Anda di halaman 1dari 260

Auditora de Sistemas

y
Tecnologas de Informacin












Ricardo J. Castello
Profesor Auditora de Sistemas Computarizados
Facultad de Ciencias Econmicas-UNC

2008

ii


Esta versin digital ha sido licenciada por el autor con una licencia de Creative Commons. Esta licencia
permite los usos no comerciales de esta obra en tanto en cuanto se atribuya la autora original.







Atribucin-NoComercial-CompartirDerivadasIgual 2.5 Argentina

Usted es libre de:
copiar, distribuir, exhibir, y ejecutar la obra
hacer obras derivadas

Bajo las siguientes condiciones:

Atribucin. Usted debe atribuir la obra en la forma especificada por el
autor o el licenciante.

No Comercial. Usted no puede usar esta obra con fines comerciales.

Compartir Obras Derivadas Igual. Si usted altera, transforma, o crea
sobre esta obra, slo podr distribuir la obra derivada resultante bajo una
licencia idntica a sta.

Ante cualquier reutilizacin o distribucin, usted debe dejar claro a los otros los
trminos de la licencia de esta obra.

Cualquiera de estas condiciones puede dispensarse si usted obtiene permiso del titular
de los derechos de autor.

Sus usos legtimos u otros derechos no son afectados de ninguna manera por lo
dispuesto precedentemente.


Puede comunicarse con el autor por:
e-mail: castello@eco.unc.edu.ar
telfono: 54-351-4334181

Tercera edicin - Junio de 2008
I.S.B.N. 950-33-0199-8

iii
PROLOGO


La presente obra tiene como finalidad servir de material didctico a los estudiantes que cursen
asignaturas relacionadas con auditora de sistemas computarizados en carreras de grado y
postgrado vinculadas con las disciplinas de contabilidad, administracin y sistemas de
informacin. Tambin es recomendado para profesionales que quieran tener una visin global
y sumaria de los elementos a tener en cuenta cuando se efectan trabajos de auditora en
entornos computarizados. Su principal objetivo es evitar al lector la consulta de material
proveniente de diversas fuentes, proporcionando una visin global y sinttica de los temas
abordados.

El material obtenido es el resultado de una larga labor de seleccin, clasificacin y elaboracin
de artculos escritos por el autor y por otras fuentes (charlas, conferencias, cursos,
publicaciones en Internet) relacionadas con el tema. El principal objetivo de este material es
recoger la experiencia obtenida por el autor en el dictado de la asignatura Auditora de
Sistemas Computarizados en carreras universitarias de grado en ciencias econmicas y
sistemas y de posgrado, complementada por su experiencia como profesional.

El tratamiento de los temas tienen como premisa fundamental obtener una presentacin
didctica de los aspectos a considerar cuando se realizan trabajos de auditora a los sistemas
de informacin y/o se evalan las tecnologas de informacin de una organizacin.



Para una mejor presentacin y comprensin de los conceptos, este trabajo fue desarrollado en
seis captulos y cinco anexos; los que, a su vez, fueron agrupados en cuatro unidades
temticas:

UNIDAD 1 CONCEPTOS BASICOS

Trata los conceptos de auditora y control, trabajos de auditora posibles en un entorno
informtico, programas de auditora; est desarrollado en el Captulo 1 - "Conceptos Bsicos".


UNIDAD 2- AUDITORIA DE SISTEMAS DE INFORMACION

Descripcin de los trabajos de auditora de sistemas de informacin computarizados;
desarrollado en el Captulo 2 - "Auditora de Sistemas de Informacin" y el Captulo 3 -
"Auditora Continua". El Captulo 2 es complementado por el Anexo I - Nuevos conceptos del
control interno -Informe COSO y el Anexo II - Anlisis por categorizacin del riesgo

iv
(Metodologa de Price Waterhouse).



UNIDAD 3- AUDITORIA DE TECNOLOGAS DE INFORMACION

Descripcin de los trabajos de auditora a los recursos informticos de una organizacin; se
desarrolla en el Captulo 4 - "Auditora Informtica", al que complementan el Anexo III - COBIT
e ITIL y el Anexo IV - Fases de crecimiento IT.

En el Captulo 5 - "Seguridad Informtica" se aborda la problemtica relacionada con la
proteccin de los activos informticos; lo complementa el Anexo V - Medidas de seguridad
informtica.


UNIDAD 4 ASPECTOS GENERALES

Como cierre de este trabajo, presentamos en el Captulo 6 - Marco de las auditoras en
ambientes informticos el contexto legal y otros aspectos que condicionan la ejecucin de este
tipos de trabajos de auditora.








v
INDICE DE CONTENIDO

UNIDAD 1 CONCEPTOS BASICOS

CAPITULO 1 Conceptos bsicos

1. INTRODUCCION..............................................................................................3

2. CONTROL.........................................................................................................4
2.1. Concepto de control .......................................................................................4
2.2. Tipos de control..............................................................................................5
2.3. Etapas del control ..........................................................................................6
2.4. Principio de economicidad del control ...........................................................6
2.5. Auditora y control ..........................................................................................7

3. CLASES DE AUDITORIA .................................................................................8
3.1. Segn el campo de actuacin........................................................................8
3.2. Segn la relacin de dependencia del auditor...............................................9
3.3. Auditora y consultora .................................................................................11

4. PISTAS DE AUDITORIA.................................................................................12

5. PROGRAMA DE AUDITORIA.........................................................................13
5.1. Planeacin del trabajo..................................................................................13
5.2. Programa de auditora .................................................................................13
5.3. Etapas de un programa de auditora ...........................................................14
5.4. Informe Final ................................................................................................16

6. ANTECEDENTES ..........................................................................................19

CUESTIONARIO DE REVISION.........................................................................21


UNIDAD 2 AUDITORIA DE SISTEMAS DE INFORMACION

CAPITULO 2 Auditora de sistemas de informacin

1. INTRODUCCION............................................................................................25
1.1. El sistema de informacin contable .............................................................25
1.2. Auditora contable ........................................................................................27
1.3. Dificultades del ambiente informtico ..........................................................29

2. SISTEMA DE CONTROL INTERNO ..............................................................31
2.1. Impacto de la tecnologa en el Control Interno............................................33
2.2. Objetivos del control interno .......................................................................34
2.3. Importancia del control interno.....................................................................35
2.4. Elementos sobre los que trabaja el control interno......................................36
2.5. Medidas de control interno aplicables a un ambiente computarizado.........37
2.6. Tipos de controles programados ................................................................38

3. RELEVAMIENTO DEL SISTEMA DE CONTROL INTERNO.........................42

4. METODOLOGAS PARA EVALUAR EL SISTEMA
DE CONTROL INTERNO ................................................................................44

5. PRUEBA DE LOS CONTROLES ...................................................................47
5.1. Tcnicas manuales o de observacin directa..............................................47
5.2. Tcnicas computarizadas ...........................................................................49
5.3. Conclusiones................................................................................................54

CUESTIONARIO DE REVISION.........................................................................55

vi

ANEXO I Informe COSO

INTRODUCCION................................................................................................57
1. AMBIENTE DE CONTROL .............................................................................61
2. EVALUACIN DE RIESGOS..........................................................................63
3. ACTIVIDADES DE CONTROL........................................................................66
4. INFORMACIN Y COMUNICACIN .............................................................68
5. SUPERVISIN................................................................................................71
6. LIMITACIONES DEL CONTROL INTERNO...................................................74
7. FUNCIONES Y RESPONSABILIDADES DEL PERSONAL...........................75

ANEXO II Anlisis por categorizacin del riesgo (Metodologa Price Waterhouse)

1. Acceso a las funciones de Procesamiento.....................................................77
2. Ingreso de datos .............................................................................................77
3. Items rechazados o en suspenso ...................................................................78
4. Procesamiento ................................................................................................78
5. Estructura organizativa del departamento de Sistemas ................................79
6. Cambios a los programas ...............................................................................79
7. Acceso general (al sistema informtico) .........................................................80
8. Riesgo de continuidad de procesamiento ......................................................80


CAPITULO 3 Auditora Continua

1. INTRODUCCION............................................................................................81
1.1. Desaparecen los rastros de auditoria ?.....................................................81
1.2. Riesgos para el auditor ...............................................................................82

2. CONCEPTO DE AUDITORIA CONTINUA.....................................................84
2.1. Situacin actual de la Auditora Continua....................................................86
2.2. Monitoreo Continuo para obtener pistas de auditora digitales ...................89

3. ARCHIVO AUDITOR.......................................................................................91
3.1. Aportes del archivo Auditor ..........................................................................91
3.2. Requisitos del archivo Auditor .....................................................................92

4. SERVIDOR DE AUDITORIA...........................................................................94
4.1. Modelo conceptual .......................................................................................95
4.2. Etapas para instalar un Servidor de Auditora.............................................97
4.3. Descripcin del funcionamiento...................................................................98
4.4. Aportes del Servidor de Auditora................................................................99

5. CONCLUSIONES .........................................................................................101

CUESTIONARIO DE REVISION.......................................................................105



UNIDAD 3 AUDITORIA DE TECNOLOGIAS DE INFORMACION

CAPITULO 4 Auditora Informtica

1. INTRODUCCION..........................................................................................109

2. AMBITOS DE LA AUDITORIA INFORMATICA............................................111

3. ADMINISTRACION.......................................................................................116
3.1. Anlisis de la estructura organizacional ....................................................116
3.2. Anlisis de los recursos humanos .............................................................119
3.3. Anlisis de las normas y polticas del rea de sistemas............................120

vii
3.4. Anlisis de la situacin presupuestaria y financiera ..................................120
3.5. Documentos para la gestin del rea Sistemas ........................................121

4. EXPLOTACION u OPERACIONES .............................................................125

5. DESARROLLO .............................................................................................127

6. JUSTIFICACION DE UNA AUDITORIA NFORMATICA...............................131

7. CONSIDERACIONES FINALES...................................................................133

CUESTIONARIO DE REVISION.......................................................................135

ANEXO III COBIT e ITIL

1. COBIT ...........................................................................................................137
2. MARCO REFERENCIAL DEL COBIT ..........................................................139
3. OBJETIVOS DE CONTROL DEL MARCO REFERENCIAL ........................144
3.1. Dominio PLANIFICACIN Y ORGANIZACIN.........................................144
3.2. Dominio ADQUISICIN E IMPLEMENTACIN........................................150
3.3. Dominio ENTREGA Y SOPORTE..............................................................152
3.4. DOMINIO MONITOREO............................................................................157
4. NORMAS ITIL ...............................................................................................159
5. RELACION ENTRE ITIL Y COBIT................................................................162

ANEXO IV FASES DE CRECIMIENTO IT

1. INTRODUCCIN..........................................................................................163
1.1. Objetivo del modelo ...................................................................................163
1.2. caractersticas de las etapas .....................................................................164
1.3. factores claves ...........................................................................................164
2. LAS FASES DE CRECIMIENTO IT..............................................................169
2.1. FASE I - INICIACION.................................................................................169
2.2. Fase II - CRECIMIENTO ...........................................................................170
2.3. Fase III - CONTROL .................................................................................171
2.4. Fase IV - INTEGRACION ..........................................................................173
2.5. Fase V - ARQUITECTURA........................................................................176
2.6. Fase VI - DIFUSIN MASIVA ...................................................................177
3. CONCLUSIONES .........................................................................................179


CAPITULO 5 SEGURIDAD INFORMTICA

1. INTRODUCCION..........................................................................................183

2. CONCEPTOS RELACIONADOS CON SEGURIDAD INFORMATICA........186

3. EVALUACION DEL RIESGO........................................................................190

4. MEDIDAS DE SEGURIDAD INFORMATICA ...............................................193

5. PLANILLA o MATRIZ DE CONTROL ...........................................................194

6. PLAN DE SEGURIDAD INFORMATICA ......................................................197
6.1. Auditora de la Seguridad Informtica........................................................199

7. PLANES DE CONTINGENCIA .....................................................................200

CUESTIONARIO DE REVISION.......................................................................203




viii
ANEXO V MEDIDAS DE SEGURIDAD INFORMTICA

1. INTRODUCCION..........................................................................................205
2. PROTECCION FISICA .................................................................................206
3. COPIAS DE SEGURIDAD Y EQUIPAMIENTO DE RESPALDO.................207
4. SISTEMAS TOLERANTES A LOS FALLOS ................................................210
5. PROGRAMAS ANTIVIRUS...........................................................................212
6. CIFRADO DE DATOS...................................................................................214
7. CONTROL DE ACCESOS, PERMISOS Y DERECHOS..............................217
8. REGISTROS DE AUDITORA ......................................................................220
9. SEGURIDAD EN REDES / INTERNET .......................................................221




UNIDAD 4 ASPECTOS GENERALES


CAPITULO 6 Marco de las auditoras en ambientes informticos

1. INTRODUCCION..........................................................................................227

2. MARCO LEGAL ...........................................................................................229
2.1. Proteccin de datos personales (habeas data) .........................................229
2.2. Contratos informticos ...............................................................................232
2.3. Ley Sarbanes-Oxley...................................................................................234
2.4. Delito informtico .......................................................................................237

3. UN NUEVO MODELO...................................................................................241

4. PROPUESTAS .............................................................................................244

5. EL AUDITOR DE SISTEMAS .......................................................................245

CUESTIONARIO DE REVISION.......................................................................249



BIBILIOGRAFIA ................................................................................................251



Auditora de Sistemas y Tecnologas de Informacin


1




UNIDAD 1

CONCEPTOS
BASICOS


Auditora de Sistemas y Tecnologas de Informacin


2
Auditora de Sistemas y Tecnologas de Informacin


3
CAPITULO 1
Conceptos bsicos




1. INTRODUCCION



Etimolgicamente la palabra auditora deriva del latin audire que significa oir, el sustantivo
latino auditor significa "el que oye". Los primeros auditores ejercan sus funciones
principalmente oyendo, juzgando la verdad o falsedad de lo que les era sometido a su
verificacin.
1


Muchas pueden ser las definiciones de auditora, dependen del enfoque disciplinario de
quienes la elaboran; en nuestro caso proponemos la siguiente: Auditora es un control
selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de
obtener informacin suficiente para evaluar el funcionamiento del sistema bajo anlisis.

Auditar es efectuar el control y la revisin de una situacin pasada. Es observar lo que pas en
una entidad y contrastarlo con normas predefinidas.



1
Federacin Argentina de Profesionales en Ciencias Econmicas, CECYT, Informe N5, Area Auditora, Manual de
Auditora, 1985. pg. 33.
Auditora de Sistemas y Tecnologas de Informacin


4
2. CONTROL

2.1. Concepto de control

Existen varias definiciones del trmino control. Difieren debido a distinciones conceptuales o
bien respecto al objeto del mismo (dnde ser aplicado). El Informe N5 del CECYT
2
lo define
como el proceso de ejercitar una influencia directiva o restrictiva, es decir, las posibilidades de
dirigir actividades hacia objetivos buscados o de evitar que se produzcan resultados no
deseados.

En general, se reconoce al control como una funcin administrativa bsica; consiste en verificar
que las diferentes actividades que se realizan en una organizacin tiendan a alcanzar sus
objetivos. Se considera que el control produce dos tipos de acciones segn sea el mbito
donde se aplique:

Influencia directiva, intenta que las actividades del sistema se realicen de modo tal que
produzcan determinados resultados o alcancen objetivos especficos predefinidos.
Influencia restrictiva, la accin se ejerce de modo tal que evite que las actividades de un
sistema produzcan resultados no deseados.

Elementos del control

Los elementos necesarios para implementar un sistema de control son
3
:
Elemento, caracterstica o condicin a controlar.
Sensor: artefacto o mtodo para medir las caractersticas o condiciones controladas, es
decir instrumento para medir el rendimiento.
Grupo de control: unidad o equipo de control para comparar los datos medidos con el
rendimiento planeado. Determina la necesidad de correccin y enva la informacin a los
mecanismos que deben normalizar o corregir la produccin del sistema.
Grupo activante: mecanismo activador que es capaz de producir un cambio en el sistema
operante, es decir, realizar la accin correctiva correspondiente.

En sntesis, el control es un proceso y consiste en una comparacin, un contraste de un
resultado (ocurrido o proyectado) con otro (esperado o deseable) y, por lo tanto, implica una
medicin.

2
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONOMICAS, CECYT, Area
Auditora, Informe N5, Manual de Auditora, 1985, pg. 35.
3
Idem 4, pg. 37.
Auditora de Sistemas y Tecnologas de Informacin


5

2.2. Tipos de control

Dijimos que auditora es una actividad de control, por lo tanto vamos a profundizar un poco,
clasificando a estos ltimos:

a) De acuerdo a su objetivo, en esta categora tenemos:
Correctivos, son aquellos que cuentan en su estructura con los elementos para medir las
desviaciones e informar sobre ellas. Implican la determinacin de los desvos y su informe a
quien debe actuar sobre stos. Los controles correctivos, tambin, pueden ser
retroalimentados (datos del pasado) o prealimentados, por ejemplo: presupuestos, ratios.
No correctivos, son los que prescinden de la medicin e informacin de los desvos que se
pueden producir, como es el caso de controles de separacin por funciones y oposicin de
intereses.

b) De acuerdo a su marco temporal, en este caso tenemos:
Retroalimentados, pues operan sobre hechos sucedidos. Comparan los resultados ocurridos
con los esperados.
Prealimentados, pues operan sobre eventos futuros (en los procesos industriales se
denominan control anticipante) y previenen la ocurrencia de resultados indeseados.

c) De acuerdo a su pertenencia al sistema operante, tenemos:
De secuencia abierta, donde el grupo de control no pertenece al sistema operante; es
independiente del mismo.
De secuencia cerrada, en el que todos los elementos del control pertenecen al propio
sistema operante.

Un enfoque ms cercano a nuestra problemtica es analizar los tipos de controles relacionados
con la administracin de una organizacin. En este caso vamos a agruparlos en:

Control interno: es el conjunto de reglas y normas de procedimiento que regulan el
funcionamiento administrativo de una organizacin. Tienen el propsito de preservar al
patrimonio de la empresa de los posibles errores u omisiones, maniobras fraudulentas o
dao intencional que pudieran llegar a afectarla.
Control presupuestario: es el cotejo peridico de los ingresos y de los gastos reales de un
perodo con el fin de poner en evidencia las desviaciones a lo presupuestado.
Control de gestin: proceso mediante el cual los directivos se aseguran la obtencin de
recursos y el empleo eficaz y eficiente de los mismos en el cumplimiento de los objetivos
fijados a la organizacin.
Auditora de Sistemas y Tecnologas de Informacin


6

2.3. Etapas del control

Las etapas para establecer un sistema de control son las siguientes:

1. Establecimiento de estndares: es la accin de determinar el/los parmetro/s sobre los
cuales se ejercer el control y, posteriormente, el estado o valor de esos parmetros
considerado deseable. Este es el primer elemento a establecer para instrumentar un
sistema de control. En esta especificacin se debern incluir, entre otros, la precisin con
que se medir el parmetro a verificar, el mtodo de medicin y el instrumento sensible que
se aplicar, la periodicidad en la aplicacin y hasta los responsables de esta tarea.

2. Comparacin o diagnstico: implica el cotejo entre los resultados reales con los deseables.
En esta etapa se investiga (ms o menos extensamente) acerca de las causas de las
desviaciones que acompaarn un informe con las discrepancias detectadas, para ser
fuente de informacin de la siguiente fase.

3. La determinacin de acciones correctivas es la tercera etapa. Lleva implcita una decisin:
corregir o dejar como est. Obviamente ser ms certera y econmica la solucin de la
discrepancia mientras ms correcto sea el diagnstico hecho en la etapa anterior.

4. La ejecucin de las acciones correctivas es el ltimo paso. Sin ste, el control ser estril,
intil e incompleto. Ms an, infinitamente caro como respuesta al problema que intent
solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una accin
de control.

2.4. Principio de economicidad del control

Un principio bsico a tener en cuenta cuando se quiere implementar un control, es analizar el
costo de la instrumentacin del mismo. Se considera que este costo debe ser menor al
beneficio (potencial o real) que se obtiene con su implementacin. Por ello no se evalan todas
las caractersticas o parmetros posibles, sino slo aquellos que dan un ratio positivo a la
relacin costo de implementar la medida-beneficio esperado (por estas razones se dice que el
control es selectivo).


Auditora de Sistemas y Tecnologas de Informacin


7
2.5. Auditora y control

En este marco, la auditora es una funcin de control, con las siguientes caractersticas:

Es del tipo retroalimentado, porque se refiere a hechos sucedidos.
Es correctiva, ya que est orientada a la medicin e informacin de los desvos.
Es de secuencia abierta, ya que el grupo de control es independiente (no debe pertenecer al
sistema operante, aunque puede ser parte de la empresa).
Es selectiva.



Auditora de Sistemas y Tecnologas de Informacin


8
3. CLASES DE AUDITORIA


De acuerdo a la naturaleza del trabajo, hay distintas clasificaciones de auditora:

3.1. Segn el campo de actuacin

En este caso, clasificamos los trabajos de auditora segn el mbito donde se aplique.
Tenemos as: auditoras contables, administrativas, sociales, mdicas, informticas, militares,
etc. Veamos ahora cules son los alcances de algunas de ellas.

Auditora contable
Es el examen independiente de los estados financieros de una entidad con la finalidad de
expresar una opinin sobre ellos. En este marco el auditor investiga crticamente los estados
contables de una organizacin para formarse un juicio sobre la veracidad de tal informacin y
comunicarlo a la comunidad.

El objetivo principal de una auditora contable consiste en examinar los estados contables de
una organizacin, aplicando normas de actuacin generalmente aceptadas, de forma que
permita al profesional encargado de su realizacin informar sobre la veracidad y razonabilidad
de la situacin patrimonial examinada, al tiempo que se pronuncia sobre si los mismos estn
confeccionados de acuerdo con las normas contables, y si stas han sido aplicadas de manera
uniforme con respecto a los ejercicios anteriores. Las caractersticas controladas son las
transacciones y el patrimonio en cuanto a su existencia, propiedad, integridad, valuacin y
exposicin. De este objetivo se desprenden dos actividades
4
:
a) Comparar las transacciones del perodo y el patrimonio al final del ejercicio registrados en la
contabilidad.
b) Comparar la valuacin asignada a las transacciones y al patrimonio.

Una auditora contable persigue adems otros propsitos referidos a la proteccin de los
activos; el control de los datos en cuanto a su integridad, exactitud, oportunidad; la reduccin
de riesgos por prdida de informacin; la evaluacin de la calidad y eficiencia de los controles y
la vigilancia de su aplicacin en la prctica.

Auditora administrativa
Es el control de la actividad desarrollada por los administradores de una organizacin; evala el
desempeo de los mismos como ejecutivos, el cumplimiento de las metas programadas, la

4
Federacin Argentina de Profesionales en Ciencias Econmicas, CECYT, Informe N5, Area Auditora, Manual de
Auditora, Captulo 1, 1985.
Auditora de Sistemas y Tecnologas de Informacin


9
eficiencia en el uso de los recursos disponibles, el xito o fracaso en las misiones
encomendadas.

Se la denomina, tambin, "auditora operativa" y puede ser definida como el examen de la
gestin de un ente con el propsito de evaluar la eficiencia de sus resultados. Toma como
referencia las metas fijadas a la empresa; los recursos humanos, financieros y materiales
empleados; la organizacin, utilizacin y coordinacin de dichos recursos y los controles
establecidos sobre dicha gestin. En general busca controlar la calidad de los sistemas de
gestin de una empresa.

Auditora Social
Es el examen o evaluacin sistemtica sobre algn campo de accin significativo, definible, de
actividades con repercusin social.

Auditora mdica
Es el examen o evaluacin de la calidad de los servicios mdicos efectuados por los
prestadores de salud. En Argentina este tipo de auditoras es efectuada por profesionales
especializados vinculados a las obras sociales.

Auditora informtica
En este marco, podemos adelantar el concepto de auditora informtica: es el estudio que se
realiza para comprobar la fiabilidad de la herramienta informtica y la utilizacin que se hace
de ella en una organizacin. En forma ms amplia se analiza la aplicacin de recursos
informticos a los sistemas de informacin existentes en las empresas, en especial los
orientados a automatizar las tareas administrativo-contables, financieras, de gestin, de
soporte de decisiones, etc.


3.2. Segn la relacin de dependencia del auditor

Auditora interna
Es una funcin de evaluacin interna, ejercida por personal perteneciente a los cuadros de la
empresa. Acta como un servicio independiente de la lnea jerrquica corriente, por lo que
depende directamente de la Direccin de la organizacin. La auditora interna mide y evala la
confiabilidad y eficacia del sistema de control interno de la entidad con miras a lograr su
mejoramiento.

Auditora externa
Es una funcin de evaluacin externa, ejecutada por un ente externo e independiente de la
Auditora de Sistemas y Tecnologas de Informacin


10
lnea jerrquica establecida. Acta controlando algn aspecto particular de las operaciones o
procedimientos establecidos en la organizacin.

Si comparamos las auditoras internas con las externas, vemos que las primeras tienen como
ventaja el conocimiento por parte del auditor de la cultura de la organizacin y el hecho de
que al pertenecer a la plantilla de la empresa el profesional no es visto como un cuerpo extrao
y, por consiguiente, no se le retacea informacin; las externas, en cambio, cuentan como
ventaja la independencia del auditor, quin puede aplicar sus propios criterios, libre del
sentimiento de pertenencia a la estructura de la entidad.. Veamos en el siguiente cuadro
5
, una
comparacin de los alcances de la auditora externa e interna cuando se evalan los estados
contables de una entidad:


Aspecto
considerado
Auditora externa Auditora interna
OBJETIVO Opinar sobre la razonabilidad de la
informacin reflejada en los
Estados Contables, y si fueron
elaborados de acuerdo con las
Normas de Auditora Vigentes
Medir y evaluar la eficiencia de la
operatoria del ente, as como la
confiabilidad del control interno del
mismo, proveyendo anlisis y
recomendaciones que tiendan a su
mejoramiento

SUJETO


Contador Pblico Preferentemente profesional de
Ciencias Econmicas.

INDEPENDENCIA Total Profesional en relacin de
dependencia

OBJETO PRINCIPAL
DE SU EXAMEN
Estados contables anuales o
intermedios
Actividades de control interno del
ente, circuitos administrativos,
manual de procedimientos y
organigramas.

NORMAS DE
APLICACION
Normas profesionales vigentes.
Exigencias legales de rganos de
control.

Normas de auditora interna.
No obligatorias.
PRODUCTO FINAL Informe sobre Estados Contables
anuales o intermedios.

Informes sobre control interno,
gestin, desvos presupuestarios.
RESPONSABILIDAD Profesional
Civil
Penal
Profesional
Laboral
CONDICIONES
PERSONALES
Independencia de criterio (respecto
del ente auditado).
Ttulo habilitante.
Cuidado profesional.
Independencia de criterio
(dependiendo del mximo nivel
decisorio de la empresa).
Capacidad tcnica.
Cualidades personales.



5
Consejo Profesional de Ciencias Econmicas de la Capital Federal, Comisin de Estudio de Auditora, INFORME
N18, La tarea de auditora contable y su relacin con la auditora interna del ente, , Bs. As., julio de 1992.
Auditora de Sistemas y Tecnologas de Informacin


11
3.3. Auditora y consultora


Creemos importante diferenciar las tareas comprendidas en una misin de auditora de
aqullas que corresponden a una consultora, dado que es habitual confundirlas en los trabajos
que involucran equipamiento y sistemas informticos. Los lmites entre una y otra se relacionan
ms con los objetivos del trabajo que con las tareas que efectivamente se prestan.

Como ya lo expresramos anteriormente, la auditora comprende la realizacin del control y la
revisin de una situacin pasada, observando lo actuado y contrastndolo con normas
predefinidas. La efectividad de un trabajo de auditora se refleja en las mejoras recomendadas
al sistema de control interno de la empresa y a la seguridad.

