Proyecto II Auditoría de TI-versión Impresa Final

UNIVERSIDAD NACIONAL
SISTEMA DE ESTUDIOS DE POSTGRADO

MAESTRIA EN ADMINISTRACION DE
TECNOLOGA DE INFORMACIN
CURSO PROYECTO INTEGRADO II
PROYECTO DE APLICACIN PRACTICA DE TECNOLOGA DE INFORMACION
PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA

DE LA INFORMACION EN EL MINISTERIO DE HACIENDA
Clair Chacn Rodrguez

Jos Adrin Vargas Barrantes
Heredia, Costa Rica, agosto del 2001
PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA

INFORMACION EN EL MINISTERIO DE HACIENDA
INDICE GENERAL
RESUMEN EJECUTIVO.............................................................................................................. I
CAPITULO 1............................................................................................................................... 1
INTRODUCCION......................................................................................................................... 1
CAPITULO 2............................................................................................................................... 7
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI............................7
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI...............................................................7
2.1.1 Enfoque De Antonio Echenique......................................................................................7
2.1.2 Enfoque de Sandra Garca.............................................................................................11
2.1.3 Enfoque de Manuel Arauz..............................................................................................13
2.1.4 Enfoque de Xiomar Delgado..........................................................................................15
2.1.5 Enfoque De Mario Piattini Y Otros.................................................................................21
2.1.6 Enfoque de la Fundacin para el Control y Auditora de Sistemas de Informacin
(Modelo COBIT)....................................................................................................................... 29
2.1.7 Consideraciones sobre los Diferentes Enfoques........................................................33
2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA..................36
2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI
.................................................................................................................................................. 40
2.3.1 Criterios de seleccin....................................................................................................40
2.3.2 Descripcin del Modelo Propuesto...............................................................................41
CAPITULO 3............................................................................................................................. 55
PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE LA

INFORMACIN......................................................................................................................... 55
3.1 ASPECTOS CONCEPTUALES Y LEGALES.....................................................................55
3.1.1 Control Interno Informtico...........................................................................................55
3.1.2 Auditora de TI................................................................................................................. 56
3.1.3 Normativa sobre evaluacin de sistemas de informacin computadorizada............57
3.1.4 Normativa sobre las auditoras internas.......................................................................57
3.1.5 Perfil del Auditor de Tecnologa de Informacin..........................................................58
3.1.6 Principios para el Ejercicio de la Auditoria de TI.........................................................59
3.2 ORGANIZACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA.........63
3.2.1 Antecedentes.................................................................................................................. 63
3.2.2 Objetivo General de la Auditora Interna.......................................................................65
3.2.3 Misin, Visin y Valores.................................................................................................65
3.2.4 Funciones........................................................................................................................ 66
3.2.5 Organizacin................................................................................................................... 68
3.2.6 Recursos Humanos........................................................................................................69
3.3
PROPUESTA DE ORGANIZACIN y REQUERIMIENTOS DE RECURSOS HUMANOS

70
3.3.1 Organizacin de la Auditora de TI...............................................................................71

3.3.2 Recursos Humanos........................................................................................................75
CAPITULO 4............................................................................................................................. 77
PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA.77
4.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA
AUDITORA............................................................................................................................... 77
4.2 HERRAMIENTAS INFORMTICAS DE APOYO A ADMINISTRACIN DE LA AUDITORIA
.................................................................................................................................................. 78
4.2.1 Algunos Ejemplos de Herramientas Computadorizadas de Apoyo a la
Administracin de la Auditora...............................................................................................86
4.3
HERRAMIENTAS INFORMTICAS DE APOYO FUNCION DE AUDITORIA DE TI.......93
4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la funcin de

Auditora de TI....................................................................................................................... 100
4.4 ELEMENTOS PARA UNA DECISIN SOBRE HERRAMIENTAS
COMPUTADORIZADAS......................................................................................................... 108
4.4.1 Situacin Actual de TI en la Direccin General de Auditora Interna........................108
4.4.2 TI en el Ministerio de Hacienda...................................................................................109
4.4.3 Modelo metodolgico recomendado para la auditora..............................................110
4.4.4 Proceso de Creacin y Desarrollo de la Auditora de TI............................................110
4.4.5 Requerimientos de Hardware.....................................................................................111
4.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS........................................111
4.5.1 Herramientas de Apoyo a la Administracin de la TI.................................................111
4.5.2 Herramientas de Apoyo a la Administracin de la Auditora.....................................112
4.5.3 Herramientas de Apoyo a la Funcin de Auditora.....................................................113
CAPITULO 5........................................................................................................................... 115
PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI..........................115
5.1 CONSIDERACIONES ESTRATGICAS...........................................................................115
5.1.1 Aportes de la Administracin.......................................................................................115
5.1.2 Alcance del Plan............................................................................................................ 116
5.1.3 Organizacin para el Desarrollo del Plan....................................................................118
5.1.4 Riesgos.......................................................................................................................... 118
5.2 COMPONENTES DEL PLAN OPERATIVO......................................................................119
5.3 UNA APROXIMACIN A LOS COSTOS.........................................................................132
CAPITULO 6........................................................................................................................... 134
CONCLUSIONES Y RECOMENDACIONES...........................................................................134
BIBLIOGRAFA....................................................................................................................... 138
SITIOS CONSULTADOS.........................................................................................................139
INDICE DE ANEXOS
ANEXO 1................................................................................................................................. 141

PARTICIPANTES PROYECTO COBIT 2000..........................................................................141
ANEXO NO.2.......................................................................................................................... 143
LISTA DE PROVEEDORES Y PRODUCTOS CAATTS..........................................................143
ANEXO 3................................................................................................................................. 149
ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3ERA EDICIN............149
DEDICATORIA
A Dios, Fuente de Luz y Esperanza.

A mis padres, Miguel Angel y Amparo Claudia, smbolo de amor, trabajo y bondad.
A mis hijas, Ivania, Hailn y Lizeth, quienes con su amor y comprensin fueron mi
fuente de energa e inspiracin.
A mi hermana Yalili y a su hijo Jos Pablo, quienes con su apoyo y cario,
estimularon mis deseos de superacin.
Mi sincero agradecimiento a mi compaero Jos Adrin, a su esposa Sandra y a sus
hijos, Alicia, Esteban, Eduardo, Mariel y Andrea, de quienes recib mucho cario,
apoyo y comprensin para seguir adelante.
Clair
DEDICATORIA
Dedico este esfuerzo en primer lugar a Dios, quienes creemos en El

sabemos por fe que no solo es Todopoderoso sino que en su infinito amor
nos gua y fortalece da a da. Gracias a El he tenido el apoyo de una
mujer muy especial con la que comparto mi vida, mi esposa Sandra, quien
no solo tuvo comprensin para aceptar las ausencias y privaciones, sino
que tambin nos acompa y apoy en muchos momentos de este
esfuerzo. A El reconozco la comprensin de mis adorados hijos e hijas,
Alicia, Esteban, Eduardo, Mariel y la pequea Andrea, ellos no solo han
sido testigos sino que tambin han tenido que entender porqu su pap
no pudo muchas veces acompaarlos en juegos, paseos o en sus
estudios. A Clair y su familia, con quienes esta experiencia ha hecho
nacer una amistad que tiene mayor valor que todos los otros frutos de los
estudios realizados.
Jos Adrin
AGRADECIMIENTO
Agradecemos al Ministerio de Hacienda la oportunidad que nos brind para cursar el Programa
de Maestra as como realizar este proyecto de aplicacin prctica abordando un tema de
inters institucional.
A la Directora General de Auditora Interna del Ministerio, Licda Rosala Caldern Gamboa,
quien no slo fue la patrocinadora del proyecto sino que siempre estuvo dispuesta a
dedicarnos tiempo para analizar y comentar temas de nuestro inters y facilit en lo que estuvo
a su alcance la realizacin del proyecto.
Al Mster Luis Chaves Monge, quien como tutor supo orientarnos y presentarnos de manera
respetuosa y llena de sabidura sugerencias y observaciones que contribuyeron a lograr una
mayor calidad de nuestro proyecto, y adems logr motivarnos en los momentos de dificultad.
A los profesores Mster Jos Arrieta Salazar y Mster Javier Len Mora, quienes orientaron
nuestro esfuerzo y con su seguimiento motivaron la constancia y la bsqueda de la excelencia.
A los que mediante entrevistas, facilitacin de documentos o sugerencias nos permitieron reunir
la informacin necesaria y enriquecer nuestros criterios.
A todos ....MUCHAS GRACIAS .
Resumen Ejecutivo
RESUMEN EJECUTIVO
El presente documento es el resultado del proyecto de aplicacin prctica de tecnologa de la

informacin realizado en el marco del curso Proyecto Integrado II del programa de Maestra en
Administracin de Tecnologa de la Informacin y representa una respuesta a la problemtica
descrita en el Diagnstico sobre Auditora de Sistemas en el Ministerio de Hacienda, elaborado
en el curso Proyecto Integrado I, del mismo programa.
Conforme con lo indicado, pretende como objetivo general promover la implantacin de la
Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda, mediante la
estructuracin de una propuesta que considere aspectos organizacionales, recursos humanos
y tecnolgicos, as como un plan de trabajo concreto para este fin.
Complementariamente, se plantean los siguientes objetivos especficos:
Definir un modelo metodolgico operativo para el desarrollo de la funcin de la Auditora

de Tecnologa de Informacin en el Ministerio de Hacienda.
Elaborar una propuesta de organizacin para la funcin de la Auditora de Tecnologa de

Informacin en el Ministerio de Hacienda.
Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,

conocidas como CAATTs por sus siglas en ingls Computer Assisted Auditor Technics
and Tools; necesarias para la implantacin de la Auditora de Tecnologa de la
Informacin en el Ministerio de Hacienda.
Estructurar un plan de trabajo especfico para la implantacin de la Auditora de

Tecnologa de la Informacin en el Ministerio.
En cuanto a metodologa, el estudio se apoya en la investigacin bibliogrfica, la bsqueda de

informacin por medio de Internet, la recopilacin directa de informacin mediante observacin.
i
Resumen Ejecutivo
Adicionalmente se retoman algunos elementos del anlisis de la experiencia de otras

instituciones, realizado como parte del diagnstico ya comentado.
La propuesta elaborada incorpora los siguientes elementos:
La utilizacin del modelo elaborado por la Information Systems Audit. And Control
Association ISACA- denominado Objetivos de Control para la Informacin y
Tecnologas Afines (COBIT) como modelo metodolgico operativo para el desarrollo de
la funcin de Auditora de Tecnologa de la Informacin.
Ubicacin de la funcin de auditora de Tecnologa de la Informacin en el Ministerio de

Hacienda en la Direccin General de Auditora Interna, mediante la creacin del Area
de Auditora de Tecnologa de la Informacin en dicha Direccin, conformada
inicialmente con un Coordinador General de Area y dos profesionales en informtica.
Adquisicin de la herramienta computadorizada COBIT Management Advisor como

apoyo a la administracin de la Tecnologa de la Informacin y para ser utilizada por las
principales reas informticas del Ministerio.
La adquisicin de una herramienta de apoyo a la gestin de la auditora, otra para la

funcin de Auditora de TI y una herramienta para la evaluacin del riesgo. Como
herramienta de apoyo a la funcin de la auditora de Tecnologa de la Informacin se
recomienda la adquisicin del COBIT Advisor, herramienta que es congruente con el
modelo recomendado y adicionalmente presenta importantes fortalezas.
Asignacin de recursos para la adquisicin de nuevo equipo para la Direccin General

de Auditora Interna, conforme con los requerimientos del software que se decida
adquirir.
Orientacin de los primeros esfuerzos al fortalecimiento del ambiente de control, para lo

cual se considera conveniente iniciar con la evaluacin del dominio del modelo COBIT
sobre Planeacin y Organizacin, concretamente en tres subdominios o procesos:
Evaluacin y Seguimiento del Plan estratgico, Definicin de la Organizacin y
Relaciones de TI y Evaluacin del Riesgo.
ii
Resumen Ejecutivo
Asimismo, aunque el plan operativo no incluye las actividades que le corresponder realizar a
la Administracin, se considera oportuno exponer los principales aportes que sta deber
concretar como condiciones necesarias para el adecuado funcionamiento de la Auditora de
Tecnologa de la Informacin en el Ministerio de Hacienda, se plantean los siguientes:
Compromiso
de
la Administracin:
La Administracin
debe
asumir
la
responsabilidad que le es propia en cuanto al diseo, implantacin, actualizacin y

perfeccionamiento del sistema de control interno. Por grandes que sean los esfuerzos
y aportes de la auditora, no habr valor agregado en el tanto la Administracin no
asuma ese papel y se comprometa con la implantacin de las recomendaciones que
aquella presente como resultado de sus evaluaciones.
Disponibilidad de recursos: La Administracin debe asignar los recursos

financieros y humanos requeridos para la implantacin de la propuesta. En el
apartado sobre costos estimados, se muestra la inversin inicial en adquisicin de
equipo, software, recurso humano adicional y capacitacin del personal de la
Direccin General de Auditora Interna, sin la cual evidentemente no ser posible
llevar a cabo la propuesta.
Adquisicin de la herramienta COBIT Management Advisor por parte de la

Administracin.
Como un elemento ms del alineamiento de los esfuerzos de la
Aadministracin y de la Auditora de Tecnologa dela Informacin para fortalecer el

sistema de control interno se requiere que ambas partes tengan un mismo enfoque y
se orienten hacia la consecucin de los mismos objetivos.
Elaboracin del Plan Estratgico Tecnolgico, actualmente en proceso, e

inclusin de la Auditora de Tecnologa de la Informacin dentro del mismo.
La
conclusin de este Plan Estratgico Tecnolgico y la puesta en marcha del mismo

como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo
tecnolgico, ser la base fundamental para el accionar de la Auditora de Tecnologa
de la Informacin.
iii
Resumen Ejecutivo
Adems es necesario que dicho Plan concepte apropiadamente el rol de la auditora y

su aporte para el alineamiento de la gestin de la TI y los objetivos del negocio y en
consecuencia considere, tal y como fue manifestado por el equipo de trabajo encargado
de su elaboracin, la introduccin de la Auditora de Tecnologa de la Informacin como
uno de sus componentes y proyectos prioritarios.
Con el propsito de establecer de manera especfica las acciones que debern desarrollarse
para ejecutar la propuesta, el documento incorpora un plan de operativo, establecido para lo
que podra considerarse una primera etapa, en la que el objetivo ser lograr la consolidacin
de la organizacin administrativa de la Auditora de Tecnologa de la Informacin y la
asignacin de recursos humanos y tecnolgicos mnimos para el desarrollo de esta funcin y el
fortalecimiento del ambiente de control de TI dentro del Ministerio; lo que demandar, segn el
cronograma de tareas elaborado, un tiempo estimado de dos aos y medio.
El plan propuesto se estructura en 9 componentes, a saber: Aprobacin del proyecto, Ajuste de
la organizacin de la Direccin de Auditora Interna, Asignacin de Recursos Financieros,
Contratacin de Recurso Humano, Capacitacin de Funcionarios, Adquisicin de Software,
Adquisicin de Equipo de Cmputo y Fortalecimiento del Ambiente de Control.
Como parte del proceso de elaboracin del plan operativo se advierte sobre los
principales riesgos que se identifican en torno al proyecto, concretamente:
Insuficiente apoyo de las nuevas autoridades institucionales.
No lograr la contratacin de personal idneo oportunamente.
Atrasos en el proceso de contratacin administrativa.
Asimismo, se incluye una primera aproximacin a los costos de la ejecucin del plan propuesto,
conforme con el cual se requerir una inversin cercana a los 120,000 dlares, durante los
periodos presupuestarios 2002 y 2003.
Por otra parte, a los efectos de la puesta en prctica de la propuesta se recomienda la

elaboracin de un documento de proyecto basado en la propuesta y en los ajustes que la
Direccin General de Auditora Interna y las autoridades superiores estimen necesarios.
iv
Resumen Ejecutivo
El trabajo elaborado establece con suficiente precisin a nuestro criterio, los esfuerzos y
actividades a desarrollar, queda por ver si adems del inters y conciencia sobre la necesidad
de la auditora de TI en el Ministerio, existe la voluntad y el compromiso. Nos abriga la
esperanza de que dentro de algn tiempo lo que exponemos como propuesta se convierta en
realidad y genere los beneficios esperados.
Captulo 1 Introduccin
CAPITULO 1
INTRODUCCION
Como resultado de la investigacin realizada en curso Proyecto Integrado I, la cual consider

un diagnstico sobre la auditora de sistemas en el Ministerio de Hacienda, se establecieron
una serie de aspectos que resaltan la necesidad de una evaluacin independiente de la gestin
de la Tecnologa de la Informacin (TI). A continuacin se retoman los ms relevantes para
efectos del objetivo de este documento:
Concepto de auditora de sistemas vs auditora de tecnologa de la informacin
Aunque si bien es cierto en la mayora de los casos los conceptos se utilizan indistintamente,
algunos pretenden diferenciarlos en el sentido de que la auditora informtica se orienta a la
evaluacin de la funcin informtica como tal, considerando los diferentes servicios que esta
presta as como los aspectos organizativos asociados a dicha prestacin, mientras que la
auditora de sistemas se refiere a la actividad de la auditora al evaluar determinado proceso o
rea operativa, en la que debe incluirse un anlisis sobre los sistemas de informacin
computadorizados que apoyan dicho proceso.
Por otra parte, ms recientemente se ha ido generalizando el concepto de auditora de
Tecnologa de la Informacin, en un sentido genrico y con el fin de abarcar adems algunas
reas que han tomado mayor relevancia en los ltimos aos como son las relativas a las
telecomunicaciones, seguridad, aplicaciones en web y herramientas colaborativas, entre otros.
Necesidad de un modelo operativo
Es posible identificar diferentes formas de estructurar las reas de accin de la auditora de

sistemas, no obstante, las diferencias entre las mismas responden, no tanto a diferencias en
torno al mbito de la misma sino a los criterios para la agrupacin de las tareas. En
1
prcticamente todos los casos se identifica separadamente lo relativo a la administracin de la

funcin informtica y las restantes reas se identifican segn los criterios particulares sobre la
forma de visualizar la funcin informtica y la importancia relativa de dichas reas, lo cual se
ve influenciado por los avances de la tecnologa de la informacin. Por lo tanto, la organizacin
de la auditora informtica en una institucin especfica requerir decidir el esquema o modelo
a utilizar, para lo cual es importante considerar las caractersticas de la respectiva institucin.
Problemtica organizacional y del marco regulador: contradicciones e incongruencias

entre la organizacin real y la normativa.
An no se ha logrado consolidar una organizacin eficiente y funcional para la gestin de la TI

en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se
identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa
debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las
deficiencias de coordinacin entre las reas, se identifican deficiencias y conflictos que
demandan una oportuna atencin.
Magnitud de la inversin realizada en hardware, software y recurso humano dedicado a

soportar la gestin de la TI en el Ministerio.
Aunque por limitaciones de registro y control o de entrega de informacin no fue posible

obtener una estimacin concreta del monto, es evidente que el Ministerio de Hacienda ha
realizado en los ltimos aos una significativa inversin de recursos en Tecnologa de la
Informacin y mantiene una importante cantidad de funcionarios dedicados a soportar la
gestin de la TI. Ello se convierte en una de las justificaciones para la introduccin de la
auditora de TI y otros esfuerzos que se orienten a mejorar dicha gestin.
Cantidad, naturaleza y relevancia de los sistemas de informacin.
El esfuerzo de introduccin y apoyo al desarrollo de la TI en la institucin ha llevado a que en la

actualidad los sistemas de informacin computadorizados, en operacin y desarrollo, no solo
son muchos sino que una buena parte de ellos son herramientas fundamentales para la
2
prestacin de los servicios bsicos que corresponden a la institucin y gestionan informacin

de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.
Escaso desarrollo de la auditora de sistemas en el Ministerio.
Conforme la normativa vigente, la funcin de auditora de sistemas o auditora informtica

corresponde a la Direccin General de Auditora Interna, situacin que se presenta de igual
manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos
recursos humanos y tecnolgicos, las actividades realizadas se limitan a algunos intentos de
auditora de sistemas en operacin, en aplicaciones para el desarrollo de algunos procesos
computadorizados y en estudios de seguimiento a la aplicacin de disposiciones de la
Contralora General de la Repblica, como resultado de las evaluaciones realizadas
en
algunos de los sistemas de informacin en operacin. Asimismo, se han emitido criterios y

recomendaciones en diferentes ocasiones sobre esta temtica, especialmente en cuanto a
controles de alto nivel.
Responsabilidad de la administracin y responsabilidad de la auditora de sistemas.
De acuerdo con los conceptos bsicos sobre control interno y auditora, es la Administracin la
responsable del establecimiento, anlisis y mejora continua de los procedimientos y sistemas
de control interno, mientras que la auditora se orienta a la evaluacin de los mismos con
criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos
conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y
mantener falsas expectativas en torno a los aportes y resultados que genera la auditora de
sistemas.
Conciencia generalizada sobre la conveniencia o necesidad de la auditora de sistemas.

3
Existe un consenso evidente en torno a la necesidad de desarrollar la auditora de sistemas en

la institucin, esto es una destacable fortaleza por representar un importante elemento
facilitador para la introduccin y consolidacin de la auditora de sistemas en el Ministerio.
Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarn en
el campo de la auditora de sistemas.
El Ministerio se ha planteado importantes proyectos y retos para los prximos aos en materia
tecnolgica, lo cual no slo resulta meritorio sino tambin una importante fuente de riesgos,
especialmente en torno al tema de la seguridad de los sistemas, especialmente por la lnea
establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del
negocio sustantivo.
Principales expectativas en cuanto al aporte de la auditora de sistemas.
La mayora de los entrevistados opina que en el Ministerio el perfeccionamiento de los

sistemas de informacin es uno de los principales aportes que se esperan de la auditora de
sistemas, ello denota cierta falta de precisin sobre la responsabilidad de la propia
Administracin en torno a los controles que debe establecer en la gestin de la TI, de cuyos
esfuerzos depender la superacin de la problemtica identificada en este campo.
Habiendo quedado claramente establecida la necesidad y consenso sobre la importancia de
contar con una unidad que, con criterio profesional e independiente, evale el control interno en
las diferentes reas de la gestin de la tecnologa de la informacin en el Ministerio, es nuestro
inters plantear una propuesta que permita a la institucin contar con ese apoyo, del cual se ha
venido hablando desde hace varios aos pero sin que se haya logrado concretar hasta ahora.
Conforme con lo indicado anteriormente, la investigacin pretende, como objetivo general
promover la implantacin de la Auditora de Tecnologa de la Informacin en el Ministerio de
Hacienda,
mediante
la
estructuracin
de
4
una
propuesta
que
considere
aspectos
organizacionales, recursos humanos y tecnolgicos, as como un plan de trabajo concreto para

este fin.
Complementariamente, se plantean los siguientes objetivos especficos:
Definir un modelo metodolgico operativo para el desarrollo de la funcin de la Auditora

de Tecnologa de la Informacin en el Ministerio de Hacienda.
Elaborar una propuesta de organizacin para la funcin de la Auditora de Tecnologa de

la Informacin en el Ministerio de Hacienda.
Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,

conocidas como CAATTs por sus siglas en ingls Computer Assisted Auditor Technics
and Tools; necesarias para la implantacin de la Auditora de TI en el Ministerio de
Hacienda.
Estructurar un plan de trabajo especfico para la implantacin de la Auditora de TI en el

Ministerio.
En cuanto a metodologa, el estudio se apoya en la investigacin bibliogrfica, la bsqueda de

informacin por medio de internet, la recopilacin directa de informacin mediante observacin.
Adicionalmente se retoman algunos elementos del anlisis comparativo de la experiencia de
otras instituciones realizado como parte del diagnstico ya comentado.
Como todo estudio, el presente ha tenido que enfrentar limitaciones, que de una u otra forma
han restringido la consecucin de los objetivos. En ese sentido, el inters de estructurar una
propuesta que considere los diferentes aspectos junto con la disponibilidad de tiempo para la
realizacin del estudio, no permiten profundizar en algunos aspectos como la determinacin de
cargas de trabajo para la definicin de la plantilla ideal para la Auditora de Tecnologa de la
Informacin ( en adelante Auditora de TI) o un anlisis tcnico de las diferentes herramientas
computadorizadas de apoyo a la gestin de la auditora, temas que en s mismos conllevaran
un esfuerzo en tiempo y recursos similar a la investigacin que nos ocupa.
5
Conforme con los objetivos y consideraciones, el documento final del presente proyecto
considera varios captulos. En el captulo 2, se analizan los planteamientos de diferentes
autores en cuanto metodologa para el desarrollo de la Auditora de TI y se propone un modelo
que, a nuestro criterio, responde a las caractersticas y situacin del Ministerio.
En segundo lugar, se analizan los aspectos conceptuales y legales relacionados con la
estructura organizativa de la Auditora de TI, as como la organizacin actual y los recursos
humanos con que cuenta la Direccin General de Auditora Interna, para finalizar con la
propuesta de organizacin y requerimiento mnimo de recursos humanos para la Auditora de
TI.
En el captulo cuatro se plantea la importancia del uso de herramientas computadorizadas en la
Auditora de TI, tanto para el apoyo de la administracin de la auditora como a la funcin de
Auditora de TI, se plantean algunos elementos a considerar en la seleccin de herramientas
computadorizadas y finalmente se propone la adquisicin de algunas de estas.
Seguidamente se presenta un plan operativo para la introduccin de la Auditora de TI, para lo
cual se exponen algunas consideraciones estratgicas, supuestos, alcance, organizacin y
riesgos asociados con la ejecucin del plan. Asimismo se plantea una aproximacin de los
costos para la ejecucin del plan.
Por ltimo, se presentan las conclusiones del anlisis realizado y las recomendaciones para la
ejecucin del plan propuesto para la introduccin de la Auditora de TI en el Ministerio.
Finalmente, esperamos que el anlisis realizado y la propuesta planteada sirva de base para
convertir en realidad la existencia de un rea de Auditora de TI, y en ltima instancia, se
consolide y fortalezca el sistema de control interno del Ministerio.
Captulo 2 Modelo Metodolgico Propuesto
CAPITULO 2
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI
En el presente captulo se plantear un modelo metodolgico operativo para el desarrollo de la

Auditora de Tecnologa de la Informacin en el Ministerio de Hacienda. Para ello en un primer
momento se presentan y analizan los enfoques de diferentes autores y luego se retoman los
aspectos bsicos del diagnstico institucional, con el propsito ltimo de que la propuesta
responda a las caractersticas y situacin de la institucin.
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI
La Auditora de TI se suele estructurar en diferentes reas, para lo cual se han presentado
diferentes modelos o esquemas. En nuestro caso, con el propsito de ofrecer una visin
general, en vez de presentar uno de ellos se opta por describir varios enfoques y realizar un
anlisis sobre similitudes. Al efecto se consideran aquellos que a nivel nacional han destacado
en este campo, as como los que a nivel internacional se han considerado de mayor relevancia
de conformidad con lo investigado en esta oportunidad.
2.1.1 Enfoque De Antonio Echenique
Un primer enfoque es el presentado por Antonio Echenique en su libro Auditora en Informtica,
que es uno de los clsicos en esta materia. Este autor distingue:
a. La evaluacin administrativa del departamento de procesos electrnicos.
b. La evaluacin de los sistemas y procedimientos y de la eficiencia que se tiene en el uso
de la informacin.
c. La evaluacin del proceso de datos y de los equipos de cmputo.1
Echenique, Jos Antonio. Auditora en Informtica. McGraw-Hill Interamericana de Mxico. 1991.Pag. 16.
La evaluacin administrativa comprende los aspectos usuales del proceso administrativo con el
propsito de determinar si desde el punto de vista administrativo- organizativo se estn
cumpliendo con los criterios preestablecidos. Se cubren aspectos como:
Objetivos del departamento, direccin o gerencia.

En este particular el esfuerzo del auditor se orientar a determinar si:
Las responsabilidades en la organizacin estn definidas adecuadamente y la

estructura organizacional est adecuada a las necesidades.
El control organizacional es adecuado y se tienen los objetivos y las polticas

adecuadas, se encuentran vigentes y estn bien definidas.
Los puestos se encuentran definidos y sealadas sus responsabilidades.
El anlisis y descripcin de puestos est de acuerdo con el personal que los ocupa.
Se cumplen los lineamientos organizacionales y si el nivel de salarios comparado

con el del mercado de trabajo.
Los planes de trabajo concuerdan con los objetivos de la empresa y si se cuenta

con los recursos humanos necesarios que garanticen la continuidad de la operacin
o se cuenta con indispensables.
Se evalan los planes y se determinan las desviaciones.
Organizacin del rea y su estructura orgnica.

Se pretende
valorar si existen lneas de autoridad justificadas, el nivel de supervisin, la
uniformidad en las asignaciones y si se presentan agrupamientos ilgicos.
Costos y controles presupuestales.
Se obtendr informacin sobre la situacin presupuestal y financiera del departamento, as

como nmero de equipos y caractersticas para hacer un anlisis de la situacin desde un
punto de vista econmico. Para ello se considerar:
Costos del departamento desglosado por reas y controles.
Presupuesto del departamento, desglosado por reas.
Caractersticas de los equipos, nmero de ellos y contratos.
La evaluacin de los sistemas y procedimientos y de la eficiencia que se tiene en el uso de la

informacin comprende, entre otros:
La evaluacin de sistemas: existen sistemas entrelazados como un todo o existen

programas aislados y si existe un plan estratgico para la elaboracin de los
sistemas.
La evaluacin del anlisis.

Se debe valorar si:
o
Se est ejecutando en forma correcta y eficiente el proceso de la

informacin.
Puede ser simplificado para mejorar su aprovechamiento.
Se debe tener una mayor interaccin de los sistemas.
Se tiene propuesto un adecuado control y seguridad sobre el sistema.
Est en el anlisis la documentacin adecuada.
Evaluacin del diseo lgico del sistema.

