciales a los que est sometida una actividad, en este caso el desarrollo de un sistema de
informacin, se determinan varios objetivos de control que minimicen esos riesgos.
Dentro del primer apartado debe evaluar los siguientes objetivos de control:
a.
b.
c.
Si existe un plan de sistemas, de tal manera que los proyectos se llevan a cabo
se basan en dicho plan.
d.
e.
f.
El otro grupo relativo a la auditora de cada proyecto de desarrollo de SI tendr un plan distinto
dependiendo de los riesgos, la complejidad de mismo y los recursos disponibles para realizar la
auditora. Esto obliga que sean la pericia y experiencia del auditor las que determinen las
actividades del proyecto que se controlarn con mayor intensidad en funcin de esos
parmetros.
24
La fase de anlisis
La fase de diseo
Fase de Construccin
La fase de implantacin
El Sistema de Gestin de la Base de Datos (SGBD), dentro del que destacan los
siguientes componentes: el ncleo, el catlogo (componente fundamental para
asegurar la seguridad de la base de datos), las utilidades para el administrador de
la base de datos, entre las que se suelen encontrar algunas para crear usuarios,
conceder privilegios, las que se encargan de la recuperacin de la base de datos:
arranque, copias de respaldo, ficheros diarios y algunas funcione s de auditora, as
como los lenguajes de cuarta generacin que incorpora el propio SGBD.
25
Sistema Operativo, pieza clave del entorno, puesto que el SGBD se apoyar en los
servicios que le ofrezca el sistema operativo en cuanto a control de memoria,
gestin de reas de procesamiento intermedio, manejo de errores, control de
confidencialidad, mecanismos de interbloqueo.
Monitor de Transacciones.
Facilidades de usuario.
Aplicaciones.
El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente
para asegurar que los sistemas de bases de datos continan cumpliendo los objetivos de la
empresa y que se encuentran controlados de manera efectiva.
Las consideraciones de la auditora deben incluirse en las distintas fases del ciclo de vida de
una base de datos, siendo muy importante que los auditores participen cada vez ms en el
proceso de desarrollo, disminuyendo as ciertos costes y haciendo "ms productiva" su labor, la
direccin de las empresas no siempre "ve" la labor de auditora y control como realmente
productiva, asumindola, la mayora de las veces, como un gasto necesario.
26
Instalaciones
Este apartado incluir salas de proceso, con sus sistemas de seguridad y control, as como
elementos de conexin y cableado, es decir los elementos base para acondicionar los
componentes del apartado siguiente:
Equipos de proceso
Corresponde a la evaluacin de los computadores (main, mini y micro), as como sus
perifricos, pantallas, impresoras, unidades de cinta, y los dispositivos de conmutacin y
comunicaciones (routers, mdems )
Software de base
Se componen de los sistemas operativos, compiladores, traductores e intrpretes de
comandos y programas, junto con los gestores de datos o sistemas de administracin de
datos y toda una serie de herramientas y componentes auxiliares e intermedios como
herramientas de desarrollo, facilidades de explotacin como planificadores, paquetes de
seguridad
Auditora de la Calidad
27
Cmo debe ser medida a la adherencia con los estndares o lneas gua.
Auditora de la Seguridad
Auditora de Redes
El primer punto es auditar la gerencia de las comunicaciones, a fin determinar que la funcin de
gestin de redes y comunicaciones est claramente definida, debiendo ser responsable de la
gestin de la red, inventario de equipo, y normativa de conectividad, por la monitorizacin de
las comunicaciones, registro y resolucin de problemas.
28
Auditora de Aplicaciones
Se orienta a la revisin de la eficacia del funcionamiento de los controles diseados para cada
uno de los pasos de la aplicacin frente a los riesgos que tratan de eliminar o minimizar, como
medios para asegurar la fiabilidad ( totalidad y exactitud, seguridad, disponibilidad y
confidencialidad de la informacin proporcionada por la aplicacin.
Para este propsito se utilizan principalmente las siguientes herramientas: entrevistas,
encuestas, observacin del trabajo realizado por los usuarios, pruebas de conformidad,
pruebas sustantivas o de validacin y el computador mismos (software especializado).
Algunos casos especficos de auditora de aplicaciones son la evaluacin de los sistemas de
apoyo a la toma de decisiones y las aplicaciones de simulaciones.
2.1.6 Enfoque de la Fundacin para el Control y Auditora de Sistemas de Informacin
(Modelo COBIT).
La Fundacin para el Control y Auditora de Sistemas de Informacin y el Comit Directivo de la
misma, con la participacin de distinguidos especialistas en el campo del control, la auditora y
la TI, desarroll en 1996 la primera versin de este modelo, el cual fue actualizado en 1998 y
en el 2000, y ha logrado una importante aceptacin en muchos pases. Est diseado no slo
para ser utilizado por usuarios y auditores, sino que principalmente para ser usado como una
lista de verificacin para los propietarios de los procesos de negocio.
COBIT est basado en los Objetivos de Control existentes de la Information Systems Audit and
Control Foundation (ISACF) mejorados con los estndares internacionales existentes y
emergentes tcnicos, profesionales, regulatorios y especficos de la industria. Los Objetivos de
Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para
ser aplicados a los sistemas de informacin de toda la empresa.
29
En lnea con lo anterior los recursos de Tecnologa Informtica pueden son definidos de la
siguiente manera:
Un concepto bsico del que se parte es que los recursos de Tecnologa Informtica necesitan
ser administrados por un conjunto de procesos agrupados naturalmente para proveer la
informacin que necesita la empresa para el logro de sus objetivos.
COBIT destaca el impacto sobre los recursos de Tecnologa Informtica junto con los
requerimientos del negocio que necesitan ser satisfechos, en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Adicionalmente, brinda
definiciones para los requerimientos del negocio que son destilados de niveles ms altos de
objetivos para calidad, seguridad e informacin financiera segn se relacionan con Tecnologa
Informtica.
Considera un conjunto de 34 objetivos de control de alto nivel, uno por cada uno de los
Procesos de Tecnologa Informtica, agrupados en cuatro dominios: Planeamiento y
Organizacin, Adquisicin e Implementacin, Entrega y Soporte y Monitoreo, segn se
caracterizan a continuacin.
30
Planeacin y Organizacin
Este dominio cubre la estrategia y las tcticas, es decir se refiere a la identificacin de la forma
en que la tecnologa de la informacin puede contribuir de la mejor manera al logro de los
objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse
una organizacin y una infraestructura tecnolgica apropiadas.
Este dominio considera los siguientes objetivos de alto nivel o procesos:
Adquisicin e Implementacin
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios debern establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
32
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su
calidad y suficiencia en cuanto a los requerimientos de control.
Para los anteriores objetivos de control de alto nivel o procesos de TI, se definen 318 objetivos
detallados, a partir de estos se desarrollan 34 Guas de Auditora que incluyen 376 pasos de
auditora, que orientan la evaluacin de la gestin y el control de los sistemas de TI.
33
34
CUADRO No. 1
ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI
A
R
E
A
ECHENIQUE
1. Evaluacin
administrativa del
Centro de PED
2. Eficiencia de
sistemas y
procedimientos y
eficiencia en el uso
de la informacin
3. Proceso de
datos y de los
equipos de cmputo
GARCIA
1. Controles
Generales del
Centro de Cmputo
2. Ciclo de vida del
desarrollo de
sistemas
ARAUZ
1. Administracin
de la Funcin
Informtica
2. Desarrollo de
sistemas
DELGADO
1. Controles
administrativos
PIATTINI
COBIT
1. Auditora de la 1. Planificacin
Direccin
Organizacin
2. Desarrollo de
sistemas de
aplicacin
2. Desarrollo
3. Calidad
3. Sistemas de
aplicaciones
4. Continuidad de
las operaciones
5. Revisin Tcnica
3. Sistemas en
produccin
4. Ambiente de
microcomputadores
3. Operacin de los
sistemas de
aplicacin
4. Revisin de las
aplicaciones
5. Administracin
de bases de datos
6. Procesamiento
distribuido y redes
4. Fsica
3. Entrega
5. Ofimtica
Soporte
6. Explotacin
7. Mantenimiento
8. Bases de datos
9. Tcnica
de
sistemas
10. Redes
11. Aplicaciones
12. Seguridad
4. Monitoreo
35
2. Adquisicin
implementacin
Chacn R, Clair y Vargas B. Jos Adrin. Diagnstico sobre la Auditora de Sistemas en el Ministerio de
Hacienda. Proyecto de Aplicacin Prctica. Maestra en Administracin de Tecnologa de la Informacin.
Universidad Nacional. Abril 2001.
36
Incipiente estandarizacin
en
Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarn en
el campo de la auditora de sistemas.
El Ministerio se ha planteado importantes proyectos y retos para los prximos aos en materia
tecnolgica, lo cual no slo resulta meritorio sino tambin una importante fuente de riesgos,
especialmente en torno al tema de la seguridad de los sistemas, especialmente por la lnea
establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del
negocio sustantivo.