En tanto, la consultora tiene como misin implementar las recomendaciones propuestas en
una auditora previa o por un ejecutivo, con el propsito de mejorar la productividad de la
empresa. Es una perspectiva de asesoramiento con visin de futuro. Es frecuente que una
consultora sea consecuencia o el resultado de una auditora.

Esto ltimo supone que la consultora se sustenta en un esfuerzo previo de conocimiento y
diagnstico de la organizacin (resultado de una auditora), para luego elaborar las bases de la
reorganizacin del ente y la tecnologa de implementacin. La efectividad de la labor de
consultora se podr medir a medida que transcurra el tiempo desde la puesta en prctica de
las soluciones.


Objetivo Momento
Auditora Controlar el desempeo

Posterior a los eventos
Consultora Optimizar el desempeo

Previo a los eventos





Auditora de Sistemas y Tecnologas de Informacin


12
4. PISTAS DE AUDITORIA


Qu son las pistas de auditora? Una pista de auditora tpica permite reconstruir un
procesamiento; siguiendo el camino hacia atrs, hasta llegar al documento fuente. Son
elementos que permiten certificar la existencia de una operacin, la validez de sus cifras, la
identidad de los sujetos involucrados, el momento de su acaecimiento, etc. Es decir, son la
prueba de una transaccin.

Las podemos definir como:
... documentos originarios, diarios, mayores, y papeles de trabajo que posibilitan al
auditor rastrear una operacin, desde el resumen hacia la fuente primitiva. Slo por tal
procedimiento el auditor puede determinar que los resmenes reflejan la operatoria real
transcurrida.
6


Las pistas de auditora brindan un mapa que posibilita la reconstruccin del flujo de una
transaccin, conteniendo informacin tal como: fecha, hora, tipo de operacin, dato anterior y
posterior, etc. En este contexto una pista de auditora puede ser entendida como un registro
cronolgico de actividades del sistema que posibilitan de forma suficiente la reconstruccin y
examen de la secuencia de acontecimientos que conducen una operacin, un procedimiento o
un acto sistmico
7
.

El sistema de informacin debera conservar las pistas de auditora para permitir al auditor el
rastreo del flujo de operaciones dentro de la empresa, y la comprobacin de la ocurrencia y
exactitud de las registraciones realizadas.

Una pista de auditora digital es una huella o registro generado automticamente por un
sistema de computacin para permitir la reconstruccin, a posteriori, de la secuencia de
operaciones, el origen de las transacciones, la fuente de cifras o registraciones especficas y,
en general, el modo, el momento y el operador involucrados en los accesos a los archivos.

A partir del empleo de computadores como herramienta base donde se procesan las
operaciones de un sistema de informacin, comenzaron a advertirse modificaciones
significativas en las pistas de auditora, motivados por las continuas modificaciones del
equipamiento y el cambio de las modalidades de procesamiento. Por esta causa se ha arribado
a una situacin en la cual las pistas de auditora existen pero en condiciones y con
caractersticas totalmente diferentes a las imperantes en los sistemas de informacin manuales
(en "soporte papel").

6
NCR CORPORATION, Customer Support Training - System Analist Design, Dayton (Ohio), NCR Corporation,
1989.
7
Marciano dos Santos, Marta A validade de trilhas de auditoria de sistemas aplicativos como evidencias de atos
ilicitos em ambientes corporativos 4CONTECSI, 2007
Auditora de Sistemas y Tecnologas de Informacin


13
5. PROGRAMA DE AUDITORIA


Antes de comenzar, el auditor deber planificar su trabajo identificando los objetivos y
determinando el mtodo para alcanzarlos de forma econmica, eficiente y eficaz. La
planificacin de un trabajo de auditoria consiste en la elaboracin de un plan global en funcin
de los objetivos del mismo. La naturaleza y las caractersticas de la planificacin varan segn
la naturaleza del organismo a auditar, del conocimiento de su actividad, de su entorno
operativo, de la calidad del control interno y del tipo de auditoria a efectuar.

5.1 Planeacin del trabajo


La planeacin adecuada del trabajo de auditora ayuda a asegurar que se presta atencin
adecuada a reas importantes de la auditora, que los problemas potenciales son identificados
y que el trabajo es llevado a cabo en forma expeditiva. La planeacin tambin ayuda para la
apropiada asignacin de trabajo al equipo de auditora y para la coordinacin del trabajo.

El grado de planeacin variar de acuerdo con el tamao de la entidad, la complejidad del
trabajo, la experiencia del auditor con la entidad y su conocimiento del negocio. El auditor
puede desear discutir elementos del Plan Global de Auditora y ciertos procedimientos de
auditora con el Comit de Auditora, la administracin y personal de la entidad, para mejorar la
efectividad y eficiencia del trabajo y para coordinar los procedimientos de auditora con la rutina
de los empleados de la entidad. El Plan Global de Auditora y el Programa de Auditora, sin
embargo, permanecen como responsabilidad del auditor.

El Plan Global de Auditora y el Programa de Auditora debern revisarse segn sea necesario
durante el curso de la auditora. La planeacin es continua a lo largo del trabajo a causa de
cambios en las condiciones o resultados inesperados de los procedimientos de auditora.

5.2. Programa de Auditora

El auditor deber desarrollar y documentar un Programa de Auditora que exponga la
naturaleza, oportunidad y alcance de los procedimientos de auditora planeados que se
requieren para implementar el Plan de Auditora Global. El Programa de Auditora sirve como
un conjunto de instrucciones para el equipo de trabajo y como un medio para el control y
registro de la ejecucin apropiada del trabajo. El Programa de Auditora puede tambin
contener los objetivos de la auditora para cada rea y un presupuesto de tiempo con las horas
Auditora de Sistemas y Tecnologas de Informacin


14
estimadas para las diversas reas o procedimientos de auditora.

Al preparar el Programa de Auditora, el auditor deber considerar las evaluaciones especficas
de los riesgos inherentes y de control y el nivel requerido de certeza que tendrn que
proporcionar los procedimientos sustantivos. El auditor deber tambin considerar la
oportunidad para las pruebas de controles y procedimientos sustantivos, la coordinacin de
cualquier ayuda esperada de la entidad, la disponibilidad de los auxiliares y la participacin de
otros auditores o especialistas.

5.3. Etapas de un Programa de Auditora

Un Programa de Auditora es el documento que nos dice cmo se efecta el trabajo. Debe
contemplar cmo, cundo, quines y dnde se efectuarn las tareas. Podemos entonces
agrupar los pasos para realizar una auditora en:
8


1) Definicin del objetivo:

En los casos de trabajos de auditoras contables las posibilidades para seleccionar el objetivo
de la mismas estn bastante limitadas y son previsibles; en el caso de otros tipos de trabajos
de auditora, como las de sistemas, el objetivo se determina en funcin de las necesidades
demandadas por quien solicita el servicio.

2) Definicin del alcance:

El alcance de una auditora es determinado siempre en forma especfica para cada trabajo; en
particular, lo fijan las necesidades y expectativas del comitente. En la determinacin del
alcance influye de manera decisiva el grado de certeza requerido a los datos que figuren en el
informe. Por ejemplo, si debe controlarse toda la poblacin o puede hacerse un muestreo sobre
el item que se est auditando.

Un elemento distintivo de los proyectos de auditora es que a la fijacin del objetivo sigue la
determinacin del alcance, pero son dos parmetros que deben establecerse separadamente.
El alcance puede ser asociado a la palabra profundidad y comprende la especificacin de
hasta dnde se realizar (se avanzar en) el trabajo de investigacin, cules sern los
hechos y elementos que se tomarn en cuenta, cules sern los que no se controlorn. En los
trabajos de auditora la delimitacin del alcance es fundamental para poder establecer con
claridad los lmites del informe y, por consiguiente, los lmites de la responsabilidad del
auditor.

8
ALIJO, JORGE, Apuntes del Seminario Auditora en Entornos Computarizados , C.P.C.E. de Crdoba, 1994.
Auditora de Sistemas y Tecnologas de Informacin


15

Este concepto es de suma importancia ya que define con precisin el entorno y los lmites en
que va a desarrollarse el trabajo; complementa el marco expresado en los objetivos de la
auditora. Por ejemplo:
Se verificar la totalidad de los documentos grabados, o solamente una muestra? En este
ltimo caso, cmo se define la muestra?
Se sometern los registros grabados a un control de integridad exhaustivo?
Se probarn los controles de validacin?

Es evidente la necesidad de precisar los lmites de un trabajo de auditora, hasta el punto de
que su indefinicin compromete el xito de la misma.

El alcance de la auditora ha de figurar expresamente (junto con el objetivo) en el informe final,
de modo que quede perfectamente determinado no solamente hasta qu puntos se ha llegado,
sino qu materias fronterizas han sido omitidas. Igualmente habrn de expresarse las
excepciones del alcance, cuando exista alguna cuestin que pudiera suponerse incluida, sin
estarlo.

Dentro de este paso debe contemplarse, tambin, la fijacin de los interlocutores del equipo
auditor, es decir, determinar quines tendrn poder de decisin y de validacin dentro de la
empresa en el proyecto de auditora. Igualmente, en esta instancia, deben determinarse los
destinatarios del Informe Final.

3) Relevamiento e investigacin:

Esta etapa es la que demanda mayor esfuerzo, tiempo y recursos de un programa de auditora;
en ella el auditor debe involucrarse en forma personal procurando obtener la mayor cantidad
posible de informacin de "primera mano". Comprende las siguientes actividades:

Elaboracin del Plan de Auditora y de los Programas de Trabajo: Una vez hecho el estudio
inicial y asignados los recursos necesarios para la auditora, el responsable de la misma y sus
colaboradores desarrollan un plan detallado del trabajo de auditora, donde el encargado de
cada equipo programa las actividades que le corresponden y las eleva al responsable general
del proyecto para ser compatibilizadas.

Caractersticas del Plan de Auditora:
Establece los recursos globales que van a ser necesarios para el trabajo.
Establece las prioridades de evaluacin sobre el material auditable (de acuerdo con las
indicaciones del cliente).
Auditora de Sistemas y Tecnologas de Informacin


16
Establece la disponibilidad requerida del personal y de los dems recursos a controlar.
Describe las tareas a realizar y las responsabilidades de cada integrante del equipo de
trabajo.
Establece las ayudas que el auditor debe recibir por parte del auditado.
No se consideran calendarios porque en esta instancia se manejan recursos genricos
y no especficos.

Una vez elaborado el Plan de Auditora, se procede a la elaboracin de los Programas de
Trabajo que son las cuantificaciones del Plan de Auditora. En ellos se asignan los recursos
humanos y materiales concretos para cada segmento del plan general. En los Programas de
Trabajo se establece el calendario real de actividades a realizar; estos documentos sirven para
controlar el grado de avance del proyecto de auditora.

Ejecucin de las actividades de relevamiento: En este punto el auditor debe documentarse
sobre cmo trabaja el rea o sistema que se est auditando. En cuando se realizan las
actividades concretas -in situ- del trabajo de auditora: observacin del ambiente de trabajo,
entrevistas, encuestas, anlisis de documentacin, etc. Las tcnicas y/o herramientas a
utilizadar sern descriptas en la prxima unidad.

4) Anlisis:

Realizadas las tareas de relevamiento e investigacin, las actividades de esta etapa consisten
en procesar la informacin recabada, evaluar la calidad de los controles y sacar las
conclusiones pertinentes; es decir clasificar, elaborar, ordenar los papeles de trabajo
obtenidos en la etapa anterior. El objetivo es obtener la informacin documentada necesaria
para avalar el resultado del trabajo, es decir respaldar el Informe de Auditora.

5) Elaboracin del Informe:

La elaboracin del Informe Final es el ltimo paso de una auditora. Es el exponente de la
calidad del trabajo y el lugar donde el auditor avala personal y profesionalmente su juicio en
forma documental.

5.4. Informe Final

Es el resultado tangible del trabajo de auditora. Todo lo que se vuelque en el informe debe
estar avalado por los papeles de trabajo, constancias documentales o pruebas tangibles y
objetivas; de otra manera ste puede ser objetado y hasta desechado.

Auditora de Sistemas y Tecnologas de Informacin


17
Los hechos a incluir en un informe de auditora implican la existencia de una debilidad
detectada que ha de ser corregida o puntos de control que deben ser fortalecidos. El Informe
debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes o
accesorios desva la atencin del lector y desvirta el informe en su conjunto.

Resulta evidente la necesidad de redactar borradores e informes parciales y previos del
Informe Final, ya que es el mtodo ms adecuado para equilibrar las tcnicas analticas
utilizadas durante el trabajo de relevamiento, con las sintticas que exige la confeccin de este
informe. Los borradores e informes parciales pueden ser usados como elementos de contraste
de opiniones entre auditor y auditado, y pueden descubrir fallos de apreciacin por parte de los
especialistas al evaluar las materias auditadas.


Segn Acha Iturmendi9, sus captulos son:

1) Marco de ejecucin del trabajo de auditora. El informe se inicia especificando las
fechas de comienzo de la auditora y de redaccin del documento. Se incluyen
asimismo los nombres de los especialistas integrantes del equipo auditor y los
nombres de todas las personas entrevistadas (con indicacin de la posicin,
responsabilidad o puesto de trabajo que ostenten).
2) Definicin de objetivos y alcance de la auditora.
3) Enumeracin de temas considerados. Antes de tratarlos en profundidad, se
enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora.
4) Cuerpo expositivo (Observaciones). Para cada tema objeto de auditora se sigue el
siguiente orden:
Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin, sino adems su evolucin en el tiempo, se
expondr la situacin prevista y la situacin real.
Tendencias. Se tratarn de hallar parmetros de correlacin que permitan
establecer
tendencias de situacin futura; no siempre es posible tal pretensin.
Puntos dbiles y amenazas. Debern explicarse por s mismos, sin referencias
a otros lugares del informe.
5) Recomendaciones y Planes de Accin. Constituyen, junto con la exposicin de
puntos dbiles, el verdadero objeto de una auditora. Consejos:
Siempre se explicitar la palabra recomendacin, y ninguna otra.
Debern entenderse por s solas, por su simple lectura.

9
ACHA ITURMENDI, J.JOSE, Auditora Informtica de la empresa, Editorial Paraninfo, Madrid, 1994. Captulo 6.
Auditora de Sistemas y Tecnologas de Informacin


18
Debern ser concretas y exactas en el tiempo, para que puedan ser seguidas y
verificadas en su implementacin.
Las recomendaciones se redactarn de forma tal que vayan dirigidas
expresamente a la persona o personas que puedan implementarlas.
Debern evitarse las recomendaciones demasiado generales.
6) Redaccin de la Carta de Introduccin o Presentacin. Este documento tiene
especial importancia porque en pocas hojas resume la auditora realizada, de
manera que el cliente pueda formarse una idea aproximada de la situacin final con
la sola lectura de este informe sinttico. As como pueden existir tantas copias del
Informe Final como solicite el cliente, no deberan hacerse copias de este
documento, ya que la informacin que contiene es de naturaleza confidencial. Su
destinatario debe ser la autoridad mxima de la empresa (o a quien ella delegue
expresamente).



Auditora de Sistemas y Tecnologas de Informacin


19
6. ANTECEDENTES


Al hablar de auditora en una empresa se piensa en un contador revisando el sistema de
informacin contable. Los primeros sistemas de procesamiento electrnico de datos
(computadores) fueron aplicados para automatizar las tareas administrativo-contables de las
empresas. Por consiguiente, los primeros trabajos de auditora que se realizaron en los
entornos informticos fueron auditoras de los sistemas de informacin contable y ejecutados
por los mismos especialistas que ya estaban controlando dichas actividades: los contadores-
auditores.

Los contadores en una primera etapa tomaron al computador como una "caja negra", es decir
se limitaron a analizar la entrada y salida de los datos (contrastando la informacin de salida
con los datos ingresados al sistema) sin preocuparse de cmo se procesaban, dando origen a
las tcnicas de auditora alrededor del computador.

Luego, los auditores comprendieron que necesitaban conocer cmo se procesaba la
informacin, para ello se informaron respecto de los principales aspectos tcnicos
relacionados con la nueva herramienta, dando lugar al desarrollo de las tcnicas de auditora a
travs del computador.

Como una extensin del alcance de su trabajo, tambin se ocuparon de analizar el
funcionamiento (la gestin) del entorno donde resida la informacin objeto de anlisis, es decir
auditar el ambiente informtico en sus aspectos tcnicos: equipamiento, programas,
comunicacin de datos, etc.: aspectos relacionados a una auditoras operativa del Centro de
Cmputos. Visto desde otro ngulo, evaluaron actividades correspondientes a una auditora
informtica, materia de los profesionales informticos

Equivalentes?

Muchos autores consideran a los trminos Auditora de Sistemas y Auditora Informtica como
equivalentes; sin embargo, creemos oportuno hacer algunas consideraciones al respecto:

Auditora de sistemas es un trmino con varias acepciones: en este trabajo entendemos por
ella a las actividades de evaluacin y control de los sistemas de informacin de una
organizacin.

Histricamente, el sistema de informacin de una empresa sobre el que se haca auditora era
el contable, aquel que reflejaba la situacin econmico-financiera de la empresa. La irrupcin
Auditora de Sistemas y Tecnologas de Informacin


20
de tecnologas de procesamiento electrnico de datos facilit el desarrollo y automatizacin de
otros sistemas de informacin en la empresa, los que completan y complementan el contable.
Esta situacin justifica la necesidad de auditar tambin otros sistemas de informacin de una
entidad, por ejemplo: gestin de ventas, de compras, administracin de activos fijos,
administracin de inventarios, recursos humanos, etc.

Auditora infomtica, en cambio, se ocupa de evaluar cmo se utilizan los recursos informticos
que dispone la organizacin. Es un anlisis de eficiencia operativa y puede llegar, incluso, a
considerar las nuevas tecnologas disponibles en el mercado (los recursos potenciales)
aplicables al procesamiento de datos.

La auditora informtica de una entidad, en algunos casos, incluye la evaluacin del
funcionamiento operativo de los sistemas de aplicacin en produccin, tareas comprendidas
tambin en una auditora de sistemas. A su vez, una auditora de sistemas suele incluir la
evaluacin de los recursos informticos que se usan para mantenerlo operativo. De ah que sus
mbitos de actuacin se crucen, confundan y lleven a considerar ambos trminos como
equivalentes.

Otras auditoras en entornos informticos

Otra tipo de trabajo de auditora posible en estos ambientes es el relacionado con seguridad
informtica. Los estudios sobre este tema suelen estar incluidos como un item ms dentro de
los trabajos de auditora informtica. Sin embargo, la complejidad e importancia del tema exige
y justifica se realicen auditoras especficas, a cargo de tcnicos especficos en seguridad y
prevencin de cada uno de los aspectos involucrados.

La seguridad del sistema informtico afecta en forma directa al control interno de los sistemas
de informacin. Actualmente los mayores demandantes de herramientas de seguridad
informtica provienen del ambiente bancario, de seguros y de defensa y, ltimamente, los
sistemas de comercio electrnico.

Por ltimo, deben considerarse tambin las auditoras de proyectos informticos. Al respecto
podemos decir que son poco frecuentes, slo proyectos informticos con grandes
presupuestos o muy complejos las justifican y son normalmente realizados por especialistas
informticos.

En este material no desarrollaremos los aspectos relacionados con este tipo de trabajos de
auditora; sin embargo, sugerimos asemejarlas a las tareas de auditora y control que se
realizan en la evaluacin de la ejecucin de cualquier tipo de proyecto.
Auditora de Sistemas y Tecnologas de Informacin


21
CUESTIONARIO DE REVISION


Qu es auditora?










Qu es control y qu comprende el control interno?









Qu son las pistas de auditora?









Auditora de Sistemas y Tecnologas de Informacin


22
Cules son las diferencias entre auditora y consultora?












Qu tipos de trabajos de auditora se pueden realizar en un entorno
informtico y cules son los objetivos de cada uno de ellos? Descrbalos








Auditora de Sistemas y Tecnologas de Informacin


23













UNIDAD 2


AUDITORIA DE
SISTEMAS
DE INFORMACION


Auditora de Sistemas y Tecnologas de Informacin


24
Auditora de Sistemas y Tecnologas de Informacin


25
CAPITULO 2
Auditora de sistemas de informacin



1. INTRODUCCION


En este captulo trataremos los trabajos de auditoras de sistemas o auditora de sistemas de
informacin. Tomaremos como ejemplo de anlisis el sistema de informacin contable, ste es
el sistema de informacin ms desarrollado, difundido y con mayor historia dentro de las
organizaciones.

El sistema de informacin contable se desarroll en una primera instancia para trabajar en un
entorno manual (libros contables, documentacin escrita, comprobantes, etc.) y as permaneci
por varios siglos; en las ltimas dcadas del siglo XX fue cuando sufri las mayores
transformaciones: las mquinas de "registro directo" primero y, posteriormente, las
computadoras, cambiaron por completo el ambiente de trabajo.

En este material, vamos a tomar al sistema de informacin contable como caso ejemplo y
sobre l desarrollaremos las tcnicas y procedimientos para efectuar "auditora de sistemas".
Las razones que justifican la eleccin son: es el sistema de informacin ms estandarizado,
est vigente en todas las organizaciones, tiene la mayor cantidad de especialistas, etc. Sin
embargo, es necesario aclarar que en las organizaciones existen otros sistemas de informacin
que se interrelacionan y complementan con el contable y que, quiz, son an ms importantes
para la entidad que ste ltimo y, por lo tanto, deben considerarse tambin candidatos firmes
para realizar una auditora de sistemas. Comenzaremos, entonces, por repasar algunos
conceptos de contabilidad, elementos que nos ayudarn a entender cmo realizar un trabajo de
auditora en este tipo de sistema de informacin.

1.1. El sistema de informacin contable

Recordemos el concepto de contabilidad: proceso de identificacin, medicin, registro y
comunicacin de los datos econmicos de una entidad. Incluye el sistema de informacin
econmico-financiero de la misma. La finalidad que persigue es permitir a los administradores
de la organizacin emitir juicios y tomar decisiones basadas en datos reales.

Una vez producido un hecho econmico, se refleja en los diferentes estados del sistema
contable, en distintos momentos. Primero se registra en el diario, luego puede mayorizarse y,
Auditora de Sistemas y Tecnologas de Informacin


26
por ltimo, al fin del ejercicio se refleja en el balance. As, los pasos para el registro de una
transaccin son:
10



Documentos
1
2
3
4
Examen y formulacin contable
Clasificacin cronolgica
Clasificacin sistemtica
Sntesis
DIARIO
MAYOR
BALANCE
Ciclo de registracin contable



La siguiente tabla comparativa entre contabilidad tradicional y digital permite al lector
comprender las principales diferencias entre ambos ambientes relacionados con la funcin de
auditora
11
:

Contabilidad Tradicional Contabilidad Digital
Tecnologa en uso Papel Digital, EDP
Nivel de madurez de
la tecnologa
Estable, madura En desarrollo
Nivel de
estandarizacin
Alta Poco desarrollada
Interconectividad Sistemas aislados
(standalone)
Integrado a los sistemas
inter-organizacionales
Accesibilidad a los
datos
Limitado en tiempo y
espacio
On-line. No limitado por
tiempo y espacio
Transmisin de datos Manualmente Automtica a travs de
redes de datos
Procesamiento de
datos
Manualmente Por aplicaciones de
software

10
RIVAS, GONZALO A., Auditora informtica,, Madrid, Edic. Daz de Santos, 1989, pg.30.
11
Gullkvist, Benita . On the nature and scope of digital accounting, 4CONTECSI, 2007
Auditora de Sistemas y Tecnologas de Informacin


27
Actualizacin de datos
y emisin de reportes
Manualmente Tiempo real, continuo,
en funcin de demanda
Controles Manuales Basados en el sistema,
monitoreo continuo
Almacenamiento de
datos
Basado en papel Digital, grandes
volmenes

1.2. Auditora contable



Auditora contable es el examen independiente de los estados financieros de una
entidad, con la finalidad de emitir o expresar una opinin sobre los mismos.
12


La finalidad es:
Comparar las transacciones del perodo y el patrimonio al final del ejercicio registrados
en la contabilidad.
Comparar la valuacin asignada a las transacciones y al patrimonio.


Por otro lado, es necesario destacar que:

... existe un conflicto de intereses. La empresa es quien compila sus propios estados contables, y
la comunidad con el objeto de conseguir la compatibilida
d necesaria de ellos, establece un control denominado auditora externa de estados contables
4

El objetivo principal de una auditora, consiste en examinar los estados financieros de una empresa
o institucin, aplicando unas normas de actuacin generalmente aceptadas de forma que permita
al profesional encargado de su realizacin informar sobre la veracidad y razonabilidad de la
situacin financiera examinada, al tiempo que se pronuncia sobre si los mismos estn
confeccionados de acuerdo con principios de contabilidad generalmente admitidos, y si han sido
aplicados de manera uniforme en ejercicios anteriores.
13




Para ello:

El auditor, contador pblico independiente, lleva a cabo una investigacin crtica de los estados
contables con el objetivo de formarse un juicio sobre la veracidad de tal informacin y comunicarlo
a la comunidad. Esta es la tarea del auditor y lo que se denomina auditora externa de estados
contables.
14




12
GABRIEL GUTIERREZ VIVAS, "Auditora e Informtica", en: CENTRO REGIONAL DEL IBI PARA LA
ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos sobre "AUDITORIA
INFORMATICA", Madrid,1987, pg. 87.
13
PEREZ GOMEZ, JOSE MANUEL , "Auditora Informtica de las Organizaciones", en: CENTRO REGIONAL DEL
IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos sobre
"AUDITORIA INFORMATICA", Madrid,1987, pg. 17
14
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS. CENTRO DE
ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Area Auditora - Informe N 5 - MANUAL DE AUDITORIA,
Buenos Aires, 1985, pg 42.
Auditora de Sistemas y Tecnologas de Informacin


28
Normas para la ejecucin de un trabajo de auditora en un entorno
computarizado

En general, los autores coinciden en que las normas de auditora vigentes han sido creadas
para examinar los registros de los sistemas contables en ambientes manual-mecnicos. Sin
embargo, proponen que tambin son vlidas para la ejecucin de este tipo de trabajos en un
entorno computarizado. Es decir, se pueden aplicar sin importar el mbito donde sta se
realice.

En nuestro pas se aplica el Informe N6
15
como norma para regular la ejecucin de Auditoras
Contables en un "contexto computarizado"

Evolucin de la auditora contable


Independientemente del campo de accin o del objeto o materia de examen, aspectos que han
derivado en los diversos apellidos de la Auditora, lo que debe quedar en claro es que la Auditora
es una tcnica moderna de control que comprende un examen o revisin de carcter CRITICO
(exige pruebas evidenciales), SISTEMATICO (se basa en normas, mtodos, procedimientos y
tcnicas), y SELECTIVO (sobre la base de encuestas representativas) de funciones, operaciones e
informes, con la finalidad de emitir una OPINION profesional, OBJETIVA, FUNDAMENTADA, e
IMPARCIAL del OBJETO de su examen.
16



Los objetivos perseguidos por la auditora contable y su campo de accin han evolucionado
gradualmente; desde la cautela de los activos (bienes) y la forma en que stos son
administrados para poder emitir una opinin sobre la razonabilidad de los estados financieros
de la empresa, hasta pronunciarse respecto del comportamiento de los restantes sistemas de
informacin en produccin, los procedimientos administrativos de los mismos, la evaluacin de
la eficiencia y economa con que se administran y consumen los recursos, e incluso, el logro de
las metas y objetivos establecidos por la institucin.

Para poder efectuar en forma eficaz su tarea el auditor debe realizar un sinnmero de
actividades, en muchos casos ajenas a la actividad contable, por lo que el profesional actuante
necesita la colaboracin de diversos especialistas y tcnicos; de all que se estila el desarrollo
de trabajos de auditora sobre la base de equipos multidisciplinarios.