Los puntos a evaluar son: entradas, salidas, procesos, especificaciones de datos y
especificaciones de proceso.
Evaluacin del diseo fsico del sistema

En esta etapa se debern auditar los programas, su diseo, el lenguaje utilizado,
interconexin entre los programas y caractersticas del hardware empleado para el
desarrollo del sistema.
Control de proyectos.
Considerar aspectos como la existencia y relacin de los proyectos con el plan
maestro, definicin de procedimientos y responsabilidades de aprobacin de
proyectos, planeacin de los proyectos, tcnicas de control de proyectos, etc.
Control de sistemas y programacin.

Las revisiones se realizan en forma paralela desde el anlisis hasta la programacin
y sus objetivos son los siguientes: en la etapa de anlisis identificar inexactitudes,
ambigedades y omisiones en las especificaciones, en la etapa de diseo descubrir
errores, debilidades y omisiones antes de iniciar la codificacin y en la etapa de
programacin: buscar la claridad, la modularidad y verificacin con base en las

especificaciones.
Instructivos y documentacin.
Se pretende evaluar los instructivos de operacin de los sistemas para evitar que los
programadores tengan acceso a los programas en operacin y que cumplan con el
contenido mnimo.
Formas de implantacin.
Se debe evaluar los trabajos que se realizan para iniciar la operacin de un sistema,
esto es la prueba integral del sistema, adecuacin, aceptacin por parte del usuario,
entrenamiento, etc.
Seguridad fsica y lgica de los sistemas.

Se debe analizar el impacto en el rendimiento del sistema como resultado de
cambios trascendentales en el sistema operativo en el equipo, pudiendo para ello
utilizar un paquete de pruebas elaborado con ese propsito especfico.
Por su parte, la evaluacin del proceso de datos y de los equipos de cmputo incluye el anlisis
de:
Controles de los datos fuentes y manejo de cifras de control: evaluar la entrada

de la informacin y que se tengan las cifras de control necesarias para
determinar la veracidad de la informacin.
Control de operacin: valorar los procedimientos e instructivos formales de

operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.
Control de salida: Valorar si las salidas del sistema satisfacen los requerimientos
del usuario y son distribuidas segn corresponde.
Control de asignacin de trabajo: Valorar la direccin de las operaciones de la

computadora en trminos de eficiencia y satisfaccin del usuario.
Control de medios de almacenamiento masivos: evaluar la forma como se

administran los dispositivos de almacenamiento bsico de la direccin.
10
Control del mantenimiento: analizar cul de los diferentes tipos de contratacin

del mantenimiento es el ms conveniente y revisar los detalles del contrato con
el objeto de que las clusulas estn bien definidas y se elimine la subjetividad e
incorpore las correspondientes penalizaciones para el proveedor, para evitar
contratos parcializados a favor de ste.
Orden en el centro de cmputo: revisar las disposiciones y reglamentos que

coadyuvan con el mantenimiento del orden dentro de la sala de mquinas.
Seguridad fsica y lgica: se debe considerar el sistema integral de seguridad,

que comprende, entre otros: elementos administrativos, definicin de una poltica
de seguridad, organizacin y definicin de responsabilidades, seguridad fsica
contra catstrofes, sistemas de seguridad de equipos y sistemas de informacin,
planeacin de programas de desastre ( contingencia) y su prueba.
2.1.2 Enfoque de Sandra Garca

Otro esquema a considerar es el presentado en el material del Curso de Auditora de Sistemas
de la Universidad Estatal a Distancia2, en el que se mencionan como reas para definir el
alcance de la auditora de sistemas las siguientes:
Revisin de Controles Generales del Centro de Cmputo: Revisar la estructura

organizacional, polticas, procedimientos operativos, ambiente de control,
operacin de las instalaciones de procesamiento de datos, seguridad/lgica/fsica,
procedimientos
para
el
desarrollo
mantenimiento
de
sistemas
de
aplicacin/operativos.
Se deben analizar los controles organizativos y gerenciales, que incluyen aquellos
que brindan proteccin al ambiente fsico, as como la asignacin de personal
adecuado y la operacin eficiente del centro de procesamiento de datos. Estos
controles deben brindar una operacin eficaz a cargo de personal calificado y del
cual se pueda depender. Se debe verificar la existencia de adecuados niveles de
responsabilidad
y dar margen a una adecuada segregacin de funciones.
Garca, Sandra. Auditora Informtica I: Nota Tcnica para el Curso Auditora de Sistemas. 1997.
11
Adems debe contar con procedimientos y estndares adecuados para el

funcionamiento global del centro de cmputo.
Revisin del Ciclo de Vida del Desarrollo de Sistemas (SDLC): revisar la

metodologa, normas, tareas y procedimientos para el desarrollo, adquisicin y
mantenimiento de software de aplicaciones. El auditor debe analizar los riesgos
asociados y las exposiciones que son inherentes en cada fase y asegurarse de
que los mecanismos de control adecuados estn vigentes para minimizar esos
riesgos de forma eficaz en cuanto a costos.
El sistema debe controlarse desde que ingresa a la compaa ya sea por
adquisicin o por el desarrollo. Es crucial que el auditor comprenda la
metodologa de desarrollo y adquisicin de sistemas con el fin de identificar los
puntos vulnerables que exijan control. En caso de que falten controles el papel
del auditor es asesorar al equipo del proyecto y a la Alta Direccin de los controles
apropiados a implantar y efectuar el seguimiento de los cambios propuestos.
Revisin de Sistemas de Aplicaciones: revisar, evaluar y analizar las fortalezas y

debilidades de control y operaciones dentro de los sistemas de aplicaciones
existentes. Los controles de aplicaciones se refieren a los controles de las
funciones de imput, procesamiento y output. Los controles de aplicaciones
incluyen mtodos para asegurarse que solo en un sistema computadorizado se
ingresan y actualizan datos completos, exactos y vlidos, el procesamiento realiza
la tarea correcta y que los datos se mantienen correctos y actualizados.
Revisin de la continuidad de las operaciones: revisar las polticas y

procedimientos referentes a la planificacin de contingencias y la eficiencia
operativa. El esfuerzo del auditor se orienta a:
Evaluar el plan de contingencias para determinar la adecuacin y

actualidad.
Verificar que el plan de contingencias es eficaz para asegurar la

capacidad de procesamiento.
12
Evaluar el sitio alterno y determinar adecuidad y seguridad.
Evaluar la habilidad del personal de sistemas y el personal usuario

para responder en forma eficaz a situaciones de emergencia.
Revisin Tcnica (Software de Sistemas Operativos): revisar las polticas y

procedimientos de desarrollo, adquisicin y mantenimiento de software de
sistemas operativos ( telecomunicaciones, sistemas operativos, bases de
datos, EDI, etc).
2.1.3 Enfoque de Manuel Arauz

Por otra parte, Manuel Arauz en su libro Auditora Informtica por qu? indica que la labor
del auditor en el rea informtica se puede separar en cuatro grandes reas:
a.
Evaluacin de la administracin de la funcin informtica.
Auditora a los sistemas en produccin.
Auditora al desarrollo de aplicaciones.
Evaluacin del ambiente de microcomputadores.

Evaluacin de la administracin de la funcin informtica
En esta rea se debe considerar el tipo de planes que se elaboren en el rea de sistemas, la
forma en que est organizado el departamento de cmputo, el estilo de direccin que se tenga,
la participacin de los usuarios en la definicin de los requerimientos y el establecimiento de
prioridades, la cantidad de recursos humanos disponibles, su capacitacin, su motivacin, la
metodologa de trabajo empleada, la calidad de la documentacin de los sistemas, la forma de
administrar las bases de datos y otros aspectos ms, tienen una influencia muy fuerte en las
caractersticas de todos los sistemas de una entidad. En cada uno de estos temas existe una
mezcla de elementos tcnicos con otros de carcter administrativo que inciden en todo el
accionar del rea de cmputo.
13
La evaluacin de la administracin de la funcin informtica, por parte del auditor, procura

determinar el rol que ejerce la gerencia en la definicin de los objetivos y metas del rea de
cmputo, la calidad de la planeacin y el grado de cumplimiento de los planes a largo y corto
plazo, la organizacin de esta rea, los mtodos y procedimientos empleados, los mecanismos
de comunicacin utilizados, los controles establecidos en funciones claves tales como
mantenimiento de sistemas, administracin de bases de datos, administracin de la red de
teleproceso, operacin del computador, procedimientos de respaldo y recuperacin y otros
puntos ms.
En este tipo de evaluacin se trata de analizar aspectos como cumplimiento de metas,
proteccin de activos y uso eficiente de los recursos.
b.
Auditora de los sistemas en produccin
La auditora de los sistemas en produccin se orienta a la evaluacin de asuntos tales como:

los mecanismos de seguridad de acceso establecidos, los controles de entrada de datos, de
procesamiento y de produccin de salidas existentes, los procedimientos de respaldo
aplicados.
Aspectos como mala definicin de perfiles, debilidades en las validaciones de la entrada de los
datos y otros ms tienen un fuerte impacto en la confianza que se deposite en el sistema de
control interno de la compaa.
El elemento clave de este tipo de evaluacin es la integridad de los datos. Los conceptos de
totalidad, exactitud y oportunidad son la base de las auditoras a los sistemas en produccin.
En esta rea, la participacin constante del auditor es muy importante.
c.
Auditora al desarrollo de sistemas
La concepcin moderna de la auditora procura que sta se convierta en una funcin asesora
de la administracin. En el caso del rea informtica, este objetivo no se alcanza si el auditor
no participa en el proceso de desarrollo de sistemas.
14
Las tcnicas de desarrollo de sistemas han venido evolucionando con el propsito de lograr
que estos se ajusten con facilidad a los cambios en el entorno. Sin embargo, a pesar de los
esfuerzos realizados, sugerir mejoras en un sistema en produccin para reforzar el sistema de
control interno acarrea costos muy elevados. Esta realidad ha provocado que el auditor no
logre que sus recomendaciones sean implantadas en forma gil.
La concepcin de este tipo de auditora es de auditar el futuro, prever las debilidades y
solventarlas previo a que el sistema entre en operacin. Una de las ventajas ms grandes que
posee este tipo de auditora es que disminuye, en gran medida, los costos de implantacin de
las recomendaciones del auditor, lo cual hace tambin que su labor sea vista de una mejor
manera.
Este campo se le presenta al auditor como la plataforma ideal para lograr una participacin
asesora muy activa. Adems, le permite desarrollar, con mucho menos esfuerzo, herramientas
automatizadas para incorporarlas a los sistemas en desarrollo que ayuden al cumplimiento de
otras funciones de la auditora en los campos financiero, contable y administrativo.
d.
Evaluacin del ambiente de microcomputadores
El auge que tienen hoy los microcomputadores en las empresas ha trado consigo la evolucin
de un ambiente distribuido de procesamiento de datos. Con esto, si antes se tenan problemas
de documentacin, riesgos de prdida de privacidad y de integridad de los datos, con los
microcomputadores la problemtica se ha incrementado. El auditor debe tomar conciencia de
ello y poner especial atencin a su evolucin dentro de la empresa.
En su evaluacin se deben analizar aspectos como:
procedimientos de adquisicin de
hardware y software, seguridad fsica, estandarizacin, capacitacin, desarrollo de

aplicaciones por usuario final y virus computacional.
2.1.4 Enfoque de Xiomar Delgado
15
De manera similar Xiomar Delgado, autor del libro Auditora Informtica, estructura las reas
de la auditora informtica con un enfoque similar al recin expuesto, fundamentndose en que
deben llevarse a cabo labores de seguimiento de todas las actividades que se ejecuten en el
rea informtica, a saber:
Controles administrativos de los recursos informticos.
El auditor debe participar activamente en la evaluacin de los controles que existen sobre la
administracin de los recursos informticos, revisando la existencia de planes informticos de
corto y largo plazo y comprobando la coincidencia de stos planes con los planes generales de
la organizacin.
Asimismo debe analizar el ambiente normativo en que se desarrolla las actividades, revisando
las polticas, los estndares y los procedimientos que deban respetarse para el alcance de los
resultados ptimos. Sobre este particular deben considerarse aspectos como: emisin,
pertinencia, publicacin, respeto y control.
Finalmente, en este tema debe considerar la ubicacin estructural dentro del organigrama en
que se encuentra el departamento de informtica as como la descripcin de las
responsabilidades de los integrantes del mismo.
El cuanto al recurso humano, se debe evaluar las polticas de seleccin de personal, las
tcnicas de reclutamiento, las polticas de capacitacin y entrenamiento, as como la
supervisin y la evaluacin de funciones de este personal.
Desarrollo de sistemas de aplicacin.
El auditor es responsable de dar seguimiento permanente a la inversin que las empresas

realizan en sistemas de aplicacin y esto lo logra mediante su participacin en el desarrollo de
los sistemas.
Al efecto deber considerar aspectos como:
Si se cuenta con una metodologa adecuada para el desarrollo de los

sistemas, que cuente con la cantidad adecuada para conseguir sistemas
confiables, seguros y auditables.
16
Participar activamente en las actividades de mantenimiento de los sistemas y

permanecer alerta.
Comprobar la participacin activa del usuario desde las fases ms tempranas

del ciclo de vida del desarrollo de sistemas.
Si se realiz un estudio de factibilidad previo a las erogaciones.
Si se han realizado los estudios suficientes para determinar con exactitud las
necesidades de informacin del usuario.
Si se han contemplado las formas de presentacin de las salidas, las

necesidades de control y de respaldo y si se han incluido suficientes pistas
de auditora.
Como elemento de comprobacin, deben realizarse evaluaciones de lo que ha pasado

inmediatamente despus de la implantacin:
El nivel de satisfaccin del usuario.
El que la aplicacin haya brindado una solucin satisfactoria a las

necesidades de usuario.
La facilidad de manejo de la aplicacin.
Cul es la relacin costo/ beneficio de la aplicacin.
Una evaluacin de la adherencia a los estndares de desarrollo
Operacin de los sistemas de aplicacin.
El auditor deber evaluar que la organizacin cuenta con los recursos para lograr la ejecucin
conforme a lo planeado y que los departamentos usuarios e informticos dan un uso apropiado
a los recursos. Para ello considerar:
Revisar las adquisiciones de equipos realizadas y evaluar su conveniencia respecto

de lo planeado.
Realizar pruebas que le permitan obtener un criterio sobre la utilizacin de los

recursos del computador.
17
Comprobar que los recursos de almacenamiento son administrados de manera

adecuada, realizando planeamiento de su uso y de disposicin de los espacios
disponibles.
Comprobar que los recursos de software cumplen con el planeamiento establecido y

que constituyen herramientas que satisfacen de la mejor manera las necesidades de
organizacin.
Verificar que los recursos de software son adquiridos cuando constituyen la mejor
opcin y enfrentando el anlisis de la relacin costo beneficio.
Determinar si el software est siendo bien utilizado, si el mantenimiento que se le

brinda es confiable y seguro, si todos los cambios son suficientemente controlados.
Realizar comprobaciones de que se han establecido suficientes procedimientos de

control de seguridad.
Evaluar las limitaciones existentes de acceso al lugar en que se ubican los equipos.
Comprobar que se han establecido procedimientos para el manejo de posibles

errores.
Que se cuente con un plan de contingencias y que se han contemplado los

principales problemas a que pueda exponerse la empresa, que las medidas de
recuperacin son realizables y adecuadas.
Revisin de las aplicaciones.
En la funcin de evaluacin de las aplicaciones el auditor deber:
18
Comprobar que los datos cumplen con procedimientos de preparacin

adecuados.
Que existe control sobre los documentos originales, de manera que son
suficientemente custodiados.
Que existen controles sobre la entrada de los datos.
Revisar el procesamiento de los datos, de manera que se mantenga su

integridad, que su manipulacin es segura, limitando la posibilidad de ser
conocidos por personal no autorizado.
Que se han definido y se aplican reglas de validacin de los datos.
Revisar los controles de salida, verificando que se ponen a disposicin del

personal autorizado para ello.
Comprobar que las salidas presentan un formato adecuado a las

necesidades del usuario.
Comprobar que los informes estn dirigidos a quien corresponde.
Que se han diseado procedimientos para el manejo de errores.
Administracin de las bases de datos.
El auditor deber comprometerse con la evaluacin y vigilancia del ambiente en que se

mantienen los recursos de informacin, de forma que compruebe que sobre las bases de datos
existe una buena administracin, que las tareas respectivas estn segregadas de las restantes
funciones informticas, que existe asignacin de responsabilidades en el uso y regulaciones
que sustenten la integridad y totalidad de los datos contenidos en esas bases.
Asimismo deber verificar las condiciones en que se mantienen los diccionarios de datos y los
estndares adoptados para su manejo.
Verificar la capacitacin que se ha brindado a sus usuarios, tanto informticos como
administrativos.
Procesamiento distribuido y redes.
19
El auditor debe estar en capacidad de evaluar la forma en que se distribuyen los recursos
informticos de la empresa y someter a prueba los controles que se definen para el uso de los
recursos informticos de la empresa, y someter a prueba los controles que se definen para el
uso de cada uno de esos recursos, para la custodia de los activos de la empresa y para la
limitacin de acceso que se pueda dar desde las terminales ubicadas en cualquier lugar de la
empresa.
Debe evaluar los estndares definidos sobre control de las redes y comprobar que las
caractersticas fsicas del hardware adquirido o propuesto cumplen satisfactoriamente con las
necesidades del conjunto de equipo y no degradar la capacidad de operacin de los equipos ya
conectados.
Debe evaluar los mecanismos de control y la asignacin de responsabilidades por el uso de los
recursos disponibles de la red, tomando en cuenta la necesidad de recursos de respaldo.
Asimismo, debe verificarse la existencia de planes de capacitacin y adiestramiento que
aseguren un uso provechoso de los recursos y la disminucin de riesgos de que la accin de
un usuario pudiera causar problemas a todos los usuarios de la red. En ese mismo sentido,
debe revisarse la existencia de un manual claro y de fcil entendimiento que le permita a los
nuevos usuarios familiarizarse con los recursos a su disposicin.
De igual manera deben evaluarse los controles de identificacin y verificacin de
autorizaciones, que contemplen adems la existencia de programas de control que,
permanezcan pendientes del uso de los recursos.
Ambiente de microcomputadores.3
Entres sus actividades, el auditor debe contemplar la evaluacin del este ambiente, tomando
en cuenta diferentes aspectos respecto al uso de microcomputadores, de manera que pueda
revisar al inicio las actividades que se relacionan con la adquisicin de los equipos, en las
Delgado, Xiomar. Auditora Informtica. Editorial UNED. San Jos. Pag 43.
20
cuales intervienen las polticas de la empresa, verificando si todas las adquisiciones se apegan
a las polticas administrativas.
Se debe verificar si se satisfacen los controles respecto a la administracin y valorar su aporte
al cumplimiento de los objetivos de la empresa.
Debe velar que solamente permanezcan instaladas aquellas versiones de software sobre las
que la empresa disponga de una licencia para operarla y verificar el cumplimiento de la
legislacin, motivo por el que debe promover el respeto a los derechos de autor.
En los equipos de mayor tamao, debe contemplarse la necesidad de contar con un adecuado
ambiente de control sobre los archivos y las transacciones procesadas en ellos, as como las
polticas de acceso a los recursos contenidos en ellos. La correcta operacin de los
microcomputadores debe ser revisada por el auditor y ste debe comprobar que existen
adecuadas polticas de respaldo y control de los datos almacenados.
Debe comprobar que las adquisiciones que se realicen mantengan el grado necesario de
compatibilidad para asegurar mayor vida a los recursos de informacin.
Como puede notarse, en este caso se presentan independientemente la revisin de las
aplicaciones y la administracin de las bases de datos que en el enfoque anterior se incluyen
dentro de los sistemas en operacin. Asimismo, el procesamiento distribuido se visualiza como
parte del rea de ambiente de microcomputadores.
2.1.5 Enfoque De Mario Piattini Y Otros4
En la recopilacin Auditora Informtica: un enfoque prctico de Mario Piattini y otros, se
ofrece una caracterizacin de diferentes reas que abarca esta, distinguindose doce reas. A
continuacin se explican brevemente cada una de ellas.
Auditora Fsica
Piattini V., Mario Gerardo y Del Peso Navarro, Emilio. Auditora Informtica: un enfoque prctico. Alfaomega
S.A. Mxico D.F. 1998.
21
La Auditora Fsica es el medio que va proporcionar la evidencia o no de la seguridad fsica en

el ambiente en el que se va a desarrollar la labor informtica, por lo que no se debe limitar a
comprobar la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y
seguridad.
Los
objetivos
de
esta
son:
el
edificio,
las
instalaciones,
equipo
telecomunicaciones, datos y personas.
Auditora de la Ofimtica
Es la evaluacin del sistema informatizado que genera, procesa, almacena, recupera,

comunica y presenta datos relacionados con el funcionamiento de la oficina, ejemplo de ello
son las aplicaciones especficas de la gestin de tareas como hojas de clculo o procesadores
de texto, herramientas para la gestin de documentos, como control de expedientes o sistemas
de almacenamiento ptico de la informacin, agendas y base de datos personales, sistemas de
trabajo en grupo como el correo electrnico o el control de flujo de trabajo.
Auditora de la Direccin
Entendida la auditora de la direccin como auditora de la gestin de la informtica o

Departamento de Informtica, el auditor debe examinar:
a)
El
proceso
de
planificacin
de
sistemas de
razonablemente se cumplen los objetivos para el mismo.
informacin
y evaluar
si
Debe considerar si se presta
adecuada atencin al plan estratgico de la empresa, si se establecen mecanismos de

sincronizacin entre sus grandes hitos y los proyectos informticos asociados y si se tienen en
cuenta cambios organizativos entorno legislativo, evolucin tecnolgica organizacin
informtica recursos y otros.
b)
Evaluar el proceso de organizar y controlar los recursos, los flujos de informacin y
los controles que permitan alcanzar los objetivos marcados durante la planificacin.
22
c)
Analizar las funciones y responsabilidades del departamento de informtica y luego
la segregacin de funciones.
d)
Evaluar que la Direccin de Informtica realiza sus actividades dentro del respeto a la
normativa legal aplicable. En particular se consideran fundamentales los relativos a la

seguridad e higiene en el trabajo, normativa laboral, proteccin de datos personales, propiedad
intelectual del software. Requisitos definidos en la cobertura de seguros, contratos
de
comercio electrnico, transmisin de datos por lneas de comunicaciones, as como la

normativa emitida por los rganos reguladores.
Auditora de la Explotacin
Corresponde a la evaluacin peridica del funcionamiento adecuado de los sistemas

informticos o sistemas de informacin, para asegurar la existencia de la empresa y superar a
los competidores. Siguiendo las recomendaciones de COBIT el objetivo general de la auditora
de explotacin consiste en asegurarse de que las funciones que sirven de apoyo a las
Tecnologas de la Informacin se realizan de forma ordenada y satisfacen los requisitos
empresariales.
Para hacer el seguimiento y comprobar que el sistema de informacin est actuando como es
preceptivo, ste habr de disponer de un control interno que prevenga los eventos no
deseados o en su defecto los detecte y los corrija.
El esquema para llevar acabo las auditoras de la explotacin de los sistemas de informacin
se presenta siguiendo la clasificacin de los controles que hace el proyecto COBIT.
Auditora del Desarrollo
La auditora del desarrollo tratar de verificar la existencia y aplicacin de procedimientos de

control adecuados que permitan garantizar que el desarrollo de sistemas de informacin se ha
llevado a cabo segn principios de ingeniera del software, orientados a obtener software
23
econmico que sea fiable, cumpla los requisitos previamente establecidos y funcione de
manera eficiente sobre mquinas reales.
La auditora de desarrollo se abordar desglosndola en dos grandes apartados:
Auditora de la organizacin y gestin del rea de desarrollo
Auditora de proyectos de desarrollo de sistemas de informacin
La metodologa que se usar es la propuesta por la ISACA (Information Systems Audit and
Control Association) que est basada en la evaluacin del riesgo: partiendo de los riesgos
potenciales a los que est sometida una actividad, en este caso el desarrollo de un sistema de
informacin, se determinan varios objetivos de control que minimicen esos riesgos.
Dentro del primer apartado debe evaluar los siguientes objetivos de control:
a.
Si el rea de desarrollo tiene unos cometidos asignados dentro del departamento

y una organizacin que le permite el cumplimiento de los mismos.
b.
Si el personal del rea de desarrollo cuenta con la formacin adecuada y est

motivado para la realizacin de su trabajo.
c.
Si existe un plan de sistemas, de tal manera que los proyectos se llevan a cabo
se basan en dicho plan.
d.
Si la propuesta y aprobacin de nuevos proyectos se realiza de forma reglada,

as como la asignacin de recursos.
e.
Si el desarrollo de sistemas de informacin se hace aplicando principios de

ingeniera del software ampliamente aceptados.
f.
Si la organizacin del rea se adapta a las necesidades d4e cada momento.
El otro grupo relativo a la auditora de cada proyecto de desarrollo de SI tendr un plan distinto
dependiendo de los riesgos, la complejidad de mismo y los recursos disponibles para realizar la
auditora. Esto obliga que sean la pericia y experiencia del auditor las que determinen las
actividades del proyecto que se controlarn con mayor intensidad en funcin de esos
parmetros.
24
El auditor debe evaluar:
La aprobacin, planificacin y gestin del proyecto
La fase de anlisis
La fase de diseo
Fase de Construccin
La fase de implantacin
Auditora del Mantenimiento
La etapa de mantenimiento debe ser especialmente considerada en los estudios de

productividad y de la Auditora Informtica. La mantenibilidad es el factor de calidad que
engloba todas aquellas caractersticas del software destinadas a hacer que el producto sea
ms fcilmente mantenible, en consecuencia, a conseguir una mayor productividad durante la
etapa de mantenimiento del software.
Auditora de Bases de Datos
Corresponde a la auditora de bases de datos la evaluacin de los objetivos de control en el

ciclo de vida de una base de datos, a saber: estudio previo y plan de trabajo, concepcin de la
base de datos y seleccin del equipo, diseo y carga, explotacin y mantenimiento, y por ltimo
la revisin y post implantacin.
Cuando el auditor se encuentra el sistema en explotacin debe estudiar entorno de la base de
datos que bsicamente comprende:
El Sistema de Gestin de la Base de Datos (SGBD), dentro del que destacan los
siguientes componentes: el ncleo, el catlogo (componente fundamental para
asegurar la seguridad de la base de datos), las utilidades para el administrador de
la base de datos, entre las que se suelen encontrar algunas para crear usuarios,
conceder privilegios, las que se encargan de la recuperacin de la base de datos:
arranque, copias de respaldo, ficheros diarios y algunas funcione s de auditora, as
como los lenguajes de cuarta generacin que incorpora el propio SGBD.
25
Sistema de monitorizacin y ajuste, que facilitan la optimizacin de la base de datos
Sistema Operativo, pieza clave del entorno, puesto que el SGBD se apoyar en los
servicios que le ofrezca el sistema operativo en cuanto a control de memoria,
gestin de reas de procesamiento intermedio, manejo de errores, control de
confidencialidad, mecanismos de interbloqueo.
Monitor de Transacciones.
Protocolos y Sistemas Distribuidos: al acceder las bases de datos a travs de redes,

el riesgo de violacin de la confidencialidad e integridad se acenta. Tambin las
bases de datos distribuidas pueden presentar graves riesgos de seguridad.
Paquetes de seguridad; la existencia en el mercado de varios productos que

permiten la implantacin efectiva de una poltica de seguridad, puesto que
centralizan el control de accesos, la definicin de privilegios, perfiles de usuario y
otros.
Diccionario de datos; un fallo en un diccionario o repositorio, suele llevar consigo

una prdida de integridad de los procesos, que pueden producir errores en forma
repetitiva a lo largo del tiempo, difciles de detectar.
Herramientas CASE ( Computer Aided System/Software Engineering) / IPSE