39
Actualidad
Es importante que el modelo considere los ltimos avances de la TI, esperando que tanto en
cuanto al mbito como en lo que respecta al enfoque de la funcin auditora y de control interno,
se tomen en consideracin las ltimas innovaciones y conceptos de avanzada. En ese sentido,
aspectos como la utilizacin de los conceptos modernos sobre el control interno elaborados por
organizaciones especializadas a nivel mundial ( como es el caso del Informe COSO) y la
incorporacin de la seguridad a nivel de redes en el marco de internet, aplicaciones en
ambiente de tres capas, entre otros, deben ser adecuadamente considerados en la opcin que
se seleccione.
40
Respaldo tcnico.
Sin menospreciar el aporte de los expertos individuales, es claro que los enfoques logrados con
la participacin de equipos multidisciplinarios de distintos expertos y considerando diferentes
estndares internacionales generan una mayor confiabilidad, adems de que el respaldo
tcnico de estos equipos garantiza una oportuna actualizacin y la universalidad del mismo.
Este modelo fue liberado en 1996 y actualizado en 1998 (2 Edicin) y 2000 (3 Edicin), con lo
cual se ha ajustado para considerar los avances en la gestin de la TI, as como los nuevos
enfoques conceptuales en el campo del control y la auditora. Este es un aspecto de gran
41
relevancia puesto que evidencia lo que representa sin lugar a dudas una de las importantes
fortalezas del modelo, siendo de especial relevancia en el campo de la TI, caracterizado por la
rapidez y profundidad de los cambios.
realizar las auditoras o auto-evaluaciones en tres (3) niveles: Alto Nivel Gerencial
(Dominios / Procesos), detallado de los Objetivos de control, y detallado con las Guas de
Auditora (pasos del programa).
42
43
CUADRO No. 2
DESCRIPCIN DE LOS COMPONENTES DEL MODELO COBIT
Resumen Ejecutivo
Marco Referencial
Objetivos de Control
Directrices de
Auditora
Herramientas de
Implementacin
Proporciona
a
la
alta
gerencia un entendimiento
ms
detallado
de
los
conceptos clave y principios
de COBIT e identifica los
cuatro dominios de COBIT y
los correspondientes 34
procesos de TI).
Describe en detalle los 34
objetivos de control de alto
nivel
e
identifica
los
requerimientos de negocio
para la informacin y los
recursos de TI que son
impactados
en
forma
primaria por cada objetivo de
control.
Contienen declaraciones
de
los
resultados
deseados o propsitos a
ser alcanzados mediante
la implementacin de 318
objetivos
de
control
detallados y especficos a
travs de los 34 procesos
de TI.
44
PLANEACIN Y ORGANIZACIN
Proceso:
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin
Objetivos de Control:
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo
1.2 Plan a largo plazo de Tecnologa de Informacin.
1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin
1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin.
1.6 Comunicacin de los planes de Tecnologa de Informacin
1.7 Monitoreo y Evaluacin de los planes de Tecnologa de Informacin
1.8 Evaluacin de sistemas existentes.
Proceso:
2.0 Definicin de la Arquitectura de Informacin
Objetivos de Control:
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de sintaxis de datos de la corporacin
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
Proceso:
3.0 Determinacin de la direccin tecnolgica
Objetivos de Control:
3.1 Planeacin de la Infraestructura Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones Futuras
3.3 Contingencias en la Infraestructura Tecnolgica
3.4 Planes de Adquisicin de Hardware y Software
3.5 Estndares de Tecnologa
Proceso:
4.0 Definicin de la Organizacin y de las Relaciones de TI
Objetivos de Control:
4.1 Comit de planeacin o direccin de la funcin de servicios de informacin
4.2 Ubicacin de los servicios de informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad de la seguridad lgica y fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
45
46
Proceso:
9.0 Evaluacin de Riesgos
Objetivos de Control:
9.1 Evaluacin de Riesgos del Negocio
9.2 Enfoque de Evaluacin de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin contra Riesgos
9.6 Aceptacin de Riesgos
9.7 Seleccin del resguardo
9.8 Compromiso de Valoracin de riesgo
Proceso:
10.0 Administracin de proyectos
Objetivos de Control:
10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de las Fases del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de la Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
Proceso:
11.0 Administracin de Calidad
Objetivos de Control:
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Ser-vicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa
11.10 Relaciones con Terceras Partes como Implementadores
11.11 Estndares para la Documentacin de Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
47
54
CAPITULO 3
PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE
LA INFORMACIN
El propsito final de este captulo es proponer la organizacin para el ejercicio de la Auditora
de TI en el Ministerio, as como los requerimientos de recursos humanos y capacitacin. Para
ello en primera instancia se repasan los elementos conceptuales del tema y se retoma la
situacin actual.
3.1 ASPECTOS CONCEPTUALES Y LEGALES
A continuacin se retoman los elementos conceptuales que resultan ilustrativos en cuanto a los
temas de fondo del captulo.
En primer lugar, es preciso puntualizar la diferenciacin desde el punto de vista conceptual y
funcional en cuanto control interno informtico y a la Auditora de TI.
3.1.1 Control Interno Informtico
El control interno informtico controla diariamente que todas las actividades relacionadas con
gestin de la TI sean realizadas cumpliendo los procedimientos estndares y normas fijados
por la direccin de la organizacin, as como los requerimientos legales.
Este suele
Controlar que todas las actividades se realicen segn los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
3.1.2 Auditora de TI
La Auditora de TI es el proceso realizado para recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado, salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y
recursos.
El auditor evala y comprueba en determinados momentos del tiempo los controles y
procedimientos informticos ms complejos, desarrollando y aplicando tcnicas de auditora
incluyendo el uso del software.
El auditor es responsable de revisar e informar a la direccin de la organizacin sobre el
diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin
suministrada.
En el cuadro siguiente se muestran los objetivos comunes y las diferencias entre ambas
funciones.
CUADRO No 3
SIMILITUDES Y DIFERENCIAS ENTRE LA UNIDAD DE CONTROL INTERNO DE TI Y
AUDITORIA DE TI
SIMILITUDES
DIFERENCIAS
CONTROL INTERNO DE TI
AUDITORIA DE TI
Personal Interno
Conocimientos especializados en TI, verificacin del
cumplimiento de controles internos, normativa y procedimientos
establecidos por la Direccin de Informtica y la Direccin General
para la gestin de TI.
Anlisis de los controles en
Anlisis de un momento
el da a da.
determinado.
Informa a la Direccin del
Informa a la Direccin
Departamento de Informtica
General de la organizacin.
Solo personal interno.
Personal
interno
o
Alcance de sus funciones
externo.
nicamente
sobre
el Tiene cobertura sobre todos los
componentes de TI de la
Departamento de Informtica
organizacin.
56
Fuente: Piattini Mario G. y Del Peso, Emilio. Auditora Informtica: Un Enfoque Prctico. Mxico D.F.
Editorial Alfa Omega,1998. Pag.30
Es preciso recordar que nuestro inters es la Auditora de TI, por lo que los aspectos relativos a
la organizacin y funcionamiento del control interno quedan para otra investigacin.
3.1.3 Normativa sobre evaluacin de sistemas de informacin computadorizada
La
mediante la norma 302.10.01 del Manual sobre Normas Tcnicas de Control interno relativas
a los Sistemas de Informacin Computadorizados (SIC), emitido en noviembre de 1995, segn
la cual: La Unidad de Auditora Interna evaluar el cumplimiento, la suficiencia y la validez del
control interno en los SIC.
Complementariamente se indica que para cumplir con su competencia, la auditora interna
deber planear y ejecutar auditoras de los sistemas de informacin computadorizados y como
parte de ellas, evaluar el cumplimiento, la suficiencia y la validez del sistema de control interno,
teniendo como marco de referencia la normativa expuesta en el citado manual. Debe verificar
que los sistemas operen en forma eficiente y eficaz y que brinden informacin til y confiable.
Deber utilizar las tcnicas y herramientas computadorizadas que considere convenientes y
oportunas.
3.1.4 Normativa sobre las auditoras internas
La Ley N7428 Ley Orgnica de la Contralora General de la Repblica en sus artculos 61 y
62, seala entre otras cosas, que cada sujeto componente de la Hacienda Pblica tendr una
auditora interna la cual deber contar con los recursos necesarios para el cumplimiento de sus
funciones. Adicionalmente, las auditoras internas ejercern sus funciones con independencia
funcional y de criterio, respecto del jerarca y los dems rganos de la administracin activa.
Dependern orgnicamente del jerarca unipersonal o colegiado cuando ste exista, debiendo
organizarse y funcionar conforme lo establece el Manual para el Ejercicio de la Auditora
Interna y cualesquiera otras disposiciones emitidas por el rgano contralor.
57
la auditora, la informtica y la
Con respecto a la auditora deber conocer toda la filosofa del control en la cual sta se
fundamenta. Las tcnicas y procedimientos de trabajo que se utilizan para ejecutar una
auditora en el rea informtica difieren muy poco de las que pueden utilizarse en el campo
de la auditora financiero-contable. Por esta razn, la forma de preparar los programas de
auditora, los papeles de trabajo y los informes debern ajustarse a las tcnicas y
procedimientos aplicados en el campo de la auditora.