15
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS. CENTRO DE
ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe N 6 - Pautas para el examen de estados contables en
un contexto computarizado, Buenos Aires, s. f.
16
JORGE MERIDA MUOZ, "Auditora Informtica: Conceptos, evolucin y perspectivas", en: CENTRO REGIONAL
DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso Iberoamericano de Informtica
y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg. 72.
Auditora de Sistemas y Tecnologas de Informacin


29
1.3. Dificultades del ambiente informatico

Nardelli
17
, nos seala que las caractersticas ms importantes de un computador en su relacin
con la auditora son:
Automatismo del computador. El computador como un autmata nos libera del
comportamiento probabilstico de los seres humanos.
Determinismo del algoritmo. El computador trabaja mediante un proceso exactamente
definido que fija la secuencia estricta en que ha de realizarse una serie de operaciones
para arribar a un resultado prefijado. Esto lo realiza un programa que en realidad se
trata de un modelo determinstico.

Se podra resumir en que un computador acta siempre igual ante iguales situaciones; su
comportamiento no es autnomo, sino que debe ser previamente determinado por el hombre (a
travs de un programa). Como corolario, el riesgo no est en el instrumento en s (el
computador), sino en quin lo maneja y controla (el programador u operador).

Cuando se realizan trabajos de auditora en un entorno computarizado el auditor se encuentra
con problemas propios del ambiente; en general, los especialistas sealan las siguientes
dificultades:

La informacin (los registros en general) no est visible al ojo humano. Los datos del
sistema de informacin residen en un medio no visible y slo accesible por el
computador.
En la elaboracin de la informacin se realiza todo tipo de operaciones intermedias sin
dejar rastros o constancias de las mismas. As, esta informacin resulta ms vulnerable
a su modificacin, en comparacin con los sistemas manuales.
Gran parte de la tarea de procesamiento y control de la informacin que se realizaba
en forma manual, es sustituida por el programa.
La verificacin del sistema y sus procesos se hace ms compleja a medida
que nos enfrentamos con sistemas ms integrados, donde la realizacin a
travs del ordenador de las transacciones elementales del negocio genera
los correspondientes asientos contables de forma automtica, e incluso
operaciones tradicionalmente efectuadas por el Departamento Contable
como las amortizaciones, se efectan sin intervencin manual alguna
18


Cambian las pistas de auditora: el propio sistema informtico es el que genera (fuente)
las transacciones, en forma electrnica, sin el soporte papel que las avala y
documenta.

17
JORGE NARDELLI, Auditora y Seguridad de los Sistemas de Computacin, Buenos Aires, Editorial Cangallo,
1984.
18
FERNANDEZ BARGUES, E., "Auditora e informtica", en CENTRO REGIONAL DEL IBI PARA LA ENSEANZA
DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos sobre "AUDITORIA INFORMATICA",
Madrid,1987, pg. 66.
Auditora de Sistemas y Tecnologas de Informacin


30
Se genera una dependencia de personal especializado para manipular la informacin
interna de la empresa.

En sntesis, los problemas para la funcin de auditora generados por la aplicacin de
tecnologa informtica son:
La informacin no es accesible directamente al ojo humano.
Se depende para el acceso a la informacin de especialistas en informtica.
Facilidad para modificar la informacin que reside en los medios de
almacenamiento digitales sin dejar rastros; esta caracterstica es conocida como
fenmeno de volatilidad de los datos y es un aspecto que afecta especialmente
a las pistas de auditora registradas por los sistemas.
Gran parte de los controles se delegan al propio sistema informtico, dando
lugar a la instrumentacin de los llamados controles programados.

Auditora de Sistemas y Tecnologas de Informacin


31
2. SISTEMA DE CONTROL INTERNO


Uno de los aspectos que ms interesa en la evaluacin (auditora) de los sistemas de
informacin es la comprobacin de la existencia de puntos de control interno. La finalidad es
que stos sean suficientemente confiables, independientemente de quienes los operen.

Control interno es el conjunto de normas, reglas, directivas e instrucciones que los
responsables de una organizacin establecen a fin de coordinar, dirigir y controlar a sus
subordinados en la ejecucin de las tareas que se realizan
19
.

El control interno tambin puede ser definido como el conjunto de medidas que contribuyen al
dominio de la empresa. Tiene como finalidad, por un lado, asegurar la proteccin y salvaguarda
del patrimonio y la calidad de la informacin, y por otro, la aplicacin de las instrucciones de la
direccin y favorecer la mejora de las actuaciones. Se manifiesta por medio de la organizacin,
los mtodos y procedimientos de algunas de las actividades de la empresa para mantener la
perennidad de la misma.
20


Control interno es tambin el conjunto de normas, reglas directivas e instrucciones que forman
el plan de la organizacin y todos los mtodos y procedimientos que, en forma coordinada, se
adoptan para asegurar que las amenazas sean mitigadas o detenidas y que los componentes
sean resguardados, restringidos o protegidos.

Como vemos, el control interno se refiere a los mtodos, polticas y procedimientos adoptados
dentro de una organizacin para asegurar la salvaguarda de los activos, la exactitud y
confiabilidad de la informacin gerencial y los registros financieros, la promocin de eficiencia
administrativa y la adherencia a los estndares de la gerencia.

El control interno se refiere a los procesos y las prcticas por las cuales la gerencia intenta
asegurar que las decisiones y actividades aprobadas y apropiadas son hechas y llevadas a
cabo. Estas decisiones y actividades pueden estar gobernadas por fuerzas externas: leyes y
regulaciones, ticas profesionales y estndares de auditora; o por factores internos: controles
implementados para asegurar a la Direccin que el negocio funciona de la manera esperada.

El control interno apunta a prevenir que funcionarios, empleados y gente externa a la
organizacin puedan involucrarse en actividades prohibidas o inapropiadas. De esta manera, el
control interno provee el mecanismo para prevenir el caos, la crisis gerencial, y otros eventos

19
Para ampliar conceptos sobre control interno recomendamos: VOLPENTESTA, Jorge Roberto, Estudio de
Sistemas de Informacin para la Administracin, Ed. O.D.Buyattii, Bs.As., 1993. pg. 155 a 173.
20
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcombo, Espaa, 1994, pg. 7.
Auditora de Sistemas y Tecnologas de Informacin


32
anormales que interfieren en el manejo eficiente de una organizacin. Sin los controles
apropiados, cada decisin se convierte en una adivinanza.

Al igual que cualquier procedimiento estndar, para ser efectivos, los controles deben ser
revisados y mantenidos; cuando ello ocurre, los controles trabajan en beneficio del negocio.
Dichos controles no deberan ser tan rgidos como para hacer difcil cualquier accin, pero no
pueden ser tan flexibles que sean la causa de que nada trabaje bien.

Otro autor
21
nos dice: un sistema de control interno es un proceso llevado a cabo por la
Direccin de la organizacin (Directorio, Gerencia) a los efectos de brindar una seguridad
razonable para el logro de los objetivos de la empresa en lo que hace a:

Eficacia y eficiencia de la entidad
Confiabilidad de la informacin financiera
Cumplimiento de las leyes y normas aplicables

La primera categora se relaciona con los objetivos del negocio de una empresa, incluyendo la
rentabilidad; la segunda con la preparacin de informacin financiera confiable, incluyendo sus
estados contables, mientras que la tercera se refiere al cumplimiento de las leyes y normas a
las que est sujeta.

Caractersticas del control interno

Es preventivo.
Est indisolublemente unido a los sistemas administrativos y contables de la organizacin,
incorporado al diseo de la estructura, de los procedimientos y sistemas administrativos.
No es espordico ni externo al sistema que sirve, ni a la empresa u organizacin en que
ste opera. Es continuo.
Implica eficacia en los procedimientos y controles, eficiencia operativa y seguridad en
materia de informacin.
Busca optimizar la relacin costo/beneficio para determinar la configuracin y profundidad
(alcance) de los controles a efectuar, es decir, tiene en cuenta el concepto de
economicidad del control.


21
NAVEYRA, JULIO P. y BARBAFINA, MARTIN, Principios bsicos de control interno.
Auditora de Sistemas y Tecnologas de Informacin


33

2.1. Impacto de la tecnologa en el Control Interno

Prez Gmez
22
, especialista en el tema, afirma que el ordenador no afecta los objetivos del
trabajo del auditor, pero s afecta al sistema de control interno de la empresa, as como a las
tcnicas de comprobacin o rastreo. Aconseja examinar y comprender la circulacin de los
datos econmico-financieros de una empresa, desde su aparicin, continuando con las
transformaciones realizadas hasta su registro como informacin de salida. Por ltimo,
recomienda identificar cules son:
- Las fuentes de la informacin elemental (documentacin).
- Las distintas combinaciones de esta informacin elemental a lo largo del
procesamiento de la misma.
- Las pistas de auditora.
- Los controles tanto manuales como informticos (automticos) establecidos a lo
largo del recorrido.

Es decir, los objetivos del trabajo siguen mantenindose, el cambio respecto a la auditora
tradicional es el entorno. Por ello, los auditores insisten en privilegiar la revisin del sistema de
control interno: satisfechos con las medidas de control interno implementadas, dan por buenos
los datos que genera el sistema de informacin econmico-financiero.

En general, se coincide que al efectuar la revisin del sistema de control interno en un
ambiente computarizado dentro del marco de una auditora a un sistema de informacin deben
controlarse especialmente los siguientes aspectos:

Adecuada segregacin de funciones. En un sistema de informacin computarizado la
segregacin de funciones pasa a ser administrada por herramientas informticas a travs
de grupos de usuarios (control de accesos) y perfiles de seguridad (permisos y derechos).

Tambin los auditores se ocupan de la separacin entre operadores y programadores
porque tiene consecuencias directas sobre la calidad de los datos. En general se procura
implementar controles para que slo puedan modificar programas quienes estn
autorizados, y con la precaucin de dejar registros de su identidad y de los cambios
realizados. Esto implica instrumentar mecanismos para mantener actualizada la
documentacin de los programas de aplicacin, incluyendo las modificaciones que se
efectan sobre los mismos. En este aspecto, tienen suma importancia las metodologas y

22
JOSE MANUEL PEREZ GOMEZ, "Auditora Informtica de las Organizaciones", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos sobre
"AUDITORIA INFORMATICA", Madrid,1987, pg. 17.
Auditora de Sistemas y Tecnologas de Informacin


34
los productos que se utilizan para el desarrollo y mantenimiento de los sistemas de
aplicacin, por ejemplo, las herramientas CASE aseguran un ambiente de desarrollo bajo
control con documentacin actualizada.

Control del acceso a los datos crticos y funciones de procesamiento. Se sugiere
implementar controles para asegurar que slo las personas debidamente autorizadas
puedan activar procesos que impliquen cambios en la informacin econmico-financiera de
la organizacin. Tambin es importante implementar mecanismos de control para asegurar
la confidencialidad de la informacin, es decir, controlar a quienes acceden a los datos: slo
deberan acceder a la informacin quienes estn autorizados.

Acceso general al sistema. A veces, ste es el primer aspecto que el auditor tiene en
consideracin al analizar el sistema de control interno de un ambiente computarizado.
Algunos de los controles de esta categora estn provistos por el sistema operativo del
equipo, otros son controles ms convencionales, como verificar quines acceden al rea de
Cmputos. En general, se ocupan de la "identificacin" de usuarios (aseguran que slo
ingresen al sistema los usuarios autorizados) y de la "autenticacin" de usuarios (validan la
identidad utilizando contraseas o passwords secretas, combinadas algunas veces con la
posesin de elementos fsicos como tarjetas magnticas o tarjetas inteligentes o midiendo
caractersticas biomtricas como huellas digitales).


2.2. Objetivos del control interno

El objetivo del sistema de control interno es asegurar que los activos de la organizacin no se
expongan a riesgos innecesarios, verificar la razonabilidad y confiabilidad de la informacin
financiera, promover la eficiencia operacional y provocar la adherencia a las polticas
prescriptas por la administracin. Al existir un sistema de control interno adecuado, tanto las
amenazas como el grado de riesgo o exposicin se reducen a un nivel aceptable.

Por lo tanto, el objetivo del sistema de control interno es prevenir y no detectar situaciones
irregulares una vez que stas han sido cometidas. En general, los principios del control interno
tienden a la satisfaccin de las siguientes metas:
Adecuada proteccin de los activos. Debe instrumentar medidas para salvaguardar el
patrimonio o bienes de la organizacin -tanto tangibles como intangibles- contra errores e
irregularidades. Los errores son fallas no intencionadas, ocurridas durante el normal
desempeo de las actividades, y las irregularidades son actos intencionales, tendientes a
ejecutar un fraude o alguna otra actividad ilcita contra los bienes de la organizacin.
Proveer informacin confiable. Considera el control sobre la exactitud, confiabilidad y
oportunidad de los datos que se procesan, a fin de obtener informacin confiable -tanto para
Auditora de Sistemas y Tecnologas de Informacin


35
la toma de decisiones como para la ejecucin del resto de las actividades-.
Promover la eficiencia operativa y la seguridad general de la organizacin.

Asimismo, los controles computarizados tambin deben procurar potenciar los siguientes
aspectos:
Limitacin de la autoridad: Buscar establecer un rgimen adecuado de autorizacin de
operaciones y actividades.
Separacin de tareas: Procurar la segregacin de tareas, de modo que ninguna
persona/puesto concentre las funciones de custodiar bienes, autorizar las transacciones que
los afecten y, a su vez, registrarlas.
Proteccin fsica: Procurar producir documentos y registros adecuados para asegurar la
debida contabilizacin y restringir el acceso de personas no autorizadas a bienes y
registros.


2.3. Importancia del control interno

La necesidad de un adecuado sistema de control interno es creciente conforme aumenta el
tamao y la complejidad de una organizacin, por eso es inapropiado hablar de un sistema de
control interno en una empresa unipersonal.

De acuerdo a la evolucin del ambiente en el cual se desarrollan las tareas de auditora -de
manual a computarizado-, se fue haciendo cada vez ms importante el empleo de medidas de
control interno. El objetivo del auditor en estos casos es controlar la existencia de "tejidos y
mallas de contencin" de conductas y procedimientos que impliquen riesgos, que ocasionen
dificultades para el normal desenvolvimiento de la organizacin o que impidan que sta opere
con agilidad.

El ambiente administrativo tradicional fue modificado por la aparicin del computador; en
funciones como las registraciones contables, incidi sobre las tareas ms elementales:
- clculo, resumen, almacenamiento y clasificacin de datos.
- transmisin de datos.
- integridad de los sistemas.
- generacin de documentos fuentes. Observemos que en la actualidad los sistemas
informticos tienden a prescindir de los documentos que avalan las operaciones: facturas,
remitos, recibos, etc., y hasta suprimen, a veces, su generacin.

La importancia fundamental del sistema de control interno en un entorno informtico, es que, si
este control es razonablemente aceptable, se dan por buenos los datos que genera el sistema
Auditora de Sistemas y Tecnologas de Informacin


36
de informacin computarizado. Por lo tanto, una de las normas para la ejecucin de un trabajo
de auditora en un entorno computacional, es el estudio y evaluacin del sistema de control
interno. Las normas no varan, lo que se modifica son los procedimientos y medios utilizados
por el auditor.


2.4. Elementos sobre los que trabaja el control interno

Un sistema de control interno opera sobre la estructura, los procedimientos y el personal de
una organizacin. Veamos cmo opera en cada uno:

a) En la estructura

La estructura de una entidad (reflejada en el organigrama) provee al sistema de control interno
de informacin sobre la divisin de tareas y responsabilidades, y de los mecanismos de
coordinacin necesarios para el desarrollo eficiente de las funciones. As, la estructura aporta:
- Divisin de funciones evitando la existencia de tierras de nadie o zonas grises. Es decir,
procurar que ningn sector pueda registrar y, a la vez, controlar sus propias operaciones.
- Definicin de misiones y funciones, y asignacin de atribuciones y responsabilidades.
- Separacin en fases de una operacin. Permite instrumentar mecanismos de control por
oposicin de intereses.


b) En los procedimientos

Los procedimientos son las actividades programadas que utiliza una organizacin para efectuar
sus operaciones. En este mbito es importante destacar la necesidad de que existan manuales
y/o documentacin donde encontrar las normas, detalle de los pasos o etapas de los
procedimientos, los registros y los documentos fuente.

Los procedimientos necesitan de:
- Manuales de procedimientos formalizados, donde las operaciones estn detalladas en
forma escrita (pasos, formularios, documentos, etc.).
- Mecanismos o canales de reclamo.
Mecanismos de control que aseguren la precisin y seguimiento del procesamiento (para ello
se usan reportes automticos de las transacciones procesadas, formularios prenumerados, etc.



Auditora de Sistemas y Tecnologas de Informacin


37
c) En los recursos humanos

El personal constituye dentro de la organizacin el elemento ejecutor de los procedimientos.
Las normas de control interno aplicables al personal se refieren a la seleccin, entrenamiento y
capacitacin y evaluacin de sus tareas. Procuran evaluar:
El procedimiento de bsqueda y seleccin de personal; procura asegurar la calidad
individual y las aptitudes necesarias para el puesto a cubrir.
El entrenamiento y capacitacin adecuado del personal.
La rotacin del personal, en especial de aqul asignado a puestos claves.



2.5. Medidas de control interno aplicables a un ambiente
computarizado


Las medidas de control interno aplicables a un sistema computarizado pueden ser agrupadas
en dos grandes categoras:

a) Control del entorno

Esta categora contempla los controles aplicados sobre las actividades que se desarrollan
alrededor de una aplicacin. Son aqullos relacionados con la estructura. Incluyen el control
de las actividades relacionadas con la operacin de los sistemas, la construccin y
mantenimiento de las aplicaciones, la puesta en marcha y uso de los programas, la seguridad
de operacin y resguardo de los archivos de datos, el control de acceso al sistema, etc.

Los controles del entorno pueden ser agrupados en aquellos orientados a:
Operacin del computador: asegura la consistencia de los procedimientos operativos del
computador, por ejemplo, implementar procedimientos y asignar responsabilidades para las
tareas de back-up, mantenimiento de perfiles de usuarios, asignacin de cuentas de
usuarios, etc.
Seguridad sobre archivos de datos: procura impedir accesos no autorizados o cambios no
deseados a los archivos de datos, por ejemplo, configurando perfiles de acceso para
directorios y archivos.
Mantenimiento de los programas: Comprende a los procedimientos internos que involucran
controles y autorizaciones para poner en produccin nuevos programas o aquellos
modificados. Se formalizan a travs del uso de metodologas para el desarrollo y
procedimientos para gestionar las modificaciones; su finalidad es impedir poner en
produccin versiones no autorizadas de los programas.
Auditora de Sistemas y Tecnologas de Informacin


38
Productos de software utilizados: procura evitar el uso incorrecto e indebido de productos de
software que puedan afectar a la informacin sensible de la empresa. Por ejemplo, usando
slo versiones licenciadas (legales) de los productos, estandarizando las herramientas de
productividad (procesadores de texto, planillas de clculo, bases de datos personales) que
pueden utilizar los usuarios, implementando planes de capacitacin para los usuarios
finales, etc.


b) Controles programados o de aplicacin

Los controles de aplicacin o controles programados son los mecanismos de validacin
incorporados en los programas que procesan las operaciones de una entidad. Se relacionan
con los procedimientos operativos. Son procedimientos automatizados de verificacin y
validacin ejecutados por los programas de una aplicacin que se ejecutan en forma
autnoma. Tambin suelen incluirse en esta categora los controles manuales realizados por
los usuarios de la aplicacin antes y despus de que los datos sean procesados por el
computador (controles visuales a los datos de entrada y salida).

Cuando los controles de una aplicacin son llevados a cabo por el computador, es decir por el
programa que se est ejecutando en su memoria, reciben el nombre de procedimientos
programados o controles programados.

Es necesario asegurar que la formulacin de los controles programados sea efectuada en
forma planificada y dentro del marco general de la aplicacin, evitando que se vayan
incorporando sobre la marcha, en forma de remiendos. La incorporacin de controles
programados en forma desordenada, fuera del marco general del sistema o en contra de su
diseo, llevan en general a un acortamiento en su vida til y/o a crisis generales en el mismo,
generando la necesidad de su reemplazo urgente, con los costos econmicos y
organizacionales asociados.


2.6. Tipos de controles programados


Los controles programados a incorporar en una aplicacin, sern particulares a los problemas
(controles) que se deseen resolver en el sistema de informacin bajo anlisis. Para abordar los
tipos de controles posibles de programar, vamos a agruparlos en cuatro categoras, segn el
momento donde intervienen en la transaccin:

Auditora de Sistemas y Tecnologas de Informacin


39

a) Controles de entrada

Son los mecanismos de control que operan sobre los datos que ingresan al sistema. Permiten
seleccionar los datos que entran al computador y aseguran que se procesen en forma integral y
correcta slo las operaciones debidamente autorizadas. Estn relacionados con el control
sobre la totalidad, exactitud, validez y mantenimiento de los datos que ingresan al sistema.
Consisten en pruebas de validacin, acumulacin de totales, reconciliaciones, identificacin e
informe de datos incorrectos, excepcionales o faltantes, etc.

Clasificacin de los controles de entrada:
de formato: validan los datos de entrada en funcin de la naturaleza del campo, ejemplo:
numrico, alfabtico, fecha.
de secuencia: verifican que las operaciones entren en el sistema en su totalidad y en el
orden correspondiente. Trabajan con documentos pre-numerados.
de comparacin con datos preexistentes: impiden la aceptacin de un dato si ste no
satisface las condiciones previamente establecidas por otro dato.
por lmites: rechazan o advierten que los datos de entrada que no estn comprendidos
dentro de determinados parmetros.
por lotes: toma como elemento de control el resultado del procesamiento de un dato
correspondiente a un lote de entrada. Por ejemplo, total de venta correspondiente a un da
determinado en una sucursal (obtenido de la planilla de Tesorera), este dato debe
corresponderse con el resultado del lote a procesar (lote de facturas) por la aplicacin.

Cundo se implementan los controles de entrada?
- En la preparacin de la documentacin fuente por parte del usuario: se recomienda utilizar
documentos de origen prenumerados y cartulas de control para los lotes de documentos a
procesar.
- En la digitacin, cuando los datos contenidos en los documentos fuente se convierten a
soporte digital, es conveniente contemplar las siguientes acciones: doble digitacin de los
campos crticos, identificar (marcar) los documentos fuente procesados, mantener un acceso
restringido a los documentos fuente, efectuar un control de balanceo de lotes, usar dgito
verificador, etc.
- En la consistencia de los datos: estos controles aseguran la calidad del dato. Se agrupan en
controles de: formato, falta del contenido, naturaleza del dato, lmite de razonabilidad / rango,
correlacin entre distintos campos, balanceo, conciliacin, etc.

Auditora de Sistemas y Tecnologas de Informacin


40
b) Controles de procesamiento

Los controles programados aplicados al procesamiento operan sobre las transformaciones que
se ejercen en los datos, una vez que la transaccin entra en el sistema. Por ejemplo, el control
de balanceo de operacin, necesario para mantener la consistencia entre los datos de entrada
y de salida. Procuran evitar la realizacin de errores y/o fraudes, mejorar la seguridad y
confiabilidad en el procesamiento de los datos y la generacin de informacin cierta.

Tipos de controles de procesamiento:
control de lmite (similares a los de entrada).
prueba de sumas cruzadas (sumar desde varias fuentes el mismo item).
prueba de balanceo cero (asegura que los crditos son iguales a los dbitos).
control de procesamiento duplicado (aseguran que una transaccin no se procese dos
veces).
control de items en suspenso

Los items en suspenso se generan en los casos de operaciones que, por algn motivo, no han
satisfecho los requisitos de entrada. En estos casos, se recomienda que las operaciones
incompletas ingresen (se graben) en un archivo especial, de transacciones en suspenso.
Posteriormente, cuando los requisitos para procesar dichas transacciones estn cumplidos,
podrn ser levantadas desde dicho archivo y finalizar su procesamiento normalmente.

Por ltimo, en los casos de sistemas on-line, los controles recomendados de procesamiento
aconsejan que las operaciones de borrado de registros no ejecuten la baja fsica de los
mismos, sino que los marquen, para ser posteriormente depurados. Tambin, aconsejan
registrar los datos bsicos de las operaciones procesadas a medida que stas se producen, en
un archivo de movimientos (log de transacciones).

c) Controles de salida

Los controles programados para la salida de datos procuran proteger la informacin que
genera el sistema de los potenciales errores y/o irregularidades que pueden llegar a detectarse
cuando se los lea. El sistema deber establecer los mecanismos que garanticen la exactitud de
la informacin de salida, la cual debe poder conciliarse con los datos fuentes.

Tienen como objetivo asegurar que:
la informacin de salida sea completa y no pueda ser alterada por fuera del sistema.
la informacin se distribuya a las personas autorizadas, en tiempo y forma.
se identifiquen convenientemente los soportes (en caso de ser magnticos) para facilitar el
Auditora de Sistemas y Tecnologas de Informacin


41
acceso a la informacin. Esto es especialmente importante cuando los datos a guardar en
formato digital tienen probabilidad de perdurar en el tiempo (imagine Ud. datos guardados
hace 15 aos en disquetes de 8"; dnde puede leerlos ahora?).

d) Controles sobre los archivos

Los controles programados sobre los archivos operan tanto sobre los datos permanentes del
sistema, grabados en los archivos maestros, como sobre los que guardan datos transitorios, en
archivos de movimientos. Procuran proteger los archivos grabados en soporte digital. Estos
controles son ejercidos principalmente por el sector de Operacin o Explotacin del
departamento de Sistemas y, tambin, por los propios usuarios.

Ejemplos de este tipo de controles programados son los listados emitidos automticamente por
las aplicaciones, informando a los usuarios respecto a las modificaciones efectuadas a datos
crticos de los archivos maestros. Por ejemplo:
nmero de registros dados de alta, baja o modificados.
nmero de registros existentes en los archivos antes y despus de las modificaciones.
sumatoria del contenido de campos significativos que se deseen controlar, etc.

Si bien la responsabilidad sobre los datos de un sistema recae en el usuario final, el personal
del rea de Sistemas que apoya la gestin de las aplicaciones debe cuidar de no procesar
altas, bajas y modificaciones sobre datos crticos que no se encuentren acompaados de las
respectivas autorizaciones.

La oportunidad y alcance de estos controles deben ser fijados por el rea de auditora interna y
los sectores usuarios, conjuntamente con los responsables del departamento de Sistemas de la
entidad.

Auditora de Sistemas y Tecnologas de Informacin


42
3. RELEVAMIENTO DEL SISTEMA DE CONTROL INTERNO



En este apartado trataremos los aspectos relacionados con las tareas de Relevamiento e
investigacin, tercera etapa del "Programa de Auditora" (descripto en la unidad anterior). Esta
etapa es habitualmente la que demanda mayor esfuerzo y recursos y es clave para determinar
la calidad de un trabajo de auditora.

En general, para efectuar las tareas correspondientes a la etapa de relevamiento, en el marco
de un trabajo de auditora de un sistema de informacin que funciona en un entorno
computarizado, se siguen tres fases; cada una de ellas agrupa un conjunto de actividades:


1) Estudio preliminar: tarea previa a encarar de lleno el relevamiento e investigacin en
detalle del rea.

Los objetivos de esta fase son:

Determinar las principales aplicaciones del rea o sistema que se audita, y sus
efectos en la informacin.
Conocer las caractersticas del equipamiento disponible.
Establecer el efecto del sistema computarizado en la informacin de la empresa.




2) Estudio del sistema de control interno: actividad obligatoria cuando en el estudio
preliminar se ha determinado que intervienen aplicaciones informticas en la obtencin de
la informacin de la entidad bajo estudio.

Los objetivos de esta fase son:

Auditora de Sistemas y Tecnologas de Informacin


43
Evaluar la estructura organizacional del rea de Sistemas (Centro de Cmputos o
departamento de Sistemas) y los controles generales establecidos en dicha rea.