( Integrated Project Support Environments)
Lenguajes de cuarta generacin independientes.
Facilidades de usuario.
Herramientas de "minera de datos".
Aplicaciones.
El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente
para asegurar que los sistemas de bases de datos continan cumpliendo los objetivos de la
empresa y que se encuentran controlados de manera efectiva.
Las consideraciones de la auditora deben incluirse en las distintas fases del ciclo de vida de
una base de datos, siendo muy importante que los auditores participen cada vez ms en el
proceso de desarrollo, disminuyendo as ciertos costes y haciendo "ms productiva" su labor, la
direccin de las empresas no siempre "ve" la labor de auditora y control como realmente
productiva, asumindola, la mayora de las veces, como un gasto necesario.
26
Auditora de Tcnica de Sistemas
La tarea de la auditora de tcnica de sistemas es la encargada de auditar la estructura

informtica, es decir el conjunto de instalaciones, equipos de proceso y el llamado software de
datos. Cada uno de esos apartados comprende:
Instalaciones
Este apartado incluir salas de proceso, con sus sistemas de seguridad y control, as como
elementos de conexin y cableado, es decir los elementos base para acondicionar los
componentes del apartado siguiente:
Equipos de proceso
Corresponde a la evaluacin de los computadores (main, mini y micro), as como sus
perifricos, pantallas, impresoras, unidades de cinta, y los dispositivos de conmutacin y
comunicaciones (routers, mdems )
Software de base
Se componen de los sistemas operativos, compiladores, traductores e intrpretes de
comandos y programas, junto con los gestores de datos o sistemas de administracin de
datos y toda una serie de herramientas y componentes auxiliares e intermedios como
herramientas de desarrollo, facilidades de explotacin como planificadores, paquetes de
seguridad
Auditora de la Calidad
Se refiere a la auditora de calidad del software, o sea al cumplimiento de los requerimientos

que se han establecido, normalmente por el usuario o el cliente, y las caractersticas implcitas
que debe cumplir todo software hecho profesionalmente aparte de su realizacin segn
determinados estndares.
27
Le compete la evaluacin independiente de los procesos, los productos software, el progreso

del proyecto o el cmo se realiza el trabajo, que investiga la coincidencia con los estndares,
lneas gua, especificaciones y procedimientos basados en criterios objetivos que incluyen los
documentos que especifican:
La forma o contenido de los productos a producir.
Los procesos en los que los productos deben ser producidos.
Cmo debe ser medida a la adherencia con los estndares o lneas gua.
Auditora de la Seguridad
Corresponde a la evaluacin de los modelos u objetivos de control de seguridad establecidos

por la organizacin, con el propsito de asegurarse que los controles estn en consonancia con
las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones,
que garantizan que no se pierde la informacin, que est disponible en el momento requerido
para la toma de decisiones.
Las reas que cubre la auditora de seguridad son:
Auditora de la seguridad fsica
Auditora de la seguridad lgica.
Auditora de la seguridad y el desarrollo de aplicaciones.
Auditora de la seguridad en el rea de produccin
Auditora de la seguridad de los datos
Auditora de la seguridad de comunicaciones y redes
Auditora de la continuidad de las operaciones
Auditora de Redes
El primer punto es auditar la gerencia de las comunicaciones, a fin determinar que la funcin de
gestin de redes y comunicaciones est claramente definida, debiendo ser responsable de la
gestin de la red, inventario de equipo, y normativa de conectividad, por la monitorizacin de
las comunicaciones, registro y resolucin de problemas.
28
Considera tanto la auditora la red fsica y la red lgica.
Auditora de Aplicaciones
Se orienta a la revisin de la eficacia del funcionamiento de los controles diseados para cada
uno de los pasos de la aplicacin frente a los riesgos que tratan de eliminar o minimizar, como
medios para asegurar la fiabilidad ( totalidad y exactitud, seguridad, disponibilidad y
confidencialidad de la informacin proporcionada por la aplicacin.
Para este propsito se utilizan principalmente las siguientes herramientas: entrevistas,
encuestas, observacin del trabajo realizado por los usuarios, pruebas de conformidad,
pruebas sustantivas o de validacin y el computador mismos (software especializado).
Algunos casos especficos de auditora de aplicaciones son la evaluacin de los sistemas de
apoyo a la toma de decisiones y las aplicaciones de simulaciones.
2.1.6 Enfoque de la Fundacin para el Control y Auditora de Sistemas de Informacin
(Modelo COBIT).
La Fundacin para el Control y Auditora de Sistemas de Informacin y el Comit Directivo de la
misma, con la participacin de distinguidos especialistas en el campo del control, la auditora y
la TI, desarroll en 1996 la primera versin de este modelo, el cual fue actualizado en 1998 y
en el 2000, y ha logrado una importante aceptacin en muchos pases. Est diseado no slo
para ser utilizado por usuarios y auditores, sino que principalmente para ser usado como una
lista de verificacin para los propietarios de los procesos de negocio.
COBIT est basado en los Objetivos de Control existentes de la Information Systems Audit and
Control Foundation (ISACF) mejorados con los estndares internacionales existentes y
emergentes tcnicos, profesionales, regulatorios y especficos de la industria. Los Objetivos de
Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para
ser aplicados a los sistemas de informacin de toda la empresa.
29
En lnea con lo anterior los recursos de Tecnologa Informtica pueden son definidos de la
siguiente manera:
Datos: Objetos datos en su ms amplio sentido, (ej: externos e internos), estructurados

y no estructurados, grficos, sonido, etc.
Sistemas de Aplicacin: Se entiende como sistemas de aplicacin la suma de

procedimientos programados y manuales.
Tecnologa: Cubre hardware, sistemas operativos, sistemas de administracin de bases

de datos, redes, multimedia, etc.
Instalaciones: Recursos para albergar y soportar los sistemas de informacin.
Gente: Habilidades del personal, concientizacin y productividad para planear,

organizar, adquirir, entregar, soportar y monitorear sistemas de informacin y servicios.
Un concepto bsico del que se parte es que los recursos de Tecnologa Informtica necesitan
ser administrados por un conjunto de procesos agrupados naturalmente para proveer la
informacin que necesita la empresa para el logro de sus objetivos.
COBIT destaca el impacto sobre los recursos de Tecnologa Informtica junto con los
requerimientos del negocio que necesitan ser satisfechos, en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Adicionalmente, brinda
definiciones para los requerimientos del negocio que son destilados de niveles ms altos de
objetivos para calidad, seguridad e informacin financiera segn se relacionan con Tecnologa
Informtica.
Considera un conjunto de 34 objetivos de control de alto nivel, uno por cada uno de los
Procesos de Tecnologa Informtica, agrupados en cuatro dominios: Planeamiento y
Organizacin, Adquisicin e Implementacin, Entrega y Soporte y Monitoreo, segn se
caracterizan a continuacin.
30
Planeacin y Organizacin
Este dominio cubre la estrategia y las tcticas, es decir se refiere a la identificacin de la forma
en que la tecnologa de la informacin puede contribuir de la mejor manera al logro de los
objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse
una organizacin y una infraestructura tecnolgica apropiadas.
Este dominio considera los siguientes objetivos de alto nivel o procesos:
PO1 Definir un plan estratgico de tecnologa de informacin
PO2 Definir la arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la organizacin y de las relaciones de TI
PO5 Manejar la inversin en Tecnologa de Informacin
PO6 Comunicar la direccin y aspiraciones de la gerencia
PO7 Administrar recursos humanos
PO8 Asegurar el cumplimiento de requerimientos externos
PO9 Evaluar riesgos
PO10 Administrar proyectos
PO11 Administrar calidad
Adquisicin e Implementacin
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
AI1 Identificar soluciones

31
AI2 Adquirir y mantener software de aplicacin
AI3 Adquirir y mantener arquitectura de tecnologa
AI4 Desarrollar y mantener procedimientos relacionados con TI
AI5 Instalar y acreditar sistemas
AI6 Administrar cambios
Entrega de servicios y Soporte
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde
las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios debern establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
DS1 Definir niveles de servicio
DS2 Administrar servicios prestados por terceros
DS3 Administrar desempeo y capacidad
DS4 Asegurar servicio continuo
DS5 Garantizar la seguridad de sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Apoyar y asistir a los clientes de TI
DS9 Administrar la configuracin
DS10 Administrar problemas e incidentes
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones

Monitoreo
32
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su
calidad y suficiencia en cuanto a los requerimientos de control.
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control Interno
M3 Obtener aseguramiento independiente
M4 Proporcionar auditora independiente.
Para los anteriores objetivos de control de alto nivel o procesos de TI, se definen 318 objetivos
detallados, a partir de estos se desarrollan 34 Guas de Auditora que incluyen 376 pasos de
auditora, que orientan la evaluacin de la gestin y el control de los sistemas de TI.
2.1.7 Consideraciones sobre los Diferentes Enfoques

Despus de presentar los enfoques considerados y conforme el propsito planteado se realiza
un anlisis comparativo de los mismos. No pretendemos entrar a un anlisis detallado por
razones de tiempo y de relevancia para los propsitos de la investigacin, sino destacar las
principales diferencias y similitudes, con el propsito ltimo de perfilar lo que debera ser el
modelo a proponer para la institucin.
Antes de realizar el anlisis es preciso reconocer la diferente naturaleza y situacin en el
tiempo de los planteamientos. Varios se refieren a planteamientos de autores individuales, uno
de ellos es resultado de los aportes de diferentes autores y otro es el generado como resultado
de un proceso de anlisis y aportes de especialistas en el campo informtico y de una
organizacin especializada en la materia. Por otra parte, los planteamientos se ubican
temporalmente entre el ao 1991 y el ao 2000, siendo esperado que los ms recientes
33
incorporen aspectos resultantes de la evolucin de las tecnologas de la informacin en los

ltimos aos.
En primer lugar, debemos destacar que si bien es cierto se detectan diferencias importantes en
el enfoque, la impresin es que dichas diferencias son ms de forma que de fondo.
No se identifican conflictos en cuanto a temas o reas que deban o no considerarse, sino ms
bien diferencias en cuanto al criterio de agrupacin de dichas tareas. Esta situacin se
evidencia en el cuadro No. 1, en el que se presenta una visin resumida de cada uno de los
enfoques y las reas definidas, resultando claro que es posible identificar tres grandes
categoras fundamentales, independientemente del nombre que cada uno de los autores le
asigna y la desagregacin con que aborda cada una, a saber: Administracin de la TI,
Desarrollo de Sistemas y Administracin de los Sistemas en Operacin.
En el caso del enfoque COBIT presenta la particularidad de considerar separadamente el
monitoreo, orientado a la evaluacin regular a travs del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de control.
El rpido avance que se presenta en la tecnologa de la informacin hace que se modifique la
importancia relativa de las reas o que surjan nuevas funciones, como es el caso de la
identificacin separada del ambiente de microcomputadores o ms recientemente, el desarrollo
que se da alrededor de la internet y su utilizacin comercial. En ese sentido en los enfoques
ms recientes se nota una mayor presencia de estos componentes.
El grado de desagregacin y puntualizacin de herramientas o criterios para la realizacin de
las auditoras es distinto entre los diferentes enfoques, siendo COBIT el que llega a plantear un
nivel mayor de desagregacin con 34 procesos u objetivos de control de alto nivel y o guas de
auditora con 376 pasos.
34
CUADRO No. 1
ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI
AUTOR DEL ENFOQUE
A
R
E
A
ECHENIQUE
1. Evaluacin
administrativa del
Centro de PED
2. Eficiencia de
sistemas y
procedimientos y
eficiencia en el uso
de la informacin
3. Proceso de
datos y de los
equipos de cmputo
GARCIA
1. Controles
Generales del
Centro de Cmputo
2. Ciclo de vida del
desarrollo de
sistemas
ARAUZ
1. Administracin
de la Funcin
Informtica
2. Desarrollo de
sistemas
DELGADO
1. Controles
administrativos
PIATTINI
COBIT
1. Auditora de la 1. Planificacin
Direccin
Organizacin
2. Desarrollo de
sistemas de
aplicacin
2. Desarrollo
3. Calidad
3. Sistemas de
aplicaciones
4. Continuidad de
las operaciones
5. Revisin Tcnica
3. Sistemas en
produccin
4. Ambiente de
microcomputadores
3. Operacin de los
sistemas de
aplicacin
4. Revisin de las
aplicaciones
5. Administracin
de bases de datos
6. Procesamiento
distribuido y redes
4. Fsica
3. Entrega
5. Ofimtica
Soporte
6. Explotacin
7. Mantenimiento
8. Bases de datos
9. Tcnica
de
sistemas
10. Redes
11. Aplicaciones
12. Seguridad
4. Monitoreo
Fuente: Elaboracin propia tomando de referencia lo descrito en este capitulo
35
2. Adquisicin
implementacin
2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA

A continuacin se presentan los elementos ms relevantes sobre la situacin de la gestin de
la TI en el Ministerio. Se incluyen aqu, con el inters de que la propuesta considere la situacin
especfica y responda a las caractersticas de la institucin en que se pretende implementar. Al
efecto se consideran segn fueron puntualizados en el diagnstico realizado por los mismos
autores como parte del curso Proyecto Integrado I.5
Problemtica organizacional y del marco regulador: contradicciones e incongruencias

entre la organizacin real y la normativa.
An no se ha logrado consolidar una organizacin eficiente y funcional para la gestin de la TI

en el Ministerio de Hacienda, de tal forma que tanto a nivel del marco regulador, en el que se
identifican algunas duplicidades de funciones y la ausencia de una estructura organizativa
debidamente integrada, como a nivel operativo, en el que son evidentes los efectos de las
deficiencias de coordinacin entre las reas, se identifican deficiencias y conflictos que
demandan una oportuna atencin.
Magnitud de la inversin realizada en hardware, software y recurso humano dedicado a

soportar la gestin de la TI en el Ministerio.
Aunque por limitaciones de registro y control o de entrega de informacin no fue posible

obtener una estimacin concreta del monto, es evidente que el Ministerio de Hacienda ha
realizado en los ltimos aos una significativa inversin de recursos en Tecnologa de la
Informacin y mantiene una importante cantidad de funcionarios dedicados a soportar la
gestin de la TI. Ello se convierte en una de las justificaciones para la introduccin de la
auditora informtica y otros esfuerzos que se orienten a mejorar dicha gestin.
Cantidad, naturaleza y relevancia de los sistemas de informacin.
El esfuerzo de introduccin y apoyo al desarrollo de la TI en la institucin ha llevado a que en la

actualidad los sistemas de informacin computadorizados, en operacin y desarrollo, no solo
son muchos sino que una buena parte de ellos son herramientas fundamentales para la
5
Chacn R, Clair y Vargas B. Jos Adrin. Diagnstico sobre la Auditora de Sistemas en el Ministerio de
Hacienda. Proyecto de Aplicacin Prctica. Maestra en Administracin de Tecnologa de la Informacin.
Universidad Nacional. Abril 2001.
36
prestacin de los servicios bsicos que corresponden a la institucin y gestionan informacin

de relevancia no solo para el Ministerio sino para el Poder Ejecutivo como un todo.
Principales fortalezas del Ministerio en la gestin de TI.
Entre las fortalezas identificadas por los entrevistados en el campo de la gestin de la TI

destacan como ms relevantes las relativas al proceso de capacitacin que se ha desarrollado
a los funcionarios de nivel ejecutivo medio y el apoyo de las autoridades superiores, as como
tambin la importante inversin de recursos en adquisicin de equipos, sistemas y plataforma
de comunicaciones en los ltimos aos.
Principales debilidades del Ministerio en la gestin de la TI.
En lo que respecta a debilidades, de especial atencin resultan la carencia tanto de un plan

estratgico institucional como para el campo de la TI, as como ausencia de estandarizacin y
polticas definidas para la gestin de TI.
Merecen destacarse algunos esfuerzos recientes que se orientan a cubrir algunas de stas
debilidades, como es el caso del proyecto para la elaboracin del plan estratgico informtico y
lo realizado por el Consejo de Informtica para la elaboracin de estndares.
Incipiente estandarizacin
Una de las muestras de las carencias en materia de gestin de la TI es la apenas incipiente

estandarizacin, dejando en claro que a pesar de llevar ms de 10 aos de los que podramos
considerar un proceso de uso de los SIBC con una perspectiva amplia y eficiente, no es sino
recientemente que el Consejo de Informtica ha incursionado en la emisin de estndares,
habindose aprobado el relativo a las caractersticas tcnicas del equipo que se adquiera y en
proceso de aprobacin los relativos a metodologa para desarrollo y mantenimiento de
sistemas de informacin, metodologa para la administracin de proyectos y condiciones
contractuales para la adquisicin de servicios informticos.
Escaso desarrollo de la auditora de sistemas en el Ministerio.

37
Conforme la normativa vigente, la funcin de auditora de sistemas o auditora informtica

corresponde a la Direccin General de Auditora Interna, situacin que se presenta de igual
manera en las instituciones analizadas en el estudio. No obstante, debido a los escasos
recursos humanos y tecnolgicos, las actividades realizadas se limitan a algunos intentos de
auditora de sistemas en operacin, en aplicaciones para el desarrollo de algunos procesos
computadorizados y en estudios de seguimiento a la aplicacin de disposiciones de la
Contralora General de la Repblica, como resultado de las evaluaciones realizadas
en
algunos de los sistemas de informacin en operacin. Asimismo, se han emitido criterios en

diferentes ocasiones sobre esta temtica, especialmente en cuanto a controles de alto nivel.
Responsabilidad de la administracin y responsabilidad de la auditora de sistemas.
Conforme los conceptos bsicos sobre control interno y auditora, es la administracin la

responsable del establecimiento, anlisis y mejora continua de los procedimientos y sistemas
de control interno mientras que la auditora se orienta a la evaluacin de los mismos con
criterio profesional e independiente, con miras a garantizar el adecuado funcionamiento. Estos
conceptos deben estar adecuadamente asimilados a nivel institucional para no generar y
mantener falsas expectativas en torno a los aportes y resultados que genera la auditora de
sistemas.
Estudios realizados por la Contralora General de la Repblica.
En el campo de la auditora de sistemas la Contralora General de la Repblica ha realizado

algunas evaluaciones a determinados sistemas de informacin, destacando el realizado en el
ao 2000 sobre el desarrollo y operacin del Sistema de Informacin Integral para la
Administracin Tributaria ( Informe No. 37/2000 ya citado), en el que se precisan varias
deficiencias en la aplicacin de un marco metodolgico, as como otros tipos de problemticas
que revelan, por ejemplo, informacin de mala calidad e inadecuado manejo en sus formatos
fuentes, que permiten concluir que los recursos invertidos no estn redituando todos los
beneficios esperados, que hay puntos de control que no fueron debidamente observados, y
que el usuario de estos servicios, el usuario contribuyente no est obteniendo todo lo que
podra de los tributos que paga
Conciencia generalizada sobre la conveniencia o necesidad de la auditora de sistemas.

38
Existe un consenso evidente en torno a la necesidad de desarrollar la auditora de sistemas en

la institucin, esto es una destacable fortaleza por representar un importante elemento
facilitador para la introduccin y consolidacin de la auditora de sistemas en el Ministerio.
Nuevos proyectos y retos que a futuro se plantean y las exigencias que se generarn en
el campo de la auditora de sistemas.
El Ministerio se ha planteado importantes proyectos y retos para los prximos aos en materia
tecnolgica, lo cual no slo resulta meritorio sino tambin una importante fuente de riesgos,
especialmente en torno al tema de la seguridad de los sistemas, especialmente por la lnea
establecida en cuanto al aprovechamiento de las facilidades de internet para el desarrollo del
negocio sustantivo.
Principales expectativas en cuanto al aporte de la auditora de sistemas.
Conforme con la opinin mayoritaria de los entrevistados, en el Ministerio el perfeccionamiento

de los sistemas de informacin es uno de los principales aportes que se esperan de la auditora
de sistemas, ello denota cierta falta de precisin sobre la responsabilidad de la propia
administracin en torno a la gestin de la TI, de cuyos esfuerzos depender la superacin de la
problemtica identificada en este campo.
Conviene indicar que muchos de los puntos mencionados tambin fueron destacados en los
otros proyectos de aplicacin prctica realizados por otros grupos de Proyecto Integrado II del
programa de maestra.
2.3 PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI
39
A continuacin se presenta la propuesta del ideal de modelo metodolgico operativo, elaborada

de la consideracin de diferentes alternativas presentadas as como de la situacin de la
gestin de la TI en la institucin, caracterizada en el diagnstico ya presentado.
Es importante destacar que se pretende presentar el ideal a alcanzar independientemente de
que luego se analice como entrar a su implantacin. En ese sentido es claro que en un
principio no se podr aplicar en su totalidad en virtud del grado de madurez en cuanto a gestin
de la TI en que se encuentra el Ministerio, segn lo descrito en el apartado anterior.
Para la definicin de la propuesta a partir de las alternativas ya presentadas existen dos
opciones: seleccionar uno de los modelos presentados o a partir de ellos elaborar un
planteamiento propio. Para nuestros efectos optamos por la primera considerando los
siguientes criterios:
Los modelos presentados son bastante completos.
Las diferencias entre ellos, como ya se estableci, obedecen a aspectos de

forma y a la evolucin propia de la TI.
Los modelos han sido elaborados por expertos o equipos de expertos en el

campo.
Nuestra reducida experiencia en el campo
2.3.1 Criterios de seleccin

Establecido el camino a seguir, a continuacin se presentan los criterios utilizados para
seleccionar uno de los modelos presentados.
Actualidad
Es importante que el modelo considere los ltimos avances de la TI, esperando que tanto en
cuanto al mbito como en lo que respecta al enfoque de la funcin auditora y de control interno,
se tomen en consideracin las ltimas innovaciones y conceptos de avanzada. En ese sentido,
aspectos como la utilizacin de los conceptos modernos sobre el control interno elaborados por
organizaciones especializadas a nivel mundial ( como es el caso del Informe COSO) y la
incorporacin de la seguridad a nivel de redes en el marco de internet, aplicaciones en
ambiente de tres capas, entre otros, deben ser adecuadamente considerados en la opcin que
se seleccione.
40
Respaldo tcnico.
Sin menospreciar el aporte de los expertos individuales, es claro que los enfoques logrados con
la participacin de equipos multidisciplinarios de distintos expertos y considerando diferentes
estndares internacionales generan una mayor confiabilidad, adems de que el respaldo
tcnico de estos equipos garantiza una oportuna actualizacin y la universalidad del mismo.
Consideracin del papel de la Administracin
Es importante que el modelo pondere adecuadamente el papel de la Administracin en el

control y le proporcione herramientas y criterios que le permitan desarrollar los esfuerzos que le
competen en materia de control y la orienten hacia la autoevaluacin. Este aspecto es de
especial relevancia para el fortalecimiento del sistema de control interno en la institucin, en
virtud de las debilidades en el ambiente de control mencionadas en el diagnstico.
Disponibilidad de una herramienta automatizada.
La existencia de una herramienta automatizada para la realizacin de la Auditora de TI es una

importante fortaleza de un modelo metodolgico operativo, ya que se convierte en una
facilidad para agilizar el cumplimiento de las funciones, permitiendo una mayor oportunidad y
en consecuencia, permitiendo generar valor agregado.
En caso de no disponer de tal herramienta automatizada, el desarrollo de una herramienta
demandara un esfuerzo mayor para la implantacin, por tener que dedicar recursos y tiempo
para este propsito.
En el mismo sentido es ideal que tambin se disponga de una herramienta para la
Administracin.
2.3.2 Descripcin del Modelo Propuesto
Conforme con los criterios expuestos, como modelo metodolgico operativo para el Ministerio
de Hacienda se propone la utilizacin del modelo elaborado por la Information Systems Audit
and Control Association-ISACA, denominado Objetivos de Control para la Informacin y
Tecnologas Afines (COBIT por sus siglas en ingls).
Este modelo fue liberado en 1996 y actualizado en 1998 (2 Edicin) y 2000 (3 Edicin), con lo
cual se ha ajustado para considerar los avances en la gestin de la TI, as como los nuevos
enfoques conceptuales en el campo del control y la auditora. Este es un aspecto de gran
41
relevancia puesto que evidencia lo que representa sin lugar a dudas una de las importantes
fortalezas del modelo, siendo de especial relevancia en el campo de la TI, caracterizado por la
rapidez y profundidad de los cambios.
Por otra parte, el modelo armoniza 18 reconocidos estndares Internacionales en temas de

control, entre ellos COSO, ISO 9000, OECD, ITSEC, TSEC y Estndares de IS Japn. La
consideracin de todos estos estndares, hace que el modelo pueda efectivamente
considerarse como un resumen de mejores prcticas en materia de control y TI, aspecto que
difcilmente puede encontrarse en las otras alternativas.
Asimismo, este modelo cuenta con el respaldo de varias organizaciones especializadas y
expertos en la materia, comprometidos con el proyecto a los efectos de garantizar la calidad y
la rigurosidad tcnica, tal y como se evidencia en el Anexo 1. La cantidad de expertos
involucrados y el nivel de los mismos, convierten a este modelo en una propuesta difcilmente
superable.
De igual forma, es destacable que est dirigido no slo a auditores informticos, sino tambin
a la Administracin y a los usuarios, y permite adems, determinar el alcance de la tarea de
auditora e identificar los controles mnimos; pudiendo tambin utilizarse como una herramienta
de autoevaluacin del rea de informtica. Este aspecto es destacable para el caso que nos
ocupa, toda vez que ha sido claramente establecida en el diagnstico la necesidad de un
esfuerzo de la Administracin por mejorar el ambiente de control, para lo cual, contar con una
gua orientadora resulta de gran utilidad.
La alternativa propuesta tiene la ventaja de que cuenta con una herramienta automatizada de
implementacin, tanto para la Administracin como para la Auditora de TI. En cuanto a esta
ltima, el COBIT Advisor es la herramienta que automatiza la utilizacin del modelo en la
realizacin de auditoras de TI, permitiendo:
un proceso consistente para evaluar/auditar la gestin y control de los sistemas de TI.
un benchmark reconocido para la gestin y control de TI.
realizar las auditoras o auto-evaluaciones en tres (3) niveles: Alto Nivel Gerencial
(Dominios / Procesos), detallado de los Objetivos de control, y detallado con las Guas de
Auditora (pasos del programa).
42
la identificacin e implementacin de objetivos de control y guas de auditora, basadas en

estndares de mejores prcticas y brindar un mayor valor agregado. En el captulo 4 se
profundizar sobre estas caractersticas.
Por otra partida el COBIT Manager es la herramienta para uso de la Administracin.

Asimismo, en cuanto a la facilidad de adaptacin del modelo propuesto, aunque cuenta con
318 objetivos de control, no siempre se tendr que aplicar plenamente, sino que, por la
estructura del mismo, se pueden dejar de considerar los objetivos que por la naturaleza o
situacin de la entidad evaluada, no resultan aplicables. En un sentido amplio, cada objetivo de
trabajo y sus respectivas guas pueden ser consideradas de manera individual.
Adicionalmente, est siendo considerado por la Contralora General de la Repblica como
elemento orientador para el ajuste al Manual sobre Normas Tcnicas de Control Interno
Relativas a los Sistemas de Informacin Computadorizados.
Por las razones indicadas, consideramos que el modelo propuesto es la mejor alternativa de
solucin para el Ministerio, con el propsito de garantizar la evaluacin de los controles en la
gestin de TI, as como para la consolidacin de un sistema de control interno, que facilite el
cumplimiento de las responsabilidades de la Administracin y el uso adecuado de los fondos
pblicos.
Los aspectos generales de este modelo ya fueron expuestos en el apartado 2.6, siendo
importante recordar en este momento que el mismo comprende: Un Resumen Ejecutivo, Un
Marco Referencial, Objetivos de Control, Directrices de Auditora y un Conjunto de
Herramientas de implementacin. Para mayor facilidad en el cuadro No.2 se describe cada uno
de ellos.
43
CUADRO No. 2
DESCRIPCIN DE LOS COMPONENTES DEL MODELO COBIT
Resumen Ejecutivo
Marco Referencial
Objetivos de Control
Directrices de
Auditora
Herramientas de
Implementacin
Consiste en una Sntesis

Ejecutiva (que proporciona a
la
alta
gerencia
entendimiento
y conciencia sobre los
conceptos clave y principios
de COBIT
Proporciona
a
la
alta
gerencia un entendimiento
ms
detallado
de
los
conceptos clave y principios
de COBIT e identifica los
cuatro dominios de COBIT y
los correspondientes 34
procesos de TI).
Describe en detalle los 34
objetivos de control de alto
nivel
e
identifica
los
requerimientos de negocio
para la informacin y los
recursos de TI que son
impactados
en
forma
primaria por cada objetivo de
control.
Contienen declaraciones
de
los
resultados
deseados o propsitos a
ser alcanzados mediante
la implementacin de 318
objetivos
de
control
detallados y especficos a
travs de los 34 procesos
de TI.
Contienen los pasos de

auditora correspondientes
a cada uno de los 34
objetivos de control de TI
de
alto
nivel
para
proporcionar asistencia a
los auditores de sistemas
en la revisin de los
procesos
de
TI
con
respecto a los 318 objetivos
detallados
de
control
recomendados
para
proporcionar a la gerencia
certeza
o
una
recomendaciones
de
mejoramiento.
El cual proporciona lecciones

aprendidas por organizaciones
que han aplicado COBIT rpida y
exitosamente en sus ambientes
de trabajo.
El Conjunto de Herramientas de
Implementacin
incluye
la
Sntesis
Ejecutiva,
proporcionando a la alta gerencia
con-ciencia y entendimiento de
COBIT. Tambin incluye una gua
de implementacin con dos tiles
herramientas Diagnstico de la
Conciencia de la Gerencia 9 y el
Diagnstico de Control de TI 10 para proporcionar asistencia en
el anlisis del ambiente de
control
en
TI
de
una
organizacin.
Tambin se incluyen varios casos
de estudio que detallan cmo
organizaciones en todo el mundo
han
implementado
COBIT
exitosamente. Adicionalmente, se
incluyen respuestas a las 25
preguntas mas frecuentes acerca
de COBIT y varias presentaciones
para distintos niveles jerrquicos
y audiencias dentro de las
organizaciones.
44
A continuacin se presentan los el detalle de modelo COBIT segn los 4 dominios y 34

procesos, adems se detallan los 318 objetivos de control para cada uno de los procesos.
COBIT: OBJETIVOS DE CONTROL SEGN DOMINIO Y PROCESO

DOMINIO:
PLANEACIN Y ORGANIZACIN
Proceso:
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin
Objetivos de Control:
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo
1.2 Plan a largo plazo de Tecnologa de Informacin.
1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin
1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin.
1.6 Comunicacin de los planes de Tecnologa de Informacin
1.7 Monitoreo y Evaluacin de los planes de Tecnologa de Informacin
1.8 Evaluacin de sistemas existentes.
Proceso:
2.0 Definicin de la Arquitectura de Informacin
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de sintaxis de datos de la corporacin
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
Proceso:
3.0 Determinacin de la direccin tecnolgica
3.1 Planeacin de la Infraestructura Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones Futuras
3.3 Contingencias en la Infraestructura Tecnolgica
3.4 Planes de Adquisicin de Hardware y Software
3.5 Estndares de Tecnologa
Proceso:
4.0 Definicin de la Organizacin y de las Relaciones de TI
4.1 Comit de planeacin o direccin de la funcin de servicios de informacin
4.2 Ubicacin de los servicios de informacin en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad de la seguridad lgica y fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
45
4.11 Asignacin de Personal para Tecnologa de Informacin

4.12 Descripcin de Puestos para el Personal de la Funcin de TI
4.13 Personal clave de TI
4.14 Procedimientos para personal por contrato
4.15 Relaciones
Proceso :
5.0 Manejo de la Inversin en Tecnologa de In-formacin
5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
Proceso:
6.0 Comunicacin de la direccin y aspiraciones de la gerencia
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en TI
Proceso:
7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Personal Calificado
7.3 Roles y responsabilidades
7.4 Entrenamiento de Personal
7.5 Entrenamiento Cruzado o Respaldo de Personal
7.6 Procedimientos de Acreditacin 17 de Personal
7.7 Evaluacin de Desempeo de los Empleados
7.8 Cambios de Puesto y Despidos
Proceso:
8.0 Aseguramiento del Cumplimiento de Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
46
Proceso:
9.0 Evaluacin de Riesgos
9.1 Evaluacin de Riesgos del Negocio
9.2 Enfoque de Evaluacin de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin contra Riesgos
9.6 Aceptacin de Riesgos
9.7 Seleccin del resguardo
9.8 Compromiso de Valoracin de riesgo
Proceso:
10.0 Administracin de proyectos
10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de las Fases del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de la Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
Proceso:
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y
Procedimientos de la Funcin de Ser-vicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la
Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa
11.10 Relaciones con Terceras Partes como Implementadores
11.11 Estndares para la Documentacin de Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
47
11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndar de