Arauz, Manuel. Auditora de Sistemas: por qu?. Universidad Internacional de las Amricas, 1996.Piattini, Mario G
y Del Peso, Emilio. Auditora Informtica: un enfoque prctico. Alfaomega. Mxico. 1998
58
Este auditor requiere contar con habilidades para expresarse con claridad tanto en forma
oral como escrita y necesita de una mente crtica que le permita analizar y cuestionar, con
sumo cuidado, las diferentes actividades que evala. Debe sumar a esto un conocimiento
amplio del tipo de organizacin en la que realiza su labor que le permita ofrecer una
asesora constructiva.
Para ejercer sus labores cabalmente en cada una de estas reas el grado de conocimiento que
debe tener de cada uno de los aspectos mencionados anteriormente vara en cuanto a su
profundidad.
As, un auditor que se dedique a evaluar la funcin informtica requerir conocimientos
profundos en administracin.
necesitar conocer muy bien de las tcnicas de anlisis, diseo e implantacin de sistemas,
mientras que para el auditor dedicado a evaluar sistemas en produccin el conocimiento que
tenga de los riesgos y controles en sistemas automatizados deber ser muy slido.
A todos estos conocimientos el auditor debe agregar un ingrediente muy importante: las
relaciones humanas.
recomendaciones que se emitan sean bien recibidas, cualidades tales como el tacto, la
empata, la discrecin, el respeto y el buen trato, as como una comunicacin directa, franca y
cordial son esenciales para que el auditor logre aceptacin y haga que su trabajo sea fructfero.
3.1.6 Principios para el Ejercicio de la Auditoria de TI
A continuacin se presenta un conjunto de principios para el desarrollo de la Auditora de TI, de
conformidad con el enfoque presentado por Jorge Paz Umaa7,
Estos toman elementos de las normas morales y reflejan el sentir mayoritario de los
profesionales a que van dirigidos, en cuanto a lo que se considera como un adecuado
comportamiento tico profesional, sirviendo de reprobacin
Paz Umaa, Jorge.Deontologa del Auditor Informtico y Cdigos Eticos. En Piattini, Mario G. Y Del Peso Emilio.
Auditora Informtica: un enfoque prctico. Mxico. Alfaomega. 1998
59
Principio de beneficio del auditado: El auditor deber ver cmo se puede conseguir la
mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando
obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de
las soluciones ms idneas segn los problemas detectados en el sistema informtico. En
ningn caso debe realizar el trabajo bajo el prisma del propio beneficio sino que por el
contrario su actividad debe estar en todo momento orientada a sacar el mximo provecho
de su cliente.
Principio de capacidad: El auditor debe estar plenamente capacitado para la realizacin de
la auditora encomendada, mxime teniendo en cuenta que en la mayora de los casos,
dada su especializacin, a los auditados en algunos casos le puede ser extremadamente
difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.
Principio de cautela: El auditor debe en todo momento ser consciente de que sus
recomendaciones deben estar basadas en la experiencia contrastada que se le supone
tiene adquirida, evitando que por un exceso de vanidad, el auditado se embarque en
proyectos de futuro fundamentados en simples intuiciones sobre la posible evolucin de las
nuevas tecnologas de la informacin.
Principio de comportamiento profesional: El auditor tanto en sus relaciones con el auditado
como con terceras personas deber, en todo momento, actuar conforme a las normas,
implcitas o explcitas de dignidad de la profesin y de correccin en el trato profesional.
Principio de concentracin en el trabajo: En su lnea de actuacin el auditor deber evitar
que un exceso de trabajo supere las posibilidades de concentracin y precisin en cada
una de las tareas a l encomendadas, ya que la saturacin y dispersin de trabajos suele a
menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las
debidas garantas de seguridad.
Principio de confianza: El auditor deber facilitar e incrementar la confianza del auditado
con base en una actuacin de transparencia en su actividad profesional, sin alardes
cientfico tcnicos, que por su incomprensin puedan restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas de actuacin. Para fortalecer la confianza mutua
60
se requiere por ambas partes una disposicin de dilogo sin ambigedades que permita
aclarar las dudas que, a lo largo de la auditora, pudieran surgir sobre cualquier aspecto
que pudieran resultar conflictivos, todo ello con la garanta del secreto profesional que debe
regir en su relacin.
Principio de criterio propio: El auditor durante la ejecucin de la auditora deber actuar con
criterio propio y no permitir que este est subordinado al de otros profesionales, an de
reconocido prestigio, que no coincidan con el mismo.
Principio de discrecin: El auditor deber en todo momento mantener una cierta discrecin
en el divulgacin de datos, aparentemente inocuos, que se hayan puesto de manifiesto
durante la ejecucin de la auditora.
Principio de economa. El auditor deber proteger en la medida de sus conocimientos los
derechos econmicos del auditado, evitando generar gastos innecesarios durante el
ejercicio de su actividad. En las recomendaciones y conclusiones realizadas con base en
su trabajo deber asimismo eludir, incitar o proponer actuaciones que puedan generar
gastos innecesarios o desproporcionados.
Principio de formacin continuada. Este principio ntimamente relacionado al principio de
capacidad y vinculado a la continua evolucin de las tecnologas de la informacin y las
metodologas relacionadas con las mismas, impone a los auditores el deber y la
responsabilidad de mantener una permanente actualizacin de los conocimientos y
mtodos a fin de adecuarlos a las demandas y las exigencias de la competencias de la
oferta.
Principio de fortalecimiento y respeto de la profesin: La defensa de los auditados pasa por
el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por
el ejercicio globalmente considerado, de la actividad desarrollada por los mismos y un
comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la
finalidad de las auditoras. Deber promover el respeto mutuo y la no confrontacin entre
compaeros.
61
ampliar el estudio del sistema informtico cuanto considere necesario sin agobios de
plazos, siempre que se cuente con la aquiescencia del auditado, hasta obtener dicho
convencimiento.
Principio de responsabilidad. El auditor deber, como elemento intrnseco de todo
comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje, sirviendo
esta forma de actuar como cortapisa de injerencias extraprofesionales.
Principio de secreto profesional. La confidencia y la confianza son caractersticas
esenciales de las relaciones entre el auditor y el auditado e imponen al primero la
obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de
su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin.
Principio de servicio pblico. Incita al auditor a hacer lo que est en su mano para evitar
daos sociales como los que pueden producirse en los casos en que, durante la ejecucin
de la auditora descubra elementos de software dainos (virus informticos), que puedan
propagarse a otros sistemas informticos diferentes del auditado.
Principio de veracidad. El auditor en sus comunicaciones con el auditado deber tener
siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los
lmites impuestos por los deberes de respeto, correccin y secreto profesional.
En tanto stos principios no estn plenamente asumidos, como configuradores de la dimensin
tica de la profesin, puede apelarse a los comportamientos morales individuales. En nuestro
caso los hemos incluido por considerarlos de utilidad para la conformacin de criterios
orientadores sobre la manera en que la Auditora de TI debe orientar sus actuaciones.
3.2 ORGANIZACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA
3.2.1 Antecedentes
La Direccin General de Auditora Interna del Ministerio de Hacienda fue creada en el ao 1989
con el nombramiento de la Directora en mayo de ese ao, posteriormente con la publicacin
del reglamento de organizacin y funciones, mediante el Decreto Ejecutivo No.19067 H
63
Tecnologa avanzada
Reasignacin de puestos.
Direccin General de Auditora Interna. Propuesta de Reforma de la Direccin General de Auditora Interna.
Documento Interno presentado al Ministro de Hacienda en julio de 1996.
64
65
3.2.4 Funciones
El artculo 63 de la Ley Orgnica de la Contralora General de la Repblica (Ley No. 7428 del 4
de noviembre 1994), establece en trminos generales las competencias de las auditoras
internas:
a) Controlar y evaluar el sistema de control interno correspondiente y proponer las
medidas correctivas.
b) Cumplir con las normas tcnicas de auditora, las disposiciones emitidas por la
Contralora General de la Repblica y las del ordenamiento jurdico.
c) Realiza auditoras y estudios especiales en relacin con cualquiera de los rganos
sujetos a su jurisdiccin institucional.
d) Asesorar en materia de su competencia al jerarca del cual depende e igualmente
advertir a los rganos pasivos que ellas fiscalizan sobre las posibles consecuencias
de determinadas conductas o decisiones cuando sean de su conocimiento.
e) Autorizar mediante razn de apertura los libros de contabilidad y actas que legal o
reglamentariamente deben llevar los rganos sujetos a su jurisdiccin institucional.
f)
Las dems que contemplan las normas del ordenamiento de control y fiscalizacin y
los manuales sobre la materia emitidos por la Contralora General de la Repblica.
Para el caso de la Auditora Interna del Ministerio, el decreto No. 19067 - H y sus reformas le
establece algunas funciones, entre las que destacan:
66
b)
c)
d)
e)
f)
g)
h)
Revisar
en
forma
posterior
las
operaciones
contables,
financieras
j)
3.2.5 Organizacin
La organizacin de la Direccin General de Auditora Interna fue aprobada por el Ministerio de
Planificacin y Poltica Econmica en diciembre de 1989, conforme sta se distingue la
Direccin General y dos reas funcionales: Administracin Tributaria y Administrativa
Financiera
En concordancia con la organizacin del Ministerio, el Area de Auditora de Administracin
Tributaria, le corresponde al Area de Ingresos, donde se ubican las siguientes dependencias:
Por su parte, el Area de Auditora Administrativa Financiera atiende el Area de Egresos, que
comprende las siguientes dependencias:
Oficinas Asesoras
Oficiala Mayor
Direccin Jurdica
Contabilidad Nacional
Tesorera Nacional
68
Proveedura Nacional.