Conocer las caractersticas de las aplicaciones, el grado de intervencin en la
transformacin de los datos y el volumen de operaciones que dependen del sistema
informtico. El objetivo es poder juzgar si se deben efectuar pruebas de cumplimiento a
los controles implementados en el ambiente de procesamiento de datos, situacin en la
que se pasa a la siguiente etapa.




3) Prueba de los controles del sistema de informacin: actividad necesaria cuando
los sistemas computarizados sujetos a revisin son de tal importancia, que la omisin del
cumplimiento de los controles limita la calidad de las pruebas de auditora consideradas
vlidas y suficientes.



Hecho el estudio preliminar y vista la necesidad de evaluar el sistema de control interno, se
pasa a la etapa del relevamiento. Para realizar esta tarea es conveniente seguir una
metodologa (procedimiento de trabajo). Una metodologa de relevamiento nos asegura que se
cumplan todos los pasos necesarios para hacer un completo y riguroso estudio del sistema de
control interno, marco donde se desenvuelve el sistema de informacin bajo estudio.

Auditora de Sistemas y Tecnologas de Informacin


44
4. METODOLOGAS PARA EVALUAR EL SISTEMA DE CONTROL
INTERNO


En este apartado vamos a ocuparnos de cmo realizar el relevamiento detallado. Existen varias
metodologas para evaluar el sistema de control interno de un sistema de informacin que
funciona en un contexto computarizado. En nuestro caso vamos a considerar tres propuestas:
la utilizada en el Informe N 6
23
, la desarrollada en el Informe COSO
24
y la propuesta por la
firma Price Waterhouse
25
. Estas tres no son las nicas metodologas reconocidas, existen
otras, por ejemplo: COCO (Canad), Cadbury (Inglaterra), etc.

a) Informe N6

La metodologa de trabajo propuesta por el Informe N 6, es la oficialmente avalada por la
Federacin Argentina de Profesionales en Ciencias Econmicas para realizar auditoras de
balance, considera tres grandes pasos o etapas:
I. Relevamiento de las actividades formales de control
II. Evaluacin de las actividades de control relevadas
III. Pruebas de funcionamiento de los controles seleccionados

Sugerimos al lector leer el documento de referencia (material de uso pblico actualmente en
revisin) para ampliar o acceder al detalle del mismo.

b) Informe COSO

El informe COSO consta de cinco componentes o etapas para efectuar el anlisis del sistema
de Control Interno. Estos componentes estn relacionados entre s, son derivados del estilo de
la direccin y estn integrados al proceso de gestin. Ellos son:

I. Ambiente de Control
II. Evaluacin de Riesgos
III. Actividades de Control
IV. Informacin y Comunicacin
V. Supervisin


23
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS. CENTRO DE
ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe N 6 - Pautas para el examen de estados contables en
un contexto computarizado, Buenos Aires, s. f.
24
Metodologa desarrollada por la firma Cooper & Lybrand y adoptada como estndar por las asociaciones
americanas de contabilidad y auditora. Publicada en 1992.
25
Apuntes del Seminario de Auditora de Sistemas, INFO95. Disertante Cr. Sergio Tubio, Price Waterhouse.
Crdoba, 1995.
Auditora de Sistemas y Tecnologas de Informacin


45

El ambiente de control refleja el espritu tico vigente en una entidad respecto del
comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la
importancia que le asignan al control interno. Sirve de base a los otros componentes, ya que es
dentro del ambiente reinante donde se evalan los riesgos y se definen las actividades de
control tendientes a neutralizarlos. Simultneamente se capta la informacin relevante y se
realizan las comunicaciones pertinentes, dentro de un proceso supervisado y corregido de
acuerdo con las circunstancias.

En el Anexo I se describe esta metodologa.

c) Metodologa de Price Waterhouse

La metodologa seguida por Price Waterhouse propone una forma sencilla y ordenada para
analizar la eficacia de las medidas de control interno implementadas en un sistema de
informacin computarizado; los pasos son:

I. Relevamiento de las actividades que afectan el control, partiendo de una categorizacin
previa de riesgos
II. Evaluacin de las actividades de control relevadas (detectar controles)
III. Pruebas y evaluacin de funcionamiento de controles seleccionados (probarlos)

Sintticamente este enfoque propone primero identificar los controles implementados para
proteger al sistema de aquellos riesgos considerados relevantes

por la metodologa y luego probar los controles implementados para mitigarlos con la finalidad
de determinar su eficacia.

Quiz el aporte ms importante de esta propuesta sea la clasificacin de los riesgos y el orden
de prelacin que sugiere para su anlisis. Sintticamente la metodologa propone efectuar el
relevamiento de los riesgos asociados a las actividades del sistema bajo estudio en el siguiente
orden:


1.- Acceso a las funciones de procesamiento
2.- Ingreso de datos
3.- Items rechazados o en suspenso
4.- Procesamiento inadecuado de las transacciones


Riesgos relacionados
con los sistemas de
aplicacin en
produccin
Auditora de Sistemas y Tecnologas de Informacin


46


5.- Estructura organizativa del departamento de Sistemas.
6.- Cambios a los programas
7.- Acceso general al sistema informtico



8.- Riesgo de continuidad de procesamiento



Los cuatro primeros corresponden a riesgos a nivel de las aplicaciones funcionales de la
empresa, por ejemplo: Contabilidad y Finanzas, Cuentas a Pagar, Cuentas a Cobrar,
Inventario, Recursos humanos, etc.; los siguientes tres corresponden al departamento de
Sistemas como rea especfica; el ltimo es un riesgo general de la empresa, propio del
negocio.

La consigna es que para cada uno de los riesgos analizados, el auditor debe evaluar la calidad
de los controles vigentes y formular polticas para administrar las contingencias derivadas.

En el Anexo II se describe en detalle esta metodologa.



Riesgos
relacionados con el
rea de Sistemas

Riesgos relacionados
con el negocio en
general
Auditora de Sistemas y Tecnologas de Informacin


47

5. PRUEBA DE LOS CONTROLES


Las pruebas de los controles proporcionan evidencias en el sentido de que stos existen y
operan eficazmente. Existen dos grandes grupos de tcnicas para verificar el funcionamiento
de los controles operativos en un entorno computarizado: tcnicas manuales o de observacin
directa y tcnicas computarizadas, tambin llamadas de re-ejecucin del procesamiento.

5.1. Tcnicas manuales o de observacin directa


Se aplica en los casos en que el funcionamiento de los controles pueda ser visualizado por el
auditor. Ejemplos de estas tcnicas son los controles aplicados al ingreso de personas en
reas restringidas, verificacin visual de los resguardos o copias de seguridad, etc. Englobadas
en esta categora, disponemos tambin de las entrevistas y los cuestionarios (o checklist):

a) Entrevista

La entrevista es una de las actividades personales ms importantes del auditor, quien suele recoger ms
informacin -acaso mejor detallada- que la proporcionada por medios puramente tcnicos o por
respuestas escritas a cuestionarios.

La tcnica de entrevista se basa fundamentalmente en el concepto de interrogatorio. Bsicamente, lo que
el auditor hace en esta situacin es interrogar e interrogarse a s mismo.

El auditor experto interroga al auditado siguiendo un cuidadoso plan previamente establecido. Sin
embargo, el desarrollo de la entrevista debe hacerse bajo la forma de una conversacin corriente y lo
menos tensa posible, procurando que el entrevistado genere respuestas sencillas y claras a las preguntas
realizadas (que tambin deben ser claras y sencillas). Lograr esta sencillez no es fcil, exige una
preparacin muy seria a fin de producir un paquete sistemtico. Para ello, es preciso que a su vez el
auditor se pregunte: qu informacin necesito, quin me la puede proporcionar, quin es el entrevistado
que tengo enfrente (cargo, funciones, conocimiento del tema, etc.) y cul es el mejor modo de realizar las
preguntas.

b) Cuestionario

Es un conjunto de preguntas cerradas destinadas a identificar los puntos dbiles y fuertes de
un sistema de control interno. El conjunto de estas preguntas recibe tambin el nombre de
checklist.
Auditora de Sistemas y Tecnologas de Informacin


48

Existen opiniones que descalifican el uso de checklist. Sin duda se refieren a las situaciones de
auditores inexpertos que recitan preguntas y esperan respuestas esquematizadas. Pero esto no es
utilizar checklists, esto es una evidente falta de profesionalidad.
26



Salvo excepciones, se aconseja formular las preguntas en forma personal, dentro de una
conversacin cotidiana y corriente:

Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente un experto,
percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs
de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio
que el auditor debe poseer.

Por ello, aun siendo muy importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin...

El auditor deber aplicar el checklist de modo que el auditado responda clara y escuetamente. Se
deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a
que exponga con mayor amplitud un tema concreto, y en cualquier caso se deber evitar
absolutamente la presin sobre el mismo
27

....
El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte,
tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar
cuestionarios en su presencia.
28



A veces, algunas de las preguntas de los cuestionarios podrn ser repetidas, pero debern ser
elaboradas de manera distinta. En estos casos, el auditor confeccionar preguntas
equivalentes para ser formuladas a distintas personas (o a las mismas), en fechas iguales o
diferentes. De este modo, podr descubrir los puntos contradictorios, analizar los matices de
las respuestas, etc. Cuando perciba dudas, contradicciones, o incoherencias, deber
reelaborar las preguntas, formular otras nuevas, complementarias.






26
ACHA ITURMENDI, JUAN JOSE. Auditora informtica en la empresa. Ed. Paraninfo, Madrid, 1994, pg. 68.
27
ACHA ITURMENDI, JUAN JOSE, idem anterior, pg. 69.
28
ACHA ITURMENDI, JUAN JOSE, idem anterior, pg. 70.
Auditora de Sistemas y Tecnologas de Informacin


49
5.2. Tcnicas computarizadas


En su mayora, estas tcnicas se basan en verificar por medio de una muestra de
transacciones (reales o ficticias) las funciones de procesamiento con la finalidad de permitir al
auditor comparar los resultados de su procesamiento con los reportes brindados por el
sistema real.

A continuacin describimos las tcnicas computarizadas para realizar pruebas a los controles
programados o de aplicacin ms utilizadas:

a) Ejecucin manual del procesamiento

Se re-ejecuta el proceso que se quiere controlar en forma manual, a partir de datos reales (por
medio de una muestra) o ficticios. Los resultados obtenidos se comparan manualmente con los
que oportunamente gener el computador. Esta tcnica se aplica cuando existe documentacin
fuente que provea los datos requeridos para la comparacin.

b) Lotes de prueba (Test Deck)

Consiste en formar un conjunto de datos de entrada ficticios, para hacerlos ingresar en grupo al
computador a fin de ser procesados con el mismo programa que se encuentra en operacin.
Trabaja con una copia de los programas y de los archivos en uso (en produccin) y tiene por
objetivo comprobar el funcionamiento de los controles programados.

En el lote a procesar en el computador se deben incluir todas los casos posibles (con
caractersticas distintivas) de las transacciones a procesar, es decir, el lote de prueba debe
incluir todas las posibles situaciones que pudieran ocurrir durante las operaciones reales. A
posteriori, los resultados se compararn con los esperados.

Esta tcnica no est diseada para controlar el contenido de los archivos, por ello raras veces
permite detectar operaciones fraudulentas.

c) Simulacin paralela

En esta tcnica se utilizan los archivos reales de la entidad y se simula el procesamiento de la
aplicacin mediante programas especialmente preparados. El auditor elabora sus propios
programas; stos deben procesar los mismos datos que los programas de la aplicacin a
auditar. Luego ambos resultados son comparados.

Auditora de Sistemas y Tecnologas de Informacin


50
Para lograr su cometido, la simulacin necesita disponer de los datos reales de entrada y los
archivos usados en su procesamiento. Con estos elementos se efecta la ejecucin del
proceso (on line) o la la corrida (batch) de simulacin, comparando a continuacin los
resultados con los que produjo el procesamiento real. Ms tarde se evaluarn las excepciones
obtenidas de la corrida de simulacin, entendindose por tales, las anomalas detectadas en el
proceso de reconciliacin. Estas excepciones se tendrn en cuenta a la hora de hacer las
recomendaciones.

Requisitos para realizar una simulacin paralela
Relevamiento de la aplicacin para obtener un conocimiento general de la misma y definir
reas o aspectos a verificar.
Relevamiento detallado de la lgica del programa con el objetivo de obtener informacin
sobre:
-Formato de los archivos
-Significado de los cdigos empleados en los archivos
-Frmulas especficas o criterios de decisin
Obtencin de los archivos necesarios.
Con el conocimiento de la lgica de la aplicacin y los archivos, el auditor podr preparar los
programas para efectuar la simulacin paralela.
Preparacin de los datos de entrada y archivos para realizar la simulacin.
Procesamiento y reconciliacin. En esta etapa se realiza la corrida de simulacin y los
resultados se comparan con los producidos por el procesamiento real.
Evaluacin de las excepciones. Se evalan las excepciones resultantes de las corridas y a
partir de ellas se determinan las recomendaciones.



d) Procesamiento paralelo (Parallel Test Facility)

En este caso se busca verificar el funcionamiento de una aplicacin sin afectar la informacin
residente en sus bases de datos, ni el procesamiento normal de las transacciones que debe
atender.

Para instrumentar esta tcnica, se debe obtener una copia de los programas, extraer una
muestra representativa de la informacin residente en los archivos de datos, luego, realizar el
reprocesamiento usando datos de transacciones reales, seleccionadas por el auditor. El
reprocesamiento se realiza usando los mismos programas y bases de datos, pero en otro
computador.

Por su modalidad esta tcnica es apta para auditar sistemas de procesamiento batch (diferido),
ms que aqullos del tipo on line. Tambin debe tenerse en cuenta que esta tcnica no est
diseada para medir tiempos de respuesta, ni la flexibilidad de adaptacin a situaciones
complejas.

Auditora de Sistemas y Tecnologas de Informacin


51
e) Pruebas integradas (ITF o minicompaa)

Esta tcnica consiste en la creacin de un ente ficticio dentro del sistema de procesamiento en
operacin; por ejemplo crear una divisin, un departamento, una sucursal, una empresa, un
empleado, etc. ficticios, insertados como registro dentro de los archivos reales que utilizan las
aplicaciones en produccin. A este ente ficticio se le aplicarn registros de transacciones de
prueba, confeccionados en forma especial por el auditor. Debe destacarse que se utiliza el
mismo sistema que est en produccin, dentro de los tiempos de funcionamiento normal del
mismo.

Este ente, al estar contemplado dentro de las aplicaciones en produccin, permite que su
procesamiento no altere los registros reales de la empresa y los resultados de sus informes. En
contrapartida, es necesario programar procedimientos especiales para depurar las
transacciones ficticias efectuadas por el auditor contra dicha entidad.

La aplicacin de esta tcnica exige que, adems de adaptar los programas, se declare el
procedimiento ante los rganos de control institucional correspondientes, como el Banco
Central en caso de instituciones financieras, la DGI, la Bolsa de Valores en caso de cotizar en
bolsa, etc. Esta medida procura evitar problemas de ndole legal.

Requisitos para instrumentar las pruebas de minicompaa

Explicacin previa a nivel de Direccin sobre las caractersticas, finalidades y modalidades de la
misma. Deben demostrarse los beneficios.
Aprobacin preliminar de la Direccin.
Determinacin de los subsistemas a abarcar, si la prueba se aplicar en forma integral o parcial.
Identificacin de los registros especiales a crear y la forma en que se depurarn las transacciones
ingresadas con fines de auditora.
Fijacin de la forma en que actuar el auditor para simular el comportamiento del sistema, por
ejemplo se procesarn las transacciones desde el origen?
Modelo de los papeles de trabajo en los cuales se volcar el estado inicial de los registros y las
modificaciones.
Aprobacin final de la Direccin.
Informacin peridica a la Direccin sobre los resultados del sistema de auditora.

f) Pistas de transacciones (Tagging & Tracing)

Esta tcnica consiste en establecer rastros (datos especiales), con la finalidad exclusiva de
servir como pista de auditora, en los registros de movimiento que se generan a partir de las
transacciones. Los datos utilizados como pistas de auditora son grabados como campos ad-
hoc en los registros durante el procesamiento de las operaciones que ingresan al sistema.

Auditora de Sistemas y Tecnologas de Informacin


52
A estos registros se les incorpora un atributo (campo) especial, por ejemplo, el nmero de
legajo del empleado, la fecha y hora de la operacin, el nmero de estacin de trabajo, etc.
Estos datos sirven para identificar quin y cundo se realiz la operacin. La idea es guardar
informacin que permita realizar un seguimiento de las distintas etapas que sigui el
procesamiento de una transaccin en particular.

Puntos a tener en cuenta:
- El auditor debe proporcionar sus requerimientos durante la etapa de desarrollo del sistema.
Al respecto, para su incorporacin en los programas se recomienda incluir auditores dentro
de los equipos de desarrollo de las aplicaciones. En estos casos, la tarea del auditor
consistir en especificar los controles a incluir en los programas en construccin.
- La informacin elegida como pista de auditora no debe ser susceptible de afectacin por el
normal procesamiento de las transacciones.

Esta tcnica permite rastrear las operaciones reales a partir del examen de los archivos de
movimiento que guardan los registros de las operaciones procesadas por el sistema. En el
prximo captulo se analizan mecanismos propuestos por el autor para generar pistas de
auditora digitales.

g) Comparacin de programas

Esta tcnica, prcticamente en desuso, consiste en el empleo de utilitarios del sistema
operativo para comparar dos o ms versiones de un mismo programa ejecutable (archivo
objeto) de una aplicacin. La finalidad es verificar si existen diferencias entre las distintas
copias y versiones de los ejecutables. Si son diferentes se presume que hubo cambios al
programa, por ejemplo, desde la ltima visita del auditor. En estos casos, el auditor puede pedir
que se le informe respecto de dichos cambios y se le proporcione la documentacin
relacionada a la modificacin del programa (solicitud de modificacin, autorizaciones,
especificaciones, pruebas, orden de puesta en operacin, etc.).


Lmites de una auditora a los programas de una aplicacin informatizada
29


Una aplicacin representa miles, a veces decenas de miles de instrucciones. An contando con
la posibilidad de hacer un trabajo de largo plazo, es casi imposible realizar el control de una
aplicacin por la relectura de los programas que la componen. Incluso a travs de una relectura
atenta de cada programa es muy difcil detectar la mayora de los errores potenciales; esto sin
considerar la posibilidad de que estemos leyendo instrucciones que no correspondan a la
versin del programa que realmente se est ejecutando.

Hemos sealado que la calidad de los programas es uno de los elementos necesarios para
lograr la fiabilidad de una aplicacin. Errores y omisiones, intervenciones directas a los archivos,
son otros factores que perjudican la fiabilidad de una aplicacin y no son detectables por el
simple anlisis de los programas.

29
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. pg. 16.
Auditora de Sistemas y Tecnologas de Informacin


53

Ahora bien, es tan impensable pedir al auditor que analice uno por uno el conjunto de los
registros de los archivos de una empresa, como pedirle que analice lnea a lnea los programas
que los procesan. Una primera conclusin que se saca de esta situacin es que el auditor no
contar nunca con todos los elementos necesarios para asegurar el control total de una
aplicacin informatizada (programas, archivos, procedimientos, etc.), independiente-mente de la
duracin de su misin.


h) Software de auditora

Los productos de software para auditora, conocidos en el pasado como sistemas GAS (de
General Audit System) y actualmente como herramientas CAATs (de Computer Aid Audit
Tools), son herramientas diseadas para ayudar a los auditores a acceder e investigar el
contenido de las bases de datos de la entidad bajo estudio. En general, no requieren al auditor
de una gran calificacin en tecnologas de informacin para ser usados.

En la actualidad, los productos de software de esta categora se orientan principalmente a
proveer al auditor de herramientas de fcil comprensin y operacin con funcionalidades
similares a las provistas por las planillas de clculo y el lenguaje SQL; su principal virtud es
facilitar el acceso a los archivos y bases de datos de la empresa auditada.

Bajo este rtulo, vienen tambin rutinas y programas diseados para:

Obtener muestreos a partir de las bases de datos reales del sistema, realizar
extrapolaciones y luego procesarlas con el debido rigor estadstico.
Rastrear datos en los logs del sistema operativo y obtener informacin referida a quines
entraron al sistema, qu hicieron, cundo, dnde, qu controles se violaron.

Algunos productos de software de esta categora son:
-TeamMate de PriceWaterhouse-Cooper - www.pccglobal.com
-ACL - www.acl.com
Su folleto comercial dice lo siguiente: ACL es el paquete de software lder
mundial de las herramientas de asistencia para Auditoria. ACL permite el acceso
directo a los archivos de datos de las aplicaciones informticas, con la libertad
de trabajar sobre esa informacin sin necesidad de escribir cdigos o realizar
programacin. ACL utiliza una interfaz visual con filtros de seleccin, vistas y
reportes tipo planilla de clculo. Posee poderosos comandos ejecutables
mediante sencillos cuadros de dilogo para estratificacin, clasificacin,
antigedad, muestreo, control de duplicados y faltantes, ordenamiento y
cruzamiento entre archivos, entre otros.
Auditora de Sistemas y Tecnologas de Informacin


54
-Idea de la firma CaseWare www.caseware.com - herramienta para anlisis de
datos muy similar a ACL. Tambin ofrece CaseWare Working Papers y
CaseWare Time, productos para gestionar y documentar proyectos de auditora.
-Pro Audit Advisor - www.methodware.com
-Galileo - www.darcangelosoftwareservices.com
-Pentana - www.pentana.com

5.3. Conclusiones


La prueba de los controles de un sistema de informacin computarizado, en especial aquellos
que requieren de la aplicacin de tcnicas de re-ejecucin de procesamiento, son los puntos
que distinguen este tipo de trabajos respecto de la auditoria tradicional. La esencia del
problema es saber cules tcnicas aplicar, especficamente, qu combinacin de tcnicas
manuales y computarizadas aplicar para evaluar cada tipo de control programado. La seleccin
depende del "criterio del auditor"; este ltimo, en base a sus conocimientos, experiencias e
intuicin seleccionar las tcnicas que considera ms adecuadas para probar el
funcionamiento y la calidad de los controles que audita.


Antes de finalizar, nos parece ilustrativo para el lector presentar otro enfoque de agrupamiento
de las tcnicas computarizadas, en este caso, se distinguen dos tipos de pruebas
30
:

Pruebas de cumplimiento: El objetivo de estas pruebas es determinar si el sistema,
ms precisamente los controles relevados, se comportan en la prctica de acuerdo a
como se espera que lo hagan. Para realizar las pruebas de cumplimiento se proponen
las tcnicas de lotes de prueba, procesamiento paralelo, minicompaa.

Pruebas sustantivas: Estas comprobaciones se refieren a analizar la informacin
procesada por el sistema cruzando datos desde distintas fuentes o por distintos
procedimientos; se basan en la aplicacin de criterios de comparacin, confirmacin y
razonabilidad a los datos bajo anlisis. Para realizar las pruebas sustantivas se
proponen las tcnicas de simulacin paralela, pista de transacciones, software de
auditora.


30
Cansler, Leopoldo, Auditora en Contextos Computarizados-Gua Prctica Profesional, Ediciones Cooperativas,
Buenos Aires, 2003.

Auditora de Sistemas y Tecnologas de Informacin


55
CUESTIONARIO DE REVISION


Cules son las dificultades aportadas por los entornos informticos a los
trabajos de auditora de sistemas de informacin?











Qu aspectos comprende el sistema de control interno de una empresa?






Cules son los efectos de la tecnologa informtica en el sistema de control
interno?









Auditora de Sistemas y Tecnologas de Informacin


56
Describa una metodologa para evaluar el sistema de control interno









Compare las metodologas propuestas por Price Waterhouse con la del Informe
COSO.








Describa tres tcnicas computarizadas en qu situaciones las usara?












Auditora de Sistemas y Tecnologas de Informacin


57
ANEXO I

Nuevos conceptos del control interno.
Informe COSO




INTRODUCCION


Este documento plasma los resultados de la tarea realizada durante ms de cinco aos por el
grupo de trabajo que la Treadway Commission de la National Commission on Fraudulent
Financial Reporting, cre en Estados Unidos en 1985 bajo la sigla COSO (Committee Of
Sponsoring Organizations). El grupo estaba constituido por representantes de las siguientes
organizaciones:
American Accounting Association (AAA)
American Institute of Certified Public Accountants (AICPA)
Financial Executive Institute (FEI)
Institute of Internal Auditors (IIA)
Institute of Management Accountants (IMA)

La redaccin del informe fue encomendada a la firma de auditora internacional Coopers &
Lybrand, su principal objetivo fue definir un nuevo marco conceptual de Control Interno capaz
de integrar las diversas definiciones y conceptos que se utilizan sobre este tema.

El Informe COSO ha permitido definir un nuevo marco conceptual del control interno
31
, capaz
de integrar las diversas definiciones y conceptos que venan siendo utilizados sobre este tema,
logrando as que al nivel de las organizaciones pblicas o privadas, de la auditoria interna o
externa, o de los niveles acadmicos o legislativos, se cuente con un marco conceptual comn,
una visin integradora que satisfaga las demandas generalizadas de todos los sectores
involucrados.

El estudio ha tenido gran aceptacin y difusin en los medios financieros y en los Consejos de
Administracin de las organizaciones, resaltando la necesidad de que los administradores y
altos directivos presten atencin al Control Interno, tal como COSO lo define, enfatizando la

31
Otros marcos conceptuales similares al COSO y |generalmente aceptados para evaluar el sistema de Control
Interno de una entidad son: COCO (Canad), Cadbury (Inglaterra), Kenig (Sudafrica)
Auditora de Sistemas y Tecnologas de Informacin


58
intervencin de los Comits de Auditoria y de una calificada Auditoria Interna y Externa,
recalcando la necesidad de que el Control Interno forme parte de los diferentes procesos de la
empresa y no de mecanismos burocrticos

COSO/ERM, la evolucin

A partir de la sancin de la Ley Sarbanes-Oxley en el ao 2002 (descripta en el Captulo 6) los
especialistas comenzaron a preocuparse por actualizar el Informe COSO publicado
originalmente en 1985 y actualizado en 1992; as en el ao 2004 se public el Informe
COSO/ERM (de Enterprice Risk Managment) como una evolucin del original.

Esta nueva versin como su sigla lo indica- hace foco en el gerenciamiento del riesgo de los
negocios y slo es de aplicacin obligatoria para las empresas que cotizan en la bolsa de
Londres. Sin embargo, es la norma recomendada por los especialistas para ser utilizada como
marco de referencia para las auditaras de grandes corporaciones, en especial, aquellas
vinculadas al sector financiero y de seguros.

ERM requiere que una entidad adopte una visin conjunta del riesgo, esto implica que la
organizacin adopte una visin integral del riesgo y donde cada responsable de una funcin,
proceso o unidad de negocio realice una apreciacin del riesgo para la unidad bajo su
responsabilidad, planifique las acciones para mitigarlo y las coordine con las del resto de
manera de lograr un plan global para administrar el riesgo de la empresa. En este material no
abundaremos ms en COSO/ERM, nos centraremos en describir el Informe COSO en su
versin inicial.

Qu se entiende por Control Interno?

Los controles internos se disean e implantan con el fin de detectar, en un plazo deseado,
cualquier desviacin respecto a los objetivos establecidos para cada empresa y de prevenir
cualquier evento que pueda evitar el logro de los objetivos, la obtencin de informacin
confiable y oportuna y el cumplimiento de leyes y reglamentos.

Los controles internos fomentan la eficacia y eficiencia operativa, reducen el riesgo de prdida
de valor de los activos y ayudan a garantizar la confiabilidad de los estados financieros y el
cumplimiento de las leyes y normas vigentes. No todas las personas entienden lo mismo por
Control Interno. En sentido amplio, se lo define como: un proceso efectuado por el Consejo de
Administracin, la Direccin y el resto del personal de una entidad, diseado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro
de las siguientes categoras:
Auditora de Sistemas y Tecnologas de Informacin


59

Eficacia y eficiencia de las operaciones.
Confiabilidad de la informacin financiera.
Cumplimiento de las leyes y normas aplicables.