Desarrollo
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de
Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de la Calidad
DOMINIO ADQUISICIN E IMPLEMENTACIN
Proceso:
1.0 Identificacin de Soluciones
Objetivos de control
1.1 Definicin de Requerimientos de Informacin
1.2 Formulacin de Acciones Alternativas
1.3 Formulacin de Estrategias de Adquisicin.
1.4 Requerimientos de Servicios de Terceros
1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles de Seguridad Econmicos
1.10 Diseo de Pistas de Auditora
1.11 Ergonoma
1.12 Seleccin de Software de Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras Partes
1.16 Contratos de Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
Proceso:
2.0 Adquisicin y Mantenimiento de Software de Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos Fuente
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Estipulacin de Integridad de TI en programas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin
2.16 Materiales de Consulta y Soporte para Usuario
2.17 Reevaluacin del Diseo del Sistema
48
Proceso: 3.0 Adquisicin y Mantenimiento de Arquitectura de Tecnologa

3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Sofware del Sistema
3.7 Uso y Monitoreo de Utilidades del Sistema
Proceso:
4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con
Tecnologa de Informacin
4.1 Futuros Requerimientos y Niveles de Servicios Operacionales
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento
Proceso:
5.0 Instalacin y Acreditacin de Sistemas
5.1 Entrenamiento
5.2 Adecuacin del Desempeo del Software de Aplicacin
5.3 Plan de implementacin
5.4 Conversin del sistema
5.5 Conversin de datos
5.6 Estrategia y planes de prueba
5.7 Pruebas de Cambios
5.8 Criterios y Desempeo de Pruebas en Paralelo/ Piloto
5.9 Prueba de Aceptacin Final
5.10 Pruebas y Acreditacin de Seguridad
5.11 Prueba Operacional
5.12 Promocin a Produccin
5.13 Evaluacin de la Satisfaccin de los Requerimientos del Usuario
5.14 Revisin Gerencial Post - Implementacin
Proceso:
6.0 Administracin de Cambios
6.1 Inicio y Control de Requisiciones de Cambio
6.2 Evaluacin del Impacto
6.3 Control de Cambios
6.4 Cambios de Emergencia
6.5 Documentacin y Procedimientos
6.6 Mantenimiento Autorizado
6.7 Poltica de Liberacin de Software
6.8 Distribucin de Software
49
DOMINIO ENTREGA DE SERVICIOS Y SOPORTE

Proceso:
1.0 Definicin de Niveles de Servicio
Objetivos de control:
1.1 Marco de Referencia para el Convenio de Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de Servicio
1.3 Procedimientos de Ejecucin
1.4 Monitoreo y Reporte
1.5 Revisin de Convenios y Contratos de Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del Servicio
Proceso:
2.0 Administracin de Servicios prestados por Terceros
2.1 Interfases con Proveedores
2.2 Relaciones de Dueos
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad de Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
Proceso:
3.0 Administracin de Desempeo y Capacidad
3.1 Requerimientos de Disponibilidad y Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Manejo de Desempeo Proactivo
3.6 Pronstico de Carga de Trabajo
3.7 Administracin de Capacidad de Recursos
3.8 Disponibilidad de Recursos
3.9 Calendarizacin de recursos
Proceso:
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin
4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
50
4.10 Recursos crticos de Tecnologa de Informacin

4.11 Centro de Cmputo y Hardware de respaldo
4.12 Sitio externo de almacenamiento de respaldo
4.13 Procedimientos de Refinamiento del Plan de Continuidad de TI
Proceso:
5.0 Garantizar la Seguridad de Sistemas
5.1 Administrar Medidas de Seguridad
5.2 Identificacin, Autenticacin y Acceso
5.3 Seguridad de Acceso a Datos en Lnea
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de funciones de seguridad
5.18 Administracin de Llave Criptogrfica
5.19 Prevencin, Deteccin y Correccin de Software Malicioso
5.20 Arquitecturas de FireWalls y conexin a redes pblicas
5.21 Proteccin de Valores Electrnicos
Proceso:
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a Usuarios
Proceso:
7.0 Educacin y Entrenamiento de Usuarios
7.1 Identificacin de Necesidades de Entrenamiento
7.2 Organizacin de Entrenamiento
7.3 Entrenamiento sobre Principios y Conciencia de Seguridad
Proceso:
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1 Bur de Ayuda
8.2 Registro de Preguntas del Usuario
8.3 Escalamiento de Preguntas del Cliente
51
8.4 Monitoreo de Atencin a Clientes

8.5 Anlisis y Reporte de Tendencias
Proceso:
9.0 Administracin de la Configuracin
9.1 Registro de la Configuracin
9.2 Base de la Configuracin
9.3 Registro de Estatus
9.4 Control de la Configuracin
9.5 Software no Autorizado
9.6 Almacenamiento de Software
9.7 Procedimientos de administracin de configuracin
9.8 Responsabilidad del software
Proceso:
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
10.4 Autorizaciones de accesos temporales y de emergencia
10.5 Prioridades de procesamiento de emergencia
Proceso:
11.0 Administracin de Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de Datos
11.11 Manejo de Error en el Procesamiento de Datos
11.12 Manejo y Retencin de Salida de Datos
11.13 Distribucin de Salida de Datos
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de Errores
11.16 Provisiones de Seguridad para Reportes de Salida
11.17 Proteccin de Informacin Sensible durante transmisin y transporte
11.18 Proteccin de Informacin Crtica a ser Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera de Medios
52
11.22 Responsabilidades de la Administracin de la Librera de Medios

11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
Proceso:
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
Proceso:
13.0 Administracin de Operaciones
13.1 Manual de procedimientos de Operacin e Instrucciones
13.2 Documentacin del Proceso de Inicio y de Otras Operaciones
13.3 Calendarizacin de Trabajos
13.4 Salidas de la Calendarizacin de Trabajos Estndar
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Resguardo de formas especiales y dispositivos de salida
13.8 Operaciones Remotas
DOMINIO MONITOREO
Proceso:
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin de Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
Proceso:
2.0 Evaluar lo adecuado del Control Interno
2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
53
2.3 Reporte sobre el Nivel de Control Interno

2.4 Seguridad de operacin y aseguramiento de Control Interno
Proceso:
3.0 Obtencin de Aseguramiento Independiente
3.1 Certificacin / Acreditacin Independiente de Control y Seguridad de los servicios de TI
3.2 Certificacin / Acreditacin Independiente de Control y Seguridad de proveedores externos
de servicios
3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y
compromisos contractuales
3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y
compromisos contractuales de proveedores externos de servicios
3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora
Proceso:
4.0 Proveer Auditora Independiente
4.1 Estatutos de Auditora
4.2 Independencia
4.3 Etica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
54
Captulo 3 Propuesta de Organizacin de Auditora de TI
CAPITULO 3
PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE
LA INFORMACIN
El propsito final de este captulo es proponer la organizacin para el ejercicio de la Auditora
de TI en el Ministerio, as como los requerimientos de recursos humanos y capacitacin. Para
ello en primera instancia se repasan los elementos conceptuales del tema y se retoma la
situacin actual.
3.1 ASPECTOS CONCEPTUALES Y LEGALES
A continuacin se retoman los elementos conceptuales que resultan ilustrativos en cuanto a los
temas de fondo del captulo.
En primer lugar, es preciso puntualizar la diferenciacin desde el punto de vista conceptual y
funcional en cuanto control interno informtico y a la Auditora de TI.
3.1.1 Control Interno Informtico
El control interno informtico controla diariamente que todas las actividades relacionadas con
gestin de la TI sean realizadas cumpliendo los procedimientos estndares y normas fijados
por la direccin de la organizacin, as como los requerimientos legales.
Este suele
desarrollarse por un rgano de staff de la Direccin del Departamento de Informtica.

Como principales objetivos podemos indicar:
Controlar que todas las actividades se realicen segn los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de la Auditora de TI.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los

grados adecuados del servicio informtico.
Realizar en los diferentes sistemas ( centrales, departamentales, redes locales) y

entornos informticos el control de las diferentes actividades operativas.
55
3.1.2 Auditora de TI
La Auditora de TI es el proceso realizado para recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado, salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y
utiliza eficientemente los
recursos.
El auditor evala y comprueba en determinados momentos del tiempo los controles y
procedimientos informticos ms complejos, desarrollando y aplicando tcnicas de auditora
incluyendo el uso del software.
El auditor es responsable de revisar e informar a la direccin de la organizacin sobre el
diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin
suministrada.
En el cuadro siguiente se muestran los objetivos comunes y las diferencias entre ambas
funciones.
CUADRO No 3
SIMILITUDES Y DIFERENCIAS ENTRE LA UNIDAD DE CONTROL INTERNO DE TI Y
AUDITORIA DE TI
SIMILITUDES
DIFERENCIAS
CONTROL INTERNO DE TI
AUDITORIA DE TI
Personal Interno
Conocimientos especializados en TI, verificacin del
cumplimiento de controles internos, normativa y procedimientos
establecidos por la Direccin de Informtica y la Direccin General
para la gestin de TI.
Anlisis de los controles en
Anlisis de un momento
el da a da.
determinado.
Informa a la Direccin del
Informa a la Direccin
Departamento de Informtica
General de la organizacin.
Solo personal interno.
Personal
interno
o
Alcance de sus funciones
externo.
nicamente
sobre
el Tiene cobertura sobre todos los
componentes de TI de la
Departamento de Informtica
organizacin.
56
Fuente: Piattini Mario G. y Del Peso, Emilio. Auditora Informtica: Un Enfoque Prctico. Mxico D.F.
Editorial Alfa Omega,1998. Pag.30
Es preciso recordar que nuestro inters es la Auditora de TI, por lo que los aspectos relativos a
la organizacin y funcionamiento del control interno quedan para otra investigacin.
3.1.3 Normativa sobre evaluacin de sistemas de informacin computadorizada
La
Contralora General de la Repblica se ha manifestado explcitamente sobre el tema
mediante la norma 302.10.01 del Manual sobre Normas Tcnicas de Control interno relativas
a los Sistemas de Informacin Computadorizados (SIC), emitido en noviembre de 1995, segn
la cual: La Unidad de Auditora Interna evaluar el cumplimiento, la suficiencia y la validez del
control interno en los SIC.
Complementariamente se indica que para cumplir con su competencia, la auditora interna
deber planear y ejecutar auditoras de los sistemas de informacin computadorizados y como
parte de ellas, evaluar el cumplimiento, la suficiencia y la validez del sistema de control interno,
teniendo como marco de referencia la normativa expuesta en el citado manual. Debe verificar
que los sistemas operen en forma eficiente y eficaz y que brinden informacin til y confiable.
Deber utilizar las tcnicas y herramientas computadorizadas que considere convenientes y
oportunas.
3.1.4 Normativa sobre las auditoras internas
La Ley N7428 Ley Orgnica de la Contralora General de la Repblica en sus artculos 61 y
62, seala entre otras cosas, que cada sujeto componente de la Hacienda Pblica tendr una
auditora interna la cual deber contar con los recursos necesarios para el cumplimiento de sus
funciones. Adicionalmente, las auditoras internas ejercern sus funciones con independencia
funcional y de criterio, respecto del jerarca y los dems rganos de la administracin activa.
Dependern orgnicamente del jerarca unipersonal o colegiado cuando ste exista, debiendo
organizarse y funcionar conforme lo establece el Manual para el Ejercicio de la Auditora
Interna y cualesquiera otras disposiciones emitidas por el rgano contralor.
57
3.1.5 Perfil del Auditor de Tecnologa de Informacin

De conformidad con la informacin recopilada en las instituciones consideradas en el
diagnstico realizado, as como los criterios de diferentes autores consultados, especialmente
Arauz, Manuel y Piattini, Mario G, los conocimientos y preparacin necesaria para ejecutar la
funcin de auditora de sistemas a cabalidad, son los siguientes:6
El auditor debe nutrirse de conceptos de tres reas:
la auditora, la informtica y la
administracin para estar en capacidad de evaluar la funcin informtica.
Con respecto a la auditora deber conocer toda la filosofa del control en la cual sta se
fundamenta. Las tcnicas y procedimientos de trabajo que se utilizan para ejecutar una
auditora en el rea informtica difieren muy poco de las que pueden utilizarse en el campo
de la auditora financiero-contable. Por esta razn, la forma de preparar los programas de
auditora, los papeles de trabajo y los informes debern ajustarse a las tcnicas y
procedimientos aplicados en el campo de la auditora.
Conocimientos generales sobre la teora general de riesgos y controles, sobre el sistema de

control interno de las organizaciones y sobre riesgos y controles aplicables en sistemas
automatizados, son parte de los conocimientos que deber absorber de esta rea.
De la informtica requiere obtener conocimientos generales sobre tcnicas de anlisis y

diseo e implantacin de sistemas, sobre bases de datos y telecomunicaciones, de
tcnicas y lenguajes de programacin, de los sistemas operativos, del hardware y
software disponibles en la empresa donde labora, ofimtica, comercio electrnico, redes
locales, seguridad fsica, encriptacin de datos, operaciones y planificacin informtica,
efectividad de las operaciones y rendimiento de los sistemas.
De la administracin requiere conocer los conceptos tradicionales de planeacin,

organizacin, direccin y control.
6
Arauz, Manuel. Auditora de Sistemas: por qu?. Universidad Internacional de las Amricas, 1996.Piattini, Mario G
y Del Peso, Emilio. Auditora Informtica: un enfoque prctico. Alfaomega. Mxico. 1998
58
Este auditor requiere contar con habilidades para expresarse con claridad tanto en forma
oral como escrita y necesita de una mente crtica que le permita analizar y cuestionar, con
sumo cuidado, las diferentes actividades que evala. Debe sumar a esto un conocimiento
amplio del tipo de organizacin en la que realiza su labor que le permita ofrecer una
asesora constructiva.
Para ejercer sus labores cabalmente en cada una de estas reas el grado de conocimiento que
debe tener de cada uno de los aspectos mencionados anteriormente vara en cuanto a su
profundidad.
As, un auditor que se dedique a evaluar la funcin informtica requerir conocimientos
profundos en administracin.
Por su parte, quien participe en el desarrollo de sistemas
necesitar conocer muy bien de las tcnicas de anlisis, diseo e implantacin de sistemas,
mientras que para el auditor dedicado a evaluar sistemas en produccin el conocimiento que
tenga de los riesgos y controles en sistemas automatizados deber ser muy slido.
A todos estos conocimientos el auditor debe agregar un ingrediente muy importante: las
relaciones humanas.
Para lograr la confianza de los funcionarios auditados y que las
recomendaciones que se emitan sean bien recibidas, cualidades tales como el tacto, la
empata, la discrecin, el respeto y el buen trato, as como una comunicacin directa, franca y
cordial son esenciales para que el auditor logre aceptacin y haga que su trabajo sea fructfero.
3.1.6 Principios para el Ejercicio de la Auditoria de TI
A continuacin se presenta un conjunto de principios para el desarrollo de la Auditora de TI, de
conformidad con el enfoque presentado por Jorge Paz Umaa7,
Estos toman elementos de las normas morales y reflejan el sentir mayoritario de los
profesionales a que van dirigidos, en cuanto a lo que se considera como un adecuado
comportamiento tico profesional, sirviendo de reprobacin
moral de aquellas conductas
contrarias a lo regulado en los mismos.

7
Paz Umaa, Jorge.Deontologa del Auditor Informtico y Cdigos Eticos. En Piattini, Mario G. Y Del Peso Emilio.
Auditora Informtica: un enfoque prctico. Mxico. Alfaomega. 1998
59
Principio de beneficio del auditado: El auditor deber ver cmo se puede conseguir la
mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando
obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de
las soluciones ms idneas segn los problemas detectados en el sistema informtico. En
ningn caso debe realizar el trabajo bajo el prisma del propio beneficio sino que por el
contrario su actividad debe estar en todo momento orientada a sacar el mximo provecho
de su cliente.
Principio de capacidad: El auditor debe estar plenamente capacitado para la realizacin de
la auditora encomendada, mxime teniendo en cuenta que en la mayora de los casos,
dada su especializacin, a los auditados en algunos casos le puede ser extremadamente
difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.
Principio de cautela: El auditor debe en todo momento ser consciente de que sus
recomendaciones deben estar basadas en la experiencia contrastada que se le supone
tiene adquirida, evitando que por un exceso de vanidad, el auditado se embarque en
proyectos de futuro fundamentados en simples intuiciones sobre la posible evolucin de las
nuevas tecnologas de la informacin.
Principio de comportamiento profesional: El auditor tanto en sus relaciones con el auditado
como con terceras personas deber, en todo momento, actuar conforme a las normas,
implcitas o explcitas de dignidad de la profesin y de correccin en el trato profesional.
Principio de concentracin en el trabajo: En su lnea de actuacin el auditor deber evitar
que un exceso de trabajo supere las posibilidades de concentracin y precisin en cada
una de las tareas a l encomendadas, ya que la saturacin y dispersin de trabajos suele a
menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las
debidas garantas de seguridad.
Principio de confianza: El auditor deber facilitar e incrementar la confianza del auditado
con base en una actuacin de transparencia en su actividad profesional, sin alardes
cientfico tcnicos, que por su incomprensin puedan restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas de actuacin. Para fortalecer la confianza mutua
60
se requiere por ambas partes una disposicin de dilogo sin ambigedades que permita
aclarar las dudas que, a lo largo de la auditora, pudieran surgir sobre cualquier aspecto
que pudieran resultar conflictivos, todo ello con la garanta del secreto profesional que debe
regir en su relacin.
Principio de criterio propio: El auditor durante la ejecucin de la auditora deber actuar con
criterio propio y no permitir que este est subordinado al de otros profesionales, an de
reconocido prestigio, que no coincidan con el mismo.
Principio de discrecin: El auditor deber en todo momento mantener una cierta discrecin
en el divulgacin de datos, aparentemente inocuos, que se hayan puesto de manifiesto
durante la ejecucin de la auditora.
Principio de economa. El auditor deber proteger en la medida de sus conocimientos los
derechos econmicos del auditado, evitando generar gastos innecesarios durante el
ejercicio de su actividad. En las recomendaciones y conclusiones realizadas con base en
su trabajo deber asimismo eludir, incitar o proponer actuaciones que puedan generar
gastos innecesarios o desproporcionados.
Principio de formacin continuada. Este principio ntimamente relacionado al principio de
capacidad y vinculado a la continua evolucin de las tecnologas de la informacin y las
metodologas relacionadas con las mismas, impone a los auditores el deber y la
responsabilidad de mantener una permanente actualizacin de los conocimientos y
mtodos a fin de adecuarlos a las demandas y las exigencias de la competencias de la
oferta.
Principio de fortalecimiento y respeto de la profesin: La defensa de los auditados pasa por
el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por
el ejercicio globalmente considerado, de la actividad desarrollada por los mismos y un
comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la
finalidad de las auditoras. Deber promover el respeto mutuo y la no confrontacin entre
compaeros.
61
Principio de independencia: Muy relacionado con el de criterio propio, obliga al auditor a

exigir una total autonoma e independencia en su trabajo, condicin imprescindible para
permitirle actuar libremente segn su leal saber y entender.
Principio de informacin suficiente: Obliga al auditor a ser plenamente de su obligacin de
aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado,
informacin tanto sobre todos y cada uno de los puntos relacionados con la auditora que
pueden tener inters para l, como sobre las conclusiones
a las que ha llegado, e
igualmente informarle sobre la actividad desarrollada durante la misma que ha servido de

base para llegar dichas conclusiones.
Principio de integridad moral: Este principio, inherentemente ligado a la dignidad de
persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a
ajustarse a las normas morales de justicia y probidad y a evitar participar, voluntaria o
inconscientemente en cualesquiera actos de corrupcin personal o de terceras personas.
Principio de legalidad. En todo momento el auditor deber utilizar sus conocimientos para
facilitar a los auditados o a terceras personas, la contravencin de la legalidad vigente. En
ningn caso consentir ni colaborar en la desactivacin o eliminacin de dispositivos de
seguridad ni intentar obtener los cdigos o claves de acceso a sectores restringidos de
informacin generados para proteger los derechos, obligaciones o intereses de terceros.
Principio de la no descriminacin. El auditor en su actuacin previa, durante y posterior a la
auditora, deber evitar inducir, participar, o aceptar situaciones discriminatorias de ningn
tipo, debiendo ejercer su actividad profesional sin prejuicios de ninguna clase y con
independencia de las caractersticas personales, sociales o econmicas de sus clientes.
Principio de no injerencia. El auditor, dada la incidencia que puede derivarse de su tarea,
deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir
hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar
un cierto desprestigio de su cualificacin profesional.
Principio de precisin. Este principio exige del auditor la no conclusin de su trabajo hasta
estar convencido en la medida de lo posible, de la viabilidad de sus propuestas, debiendo
62
ampliar el estudio del sistema informtico cuanto considere necesario sin agobios de
plazos, siempre que se cuente con la aquiescencia del auditado, hasta obtener dicho
convencimiento.
Principio de responsabilidad. El auditor deber, como elemento intrnseco de todo
comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje, sirviendo
esta forma de actuar como cortapisa de injerencias extraprofesionales.
Principio de secreto profesional. La confidencia y la confianza son caractersticas
esenciales de las relaciones entre el auditor y el auditado e imponen al primero la
obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de
su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin.
Principio de servicio pblico. Incita al auditor a hacer lo que est en su mano para evitar
daos sociales como los que pueden producirse en los casos en que, durante la ejecucin
de la auditora descubra elementos de software dainos (virus informticos), que puedan
propagarse a otros sistemas informticos diferentes del auditado.
Principio de veracidad. El auditor en sus comunicaciones con el auditado deber tener
siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los
lmites impuestos por los deberes de respeto, correccin y secreto profesional.
En tanto stos principios no estn plenamente asumidos, como configuradores de la dimensin
tica de la profesin, puede apelarse a los comportamientos morales individuales. En nuestro
caso los hemos incluido por considerarlos de utilidad para la conformacin de criterios
orientadores sobre la manera en que la Auditora de TI debe orientar sus actuaciones.
3.2 ORGANIZACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA
3.2.1 Antecedentes
La Direccin General de Auditora Interna del Ministerio de Hacienda fue creada en el ao 1989
con el nombramiento de la Directora en mayo de ese ao, posteriormente con la publicacin
del reglamento de organizacin y funciones, mediante el Decreto Ejecutivo No.19067 H
63
publicado el 4 de julio de 1989, se formaliza la existencia de la unidad. Se le concibe como una

dependencia asesora del Ministro de Hacienda y orgnicamente dependiente de ste.
En el ao 1990 se nombraron nuevos funcionarios y gradualmente se fue consolidando el
equipo humano de la direccin, que lleg a ser de 30 puestos en el ao 1996, para
posteriormente disminuir como resultado de la poltica de reduccin de puestos en el Gobierno,
hasta llegar a los 18 puestos que actualmente la conforman.
En el ao 2000 se aprob un nuevo Manual Institucional de Clases, que entre otros aspectos
respondi a la ya citada poltica de reduccin de puestos como tambin a la reforma general
del Ministerio con una marcada tendencia al uso de nueva tecnologa y sistemas de
informacin computadorizados. De esta manera la propuesta de reestructuracin consider
como ejes los siguientes elementos:
Planilla reducida de alto nivel
Tecnologa avanzada
Capacitacin adecuada permanente
Actualizacin profesional permanente
Contratacin de servicios de auditora por excepcin.8
El proceso de reforma en sentido estricto est an en desarrollo, habindose logrado a la fecha

avances importantes, entre los que destacan:
Reubicacin de funcionarios: 1997-1998
Definicin de nuevos perfiles de puestos, elaboracin
y aprobacin del Manual
Institucional de Clases de la Direccin General de Auditora Interna
Reasignacin de puestos.
Compra de equipo de cmputo
Manejo de software de oficina
Servicio de Internet y correo electrnico: a partir de febrero del 2000
Un sitio en la Pgina WEB del Ministerio, a partir de agosto del 2000
Direccin General de Auditora Interna. Propuesta de Reforma de la Direccin General de Auditora Interna.
Documento Interno presentado al Ministro de Hacienda en julio de 1996.
64
3.2.2 Objetivo General de la Auditora Interna

El objetivo general de la Auditora Interna es prestar un servicio profesional de asesora
constructiva y de proteccin a la Administracin, proporcionndole en forma oportuna
informacin, anlisis y recomendaciones pertinentes para que alcance sus metas y objetivos
con eficiencia y economa.
3.2.3 Misin, Visin y Valores
La misin ha sido establecida en los siguientes trminos:
Prestar un servicio de asesora profesional al Ministerio de Hacienda, para el logro de sus
metas y objetivos con eficiencia y economa, proporcionndole, en forma oportuna,
informacin, anlisis y recomendaciones, a fin de colaborar en asegurar a la sociedad
costarricense los recursos necesarios para satisfacer sus necesidades sociales.9
La Direccin General de Auditora Interna ha definido su visin de la siguiente manera:
La visin de la Auditora Interna se fundamenta en su desarrollo y consolidacin como
parte de la estructura de control interno del Ministerio. Con capacidad para formular
recomendaciones viables que proporcionen mejoras sustanciales para el logro de la
misin del Ministerio. Aspiramos a una auditora de excelencia con una clara orientacin
hacia los usuarios, con personal profesional responsable, de gran mstica e identificado
con su misin y la del ministerio; con tecnologas modernas y apropiadas a las tareas
que les corresponde ejecutar y con recursos materiales suficientes para su desempeo.
Definimos la auditora Interna como una unidad asesora al servicio del ministerio para la
salvaguarda de los recursos. 9
Como complemento, en octubre del ao 2000 los funcionarios de la Direccin General de
Auditora Interna proclamaron los siguientes valores compartidos :
Obtenida de la pgina web del Ministerio: www.hacienda.go.cr
65
Amor : nuestra labor diaria se fundamenta en el amor personal, a la familia, al

trabajo, a los compaeros y a la institucin.
Excelencia: todo lo que realizamos lo hacemos de la mejor forma.
Integridad: como personas y funcionarios pblicos nos exigimos integridad total en el

diario vivir.
Sabidura: nuestras actuaciones siempre sern guiadas por el conocimiento, el

pensamiento, la creatividad, la percepcin y la razn.
Cooperacin: contribuimos con la unin y estabilidad familiar. Somos un equipo de

apoyo y asesora a la Administracin para el logro de los objetivos institucionales.
3.2.4 Funciones
El artculo 63 de la Ley Orgnica de la Contralora General de la Repblica (Ley No. 7428 del 4
de noviembre 1994), establece en trminos generales las competencias de las auditoras
internas:
a) Controlar y evaluar el sistema de control interno correspondiente y proponer las
medidas correctivas.
b) Cumplir con las normas tcnicas de auditora, las disposiciones emitidas por la
Contralora General de la Repblica y las del ordenamiento jurdico.
c) Realiza auditoras y estudios especiales en relacin con cualquiera de los rganos
sujetos a su jurisdiccin institucional.
d) Asesorar en materia de su competencia al jerarca del cual depende e igualmente
advertir a los rganos pasivos que ellas fiscalizan sobre las posibles consecuencias
de determinadas conductas o decisiones cuando sean de su conocimiento.
e) Autorizar mediante razn de apertura los libros de contabilidad y actas que legal o
reglamentariamente deben llevar los rganos sujetos a su jurisdiccin institucional.
f)
Las dems que contemplan las normas del ordenamiento de control y fiscalizacin y
los manuales sobre la materia emitidos por la Contralora General de la Repblica.
Para el caso de la Auditora Interna del Ministerio, el decreto No. 19067 - H y sus reformas le
establece algunas funciones, entre las que destacan:
66
Artculo 14-Para el cumplimiento de sus deberes, la auditora interna tendr las

siguientes funciones:
a)
Realizar auditoras o estudios especiales de auditora, de acuerdo con las

normas tcnicas de auditora y otras disposiciones dictadas por la Contralora
General de la Repblica y con las normas de auditora generalmente aceptadas
en cuanto fueren aplicadas, en cualesquiera unidades administrativas del
Ministerio, en el momento que considere oportuno.
b)
Evaluar en forma regular el sistema de control interno en relacin con los

aspectos contables, financiero y administrativo, con el fin de determinar su
cumplimiento, suficiencia y validez.
c)
Verificar que los bienes patrimoniales se hallen debidamente controlados,

contabilizados, protegidos contra prdida, menoscabo, mal uso o desperdicio e
inscritos a nombre del Ministerio, cuando se trate de bienes inmuebles sujetos a
ese requisito.
d)
Verificar que los recursos financieros, materiales y humanos de que dispone el

Ministerio, se hayan utilizado por la administracin con eficiencia, economa y
eficacia.
e)
Evaluar el contenido informativo, la oportunidad y la confiabilidad de la

informacin contable, financiera, administrativa y de otro tipo producida en el
Ministerio.
f)
Evaluar los informes que prepara la administracin sobre la eficiencia, economa

y eficacia con que se han utilizado los recursos, en el cumplimiento de metas y
objetivos.
g)
Verificar el cumplimiento de las disposiciones legales y reglamentarias, de los

objetivos y metas, de las polticas, de los planes, de los programas y de los
procedimientos financieros y administrativos que rigen en el Ministerio.
h)
Revisar
en
forma
posterior
las
operaciones
contables,
financieras
administrativas, los registros, los informes y los estados financieros cuando lo

considere pertinente, de acuerdo con su plan de auditora.
i)
Efectuar la evaluacin posterior a la ejecucin y liquidacin presupuestaria del