DIRECCIO
NGENERA
L
AREA DE AUDITORIA
ADMINISTRATIVA
FINANCIERA
AREA DE
AUDITORIA
ADMINISTRACIN
TRIBUTARIA
Total
1
1
4
0
1
2
1
2
6
69
Total
Auditor
Informtico de Auditora Interna
Tcnico de Auditora Interna
Asistente Administrativo de Auditora Interna
Total
3
0
1
1
12
1
2
0
0
6
4
2
1
1
18
Fuente: Manual de Cargos de la Direccin General de Auditora Interna. Agosto 1999 e informacin sobre su
ocupacin suministrado por la Unidad Tcnica de Recursos Humanos.
PROPUESTA
DE
ORGANIZACIN
REQUERIMIENTOS
DE
RECURSOS
HUMANOS
A continuacin se presenta la propuesta de organizacin de la Auditora de TI para el
Ministerio, visualizada de conformidad con lo ya planteado en cuanto al modelo metodolgico
operativo y atendiendo lo que sera una primera etapa en el desarrollo de funcin.
La propuesta distingue el nivel institucional, es decir, el planteamiento sobre la ubicacin de la
Auditora de TI como parte de la estructura orgnica del Ministerio, y por otra parte, la
organizacin para la unidad que asumir el desarrollo de estas competencias
70
10
Gonzlez, Z. Jos Mara. Metodologas de Control Interno, Seguridad y Auditora Informtica. En Piattini, Mario
y del Peso Emilio. Op cit. Pag. 68
71
En virtud del conocimiento del negocio que logran los auditores ubicados en las
reas funcionales de Administracin Tributaria y Administrativa Financiera, la evaluacin
de los procesos relacionados con el desarrollo de sistemas de informacin as como la
evaluacin de sistemas en operacin, ubicados en los dominios Adquisicin e
Implementacin y en el de Entrega de Servicios y Soporte, respectivamente, resulta
conveniente que sean atendidos por los auditores de las respectivas reas funcionales.
11
Ruano Diez, Rafael. Organizacin del Departamento de Auditora Informtica. Pag 109. En Piattini, Mario y del
Peso Emilio. Op cit.
72
La conveniencia de que la gestin de TI sea evaluada con una visin integral y no solo
de las reas funcionales (Administracin Tributaria y Administrativa Financiera). En ese
mismo sentido, algunas tareas de la gestin de la TI, como la planeacin estratgica y
ciertos servicios especficos como correo electrnico, pgina web, herramientas
colaborativas, etc, tienen una naturaleza institucional.
La necesidad de que la misma Direccin cuente con un apoyo tcnico para la gestin
de la informtica en auditora, es decir, para el soporte y potenciacin del uso de las
herramientas informticas que se introduzcan en apoyo a la labor de la auditora y la
administracin de los recursos disponibles.
En ese sentido se propone la creacin de una tercera rea funcional denominada Area de
Auditora de Tecnologa de la Informacin, que ser la responsable de atender las funciones y
responsabilidades propias de esta funcin de conformidad con el modelo operativo
metodolgico ya presentado.
Adicionalmente, se recomienda que la evaluacin de sistemas en operacin corresponda a las
reas funcionales segn el sistema de que se trate, debiendo tambin preverse que para la
asesora al desarrollo de sistemas se puedan conformar equipos integrados por funcionarios
del rea especfica y del rea de Auditora de TI. Para efectos de la conformacin de estos
equipos y asignar la responsabilidad del liderazgo de los mismos se debera considerar la
naturaleza del sistema involucrado, entendiendo que en la medida en que sea un sistema de
mbito institucional ser conveniente que el liderazgo corresponda al funcionario del Area de
Auditora de TI.
Lo propuesto implicara que los auditores de las reas de Administracin Tributaria y
Administrativa Financiera debern tener conocimientos en materia de auditora de la TI, que les
permita desarrollar sus funciones y trabajar en el entorno de las tecnologas de la informacin
73
dentro de la institucin. Los integrantes del Area de Auditora de TI tendran con respecto a
stos una funcin de apoyo y actualizacin.
A continuacin se visualiza la organizacin de la Direccin General de Auditora Interna de
conformidad con la propuesta presentada.
DIRECCIO
NGENERA
L
AREA DE
AUDITORIA
ADMINISTRACIN
TRIBUTARIA
AREA DE
AUDITORIA DE
TECNOLOGA DE LA
INFORMACION
74
AREA DE AUDITORIA
ADMINISTRATIVA
FINANCIERA
La determinacin de una plantilla ideal para un departamento especfico plantea retos muy
importantes, cuya atencin demanda esfuerzos de orden tcnico que exceden nuestras
posibilidades. En efecto, definir la cantidad ideal de funcionarios que debera tener el Area de
Auditora de TI, implicara realizar un estudio de cargas de trabajo que supera nuestras
capacidades tcnicas y los objetivos mismos de esta investigacin, requiriendo para ello
adems valorar y profundizar en aspectos como los siguientes:
Una adecuada valoracin de todos estos elementos excede nuestras posibilidades. Con el
propsito de plantear una propuesta lo ms razonable posible con la informacin disponible a la
fecha, independientemente de que la misma pueda ser ajustada en la medida en que se
disponga de elementos adicionales, a partir de los siguientes elementos se presentar un
planteamiento:
75
Considerando los anteriores elementos se propone que la nueva rea cuente con los siguientes
recursos:
76
CAPITULO 4
PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA
77
Reduccin de costos
auditores y evaluadores.
En el caso de la Auditora de TI, la utilizacin de estas herramientas y tcnicas resulta
imprescindible, ya que muchos de los anlisis requeridos para evaluar los sistemas y las bases
de datos resultaran imposibles en caso de no contarse con herramientas especializadas.
Por otra parte, reconociendo las limitaciones para la contratacin de personal dentro del sector
pblico, se requiere elevar la productividad de los funcionarios mediante la utilizacin de este
tipo de herramientas y tcnicas, para lograr el cumplimiento de los objetivos de la auditora.
78
Atendiendo el enfoque de Charles H. Le Grand, 12las herramientas usadas por auditores como
apoyo a la administracin pueden ser clasificadas como sigue:
Anlisis de riesgo.
Planeacin y asignacin
Biblioteca de referencia
Comunicaciones
Presentaciones
Entrenamiento y educacin
Internet
A continuacin se presenta una breve descripcin de cada una de las anteriores categoras.
a.
Anlisis de Riesgo
12
79
En relacin con lo anterior, una herramienta de comunicacin importante para auditores es una
clara y entendida identificacin y valoracin de riesgos. Los gerentes entienden riesgos y
pueden probablemente describir los riesgos ms significantes que manejan. Un auditor puede
complementar la lista de los riesgos mediante preguntas acerca de los aspectos que saben que
usualmente andan mal.
La lista de riesgos proporcionada por la Administracin y complementada por el auditor es el
primer elemento del anlisis de riesgo. Los prximos pasos involucran la evaluacin de las
probabilidades de exposicin que son el resultado de los riesgos y los costos potenciales. Para
esto, un auditor puede usar herramientas tan simples como las hojas de clculo o bases de
datos, o posiblemente puede optar para sistemas ms complejos atados en un sistema de
administracin de auditora integrado.
Cualquiera que sea el acercamiento y las herramientas usadas, la valoracin de riesgo del
auditor debe compartirse con la Administracin y buscarse un acuerdo general para asegurar
una comunicacin eficaz de los objetivos, prioridad y alcance de las auditoras.
b.
Planeacin y asignacin
auditora hacer el uso ms eficiente de los recursos disponibles. Debe grabar e informar
cualquier variacin de los planes y debe determinar los efectos en planes subsecuentes. El
software de administracin de proyectos tambin puede proporcionar informes y grficos para
ayudar en la toma de decisiones.
Algunos software de administracin de proyectos son suficientemente poderosos como para
permitir la programacin de todos los proyectos de auditora y las subactividades, tanto
individualmente como colectivamente.
El software puede proporcionar reportes detallados o resumen con elementos como los
cuadros y grficos ilustrativos de los impactos de retrasos o reprogramaciones en los planes de
la auditora relacionados o subsecuentes.
Por supuesto que la operacin y administracin de tal software tambin tiende a requerir un
tiempo significativo, de manera que esto debe considerarse en la planeacin y en la seleccin
de la direccin del proyecto.
Los auditores deben determinar si utilizan un software de administracin de proyectos que se
use en otras funciones dentro de la organizacin. Esto puede proporcionar las ventajas en
apoyo y entrenamiento, y les puede dar movilidad dentro de la organizacin si tienen
experiencia con los sistemas de administracin de proyectos usados en otras partes dentro de
la organizacin.
e.
Una base de datos para el personal y el inventario de herramientas son elementos importantes
para la planeacin y proyeccin propios de la administracin de la auditora.