La anterior definicin refleja ciertos conceptos fundamentales:

El Control Interno es un proceso, un medio utilizado para la consecucin de un fin,
no un fin en s mismo.
El Control Interno es llevado a cabo por las personas, no se trata solamente de
manuales de polticas e impresos, sino de personas en cada nivel de la
organizacin.
El Control Interno slo puede aportar un grado de seguridad razonable -no la
seguridad total- a la Direccin y al Consejo de Administracin de la Entidad.
Control Interno esta pensado para facilitar la consecucin de objetivos propios de
cada entidad.

Especificidad del Control Interno

Dado que cada entidad tiene sus propios objetivos y estrategias de implantacin, surgen
diferencias en la jerarqua de objetivos y en las actividades de control correspondientes,
incluso en el caso de que dos entidades tuvieran los mismos objetivos y jerarqua, sus
actividades de control seran diferentes; en efecto, cada una est dirigida por personas
diferentes que aplican sus propias ideas sobre el Control Interno, adems, los controles reflejan
el entorno de la entidad y el sector en el que opera, as como la complejidad de su
organizacin, su historia y su cultura.

El entorno en el que una entidad opera influye en los riesgos a los que est expuesta; en
particular, puede estar sujeta a requerimientos de informacin a terceros particulares o a
cumplir exigencias legales o normativas especficas.

La complejidad de una entidad, as como el tipo y el alcance de sus actividades, repercuten en
sus actividades de control. Hay otros factores que influyen como la complejidad de una
organizacin, la localizacin y dispersin geogrfica, la importancia y la complejidad de las
operaciones o los mtodos de proceso de datos entre otros.

Auditora de Sistemas y Tecnologas de Informacin


60
Componentes del Control Interno

Segn el Informe COSO, el Control Interno consta de cinco componentes relacionados entre s;
stos son derivados del estilo de la Direccin y estn integrados al proceso de gestin de la
entidad:

Ambiente de Control
Evaluacin de Riesgos
Actividades de Control
Informacin y Comunicacin
Supervisin.


A continuacin, veamos cada uno de los componentes definidos por el Informe COSO:


Auditora de Sistemas y Tecnologas de Informacin


61
1. AMBIENTE DE CONTROL


El entorno de control contribuye al ambiente en el que las personas desarrollan sus actividades
y cumplen con sus responsabilidades de control, marca la pauta del funcionamiento de una
organizacin e influye en la percepcin de sus empleados respecto al control.

Es la base de todos los dems componentes del Control Interno, aportando disciplina y
estructura. Los factores del ambiente de control incluyen la integridad, los valores ticos y la
capacidad de los empleados de la entidad, la filosofa y el estilo de la Direccin, la manera en
que la Direccin asigna la autoridad y las responsabilidades y organiza y desarrolla
profesionalmente a sus empleados as como la atencin y orientacin que proporciona el
Consejo de Administracin.

Factores del entorno de control

Para evaluar el entorno de control, se debe considerar cada factor del ambiente de control para
determinar si ste es positivo. El mbito de control provee la disciplina a travs de la influencia
que ejerce sobre el comportamiento del personal en su conjunto. Los principales factores del
ambiente de control son:

La filosofa y estilo de la Direccin y la Gerencia. Los estilos gerenciales marcan el
nivel de riesgo empresarial y pueden afectar al control interno; actitudes poco
prudentes o desdeosas del control son indicativas de riesgos en el control interno.
Se evala, por ejemplo, cmo transmite la Direccin al resto de los niveles su
compromiso respecto al control.

La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento
La estructura formalizada en un organigrama constituye un marco formal de autoridad
y responsabilidad en la cual se desarrollan las actividades. El ambiente de control se
fortalece cuando los miembros de un organismo tienen formalizadas sus funciones y
deberes.

La integridad, los valores ticos, la competencia profesional y el compromiso de todos
los componentes de la organizacin, as como su adhesin a las polticas y objetivos
establecidos. Se evala, por ejemplo:
La existencia e implantacin de cdigos de conducta u otras polticas
relacionadas con las prcticas profesionales aceptables, incompatibilidades o
pautas esperadas de comportamiento tico y moral.
Auditora de Sistemas y Tecnologas de Informacin


62
La forma en que se llevan a cabo las negociaciones con empleados,
proveedores, clientes, inversionistas, acreedores, competidores y auditores.
La presin por alcanzar objetivos de rendimiento.

Las formas de asignacin de responsabilidades y de administracin y desarrollo del
personal. Se evala:
La existencia de descripciones formalizadas de puestos de trabajo.
El anlisis de conocimientos y habilidades para llevar a cabo el trabajo
adecuadamente.
La existencia de planes de desarrollo y capacitacin y de polticas de seleccin y
promocin.

El grado de documentacin de polticas y decisiones, y de formulacin de programas
que contengan metas, objetivos e indicadores de rendimiento.

La existencia de consejos de administracin y/o comits de auditora con suficiente
grado de independencia y calificacin profesional. El ambiente de control y la cultura
de la organizacin estn influidos de forma significativa por el Consejo de
Administracin y el Comit de Auditora, el grado de independencia del Consejo o del
Comit de Auditora respecto de la Direccin, la experiencia y la calidad de sus
miembros, grado de implicacin y vigilancia y el acierto de sus acciones son factores
que inciden en la eficacia del Control Interno.



Por ltimo, el informe considera importante analizar situaciones que pueden incitar a los
empleados a cometer actos indebidos.

Falta de controles o controles ineficaces.
Alto nivel de descentralizacin sin las polticas de comunicacin apropiadas para que la
Direccin est al corriente de las acciones llevadas a cabo en los niveles mas bajos
(operativos).
Una funcin de auditora interna dbil.

Auditora de Sistemas y Tecnologas de Informacin


63
2. EVALUACIN DE RIESGOS


El riesgo es inherente a los negocios. El control interno ha sido pensado esencialmente para
limitar los riesgos que afectan las actividades de las organizaciones. A travs de la
investigacin y anlisis de los riesgos relevantes y el punto hasta el cual el control vigente los
neutraliza se evala la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento
practico de la entidad y sus componentes de manera de identificar los puntos dbiles,
enfocando los riesgos tanto al nivel de la organizacin como de la actividad.

Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno como externo
que deben evaluarse. Una condicin previa a la evaluacin de los riesgos es el establecimiento
de objetivos en cada nivel de la organizacin que sean coherentes entre s. La evaluacin del
riesgo consiste en la identificacin y anlisis de los factores que podran afectar la consecucin
de los objetivos y, en base a dicho anlisis, determinar la forma en que los riesgos deben ser
administrados y controlados.

Debe considerarse que el establecimiento de los objetivos de una organizacin es funcin de
la Direccin. Si bien la fijacin de objetivos no es un componente del control interno, constituye
un requisito previo para el funcionamiento del mismo. Los objetivos pueden ser explcitos o
implcitos, generales o particulares. A pesar de su diversidad, los objetivos de una organizacin
-segn el Informe COSO- pueden agruparse en tres grandes categoras:
Objetivos relacionados con las operaciones.- Se refieren a la eficacia y eficiencia de las
operaciones de la entidad, incluyendo los objetivos de rendimiento y rentabilidad y la
salvaguarda de los activos contra posibles prdidas. Estos objetivos varan en funcin de la
eleccin de la Direccin respecto a estructuras y rendimiento.
Objetivos relacionados con la informacin financiera.- Se refieren a la preparacin de
estados financieros confiables y a la prevencin de la falsificacin de informacin financiera.
Objetivos de cumplimiento.- Estos objetivos se refieren al cumplimiento de las leyes y
normas a las que est sujeta la entidad, dependen de factores externos como, por ejemplo,
la reglamentacin en materia de medio ambiente.

Estableciendo los objetivos globales y por actividad, una entidad puede identificar los riesgos
para alcanzarlos


Auditora de Sistemas y Tecnologas de Informacin


64

Riesgos

Los riesgos son hechos o acontecimientos negativos cuya probabilidad de ocurrencia es
incierta y que de ocurrir pueden afectar la consecucin de los objetivos de la organizacin. A
nivel de empresa los riesgos pueden ser la consecuencia de factores externos como internos,
por ejemplo:

Factores externos:
Los avances tecnolgicos.
Las necesidades o expectativas cambiantes de los clientes que influyen en el
desarrollo de productos, el proceso de produccin, el servicio a cliente, la
fijacin de precios, etc.
Los cambios econmicos pueden repercutir en las decisiones sobre
financiamiento, inversiones y desarrollo.

Factores internos:
Los cambios de responsabilidades de los directivos pueden afectar la forma de
realizar determinados controles.
Problemas con los sistemas informticos pueden perjudicar las operaciones de
la entidad.
Una funcin de auditora dbil o ineficaz afecta la calidad de los controles.

Se han desarrollado muchas tcnicas para identificar riesgos -algunas desarrolladas por
auditores cuando determinan el alcance de sus trabajos- comprenden mtodos cualitativos o
cuantitativos para identificar y establecer el orden de prioridad de las actividades de alto riesgo.

Adems de identificar los riesgos a nivel de empresa, debe hacerse lo mismo a nivel de cada
actividad de la empresa; esto ayuda a enfocar la evaluacin de los riesgos en las unidades o
funciones mas importantes del negocio, como ventas, produccin, logstica y/o desarrollo
tecnolgico. La correcta evaluacin de los riesgos a nivel de actividad contribuye tambin a
que se mantenga un nivel aceptable de riesgo para el conjunto de la entidad.

Anlisis de riesgos

Una vez identificados los riesgos a nivel de entidad y por actividad deben llevarse a cabo el
proceso de anlisis de riesgos, esto incluye:


Auditora de Sistemas y Tecnologas de Informacin


65
Una estimacin de la importancia del riesgo.
Una evaluacin de la probabilidad o frecuencia de que se materialice el riesgo.
Una cuantificacin de la prdida probable.
Determinar las medidas que deben adoptarse para mitigarlo.

Existe una diferencia entre el anlisis de los riesgos -que forman parte del proceso de Control
Interno- y los planes, programas y acciones resultantes que la Direccin considere necesarios
para afrontar dichos riesgos, estas acciones son parte del proceso de gestin y no son
responsabilidad del sistema de Control Interno.

Administracin del cambio

El manejo de la gestin de cambios tambin esta ligado con el proceso de anlisis de riesgos y
debe ser capaz de proporcionar informacin para identificar y responder a las condiciones
cambiantes en donde, probablemente, los controles vigentes pueden no funcionar
apropiadamente en el nuevo entorno. Existen circunstancias que merecen atencin especal en
funcin del impacto potencial (riesgos) que plantean, por ejemplo:

Cambios en el entorno en el cual desarrolla su actividad la entidad
Redefinicin de la poltica institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos o rotacin de los existentes.
Nuevos sistemas, procedimientos y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades o funciones.

Auditora de Sistemas y Tecnologas de Informacin


66
3. ACTIVIDADES DE CONTROL


Son las polticas (qu debe hacerse) y los procedimientos (cmo debe hacerse) que procuran
asegurar se lleven a cabo las instrucciones de la Direccin. Ayudan a asegurar que se tomen
las medidas necesarias para controlar los riesgos relacionados con la consecucin de los
objetivos de la entidad.

Las actividades de control se ejecutan en todos los niveles de la organizacin y en cada una de
las etapas de la gestin. Conociendo los riesgos, se disponen los controles destinados a
evitarlos o minimizarlos, los cuales pueden agruparse en tres categoras segn el objetivo con
el que estn relacionados:

Las operaciones
La confiabilidad de la informacin financiera
El cumplimiento de leyes y reglamentos

Es necesario remarcar la importancia de contar con buenos controles de las tecnologas de
informacin pues stas desempean un papel fundamental en la gestin, destacndose al
respecto el control de algunas actividades llevadas a cabo por el Centro de Procesamiento de
Datos, como por ejemplo: la adquisicin, implantacin y mantenimiento del software, la
seguridad en el acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las
aplicaciones, etc.


Tipos de actividades de control

Existen muchas actividades o mecanismos de control, stas incluyen desde controles
preventivos a controles detectivos y correctivos, controles manuales, controles informticos y
controles de direccin. Veamos algunos:

Anlisis efectuados por la Direccin.- Los resultados obtenidos se analizan comparndolos
con los presupuestos, las previsiones, los resultados de ejercicios anteriores y de los
competidores, con el fin de evaluar en que medida se estn alcanzando los objetivos de
gestin.
Proceso de informacin.- Se aplican una serie de controles para comprobar la exactitud,
totalidad y autorizacin de las operaciones. Las transacciones deben registrarse en el
momento de su ocurrencia (lo ms inmediato posible) y debern clasificarse
adecuadamente para estar disponible en los correspondientes informes y estados
Auditora de Sistemas y Tecnologas de Informacin


67
financieros.
Controles fsicos.- Los activos de naturaleza tangible son susceptibles de recuentos fsicos.
El inventario de bienes, las inversiones financieras, la tesorera y otros activos son objeto
de proteccin y peridicamente se someten a recuentos fsicos cuyos resultados se
comparan con las cifras que figuran en los registros de datos.
Indicadores de rendimiento.- Todo organismo debe contar con mtodos de medicin de
desempeo que permitan la preparacin de indicadores para su supervisin y evaluacin.
El anlisis combinado de diferentes conjuntos de datos (operativos y financieros)
necesarios para la puesta en marcha de acciones correctivas, constituyen actividades de
control.
Segregacin de funciones.- Con el fin de reducir el riesgo de que se cometan errores o
irregularidades las tareas se dividen entre los empleados que intervienen en su proceso,
por ejemplo: las responsabilidades de autorizar, ejecutar, registrar y controlar una
operacin deben quedar, en la medida de lo posible, claramente segregadas.
Control sobre los sistemas informticos. Se debe controlar el desarrollo de nuevos
sistemas de informacin computarizados y la modificacin de los existentes, al igual que el
acceso a los datos, archivos y programas informticos.

Cmo evaluar las actividades de control

Las actividades de control tienen que evaluarse en el contexto de las instrucciones emanadas
de la Direccin para afrontar los riesgos relacionados con los objetivos de cada actividad
importante. La evaluacin, por lo tanto, tendr en cuenta si las actividades de control estn
relacionadas con el proceso de evaluacin de riesgo y si son apropiadas para asegurar que las
instrucciones se cumplan. Dicha evaluacin se efectuar para cada actividad importante,
incluidos los controles generales de los sistemas informticos. La evaluacin deber tener en
cuenta no solamente si las actividades de control empleadas son relevantes en base al proceso
de evaluacin de riesgos realizado, sino tambin si se aplican de manera correcta.

Las entidades deben considerar tambin los costos y beneficios relativos a la implantacin de
controles. A la hora de decidir si se ha de implantar un determinado control, se considerarn
tanto el riesgo de fracaso como el posible efecto en la entidad, junto a los costos
correspondientes a la implantacin del nuevo control.



Auditora de Sistemas y Tecnologas de Informacin


68
4. INFORMACIN Y COMUNICACIN


Informacin

As como es necesario que todos los agentes conozcan el papel que les corresponde
desempear en la organizacin (funciones, responsabilidades), es imprescindible que cuenten
con la informacin peridica y oportuna que deben manejar para orientar sus acciones en
consonancia con los dems, procurando el mejor logro de los objetivos.

La informacin relevante debe ser captada, procesada y transmitida de tal modo que llegue
oportunamente a todos los sectores, permitiendo asumir las responsabilidades individuales.

Los sistemas de informacin generan informes que contienen datos operativos, financieros y
los correspondientes al cumplimiento y que posibilitan la direccin y el control del negocio.
Dichos informes contemplan, no slo los datos generados internamente, sino tambin
informacin sobre incidencias, actividades y condiciones externas, necesaria para la toma de
decisiones y para formular los estados financieros.

Debe haber una comunicacin eficaz en un sentido amplio, que fluya en todas las direcciones a
travs de todos los mbitos de la organizacin, de arriba hacia abajo y a la inversa.

Las responsabilidades de control han de tomarse en serio. Los empleados tienen que
comprender cul es su papel en el sistema de Control Interno y cmo las actividades
individuales estn relacionadas con el trabajo de los dems. Asimismo, tiene que haber una
comunicacin eficaz con terceros como clientes, proveedores, organismos de control y
accionistas.

Calidad de la informacin

La calidad de la informacin generada por los diferentes sistemas afecta la capacidad de la
Direccin de tomar decisiones adecuadas al gestionar y controlar las actividades de la entidad.
Resulta imprescindible que los informes ofrezcan suficientes datos relevantes para posibilitar
un control eficaz; la informacin se debe evaluar considerando:

Contenido Contiene toda la informacin necesaria?
Oportunidad Se obtiene en el tiempo adecuado?
Actualidad Es la ms reciente disponible?
Auditora de Sistemas y Tecnologas de Informacin


69
Exactitud Los datos son correctos?
Accesibilidad Puede ser obtenida por las personas autorizadas?

Comunicacin

Deben considerarse dos mbitos en relacin a esta actividad: interno y externo.

Comunicacin interna

Adems, de recibir la informacin necesaria para llevar a cabo sus actividades, todo el
personal, especialmente los empleados con responsabilidades importantes, deben conocer y
asumir las funciones comprometidas con el Control Interno.

Cada funcin concreta ha de especificarse con claridad, cada persona tiene que entender los
aspectos relevantes del sistema de Control Interno, como funcionan los mismos, saber cul es
su papel y responsabilidad en el sistema.

Al llevar a cabo sus funciones, el personal de la empresa debe saber que cuando se produzca
una incidencia conviene prestar atencin no slo al propio acontecimiento, sino tambin a su
causa. De esta forma, se podrn identificar la deficiencias potenciales en el sistema tomando
las medidas necesarias para evitar que se repitan.

Asimismo, el personal tiene que saber cmo sus actividades estn relacionadas con el trabajo
de los dems, esto es necesario para conocer los problemas y determinar sus causas y la
medida correctiva adecuada, El personal debe saber los comportamientos esperados,
aceptables y no aceptables.

Los empleados tambin necesitan disponer de un mecanismo para comunicar informacin
relevante a los niveles superiores de la organizacin, los empleados de primera lnea, que
manejan aspectos claves de las actividades todos los das generalmente son los mas
capacitados para reconocer los problemas en el momento que se presentan. Deben haber
lneas directas de comunicacin para que esta informacin llegue a niveles superiores, y por
otra parte debe haber disposicin de los directivos para escuchar.

Comunicacin externa

Adems de una adecuada comunicacin interna, ha de existir una eficaz comunicacin externa.
Los clientes y proveedores podrn aportar informacin de gran valor sobre el diseo y la
calidad de los productos o servicios de la empresa, permitiendo que la empresa responda a los
Auditora de Sistemas y Tecnologas de Informacin


70
cambios y preferencias de los clientes. Igualmente se deber difundir las normas ticas que
gobiernan la gestin de la empresa y la posicin respecto a actos indebidos como sobornos o
pagos indebidos.

Cmo evaluar la informacin y comunicacin

Se deber considerar la adecuacin de los sistemas de informacin y comunicacin a las
necesidades del control interno de la entidad. A continuacin se presentan los aspectos ms
relevantes:

Respecto a la informacin se debe procurar:
La obtencin de informacin externa e interna y el suministro a la Direccin de los
informes necesarios sobre la actuacin de la entidad en relacin a los objetivos
establecidos.
El suministro de informacin a las personas adecuadas, con el suficiente detalle y
oportunidad.
El desarrollo o revisin de los sistemas de informacin vigentes de manera que cumplan
con el plan estratgico de sistemas y que cuenten con el apoyo de la Direccin

Respecto a la comunicacin se debe procurar:
La comunicacin eficaz al personal de sus funciones y responsabilidades de control.
El establecimiento de lneas de comunicacin para la denuncia de posibles actos
indebidos.
La correcta recepcin de la Direccin de las propuestas del personal respecto a formas
de mejorar la productividad, la calidad, etc.
La adecuacin de la comunicacin horizontal.
El nivel de apertura y eficacia de las lneas de comunicacin con clientes, proveedores y
terceros.
El nivel de comunicacin a terceros de las normas ticas de la entidad.



Auditora de Sistemas y Tecnologas de Informacin


71
5. SUPERVISIN


Como hemos visto, el Control Interno puede ayudar a que una entidad consiga sus objetivos de
rentabilidad y a prevenir la prdida de recursos, puede ayudar a la obtencin de informacin
financiera confiable, puede reforzar la confianza de que la empresa cumple con la normatividad
aplicable. Sin embargo, los sistemas de Control Interno requieren supervisin, es decir, un
proceso que compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo
del tiempo. Esto se consigue mediante actividades de supervisin continua, evaluaciones
peridicas o una combinacin de ambas cosas.

La supervisin continua del sistema de control interno se da en el transcurso de las
operaciones, incluye tanto las actividades normales de Direccin y supervisin, como otras
actividades llevadas a cabo por el personal en la realizacin de sus funciones. El alcance y
frecuencia de las evaluaciones depender de la evaluacin de riesgos y de la eficiencia de los
procesos de supervisin.

Los sistemas de Control Interno y, en ocasiones, la forma en que los controles se aplican,
evolucionan con el tiempo, por lo que procedimientos que eran eficaces en un momento dado,
pueden perder su eficacia o dejar de aplicarse. Las causas pueden ser la incorporacin de
nuevos empleados, defectos en la formacin y supervisin, restricciones de tiempo y recursos y
presiones adicionales. Asimismo, las circunstancias en base a las cuales se configur el
sistema de Control Interno en un principio tambin pueden cambiar, reduciendo su capacidad
de advertir de los riesgos originados por las nuevas circunstancias. En consecuencia, la
Direccin tendr que determinar si el sistema de Control Interno es adecuado y evaluar la
capacidad de asimilar los nuevos riesgos que se le presentan.

Alcance y frecuencia de la supervisin al Control Interno

El alcance y la frecuencia de la evaluacin del Control Interno variarn segn la magnitud de
los riesgos objeto de control y la importancia de los controles para la reduccin de aquellos. As
los controles actuarn sobre los riesgos de mayor prioridad y los ms crticos; y stos, a su vez,
sern objeto de evaluaciones ms frecuentes.

La evaluacin del Control Interno forma parte de las funciones normales de auditora interna.
Por otra parte, el trabajo realizado por los auditores externos constituye un elemento de anlisis
a la hora de determinar la eficacia del Control Interno. Una combinacin del trabajo de las dos
auditoras, la interna y la externa, facilita la realizacin de los procedimientos de evaluacin que
la Direccin considere necesarios.
Auditora de Sistemas y Tecnologas de Informacin


72

El proceso de evaluacin

La evaluacin del sistema de Control Interno constituye un proceso, si bien los enfoques y
tcnicas varan, debe mantenerse una metodologa en todo el proceso. El evaluador deber
entender cada una de las actividades de la entidad y cada componente del Sistema de Control
Interno objeto de la revisin. Conviene centrarse en evaluar el funcionamiento terico del
sistema, es decir en su diseo, lo cual implicar conversaciones con los desarrolladores y la
revisin de la documentacin existente.

La tarea del evaluador (auditor) es averiguar el funcionamiento real del sistema. Es posible
que, con el tiempo determinados procedimientos diseados para funcionar de un modo
determinado se modifiquen para funcionar de otro modo, o simplemente se dejen de realizar. A
veces se establecen nuevos controles, no conocidos por las personas que en un principio
describieron el sistema, por lo que no se hallan en la documentacin existente. A fin de
determinar el funcionamiento real del sistema, se mantendrn conversaciones con los
empleados que lo operan y se ven afectados por los controles, se revisarn los datos
registrados sobre el cumplimiento de los controles, o una combinacin de estos dos
procedimientos.

El auditor (evaluador) analizar el diseo del sistema de Control Interno y los resultados de las
pruebas realizadas. El anlisis se efectuar bajo la ptica de los criterios establecidos, con el
objeto ltimo de determinar si el sistema ofrece una seguridad razonable respecto a los
objetivos establecidos.

Existe una gran variedad de metodologas para abordar el anlisis del sistema de control
interno y el auditor dispone de variadas herramientas de evaluacin: hojas de control,
cuestionarios y tcnicas de flujogramas, tcnicas cuantitativas, etc. Algunas empresas,
comparan sus sistemas de Control Interno con los de otras entidades, lo que se conoce
generalmente como tcnica de benchmarking.

Documentacin

El nivel de documentacin del sistema de Control Interno de la entidad vara segn la
dimensin y complejidad de la misma. Las entidades grandes normalmente cuentan con
manuales de polticas, organigramas formales, descripciones de puestos, descripcin de
procedimientos operativos, flujogramas de los sistemas de informacin etc.

Muchos controles son informales y no tienen documentacin; sin embargo, se aplican
Auditora de Sistemas y Tecnologas de Informacin


73
asiduamente y resultan muy eficaces. Se puede comprobar este tipo de controles de la misma
manera que los controles documentados. El hecho de que los controles no estn
documentados no impide que el sistema de Control Interno sea eficaz y que pueda ser
evaluado.

Deficiencias

Las deficiencias en el sistema de Control Interno pueden ser detectadas tanto a travs de los
procedimientos de supervisin continua realizados en la entidad como de las evaluaciones
puntuales al sistema de Control Interno, as como a travs de terceros.

El trmino deficiencia se usa aqu en un sentido amplio como referencia a un elemento del
sistema de Control Interno que merece atencin, por lo que una deficiencia puede representar
un defecto percibido, potencial o real, o bien una oportunidad para reforzar el sistema de
Control Interno con la finalidad de favorecer la consecucin de los objetivos de la entidad.
Auditora de Sistemas y Tecnologas de Informacin


74
6. LIMITACIONES DEL CONTROL INTERNO


Cualquiera fuere el marco conceptual con el que se evale un sistema de Control Interno,
debemos considerar que ste tiene limitaciones en cuanto a los resultados de su aplicacin ya
que est condicionado por la conducta de quienes trabajan con l y por limitaciones fsicas.:

Un sistema se Control Interno, no importa lo bien concebido que est y lo bien que funcione,
nicamente puede dar un grado de seguridad razonable, no absoluta, a la Direccin en cuanto
a la consecucin de los objetivos de la entidad. A pesar de estar bien diseados, los controles
internos pueden fallar, puede que el personal comprenda mal las instrucciones o que se
cometan errores de juicio o malintencionados:

El control interno no puede hacer que un gerente malo se convierta en un buen gerente.
Asimismo el control interno no puede incidir sobre los cambios en la poltica o en los programas
gubernamentales, las acciones que tomen los competidores o las condiciones econmicas.

La eficacia de los controles se ver limitada por el riesgo de errores humanos en la toma de
decisiones, estas decisiones se tienen que tomar basadas en el juicio humano, dentro de unos
lmites temporales, en base a la informacin disponible y bajo la presin diaria de la actividad
laboral.

La eficacia del sistema de Control Interno est en directa relacin con las personas
responsables de su funcionamiento, incluso aquellas entidades que tienen un buen ambiente
de control (aquellas que tienen elevados niveles de integridad y conciencia del control) existe la
posibilidad de que el personal eluda el sistema de Control Interno con nimo de lucro personal
o para mejorar la presentacin de la situacin financiera o para disimular el incumplimiento de
obligaciones legales. La elusin incluye prcticas tales como actos deliberados de falsificacin
ante bancos, abogados, contadores y proveedores, as como la emisin intencionada de
documentos falsos entre otras.

Tambin existe la confabulacin de dos o mas personas que pueden provocar fallas en el
control interno. Cuando las personas actan de forma colectiva para cometer y encubrir un
acto, los datos financieros y otras informaciones de gestin pueden verse alterados de un
modo no identificable por el sistema de control interno.