Ministerio.
j)
Realizar la evaluacin de los sistemas de procesamiento electrnico de

informacin del Ministerio y de la informacin producida por tales sistemas, de
acuerdo con disposiciones generalmente aceptadas.
67
3.2.5 Organizacin
La organizacin de la Direccin General de Auditora Interna fue aprobada por el Ministerio de
Planificacin y Poltica Econmica en diciembre de 1989, conforme sta se distingue la
Direccin General y dos reas funcionales: Administracin Tributaria y Administrativa
Financiera
En concordancia con la organizacin del Ministerio, el Area de Auditora de Administracin
Tributaria, le corresponde al Area de Ingresos, donde se ubican las siguientes dependencias:
Despacho del Viceministro de Ingresos
Direccin General de Aduanas
Direccin General de Tributacin
Direccin General de Hacienda
Polica de Control Fiscal.
Tribunal Fiscal Administrativo
Tribunal Aduanero Nacional.
Por su parte, el Area de Auditora Administrativa Financiera atiende el Area de Egresos, que
comprende las siguientes dependencias:
Despacho del Ministro
Despacho del Viceministro de Egresos
Oficinas Asesoras
Oficiala Mayor
Direccin General Administrativa y Financiera
Direccin Jurdica
Direccin General de Informtica
Direccin de Crdito Pblico
Direccin General de Presupuesto Nacional
Contabilidad Nacional
Tesorera Nacional
68
Proveedura Nacional.
La estructura funcional de la Direccin General de Auditora Interna se presenta a continuacin:

ESTRUCTURA FUNCIONAL DE LA DIRECCIN GENERAL DE
AUDITORA INTERNA- MINISTERIO DE HACIENDA
A julio 2001
DIRECCIO
NGENERA
L
AREA DE AUDITORIA
ADMINISTRATIVA
FINANCIERA
AREA DE
AUDITORIA
ADMINISTRACIN
TRIBUTARIA
3.2.6 Recursos Humanos

La Direccin General de Auditora Interna cuenta con una plantilla de 18 cargos, segn se
muestra en el siguiente cuadro.
CUADRO No. 4
CARGOS DE LA DIRECCION GENERAL DE AUDITORIA INTERNA
A JULIO 2001
Cargos Ocupados Cargos vacantes

Cargo
Total
Director General de Auditora Interna
Subdirector General de Auditora Interna

Coordinador General de Auditora Interna
Auditor Encargado
1
1
4
0
1
2
1
2
6
69
Cargos Ocupados Cargos vacantes

Cargo
Total
Auditor
Informtico de Auditora Interna
Tcnico de Auditora Interna
Asistente Administrativo de Auditora Interna
Total
3
0
1
1
12
1
2
0
0
6
4
2
1
1
18
Fuente: Manual de Cargos de la Direccin General de Auditora Interna. Agosto 1999 e informacin sobre su
ocupacin suministrado por la Unidad Tcnica de Recursos Humanos.
Conforme lo expuesto en el cuadro anterior, en este momento se cuenta con 12 funcionarios,

por lo que se tienen 6 puestos vacantes, de los cuales 2 corresponden a bachilleres en el rea
de informtica o computacin y los otros 4 son del rea de administracin. Adems se nos
inform que de los 12 actuales, 7 estn en propiedad y 5 interinos, lo que significa que deben
sacarse a concurso un total de 11 puestos.
De acuerdo con el Manual Institucional de Clases de la Direccin General de Auditora Interna,
como requisito especfico de capacitacin para los cargos de Coordinador General, Auditor
Encargado, Informtico de Auditora Interna y Auditor se establece la auditora de sistemas.
No obstante lo indicado, de los funcionarios actuales slo un Auditor Encargado ha recibido
capacitacin en auditora de sistemas por parte del Ministerio y el Coordinador General obtuvo
por sus propios medios la Maestra en Auditora de Procesamiento Electrnico de Datos.
3.3
PROPUESTA
DE
ORGANIZACIN
REQUERIMIENTOS
DE
RECURSOS
HUMANOS
A continuacin se presenta la propuesta de organizacin de la Auditora de TI para el
Ministerio, visualizada de conformidad con lo ya planteado en cuanto al modelo metodolgico
operativo y atendiendo lo que sera una primera etapa en el desarrollo de funcin.
La propuesta distingue el nivel institucional, es decir, el planteamiento sobre la ubicacin de la
Auditora de TI como parte de la estructura orgnica del Ministerio, y por otra parte, la
organizacin para la unidad que asumir el desarrollo de estas competencias
70
3.3.1 Organizacin de la Auditora de TI

A nivel institucional
De conformidad con la normativa vigente, la naturaleza de las funciones y la estructura
orgnica del Ministerio, es indudable que el desarrollo de las competencias en cuanto a la
Auditora de TI corresponde a la Direccin General de Auditora Interna.
Al respecto es preciso recordar que por la naturaleza de la funcin de auditora, uno de sus
principios fundamentales es la independencia y objetividad de criterio para lo cual resulta
conveniente que no pertenezca a la unidad responsable de establecer los controles. En ese
sentido, resulta ilustrativo lo indicado por Jos Mara Gonzlez:
La funcin de Control Informtico Independiente debera ser en primer lugar
independiente del departamento controlado. Ya que por segregacin de funciones
la informtica no debera controlarse a s misma. Partiendo de la base de un
concepto en que la seguridad de sistemas abarca un campo mucho mayor de lo
que es la seguridad lgica, podramos decir que:
-El Area Informtica monta los procesos informticos seguros.
-El control interno monta los controles.
-La Auditora Informtica evala el grado de control10:
De acuerdo con lo expuesto, existen claras diferencias entre las funciones de control
informtico y las de auditora informtica (Auditora de TI para nuestros efectos).
En concordancia con lo indicado, es ilustrativa la siguiente afirmacin del tratadista Rafael
Ruano Diez:
Esta concepcin se basa en el nacimiento histrico de la auditora informtica y
en la dificultad de separar el elemento informtico de lo que es la auditora
10
Gonzlez, Z. Jos Mara. Metodologas de Control Interno, Seguridad y Auditora Informtica. En Piattini, Mario
y del Peso Emilio. Op cit. Pag. 68
71
operativa y financiera, al igual que lo es separar la operativa de una empresa de

los sistemas de informacin que la soportan 11
Finalmente debemos tener presente que la normativa de la Contralora General de la Repblica
es de acatamiento obligatorio, y lo prescrito en ese particular es congruente con lo propuesto.
A nivel interno
Habindose establecido la Auditora de TI en la Direccin General de Auditora Interna, es
preciso plantearnos como se integra esta funcin dentro de la estructura funcional de dicha
Direccin.
La definicin de una propuesta sobre este particular no es tan simple, especialmente por la ya
expuesta dificultad de separar en muchos casos la auditora de sistemas de la auditora
operacional, as como por la concepcin general de la estructura funcional actual, orientada por
el concepto de auditora integral.
Con el propsito de llegar a un planteamiento especfico congruente con el enfoque
metodolgico propuesto en el captulo anterior, a continuacin se precisan las consideraciones
que estimamos son el fundamento para la propuesta a presentar:
El modelo metodolgico clasifica los objetivos de control en cuatro dominios

funcionales: Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de
Servicios y Soporte, y Monitoreo.
En virtud del conocimiento del negocio que logran los auditores ubicados en las
reas funcionales de Administracin Tributaria y Administrativa Financiera, la evaluacin
de los procesos relacionados con el desarrollo de sistemas de informacin as como la
evaluacin de sistemas en operacin, ubicados en los dominios Adquisicin e
Implementacin y en el de Entrega de Servicios y Soporte, respectivamente, resulta
conveniente que sean atendidos por los auditores de las respectivas reas funcionales.
11
Ruano Diez, Rafael. Organizacin del Departamento de Auditora Informtica. Pag 109. En Piattini, Mario y del
Peso Emilio. Op cit.
72
La necesidad de especializacin, en un campo en el que mantenerse al da con los

avances de la tecnologa demanda dedicacin y esfuerzos cada vez mayores. Si se
quiere tener capacidad de generar valor agregado en cada una de las evaluaciones,
deber tenerse suficiente conocimiento tcnico y una actitud de adecuacin a los
cambios cada vez ms acelerados en el campo de la TI.
La conveniencia de que la gestin de TI sea evaluada con una visin integral y no solo
de las reas funcionales (Administracin Tributaria y Administrativa Financiera). En ese
mismo sentido, algunas tareas de la gestin de la TI, como la planeacin estratgica y
ciertos servicios especficos como correo electrnico, pgina web, herramientas
colaborativas, etc, tienen una naturaleza institucional.
La necesidad de que la misma Direccin cuente con un apoyo tcnico para la gestin
de la informtica en auditora, es decir, para el soporte y potenciacin del uso de las
herramientas informticas que se introduzcan en apoyo a la labor de la auditora y la
administracin de los recursos disponibles.
En ese sentido se propone la creacin de una tercera rea funcional denominada Area de
Auditora de Tecnologa de la Informacin, que ser la responsable de atender las funciones y
responsabilidades propias de esta funcin de conformidad con el modelo operativo
metodolgico ya presentado.
Adicionalmente, se recomienda que la evaluacin de sistemas en operacin corresponda a las
reas funcionales segn el sistema de que se trate, debiendo tambin preverse que para la
asesora al desarrollo de sistemas se puedan conformar equipos integrados por funcionarios
del rea especfica y del rea de Auditora de TI. Para efectos de la conformacin de estos
equipos y asignar la responsabilidad del liderazgo de los mismos se debera considerar la
naturaleza del sistema involucrado, entendiendo que en la medida en que sea un sistema de
mbito institucional ser conveniente que el liderazgo corresponda al funcionario del Area de
Auditora de TI.
Lo propuesto implicara que los auditores de las reas de Administracin Tributaria y
Administrativa Financiera debern tener conocimientos en materia de auditora de la TI, que les
permita desarrollar sus funciones y trabajar en el entorno de las tecnologas de la informacin
73
dentro de la institucin. Los integrantes del Area de Auditora de TI tendran con respecto a
stos una funcin de apoyo y actualizacin.
A continuacin se visualiza la organizacin de la Direccin General de Auditora Interna de
conformidad con la propuesta presentada.
ESTRUCTURA FUNCIONAL PROPUESTA PARA LA DIRECCIN

GENERAL DE AUDITORA INTERNA- MINISTERIO DE
HACIENDA
DIRECCIO
NGENERA
L
AREA DE
AUDITORIA
ADMINISTRACIN
TRIBUTARIA
AREA DE
AUDITORIA DE
TECNOLOGA DE LA
INFORMACION
74
AREA DE AUDITORIA
ADMINISTRATIVA
FINANCIERA
3.3.2 Recursos Humanos
La determinacin de una plantilla ideal para un departamento especfico plantea retos muy
importantes, cuya atencin demanda esfuerzos de orden tcnico que exceden nuestras
posibilidades. En efecto, definir la cantidad ideal de funcionarios que debera tener el Area de
Auditora de TI, implicara realizar un estudio de cargas de trabajo que supera nuestras
capacidades tcnicas y los objetivos mismos de esta investigacin, requiriendo para ello
adems valorar y profundizar en aspectos como los siguientes:
Ambiente de control de la institucin.
Sistemas de informacin en operacin y en desarrollo y una proyeccin de los mismos.
Situacin de otras instituciones pblicas.
Capacitacin y experiencia de los auditores de las otras reas de la auditora.
Rendimientos o medidas de productividad promedio de los auditores.
Disponibilidad de herramientas automatizadas para llevar a cabo las auditoras.
Requerimientos de apoyo tcnico para la adecuada utilizacin de la TI en la auditora.
Posibilidad de contratacin externa de servicios de Auditora de TI.
Polticas de Gobierno y disposiciones internas en cuanto a creacin de plazas.
Una adecuada valoracin de todos estos elementos excede nuestras posibilidades. Con el
propsito de plantear una propuesta lo ms razonable posible con la informacin disponible a la
fecha, independientemente de que la misma pueda ser ajustada en la medida en que se
disponga de elementos adicionales, a partir de los siguientes elementos se presentar un
planteamiento:
75
Situacin de las instituciones consideradas en el diagnstico en cuanto a la

relacin auditores de TI con respecto al total de la auditora interna: Compaa
Nacional de Fuerza y Luz 8 de 19 puestos, Banco Central de Costa Rica 8 de
30, Banco Nacional 6 de 76.
Disponibilidad de dos plazas de Profesional Informtico de Auditora Interna

actualmente vacantes en la DGAI.
Restricciones institucionales para la creacin de plazas.
Capacitacin de todos los funcionarios de las dos reas funcionales en Auditora

de TI en temas como: Metodologas para el desarrollo de sistemas, COBIT,
Auditora de sistemas, Administracin del Riesgo, los sistemas informticos en
operacin.
Utilizacin de herramientas de software tanto para administrar los recursos

como para la realizacin de auditoras y la adquisicin de la herramienta COBIT
tanto para la Administracin como para la Auditora Interna.
Posibilidad de contratacin externa.
Considerando los anteriores elementos se propone que la nueva rea cuente con los siguientes
recursos:
Un Coordinador General para el Area de Auditora de TI: Informtico con capacitacin

y experiencia en auditora informtica y en administracin.
2 auditores de TI, Informticos con capacitacin en Administracin y en Auditora de TI.
La propuesta planteada requerira nicamente la creacin o asignacin de una plaza, lo

cual se estima factible dentro de las polticas actuales.
76
Captulo 4 Propuesta de Herramientas Computadorizadas de Apoyo a la Auditora
CAPITULO 4
PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS DE APOYO A LA AUDITORIA
En el presente captulo pretendemos ofrecer un panorama sobre las diferentes herramientas

computadorizadas que se pueden utilizar en apoyo a la funcin de auditora de la TI y a la
auditora en general.
Para ello se consideran herramientas informticas de apoyo a la
administracin de la auditora as como para la auditora informtica.

Asimismo, se establecer una primera orientacin sobre las mejores opciones, planteando
algunos elementos a tomar en consideracin en la seleccin de estas herramientas, en el
entendido que corresponder a las autoridades respectivas, en su oportunidad, tomar las
respectivas decisiones.
4.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA
AUDITORA
Las herramientas computadorizadas de apoyo a la auditora se suelen clasificar en dos
categoras genricas, a saber: tcnicas y herramientas, de ah el nombre genrico de CAATTs,
por sus siglas en ingls Computer Assisted Auditor Technics and Tools.
En ese sentido, sin pretender ser exhaustivo, como ejemplos de ambas categoras tenemos:
Tcnicas: extraccin y anlisis de datos, deteccin de fraude, monitoreo continuo,

valoracin de la seguridad de la red, control de comercio electrnico, evaluacin del
control interno y papeles de trabajo automatizados.
Herramientas: procesadores de texto, hojas electrnicas, software especializado de

auditora, correo electrnico, diagramas de flujo, bases de datos, administracin de
datos y groupware, administracin de la auditora y administracin de riesgo.
77
La utilizacin de las herramientas y tcnicas computadorizadas resulta hoy en da casi

inevitable en cualquier campo, en el caso particular de la Auditora de TI se suele justificar en
virtud de diferentes beneficios o ventajas que se generan con su utilizacin, destacando las
siguientes:
Reduccin de costos
Incremento de la cobertura: ms con los mismos recursos
Facilidad de acceso a los datos y manipulacin o anlisis de los mismos.
Promueven la integracin de las diferentes herramientas del auditor
Fortalecen la credibilidad de la auditora
Mejoras en la administracin de la experiencia y conocimiento acumulativo de los
auditores y evaluadores.
En el caso de la Auditora de TI, la utilizacin de estas herramientas y tcnicas resulta
imprescindible, ya que muchos de los anlisis requeridos para evaluar los sistemas y las bases
de datos resultaran imposibles en caso de no contarse con herramientas especializadas.
Por otra parte, reconociendo las limitaciones para la contratacin de personal dentro del sector
pblico, se requiere elevar la productividad de los funcionarios mediante la utilizacin de este
tipo de herramientas y tcnicas, para lograr el cumplimiento de los objetivos de la auditora.
4.2 HERRAMIENTAS INFORMTICAS DE APOYO A ADMINISTRACIN DE LA AUDITORIA

La administracin de la auditora se preocupa de dirigir los recursos de la auditora para lograr
el mayor beneficio para la organizacin, promoviendo el respeto a las leyes, regulaciones y
polticas. Esto involucra un proceso administrativo que conlleva diversas actividades que van
desde el anlisis de riesgos, planeacin, seguimiento de las auditoras actuales, asignacin y
direccin del personal, y comunicacin eficaz con los clientes y la Administracin Superior.
78
Atendiendo el enfoque de Charles H. Le Grand, 12las herramientas usadas por auditores como
apoyo a la administracin pueden ser clasificadas como sigue:
Anlisis de riesgo.
Inventario del universo de la auditora
Planeacin y asignacin
Administracin de proyectos y seguimiento de auditoras
Bases de datos del personal e inventario de herramientas
Biblioteca de referencia
Comunicaciones
Presentaciones
Seguimiento de resultados / hallazgos
Valoracin de la satisfaccin del cliente
Entrenamiento y educacin
Internet
A continuacin se presenta una breve descripcin de cada una de las anteriores categoras.
a.
Anlisis de Riesgo
La decisin sobre el rea y alcance de las auditoras debera fundamentarse en un anlisis de

reas que representan riesgos ms grandes a la organizacin. Hay muchos acercamientos
para anlisis de riesgo.
A veces los auditores se enfocan en el control del negocio y se desvan del hecho que el
control existe con el propsito de administrar los riesgos. A menudo los gerentes no piensan en
sus responsabilidades como administracin en trminos de control. En cambio, piensan en los
procesos y actividades que ellos administran y sobre cmo manejar riesgos.
12
Le Grand, Charles H. Computer Assisted Audit Tools and Techniques. En www.theiia.org
79
En relacin con lo anterior, una herramienta de comunicacin importante para auditores es una
clara y entendida identificacin y valoracin de riesgos. Los gerentes entienden riesgos y
pueden probablemente describir los riesgos ms significantes que manejan. Un auditor puede
complementar la lista de los riesgos mediante preguntas acerca de los aspectos que saben que
usualmente andan mal.
La lista de riesgos proporcionada por la Administracin y complementada por el auditor es el
primer elemento del anlisis de riesgo. Los prximos pasos involucran la evaluacin de las
probabilidades de exposicin que son el resultado de los riesgos y los costos potenciales. Para
esto, un auditor puede usar herramientas tan simples como las hojas de clculo o bases de
datos, o posiblemente puede optar para sistemas ms complejos atados en un sistema de
administracin de auditora integrado.
Cualquiera que sea el acercamiento y las herramientas usadas, la valoracin de riesgo del
auditor debe compartirse con la Administracin y buscarse un acuerdo general para asegurar
una comunicacin eficaz de los objetivos, prioridad y alcance de las auditoras.
b.
Inventario del Universo de la Auditora
Las prioridades y la disponibilidad de recursos de la auditora determinan el alcance de

actividades de la auditora. Probablemente la auditora nunca dispondr de recursos suficientes
para cubrir todas las actividades del sujeto a intervenir, por ello el inventario de reas a ser
auditadasy no auditadas resulta importante a los efectos de la toma de decisiones.
El inventario del universo de la auditora debe mostrar todas las reas a ser cubiertas, y podra
incluir la siguiente informacin:
La prioridad y el criterio para determinar prioridad;
Ciclo de intervencin (anual, cada tres aos, etc.);
Historial de resultados de las auditoras;
Resumen de hallazgos de la auditora, recomendaciones y seguimiento;
Los indicadores de riesgo importantes y naturaleza de riesgos (monetario, privacidad,

confidencialidad, disponibilidad, etc.);
80
Anotaciones especiales, instrucciones; etc.
El universo de la auditora tambin puede estar sujeto al cambio, a veces a cambios

significativos. Por ejemplo, hace dos o tres aos Internet y el comercio electrnico era un rea
sin mayor importancia en el inventario de universo de auditorasi es que se mencionaba-, hoy
es un tema de moda en algunos inventarios pero todava no aparece en la lista de otros.
c.
La planeacin de la auditora tiene a la vez un carcter estratgico y tctico. La definicin del

universo de la auditora, prioridades para los auditores, y la disponibilidad de recursos de la
auditora
representan los insumos para la orientacin estratgica de la auditora. La
planificacin tctica se realiza para cada proyecto de la auditora.

Los factores de planificacin estratgica son lgicos y logsticos. Por ejemplo, problemas con
mtodos de desarrollo de sistemas, el control de cambios de programa, o controles de acceso
deberan ser analizados antes de involucrarse en desarrollo de los sistemas especficos o
revisiones de aplicaciones en operacin. Las debilidades en reas claves de control como la
administracin de accesos y control de cambios tambin pueden impactar la fiabilidad de
cualquier informacin usada por auditores y el alcance y tiempo necesario para evaluar y
probar los controles.
Las herramientas del software pueden ayudar evaluando habilidades de los auditores
disponibles y asignando a las personas apropiadas para participar en los diferentes equipos del
proyecto. El software debe apoyar asignacin de auditores con habilidades crticas para
determinado proyecto de auditora. El software tambin debe evaluar los impactos de cambios
de horario y prioridades, as como extender el impacto de desbordamientos del horario a otros
proyectos
d.
Administracin de Proyectos y Supervisin de la Auditora
La administracin de proyectos y la supervisin de la auditora proveen una retroalimentacin

clave para la planeacin y programacin de las auditoras. El software de administracin de
proyectos puede ser simple o muy sofisticado. Al menos debe permitir a la direccin de la
81
auditora hacer el uso ms eficiente de los recursos disponibles. Debe grabar e informar
cualquier variacin de los planes y debe determinar los efectos en planes subsecuentes. El
software de administracin de proyectos tambin puede proporcionar informes y grficos para
ayudar en la toma de decisiones.
Algunos software de administracin de proyectos son suficientemente poderosos como para
permitir la programacin de todos los proyectos de auditora y las subactividades, tanto
individualmente como colectivamente.
El software puede proporcionar reportes detallados o resumen con elementos como los
cuadros y grficos ilustrativos de los impactos de retrasos o reprogramaciones en los planes de
la auditora relacionados o subsecuentes.
Por supuesto que la operacin y administracin de tal software tambin tiende a requerir un
tiempo significativo, de manera que esto debe considerarse en la planeacin y en la seleccin
de la direccin del proyecto.
Los auditores deben determinar si utilizan un software de administracin de proyectos que se
use en otras funciones dentro de la organizacin. Esto puede proporcionar las ventajas en
apoyo y entrenamiento, y les puede dar movilidad dentro de la organizacin si tienen
experiencia con los sistemas de administracin de proyectos usados en otras partes dentro de
la organizacin.
e.
Base de Datos del Personal e Inventario de Herramientas
Una base de datos para el personal y el inventario de herramientas son elementos importantes
para la planeacin y proyeccin propios de la administracin de la auditora.
Una base de datos de esta naturaleza puede facilitar la programacin del entrenamiento y
experiencias necesitadas por auditores para su desarrollo profesional. Tambin puede resaltar
reas de debilidad dentro del personal que puede ser complementado por la contratacin de
servicios externos.
82
f.
Biblioteca de Referencia
Una biblioteca de referencia poderosa puede estructurarse en formato electrnico y estar

disponible para acceso local, porttil y/o remoto. Los recursos de informacin pueden incluir las
referencias de las asociaciones profesionales de auditores, normas de auditora, folletos de
gua y otros trabajos de la referencia o textos.
Los requerimientos y pautas para las actividades de auditora pueden estar disponibles en
formato electrnico, as como los manuales de referencia mantenidos por productos tcnicos
disponibles por parte de los vendedores comerciales.
Las polticas y procedimientos deben estar emigrando a, o ya pueden estar en formato
electrnico y disponible para el acceso por cualquier auditor que debe verificar procesos o otras
actividades contra las tales polticas y procedimientos. Los contratos, documentos legales y
cualquier otro cuerpo de volumen de papel voluminoso son candidatos buenos para la
migracin al formato electrnico. La tecnologa para crear y reproducir CD ROMs est
disponible y es relativamente barata.
Deben proporcionarse las formas, formatos, plantillas y cualquier otro artculo que pueden
simplificar o pueden disminuir esfuerzo del auditor individual en una biblioteca normal y tendr
el beneficio agregado de facilitar a todos los auditores del equipo las versiones ms actuales.
g.
Comunicaciones y Administracin del Conocimiento
Las comunicaciones son importantes tanto dentro de la auditora como con las reas de la
administracin atendidas por sta. Herramientas de comunicacin como groupware, el acceso
remoto a los sistemas, servicios de correo electrnico y traslado electrnico de archivos, han
mejorado significativamente la actuacin de la auditora. Pueden compartirse papeles de
trabajo de auditora, hallazgos, borradores del informe y otra informacin seleccionada para
permitirles a gerentes de la auditora inspeccionar trabajo en marcha y proporcionar
retroalimentacin inmediata.
Los auditores pueden acostumbrarse a comunicaciones electrnicas para compartir resultados
de auditoras en marcha con el propsito de reducir las sorpresas al final de la auditora. Esto
83
puede permitir a la direccin tomar acciones correctivas ms oportunas y responder a las

recomendaciones ms rpidamente. El resultado puede ser la preparacin ms temprana y
descargo de informes de la auditora. Y los informes pueden ser ms positivos cuando ellos
informan progreso en lugar de considerar slo los problemas.
h.
Presentacin
Las herramientas de la presentacin tienen tremenda funcionalidad ahora y estn ganando un

grado de sofisticacin que puede proporcionar comunicacin clara y poderosa de los resultados
de la auditora.
Es relativamente fcil de empotrar mapas electrnicamente, grficos, cuadros e incluso videos
en los archivos de trabajos de auditora y en las presentaciones. Las presentaciones pueden
entregarse personalmente o va email o mediante transferencia de archivos. El software para
las presentaciones puede proporcionar consistencia en calidad y puede agregarse al
profesionalismo global de la funcin de la auditora.
Una herramienta de la presentacin importante que gana popularidad con auditores es la
pgina web de la auditora. Bien sea va Internet o intranet, la pgina web de la auditora puede
ser una valiosa fuente para las relaciones pblicas, recopilando o anunciando informacin
como horarios de la auditora, reuniones, u otros eventos. En el futuro, las pginas web de
auditora pueden mantener una fuente segura casi para cualquier comunicacin o presentacin
de la auditora.
i.
Seguimiento de Resultados y Hallazgos
Cuando se implementan las recomendaciones de la auditora las organizaciones pueden ganar

fortaleciendo los controles internos, mejorando en economa, eficacia, u otras mejoras que
puede ser medidas y pueden informarse a la administracin superior como beneficios
derivados de los servicios de la auditora. Dependiendo de la cultura de la organizacin esto
pueden tomar la forma de un "valor-agregado" durante el proceso del presupuesto, o
simplemente podra ser testimonios de ejecutivos en la organizacin que recibi el beneficio de
mejoras.
84
Hay tambin por supuesto el lado negativo del seguimiento de resultados: cuando los cambios
no se llevan a cabo como se prometi y los auditores tienen que volver para investigar las
circunstancias. Hasta que los resultados de hallazgos estn resueltos deben permanecer en la
lista de seguimiento.
j.
Valoracin de la Satisfaccin del Cliente
Los auditores hoy estn debidamente interesados sobre la efectividad, calidad, y

profesionalismo en su trabajo, y continuamente mejorando su imagen profesional. La
retroalimentacin de las reas y las personas atendidas son un elemento importante de
administracin de la calidad. Muchos grupos de auditora piden manifestaciones formales de
sus clientes acerca del profesionalismo y valor de la auditora y la actuacin de auditores
individuales.
El software de satisfaccin de cliente debe mantener una base de datos de respuestas del
cliente y debe permitir la comparacin de cualquier auditora o actuacin del auditor contra los
niveles establecidos. Sin embargo, tambin debe tenerse el cuidado en considerar la
retroalimentacin del cliente porque algunas de las funciones de la auditora ms importantes
no pueden ser en absoluto populares con los clientes de la auditora.
k.
Entrenamiento y Educacin
El entrenamiento basado en computadora se presenta de muchas formas, desde las funciones

de ayuda hasta programas completos de entrenamiento e incluyen pruebas y retroalimentacin.
En algunos casos es posible obtener educacin de nivel universitario reconocido e incluso
ganar un grado usando programas de entrenamiento proporcionados va el Internet. Cada
organizacin de auditora debe evaluar las necesidades y disponibilidad de entrenamiento
basado en computadoras, considerando, entre otros criterios, la eficacia con que el auditor usa
y aplica tales herramientas de entrenamiento.
l.
Internet
Adems de los usos de Internet descritos con anterioridad, los auditores estn encontrando
que la "red" es una tremenda fuente de informacin disponible, en cualquier tiempo y lugar. Los
85
buscadores de Internet permiten encontrar informacin sobre cualquier tema. De hecho, es

fcil de conseguir demasiada informacin y no bastantes respuestas en la red y est resultando
clave el tener herramientas fuertes de rastreo y bsqueda de informacin importante.
Los auditores tambin pueden usar una pgina web para proporcionar un sistema de
informacin ejecutivo continuamente disponible. Tal uso de la pgina web involucrar un
compromiso significativo de recursos y slo debe emprenderse con una comprensin clara de
los costos esperados as como de los beneficios.
Las listas de correo electrnico y los grupos de discusin proporcionan un mtodo fcil para
mandar por correo preguntas o informacin a un grupo grande a travs del uso de comandos y
rdenes relativamente simples.
El uso de Internet tambin cambia rpidamente, de manera que el conocimiento y habilidades
en ste tpico resultan muy valiosos para la planeacin y realizacin de las auditoras. El
comercio electrnico en la red est creciendo rpidamente y ello tambin presenta muchos
nuevos riesgos a una organizacin.
4.2.1
Algunos
Ejemplos
de
Herramientas
Computadorizadas
de
Apoyo
la
Administracin de la Auditora.
A continuacin se presenta una breve caracterizacin de una muestra de herramientas
computadorizadas de apoyo a la administracin de la auditora. Se han considerado aquellas
que a nuestro criterio son ms conocidas en nuestro medio y que potencialmente pueden
resultar de inters para la Auditora de TI en el Ministerio. Complementariamente, en el Anexo 2
se presenta informacin sobre proveedores y direcciones.
Audit Builder V.2
Permite a las empresas implementar o mejorar la ejecucin de la auditora en mltiples
localidades, o implementar la Auto evaluacin de Riesgos y Controles (CRSA). Permite
construir modelos estndar diseados a la medida de los riesgos y controles de cada proceso
de la organizacin.
86
El sistema permite la Auditora Integral (Financiera, Operacional, de Sistemas, etc), con

programas de auditora paso a paso, o mediante el enfoque basado en la administracin del
riesgo. y la captura y administracin de la experiencia y conocimientos acumulados de los
auditores a travs del tiempo y su mejoramiento continuo.
Entre las ventajas que ofrece destacan: facilidad para la toma de decisiones, estandarizacin
de las evaluaciones y auditorias, mejorar la administracin de la experiencia y conocimiento
acumulativo de los auditores.
AuditJob
AuditJob le permite guardar los archivos electrnicamente para cada trabajo de la auditora en
un joblet que contienen tres tipos de objetos que corresponden a estos archivos - un archivo,
una copia dura o un paso. Un objeto puede ser un artculo en un programa de la auditora o en
un checklist.
El beneficio inmediato est en la eliminacin de muchos papeles de trabajo y los problemas de
transportarlos y guardarlos. AuditJob introduce plantillas estndar, programas de trabajo de
auditora, y listas del chequeo a muy poco costo. Tambin le permite al usuario adoptar un
nuevo estilo de trabajo electrnico, mediante la revisin electrnica de los papeles de trabajo y
crear en lnea un archivo centralizado de papeles de trabajo.
Audit. Masterplan
El Audit Masterplan (AMP)es cientficamente un diseo de cmputo basado en la valoracin de
riesgo, planificacin y sistemas de trabajo de los auditores internos, desarrollado bajo el
auspicio del Instituto Internacional de Auditores Internos para lograr un cumplimiento
satisfactorio de los objetivos de la auditora. Este ha sido usado con xito por centenares de
profesionales de auditora interna a lo largo del mundo.
Puede ayudarle a hacer un uso ms eficaz de los recursos escasos - tiempo, dinero y personal.
Una vez que usted identifica las unidades auditables y define factores de riesgo importantes, el
AMP va a trabajar para usted. El AMP ayuda en el enfoque de las reas de alto-riesgo, los
87
costos de la auditora y otros recursos, y le ayuda a un alto desarrollo de la calidad, y planea

una cobertura de auditora defendible para la presentacin a la alta direccin.
Audit Sentry
Audit Sentry es un sistema de administracin de la informacin, desarrollado por un equipo de
auditores internos expertos para apoyar el proceso completo de la auditora, desde la
planeacin, la ejecucin del trabajo el seguimiento de los resultados.
Ayuda a crear un esquema de informacin global que abarca un sistema de administracin de
la informacin compartido dentro de un ambiente del workstation. Es un sistema basado en
Lotus Notes.
Audit Sentry provee las herramientas efectivas de la administracin del riesgo, ahorra tiempo
y elimina redundancias, mejora la utilizacin de recursos del personal de auditora, y mantiene
a todos enfocados en los mismos objetivos y procedimientos.
GESIA 2000
GESIA es una herramienta integral para la realizacin, gestin y control de trabajos de
auditora. Destaca por su sencillez y conectividad con otros programas, permitiendo a los
responsables de la firma de auditora, realizar un control permanente y global sobre los papeles
de trabajo. Asimismo, permite mejorar la organizacin, por cuanto:
Normaliza papeles y referencias de trabajo.
Sistematiza la labor del auditor.
Modela los trabajos por tipos y sectores.
Prepara auditorias recurrentes.
Respecto a las mejoras que introduce a la gestin:
Introduccin de cuentas y saldos.
Preparacin y emisin de cdulas de trabajo.
Ajustes y reclasificaciones propuestos.
Sencilla navegacin a travs de todos sus mdulos.
Inclusin de comentarios y conclusiones.