Una base de datos de esta naturaleza puede facilitar la programacin del entrenamiento y
experiencias necesitadas por auditores para su desarrollo profesional. Tambin puede resaltar
reas de debilidad dentro del personal que puede ser complementado por la contratacin de
servicios externos.
82
f.
Biblioteca de Referencia
Las comunicaciones son importantes tanto dentro de la auditora como con las reas de la
administracin atendidas por sta. Herramientas de comunicacin como groupware, el acceso
remoto a los sistemas, servicios de correo electrnico y traslado electrnico de archivos, han
mejorado significativamente la actuacin de la auditora. Pueden compartirse papeles de
trabajo de auditora, hallazgos, borradores del informe y otra informacin seleccionada para
permitirles a gerentes de la auditora inspeccionar trabajo en marcha y proporcionar
retroalimentacin inmediata.
Los auditores pueden acostumbrarse a comunicaciones electrnicas para compartir resultados
de auditoras en marcha con el propsito de reducir las sorpresas al final de la auditora. Esto
83
Presentacin
84
Hay tambin por supuesto el lado negativo del seguimiento de resultados: cuando los cambios
no se llevan a cabo como se prometi y los auditores tienen que volver para investigar las
circunstancias. Hasta que los resultados de hallazgos estn resueltos deben permanecer en la
lista de seguimiento.
j.
Entrenamiento y Educacin
Internet
Adems de los usos de Internet descritos con anterioridad, los auditores estn encontrando
que la "red" es una tremenda fuente de informacin disponible, en cualquier tiempo y lugar. Los
85
Algunos
Ejemplos
de
Herramientas
Computadorizadas
de
Apoyo
la
Administracin de la Auditora.
A continuacin se presenta una breve caracterizacin de una muestra de herramientas
computadorizadas de apoyo a la administracin de la auditora. Se han considerado aquellas
que a nuestro criterio son ms conocidas en nuestro medio y que potencialmente pueden
resultar de inters para la Auditora de TI en el Ministerio. Complementariamente, en el Anexo 2
se presenta informacin sobre proveedores y direcciones.
Audit Builder V.2
Permite a las empresas implementar o mejorar la ejecucin de la auditora en mltiples
localidades, o implementar la Auto evaluacin de Riesgos y Controles (CRSA). Permite
construir modelos estndar diseados a la medida de los riesgos y controles de cada proceso
de la organizacin.
86
87
Facilita el control del grado de avance de los trabajos, del cumplimiento de la programacin y
de la calidad de los procedimientos aplicados
Una de las caractersticas principales de GESIA 2000 es su flexibilidad tanto para adaptarlo a la
metodologa y sistemas de organizacin de cada firma o despacho de auditora, como para
cada trabajo o sector auditado. El mdulo de Intercambio de Datos, permite la transferencia
entre s, de cualquier tipo de informacin introducida en los ficheros de trabajo de GESIA 2000.
Los objetivos de este mdulo opcional de Intercambio de Datos pueden resumirse en los
siguientes:
para llevar a cabo la labor de auditora y su estructura est basada en tres pilares: El
Conocimiento del Area, El Proceso de Auditora y las Herramientas de Anlisis e Informacin.
Mdulos de GPA:
Universo Auditable.
89
Se establece un inventario completo de las auditoras que se pueden realizar definiendo las
reas en las que se divide la empresa para efectos de los estudios de Auditora y los tipos de
Auditoras.
Criterios
Fuentes de los criterios utilizados para sustentar el trabajo de Auditora estableciendo un ndice
de criterios por fuente e ndice de criterios por tema.
Formularios de Gestin
Recurso Humano
Perfil actualizado de los Auditores. Registro del conocimiento que posee y que va adquiriendo
cada auditor (estudios formales y empricos, etc), Experiencias de trabajo (experiencia sobre
cada intervencin del auditor).
Planificacin
Ejecucin
Comunicacin
Permite de forma visual y electrnica el manejo, control y seguimiento de todas las notas
emitidas y recibidas por la auditora.
Asegura el
90
Anlisis de la Gestin
Crear, mantener e identificar en forma oportuna los criterios internos y externos de auditora
materiales con que cuenta la Unidad de Auditora, que conlleve una mejor asignacin de las
labores o funciones de auditora. A su vez, facilita la evaluacin y definicin de necesidades de
stos recursos.
Permite tener una perspectiva completa sobre las auditoras por efectuar y sobre las que se
Ejecutar en forma colaborativa o aislada las tareas definidas para cumplir con los
programas de trabajo.
Supervisin efectiva y oportuna sobre los estudios de auditora que se estn ejecutando.
91
Facilitar la emisin de informes de auditora, tomando como base los papeles de trabajo
Auditora.
Risk Advisor 99
Permite estructurar la administracin de los riesgos especficos de cada organizacin y/o
procesos crticos por sus facilidades para identificar los riesgos en el contexto estratgico y con
base en las fuentes de riesgo y reas de impacto.
Aplica un esquema de administracin del riesgo consistente con la Norma 4360 de Nueva
Zelanda/Australia sobre Administracin del Riesgo.
La norma indicada mantiene una gua para el establecimiento y aplicacin del proceso de
administracin del riesgo que involucra la identificacin, anlisis, valoracin, tratamiento, y la
supervisin continua de los riesgos.
Es genrico e independiente de cualquier industria especfica o sector econmico. Recomienda
el acercamiento que debe ser considerado a cada paso del ciclo de vida y direccin de riesgo,
pero deja cada negocio para desarrollar maneras pragmticas de aplicar el ciclo de vida dentro
de sus condiciones actuales.
Risk Advisor 1999 proporciona al usuario:
Permite que los riesgos y controles sean exportados e importados entre las revisiones
diferentes.
4.3
hallazgos,
recomendaciones
o de
93
auditoras
coexistentes
anteriores
proporcionan informes que indican las reas potenciales relacionadas o las reas sistmicas
del problema.
Como las herramientas de papeles de trabajo de auditora proporcionan la habilidad de incluir
informacin de soporte adems de texto o nmeros - como cuadros, sonido, video, etc., los
mtodos para organizar y proporcionar acceso a tal informacin deben adaptar a tal situacin.
En el futuro, los auditores podrn encontrar que las cantidades significantes de informacin
necesitadas en revisiones de la auditora pueden existir en formas diferentes del texto,
nmeros o caracteres grficos.
b.
Histricamente los auditores han confiado en muestras de transacciones para realizar sus
pruebas. Ahora, con el uso de recuperacin automatizada y herramientas del anlisis, es
normalmente ms fcil evaluar todos los archivos que evaluar una muestra. Ms all, los
auditores pueden poner parmetros en su software identificar todos los archivos que se
cumplen con determinado criterio de seleccin. La seleccin completa de archivos con
determinado tipo de error conocido puede eliminar el problema de "estimar" las proporciones
del error. En cambio, el anlisis del error puede enfocarse en esos archivos con datos que
estn fuera del rango de transaccin esperada pero todava dentro de las limitaciones de
condiciones del error definidas.
Pueden aplicarse tcnicas de muestreo a los archivos seleccionados del sistema de la
produccin, o pueden seleccionarse todos los archivos de un determinado tipo o aplicarse una
seleccin ms detallada en el proceso del anlisis.
El criterio de seleccin puede basarse en auditoras anteriores, pero los auditores deben
aprovechar las oportunidades de mejorar la cobertura de la auditora continuamentesobre
todo si esto puede lograrse sin incrementos importantes en los costos. La seleccin
automatizada y las herramientas del anlisis pueden facilitar mejoras, pero no asegurarn tales
mejoras automticamente.
94
c.
95
Una tendencia en recuperacin y anlisis de informacin por parte del auditor es incluir mayor
inteligencia en el software de auditora o monitoreo incorporado en sistemas comerciales y
redes. Cuando los auditores identifican elementos de riesgo y desarrollan software para
descubrir errores o las transacciones sospechosas, o los modelos de los datos raros, resulta
relativamente simple incorporar esas pruebas en los sistemas de la produccin. En tales casos,
los auditores pueden informarse poco despus de errores o cambios en modelos de los datos.
Los auditores pueden visualizarse como usuarios de un sistema en desarrollo en la medida en
que identifican y plantean sus propios requerimientos en cuanto a la generacin de interfases o
facilidades para obtener informacin. En lugar de funcionar como especialistas en control en el
96
equipo de diseo y desarrollo, ellos funcionan como cualquier otro usuario del sistema o
representante de una interfase del sistema. Los auditores especifican los criterios de seleccin
de registros y datos as como cualquier rasgo especial como la habilidad de modificar, extender
o suspender el monitoreo del sistema.
En el futuro, la lgica usada por auditores rastrear transacciones y eventos hacia delante y
hacia atrs dentro de los sistemas de la computadora, redes, y archivos ser probablemente
incorporada en sistemas sensibles. Entonces transacciones sensibles que fluyen a travs de
los sistemas pueden llevar con ellos informacin sobre la fuente de las transacciones y todas
las rutas tomadas a travs de procesamiento, redes, o archivos. Tales "etiquetas de la
auditora" sern muy tiles en el caso de transacciones monetarias como procesamiento de
pagos o transferencias de fondos y proporcionar la informacin para descubrir o detener
fraudes.