Auditora de Sistemas y Tecnologas de Informacin


75
7. FUNCIONES Y RESPONSABILIDADES DEL PERSONAL



Todos los miembros de la organizacin son responsables del Control Interno, en especial se
distingue:
La Direccin.- El mximo nivel ejecutivo, en el cual recae en primer lugar la responsabilidad
del control, debe liderar y revisar la manera en que los miembros controlan el negocio,
estos a su vez designan responsables de cada funcin y establecen polticas y
procedimientos de Control Interno ms especficos. La responsabilidad es organizada en
cascada a partir de la Direccin.
Responsables de las Funciones Financieras.- Los directores financieros y sus equipos
tienen una importancia vital porque sus actividades estn estrechamente vinculadas con el
resto de unidades operativas y funcionales de una entidad. Normalmente estn
involucrados en el desarrollo de presupuestos y en la planificacin financiera. Controlan,
siguen y analizan el rendimiento, no slo desde una perspectiva financiera sino tambin, en
muchas ocasiones, en relacin al resto de operaciones de la entidad y al cumplimiento de
requisitos legales.
El director financiero, el jefe de contabilidad, el controller y otros responsables de las
funciones financieras de una entidad son claves para determinar la forma en que la
Direccin ejerce el control.
Funcin de auditora interna.- El rea de Auditora Interna, est en la mejor posicin dentro
de una entidad para identificar situaciones en que los altos directivos intentan eludir los
controles internos o tergiversar los resultados financieros y actuar en consecuencia.
Los auditores internos slo pueden ser imparciales cuando no estn obligados a
subordinar su juicio sobre asuntos de auditora al criterio de otros. El principal medio de
asegurar la objetividad de la auditora interna es la asignacin de personal adecuado para
la funcin de auditora, evitando posibles conflictos de intereses y prejuicios.
Asimismo, es recomendable hacer una rotacin peridica del personal asignado y los
auditores internos no deberan asumir responsabilidades operativas; Igualmente no
deberan estar asignados a la auditora de actividades en las cuales hubiesen tenido
alguna responsabilidad operativa reciente.
Auditores Externos.- Los auditores externos contribuyen al logro de los objetivos del control
interno aportando opinin independiente y objetiva sobre la situacin de la entidad.
Empleados.- El Control Interno es hasta cierto punto responsabilidad de todos los
empleados, casi todos ellos producen informacin utilizada en el sistema de Control o
realizan funciones para efectuar el control.
Auditora de Sistemas y Tecnologas de Informacin


76


Auditora de Sistemas y Tecnologas de Informacin


77
ANEXO II

Anlisis por categorizacin del riesgo
(metodologa Price Waterhouse)


En este apartado desarrollamos las actividades que se corresponden con los riesgos de esta
metodologa:

1. Acceso a las funciones de Procesamiento


Se ocupa de verificar y controlar el acceso a las funciones de procesamiento crticas. El
objetivo es permitir acceso slo a aquellas personas autorizadas para procesar las
transacciones pertinentes. Es decir, verifica quines pueden leer, modificar, agregar o eliminar
datos, quines pueden ingresar transacciones permitidas para ser procesadas, etc.

Principales controles aplicables: Segregacin de funciones y oposicin de intereses (debe
procurarse trasladar a los sistemas este tipo de controles). Se hacen matrices del tipo:

Funciones / Tareas Contable Depsito Ventas ...
Orden de compra
Recepcin
Entrega

Cada transaccin se descompone en los pasos atmicos o tareas elementales que es
necesario realizar para cumplimentarla dentro de un adecuado nivel de control. En este caso, la
premisa es otorgar diferentes niveles de acceso en funcin de las responsabilidades
asignadas; se debe fomentar los controles por oposicin de intereses. En empresas pequeas,
se recomienda mantener los controles manuales, imprimir listados de control y fomentar el
registro de logs de auditora.


2. Ingreso de datos


Controla los datos que ingresan al sistema informtico. Deben distinguirse dos tipos de datos:
permanentes y de transacciones. Los riesgos de esta categora son: datos imprecisos,
incompletos o duplicidad de ingreso (ingresados ms de una vez).


Auditora de Sistemas y Tecnologas de Informacin


78
Controles:
De edicin y validacin. Se valida el formato, lmites, dgito verificador, validacin contra los
datos grabados en un archivo de control, balanceo, correlacin de campos, etc.
De lotes. Trabaja con totales no significativos, efecta el control de secuencia de las
transacciones, la doble digitacin de datos crticos, procura evitar el doble procesamiento de
una transaccin, etc.


3. Items rechazados o en suspenso


Constituyen unos de los problemas ms difciles de resolver en el procesamiento electrnico de
datos. Los datos rechazados y las operaciones (transacciones) en suspenso deben poder ser
identificados y aislados para ser analizados y permitir las correcciones necesarias, es decir,
deben permitir su seguimiento. Se aconseja, siempre, emitir listados con los datos rechazados
y las transacciones no completadas o en suspenso.

El rgimen de procesamiento de las operaciones en suspenso debe tener iguales o mayores
controles que las transacciones normales. En cuanto a las operaciones con datos rechazados,
es aconsejable mantener un archivo especial (log) para recoger los mismos y administrarlo
adecuadamente. Los registros de este archivo-log deben contener datos que permitan
identificar el estado de la transaccin, tales como: fecha, nmero de comprobante,
responsable, tipo de operacin, monto, observacin, etc.


4. Procesamiento


Son controles complejos de implementar; implican muchas horas de anlisis y descansan en la
buena fe de los analistas. En este tipo de casos, un problema difcil de resolver es mantener la
integridad de las transacciones cuando se las procesa.

Las transacciones ingresadas para su procesamiento (incluso aqullas generadas por el
propio sistema) pueden perderse o ser procesadas en forma incorrecta, incompleta o
imputadas a ejercicios que no corresponden. Algunos de los controles aplicables al
procesamiento pueden ser:

Nmeros de secuencias para las operaciones, por ejemplo, formularios prenumerados.
Balanceo de operaciones.
Controles de lotes.
Auditora de Sistemas y Tecnologas de Informacin


79

5. Estructura organizativa del departamento de Sistemas


La propia estructura del departamento de Sistemas y los procedimientos operativos
implementados, complementan los controles programados en las aplicaciones para obtener un
ambiente de procesamiento seguro. En general, la estructura del rea se basa en una pirmide
de control clsica, de tres niveles: directivos o ejecutivos, mandos medios, y operativo o de
usuarios comunes, en donde cada estrato posee accesos diferenciados.

La premisa a tener en cuenta para analizar este riesgo es que de nada valen los controles
previstos en los programas de aplicacin, si el entorno donde trabajamos no tiene los controles
indispensables.

Cuando analicemos este tipo de riesgo es conveniente identificar los sectores funcionales que
se pueden encontrar en un departamento de Sistemas, por ejemplo:


Gerencia del rea de Sistemas



Administracin Anlisis y Produccin Control Seguridad
Programacin (operacin) de datos Informtica


Es conveniente tener en cuenta que los procedimientos operativos (cronogramas de
operaciones, autorizaciones para corridas no programadas, supervisiones, etc.), para ser tales,
deben estar escritos; en caso contrario lo ms probable es que no se cumplan.


6. Cambios a los programas


Implica verificar los controles vigentes en el ambiente de Desarrollo. Es muy importante revisar
los procedimientos de solicitudes de nuevos programas, la metodologa de desarrollo y la
documentacin tcnica de las aplicaciones.

Por ejemplo un procedimiento de pedido de cambio a un programa debe cumplir los siguientes
requisitos:
ser iniciado por los usuarios finales y aprobados por los responsables del sector solicitante.
intervenir los usuarios en las especificaciones y en la recepcin de las modificaciones.
tener especificados los procedimientos de pruebas.
Auditora de Sistemas y Tecnologas de Informacin


80
ser documentados luego de ponerlos en produccin.


7. Acceso general (al sistema informtico)


Para analizar este tipo de riesgos debemos controlar los accesos, tanto al lugar donde estn
los computadores centrales (departamento de Sistemas), como a los sistemas de aplicacin en
produccin. El anlisis de este riesgo contempla el acceso no autorizado a material sensitivo
del ambiente de procesamiento, por ejemplo: los archivos de datos, los programas en
produccin y otros recursos crticos a la seguridad del sistema informtico como terminales,
redes de comunicaciones, etc.


8. Riesgo de continuidad de procesamiento


Este riesgo no es evaluado habitualmente en las auditoras tradicionales. Se lo considera ms
bien como propio del negocio que del sistema de control interno. Es muy difcil de cuantificar y
medir, ya que no hay reglas que especifiquen cmo debe funcionar el sistema de
procesamiento de datos de una entidad. Las opiniones vertidas por el auditor en este aspecto
pueden implicar mucha subjetividad.

Auditora de Sistemas y Tecnologas de Informacin


81
CAPITULO 3
Auditora Continua



1. INTRODUCCION


Una de las caractersticas de los sistemas de informacin actuales es la tendencia a la
supresin del papel como medio de soporte de los datos; por cuestiones operativas los
sistemas informticos procuran eliminar la documentacin fsica relacionada a las
transacciones que procesan, las razones son ms disponibilidad de datos, mayor velocidad de
procesamiento y menores costos. Esta situacin hace que la documentacin fsica relacionada
con las operaciones de la empresa gradualmente desaparezca, por ende, se pierden las
correspondientes pistas de auditora de las transacciones.

La informtica tiende en forma manifiesta a suprimir el papel como soporte de las operaciones que
procesa y la telemtica a eliminar la necesidad de la presencia fsica de los operadores. En forma
obvia, la transferencia electrnica de fondos (cuya tcnica se funda en la informtica y la
telemtica) estaba destinada a colisionar con la estructura jurdica correspondiente a la cultura del
papel, basada sobre la instrumentacin y firma de los actos. Los aspectos legales ms crticos en
esta materia son los que se refieren a la identificacin de la parte que cursa la transaccin y al
valor de los registros de las memorias electrnicas como medio de prueba legal.
32


Rescatamos la afirmacin muerte de la cultura del papel; creemos que es una tendencia
irreversible y que se propaga permanentemente a nuevos mbitos. Cada da encontramos
mayor cantidad de operaciones que se ejecutan totalmente en forma electrnica, sin
documentacin fsica que las perfeccione.


1.1. Desaparecen los rastros de auditoria?

Las nuevas tecnologas en comunicacin de datos y redes de computadoras han posibilitado la
irrupcin de un nuevo tipo de operaciones comerciales, las llamadas transacciones
electrnicas. En estos casos, las operaciones se procesan en forma automtica y la
informacin relacionada se actualiza sin dejar un rastro fsico (documento) de la actividad
realizada. Al respecto, veamos lo que dice un especialista:

Las transacciones electrnicas son una tendencia que por razones funcionales y de eficiencia
operativa prometen desplazar el modo "presencial" de efectuar operaciones comerciales como
est ocurriendo con el comercio electrnico a travs de Internet o con las ya tradicionales

32
ANTONIO MILLE, "La montica y sus leyes", Revista Presencia NCR N 10, Buenos Aires, Julio 1989, pg. 5.
Auditora de Sistemas y Tecnologas de Informacin


82
operaciones financieras realizadas por medio de la red de cajeros automticos donde los
usuarios del sistema realizan sus transacciones interactuando con un computador y la
identificacin personal se constata con el ingreso de una tarjeta plstica y una clave secreta de
acceso al sistema. La documentacin que se genera no es personalizada: no lleva firmas ni
rastros fsicos del autor. La seguridad del sistema se asienta en la posesin de la tarjeta -con
los datos del usuario grabados en una banda magntica o en un chip de memoria- y en la clave
de acceso, cuya confidencialidad es la piedra angular de la confianza en el sistema.

Otro ejemplo de transacciones electrnicas donde es muy difcil identificar el origen de una
operacin y asegurar la certeza de los datos e imputaciones correspondientes a su
procesamiento, ocurre en los casos de procesamiento de transacciones gestionadas por
paquetes de aplicaciones comerciales integradas (los llamados ERP). En estos sistemas, todos
los datos correspondientes a una transaccin se captan al inicio de la misma, de una sola vez;
luego es objeto de numerosas transformaciones, afectando distintos centros de informacin,
hasta casi perder la relacin con el evento y los datos originales.

El sistema de tratamiento de la informacin, especialmente si se trata de sistemas integrados,
capta la informacin una sola vez, la que es objeto de numerosas transacciones, para convertirse
en informacin elaborada a distintos niveles. Ello supone que las transacciones iniciales pueden
ser sometidas a procedimientos muy complejos, haciendo difcil establecer la correspondencia
entre resultados y transacciones iniciales.
33


En estos casos, las pistas de auditora -prueba de la validez de una transaccin electrnica-
quedan en formato digital, grabados en los dispositivos de almacenamiento de las
computadoras que intervienen en su procesamiento.


1.2. Riesgos para el auditor

Como hemos visto, el enfoque vigente para abordar un trabajo de auditora a un sistema de
informacin computarizado es revisar el sistema de control interno: satisfecho el auditor con las
medidas de control implementadas, dan por buenos los datos que genera el sistema de
informacin.

Actualmente el auditor basa sus opiniones en base a los datos brindados por el sistema de
gestin, pero como dijimos, ste fue diseado para optimizar el procesamiento de las
operaciones administrativas de la empresa y no para procurar un mejor control y auditabilidad
de las transacciones y su registro.

Los auditores conocen que en los ambientes computarizados hay facilidades mayores que en

33
JOSE MANUEL PEREZ GOMEZ, "La auditora de los sistemas de informacin", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso Iberoamericano de Informtica y Auditora,
San Juan de Puerto Rico, Madrid, 1988, pg. 110.
Auditora de Sistemas y Tecnologas de Informacin


83
los ambientes convencionales para preparar la informacin de acuerdo a la conveniencia del
usuario (falseada por quienes la preparan).

Uno de los riesgos asociados con la utilizacin del computador, desde el punto de vista del Auditor
que va a emitir su opinin sobre las cifras de un estado financiero, es que la informacin que le
sirve de base... puede estar contaminada. Lo sutil de un fraude por computadora es que
siempre podremos hacer la columna A igual a la B ... exclusivamente para los Auditores.
34



El auditor, entonces, debe estar alerta sobre la fragilidad de la informacin residente en los
medios de almacenamiento digitales y la posibilidad latente de ser alterada sin dejar rastros
con la finalidad de ser adecuada a las necesidades del momento.

Muchos profesionales han tomado la poltica de utilizar productos de software para automatizar
reportes y listados a partir de los datos administrados por los aplicativos de gestin (grabados
en archivos digitalizados) para realizar sus trabajos de auditora. No tienen en consideracin
que el contenido de dichos archivos -considerados fuentes primarias de informacin- pudo
haber sido previamente manipulado o preparado para ser accedido por los auditores.

Entonces un auditor debe desechar toda la informacin que reside en un sistema de
informacin computarizado? Creemos que no, pero el auditor debe tener en cuenta que la
informacin a la que accede pudo haber sido preparada especialmente para l (contaminada)
en el mismo momento en que est realizando la consulta a los datos residentes en el sistema y
luego vuelta a dejar como estaba. Por ello es conveniente contar con pistas de auditora
digitales que permitan corroborar los datos obtenidos desde la aplicacin.

Ante esta situacin, las tcnicas de auditora debern adaptarse lo ms eficientemente posible
a la nueva modalidad de registrar las operaciones; creemos que el nuevo paradigma aportado
por las tcnicas de Auditora Continua (CA) subsanaran las actuales carencias.




34
ALEJANDRO LAMBARRI V, "Utilizando el computador para realizar la auditora", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso Iberoamericano de Informtica y Auditora,
San Juan de Puerto Rico, Madrid, 1988, pg. 267.
Auditora de Sistemas y Tecnologas de Informacin


84
2. CONCEPTO DE AUDITORIA CONTINUA


Auditora Continua (CA) es una metodologa que permite a los auditores independientes proveer
certificacin sobre la materia bajo anlisis usando reportes de auditora simultneos (o
pertenecientes a cortos perodos posteriores) a la ocurrencia de los eventos controlados.
Fuente: CICA/AICPA, 1999

Hasta ahora, la funcin de auditora ha sido lenta en adaptarse a los cambios tecnolgicos
aportados por las computadoras. En una primera etapa, el impacto del procesamiento de datos
fue simplemente ignorada aplicando el enfoque de auditora alrededor del computador, donde
todos los datos requeridos para ejercer la funcin de auditora eran extrados desde la
documentacin (papeles) relacionada con las operaciones de la entidad. El enfoque siguiente
fue auditora a travs del computador donde el auditor comienza a utilizar la tecnologa
informtica para ejercer su funcin, esencialmente el aporte de este enfoque se centra a la
utilizacin de herramientas estndar de oficina (por ejemplo: planillas de clculo) y
herramientas CAAT
35
(bsicamente software para anlisis de datos como el paquete ACL) para
automatizar las tareas y procesos de auditora. Sin embargo, estos enfoques han demostrado
ser limitados en cuanto al aprovechamiento pleno de las ventajas que pueden aportar las
nuevas tecnologas para automatizar procedimientos y tareas de auditora.

Es un hecho que la mayora de las grandes compaas tienen implementados sistemas de
informacin integrados funcionando en redes globales, usualmente llamados ERP -Planeacin
de Recursos Empresariales- como su infraestructura informtica bsica.

En respuesta a estos profundos cambios en la plataforma de gestin administrativa de los
negocios, las firmas pblicas de auditora contable y los departamentos de auditora interna de
las grandes empresas han comenzado ha evaluar las oportunidades y desafos que les
presenta el desarrollo y despliegue de las tcnicas de Auditora Continua, caracterizadas por su
capacidad para gestionar grandes volmenes de datos y brindar informacin en perodos
menores de latencia entre los eventos y los reportes.

Est ya ampliamente aceptado que las auditoras anuales donde el auditor aporta opiniones ex-
post pertenecen a la era pre-digital. Reportes on-line alimentados por bases de datos
actualizadas en tiempo real permiten la Auditora Continua, con informes que complementan y
eventualmente reemplazan los tradicionales informes anuales de auditora
36
.

Las tcnicas de Auditora Continua permiten al auditor virtualmente acceder y controlar en
tiempo real los flujos de datos de todas tas transacciones procesadas por la empresa. Este

35
CAAT de Computer Aid Audit Tools (Herramientas de Ayuda para Auditoria de Computadores)
36
Alles, Michael y otros- Continuous auditing: The USA experience and considerations for its implementation in Brazil,
4CONTECSI, 2007
Auditora de Sistemas y Tecnologas de Informacin


85
modelo reemplaza el paradigma actual donde la auditora se restringe a la revisin de un
nmero acotado de operaciones en momentos fijos de tiempo. La posibilidad de una
metodologa de auditora en tiempo real y automatizada emerge para los auditores en el
contexto de los sistemas integrados de gestin (ERP), ya que stos permiten disponer de los
datos del negocio con mayor granularidad, en el tiempo y detalle requeridos y a un costo ms
accesible que en el pasado.

La esencia de la Auditora Continua es que disminuye la latencia entre la registracin de
operaciones y la provisin de aseguramiento, esto tiene profundas implicancias para la visin
de auditora como un control o verificacin ex-post. Con Auditora Continua la monitorizacin
puede ser a tiempo real, donde el foco pasa a identificar las transacciones con excepciones y
analizar los resultados fuera de lo esperado

Claramente la Auditora Continua es mucho ms que una herramienta tecnolgica o, an ms,
una simple evolucin metodolgica de la auditora convencional. La CA potencia cambios
fundamentales no slo en la forma en que se llevan adelante los trabajos de auditora, impacta
tambin en el rol y las relaciones de los auditores con las empresas, requiriendo la adecuacin
de las regulaciones y legislaciones relacionadas con el ejercicio de la auditora.

En resumen, las ventajas de la Auditora Continua son:
37

Permite ciclos de auditora ms cortos, facilitando mejor control de riesgos y
aseguramiento del control
Permite un alcance mayor de la cobertura de auditora sin necesidad de ampliar los
recursos afectados
Permite conducir auditoras ms frecuentes: diarias, semanales, mensuales.
Permite testeos peridicos automticos y mejora los ciclos temporales de auditora
Permite auditar el total de las operaciones procesadas
Permite el recalculo y comparacin de todas las transacciones procesadas
Hace los procesos de auditora ms rpidos, baratos y eficientes.
Mejora la calidad y velocidad de las tareas de auditora

Aseguramiento continuo

Existe cierta confusin entre los conceptos de Auditora Continua (Continuous Auditing) y
Aseguramiento Continuo (Continuous Assurance). Tpicamente el aseguramiento continuo es
una funcin de la gerencia operativa cuya finalidad es asegurar que las polticas,
procedimientos y los procesos de negocios sean efectivos y estn bajo la responsabilidad y
control de quienes corresponda. En cambio, Auditora Continua tiene el rol de ser un meta

37
O'Really, Anthony, Continuous auditing: wave of the future? The Corporate Board. Sept/Oct. p.24-26, 2006
Auditora de Sistemas y Tecnologas de Informacin


86
control (control de controles), es decir, asegurar que los mecanismos de Aseguramiento
Continuo funcionen adecuadamente.

Aseguramiento continuo es una metodologa de control permitida por la tecnologa actual,
caracterizada por permitir revisar el procesamiento de todas las operaciones y las actividades
del sistema en forma simultnea con los eventos procesados, o en cortos perodos de tiempos
posteriores. Ms precisamente, aseguramiento continuo puede definirse como un proceso que
continuamente testea las transacciones y sus controles basado en los criterios prescriptos por
la gerencia o el auditor y que identifica anomalas (excepciones) para profundizar su anlisis.

Es un hecho que muchas de las tcnicas de aseguramiento continuo usadas por la gestin son
similares a aquellas implementadas por los auditores internos durante sus actividades de
Auditora Continua.


2.1. Situacin actual de la Auditoria Continua
.
La Auditora Continua se est convirtiendo en un tema cada vez ms importante en la ciencia
contable, tanto en la prctica profesional como en investigacin. Las firmas mayores de
contabilidad tienen iniciativas al respecto, lo mismo que los proveedores de software de gestin
comercial quienes estn desplegando importantes polticas de desarrollo y marketing en
productos CA.

La Auditora Continua suele ser justificada inicialmente para bajar los costos de los procesos
corrientes de auditora o para controlar procesos que no pueden ser asegurados con las
tcnicas tradicionales.

La ley Sarbanes-Oxley
38
(SOX, 2002) focaliza su atencin sobre cmo los datos son
procesados y usados dentro de las empresas; en sus secciones 404 (mejoras en el sistema de
control interno) y 409 (reportes en tiempo real) abogan por rigurosos controles sobre los
reportes financieros, justificando el desarrollo de nuevas tcnicas de Auditora Continua.

Por otro lado, hay una llamativa carencia de investigaciones empricas y casos de estudio
sobre metodologas para desarrollar Auditoras Continuas, como consecuencia se carece de
bibliografa para analizar cmo CA impactar en el da a da de la prctica de auditora, en
particular, cmo afectar pasar de un ambiente condicionado por la carencia de datos
oportunos a otro caracterizado por la abundancia de datos y la periodicidad de reportes

38
En el Captulo 6 se amplia.
Auditora de Sistemas y Tecnologas de Informacin


87
cercana al tiempo real39.

Hui Du y Saeed Roohani40 sealan que existen varios modelos tericos desarrollados para
auditar transacciones en forma continua, stos pueden agruparse en dos tipos de
metodologas:

Mdulos Embebidos de Auditora (Embebed Audit Modules o EAMs ): mdulos de
software puestos en puntos predeterminados del sistema de gestin para obtener
informacin sobre las transacciones o eventos procesados. Los EAMs pueden
monitorear una amplia variedad de controles, procesos y transacciones; tienen el
potencial de capturar errores de transaccin y la violacin de controles. Los EAMs
residen en el sistema auditado y se ocupan de chequear o registrar para su posterior
anlisis las violaciones y/o excepciones en el procesamiento de las transacciones.

Una de las debilidades sealadas por la bibliografa sobre este modelo es que el
auditor debe proteger los EAMs de los administradores de Base de Datos y del ERP o
prevenir que ellos conozcan su lgica de funcionamiento. Como es sabido, el
administrador de la Base de Datos tiene completo control sobre la base de datos y
puede tambin manipular los EAMs, tal como puede manipular las transacciones que
estn siendo procesadas por el ERP41, distorsionando la funcionalidad prevista.

Sistemas independientes (standalone) que monitorean extrayendo datos desde el
sistema auditado. Comparan los datos extrados de las transacciones procesadas con
estndares para monitorear el sistema y detectar anormalidades, se los llama
genricamente CPAS (Continuous Process Auditing System).

Un caso de estudio de referencia de este ltimo modelo es el trabajo Continuous Monitoring of
business process controls: A pilot implementation of a continuous auditing system at
Siemmens (Alles, M.; Vasarhelyi, M. y otros, 2005) donde se describe una implementacin
piloto -denominada CMBPC- de monitoreo continuo sobre los controles aplicados a los
procesos de negocio atendidos por el ERP (SAP R/3).de Siemmens. Este caso demuestra las
potencialidades para la auditora de las tcnicas de Auditora Continua y tambin destaca las
dificultades y limitaciones para ponerlas en prctica. Bsicamente, el foco de este estudio fue
analizar mecanismos de monitoreo en tiempo real sobre controles usados en algunos de los
procesos del ERP seleccionados especialmente para este caso de estudio. Grficamente el

39
Alles, Michael, Kogan, Alexander, Vasaehelyi, Miklos y Wu, Jia, "Continuous Data Level Auditing: Business Process
Based Analytic Procedures in an Unconstrained Data Environment, November 22 2006.
40
Hui Du y Saeed Roohani, Meeting Challenges and Expectations of Continuous Auditing in the Context of Independent
Audits of Financial Statatments, International Journal of Auditing, 11: 133-146, 2007
41
Debreceny, R., Gray, G, Jun-Jin, J, Lee, K y Yau, W. - Embedded Audit Modules in Enterprise Resource Planning
Systems: Implementation and Funcionality Journal of InformationSystems, Vol.19 N2, 2005
Auditora de Sistemas y Tecnologas de Informacin


88
modelo del prototipo fue el siguiente:

. Prototipo del Continuous Monitor Business Process Control (CMBPC)

Como puede observarse el CMBPC de Alles y Vasarhelyi, corresponde a la categora de CPAS
y opera monitoreando flujos de informacin sobre la Capa de Aplicacin del ERP; sin embargo,
el estudio tambin considera que puede implementarse un CPAS monitoreando la Capa de
Datos, es decir, monitorear directamente el impacto de las operaciones en las bases de datos
que registran las transacciones procesadas por la aplicacin. Esta opcin fue descartada a
causa del tamao (ms de 20.000 tablas).y complejidad del esquema de la base de datos del
caso de estudio. En el mismo sentido, el mencionado estudio de Debreceny seala que una
instalacin tpica de SAP tiene aproximadamente 10.000 tablas con 100.000 atributos, esto
dificulta la tarea de mapear los conocimientos de los procesos de negocio a la estructura de la
base de datos para determinar exactamente qu atributos monitorear.

Sin embargo, tambin es posible considerar la implementacin de un modelo de monitoreo
continuo (CPAS) sobre la Capa de Datos. En el ao 2006 un equipo de trabajo integrado por el
autor desarroll un prototipo de monitoreo continuo, denominado Servidor de Auditora, en el
marco de un proyecto de investigacin conducido por investigadores de la Facultad de Ciencias
Econmicas de la Universidad Nacional de Crdoba y el rea de Auditora Interna de la
Empresa Provincial de Energa de Crdoba (EPEC). La arquitectura de este prototipo se bas
en monitorear la Capa de Datos del sistema de gestin y el objetivo del trabajo fue desarrollar
un mecanismo que obtuviera Pistas de Auditora Digitales a partir de las transacciones
procesadas por la aplicacin comercial y de recursos humanos de la citada empresa.
.
Se parti de la hiptesis de que una de las mayores dificultades para la auditora de sistemas
de informacin es la carencia de pistas de auditora digitales que permitan seguir el flujo de las
Auditora de Sistemas y Tecnologas de Informacin


89
transacciones procesadas por los aplicativos de gestin y contar con una fuente
complementaria de datos para contrastar los reportes brindados por el sistema de gestin.
Siguiendo el modelo de la figura anterior, la arquitectura de la propuesta Servidor de Auditora
es la siguiente:

Prototipo del Servidor de Auditora


2.2. Monitoreo Continuo para obtener pistas de auditora digitales


En nuestro anlisis contemplamos dos mecanismos para generar pistas de auditora digitales
usando tcnicas de Monitoreo Continuo. La consigna fue que las pistas de auditora deban
residir en un soporte digital y brindar al auditor una fuente de informacin complementaria para
corroborar los datos reportados por el sistema de gestin.