88
Ms de 70 listados diseados (Cuentas, Financiacin, etc.).
Facilita el control del grado de avance de los trabajos, del cumplimiento de la programacin y
de la calidad de los procedimientos aplicados
Una de las caractersticas principales de GESIA 2000 es su flexibilidad tanto para adaptarlo a la
metodologa y sistemas de organizacin de cada firma o despacho de auditora, como para
cada trabajo o sector auditado. El mdulo de Intercambio de Datos, permite la transferencia
entre s, de cualquier tipo de informacin introducida en los ficheros de trabajo de GESIA 2000.
Los objetivos de este mdulo opcional de Intercambio de Datos pueden resumirse en los
siguientes:
Permitir la transferencia de estructuras contables (Cuentas, Cuentas Anuales, Estados
Financieros, Ajustes y Reclasificaciones, Cdulas Contables, Origen y Aplicacin de Fondos)

as como parametrizacin, textos o comentarios (Personal, Grupos, Areas, Archivos y Carpetas,
Referencias, Guas, Referencias de documentacin), para su utilizacin y/o incorporacin a
otras auditoras, evitando as la repeticin de tareas.
Facilitar la elaboracin de Masters sectoriales, al poder transferir de diferentes auditoras o
Masters, cualquier tipo de informacin introducida respecto a parametrizaciones, estructuras

contables, Referencias Guas y Documentacin.
Gestin Procesos Auditora (GPA).
GPA es un sistema que automatiza los flujos de trabajo y los documentos que intervienen en el
Proceso de Auditora.
En su diseo se han contemplado todos los componentes necesarios
para llevar a cabo la labor de auditora y su estructura est basada en tres pilares: El
Conocimiento del Area, El Proceso de Auditora y las Herramientas de Anlisis e Informacin.
Mdulos de GPA:
Universo Auditable.
89
Se establece un inventario completo de las auditoras que se pueden realizar definiendo las
reas en las que se divide la empresa para efectos de los estudios de Auditora y los tipos de
Auditoras.
Criterios
Fuentes de los criterios utilizados para sustentar el trabajo de Auditora estableciendo un ndice
de criterios por fuente e ndice de criterios por tema.
Formularios de Gestin
Mdulo que permite crear modelos de papeles de trabajo, modelos de observaciones

(debilidades, hallazgos, etc.) modelos de informes, modelos de notas al auditado, modelos de
cartas, memorandos, anexos, etc.
Recurso Humano
Perfil actualizado de los Auditores. Registro del conocimiento que posee y que va adquiriendo
cada auditor (estudios formales y empricos, etc), Experiencias de trabajo (experiencia sobre
cada intervencin del auditor).
Planificacin
Elaboracin de planes para cualquier perodo de tiempo. Anlisis de riesgos y presupuesto de

los recursos y su asignacin a los diferentes estudios. Programacin y ajustes a los programas
de trabajo.
Ejecucin
Preparacin de papeles de trabajo, actualizacin de la Agenda, desarrollo de los programas de

trabajo y preparacin y revisin de informes internos.
Comunicacin
Permite de forma visual y electrnica el manejo, control y seguimiento de todas las notas
emitidas y recibidas por la auditora.
Control absoluto de las notas pendientes.
Asegura el
control sobre el cumplimiento de las recomendaciones giradas por la Unidad de Auditora.
90
Anlisis de la Gestin
Indices de gestin, ndices de costos, ndices de debilidades e ndices del comportamiento

histrico de las unidades administrativas. Informes gerenciales y otros.
Algunos de los beneficios derivados que se obtienen del uso de este software de auditora son
los siguientes:
Elaborar planes y programas de auditora en forma electrnica y colaborativa, lo cual a su
vez permitir que stos se puedan mejorar y estandarizar.
Crear, mantener e identificar en forma oportuna los criterios internos y externos de auditora
relacionados con las leyes, normas, polticas y procedimientos existentes.
Mantener un inventario de los recursos humanos (auditores), tiempo disponible y recursos
materiales con que cuenta la Unidad de Auditora, que conlleve una mejor asignacin de las
labores o funciones de auditora. A su vez, facilita la evaluacin y definicin de necesidades de
stos recursos.
Establece la Gerencia del Conocimiento o Knowledge Managment dentro del
departamento de Auditora permitiendo que la experiencia y el conocimiento de sus personas

permanezca dentro de la empresa.
Permite tener una perspectiva completa sobre las auditoras por efectuar y sobre las que se
estn llevando a cabo.
Consulta rpida y efectiva del archivo permanente.
Ejecutar en forma colaborativa o aislada las tareas definidas para cumplir con los
programas de trabajo.
Controlar el avance de las auditoras en ejecucin.
Supervisin efectiva y oportuna sobre los estudios de auditora que se estn ejecutando.
91
Facilitar la emisin de informes de auditora, tomando como base los papeles de trabajo
electrnicos generados durante la ejecucin.
Administracin segura y centralizada de papeles de trabajo en Bases de Datos orientadas
al manejo de documentos, imgenes, sonido y vdeo.
Permite llevar un seguimiento efectivo de todas las recomendaciones emitidas por la
Auditora.
Risk Advisor 99
Permite estructurar la administracin de los riesgos especficos de cada organizacin y/o
procesos crticos por sus facilidades para identificar los riesgos en el contexto estratgico y con
base en las fuentes de riesgo y reas de impacto.
Aplica un esquema de administracin del riesgo consistente con la Norma 4360 de Nueva
Zelanda/Australia sobre Administracin del Riesgo.
La norma indicada mantiene una gua para el establecimiento y aplicacin del proceso de
administracin del riesgo que involucra la identificacin, anlisis, valoracin, tratamiento, y la
supervisin continua de los riesgos.
Es genrico e independiente de cualquier industria especfica o sector econmico. Recomienda
el acercamiento que debe ser considerado a cada paso del ciclo de vida y direccin de riesgo,
pero deja cada negocio para desarrollar maneras pragmticas de aplicar el ciclo de vida dentro
de sus condiciones actuales.
Risk Advisor 1999 proporciona al usuario:
La administracin del riesgo consistente con la norma AS/NZ 4360:1999.
Administracin de riesgo a travs de la habilidad del usuario para definir la estrategia

organizacional en el contexto de la direccin de riesgo especfico para la organizacin.
La identificacin de la matriz especfica de riesgo en el contexto de la estrategia.
La consolidacin y direccin de planes de accin y supervisin en una sola base de

datos.
92
La evaluacin del tratamiento y controles cuantitativos a travs de la frecuencia,

consecuencia y anlisis de efectividad.
Un retrato visual de riesgo a travs del graficacin en lnea.
Informes de alta calidad conforme con los requisitos comerciales individuales.
Provee un marco reconocido para implementar el manejo del riesgo.
Proporciona la clasificacin de la direccin de riesgo.
Permite que los riesgos y controles sean exportados e importados entre las revisiones
diferentes.
Proporciona la documentacin para cada fase del proceso de direccin de riesgo.
Es fcil al usar y navegar
Proporciona una interface paso a paso.
Proporciona un solo almacn de los datos.
Tiene ayuda en lnea.
Genera de documentos soportados en Microsoft Word.
4.3
HERRAMIENTAS INFORMTICAS DE APOYO FUNCION DE AUDITORIA DE TI
A continuacin se presentan los principales usos de herramientas computadorizadas como

apoyo a la funcin de auditora.
a.
Papeles de Trabajo electrnicos
La habilidad de requerir formas de la auditora regularizadas y formatos puede mejorar la

calidad y consistencia de los papeles de trabajo de auditora. La administracin de trabajos
actuales o archivados en un archivo o base de datos central puede hacer ms fcil para la
administracin de la auditora la coordinacin de las auditoras coexistentes y asegurar los
hallazgos de los proyectos relacionados.
Los sistemas expertos proporcionan una oportunidad de agregar mayor apoyo y funcionalidad
para las herramientas de papeles de trabajo de auditora. Por ejemplo, un sistema experto
puede evaluar respuestas a una encuesta y automticamente puede generar links a las
preguntas relacionadas adicionales. Los sistemas expertos tambin pueden buscar patrones en
informacin,
hallazgos,
recomendaciones
o de
93
auditoras
coexistentes
anteriores
proporcionan informes que indican las reas potenciales relacionadas o las reas sistmicas
del problema.
Como las herramientas de papeles de trabajo de auditora proporcionan la habilidad de incluir
informacin de soporte adems de texto o nmeros - como cuadros, sonido, video, etc., los
mtodos para organizar y proporcionar acceso a tal informacin deben adaptar a tal situacin.
En el futuro, los auditores podrn encontrar que las cantidades significantes de informacin
necesitadas en revisiones de la auditora pueden existir en formas diferentes del texto,
nmeros o caracteres grficos.
b.
Recuperacin de informacin y anlisis
Histricamente los auditores han confiado en muestras de transacciones para realizar sus
pruebas. Ahora, con el uso de recuperacin automatizada y herramientas del anlisis, es
normalmente ms fcil evaluar todos los archivos que evaluar una muestra. Ms all, los
auditores pueden poner parmetros en su software identificar todos los archivos que se
cumplen con determinado criterio de seleccin. La seleccin completa de archivos con
determinado tipo de error conocido puede eliminar el problema de "estimar" las proporciones
del error. En cambio, el anlisis del error puede enfocarse en esos archivos con datos que
estn fuera del rango de transaccin esperada pero todava dentro de las limitaciones de
condiciones del error definidas.
Pueden aplicarse tcnicas de muestreo a los archivos seleccionados del sistema de la
produccin, o pueden seleccionarse todos los archivos de un determinado tipo o aplicarse una
seleccin ms detallada en el proceso del anlisis.
El criterio de seleccin puede basarse en auditoras anteriores, pero los auditores deben
aprovechar las oportunidades de mejorar la cobertura de la auditora continuamentesobre
todo si esto puede lograrse sin incrementos importantes en los costos. La seleccin
automatizada y las herramientas del anlisis pueden facilitar mejoras, pero no asegurarn tales
mejoras automticamente.
94
c.
Software de recuperacin y anlisis
La recuperacin de informacin y herramientas de anlisis pueden presentar desafos tcnicos

importantes para los auditores en la medida en que la informacin sujeto a la auditora pueda
residir en diversos sistemas distribuidos con diferentes grados de control y estandarizacin.
Pueden guardarse datos bajo el control de diferentes tipos de mquinas y sistemas operativos,
usando diferentes formatos; puede moverse por ambientes de las telecomunicaciones que
usan protocolos diferentes; puede guardarse o puede ser archivado por varios sistemas de
administracin de bases de datos que usan campos de longitud fijos o variables o archivos y
sujeto a diferentes normas de bases de datos; e incluso puede residir en numerosas
ubicaciones fsicas como en una base de datos distribuido o ambiente de datawarehouse.
Los datos particularmente sensibles pueden estar slo disponibles en formato encriptado y
puede estar sujeto a las regulaciones gubernamentales con respecto a su transmisin,
almacenamiento, software de control, etc.
Muchos departamentos de auditora usan a los especialistas tcnicos para localizar y evaluar
fuentes de los datos y proporcionar las herramientas de software para extraer datos y
convertirlo en una forma que pueda ser usada por auditora en las herramientas analticas.
Como hay tantas formas y formatos para la informacin y tantos "normas" propietarias para el
almacenamiento de informacin, y como los ambientes de sistemas de informacin
frecuentemente cambian, puede ser necesario mantener especializacin tcnica significativa
entre los miembros de equipo de auditora responsable para el software de recuperacin de
informacin. Las personas con tal especializacin pueden ser difciles de reclutar o mantener, y
proporcionar entrenamiento al personal de auditora para desarrollar tales habilidades pueden
hacerlos muy apetecidos.
En algunas organizaciones o industrias la informacin se almacena segn normas
especificadas que frecuentemente no cambian, y pueden realizarse auditoras mltiples en
informacin en un formato comn. En tales casos pueden mantenerse bibliotecas de los casos
de rutinas de recuperacin de informacin, que pueden llamarse y ser ejecutadas por cualquier
auditor. En otras organizaciones la frecuencia de cambio puede ser mayor que la frecuencia de
95
auditoras y la preparacin de rutinas de software de recuperacin puede impedir el uso de

rutinas pre-programadas.
Una vez que la informacin es almacenada en una forma utilizable por las herramientas
analticas de auditora, los auditores con grados variantes de especializacin tcnica realmente
pueden realizar y repasar los resultados del anlisis. Muchas herramientas de software de
oficina como las hojas de clculo o bases de datos pueden accesar y analizar informacin
almacenada en un formato ODBC.
Algunas organizaciones de auditora no slo mantienen rutinas automatizadas para la
recuperacin de informacin y anlisis, sino que ellos despliegan tal software va las
telecomunicaciones permitir revisiones de sistemas remotos sin el tiempo y gastos de viaje del
personal.
La acumulacin de informacin sobre los datos comerciales encima de un periodo de tiempo
puede permitir al software del anlisis identificar modelos, cambios, o tendencias en los datos
que indican cambios en el negocio, el ambiente comercial, la base del cliente, la economa, etc.
Esos patrones pueden ser importantes para la planificacin de negocio y ventaja competitiva, y
puede ser realizado por grupos externos al equipo de auditora. Sin embargo, si el anlisis de la
auditora reconoce tales modelos entonces los auditores pueden proporcionar una valiosa
contribucin a la organizacin.
d.
Tendencias en Recuperacin de Informacin y Anlisis
Una tendencia en recuperacin y anlisis de informacin por parte del auditor es incluir mayor
inteligencia en el software de auditora o monitoreo incorporado en sistemas comerciales y
redes. Cuando los auditores identifican elementos de riesgo y desarrollan software para
descubrir errores o las transacciones sospechosas, o los modelos de los datos raros, resulta
relativamente simple incorporar esas pruebas en los sistemas de la produccin. En tales casos,
los auditores pueden informarse poco despus de errores o cambios en modelos de los datos.
Los auditores pueden visualizarse como usuarios de un sistema en desarrollo en la medida en
que identifican y plantean sus propios requerimientos en cuanto a la generacin de interfases o
facilidades para obtener informacin. En lugar de funcionar como especialistas en control en el
96
equipo de diseo y desarrollo, ellos funcionan como cualquier otro usuario del sistema o
representante de una interfase del sistema. Los auditores especifican los criterios de seleccin
de registros y datos as como cualquier rasgo especial como la habilidad de modificar, extender
o suspender el monitoreo del sistema.
En el futuro, la lgica usada por auditores rastrear transacciones y eventos hacia delante y
hacia atrs dentro de los sistemas de la computadora, redes, y archivos ser probablemente
incorporada en sistemas sensibles. Entonces transacciones sensibles que fluyen a travs de
los sistemas pueden llevar con ellos informacin sobre la fuente de las transacciones y todas
las rutas tomadas a travs de procesamiento, redes, o archivos. Tales "etiquetas de la
auditora" sern muy tiles en el caso de transacciones monetarias como procesamiento de
pagos o transferencias de fondos y proporcionar la informacin para descubrir o detener
fraudes.
Con los costos decrecientes y las nuevas capacidades del procesamiento de informacin,
sistemas del almacenamiento y medios de comunicacin, est resultando cada vez ms
factible la captura y archivo de informacin sensible en los todos los puntos de entrada,
procesamiento, transferencia o almacenamiento. De esta forma se podr dar seguimiento a los
cambios que se aplican a los datos a lo largo de su ciclo de vida. As las apreciaciones de
integridad de informacin en el futuro podran ser basadas en complejos anlisis de los datos y
sustituir al anlisis de control cuando se encuentran anomalas. Esto es lo opuesto de cmo se
aplican apreciaciones de la auditora tradicional y pueden requerir alguna reingeniera del
proceso dentro de la profesin de auditora.
e.
Informes de auditora
Algunas herramientas de auditora hoy en da proporcionan vinculacin automtica entre

trabajo realizado, la informacin extrada, valoraciones del auditor, y la informacin utilizada o
de soporte a los informes de la auditora. Los papeles de trabajo inteligentes pueden identificar
respuestas en encuestas de control interno que reflejan debilidades reales o potenciales y
automticamente preparar una seccin en el informe de la auditora para documentar la
debilidad o resolucin del problema.
97
Los software de apoyo a los reportes de auditora tambin pueden proporcionar informacin
automticamente sobre las secciones de auditoras realizadas por auditores individuales
conforme se van completando, de manera
que el supervisor de la auditora conocer
permanentemente el estado de los proyectos de la auditora. Tales reportes le permitirn al

supervisor concentrarse en procesos de la auditora que indican problemas y/o proporcionar
recursos adicionales en reas que se quedan atrasadas.
El informe de la auditora puede contener links a los documentos de trabajo, hojas electrnicas,
grficos u otra informacin que se pondrn al da automticamente segn cambien los datos.
Los archivos del informe pueden ser compartidos por miembros de equipo de auditora y
direccin llevando a cabo controles simples como accesos de solo lectura para aquellos que
no estn autorizados para cambiar los archivos.
Los informes de auditora pueden distribuirse en formato electrnico va el email, transferencia
de archivos o una pgina web de la auditora. En tales casos los auditores deben asegurarse
de contar con la seguridad apropiada, confidencialidad y controles de acceso a tales informes.
La tecnologa de encriptamiento est desarrollndose rpidamente y se volver el mecanismo
normal para garantizar la integridad del mensaje, y la autenticacin del remitente y del receptor
as como del control de acceso.
f.
Entrenamiento basado en computadores
El entrenamiento incorporado y rasgos de ayuda son incluidos en la mayora las herramientas

de software de auditora hoy en da. Muchos proveedores del software y otras organizaciones
ofrecen entrenamiento genrico y especfico para el uso de herramientas del software. Pero el
entrenamiento basado en la computadora puede ampliar el mbito de la auditora as como de
las actividades objeto de auditora y no debe ser limitado a las experiencias anteriores. El
entrenamiento puede ser informal y automotivado, o puede ser un elemento formal de
administracin de la auditora que proporciona retroalimentacin al aprendiz y a la direccin.
En el contexto de entrenamiento basado en computadora como una herramienta de la
auditora, es ms probable que deba ser auto motivado. Puede limitarse por el tiempo y las
herramientas disponibles, la velocidad a la que las herramientas operan, o la energa e
imaginacin del auditor. Por ejemplo, si los auditores no tienen acceso a internet entonces no
98
pueden utilizarla para buscar informacin. Si su camino de acceso es lento, entonces los
requisitos de tiempo pueden sobrepasar rpidamente el valor recibido y reducir el entusiasmo
del auditor por tal aprendizaje. Si los auditores de viaje no tienen acceso remoto a sus archivos
centrales o email, entonces ellos no pueden investigar la historia de la auditora y no pueden
usar un servidor de la lista para buscar apoyo de otros ante un problema o pregunta.
Finalmente la direccin de la auditora y por supuesto el presupuesto, determinar el juego de
las herramientas que se proporcione a los auditores, pero los auditores sern los que
determinen qu tan eficazmente se usen las herramientas. El entrenamiento deber enfocarse
en cmo buscar y aprender nueva informacin y acercamientos, no slo cmo realizar tareas
previamente definidas o usar facilidades del software disponible.
g.
Seguimiento de tiempo
En algunos casos, puede ser posible utilizar los relojes internos del sistema para grabar el
tiempo que los auditores gastan usando sus computadoras y rastrear el tiempo dedicado a los
proyectos individuales. Tambin puede ser pertinente grabar el tiempo y los recursos usados
por programas cuando ellos procesan para los propsitos de proyectos de la auditora
especficos. Eventualmente los rastreos automatizados de recursos se volvern la norma, pero
hoy en da principalmente
se utilizan para proporcionar insumos para el proceso de
administracin.
Un sistema de administracin de auditora puede proporcionar un detallado y resumido anlisis
de productividad y otros parmetros requeridos para lograr una eficiente administracin de la
auditora. El seguimiento del tiempo y su informacin pueden ser elementos del sistema de
administracin de proyectos anteriormente
descrito, y pueden usarse para evaluar el
desempeo, estimar requerimientos de tiempo por fijar y otras herramientas relacionadas para
su mejor utilizacin.
99
4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la funcin de

Auditora de TI
A continuacin se presenta una descripcin general de algunas de herramientas
computadorizadas de apoyo a la funcin de auditora. Se incluye una muestra de aquellas que,
a criterio de los autores, son las ms utilizadas en nuestro medio y pueden ser de inters a los
efectos de la labor de la Auditora de TI en el Ministerio. Como complemento a la informacin
que se presenta, en el Anexo 2 se incluye informacin sobre otras herramientas as como las
referencias generales de proveedores de las mismas.
ACL Para Windows
ACL para Windows es reconocido mundialmente como el lder en tecnologa para el acceso y
anlisis de datos y la generacin de reportes. Permite convertir datos en informacin
significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su
organizacin.
ACL puede usarse eficazmente para:
Identificar tendencias, sealar excepciones y destacar reas que requieren

atencin
Localizar errores y fraudes potenciales, mediante la comparacin y el anlisis de

archivos segn los criterios especificados por el usuario.
Volver a calcular y verificar saldos.
Identificar problemas de control y asegurar el cumplimiento de las normas.
Analizar y determinar la antigedad de las cuentas por cobrar, cuentas por pagar u
otras transacciones a las que afecta el tiempo transcurrido.
Recuperar gastos o ingresos perdidos, detectando pagos duplicados, secuencias

numricas incompletas en la facturacin o servicios no facturados.
Detectar relaciones no autorizadas entre el personal de la empresa y los

proveedores y miles ms.
A continuacin se destacan algunas de sus principales caractersticas.
Funcionalidad incorporada de auditora

100
El software ACL para acceso, anlisis de datos y generacin de informes posee abundantes
funciones especficas para la auditora: desde comandos tales como GAPS (Faltantes),
DUPLICATES (Duplicados) y STRATIFY (Estratificar) hasta el importante log de comandos o el
historial detallado del proceso. La funcionalidad incorporada de revisin de cuentas le permite a
auditores y contadores, sin experiencia tcnica o de programacin, realizar rpidamente
anlisis e informes sobre datos financieros.
Capacidad de anlisis interactivo.
Analiza datos de manera interactiva y obtiene resultados inmediatos mientras aplica una
metodologa de auditora e investiga las excepciones en cualquier momento.
Alta capacidad y velocidad.
Ofrece las ventajas de la capacidad de tamao ilimitado de archivo y su velocidad para

procesar rpidamente millones de transacciones, asegura una cobertura del 100% y una
confianza absoluta en sus resultados.
Facilidad de uso.
Realiza un anlisis rpido e independientemente de su departamento de SI (sistemas de

informacin), con la facilidad de uso de la interfaz de ACL; se puede extraer mens, barras de
herramientas y sealar y seleccionar comandos. Las innovaciones tales como el procesamiento
de archivos de entrada mejorado y el selector de fechas simplifican la funcionalidad en ACL.
Anlisis universal de datos.
El Asistente de definicin de datos fcilmente selecciona, identifica y da formato a los datos,

acelerando su acceso a las capacidades de anlisis y generacin de informes de ACL. Puede
usarse para leer y analizar virtualmente cualquier tipo de datos de cualquier entorno de
cmputo, incluyendo datos de bases de datos en conformidad con ODBC, archivos de informe
de longitud variable, archivos privados de SAP R/3, archivos tradicionales, archivos de
informe y muchos ms.
Procesamiento de archivos mltiples.
Relaciona y trabaja simultneamente con varios archivos, para hacer anlisis e informes an
ms completos.
101
Informes de alta calidad.
Produce informes de lneas mltiples fciles de entender para apoyar los hallazgos. Permite el
diseo para ver previamente y modificar sus resultados en pantalla con la facilidad de arrastrar
y colocar. Enva por correo electrnico notificaciones automticas de los resultados de los
anlisis en apoyo a metodologas de auditora especficas. Asimismo permite crear informes en
HTML para su publicacin en el Internet o en la intranet de la organizacin.
Detalle integral del trabajo realizado.
Permite revisar o imprimir en cualquier momento, un historial completo de los archivos, pasos y
resultados
AuditorsSoftware Toolset (AST)
Es una solucin integral, compuesta por un conjunto de tres productos que permiten la
automatizacin de cualquier tipo de evaluacin y auditora.
Ranking Advisor: Permite el modelo de riesgos y la valoracin y clasificacin por nivel de

riesgo del universo auditable. Automatiza cada etapa del proceso de auditora (Planeacin,
Diseo del Programa, Ejecucin de las Pruebas, papeles de Trabajo, supervisin, informes,
seguimiento, etc.)
Pro audit. Advisor v.2.: Mejora la valoracin y evaluacin detallada de los riesgos y
controles. Permite un proceso de evaluacin/auditora, consistente con modelos de control
interno internacionales(COSO, COCO, Cadbury), desagregando las reas de acuerdo a la
estructura real de cada organizacin. Permite crear o vincular a la evaluacin / auditora, la
documentacin y papeles de trabajo externos electrnicos (Word, Excel-PowerPoint) como
soporte y evidencia del trabajo.
COBIT Advisor, provee a las organizaciones una herramienta automatizada para evaluar y/o
auditar, de manera gil y consistente el cumplimiento de los objetivos de control y controles
detallados, que aseguran que los procesos y recursos de Informacin y Tecnologa
contribuyan al logro de los objetivos de negocios.
102
Funcionalidad
La Evaluacin y Mejoramiento del Sistema de Control basados en estndares

internacionales.
La Auditora Integral (Financiera, Operacional, de Sistemas, etc), con programas de

auditora paso a paso, o mediante el enfoque basado en la administracin del Riesgo.
La captura y administracin de la experiencia y conocimientos acumulados de los

evaluadores y auditores a travs del tiempo y su mejoramiento continuo.
Barefoot Auditor ( PC)