Con los costos decrecientes y las nuevas capacidades del procesamiento de informacin,
sistemas del almacenamiento y medios de comunicacin, est resultando cada vez ms
factible la captura y archivo de informacin sensible en los todos los puntos de entrada,
procesamiento, transferencia o almacenamiento. De esta forma se podr dar seguimiento a los
cambios que se aplican a los datos a lo largo de su ciclo de vida. As las apreciaciones de
integridad de informacin en el futuro podran ser basadas en complejos anlisis de los datos y
sustituir al anlisis de control cuando se encuentran anomalas. Esto es lo opuesto de cmo se
aplican apreciaciones de la auditora tradicional y pueden requerir alguna reingeniera del
proceso dentro de la profesin de auditora.
e.
Informes de auditora
97
Los software de apoyo a los reportes de auditora tambin pueden proporcionar informacin
automticamente sobre las secciones de auditoras realizadas por auditores individuales
conforme se van completando, de manera
pueden utilizarla para buscar informacin. Si su camino de acceso es lento, entonces los
requisitos de tiempo pueden sobrepasar rpidamente el valor recibido y reducir el entusiasmo
del auditor por tal aprendizaje. Si los auditores de viaje no tienen acceso remoto a sus archivos
centrales o email, entonces ellos no pueden investigar la historia de la auditora y no pueden
usar un servidor de la lista para buscar apoyo de otros ante un problema o pregunta.
Finalmente la direccin de la auditora y por supuesto el presupuesto, determinar el juego de
las herramientas que se proporcione a los auditores, pero los auditores sern los que
determinen qu tan eficazmente se usen las herramientas. El entrenamiento deber enfocarse
en cmo buscar y aprender nueva informacin y acercamientos, no slo cmo realizar tareas
previamente definidas o usar facilidades del software disponible.
g.
Seguimiento de tiempo
En algunos casos, puede ser posible utilizar los relojes internos del sistema para grabar el
tiempo que los auditores gastan usando sus computadoras y rastrear el tiempo dedicado a los
proyectos individuales. Tambin puede ser pertinente grabar el tiempo y los recursos usados
por programas cuando ellos procesan para los propsitos de proyectos de la auditora
especficos. Eventualmente los rastreos automatizados de recursos se volvern la norma, pero
hoy en da principalmente
administracin.
Un sistema de administracin de auditora puede proporcionar un detallado y resumido anlisis
de productividad y otros parmetros requeridos para lograr una eficiente administracin de la
auditora. El seguimiento del tiempo y su informacin pueden ser elementos del sistema de
administracin de proyectos anteriormente
desempeo, estimar requerimientos de tiempo por fijar y otras herramientas relacionadas para
su mejor utilizacin.
99
Analizar y determinar la antigedad de las cuentas por cobrar, cuentas por pagar u
otras transacciones a las que afecta el tiempo transcurrido.
El software ACL para acceso, anlisis de datos y generacin de informes posee abundantes
funciones especficas para la auditora: desde comandos tales como GAPS (Faltantes),
DUPLICATES (Duplicados) y STRATIFY (Estratificar) hasta el importante log de comandos o el
historial detallado del proceso. La funcionalidad incorporada de revisin de cuentas le permite a
auditores y contadores, sin experiencia tcnica o de programacin, realizar rpidamente
anlisis e informes sobre datos financieros.
Analiza datos de manera interactiva y obtiene resultados inmediatos mientras aplica una
metodologa de auditora e investiga las excepciones en cualquier momento.
Facilidad de uso.
Relaciona y trabaja simultneamente con varios archivos, para hacer anlisis e informes an
ms completos.
101
Produce informes de lneas mltiples fciles de entender para apoyar los hallazgos. Permite el
diseo para ver previamente y modificar sus resultados en pantalla con la facilidad de arrastrar
y colocar. Enva por correo electrnico notificaciones automticas de los resultados de los
anlisis en apoyo a metodologas de auditora especficas. Asimismo permite crear informes en
HTML para su publicacin en el Internet o en la intranet de la organizacin.
Permite revisar o imprimir en cualquier momento, un historial completo de los archivos, pasos y
resultados
AuditorsSoftware Toolset (AST)
Es una solucin integral, compuesta por un conjunto de tres productos que permiten la
automatizacin de cualquier tipo de evaluacin y auditora.
Pro audit. Advisor v.2.: Mejora la valoracin y evaluacin detallada de los riesgos y
controles. Permite un proceso de evaluacin/auditora, consistente con modelos de control
interno internacionales(COSO, COCO, Cadbury), desagregando las reas de acuerdo a la
estructura real de cada organizacin. Permite crear o vincular a la evaluacin / auditora, la
documentacin y papeles de trabajo externos electrnicos (Word, Excel-PowerPoint) como
soporte y evidencia del trabajo.
COBIT Advisor, provee a las organizaciones una herramienta automatizada para evaluar y/o
auditar, de manera gil y consistente el cumplimiento de los objetivos de control y controles
detallados, que aseguran que los procesos y recursos de Informacin y Tecnologa
contribuyan al logro de los objetivos de negocios.
102
Funcionalidad
Idea 2001
Permite a los usuarios mejorar la eficacia y efectividad en sus tareas de anlisis de datos.
IDEA 2001 ofrece a los usuarios las siguientes funciones:
Con un doble click en una columna ordenar alfanumricamente, por fecha o por orden
numrico.
Extraer resultados y grficos con un doble click en una fila o en una parte del grfico, y
trabajar los datos subyacentes.
103
Los usuarios de IDEA participan activamente para el desarrollo del producto a travs de grupos
de usuarios, suministro de e-mail y a travs de la red de distribucin global de Idea.
IDEA 2001 permite a los usuarios leer, desplegar, analizar, manipular, o extraer una muestra de
los datos archivados en casi cualquier fuente - mainframe o PC, incluso informes impresos a
un archivo. IDEA extiende el alcance del auditor o analista proporcionando funciones nicas y
caractersticas no encontrados en software genrico y les da el poder a los usuarios para bajar
el costo de trabajo de la auditora, refuerza la calidad a su trabajo y asume nuevos papeles.
CMM Advisor
Capability Maturity Model (CMM)Advisor es la herramienta automatizada para ayudar a los
negocios a desarrollar y mantener efectivos procesos de software.
CMM asiste a las unidades comerciales uniendo el desarrollo y mantenimiento del proceso de
software. CMM ha sido desarrollado por el Instituto de Ingeniera de Software (SEI) para
proporcionar una referencia al negocio con benchmarck para el proceso de TI. Est diseado
para usarse en los negocios, involucrado planeamiento, diseo y desarrollo del software.
COBIT Advisor
COBIT Advisor 3rd Edition brinda al usuario:
104
Es utilizado por los auditores, los consultores de negocios y los responsables de los procesos
del negocio.
COBIT Advisor 3rd Edition se caracteriza por:
Contar con una base de datos de 34 procesos, 318 objetivos de control y 374
guas de auditora.
Asegurar cobertura.
direccin de TI, para evaluar sus procesos contra las mejores practicas de la industria. La
aplicacin le permite a los gerentes de TI realizar una valoracin para identificar si se cuenta
con efectivos controles y tomar acciones correctivas, sin la necesidad de un experto
independiente.
Crystal Reports
Crystal Reports accesa ms de 30 fuentes de datos, tiene capacidades de anlisis de datos y
opciones de tipo de informe. Adems, su plan modular permite usar Cristal Reports Engine
para integrar informacin en las aplicaciones del banco de datos y distribuido con un runtime
libre.
Este sistema es usado por profesionales comerciales que quieren informar o preguntar
directamente de una fuente de los datos, por profesionales en sistemas de informacin que
necesitan proporcionar informes a los usuarios comerciales, y por los vendedores del software
105
cumplimiento para cada uno de los objetivos de control publicados, una hoja de clculo que
sumariza un subtotal y total del nivel numrico de cumplimiento y una explicacin de cmo
usarlo.
Data Explorer
Fue diseado atendiendo los principios para facilitar las aplicaciones del cliente/servidor,
capitalizar la arquitectura de la computadora moderna. Data Explorer se caracteriza por su
velocidad, flexibilidad, combinadas con la facilidad para usar interface visual. Data Explorer
est aplicado en cualquier situacin donde se presente la necesidad de explorar cantidades
grandes de datos de una manera flexible y representar los resultados en una forma grfica.
Examine
Es el lder de industria en MVS de verificacin y auditora de la integridad de los en sistemas en
operacin, el cual es crtico para la seguridad y confiabilidad de sistema CA-examine ayuda a
identificar y controlar las exposiciones de seguridad de MVS, virus, puertas de trampa, caballos
106
de troja y bombas de lgica que pueden destruir la seguridad de produccin y pueden engaar
los mecanismos de seguridad. A travs del uso de tcnicas especialistas del sistema y una
interface del idioma ingls, CA-examine al instante proporciona informacin que es difcil o
imposible de obtener de otras fuentes.
Tambin identifica problemas potenciales, hace sugerencias y contesta preguntas. CA-examine
apoya la nueva Interface de Comprobacin de Producto (PVI) que establece traceability de
productos de software de sistema e identifica requisitos de la instalacin apropiados para un
nmero creciente de Computadora Socios sistemas productos.