Si el auditor cuenta con los datos de las transacciones en soporte digital y en una fuente de
datos independiente del sistema de gestin, entonces dispone de un ambiente computarizado
propio y especfico para ejercer la funcin de auditora. Al respecto, evaluamos dos alternativas
de Monitoreo Continuo para obtener pistas de auditora digitales:

a) Archivo Auditor

Este modelo, similar a muchas de las propuestas de la bibliografa actual, procura un sistema
para obtener pistas de auditora especficas y permanentes dentro del ambiente donde reside
el sistema de gestin. Para ello, es necesario asignar a las aplicaciones la misin de generar
Auditora de Sistemas y Tecnologas de Informacin


90
registros destinados a ser pistas de auditora y grabarlos en un archivo nico y especifico
42
.
Este archivo -colector de registros- debe tener formato uniforme, al mismo debern tributar
todas las aplicaciones que procesan las operaciones que se pretenden auditar. Su
administracin y custodia debe estar en manos de Auditora Interna, independiente del control
del rea Sistemas. Sin embargo, debemos sealar que el archivo Auditor al residir dentro del
ambiente de procesamiento afectado a la gestin, estar potencialmente sujeto a la
manipulacin de sus datos por parte de los especialistas que lo administran (administradores
de la base de datos y del ERP).

b) Servidor de Auditora

El objetivo de esta propuesta que adhiere al paradigma CPAS descripto en el punto anterior, es
desarrollar un servidor especfico para el rea de Auditora, es decir, un ambiente informtico
exclusivo para las funciones de auditora y control de la organizacin
.
Este modelo, al que consideramos superador del anterior, es posible en la arquitectura de
procesamiento actual: servidores especializados por funciones atendiendo los requerimientos
de la red de computadoras de la entidad. Contempla el desarrollo de un servidor especfico y
exclusivo para la funcin de auditora conectado a la red donde corre el sistema de gestin. El
servidor de auditora es entonces un computador destinado a colectar los datos de todas las
operaciones que se deseen auditar y almacenar toda la informacin que se quiera resguardar
de cambios no autorizados.


En sntesis, ambas propuestas abren a los auditores alternativas de monitoreo continuo para
desarrollar su trabajo, les proveen de ambientes propios con fuentes de informacin
complementarias (pistas de auditora digitales), aportando mayor confiabilidad a los datos
brindados por los sistemas informticos. A continuacin, describiremos los mecanismos de
monitoreo continuo que proponemos.


42
En los sistemas de gestin actuales es frecuente encontrar tablas o archivos especiales para la funcin de auditora
(llamados tablas de auditora). Su finalidad es similar a la del archivo Auditor pero se diferencian en que no tienen
formato uniforme, estn bajo la administracin del rea Sistemas y hay diferentes tablas segn sea la funcin de
control asignada.
Auditora de Sistemas y Tecnologas de Informacin


91
3. ARCHIVO AUDITOR



Esta propuesta consiste en prever durante la etapa de diseo de las aplicaciones
administrativas la programacin de operaciones de grabacin de registros especficos y
exclusivos para los fines de la auditora en correspondencia con el registro de las transacciones
que tienen efectos econmico-financieros en la empresa. Los registros destinados a ser pistas
de auditora se deben grabar en un nico archivo del sistema informtico, al que denominamos
Archivo Auditor. Este archivo est destinado a ser usado con fines especficos de control, sus
registros debern contener la totalidad de los datos necesarios para reconstruir las
transacciones a las que pretenden servir como pistas de auditora.

Las aplicaciones informticas, en especial, las afectadas a la gestin administrativa suelen
registrar las transacciones que procesan en forma secuencial, en el orden de su ocurrencia,
grabndolas en un archivo de movimientos o "log de operaciones". Este tipo de archivos
registran las transacciones que han entrado al sistema durante un cierto perodo, grabando
adems de los datos propios de la transaccin, otros datos complementarios necesarios para
individualizar posteriormente las operaciones procesadas, tales como: identidad de la persona
que gener la transaccin (operador), fecha-hora, terminal, etc. Sintticamente, este
mecanismo es el que proponemos para el modelo Archivo Auditor.

3.1. Aportes del archivo Auditor

a) Evitar al auditor la tarea de investigar cmo est construida una aplicacin.
Esta caracterstica tiende a liberar al auditor de conocer en profundidad los aspectos tcnicos
del sistema informtico donde reside la informacin de la empresa, permitiendo al profesional
especializarse en lo que es su mbito de actuacin y evitando la tentacin de opinar sobre
aspectos que no le son propios.

En esta situacin, en los casos de una auditora al sistema de informacin contable, la primer
tarea del auditor consistira en introducir un juego de transacciones y verificar su reflejo en el
archivo Auditor; de esta manera valida tambin parte del sistema de control interno. Luego,
pasara a la fase de auditora de balance". Esta consistira en recoger y procesar la
informacin del archivo Auditor, obteniendo como resultado las cifras de los estados contables
que se estn verificando segn sus clculos. Por ltimo, slo le quedara comparar su
balance con el que le entreg la entidad objeto de revisin.


Auditora de Sistemas y Tecnologas de Informacin


92
b) Uniformar y estandarizar los datos que brindan las aplicaciones al sistema contable.
Esta caracterstica facilita el contacto del auditor con el sistema informtico, ya que le evita la
necesidad de conocer todas las aplicaciones de la empresa, slo debe verificar que todos los
programas tributen correctamente al programa colector de registros; el mdulo contable -
presente en todos los sistemas de gestin administrativos- que debe trabajar con registros de
formato estndar.

c) Ampliar la confiabilidad de los datos brindados por el sistema de informacin
Al disponer de un archivo colector de los movimientos u operaciones que se realizaron, es
posible reconstruir la informacin y poder compararla con aquella que deben tener las bases
de datos de las aplicaciones. Esto se refiere a efectuar controles cruzados para evaluar la
calidad de la informacin.

d) Facilitar el acceso de terceros a los sistemas de la empresa.
Contar con un archivo Auditor permite verificaciones ms rpidas, sencillas y seguras a los
sistemas de informacin de la entidad. En especial, aqullas realizadas por organismos de
control externos ante los cuales los directivos deben responder asegurando la confiabilidad de
la informacin, por ejemplo: auditoras externas, instituciones financieras, organismos
tributarios, etc.

En los casos de revisin de la contabilidad, el proceso de control se vera facilitado por la
uniformidad del formato de los datos y por la concentracin de toda la informacin referida a los
movimientos contables de la empresa en un nico archivo del sistema informtico.

3.2. Requisitos del archivo Auditor


a) Adaptar las aplicaciones en produccin a los requerimientos del nuevo archivo.

En el caso de aplicaciones en produccin, deben modificarse los programas para que graben,
cuando corresponda, la informacin que producen las transacciones procesadas por el sistema
de gestin de la empresa en el archivo Auditor.

En el caso de desarrollo de nuevas aplicaciones, el problema es ms simple; slo debera
preverse tributar los registros correspondientes respetando el formato uniforme y usar el
archivo Auditor para colectar dichos registros.




Auditora de Sistemas y Tecnologas de Informacin


93
b) Implementar procedimientos para administrar el nuevo archivo.

Es importante instrumentar procedimientos para el copiado peridico del archivo Auditor, ya
que sirve como resguardo fsico de la informacin. Las copias podran ser usadas para
reconstruir los datos en casos de prdida o corrupcin, y para cuando sea necesario comparar
la informacin vigente con la original.

Es conveniente utilizar un medio magntico removible, como por ejemplo cintas magnticas,
CD-ROM, DVD, etc. La seguridad mejorara si se foliaran y precintaran las copias, y su
custodia fsica fuera asumida por los mximos niveles de la organizacin.

c) Proteger acceso a informacin confidencial de la institucin.

El tener concentrada la informacin de las transacciones, en especial los movimientos
contables en un nico archivo, de formato uniforme, es un riesgo que debe ser cuidadosamente
analizado dado que se trata de informacin confidencial.
Auditora de Sistemas y Tecnologas de Informacin


94
4. SERVIDOR DE AUDITORIA



Este proyecto fue concebido a partir de Seguridad Informtica, motivado por ciertos eventos de
operaciones de hackers; luego lo ampliamos y hoy en la prctica estamos encaminados hacia
Auditora Contnua. Bsicamente, hemos realizado un sistema informtico que genera Pistas
de Auditora Digitales, haciendo hincapi en los cambios que se operan directamente sobre la
base de datos.
El sistema tiene la particularidad de trabajar con las tablas (archivos de datos) ms esenciales
no generando las tablas de auditoras tradiciones que residen en la base de datos de gestin,
sino que esta concebido como un ambiente independiente para el auditor lo cual se logra a
partir de captar y trabajar con informacin obtenida directamente de los archivos logs que
genera todo sistema informtico.
Todos los das a modo de tablero de comando contamos al detalle con los eventos que pueden
resultar irregulares ocurridos el da anterior, mostrndonos en su caso el detalle del mismo,
tales como: fecha/hora, usuario que oper, si fue desde la aplicacin o directamente de la base
de datos, tipo de operacin, dato modificado, dato actual, etc.
A su vez entendemos que el sistema tiene por finalidad no slo brindar la informacin
necesaria para la auditora sino que tambin tiende a garantizar a empleados, clientes,
proveedores y terceros que la informacin que se expone o muestra no ha sufrido modificacin
alguna que no sea aquella permitida por los procedimientos administrativos e informticos
correspondientes de la Empresa.
Hctor Rubn Morales Jefe Auditora Interna - EPEC




Como dijimos, el mecanismo de monitoreo continuo propuesto es un servidor especfico para la
funcin de auditora conectado a la red donde corre el sistema de gestin. Para implementar un
Servidor de Auditora se requiere, entonces, de un computador destinado a colectar los datos
de todas las operaciones que se deseen auditar y almacenar toda la informacin que se quiera
resguardar de cambios no autorizados.

En la figura siguiente representamos el modelo de procesamiento actual: servidores
conectados en red y especializados por funciones, a la que se agrega el Servidor de Auditora.
Auditora de Sistemas y Tecnologas de Informacin


95
Esquema de una red de procesamiento con un Servidor de Auditora

4.1 Modelo conceptual

Como dijimos, el Servidor de Auditora consiste en equipamiento informtico con software
especfico para la funcin de auditora, conectado a la red de computadoras de la empresa y
con la funcin principal de colectar registros derivados de las transacciones que procesa el
sistema de gestin.

Este servidor cuenta con su propio sistema operativo, software de gestin de bases de datos
(DBMS), herramientas de monitoreo de red y programas de anlisis de datos especficos para
la funcin de auditora. La administracin corresponde al rea Auditora Interna.

El aporte ms importante de esta propuesta para el auditor es la independencia respecto del
rea de Sistemas; posibilitando el trabajo de evaluacin y control sobre las operaciones de la
organizacin sin requerir de la ayuda (y condicionamiento) de los tcnicos encargados de
mantener el sistema de gestin.

El primer aspecto a evaluar para implementar un prototipo de Servidor de Auditora es resolver
cmo colectar los datos generados por las transacciones que procesa el sistema de gestin,
para ello, se consideraron las siguientes alternativas:

Utilizar agentes inteligentes para colectar los datos generados por las transacciones
procesadas por el sistema de gestin y trasladarlos al Servidor de Auditora en forma
Auditora de Sistemas y Tecnologas de Informacin


96
simultnea (tiempo real). Los agentes inteligentes son programas que corren en forma
autnoma dentro del sistema informtico y requieren el desarrollo de software especfico
que debe ser instalado tanto en el sistema de gestin como en el Servidor de Auditora.

Utilizar motores de actualizaciones, en un procedimiento similar a la tecnologa utilizada por
los sistemas de data warehouse, para sincronizar los datos del ambiente de gestin con las
bases de datos del Servidor de Auditora.

Utilizar los datos almacenados en el Log de Transacciones de los gestores de bases de
datos para actualizar al Servidor de Auditora. Los motores de bases de datos disponen de
mecanismos llamados Log de Transacciones para registrar una copia de todas las
operaciones que procesa el motor de la base y que modifican sus datos. Estos Log de
Transacciones son creados por el software que administra la base de datos (DBMS) con la
finalidad de posibilitar la restauracin de las tablas en caso de fallas del equipamiento,
procesamiento incorrecto de una transaccin u otras fallas.

Si bien el objetivo de los Logs de Transacciones es resguardar la integridad de la
informacin que reside en las bases de datos, es necesario sealar que la informacin que
registran contiene todos los datos requeridos para lograr pistas de auditora digitales a
partir de las transacciones procesadas por el sistema de gestin.

Esta ltima tecnologa es la que consideramos potencialmente ms adecuada para desarrollar
nuestro prototipo, apoyndonos en que los paquetes ERP actuales utilizan motores de bases
de datos y todos los DBMS cuentan con un Log de Transacciones para funciones de seguridad.

Sin embargo, el argumento ms fuerte para la eleccin del modelo fue que se monitorean todas
las transacciones sobre la base de datos, tanto las realizadas por el sistema como tambin las
realizadas desde el motor de la base de datos en forma directa (sin la mediacin de un
programa de aplicacin).

Cabe agregar que el modelo de datos que tiene la base de datos de auditoria es similar al de la
base de datos de gestin, en cuanto a que tiene las mismas tablas y los mismos campos en
cada una de ellas, con el agregado de campos especficos para la funcin de auditoria y con
algunas tablas adicionales a los efectos de convertirse en pistas de auditora.

La figura siguiente presenta un esquema del modelo propuesto para colectar los registros de
las operaciones procesadas por el ERP y copiarlas desde el Log de Transacciones al Servidor
de Auditora:
Auditora de Sistemas y Tecnologas de Informacin


97

Modelo colector a partir del Log de Transacciones


4.2. Etapas para instalar un Servidor de Auditora


Previo a la instalacin de un Servidor de Auditora se debe desarrollar una metodologa para
mapear los procesos de negocio en la estructura de la Base de Datos de gestin y determinar
qu tablas-atributos capturar. Para ello es requisito que el auditor conozca el esquema de la
base de datos, el diagrama entidad/relacin y los procesos que desea controlar. Sintticamente
las actividades que deben llevarse a cabo son:

Especificar las operaciones a capturar y definir los datos a colectar, esta tarea debe ser
asumida por los auditores internos y los usuarios responsables de los mismos.
Instalar los programas colectores que capture los datos de las transacciones tanto en el
sistema de gestin como en el Servidor de Auditora. Esta tarea, a cargo de
especialistas IT, implica otorgar los permisos necesarios al programa colector de
auditora que se ejecutar dentro del sistema de gestin.
Instalar el Servidor de Auditora y conectarlo a la red de datos de la empresa. Esta tarea
estar a cargo del rea Auditora Interna y los administradores del Servidor, con la
colaboracin del rea Sistemas de la organizacin.

Auditora de Sistemas y Tecnologas de Informacin


98

4.3. Descripcin del funcionamiento


Como dijimos, a partir del Log de Transacciones de la base de datos el Servidor de Auditora
registra todas y cada una de las operaciones generadas desde la aplicacin y tambin aquellas
ejecutadas directamente sobre la base de datos. A su vez, discrimina para cada transaccin las
sucesivas operaciones previas que efectu hasta alcanzar el paso final de una operacin.
Destacamos que los resultados del ltimo paso son los valores que muestra al auditor cuando
consulta a la base de datos del sistema de gestin.

Es precisamente el registro de los pasos sucesivos que realiza internamente el sistema,
desde que se inicia una transaccin hasta que registra el resultado final donde reside la mayor
utilidad que brinda esta propuesta al auditor.

Sintticamente, los pasos de una transaccin tpica pueden enumerarse en las siguientes
tareas:
Ingreso de datos al computador ya sea desde la aplicacin o bien directamente sobre la
base de datos.
El sistema (aplicacin) genera las operaciones que impactarn en la base de datos
como altas (INSERT), eliminaciones o bajas (DELETE), o modificaciones (UPDATE),
referenciadas a cada uno de los registros y/o campos especficos de las diferentes
tablas en que impacta la operacin.
El Log de Transacciones guarda cada una de estas operaciones internas y el dato que
exista anteriormente; ste ltimo es llamado tcnicamente UNDO y se genera por cada
operacin que modifique el contenido de la base de datos.
El dato nuevo -consecuencia de una operacin de alta, baja o modificacin- ser la
informacin obtenida por el usuario del sistema de gestin cuando efecte una consulta
a la base de datos.

En este esquema, los interrogantes para el auditor son los siguientes:
Si el dato final que observa tiene correspondencia con el dato original ingresado y es el
resultado de un proceso correcto o, por el contrario, este dato fue manipulado
fraudulentamente luego de ingresado ya sea desde la aplicacin o desde un acceso
directo a la base de datos.
Si el dato fue ingresado desde la aplicacin por el usuario habitual y autorizado y/o
resulta de un proceso interno normal; o fue ingresado en forma directa sobre la base de
datos sin las debidas autorizaciones.

Auditora de Sistemas y Tecnologas de Informacin


99
En ambos casos el Log de Transacciones guardar la informacin que brinde las debidas
respuestas, dado que:

4.4. Aportes del Servidor de Auditora

Como seala el mencionado estudio de Hui Du y Saeed Roohani, los CPAS proveen una
plataforma de trabajo para examinar los datos recibidos desde los procesos monitoreados sin
afectar el sistema auditado, proveyendo dos grandes ventajas.

- Primero las herramientas de auditora estn en un ambiente separado del sistema auditado, este
ambiente separado cuenta con su propio sistema operativo y, lo ms importante, su propia base de
dato, incluyendo aplicaciones de herramientas de auditora. As, el diseo de las herramientas del
sistema auditor son independientes del diseo e implementacin del sistema auditado.. Es
importante destacar que cualquier modificacin y/o ampliacin del sistema auditado no impactar
en el sistema de herramientas de auditora o viceversa.

- Segundo, el sistema de herramientas de auditora debe ser efectivamente conectado al sistema
auditado de manera que el sistema auditor pueda extraer datos desde el otro sistema para
alcanzar los propsitos de auditora. La comunicacin entre el sistema de herramientas de
auditora y el sistema auditado puede ser construida en base a distintas herramientas (p.ej.: XML,
CORBA) de manera de asegurar una conexin silenciosa . Una vez establecida la conexin entre
ambos sistemas, las herramientas de auditora deben ser capaces de acomodar y procesar los
datos en diferentes formatos.


Al igual que lo sealado anteriormente, el Servidor de Auditora cuenta con su propio sistema
operativo, software de gestin de bases de datos (DBMS), herramientas de monitoreo de red y
programas de anlisis de datos especficos para las funciones de anlisis y control; estando su
administracin bajo responsabilidad del rea Auditora Interna.

Adems de las ventajas mencionadas arriba, el modelo propuesto en este estudio aporta lo
siguiente:

Brinda un ambiente especfico y propio de procesamiento al rea de Auditora Interna
de la organizacin, independiente del control e intervencin del rea Sistemas.
Virtualmente es una "caja negra" que contiene los datos de todas las operaciones
procesadas por los sistemas de gestin, generando las correspondientes datos
duplicados (pistas de auditora digitales); todo bajo la responsabilidad y control de
Auditora Interna.

Independiza el trabajo del auditor de los condicionamientos impuestos por la operatoria
del sistema de gestin. Actualmente el trabajo de los auditores debe subordinarse a las
prioridades fijadas por quienes administran el sistema de gestin. Disponiendo de un
servidor propio, afectado a su tarea, independiza al rea Auditora de la organizacin de
los condicionamientos fijados por la operacin del negocio.
Auditora de Sistemas y Tecnologas de Informacin


100

Permite mejorar el sistema de control interno de la empresa, ya que provee una nueva
fuente de informacin adicional para corroborar los datos brindados por el sistema de
gestin comercial.

Reduce a su mnima expresin el riesgo asociado a la alteracin de la informacin que
utilizar el auditor para sus tareas de control, logrando el objetivo primordial de
mantener la integridad de los datos.

Brinda un tablero de control para funciones de auditora y control. A partir de
herramientas de consulta a la base de datos del Servidor de Auditora se desarrollan
menes de consultas para el auditor en forma automtica y con la frecuencia apropiada,
a manera de tablero de comandos, que genere reportes para detectar presuntas
irregularidades asociadas al manipuleo de la informacin contenida en la base de datos
de gestin.

Unifica en una base de datos estandarizada la informacin derivada de las operaciones
crticas procesadas por los sistemas de la organizacin.

Por ltimo, queremos destacar las dos ventajas ms importantes del modelo propuesto para el
auditor: a) Independencia respecto del rea de Sistemas; esto posibilita el trabajo de
evaluacin y control sobre las operaciones de la organizacin sin requerir de la ayuda (y
condicionamiento) de los tcnicos encargados de mantener el sistema de gestin, y b)
Prescindencia del sistema auditado: la implementacin del Servidor de Auditora no requiere
modificar la programacin ni la operatoria del sistema auditado.

Auditora de Sistemas y Tecnologas de Informacin


101
5. CONCLUSIONES


Como hemos visto, la metodologa actual para auditar sistemas de informacin consiste en
evaluar el sistema de control interno de la organizacin, en especial, los controles relacionados
con los procedimientos y el ambiente de procesamiento donde se desenvuelve el sistema de
informacin auditado. En ese marco, el auditor de sistemas realiza un relevamiento de los
controles generales (o de entorno) y los controles programados (o de aplicacin)
implementados, los prueba y evala su eficacia; la finalidad es dictaminar si los controles
operativos son suficientes para poder considerar la informacin brindada por el sistema como
confiable. Caso contrario recomienda implementar nuevos mecanismos de control o modificar
los existentes.

En este apartado nos propusimos desarrollar mecanismos para generar pistas de auditora
digitales como un medio de subsanar la carencia de pistas de auditora documentales y con la
finalidad de brindarle al auditor una fuente de datos complementaria y confiable.

Como sealamos, disponer de pistas de auditora digitales no evitar al auditor realizar el
trabajo actual de evaluacin del sistema de control interno, sino que le aportar una valiosa
herramienta para corroborar los datos que brinda el sistema de gestin con la informacin que
obtenga del ambiente donde residen las pistas de auditora digitales.

En este material describimos dos mecanismos para lograr pistas de auditora digitales: archivo
Auditor y Servidor de Auditora. En ambos resaltamos la necesidad de que las pistas fueran
explcitas y permanentes dentro del sistema de informacin y que estuvieran bajo la
responsabilidad del rea de auditora de la organizacin.

El archivo Auditor es un mecanismo relativamente simple: por cada transaccin con efectos
econmico-financiero se debe grabar en dicho archivo un registro con los datos de la
operacin. La finalidad es que dichos registros sirvan de pista de auditora y que los datos
disponibles sean los requeridos para poder reconstruir la informacin relacionada con las
operaciones procesadas. El inconveniente ms importante para instrumentar esta propuesta
reside en la necesidad de modificar los programas vigentes de las aplicaciones de gestin para
que tributen los registros correspondientes al Log-Auditora. Adems, este archivo reside
dentro del ambiente de procesamiento afectado al sistema de gestin; por ende, vulnerable a la
manipulacin por parte del personal de Sistemas.

El Servidor de Auditora es una propuesta superadora de la anterior, posible por el modelo de
procesamiento actual: las transacciones de la organizacin son atendidas por una red de
Auditora de Sistemas y Tecnologas de Informacin


102
servidores especializados por funciones, trabajando en forma conjunta para procesar las
operaciones.

En este ambiente proponemos incorporar a la red un nuevo tipo de dispositivo -el Servidor de
Auditora- computador destinado a recoger y procesar toda la informacin que necesita el rea
auditora de la empresa para realizar su trabajo y, por supuesto, almacenar las pistas digitales
derivadas del sistema de gestin. Esta alternativa proporcionar un ambiente exclusivo y
seguro para los auditores, administrado por ellos mismos, independiente de cualquier
condicionamiento e ingerencia por parte de otras reas de la empresa, con los siguientes
aportes:

Base de datos propia: en efecto, al contar con una base de Auditora propia, que ha
sido definida con tablas y datos que hacen a la esencia de las transacciones
econmicas y financieras de la empresa, se pueden obtener los listados o reportes
necesarios para los controles habituales.
Independencia: en tal sentido, y reafirmando lo expresado ms arriba, no se
depender del personal de Sistemas, sino que por el contrario el acceso al Servidor
de Auditora queda restringido al personal de auditora.
Duplicacin de datos claves: facilita un control adicional de importante valor
agregado, toda vez que permite efectuar controles cruzados entre la base de
auditora y la de gestin.
Control de la actividad de los administradores de la base de datos. El Servidor de
Auditora aporta un registro detallado de todas las operaciones que realizan los
administradores de bases de datos en forma directa, saltndose los controles
normales, sobre la base de datos; incluso reporta las operaciones de desconexin-
conexin de triggers.

Luego de las pruebas realizadas con el prototipo del Servidor de Auditora, los resultados
alcanzados, han posibilitado al rea de Auditora Interna de la empresa contar con una
herramienta de CA, permitiendo un monitoreo diario, especfico y detallado de la totalidad de
los datos correspondientes a las tablas controladas (las consideradas ms sensibles y
significativas para el control) y que hacen a la esencia del negocio. De esta manera los
auditores disponen de controles cruzados y validaciones propias sobre los datos capturados
por la base de datos de auditora, y a su vez, un monitoreo general del resto de la informacin
complementaria, permitindonos rearmar desde un punto cualquiera del flujo de una
transaccin y hacia cualquier direccin los rastros o huellas de toda operacin.


Auditora de Sistemas y Tecnologas de Informacin


103
Por ltimo, el autor est trabajando en una segunda versin del prototipo Servidor de Auditora,
continuando con el objetivo de brindar a los auditores toda la informacin requerida para una
eficiente gestin de la funcin de auditora y control, en un ambiente independiente y bajo su
responsabilidad. Para ello, se est diseando un modelo basado en un portal para el rea de
Auditora Interna, en el cual el Servidor de Auditora, adems de alojar el software y la base de
datos descriptas en este trabajo, provea de herramientas especficas para ejercer la funcin
del rea, aspectos que hacen a la optimizacin de su desempeo, como por ejemplo:

herramientas de administracin, gestin y seguimiento de los informes en curso y
terminados
herramientas para la obtencin de reportes y anlisis de contenidos de las tablas
reservorio de reportes habituales para los controles.
ambiente XBRL para la publicacin de los estados financieros de la entidad

Auditora de Sistemas y Tecnologas de Informacin


104
Auditora de Sistemas y Tecnologas de Informacin


105
CUESTIONARIO DE REVISION



Por qu se dice que en un ambiente computarizado "desaparecen" los
rastro de auditora?