Este sistema de auditora no requiere de una base de datos de productos y archivos para
reconocer su instalacin de software. No exige el entrenamiento costoso para reconocer los
productos y nunca estar fuera de fecha.
Cada nuevo producto, cada nueva versin se identifica automticamente. Todo el sistema corre
igualmente bien en las mquinas autosuficientes y PCs conectadas a una red de computadoras
y puede grabar sus datos al diskette, disco duro o servidor. El sistema viene completo con
funciones para unir cualquier nmero de auditoras, un generador del informe sofisticado y
herramientas de mantenimiento de datos. El paquete entero puede correrse desde DOS o
Windows.
Idea 2001
Permite a los usuarios mejorar la eficacia y efectividad en sus tareas de anlisis de datos.
IDEA 2001 ofrece a los usuarios las siguientes funciones:
Agregar campos editables y etiquetas del manual - agregar comentarios o un valor

asignado a un campo, o indicar su status.
Con un doble click en una columna ordenar alfanumricamente, por fecha o por orden
numrico.
Estadsticas de nuevos datos y funciones duplicadas
Extraer resultados y grficos con un doble click en una fila o en una parte del grfico, y
trabajar los datos subyacentes.
103
Los usuarios de IDEA participan activamente para el desarrollo del producto a travs de grupos
de usuarios, suministro de e-mail y a travs de la red de distribucin global de Idea.
IDEA 2001 permite a los usuarios leer, desplegar, analizar, manipular, o extraer una muestra de
los datos archivados en casi cualquier fuente - mainframe o PC, incluso informes impresos a
un archivo. IDEA extiende el alcance del auditor o analista proporcionando funciones nicas y
caractersticas no encontrados en software genrico y les da el poder a los usuarios para bajar
el costo de trabajo de la auditora, refuerza la calidad a su trabajo y asume nuevos papeles.
CMM Advisor
Capability Maturity Model (CMM)Advisor es la herramienta automatizada para ayudar a los
negocios a desarrollar y mantener efectivos procesos de software.
CMM asiste a las unidades comerciales uniendo el desarrollo y mantenimiento del proceso de
software. CMM ha sido desarrollado por el Instituto de Ingeniera de Software (SEI) para
proporcionar una referencia al negocio con benchmarck para el proceso de TI. Est diseado
para usarse en los negocios, involucrado planeamiento, diseo y desarrollo del software.
COBIT Advisor
COBIT Advisor 3rd Edition brinda al usuario:
Un proceso consistente para evaluar la administracin y el control de TI.
Un patrn de comparacin (benchmark) reconocido para la administracin y el control

de TI.
Revisiones enfocadas mediante seleccin de los procesos ms relevantes, los criterios

de informacin y los recursos de TI.
Informes de alta calidad a medida de los requerimientos particulares del negocio.
Una representacin visual de la evaluacin mediante graficacin en lnea.
Comparacin grfica y elaboracin de informes sobre las evaluaciones realizadas del

negocio y en el tiempo.
104
Es utilizado por los auditores, los consultores de negocios y los responsables de los procesos
del negocio.
COBIT Advisor 3rd Edition se caracteriza por:
Contar con una base de datos de 34 procesos, 318 objetivos de control y 374
guas de auditora.
Brindar pistas en los procesos.
Asegurar cobertura.
Brindar revisiones ms enfocadas mediante diferentes vistas.
Brindar la generacin de un programa de auditora a la medida.
Facilitar la administracin de auditora mediante registro de observaciones, su

clasificacin y filtrado.
COBIT Management Advisor

Es una herramienta automatizada de valoracin para la administracin y control de TI. COBIT
Management Advisor proporciona al negocio una herramienta de autovaloracin por medio de
la evaluacin del proceso TI contra el esquema de COBIT.
La aplicacin le proporciona a los usuarios cinco puntos de valoracin para cada uno de los
318 objetivos de control detallados.
COBIT Management Advisor est diseado para la
direccin de TI, para evaluar sus procesos contra las mejores practicas de la industria. La
aplicacin le permite a los gerentes de TI realizar una valoracin para identificar si se cuenta
con efectivos controles y tomar acciones correctivas, sin la necesidad de un experto
independiente.
Crystal Reports
Crystal Reports accesa ms de 30 fuentes de datos, tiene capacidades de anlisis de datos y
opciones de tipo de informe. Adems, su plan modular permite usar Cristal Reports Engine
para integrar informacin en las aplicaciones del banco de datos y distribuido con un runtime
libre.
Este sistema es usado por profesionales comerciales que quieren informar o preguntar
directamente de una fuente de los datos, por profesionales en sistemas de informacin que
necesitan proporcionar informes a los usuarios comerciales, y por los vendedores del software
105
independientes, diseadores del software corporativos y VARs que necesitan incluir

informacin en aplicaciones del banco de datos.
La arquitectura asegura la respuesta a tiempo y reduce el trfico de la WEB. Los usuarios
simplemente escogen el browser que ellos prefieren, y los este software hace el resto. Puede
integrarse directamente al Active Server Pages.
Ctrain
El Instituto de Certificacin de Entrenamiento ha completado la primera misma herramienta de
autovaloracin totalmente probada para ISACA, que liber los Objetivos de Control para la
Informacin y Tecnologas Afines, o COBIT.
Esta herramienta es aplicada por los profesionales en Sistemas de Informacin y Controles
para evaluar el nivel de cumplimiento de los estndares sobre objetivos de control publicados
por la Asociacin de Auditores de Sistemas de Informacin y Control (ISACA) - normas que
sirven de base para el control de los sistemas de informacin y los profesionales de la
auditora. Esta herramienta de valoracin incluye una apreciacin global del producto de
COBIT, su pertinencia a los sistemas de informacin
y del control, lista cinco niveles de
cumplimiento para cada uno de los objetivos de control publicados, una hoja de clculo que
sumariza un subtotal y total del nivel numrico de cumplimiento y una explicacin de cmo
usarlo.
Data Explorer
Fue diseado atendiendo los principios para facilitar las aplicaciones del cliente/servidor,
capitalizar la arquitectura de la computadora moderna. Data Explorer se caracteriza por su
velocidad, flexibilidad, combinadas con la facilidad para usar interface visual. Data Explorer
est aplicado en cualquier situacin donde se presente la necesidad de explorar cantidades
grandes de datos de una manera flexible y representar los resultados en una forma grfica.
Examine
Es el lder de industria en MVS de verificacin y auditora de la integridad de los en sistemas en
operacin, el cual es crtico para la seguridad y confiabilidad de sistema CA-examine ayuda a
identificar y controlar las exposiciones de seguridad de MVS, virus, puertas de trampa, caballos
106
de troja y bombas de lgica que pueden destruir la seguridad de produccin y pueden engaar
los mecanismos de seguridad. A travs del uso de tcnicas especialistas del sistema y una
interface del idioma ingls, CA-examine al instante proporciona informacin que es difcil o
imposible de obtener de otras fuentes.
Tambin identifica problemas potenciales, hace sugerencias y contesta preguntas. CA-examine
apoya la nueva Interface de Comprobacin de Producto (PVI) que establece traceability de
productos de software de sistema e identifica requisitos de la instalacin apropiados para un
nmero creciente de Computadora Socios sistemas productos.
El anlisis de CA/Examine y funciones del despliegue ahorran valioso tiempo por los datos
centre a gerentes, administradores de seguridad, personas de los funcionamientos, el personal
de conviccin de calidad y otros que necesitan saber MVS sistema opciones actuales,
parmetros e informacin de estado.
Rat-Stats
Es un paquete de herramientas del software estadsticas diseadas para ayudar al usuario a
obtener muestras al azar y evaluar los resultados.
De una versin inicial con cuatro mdulos de la apreciacin y tres programas de utilidad, el
paquete ha crecido incluir siete mdulos para generar nmeros al azar, diecisis mdulos para
estimar resultados de la muestra, y cuatro mdulos que proporcionan datos las utilidades
relacionadas.
RAT-STATS es la herramienta primaria de auditora estadstica usada por la Oficina de
Servicios de la Auditora en la Seccin de Salud y Servicios Humanos.
El software estadstico ha sido usado por la Oficina del Inspector General desde principios de
aos setenta. Con la llegada de las microcomputadoras se tiene la oportunidad de mover el
software estadstico de los sistemas para mainframe. Los programas se han evaluado y
certificado independientemente.
Una apreciacin global de RAT-STATS se present a la 1991 Conferencia de Desarrollo
Profesional patrocinada por la Asociacin de Cuentas Gubernamentales (AGA). El paquete se
107
ha anunciado subsecuentemente y ha sido distribuido por el AGA. El paquete es usado ahora

por organizaciones de auditora alrededor del mundo.
4.4
ELEMENTOS
PARA
UNA
DECISIN
SOBRE
HERRAMIENTAS
COMPUTADORIZADAS
A continuacin se plantean algunos elementos que a nuestro criterio deben ser considerados a
los efectos de la toma de decisiones sobre la adquisicin de herramientas computadorizadas
de apoyo a la administracin y a la Auditora de TI en el campo del control y la auditora ( tanto
para su administracin como para el desarrollo de sus funciones).
4.4.1 Situacin Actual de TI en la Direccin General de Auditora Interna.

En primer trmino se describe un breve diagnstico de la situacin actual en cuanto a
disponibilidad de facilidades de tecnologa de la informacin en la Direccin General de
Auditora Interna del Ministerio de Hacienda.
Acceso a internet: Desde enero del ao 2000 todos los funcionarios tienen acceso a internet,
con la particularidad de que nicamente se dispone de 12 puertos para estaciones de trabajo
del personal, de manera que, considerando la plantilla ideal, se tiene un faltante de 6 puertos
para que todo el personal pudiera accesar internet simultneamente. Esta facilidad ha
permitido tener acceso a documentos e informacin de organizaciones especializadas en el
campo del control y la auditora.
Pgina web. La auditora tiene su pgina web como parte del sitio web del Ministerio de
Hacienda. Hasta ahora dicha pgina nicamente dispone de informacin de carcter general
sobre la dependencia y la lista de los diferentes informes generados anualmente a partir de
1998.
Correo electrnico: Actualmente todo el personal tiene su cuenta de correo electrnico. En
virtud de la limitacin de puertos ya comentada, uno de los funcionarios debe accesar su
cuenta desde la computadora de un compaero. Aunque se ha empezado a utilizar como
108
medio de comunicacin con otras instancias, en sentido estricto no se ha sustituido plenamente

la comunicacin formal mediante oficios. Algunas gestiones y asesoras, como solicitudes de
informacin para seguimiento del cumplimiento de recomendaciones disposiciones y
advertencias sobre debilidades de control, se realizan utilizando esta herramienta.
Software: En cuanto a software, nicamente se dispone de las herramientas de oficina
bsicos: procesador de palabras y hoja electrnica. Asimismo se cuenta con Microsoft Proyect
como software especializado de administracin de proyectos y recientemente se recibi una
capacitacin bsica en el uso de sta.
Hardware: El equipo de cmputo disponible en la actualidad es el siguiente:
2 microcomputadoras porttiles de 32 MB memoria RAM
11 estaciones de trabajo, clasificadas segn memoria RAM de la siguiente

manera:
1 de 128 MB
6 de 64 MB
1 con 32 MB
3 con 16 MB
1 servidor de red de 64 MB RAM, el que por razones tcnicas no ha sido

utilizado como tal.
4 Impresoras.
Como se desprende de lo indicado, la Direccin de Auditora Interna, desde el punto de vista de

equipo y herramientas de TI, se encuentra en una situacin deficitaria, especialmente por las
limitaciones de memoria de algunas de las microcomputadoras utilizadas, las limitaciones de
puertos de conexin a red y la no disponibilidad de software especializado.
4.4.2 TI en el Ministerio de Hacienda
En la seleccin de herramientas debern considerarse algunos aspectos de carcter
institucional que de una u otra manera establecen restricciones o requerimientos para lograr
una mayor efectividad de la labor de la auditora.
109
Estndares y lineamientos establecidos
En la seleccin de herramientas se debern considerar los estndares establecidos por el

Consejo de Informtica, especialmente en el sentido de que las que las herramientas de
auditora puedan interactuar con las bases de datos que el Ministerio ha seleccionado.
Asimismo debe tomarse en cuenta el contrato corporativo suscrito con Microsoft.
Debilidades institucionales en el ambiente de control.
Las debilidades del ambiente de control en el Ministerio han sido apuntadas tanto por la
Direccin General de Auditora Interna como por la Contralora General de la Repblica, siendo
evidente la necesidad de un esfuerzo por parte de la Administracin para establecer y
perfeccionar los sistemas de control en la gestin de los recursos de TI. Para estos efectos es
importante el uso de una herramienta que oriente las acciones segn las mejores prcticas en
sta rea y adems promueva la autoevaluacin. Lo anterior se considera una condicin
necesaria para que la evaluacin independiente que corresponde realizar a la auditora
agregue valor y contribuya al fortalecimiento de los controles.
4.4.3 Modelo metodolgico recomendado para la auditora
El modelo metodolgico operativo recomendado en el captulo 2, denominado Objetivos de
Control para la Informacin y Tecnologas Afines (COBIT por sus siglas en ingls), tiene como
una de sus fortalezas el desarrollo de herramientas automatizadas tanto para la administracin
como para la auditora, lo cual evidentemente deber considerarse en la seleccin de las
herramientas automatizadas de apoyo a la auditora.
4.4.4 Proceso de Creacin y Desarrollo de la Auditora de TI
La adquisicin de herramientas deber guardar relacin con la estrategia de desarrollo de la
Auditora de TI que se desarrollar en el siguiente captulo, debiendo darse prioridad a aquellas
herramientas que apoyen los esfuerzos que se desarrollarn en las primeras etapas. Esto
resulta de especial relevancia considerando la rpida evolucin que en este campo se da, de
tal suerte que no se justificara adquirir herramientas que no se van a utilizar a corto plazo ya
que versiones posteriores de la misma podran adquirirse a un mejor precio e incorporar
facilidades adicionales.
110
4.4.5 Requerimientos de Hardware

Las herramientas computadorizadas podran requerir de la adquisicin de equipo de computo
adicional, lo cual debe ser valorado a la luz de la disponibilidad de recursos y los costos y
beneficios que pueden generarse.
4.5 PROPUESTA DE HERRAMIENTAS COMPUTADORIZADAS
No ha sido el propsito del anlisis realizado llegar a seleccionar herramientas especficas, ya
que ello conllevara un anlisis de mayor profundidad de cada una de ellas en relacin con las
necesidades especficas para el desarrollo de la Auditora de TI en el Ministerio, por lo que no
fue considerado dentro del alcance de la presente investigacin.
No obstante, considerando los elementos planteados en el apartado anterior pretendemos
plantear orientaciones sobre las prioridades en cuanto a herramientas computadorizadas
requeridas para la implantacin de la Auditora de TI en el Ministerio, salvo en el caso en que
dichos elementos conlleven la seleccin de una herramienta especfica.
4.5.1 Herramientas de Apoyo a la Administracin de la TI
La adquisicin de herramientas que fomenten la cultura de control y faciliten el cumplimiento de
las responsabilidades de control que le corresponden a la administracin es una de las
prioridades evidentes, especialmente considerando las debilidades que han sido planteadas en
el diagnstico realizado en el Proyecto Integrado I.
Por otra parte, considerando el modelo metodolgico de Auditora de TI que ha sido propuesto
en el captulo 2, el cual tiene la particularidad de contar con soporte computadorizado para la
Administracin, se considera necesario contar con la herramienta COBIT, en este caso la
COBIT Management Advisor, cuyas caractersticas ya fueron planteadas en trminos generales
en el punto 4.3.1.
Para mejor provee,r a continuacin se presentan con mayor detalle las principales facilidades
que ofrece a la Administracin para el control de la gestin de la TI.
111
Soporta consolidacin multinivel, permitiendo la comparacin de reas de la misma

organizacin y en el tiempo.
El sistema de alerta facilita el seguimiento de las reas que ameritan mayor atencin.
Puede ser modificado para atender los requerimientos especficos de la organizacin.
Proporciona facilidades de reportes y graficacin tanto ad-hoc como estandarizados
para las diferentes etapas del proceso de auditora.
Est basado en Windows, siendo muy amigable y fcil de aprender para el usuario.
Tiene capacidad de funcionar va intranet/internet.
Permite ajustar su anlisis incorporando aquellas partes del marco de referencia de
COBIT que resulten relevantes para el caso especfico.
Adicionalmente, en virtud de las limitaciones de recursos se considera de gran necesidad
contar con una herramienta que permita valorar y administrar los riesgos, para lo cual se
presentaron varias alternativas en el punto 4.3.1, que tendran que ser analizadas con mayor
detalle por la Administracin al tomar la decisin.
4.5.2 Herramientas de Apoyo a la Administracin de la Auditora
Para una adecuada administracin de los recursos de la auditora se considera necesario
disponer de una herramienta que permita la administracin integrada de stos. Esta facilidad
busca que los escasos recursos se puedan concentrar en la labor sustantiva y menos al control
y administracin de los recursos.
Para tal efecto conviene recordar las diferentes herramientas, de manera que la solucin que
se adquiera incorpore la mayor cantidad de stas en un software integrado:
Anlisis de riesgo.
Inventario del universo de la auditora
Administracin de Proyectos y seguimiento de auditoras
Bases de datos del personal y Inventario de Herramientas
Biblioteca de la Referencia
Comunicaciones
Presentaciones
112
Seguimiento de Resultados / Hallazgos
Valoracin de Satisfaccin del cliente
Entrenamiento y Educacin
4.5.3 Herramientas de Apoyo a la Funcin de Auditora

Como apoyo a la funcin de auditora de TI es necesario contar con una herramienta que por
una parte sea congruente con el modelo metodolgico operativo y que como herramienta
ofrezca ventajas y facilidades para su utilizacin. En ese sentido, tal y como se mencion en el
captulo 2, una de las ventajas del modelo COBIT es que se han desarrollado herramientas
computadorizadas para su aplicacin, en este caso el COBIT Advisor, ya descrita en el
apartado 4.3.1 de este documento, ha sido desarrollado por la firma Methodware en estricta
coordinacin con ISACA. Por otra parte, como herramienta ofrece destacadas facilidades para
los auditores de TI, tales como:
Un proceso consistente para evaluar y auditar la gestin y control de los sistemas de TI.
Un benchmark reconocido para la gestin y control de sus sistemas de TI.
Revisiones focalizadas mediante la seleccin de los dominios, procesos, criterios de

calidad de la informacin y recursos de TI, relevantes en el plan de cada auditora.
Permite realizar las auditoras en tres (3) niveles: Alto Nivel Gerencial (Dominios /
Procesos), detallado de los Objetivos de control, y detallado con las Guas de Auditora
(pasos del programa).
La identificacin e implementacin de objetivos de control y guas de auditora, basadas

en estndares de mejores prcticas y brindar un mayor valor agregado.
Generacin automtica de diferentes tipos de informes y emisin grficos que facilitan

la interpretacin de los resultados.
Interfase grfica de diseo muy amigable, tal y como se puede apreciar en el anexo 3.
Asimismo, considerando la realidad institucional, se pueden identificar elementos adicionales a

favor de la herramienta propuesta:
Es compatible con los estndares institucionales para sistemas operativos.
Facilita la incorporacin a los informes de aspectos de inters no necesariamente

cubiertos en alguno de los objetivos de control considerados por el modelo.
113
Es una herramienta que est siendo utilizada y considerada como referencia til por
otras auditoras internas de instituciones pblicas, como la del Banco Nacional de Costa
Rica, el Banco Central de Costa Rica y la Compaa Nacional de Fuerza y Luz.
114
Captulo 5 Plan operativo para la Introduccin de la Auditora de TI
CAPITULO 5
PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI
En este captulo se presenta el plan para la puesta en prctica de los elementos planteados en
los captulos anteriores. Inicialmente se presentan las consideraciones de carcter general que
de una u otra manera inciden en el plan. Posteriormente se muestran los elementos que
componen el plan y el detalle de las tareas para un periodo de 2 aos y medio, finalmente se
incluye el presupuesto econmico, en el que se puede encontrar una estimacin del costo para
la implementacin de la propuesta. Con el planteamiento de estos aspectos especficos se
pretende facilitar la toma de decisiones asociadas con la introduccin y consolidacin de la
Auditora de TI, de tal forma que se pueda trazar, con el mayor detalle posible, las acciones que
debern realizarse para concretar el propsito final de este
5.1 CONSIDERACIONES ESTRATGICAS
5.1.1 Aportes de la Administracin
En un primer momento es necesario evidenciar los aportes por cuenta de la Administracin que
a su vez se consideran condiciones necesarias para la adecuada introduccin de la Auditora
de TI en el Ministerio de Hacienda.
Compromiso de la Administracin: La Administracin debe asumir la responsabilidad

que le es propia en cuanto al diseo, actualizacin e implantacin del sistema de
control interno. Por grandes los esfuerzos y aportes de la auditora, no habr valor
agregado en el tanto la administracin no asuma ese papel y se comprometa con la
implantacin de las recomendaciones que aquella presente como resultado de sus
evaluaciones.
Disponibilidad de recursos: La Administracin debe asignar los recursos financieros y

humanos requeridos para la implantacin de la propuesta. En el apartado sobre
costos estimados, se muestra la inversin inicial en adquisicin de equipo, software,
115
recurso humano adicional y capacitacin del personal de la Direccin General de

Auditora Interna, sin la cual evidentemente no ser posible llevar a cabo la propuesta.
Adquisicin de la herramienta COBIT Management Advisor por parte de la

Administracin. Como un elemento ms del alineamiento de los esfuerzos de la
Administracin y de la Auditora de TI para fortalecer el sistema de control se requiere
que ambas partes tengan un mismo enfoque y se orienten hacia la consecucin de los
mismos objetivos. No obstante, en el plan no se incluye las actividades que
le
corresponder realizar a la administracin.
Elaboracin del Plan Estratgico Tecnolgico, actualmente en proceso, e

inclusin de la Auditora de Tecnologa de la Informacin dentro del mismo.
La
conclusin de este Plan Estratgico Tecnolgico y la puesta en marcha del mismo

como elemento orientador de los esfuerzos del Ministerio de Hacienda en el campo
tecnolgico, ser la base fundamental para el accionar de la Auditora de Tecnologa
de la Informacin.
Adems es necesario que dicho Plan concepte apropiadamente el rol de la auditora
y su aporte para el alineamiento de la gestin de la TI y los objetivos del negocio y en
consecuencia considere, tal y como fue manifestado por el equipo de trabajo
encargado de su elaboracin,
la introduccin de la Auditora de Tecnologa de la
Informacin como uno de sus componentes y proyectos prioritarios.

5.1.2 Alcance del Plan
La consolidacin de la Auditora de TI en el Ministerio de Hacienda es sin lugar a dudas un
proceso complejo y evolutivo, toda vez que sta deber ajustarse a los cambios tanto
institucionales como del entorno, no slo a nivel tecnolgico sino tambin a nivel
organizacional, legal y administrativo.
En ese sentido, es necesario establecer con claridad los limites del plan que se presentar. Al
efecto, como orientacin general se pretende abarcar lo que denominaremos una primera
etapa del proceso, caracterizada por los siguientes elementos:
116
Objetivo:
Lograr la consolidacin de la organizacin administrativa de la Auditora de TI y la asignacin
de recursos humanos y tecnolgicos mnimos para el desarrollo de esta funcin y fortalecer el
ambiente de control de TI dentro del Ministerio.
Areas consideradas:
En esta primera etapa no slo es necesario disponer de los recursos sino que se considera
clave que la Auditora de TI de muestras claras de un aporte positivo para la organizacin y se
posicione como un elemento fundamental del sistema de control interno y de asesora a la
Administracin. Para estos efectos, ser fundamental una participacin proactiva y asesora.
En lnea con lo indicado, dentro del marco metodolgico propuesto (Modelo COBIT) se
considera conveniente que en esta primera etapa se atienda prioritariamente el dominio
Planeamiento y Organizacin, orientado a identificar la forma en que la TI contribuye de la
mejor manera al logro de los objetivos del negocio, as como el establecimiento de una
organizacin y una infraestructura tecnolgica apropiada.
Dentro de este dominio estimamos prioritarios tres subdominios o procesos, a saber:
PO1 Definicin de un plan estratgico de tecnologa de informacin. Este proceso

comprende seis objetivos de control.
PO4 Definicin de la organizacin y las relaciones de TI, que abarca quince objetivos
de control.
PO9 Evaluacin de riesgos, el cual cubre seis objetivos de control.
Estos tres procesos son a nuestro criterio claves para lograr una respuesta clara a las
principales debilidades apuntadas en el diagnstico institucional realizado como primera fase
del presente estudio.13 Adicionalmente, mediante el enfoque planteado se pretende orientar los
primeros esfuerzos hacia el fortalecimiento del sistema control interno, ms que a la
identificacin de las limitaciones puntuales de las aplicaciones y la gestin actual de la TI, en el
entendido de que ello resulta clave en virtud de la situacin institucional evidenciada en los
diferentes documentos elaborados por los grupos de Proyecto Integrado I.
13
Ver apartado 2.2 de este documento.
117
5.1.3 Organizacin para el Desarrollo del Plan

Para la ejecucin del plan no se considera necesario una organizacin formalmente
establecida, entendiendo que resulta evidente que la coordinacin corresponder a la Directora
General de Auditora Interna. Por otra parte, ser de especial importancia el apoyo y
participacin de la Direccin General de Informtica, en lo correspondiente al soporte tcnico,
as como tambin del Director General Administrativo y Financiero, que en su carcter de
Director del programa presupuestario al que est incorporada la Direccin General de Auditora
Interna juega un papel relevante en cuanto a la asignacin y ejecucin de los recursos
presupuestarios.
5.1.4 Riesgos
A continuacin se presentan los principales riesgos que amenazan el desarrollo del plan:
Apoyo de nuevas autoridades. El cambio de gobierno que se enfrentar en mayo

del prximo ao podra impactar el proyecto en funcin del apoyo que brinden
las nuevas autoridades del Ministerio. Al efecto, aunque se reconoce que la
permanencia de la Directora General y Subdirectora de Auditora Interna en algo
mitiga el mencionado riesgo, lo cierto es que
el apoyo de las autoridades
superiores es un elemento clave, no solo en lo que respecta a la asignacin de

recursos, sino tambin en lo que se refiere al espacio de accin y relevancia que
se le otorgue al trabajo que realice la Direccin.
No lograr la contratacin de personal idneo oportunamente. Retrasos en la

contratacin del personal requerido para el funcionamiento de la Auditora de TI,
conllevarn retrasos en el avance del proyecto, siendo de especial preocupacin
la reaccin de los usuarios en caso de no observarse aportes concretos por
parte de la auditora, por el contrario podra darse un desperdicio por la no
utilizacin del equipo y software que se hubiera adquirido.
Atrasos en el proceso de contratacin administrativa. La adquisicin de bienes y

servicios, en especial del equipo, con alguna frecuencia se retrasa en virtud de
las apelaciones y otros recursos que la Ley de Contratacin Administrativa
permite a los proveedores.
En la medida en que no se cuente con las

118
herramientas necesarias, difcilmente se podrn alcanzar los objetivos

planteados para la Auditora de TI.
5.2 COMPONENTES DEL PLAN OPERATIVO

A los efectos de la estructuracin del plan operativo, se han establecido 8 componentes, que
se desglosan por tareas:
Aprobacin del proyecto: Comprende las actividades orientadas a lograr la aprobacin

del proyecto por parte de las autoridades superiores del Ministerio.
Ajuste de la organizacin de la Auditora de TI. Considera las tareas requeridas para la

modificacin y ajuste del decreto de organizacin y funciones de la Direccin General
de Auditora Interna, con el fin de que en su estructura funcional se considere el Area de
Auditora de TI.
Contratacin del recurso humano. Comprende las actividades a desarrollar con el fin de
que el Area de TI disponga de los recursos humanos mnimos para su funcionamiento.
Capacitacin: En cuanto a este particular se considera la capacitacin de trece

funcionarios en la Universidad de Costa Rica, con el propsito de que todos cuenten
con el grado de Tcnico en Auditora Informtica y que se tengan posibilidades de
actualizacin profesional, participando en el desarrollo del seminario latinoamericano
sobre auditora de sistemas de informacin impartido por la ISACA.
Adquisicin de licencias de software: Se incluyen las diferentes tareas a realizar para

concretar la adquisicin de software, concretamente de COBIT Advisor,
herramienta para la administracin de
la gestin de la Auditora
y una
y otra para la
Administracin de Riesgo.
Adquisicin de equipo: Se explicitan las diferentes tareas asociadas con la adquisicin

de un servidor y estaciones de trabajo que soporten las caractersticas del software que
se propone adquirir.
119
Fortalecimiento del ambiente de control: Se consideran las tareas requeridas para

concretar la evaluacin de tres subdominios o procesos del dominio titulado Planeacin
y Organizacin, a saber:
Evaluacin y seguimiento del plan estratgico
Definicin de la organizacin y de las relaciones de TI
Evaluacin del riesgo
El detalle de todas y cada una de las actividades se muestra en el cronograma que se muestra
a continuacin.
120
CRONOGRAMA DEL PROYECTO