El anlisis de CA/Examine y funciones del despliegue ahorran valioso tiempo por los datos
centre a gerentes, administradores de seguridad, personas de los funcionamientos, el personal
de conviccin de calidad y otros que necesitan saber MVS sistema opciones actuales,
parmetros e informacin de estado.
Rat-Stats
Es un paquete de herramientas del software estadsticas diseadas para ayudar al usuario a
obtener muestras al azar y evaluar los resultados.
De una versin inicial con cuatro mdulos de la apreciacin y tres programas de utilidad, el
paquete ha crecido incluir siete mdulos para generar nmeros al azar, diecisis mdulos para
estimar resultados de la muestra, y cuatro mdulos que proporcionan datos las utilidades
relacionadas.
RAT-STATS es la herramienta primaria de auditora estadstica usada por la Oficina de
Servicios de la Auditora en la Seccin de Salud y Servicios Humanos.
El software estadstico ha sido usado por la Oficina del Inspector General desde principios de
aos setenta. Con la llegada de las microcomputadoras se tiene la oportunidad de mover el
software estadstico de los sistemas para mainframe. Los programas se han evaluado y
certificado independientemente.
Una apreciacin global de RAT-STATS se present a la 1991 Conferencia de Desarrollo
Profesional patrocinada por la Asociacin de Cuentas Gubernamentales (AGA). El paquete se
107
4.4
ELEMENTOS
PARA
UNA
DECISIN
SOBRE
HERRAMIENTAS
COMPUTADORIZADAS
A continuacin se plantean algunos elementos que a nuestro criterio deben ser considerados a
los efectos de la toma de decisiones sobre la adquisicin de herramientas computadorizadas
de apoyo a la administracin y a la Auditora de TI en el campo del control y la auditora ( tanto
para su administracin como para el desarrollo de sus funciones).
1 de 128 MB
6 de 64 MB
1 con 32 MB
3 con 16 MB
4 Impresoras.
109
Las debilidades del ambiente de control en el Ministerio han sido apuntadas tanto por la
Direccin General de Auditora Interna como por la Contralora General de la Repblica, siendo
evidente la necesidad de un esfuerzo por parte de la Administracin para establecer y
perfeccionar los sistemas de control en la gestin de los recursos de TI. Para estos efectos es
importante el uso de una herramienta que oriente las acciones segn las mejores prcticas en
sta rea y adems promueva la autoevaluacin. Lo anterior se considera una condicin
necesaria para que la evaluacin independiente que corresponde realizar a la auditora
agregue valor y contribuya al fortalecimiento de los controles.
4.4.3 Modelo metodolgico recomendado para la auditora
El modelo metodolgico operativo recomendado en el captulo 2, denominado Objetivos de
Control para la Informacin y Tecnologas Afines (COBIT por sus siglas en ingls), tiene como
una de sus fortalezas el desarrollo de herramientas automatizadas tanto para la administracin
como para la auditora, lo cual evidentemente deber considerarse en la seleccin de las
herramientas automatizadas de apoyo a la auditora.
4.4.4 Proceso de Creacin y Desarrollo de la Auditora de TI
La adquisicin de herramientas deber guardar relacin con la estrategia de desarrollo de la
Auditora de TI que se desarrollar en el siguiente captulo, debiendo darse prioridad a aquellas
herramientas que apoyen los esfuerzos que se desarrollarn en las primeras etapas. Esto
resulta de especial relevancia considerando la rpida evolucin que en este campo se da, de
tal suerte que no se justificara adquirir herramientas que no se van a utilizar a corto plazo ya
que versiones posteriores de la misma podran adquirirse a un mejor precio e incorporar
facilidades adicionales.
110
111
Anlisis de riesgo.
Planeacin y asignacin
Biblioteca de la Referencia
Comunicaciones
Presentaciones
112
Entrenamiento y Educacin
Un proceso consistente para evaluar y auditar la gestin y control de los sistemas de TI.
Permite realizar las auditoras en tres (3) niveles: Alto Nivel Gerencial (Dominios /
Procesos), detallado de los Objetivos de control, y detallado con las Guas de Auditora
(pasos del programa).
Interfase grfica de diseo muy amigable, tal y como se puede apreciar en el anexo 3.
Es una herramienta que est siendo utilizada y considerada como referencia til por
otras auditoras internas de instituciones pblicas, como la del Banco Nacional de Costa
Rica, el Banco Central de Costa Rica y la Compaa Nacional de Fuerza y Luz.
114
CAPITULO 5
PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI
En este captulo se presenta el plan para la puesta en prctica de los elementos planteados en
los captulos anteriores. Inicialmente se presentan las consideraciones de carcter general que
de una u otra manera inciden en el plan. Posteriormente se muestran los elementos que
componen el plan y el detalle de las tareas para un periodo de 2 aos y medio, finalmente se
incluye el presupuesto econmico, en el que se puede encontrar una estimacin del costo para
la implementacin de la propuesta. Con el planteamiento de estos aspectos especficos se
pretende facilitar la toma de decisiones asociadas con la introduccin y consolidacin de la
Auditora de TI, de tal forma que se pueda trazar, con el mayor detalle posible, las acciones que
debern realizarse para concretar el propsito final de este
5.1 CONSIDERACIONES ESTRATGICAS
5.1.1 Aportes de la Administracin
En un primer momento es necesario evidenciar los aportes por cuenta de la Administracin que
a su vez se consideran condiciones necesarias para la adecuada introduccin de la Auditora
de TI en el Ministerio de Hacienda.
le
La
116
Objetivo:
Lograr la consolidacin de la organizacin administrativa de la Auditora de TI y la asignacin
de recursos humanos y tecnolgicos mnimos para el desarrollo de esta funcin y fortalecer el
ambiente de control de TI dentro del Ministerio.
Areas consideradas:
En esta primera etapa no slo es necesario disponer de los recursos sino que se considera
clave que la Auditora de TI de muestras claras de un aporte positivo para la organizacin y se
posicione como un elemento fundamental del sistema de control interno y de asesora a la
Administracin. Para estos efectos, ser fundamental una participacin proactiva y asesora.
En lnea con lo indicado, dentro del marco metodolgico propuesto (Modelo COBIT) se
considera conveniente que en esta primera etapa se atienda prioritariamente el dominio
Planeamiento y Organizacin, orientado a identificar la forma en que la TI contribuye de la
mejor manera al logro de los objetivos del negocio, as como el establecimiento de una
organizacin y una infraestructura tecnolgica apropiada.
Dentro de este dominio estimamos prioritarios tres subdominios o procesos, a saber:
PO4 Definicin de la organizacin y las relaciones de TI, que abarca quince objetivos
de control.
Estos tres procesos son a nuestro criterio claves para lograr una respuesta clara a las
principales debilidades apuntadas en el diagnstico institucional realizado como primera fase
del presente estudio.13 Adicionalmente, mediante el enfoque planteado se pretende orientar los
primeros esfuerzos hacia el fortalecimiento del sistema control interno, ms que a la
identificacin de las limitaciones puntuales de las aplicaciones y la gestin actual de la TI, en el
entendido de que ello resulta clave en virtud de la situacin institucional evidenciada en los
diferentes documentos elaborados por los grupos de Proyecto Integrado I.
13
117
Contratacin del recurso humano. Comprende las actividades a desarrollar con el fin de
que el Area de TI disponga de los recursos humanos mnimos para su funcionamiento.
la gestin de la Auditora
y una
y otra para la
Administracin de Riesgo.
El detalle de todas y cada una de las actividades se muestra en el cronograma que se muestra
a continuacin.
120
Nombre de tarea
Preparar el documento del proyecto
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
Realizar presentacin
Analizar proyecto
0%
0%
Aprobar proyecto
0%
0%
0%
8
9
0%
10
11
12
Analizar propuesta
0%
13
0%
14
Analizar propuesta
15
Aprobar propuesta
16
0%
17
0%
18
Anlizar la propuesta
0%
19
0%
20
0%
0%
0%
0%
0%
121
Id
21
Nombre de tarea
Publicar decreto
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
22
23
24
25
1%
3%
0%
26
27
0%
28
Elaborar propuesta de ajuste al manual de cargos para coordinador de ATI y profesional informtico
0%
29
0%
30
31
0%
32
0%
33
Aprobar ajuste
34
35
36
37
Aprobar reestructuracin
38
0%
39
0%
0%
0%
0%
0%
0%
0%
122
Id
40
Nombre de tarea
Tramitar decreto de modificacin a la Relacin de Puestos
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
41
42
43
44
Seleccionar
45
46
47
48
49
0%
50
Aprobar reestructuracin
0%
51
0%
52
0%
53
54
55
56
57
Seleccionar
58
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
123
Id
60
61
Nombre de tarea
Capacitacin de funcionarios
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0
62
63
0%
64
0%
65
0%
66
Inscribir funcionarios
0%
67
0%
68
0%
69
0%
70
Inscribir funcionarios
0%
71
Participar mdulo 2
72
73
0%
74
Inscribir funcionarios
0%
75
Participar mdulo 3
76
77
0%
78
Inscribir funcionarios
0%
0%
0%
0%
0%
0%
124
Id
79
Nombre de tarea
Participar mdulo 4
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
80
81
0%
82
Inscribir funcionarios
0%
83
Participar mdulo 5
84
85
0%
86
Inscribir funcionarios
0%
87
Participar mdulo 6
88
89
0%
90
Inscribir funcionarios
0%
91
Participar mdulo 7
0%
0%
0%
0%
0%
0%
92
93
0%
94
95
0%
96
0%
97
0%
0%
125
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
Id
98
Nombre de tarea
Inscribir prov. funcionarios
99
0%
100
0%
101
Participar en Seminario
0%
0%
102
103
104
105
0%
0%
106
107
108
109
Adjudicar
110
Entregar software
0%
111
Instalar software
0%
112
113
114
115
116
0%
0%
0%
0%
0%
0%
0%
0%
0%
126
Id
117
Nombre de tarea
Adjudicar
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
118
Entregar software
0%
119
Instalar software
0%
120
121
0%
0%
122
Investigacin de alternativas
123
124
125
126
Adjudicar
127
Entregar
0%
128
Instalar software
0%
129
0%
0%
0%
0%
0%
0%
130
131
0%
132
0%
133
0%
134
135
0%
0%
127
Id
137
Nombre de tarea
Entregar
138
Instalar software
139
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
0%
0%
140
141
142
0%
143
0%
144
145
146
0%
147
Adjudicar
0%
148
0%
0%
0%
0%
149
150
0%
151
152
153
154
Realizar Evaluacin
155
0%
0%
0%
0%
128
Id
156
Nombre de tarea
Comunicar resultados a la administracin
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
157
Elaborar informe
0%
158
Entregar informe
0%
159
160
0%
161
162
Realizar Evaluacin
163
0%
164
0%
165
Elaborar informe
0%
166
Entregar informe
0%
0%
0%
167
168
Evaluacin de riesgos
0%
169
170
Realizar Evaluacin
171
0%
172
0%
173
Elaborar informe
0%
174
Entregar informe
0%
0%
0%
129
El coordinador del rea de TI tendr un salario base similar al de los otros puestos de
coordinador general de la Direccin General de Auditora Interna.
El costo del equipo se estim segn datos proporcionados por distribuidores de equipo.
El servidor que se propone adquirir responde a los requerimientos mnimos del software
que se propone adquirir, a saber: procesador Pentium III, velocidad de 400 Mhz, 128 Mb
de memoria RAM.
130
MINISTERIO DE HACIENDA
PRESUPUESTO PROYECTO AUDITORIA TI
Periodo presupuestario 2002/2003
en dlares estadounidenses
1. Recursos Humanos
1.1 Reestructuracin puesto coordinador
1.2 Puesto adicional de profesional informtico
1.3 Capacitacin
- Participacin de trece funcionarios en UCR
- Participacin en Seminarios ISACA
2. Herramientas tecnolgicas
2.1 Licencias Cobit Advisor (5 lic)
2.2 Licencias Cobit Managment Advisor (15 lic)
2.3 Licencias Software Administracin Riesgo (10 lic)
2.4 Licencias Software Administracin Proceso Auditora (17 lic)
2.5 Adquisicin de servidor
2.6 Adquisicin de 10 microcomputadoras
3. Materiales y suministros
32,165
995
12,520
13,650
5,000
82,892
5,200
13,750
12,945
27,275
9,722
14,000
1,000
TOTAL
116,057
131
CAPITULO 6
CONCLUSIONES Y RECOMENDACIONES
Aunque si bien es cierto, los objetivos planteados del presente proyecto giran en torno a la
propuesta para la introduccin y consolidacin de la Auditora de Tecnologa de la Informacin
en el Ministerio de Hacienda, lo cual ha sido expuesto en los captulos anteriores,
consideramos oportuno resaltar algunas conclusiones y recomendaciones asociadas con la
investigacin realizada y los planteamientos incluidos para su puesta en ejecucin.
Como conclusiones estimamos merecen destacarse las siguientes.
132
Por otra parte, con miras a la ejecucin de la propuesta, consideramos procedentes las
siguientes recomendaciones.
133
herramienta
En atencin a los elementos del diagnstico institucional y dentro del marco del modelo
metodolgico operativo propuesto, en una primera etapa se recomienda orientar los
esfuerzos para el fortalecimiento del ambiente de control, para lo cual se considera
conveniente iniciar con la evaluacin del dominio de planeacin y organizacin,
concretamente con tres subdominios o procesos: evaluacin y seguimiento del plan
estratgico, definicin de la organizacin y relaciones de TI y evaluacin del riesgo.
134
135
BIBLIOGRAFA
Arauz, Manuel. Auditora de Sistemas: por
Amricas.1966.
Contralora General de la Repblica. Manuales sobre Normas Tcnicas de Control Interno
relativas a los Sistemas de Informacin Computadorizados. Alcance No. 7 a la Gaceta No. 24
del 2 de Febrero de 1996.
Comit Directivo de COBIT. COBIT: Resumen Ejecutivo. Segunda Edicin. Mxico.1998
Delgado Rojas, Xiomar. Auditora Informtica. Primera Edicin, EUNED, Costa Rica, 1997.
Direccin General de Auditora Interna. Propuesta de Reforma de la Direccin General de
Auditora Interna. Documento Interno presentado al Ministro de Hacienda en julio de 1996.
136
SITIOS CONSULTADOS
http://www.hacienda.go.cr
http://www.bsa.org/info/bsamailer/page4.html
http://www.pleier.com/overview.htm
http://www.newtech.co.cr
http://www.audinfor.com/
e-mail: calvarado@umccr.com
http://www.pentasafe.com/products/database-overview.htm
http://www.auditnet.org/docs/inet_ap.txt
http://www.methodware.com
http://www.theiia.org/
137
Anexo N1
ANEXOS
138
Anexo N1
ANEXO 1
PARTICIPANTES PROYECTO COBIT 2000
ANALISTAS EXPERTOS USA
Prof. Ulric J. Gelinas, Bentley College
John Hayes, Price Waterhouse LLP
Greg Hedges, Arthur Andersen & Co., S.C.
Dave Kent, Price Waterhouse LLP
Tom Kothe, Ernst & Young LLP
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Robert Roussey, University of Southern California
EQUIPO DE CALIDAD
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
EL EQUIPO DEL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., Belgium
Eddy Schuermans, Coopers & Lybrand, Belgium
Thomas Lamm, ISACF, USA
COMIT QUE DIRIGE EL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., Belgium
John Beveridge, State Auditors Office,
Massachusetts, USA
Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels,
Chairman BRT Belgium
Gary Hardy, Arthur Andersen, United Kingdom
John Lainhart, Inspector General, U.S. House of
Representatives, USA
139
Anexo N1
140
Anexo N2
ANEXO No.2
LISTA DE PROVEEDORES Y PRODUCTOS CAATTs
Proveedor
ABC Systems and
Development, Inc.
ACL Software
AntiOnline
AT&T Info-Security
Attest Systems, Inc.
Audit Serve Inc.
Auditek, Inc.
Authentex Software
Corporation
AutoTester, Inc.
AXENT Technologies, Inc.
Bindview Development
Blue Lance, Inc.
Business Software Alliance,
The
Canadian Institute of
Chartered Accountants
Candle Corp.
CaseWare International Inc.
http://www.cica.ca/idea
IDEA
http://www.candle.com
MQSecure
http://www.caseware.com
Caseware
141
Anexo N2
Proveedor
Computer Associates
International, Inc.
http://www.consulrisk.com
Consul/Audit for RACF
http://www.datajunction.com/products/prod_idx_djwin.htm
Data Junction
http://www.datawatch.com
Monarch
http://www.dtiprinceton.com/products.htm
Decision Analyzer
http://www.dtcas.co.za/va.htm
Visual Assurance
http://www.dttus.com/us/what/SerLines/AUD_ACC/as20001.htm
AuditSystem/2
http://www.elronsoftware.com
Firewall, Internet Manager, SofTrack Software Metering
http://www.ExpertChoice.com
Expert Choice
http://www.eye-t.com
Authorize, TF2000
http://www.finjan.com
Finjan
http://audit.wordlink.com
Auditor Assistant, Auditor Assistant Team Manager
http://www.funk.com
AppMeter II
http://www.smartstream.geac.com/solutions/index.htm
Smartstream
Goldmine Software
Corporation
Grupo TI Soluciones
IBM Corporation
IHS Finanial Products
IMTI Systems
http://www.goldminesw.com
Goldmine
http://www.newtech.co.cr
AuditorsSoftware Toolset (AST)
http://www.s390.ibm.com/products/racf/racfhp.html
Resource Access Control Facility
http://www.ihsfinancial.com/sentpage.htm
Audit Sentry
http://www.imtisystems.com
ARIES Audit System, Premis Audit System, Premium Audit
142
Anexo N2
Proveedor
143
Anexo N2
Proveedor
144
Anexo N2
Proveedor
Seagate Software
Secure Networks, Inc.
145
Anexo N2
Proveedor
World Wide Digital Security,
Inc.
X-Tension
Zydeco
Fuente: http://www.theiia.org/ecm/guide-ia.cfm?doc_id=838#pubref
146
Anexo N3
ANEXO 3
ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edicin
147
Anexo N3
148
Anexo N3
149
Anexo N3
..../...
150