AUDITORIA DE TI EN EL MINISTERIO DE HACIENDA
Id
2
Nombre de tarea
Preparar el documento del proyecto
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
Preparar presentacin a las autoridades
Realizar presentacin
Analizar proyecto
0%
Comentar y valorar observaciones
0%
Aprobar proyecto
0%
0%
0%
8
9
Ajuste de la organizacin de la auditora interna
0%
10
Preparar documento propuesta de modificacin a la estructura organizacional
11
Presentar documento a las autoridades superiores
12
Analizar propuesta
0%
13
Presentar propuesta a MIDEPLAN
0%
14
Analizar propuesta
15
Aprobar propuesta
16
Preparar modificacin al Reglamento de Organizacin y Funciones de la DGAI Decreto 19067-H
0%
17
Presentar propuesta de modificacin al Ministro
0%
18
Anlizar la propuesta
0%
19
Aprobar propuesta de modificacin
0%
20
Tramitar firma del Presidente
0%
0%
0%
0%
0%
121
Id
21
Nombre de tarea
Publicar decreto
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
sep oct nov dic ene feb mar abr may jun jul ago sep oct nov dic ene feb mar abr may jun
0%
22
23
Asignacin de recursos financieros
24
Presentar solicitud de recursos a la DG Ad. Y Fi.
25
Asignar recursos financieros
1%
3%
0%
26
27
Contratacin de recurso humano
0%
28
Elaborar propuesta de ajuste al manual de cargos para coordinador de ATI y profesional informtico
0%
29
Presentar propuesta de ajuste al manual de cargos
0%
30
Analizar propuesta de manual de cargos
31
Elaborar propuesta de ajuste al Manual institucional
0%
32
Presentar ajuste al Manual institucional a la Direccin General de Servicio Civil
0%
33
Aprobar ajuste
34
Emitir resolucin de ajuste al Manual Institucional
35
Preparar propuesta de reestructuracin de puesto
36
Analizar propuesta de reestructuracin
37
Aprobar reestructuracin
38
Emitir resolucin de reestructuracin de puesto coordinador TI y profesional informtico
0%
39
Solicitar a la DGPN modificacin a la RP
0%
0%
0%
0%
0%
0%
0%
122
Id
40
Nombre de tarea
Tramitar decreto de modificacin a la Relacin de Puestos
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
0%
41
Publicar decreto de modificacin
42
Tramitar concurso interno para nombramiento
43
Reclutar coordinador de auditora TI
44
Seleccionar
45
Tramitar nombramiento de coordinador ATI
46
Solicitud de puesto nuevo profes. Inform.
47
Aprobar traslado de plaza vacante
48
Preparar solicitud de reestructuracin
49
Analizar propuesta de reestructuracin puesto
0%
50
Aprobar reestructuracin
0%
51
Emitir resolucin de reestructuracin de puesto coordinador TI y profesional informtico
0%
52
Solicitar a la DGPN modificacin a la RP
0%
53
Tramitar decreto de modificacin a la Relacin de Puestos
54
Publicar decreto de modificacin
55
Tramitar concurso interno para nombramiento
56
Reclutar profesional en informtica
57
Seleccionar
58
Tramitar nombramiento de prof. Inf.
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
123
Id
60
61
Nombre de tarea
Capacitacin de funcionarios
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
0
Programa modular de tcnico en auditora de TI
62
Solicitar inclusin del curso en el programa de capacitacin
63
Autorizar inclusin en programa de capacitacin
0%
64
Solicitar emisin de Orden de compra
0%
65
Emitir orden de compra
0%
66
Inscribir funcionarios
0%
67
Participar mdulo 1 UCR
0%
68
0%
69
0%
70
0%
71
Participar mdulo 2
72
73
0%
74
0%
75
Participar mdulo 3
76
77
0%
78
0%
0%
0%
0%
0%
0%
124
Id
79
Nombre de tarea
Participar mdulo 4
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
0%
80
81
0%
82
0%
83
Participar mdulo 5
84
85
0%
86
0%
87
Participar mdulo 6
88
89
0%
90
0%
91
Participar mdulo 7
0%
0%
0%
0%
0%
0%
92
93
Seminario Internacional en auditora de TI
0%
94
Solicitar inclusin del curso en el programa de capacitacin
95
Autorizar inclusin en programa de capacitacin
0%
96
0%
97
0%
0%
125
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
Id
98
Nombre de tarea
Inscribir prov. funcionarios
99
Tramitar Acuerdo de Viaje
0%
100
Autorizar Acuerdo de Viaje
0%
101
Participar en Seminario
0%
0%
102
103
104
Adquisicin de licencias de software
105
Adquisicin de Cobit Advisor
0%
0%
106
Preparar solicitud de mercanca
107
Tramitar aprobacin de solicitud de mercanca
108
Realizar proceso de contratacin administrativa
109
Adjudicar
110
Entregar software
0%
111
Instalar software
0%
112
Capacitar en el uso de la herramienta
113
Adquisicin de Cobit Management Advisor
114
Elaborar solicitud de mercanca
115
116
0%
0%
0%
0%
0%
0%
0%
0%
0%
126
Id
117
Nombre de tarea
Adjudicar
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
0%
118
Entregar software
0%
119
Instalar software
0%
120
121
0%
Adquisicin de herramienta de administracin de la auditora
0%
122
Investigacin de alternativas
123
124
125
126
Adjudicar
127
Entregar
0%
128
Instalar software
0%
129
0%
0%
0%
0%
0%
0%
130
131
Adquisicin de herramienta de administracin de riesgo
0%
132
Realizar investigacin de mercado
0%
133
0%
134
135
0%
0%
127
Id
137
Nombre de tarea
Entregar
138
Instalar software
139
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
0%
0%
0%
140
141
Adquisicin de equipo de cmputo
142
Realizar estudio de mercado
0%
143
Elaborar solicitud de mercancas
0%
144
Tramitar aprobacin de la solicitud de mercancas.
145
Tramitar ampliacin de cuota presupuestaria
146
0%
147
Adjudicar
0%
148
Entregar e instalar el equipo
0%
0%
0%
0%
149
150
Fortalecimiento del ambiente de control
0%
151
152
Evaluacin plan estratgico de TI
153
Comunicar inicio de evaluacin
154
Realizar Evaluacin
155
Preparar presentacin de resultados
0%
0%
0%
0%
128
Id
156
Nombre de tarea
Comunicar resultados a la administracin
sep
4 trimestre
1er trimestre
2 trimestre
3er trimestre
4 trimestre
1er trimestre
2 trimestre
0%
157
Elaborar informe
0%
158
Entregar informe
0%
159
160
Evaluacin de organizacin y relaciones de TI
0%
161
162
Realizar Evaluacin
163
0%
164
0%
165
Elaborar informe
0%
166
Entregar informe
0%
0%
0%
167
168
Evaluacin de riesgos
0%
169
170
Realizar Evaluacin
171
0%
172
0%
173
Elaborar informe
0%
174
Entregar informe
0%
0%
0%
129
5.3 UNA APROXIMACIN A LOS COSTOS

De acuerdo con la investigacin realizada, a continuacin se presentan los costos estimados
para los diferentes componentes considerados en el plan: recursos humanos, adquisicin de
equipo y adquisicin de software. Las cifras se presentan en dlares estadounidenses con el
propsito de evitar el efecto de la devaluacin.
Para efectos de la estimacin se han considerado los siguientes supuestos:
El coordinador del rea de TI tendr un salario base similar al de los otros puestos de
coordinador general de la Direccin General de Auditora Interna.
Para efectos de estimacin de otros componentes salariales se consider: prohibicin

(65%), anualidades (5), carrera profesional (16 puntos).
El puesto nuevo de profesional informtico tiene la misma categora del profesional

informtico actual.
Las estimaciones de costos de las herramientas computadorizadas se fundamentan en

cotizaciones obtenidas por algunos distribuidores nacionales.
El costo del equipo se estim segn datos proporcionados por distribuidores de equipo.
Se considera la adquisicin de 8 estaciones de trabajo, cantidad que corresponde al

faltante en la Direccin General de Auditora Interna para que cada funcionario disponga
de equipo con la capacidad mnima requerida para la instalacin y funcionamiento del
software que se propone adquirir.
El servidor que se propone adquirir responde a los requerimientos mnimos del software
que se propone adquirir, a saber: procesador Pentium III, velocidad de 400 Mhz, 128 Mb
de memoria RAM.
130
MINISTERIO DE HACIENDA
PRESUPUESTO PROYECTO AUDITORIA TI
Periodo presupuestario 2002/2003
en dlares estadounidenses
1. Recursos Humanos
1.1 Reestructuracin puesto coordinador
1.2 Puesto adicional de profesional informtico
1.3 Capacitacin
- Participacin de trece funcionarios en UCR
- Participacin en Seminarios ISACA
2. Herramientas tecnolgicas
2.1 Licencias Cobit Advisor (5 lic)
2.2 Licencias Cobit Managment Advisor (15 lic)
2.3 Licencias Software Administracin Riesgo (10 lic)
2.4 Licencias Software Administracin Proceso Auditora (17 lic)
2.5 Adquisicin de servidor
2.6 Adquisicin de 10 microcomputadoras
3. Materiales y suministros
32,165
995
12,520
13,650
5,000
82,892
5,200
13,750
12,945
27,275
9,722
14,000
1,000
TOTAL
116,057
131
Captulo 6 Conclusiones y Recomendaciones
CAPITULO 6
CONCLUSIONES Y RECOMENDACIONES
Aunque si bien es cierto, los objetivos planteados del presente proyecto giran en torno a la
propuesta para la introduccin y consolidacin de la Auditora de Tecnologa de la Informacin
en el Ministerio de Hacienda, lo cual ha sido expuesto en los captulos anteriores,
consideramos oportuno resaltar algunas conclusiones y recomendaciones asociadas con la
investigacin realizada y los planteamientos incluidos para su puesta en ejecucin.
Como conclusiones estimamos merecen destacarse las siguientes.
La introduccin de la Auditora de TI no slo es una sentida necesidad sino que resulta

factible con un aporte de recursos humanos y financieros considerado asequible dentro
de la realidad institucional.
Adicionalmente, el proceso requiere del compromiso de los principales involucrados: la

Direccin General de Auditora Interna y las autoridades superiores del Ministerio. De la
investigacin realizada destacamos que existe ese inters y disposicin de las
diferentes partes, siendo necesario se mantengan en el tiempo.
Para el desarrollo de la Auditora de TI en el Ministerio es fundamental el fortalecimiento

y desarrollo del sistema de control interno, ello plantea la necesidad del desarrollo de
una nueva cultura de control, para lo cual resulta clave que la Administracin asuma su
responsabilidad y se identifique plenamente con los controles.
Para el desarrollo de la Auditora de TI es primordial la clara definicin de una

metodologa operativa, acorde con el desarrollo de la tecnologa de la informacin y la
realidad institucional. En ese sentido, el modelo COBIT desarrollado bajo la
coordinacin de ISACA ofrece importantes fortalezas.
132
La introduccin de la Auditora de TI como funcin de la Direccin General de Auditora

Interna requiere de la modificacin de la estructura organizacional y funcional de dicha
Direccin.
Es necesario contar con recurso humano especializado para el desarrollo de las

funciones propias de la Auditora de TI.
Existe una gran cantidad de herramientas computadorizadas de apoyo a la funcin de

auditora, su adecuada utilizacin puede redundar en significativos beneficios para la
organizacin, siendo de especial relevancia una adecuada seleccin conforme a los
requerimientos y caractersticas institucionales.
Conforme con la propuesta elaborada, el proceso de introduccin y consolidacin de la

Auditora de TI lo que se ha considerado una primera etapa en el desarrollo de sus
funciones, conlleva importantes esfuerzos y requerir alrededor de 2 aos y medio, no
obstante, es claro que se trata de un proceso evolutivo cuya consolidacin demandar
un esfuerzo continuado en el tiempo, en el que la evolucin de la tecnologa de la
informacin ser uno de los factores que marcar la pauta.
Por otra parte, con miras a la ejecucin de la propuesta, consideramos procedentes las
siguientes recomendaciones.
Como modelo metodolgico operativo para el desarrollo de la funcin de Auditora de TI

se recomienda la utilizacin del elaborado por la Information Systems Audit. And Control
Association ISACA- denominado Objetivos de Control para la Informacin y
Tecnologas Afines (COBIT).
La funcin de Auditora de TI en el Ministerio de Hacienda debe ubicarse en la

Direccin General de Auditora Interna, para lo cual se recomienda la creacin del Area
de Auditora de TI en dicha Direccin y el respectivo ajuste la estructura organizacional
y funcional, conformndola inicialmente con un Coordinador General de Area y dos
profesionales en informtica.
133
Es recomendable que con miras a fortalecer la responsabilidad y la actuacin de la

Administracin en cuanto al control de la TI, que se adquiera una
herramienta
computadorizada para la Administracin. En ese sentido, en concordancia con el

modelo metodolgico operativo y la herramienta recomendada para la Auditora de TI,
se recomienda la adquisicin del COBIT Management Advisor.
Se estima necesario la adquisicin de una herramienta de apoyo a la administracin de

la auditora, otra para la funcin de Auditora de TI y una herramienta para evaluacin
de riesgo. Como herramienta de apoyo a la funcin de la Auditora de TI se recomienda
la adquisicin del COBIT Advisor, herramienta que es congruente con el modelo
recomendado y adicionalmente presenta importantes fortalezas, entre las que destacan
su actualizacin frecuente, respaldo tcnico y amplitud en cuanto al papel de la
administracin en el control. Las herramientas para la administracin de la auditora y
administracin del riesgo debern seleccionarse en atencin a la disponibilidad de
recursos, opciones disponibles en el mercado y los requerimientos institucionales.
Paralelamente a la adquisicin de software deben destinarse recursos a la inversin en

actualizacin del equipo actual y a la adquisicin de nuevo equipo para la Direccin
General de Auditora Interna, para lo cual debern atenderse los requerimientos del
software que se decida adquirir.
En atencin a los elementos del diagnstico institucional y dentro del marco del modelo
metodolgico operativo propuesto, en una primera etapa se recomienda orientar los
esfuerzos para el fortalecimiento del ambiente de control, para lo cual se considera
conveniente iniciar con la evaluacin del dominio de planeacin y organizacin,
concretamente con tres subdominios o procesos: evaluacin y seguimiento del plan
estratgico, definicin de la organizacin y relaciones de TI y evaluacin del riesgo.
Elaborar un documento de proyecto que, basado en la propuesta y considerando los

ajustes que la Direccin de Auditora Interna y las autoridades superiores estimen
necesarias una vez valorado lo que hemos planteado. Consecuentemente se deber
revisar el cronograma elaborado a efecto de contar con una herramienta que
134
efectivamente permita el seguimiento para la realizacin del proyecto y la consecucin

de los objetivos planteados.
Se estima recomendable promover una actitud de actualizacin permanente en los

funcionarios de la Direccin General de Auditora Interna.
135
BIBLIOGRAFA
Arauz, Manuel. Auditora de Sistemas: por
qu?. Universidad Internacional de las
Amricas.1966.
Contralora General de la Repblica. Manuales sobre Normas Tcnicas de Control Interno
relativas a los Sistemas de Informacin Computadorizados. Alcance No. 7 a la Gaceta No. 24
del 2 de Febrero de 1996.
Comit Directivo de COBIT. COBIT: Resumen Ejecutivo. Segunda Edicin. Mxico.1998
Delgado Rojas, Xiomar. Auditora Informtica. Primera Edicin, EUNED, Costa Rica, 1997.
Direccin General de Auditora Interna. Propuesta de Reforma de la Direccin General de
Auditora Interna. Documento Interno presentado al Ministro de Hacienda en julio de 1996.
Echenique Garca, Jos Antonio. Auditora en informtica. Primera Edicin. McGraw-Hill

Interamericana de Mxico. Mxico D.F. 1991
Garca, Sandra. Auditora Informtica I: Nota tcnica para el curso. Primera Edicin, UNED,
Costa Rica, 1997.
Hevia Vzquez Eduardo. Concepto Moderno de la Auditora Interna. Instituto de Auditores
Internos. Espaa.1999.
Ley Orgnica de la Contralora General de la Repblica, No. 7428. Gaceta No. 210 del 4 de
noviembre de 1994.
Reglamento de Organizacin y Funciones de la Direccin General de Auditora Interna del
Ministerio de Hacienda. Decreto Ejecutivo No. 19067 H, publicado el 4 de julio de 1989,
Gaceta No. 102
136
SITIOS CONSULTADOS
http://www.hacienda.go.cr
http://www.bsa.org/info/bsamailer/page4.html
http://www.pleier.com/overview.htm
http://www.newtech.co.cr
http://www.audinfor.com/
e-mail: calvarado@umccr.com
http://www.pentasafe.com/products/database-overview.htm
http://www.auditnet.org/docs/inet_ap.txt
http://www.methodware.com
http://www.theiia.org/
137
Anexo N1
ANEXOS
138
Anexo N1
ANEXO 1
PARTICIPANTES PROYECTO COBIT 2000
ANALISTAS EXPERTOS USA
Prof. Ulric J. Gelinas, Bentley College
John Hayes, Price Waterhouse LLP
Greg Hedges, Arthur Andersen & Co., S.C.
Dave Kent, Price Waterhouse LLP
Tom Kothe, Ernst & Young LLP
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Robert Roussey, University of Southern California
EQUIPO DE CALIDAD
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
EL EQUIPO DEL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., Belgium
Eddy Schuermans, Coopers & Lybrand, Belgium
Thomas Lamm, ISACF, USA
COMIT QUE DIRIGE EL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., Belgium
John Beveridge, State Auditors Office,
Massachusetts, USA
Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels,
Chairman BRT Belgium
Gary Hardy, Arthur Andersen, United Kingdom
John Lainhart, Inspector General, U.S. House of
Representatives, USA
139
Anexo N1
Akira Matsuo, Chuo Audit Corporation, Japan

Eddy Schuermans, Coopers & Lybrand, Belgium
Paul Williams, Arthur Andersen, United Kingdom
Thomas Lamm, ISACF, USA
INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-Hershey
Ren Barlage, RB Consultants
California Polytechnic University, USA
Prof. Dan Manson, Lead Researcher
ANALISTAS EXPERTOS EUROPA
Chris Bagot, NATO
Ren Barlage, RB Consultants
Prof. Dr. Henri Beker, Zergo, Ltd.
John Beveridge, ISACA Past President
Erik Guldentops, S.W.I.F.T. S.C.
Gary Hardy, Arthur Andersen
Eddy Schuermans, Coopers & Lybrand
Alan Stanley, European Security Forum
Danny Van Riel, Johnson & Johnson
Bram Vandenberg, Ernst & Young.
140
Anexo N2
ANEXO No.2
LISTA DE PROVEEDORES Y PRODUCTOS CAATTs
Proveedor
ABC Systems and
Development, Inc.
ACL Software
AntiOnline
AT&T Info-Security
Attest Systems, Inc.
Audit Serve Inc.
Auditek, Inc.
Authentex Software
Corporation
AutoTester, Inc.
AXENT Technologies, Inc.
Bindview Development
Blue Lance, Inc.
Business Software Alliance,
The
Pgina Web & Producto (s)

http://www.abcsystems.com
ABC Lan Licenser 3
http://www.acl.com/mvs
ACL for MVS/Windows
http://www.antionline.com/SpecialReports/Ogre/
Ogre
http://www.att.com/secure_software/sa_sw.html
SecretAgent
http://www.attest-gasp.com
GASP
http://www.auditserve.com
ExtrAUDITnaire
http://www.auditek.com/auditek.html
TEAM Rite
http://www.authentex.com/encryption/ds.html
DataSAFE
http://www.autotester.com
AutoController, AutoTester, AutoAdviser
http://www.axent.com
OmniGuard Product Suite
http://www.bindview.com
Enterprise Management System
http://www.bluelance.com/noframe/auditor.shtml
LT Auditor
http://www.bsa.org
Guide to Software Management
Canadian Institute of
Chartered Accountants
Candle Corp.
CaseWare International Inc.
http://www.cica.ca/idea
IDEA
http://www.candle.com
MQSecure
http://www.caseware.com
Caseware
Certification Training Institute,

http://www.ctrain.com
Inc.
141
Anexo N2
Proveedor
Computer Associates
International, Inc.

Ctrain
http://www.cai.com/products/dsm/sca.htm
ACF2, Examine, PANAUDIT PLUS, Panvalet, Top Secret
CONSUL Risk Management,

Inc.
Data Junction Corporation
Datawatch Corporation
Decision Technology
Deloitte & Touche
Deloitte Touche Tohmatsu
International
Elron Software
Expert Choice, Inc.
Eye-t Technology Ltd.
Finjan Software
First Chicago NBD
Funk Software
Geac Computer Corporation
Limited
http://www.consulrisk.com
Consul/Audit for RACF
http://www.datajunction.com/products/prod_idx_djwin.htm
Data Junction
http://www.datawatch.com
Monarch
http://www.dtiprinceton.com/products.htm
Decision Analyzer
http://www.dtcas.co.za/va.htm
Visual Assurance
http://www.dttus.com/us/what/SerLines/AUD_ACC/as20001.htm
AuditSystem/2
http://www.elronsoftware.com
Firewall, Internet Manager, SofTrack Software Metering
http://www.ExpertChoice.com
Expert Choice
http://www.eye-t.com
Authorize, TF2000
http://www.finjan.com
Finjan
http://audit.wordlink.com
Auditor Assistant, Auditor Assistant Team Manager
http://www.funk.com
AppMeter II
http://www.smartstream.geac.com/solutions/index.htm
Smartstream
Goldmine Software
Corporation
Grupo TI Soluciones
IBM Corporation
IHS Finanial Products
IMTI Systems
http://www.goldminesw.com
Goldmine
http://www.newtech.co.cr
AuditorsSoftware Toolset (AST)
http://www.s390.ibm.com/products/racf/racfhp.html
Resource Access Control Facility
http://www.ihsfinancial.com/sentpage.htm
Audit Sentry
http://www.imtisystems.com
ARIES Audit System, Premis Audit System, Premium Audit
142
Anexo N2
Proveedor

System
InfoProtect
http://www.InfoProtect.com
Dial-Up Auditor
Information Builders
http://www.ibi.com
EDA, FOCUS, SNAPpack Audit
Information Discovery, Inc.
http://datamine.inter.net/datamine
Data Mining Suite
Integralis, Inc.
http://www.mimesweeper.integralis.com
MIMEsweeper
Internet Security Systems, Inc. http://iss.net/prod/complete.html
SAFEsuite
INTERSOLV, Inc.
http://www.intersolv.com/products/index.htm
DataDirect, PVCS Series, QualityWorks
Intrusion Detection, Inc.
http://www.intrusion.com/products/ksm.htm
Kane Security Monitor
ISACA
http://www.isaca.org
COBIT
J.E. Boritz Consultants Limited http://www.jebcl.com
auditMASTERPLAN
JD Edwards
http://www.jdedwards.com/technology/oneworld.asp
OneWorld
KansasBay Systems
http://www.kansasbay.com
DeskTracy
Linton Shafer Computer
http://www.lintonshafer.com
Services, Inc.
The Number
KPMG Peat Marwick
http://www.audinfor.com
GESIA 2000
Lockheed Martin Labs
http://www.atl.external.lmco.com/projects/minotaur
Minotaur-II File Encryptor
Majengo Software
http://www.majengo.com
AuditJob
Mark Nigrini
none
DATAS
MAS-Hamilton Group
http://www.mas-hamilton.com/auditcon.htm
AUDITCON
McAfee
http://www.mcafee.com
Service Desk, ZAC Suite
MegaSolve Corp.
http://www.megasolve.com
MegaSolve Security Server Administrator
Methodware
http://www.methodware.co.nz/cgi-bin/products/products.pl
CMM Advisor, COBIT Advisor, COBIT Management Advisor
Micrografx Inc.
http://www.micrografx.com
143
Anexo N2
Proveedor

ABC Flowcharter
MicroMash
http://www.micromash.com
MicroMash
Microsoft Inc.
different sites
MS Resource Kit, Team Manager 97
More Systems
http://www.moresys.com
MORE Application Manager
Network Associates, Inc.
http://www.nai.com/default_pgp.asp
Pretty Good Privacy
Network Flight Recorder, Inc. http://www.nfr.net/forum/publications/LISA-97.htm
Network Flight Recorder
Network General
http://www.ngc.com
Sniffer Network Analyzer
New Dimension Software
http://www.ndsoft.com
Control-D, Control-SA
Novell
http://www.novell.com/products/managewise/index.html
ManageWise 2.1
Oracle
http://www.oracle.com/st/products/uds/oracle8
Oracle 8
Paisley Consulting
http://cmgate.com/~paisley/index.html
AutoAudit, Workforce
Pathfinder
http://www.u-net.com/pathfinder
Barefoot Auditor
PCI Services, Inc.
http://www.pciwiz.com
The Wiz
Pentasafe
http://www.pentasafe.com
PS Audit, PS Secure
Platinum Software Corp.
http://www.platsoft.com/products/sql/sqlapps.htm
Platinum SQL
Pleier & Associates
http://www.pleier.com
ADM PLUS
Preferred Systems Inc.
http://interop.sbforums.com/ltbdir/company/192065/320927.html
Auditware for NDS
Price Waterhouse
http://www.pw.com/energy/applications.htm
PW Controls, Price Waterhouse Products, TeamMate
Reuters Risk Management
http://risk.reuters.com
Kondor +, SailFish
SAS Institute Inc.
http://www.sas.com
SAS System
Sassafras Software, Inc
http://www.sassafras.com
KeyAudit, KeyServer
SATAN
http://www.fish.com/satan
SATAN
144
Anexo N2
Proveedor
Seagate Software
Secure Networks, Inc.

http://www.crystalinc.com/crystalreports
Crystal Reports
http://www.secnet.com/ballista
Ballista
Shatswell, MacLeod Software

http://www.bancaudit.com/welcome1.htm
Group, Inc.
BancAudit, Patrol400
ShowCase Corporation
http://www.showcasecorp.com/home.html
Showcase
Silvon Software
http://www.silvon.com/sdm/sdm_asvu.htm
AS/vu
Software Publishers
http://www.spa.org/piracy/download.htm;
Association
SPAudit
Somarsoft, Inc.
http://www.somarsoft.com
DumpAcl
SPSS Inc.
http://www.spss.com/software/allclear
AllClear
Strohl Systems
http://www.strohl-systems.com/main.html
BIA Professional, LDRPS
Sybase, Inc.
http://www.sybase.com/products/infomaker
Infomaker
System Integrators, Inc.
http://www.sintegrators.com
License Broker
Tally Systems Corporation
http://www.tallysys.com
Cenergy, CentaMeter, NetCensus, NetSonar, Veranda EMR
Technologic Software
http://www.technologic.com
Concepts, Inc.
RAS Enterprise
Trillion Software Ltd.
http://www.trillion.demon.co.uk
PCUA
Trusted Information Systems,
http://www.tis.com/prodserv/gauntlet/index.html
Inc.
Gauntlet
UAC
http://www.uac.com/central.htm
Central Administrator
UMC de Costa Rica.
calvarado@umccr.com
Gestin Procesos Auditora
Vanguard Integrity
http://www.viplink.com
Professionals
Vanguard Systems Auditor
WheelGroup Corporation
http://www.wheelgroup.com/netrangr/1netrang.html
NetRanger
WizSoft Inc.
http://www.wizsoft.com
145
Anexo N2
Proveedor
World Wide Digital Security,
Inc.
X-Tension
Zydeco

Wizrule
http://www.wwdsi.com/saint/
SAINT
http://www.x-tension.com/textframes/expl_frame.html
Data Explorer
http://www.itssoftware.com/its/pv.html
PaperVue
Fuente: http://www.theiia.org/ecm/guide-ia.cfm?doc_id=838#pubref
146
Anexo N3
ANEXO 3
ALGUNAS PANTALLAS DE LA HERRAMIENTACOBIT ADVISOR 3era Edicin
147
Anexo N3
148
Anexo N3
149
Anexo N3
..../...
150

Proyecto II Auditoría de TI-versión Impresa Final

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Proyecto II Auditoría de TI-versión Impresa Final

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL

SISTEMA DE ESTUDIOS DE POSTGRADO

PROYECTO DE APLICACIN PRACTICA DE TECNOLOGA DE INFORMACION

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA

Clair Chacn Rodrguez

Heredia, Costa Rica, agosto del 2001

PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA

PROPUESTA DE ORGANIZACIN DE LA AUDITORIA DE TECNOLOGIA DE LA

PROPUESTA DE ORGANIZACIN y REQUERIMIENTOS DE RECURSOS HUMANOS

3.3.1 Organizacin de la Auditora de TI...............................................................................71

HERRAMIENTAS INFORMTICAS DE APOYO FUNCION DE AUDITORIA DE TI.......93

4.3.1 Algunos ejemplos de herramientas computadorizadas de apoyo a la funcin de

ANEXO 1................................................................................................................................. 141

A Dios, Fuente de Luz y Esperanza.

Dedico este esfuerzo en primer lugar a Dios, quienes creemos en El

El presente documento es el resultado del proyecto de aplicacin prctica de tecnologa de la

Definir un modelo metodolgico operativo para el desarrollo de la funcin de la Auditora

Elaborar una propuesta de organizacin para la funcin de la Auditora de Tecnologa de

Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,

Estructurar un plan de trabajo especfico para la implantacin de la Auditora de

En cuanto a metodologa, el estudio se apoya en la investigacin bibliogrfica, la bsqueda de

Adicionalmente se retoman algunos elementos del anlisis de la experiencia de otras

Ubicacin de la funcin de auditora de Tecnologa de la Informacin en el Ministerio de

Adquisicin de la herramienta computadorizada COBIT Management Advisor como

La adquisicin de una herramienta de apoyo a la gestin de la auditora, otra para la

Asignacin de recursos para la adquisicin de nuevo equipo para la Direccin General

Orientacin de los primeros esfuerzos al fortalecimiento del ambiente de control, para lo

responsabilidad que le es propia en cuanto al diseo, implantacin, actualizacin y

Disponibilidad de recursos: La Administracin debe asignar los recursos

Adquisicin de la herramienta COBIT Management Advisor por parte de la

Como un elemento ms del alineamiento de los esfuerzos de la

Aadministracin y de la Auditora de Tecnologa dela Informacin para fortalecer el

Elaboracin del Plan Estratgico Tecnolgico, actualmente en proceso, e

conclusin de este Plan Estratgico Tecnolgico y la puesta en marcha del mismo

Adems es necesario que dicho Plan concepte apropiadamente el rol de la auditora y

Insuficiente apoyo de las nuevas autoridades institucionales.

No lograr la contratacin de personal idneo oportunamente.

Atrasos en el proceso de contratacin administrativa.

Por otra parte, a los efectos de la puesta en prctica de la propuesta se recomienda la

Como resultado de la investigacin realizada en curso Proyecto Integrado I, la cual consider

Concepto de auditora de sistemas vs auditora de tecnologa de la informacin

Necesidad de un modelo operativo

Es posible identificar diferentes formas de estructurar las reas de accin de la auditora de

prcticamente todos los casos se identifica separadamente lo relativo a la administracin de la

Problemtica organizacional y del marco regulador: contradicciones e incongruencias

An no se ha logrado consolidar una organizacin eficiente y funcional para la gestin de la TI

Magnitud de la inversin realizada en hardware, software y recurso humano dedicado a

Aunque por limitaciones de registro y control o de entrega de informacin no fue posible

Cantidad, naturaleza y relevancia de los sistemas de informacin.

El esfuerzo de introduccin y apoyo al desarrollo de la TI en la institucin ha llevado a que en la

prestacin de los servicios bsicos que corresponden a la institucin y gestionan informacin

Escaso desarrollo de la auditora de sistemas en el Ministerio.

Conforme la normativa vigente, la funcin de auditora de sistemas o auditora informtica

algunos de los sistemas de informacin en operacin. Asimismo, se han emitido criterios y

Responsabilidad de la administracin y responsabilidad de la auditora de sistemas.

Conciencia generalizada sobre la conveniencia o necesidad de la auditora de sistemas.

Existe un consenso evidente en torno a la necesidad de desarrollar la auditora de sistemas en

Principales expectativas en cuanto al aporte de la auditora de sistemas.

La mayora de los entrevistados opina que en el Ministerio el perfeccionamiento de los

organizacionales, recursos humanos y tecnolgicos, as como un plan de trabajo concreto para

Definir un modelo metodolgico operativo para el desarrollo de la funcin de la Auditora

Elaborar una propuesta de organizacin para la funcin de la Auditora de Tecnologa de

Proponer los recursos humanos y herramientas computadorizadas de apoyo al auditor,