Con sus propias palabras sintetice la propuesta del archivo "Log-
Auditora"














Con sus propias palabras sintetice la propuesta del "Servidor de-
Auditora"

Auditora de Sistemas y Tecnologas de Informacin


106

Auditora de Sistemas y Tecnologas de Informacin


107

















UNIDAD 3

AUDITORIA DE
TECNOLOGIAS
DE INFORMACION


Auditora de Sistemas y Tecnologas de Informacin


108
Auditora de Sistemas y Tecnologas de Informacin


109
CAPITULO 4
Auditora informtica


1. INTRODUCCION


No debe confundirse el uso del computador para realizar una auditora a un sistema de
informacin con un trabajo de auditora de la informtica. Son muchas las actividades en las
que el computador puede ayudar al auditor de sistemas para realizar su tarea (comparacin
entre datos, detectar informacin fuera de rango o de mrgenes establecidos como normales,
etc.), sin embargo, ello no implica que est haciendo Auditora Informtica:

La auditora convencional, referida siempre a los sistemas de informacin econmico-financieros y
contables, goza en la actualidad de un bagaje histrico suficiente como para considerarla como
una actividad cuasi ordinaria. La irrupcin de la Informtica en el tejido empresarial y social,
propici el uso de sta como herramienta para la realizacin de aqullas. Se llegaba as al
concepto de Auditora con el auxilio de la Informtica..
43

El enorme desarrollo de la Informtica y las Comunicaciones modificaron sustancialmente los
modelos de control y gestin de las empresas. Su gran trascendencia como factor bsico en la
creacin de los Sistemas de Informacin de las organizaciones, hizo que la Informtica se
convirtiera en sujeto directo de Gestin. Los Ordenadores se expanden y se interconexionan, los
Sistemas se articulan, y se generan complejas organizaciones informticas que han de manejar
grandes y complejos recursos. Consecuentemente, aparece la necesidad de establecer revisiones
de eficiencia de las propias organizaciones informticas. El lector debe advertir que se incide sobre
el concepto de Organizacin Informtica, y no de la Informtica o de los Ordenadores ... As, nos
encontramos con el reto de analizar, hallar conclusiones razonadas, descubrir debilidades y
expresar juicios objetivos sobre un conjunto muy complejo cuyo soporte es el Ordenador. Y es un
reto por la dificultad de aunar la funcin auditora y la funcin informtica. En efecto, existen
excelentes Auditores y excelentes Informticos, pero no es habitual la simbiosis necesaria de
ambos. La razn de tal escasez, se halla seguramente en la relativa juventud de esta profesin y
en la experiencia informtica previa que el auditor ha de poseer.
La acusacin ms importante, en muchos casos fundada, que puede hacerse a la auditora
informtica es la de su no existencia legal. Aun en los momentos actuales, resulta difcil acceder
a unos principios y reglas de uso generalizados y admitidos en el entorno informtico y por el
informtico. Del mismo modo, es arduo encontrar alguna metodologa medianamente elaborada
para la realizacin de las Auditoras informticas.

Veamos algunas definiciones de Auditora Informtica:

...es el conjunto de tcnicas, actividades y procedimientos destinados a analizar, evaluar, verificar
y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del
servicio informtico de la empresa, ... con vistas a mejorar en rentabilidad, seguridad y eficacia.
44


Conjunto de Procedimientos y Tcnicas para evaluar y controlar total o parcialmente un Sistema
Informtico, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan
eficientemente y de acuerdo con la normativa informtica y general existente en cada empresa, y
para conseguir la eficacia exigida en el marco de la organizacin correspondiente.
45


43
ACHA ITURMENDI, J. JOS, Auditora informtica en la empresa, Editorial Paraninfo, Madrid, 1996. pg. 13.
44
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989. pg. 19.
45
ACHA ITURMENDI, J. JOS, Auditora informtica en la empresa, Editorial Paraninfo, Madrid, 1996. pg. 21.
Auditora de Sistemas y Tecnologas de Informacin


110

Cmo estar seguro de la calidad del entorno informtico? Qu controles hay que poner en
prctica para obtener la confiabilidad requerida a los datos producidos por las computadoras?
En este captulo nos ocuparemos de resolver estas preguntas.


La Auditora Informtica, tambin llamada Auditora de Recursos Informticos o de Tecnologas
de Informacin, no es dependiente ni evoluciona desde la convencional auditora al sistema de
informacin contable. Sus puntos de partida son diferentes, no se trata slo de analizar la
correccin de los estados financieros -misin de una auditora contable-, sino de verificar la
correcta utilizacin de los recursos informticos disponibles en la entidad. Es decir, evalua el
cumplimiento de las normas y procedimientos fijados por la organizacin para usar y
administrar sus recursos TIC, incluyendo el anlisis de la marcha de los planes y proyectos
informticos. Los trabajos de auditora de esta naturaleza, en general, controlan el
funcionamiento del departamento de Sistemas de la empresa, en especial, la calidad de los
servicios que presta.

En sntesis, los objetivos de una auditora informtica son comprobar:

que el procesamiento electrnico de datos cumpla con las polticas normativas y los
procedimientos institucionales y legales vigentes.
que existan procedimientos adecuados para la seleccin, uso y resguardo de los
recursos informticos de la entidad, tanto los aplicados a los activos fsicos (hardware,
redes de comunicacin de datos) como a los intangibles (licencias de software,
programas de aplicacin, datos).
que la consistencia y confiabilidad de los datos administrados por las aplicaciones en
produccin son suficientes.
que la adecuada y eficaz operacin de los sistemas y de las aplicaciones informticas
de la entidad est asegurada.





Auditora de Sistemas y Tecnologas de Informacin


111
2. AMBITOS DE LA AUDITORIA INFORMATICA


Los trabajos de Auditora Informtica se desarrollan en el contexto del rea o departamento de
Sistemas de una organizacin. Estos trabajos implican la revisin de aspectos tcnicos,
econmicos y de administracin de las tecnologas de informacin y comunicaciones (TIC)
utilizadas para la gestin de la empresa.

Siguiendo el consejo de Rivas
46
, el auditor informtico debera tener entidad para opinar sobre
el costo del plan informtico, los presupuestos del servicio informtico, los mtodos de
direccin, la estructuracin y asignacin del personal informtico, la confidencialidad de los
datos, la seguridad de acceso, la proteccin de las instalaciones, y otros temas relacionados
con los servicios prestados por el rea de Sistemas. Clasifica las actividades (objetivos) de una
auditora informtica en los siguientes tipos:

Auditora informtica en el rea de la planificacin
Auditora informtica en el rea de organizacin y administracin
Auditora informtica en el rea de construccin de sistemas
Auditora informtica en el rea de explotacin
Auditora informtica del entorno operativo hardware
Auditora informtica del entorno operativo software

Para cada uno de estos tipos de trabajos de auditora informtica el autor analiza los objetivos,
propone la metodologa para abordar el trabajo y aporta cuestionarios (check list) para facilitar
la tarea del auditor.


Derrien
47
presenta un enfoque distinto. Su propuesta se basa en que los trabajos de auditora
informtica deben permitir comprobar que se hayan respetado los principios bsicos de
organizacin de la actividad informtica. Los puntos claves para evaluar la fiabilidad del entorno
computacional son entonces:
La organizacin general del servicio
Los procedimientos de desarrollo y mantenimiento de las aplicaciones
El entorno de produccin
Las funciones tcnicas
La proteccin y confiabilidad de los datos


46
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989. pg. 46.
47
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994
Auditora de Sistemas y Tecnologas de Informacin


112
Para el relevamiento de cada una de estas reas, este autor proporciona un cuestionario con
explicaciones de cada pregunta. En el transcurso de este captulo presentaremos, cuando
corresponda, resmenes de los mismos.


Piattini y del Peso
48
van ms all y en su clsico libro "Areas de la Auditora Informtica",
proponen catorce (14) reas de anlisis: Auditoria Fsica, Auditora de la Ofimtica, Auditora
de la Direccin, Auditora de la Explotacin, Auditora del Desarrollo, Auditora del
Mantenimiento, Auditora de Bases de Datos, Auditora de Tcnicas de Sistemas, Auditora de
la Calidad, Auditora de la Seguridad, Auditora de Redes, Auditora de Aplicaciones, Auditora
Informtica de EIS/DSS (sistemas de soporte de decisin) y Simulacin, y Auditora Jurdica
de Entornos Informticos.


Tambin es importante recordar la metodologa seguida por Price Waterhouse descripta en el
Anexo II- para evaluar el sistema de control interno y basada en el anlisis de riesgos. En ella,
se especifican como riesgos asociados al rea de sistemas los siguientes:
Estructura organizativa del departamento de sistemas (Riesgo 5: Administracin y
procedimientos operativos TI)
Cambios a los programas (Riesgo 6: Cambios)
Acceso general al sistema informtico (Riesgo 7: Accesos/Seguridad)

Esta segmentacin es la base metodolgica del servicio de evaluacin para el rea Sistemas
ofrecido por esta consultora y denominado "C.A.P.P.A". (Controls Assurance Planning Practice
Aid o Ayuda prctica para la evaluacin preliminar del ambiente TI).


El Banco Central de la Repblica Argentina (BCRA) en su Comunicacin 4609 de diciembre del
2006 especifica los aspectos a considerar cuando se auditen los servicios informticos de las
entidades del sistema:

Organizacin funcional y gestin de tecnologa informtica y sistemas: incluye evaluar
las funciones del Comit de Tecnologa Informtica, las polticas y procedimientos, la
dependencia del rea de Tecnologa Informtica y Sistemas y la gestin de las TIC
Proteccin de activos de informacin: contempla la gestin de la seguridad y la
implementacin de los controles de seguridad fsica aplicados a los activos de
informacin.

48
PIATTINI, MARIO y DEL PESO, EMILIO. "Auditora Informtica. Un enfoque prctico". Editorial Ra-ma. Madrid,
1998
Auditora de Sistemas y Tecnologas de Informacin


113
Continuidad del procesamiento electrnico de datos: analiza las responsabilidades
sobre la planificacin de la continuidad del procesamiento de datos, el anlisis de
impacto, las instalaciones alternativas de procesamiento de datos, el plan de
continuidad del procesamiento de datos, su mantenimiento y las pruebas.
Operaciones y procesamiento de datos: incluye evaluar las polticas y procedimientos
para la operacin de los sistemas informticos, los procedimientos de resguardos de
informacin, el mantenimiento preventivo, la administracin de las bases de datos, el
inventario tecnolgico, el manejo de incidentes y soporte a usuarios etc.
Banca electrnica: abarca evaluar el uso de tecnologas propias del sistema financiero,
como por ejemplo: cajeros automticos (ATMs), transacciones cursadas por medio de
Internet (e-banking).
Delegacin de actividades propias de la entidad en terceros: se ocupa de analizar los
servicios TIC tercerizados (outsourcing)
Sistemas aplicativos: para los sistemas de aplicacin en produccin requiere evaluar el
cumplimiento de requisitos normativos, la integridad y validez de la informacin, cmo
se administran y registran las operaciones y la documentacin de los sistemas de
informacin.

A pesar de estar diseada para las entidades financieras, creemos que la 4609 brinda una
excelente gua para realizar auditoras informticas en la mayora de las organizaciones de
nuestro medio.


Quiz los marcos de referencias ms aceptados y difundidos en el mbito internacional en
estos momentos sobre esta temtica son COBIT e ITIL.

COBIT se ha transformado en la metodologa ms aceptada para utilizar como marco de
referencia de las auditoras informticas. Desarrollada por ISACA (Information System Audit
and Control Association - www.isaca.org) y recomendada por Cooper & Lybrand, Unisys y otras
grandes corporaciones y organizaciones gubernamentales, se ha convertido en el marco de
referencia estndar de los auditores y profesionales TIC para evaluar y controlar el desempeo
de los servicios del rea Sistemas. COBIT est organizado en cinco Dominios, cada uno con
Objetivos de Control especficos y sirve como metodologa para relevar y evaluar la gestin de
los recursos informticos de una entidad. En el Anexo III describimos la segunda edicin de
COBIT publicada en 1998.

Tambin ampliamente aceptadas existe un conjunto de normas relacionadas con buenas
Auditora de Sistemas y Tecnologas de Informacin


114
prcticas en la gestin de tecnologas de informacin; denominadas ITIL (Information
Technology Infrastructure Library o Biblioteca de Infraestructura de Tecnologas de
Informacin) actualmente estn integradas en el estndar ISO 20000. Al final del Anexo III
describimos con mayor detalle los alcances de ITIL versin 2.

Debemos considera que ITIL no reemplaza a COBIT, ms bien ambas se complementan
aunque en ocasiones se solapen. ITIL se concentra en la definicin de procesos y tareas a
realizar, en cambio, COBIT est centrado en la definicin de mtricas y controles. Esto lleva a
que COBIT sirva como empuje de ITIL, dado que permite a la organizacin conocer sus metas
y medir sus mejoras y viceversa, ITIL ayuda a COBIT al estandarizar procesos y actividades
facilitando la evaluacin de desempeo del rea informtica


Por ltimo, presentamos nuestra propuesta metodolgica para realizar auditoras informticas.
Como hemos visto, los objetivos y alcances de una Auditora Informtica pueden ser muy
variados, a los efectos de un mejor anlisis, en especial, para las entidades de nuestro medio
en su mayora PYMES- proponemos abordarlos (definir el alcance) segn la actividad que se
evale y segmentndolas en los siguientes tipos:


Administracin: implica auditar los aspectos relacionados con la gestin del
departamento de Sistemas. Evala aspectos tales como: organizacin y personal,
planificacin del rea, procedimientos para gestin y control, aspectos legales (contratos de
mantenimiento, de outsourcing), anlisis de costos, normas y polticas internas,
capacitacin, planes de trabajo, controles internos, estndares, etc.

Explotacin u Operaciones: supervisa las actividades vinculadas con los servicios
prestados por el rea de Sistemas: operacin y administracin del equipamiento,
administracin de bases de datos, conectividad a las redes de comunicacin de datos,
soporte tcnico y ayuda a los usuarios. En los ltimos tiempos se ha agregado a esta
categora de trabajos de auditora informtica la evaluacin de servicios asociados a
Internet: e-mail, accesos a Internet, portal de la entidad, intranet.

En particular, se ocupa de mantener en produccin las aplicaciones que procesan las
transacciones de la empresa, asumiendo las tareas operativas asociadas: copias de
seguridad, emisin de listados, mantenimiento de archivos, activacin de procesos, gestin
de usuarios, permisos y derechos.


Auditora de Sistemas y Tecnologas de Informacin


115

Desarrollo: audita las actividades de programacin y mantenimiento de los sistemas de
aplicacin de la organizacin. Evala los procedimientos y metodologas utilizadas para el
desarrollo de las aplicaciones (proyectos de nuevos sistemas), las funciones de
mantenimiento a los programas en produccin, etc. Las actividades de auditora para este
sector se relacionan con la evaluacin de:
- Metodologas de desarrollo y documentacin utilizadas
- Cumplimiento de plazos y especificaciones
- Procedimientos de pruebas de sistemas y puestas en produccin
- Medicin de la satisfaccin de los usuarios



En sntesis:

OBJETIVOS DE UNA AUDITORIA INFORMATICA
Administracin
(evala la gestin
administrativa)
Evaluacin del centro de procesamiento de datos
Analiza los recursos tecnolgicos y humanos disponibles y el uso
que se hace de ellos.

Explotacin
(evala los servicios
TIC prestados)
Evaluacin de los servicios del rea Sistemas
Analiza la calidad de los servicios prestados por el rea
Sistemas
.
Desarrollo
(evala el
mantenimiento de
aplicaciones)
Evaluacin del rea de desarrollo
Analiza cmo trabaja el rea de Desarrollo, es decir, el
desempeo de los sectores Anlisis y Programacin.


Auditora de Sistemas y Tecnologas de Informacin


116
3. ADMINISTRACION



En este apartado analizaremos las tcnicas y procedimientos que se usan para evaluar cmo
se gestiona el rea que presta los servicios de computacin y sistemas dentro de la
organizacin. Los trabajos de esta naturaleza son denominados por los autores citados como
Auditora de la organizacin general del servicio informtico (Derrien), Auditora informtica
en el rea de organizacin y administracin (Rivas) y Auditora del CIS (Price Waterhouse).
Se corresponde tambin con el apartado Organizacin funcional y gestin de tecnologa
informtica y sistemas del BCRA y el dominio "Planificacin y Organizacin" de COBIT.

Para describir didcticamente las tareas involucradas en este tipo de trabajos de auditora,
vamos a agrupar los aspectos considerados en cuatro grandes unidades: estructura
organizacional del rea de Sistemas, recursos humanos afectados a la misma, normas y
polticas del rea y situacin presupuestaria-financiera:

3.1 Anlisis de la estructura organizacional

Implica evaluar la organizacin interna del rea de Sistemas y su dependencia dentro de la
estructura general de la empresa
49
.

Para analizar la estructura orgnica del rea de Sistemas se deber solicitar toda la
informacin y documentacin referida a la organizacin interna de la misma. Documentos a
solicitar:

Organigrama. En estos casos se deber verificar que ningn puesto tenga ms de dos
lneas de dependencia jerrquica, que no haya un exceso de descentralizacin de
funciones, que las jerarquas sean adecuadas a las responsabilidades, etc. El tramo de
control no debe ser exagerado, ni demasiado numerosos los niveles jerrquicos.
Objetivos y polticas del rea fijados por la Direccin de la empresa
Regulaciones externas y normas internas
Manuales de procedimientos, instructivos de trabajo y guas de actividad
Manuales de descripcin de puestos y funciones. Deben ser analizadas y evaluadas las
funciones, procurando agrupar aqullas compatibles o similares relacionadas entre s. Se

49
Para complementar este apartado recomendamos al lector leer el ANEXO IV - "Fases de la informtica" de
Richard Nolan, donde se describe un modelo de desarrollo de las TIC, til para analizar el desempeo de los
recursos informticos de una entidad.
Auditora de Sistemas y Tecnologas de Informacin


117
debe evitar asignar la misma funcin a dos o ms personas. Tambin procurar localizar las
actividades cerca o dentro de la funcin mejor preparada para realizarla


A continuacin, describimos modelos tpicos de estructuras organizacionales utilizados para
establecer las dependencias funcionales del rea Sistemas:

Modelo 1: Dependiente de alguna direccin, departamento o gerencia. En esta configuracin, el
rea Sistemas normalmente depende de Administracin y Finanzas. Esto se debe a que
inicialmente el Centro de Cmputos se crea para procesar los sistemas de tipo contable,
financiero o administrativo, los llamados legacy system: contabilidad, nmina (liquidacin de
sueldos), facturacin, cuentas a pagar, cuentas a cobrar, etc.

Esta situacin se da con ms frecuencia en estructuras pequeas, o bien en aquellas que se
inician en el uso de recursos informticos. Su ventaja principal es que permite al departamento
de Administracin y Finanzas -su principal usuario- tener mayor control sobre los sistemas que
procesan sus transacciones. La desventaja ms importante de esta situacin es que los otros
usuarios son considerados como secundarios y no se les da la relevancia requerida.

Modelo2: Dependiente de los niveles superiores de la organizacin. En estos casos depende
directamente de la Gerencia General, o bien, asume la forma de un staff de Asesora al
mximo nivel.

La ventaja principal es que el responsable del rea de Sistemas (Director de Informtica),
podr tener un nivel adecuado de poder dentro de la organizacin; esto le permitir mejorar la
comunicacin directa con los departamentos usuarios y por lo tanto, proporcionarles un mejor
servicio. Tambin podr mejorar la asignacin de prioridades, de acuerdo con las necesidades
generales de la organizacin.

Modelo 3: Mltiples reas de Sistemas en la empresa. Esta situacin se produce en estructuras
organizacionales muy grandes, en la que hay equipamiento informtico independiente y
distribuido en diferentes lugares (gerencias, divisiones, sucursales).

En este tipo de estructuras, a veces se considera la creacin de un rea central para la
administracin corporativa de los recursos informticos de la organizacin, dependiente
directamente del mximo nivel (Direccin de Informtica). Por otro lado se dispone de
departamentos o sectores de Sistemas dentro de las gerencias-divisiones-sucursales usuarias,
las cuales reciben las normas, polticas, procedimientos y estndares de funcionamiento
emitidas por la Direccin de Informtica corporativa. Es decir, los departamentos de Sistemas,
distribuidos por toda la organizacin, son controlados en cuanto a sus funcionamiento,
Auditora de Sistemas y Tecnologas de Informacin


118
equipamiento, presupuesto y recursos humanos en forma centralizada por la Direccin de
Informtica.

Para que funcione este modelo, deben estar perfectamente definidas las funciones,
organizacin y polticas de los departamentos de manera de evitar la duplicidad de esfuerzos y
confusiones en la jerarquas de mandos, por ejemplo, que en dos lugares diferentes se estn
desarrollando los mismos sistemas aplicativos. Estas situaciones se solucionan estableciendo
polticas claras, como el hecho de programar en un nico sitio, que no se permita crear equipos
de programacin salvo en los lugares indicados por la Direccin de Informtica, etc.

En este tipo organizativo, una solucin muy difundida es mantener centralizada la
administracin de los archivos de datos de la empresa, a travs de productos gestores de
bases de datos (DBMS), y descentralizada la administracin de las estaciones de trabajo y
recursos humanos afectados a su operacin y mantenimiento.

Modelo 4: Tercerizacin (outsourcing) de la prestacin de servicios informticos. Esta
estructura puede darse a travs de la creacin de una compaa independiente -de propiedad
de la empresa- que brinde servicios de computacin a la organizacin o, directamente,
contratando con terceros dichos servicios.


Gerencia del
Dpto. de Sistemas
Desarrollo
de Sistemas
Operacin
(produccin)
Administracin
Base de Datos
Comunicacin
de datos
Soporte
a usuarios
Anlisis
de Sistemas
Programacin
Operacin
de equipos
Control
de datos
Preparacin
de datos
Directorio
Gerencia
General
Gerencia de
Adm.y Finanzas
PRIMER MODELO
El rea de Sistemas
depende de la
direccin de Administracin
y Finanzas
Gerencia del
Dpto. de Sistemas
...
SEGUNDO MODELO
El rea de Sistemas
depende de los
niveles mximos
TERCER MODELO
Mltiples rea s de Sistemas
(bajo la rbita de las
dependencias a que dan
servicio)
CUARTO MODELO
Tercerizacin del
rea de Sistemas
(outsourcing)




Auditora de Sistemas y Tecnologas de Informacin


119
3.2. Anlisis de los recursos humanos


El aspecto a evaluar en este rubro por una auditora informtica es considerar si el rea
Sistemas cuenta con los recursos humanos adecuados para garantizar la continuidad del
servicio, es decir, si puede asegurar la operacin de los sistemas en produccin en el tiempo.
Se revisa la situacin de los recursos humanos del rea, para lo cual se entrevista al personal
de Sistemas: gerentes, analistas, programadores, tcnicos, operadores, personal
administrativo, etc. A tales efectos es conveniente relevar:
Los recursos humanos disponibles en el rea. Se sugiere hacer un censo y efectuar un
anlisis de la situacin para relevar -entre otros- los siguientes datos: nmero de personas y
distribucin por reas, denominacin de puestos, salario, capacitacin y conocimientos
tcnicos disponibles, experiencia profesional, antigedad, historial de trabajo, movimientos
salariales, ndice de rotacin.
La calidad del personal de sistemas. Para ello, se recomienda realizar entrevistas al
personal del rea. En el cuestionario de entrevistas es conveniente contemplar:
El desempeo y comportamiento: si es suficiente el nmero de personal para el
desarrollo de las funciones del rea, si est capacitado para realizar con eficacia las
funciones, si es discreto en el manejo de la informacin confidencial, si existe
cooperacin por parte del mismo para realizar el trabajo, etc.
El conocimiento del personal respecto al reglamento interno de la empresa, objetivos
del negocio, etc.
Las condiciones generales de trabajo.
La estructura de remuneraciones: evaluar la remuneracin del personal con respecto al
trabajo desempeado y compararlo con puestos similares en otras organizaciones y
con otras reas de la empresa.
La organizacin del trabajo. Se analiza si estn previstas las necesidades de personal con
anterioridad, tanto en cantidad como en calidad. Si est prevista la sustitucin del personal
clave. Al respecto, es frecuente encontrarnos en este ambiente con personas
indispensables, es decir, con tcnicos (generalmente programadores) que se presentan
como los nicos que pueden hacer funcionar las aplicaciones, sin ellos, los sistemas de
informacin y por consiguiente, la empresa, se para.
El ambiente de trabajo en general: si son adecuadas las condiciones ambientales de
espacio, iluminacin, ventilacin, equipo de oficina, mobiliario, ruido, limpieza.
Las polticas de desarrollo y motivacin del personal: si se lo estimula y recompensa por
buen desempeo, si existen oportunidades de ascensos y promociones.
Auditora de Sistemas y Tecnologas de Informacin


120
Las polticas de capacitacin del personal: en este aspecto debe considerarse tanto la
capacitacin brindada a los profesionales o especialistas en sistemas, como a los usuarios
finales.
La poltica de seleccin de personal para el rea: qu estudios se realizan, tests, revisin de
antecedentes profesionales y ticos de los postulantes, anlisis del nivel de riesgo de cada
puesto, etc.

3.3. Anlisis de las normas y polticas del rea de sistemas


Implica revisar la documentacin que contienen los planes de trabajo y los controles y
estndares que regulan la actividad del rea Sistemas. Adems, deber evaluar el grado de
cumplimiento de lo planificado en dicha documentacin.

En este punto, se controla que las normas y polticas sean adecuadas, estn vigentes y
definidas correctamente, que los planes de trabajo concuerden con los objetivos de la empresa,
etc.

3.4. Anlisis de la situacin presupuestaria y financiera


Evaluar este aspecto implica analizar si el rea de Sistemas cuenta con los recursos de
infraestructura edilicia, equipamiento, productos de software y recursos financieros suficientes
para cumplir adecuadamente con su misin. Se verifica:
si la infraestructura edilicia, mobiliario y elementos de trabajo son adecuados.
si los recursos financieros son suficientes para alcanzar los objetivos y metas que le
han sido asignadas al rea, es decir, si el presupuesto es suficiente o excesivo, si es
flexible o rgido, si trabaja con el corto plazo o prev planes plurianuales, si se maneja
segn demandas, etc.
si los recursos de equipamiento y productos de software disponibles se corresponden
para cumplir con las funciones asignadas al rea, si estn subutilizados, son obsoletos,
etc.

Este ltimo aspecto suele dar lugar a que el auditor exprese opiniones tcnicas, a veces no
tan bien intencionadas, sobre las posibles soluciones (alternativas tcnicas) que l conoce o
prefiere por su preparacin, su experiencia, su ignorancia, por estar de moda o por sus
intereses. Estas opiniones, si no estn bien fundamentadas, dan lugar a que pueda refutarse o
Auditora de Sistemas y Tecnologas de Informacin


121
desestimarse el Informe del auditor y con ello el resultado del trabajo. Influye mucho en el
anlisis de este elemento las tendencias del mercado en cuanto a las arquitecturas de
equipamiento, sistemas operativos, redes de comunicaciones, herramientas de desarrollo, etc.;
es decir, deben considerarse tanto las tecnologas emergentes, como aqullas en proceso de
obsolescencia.

La informacin obtenida acerca de los aspectos tratados precedentemente nos servir para
determinar la situacin del rea de Sistemas dentro de la organizacin. Al final del relevamiento
deberamos poder contestar las siguientes preguntas:

Si la estructura organizacional es la adecuada para las necesidades de la entidad, y
si las responsabilidades estn asignadas correctamente.
Si el control organizacional aplicado al rea Sistemas es el adecuado.
Si se tienen definidos en el rea los objetivos y polticas pertinentes para la
situacin actual y futura.
Si existe documentacin de las actividades, funciones y responsabilidades.
Si los puestos se encuentran definidos y sealadas correctamente sus
responsabilidades.
Si el anlisis y descripcin de puestos est de acuerdo con el personal que los
ocupa.
Si el nivel de salarios del personal de Sistemas es adecuado comparado con el
mercado.
Si se cuenta con los recursos humanos necesarios para garantizar la continuidad de
la operacin de las aplicaciones en produccin.
Si se evala peridicamente la evolucin de los planes del sector y se determinan
las desviaciones.
Si los recursos informticos con que cuenta la organizacin son los necesarios para
la situacin actual y de corto plazo.


3.5. Documentos para la gestin del rea Sistemas


Nuestra propuesta es considerar los mismos instrumentos que se utilizan para administrar
cualquier departamento de la empresa y aplicarlos en el rea de Sistemas para controlar el uso
de los recursos informticos disponibles. En el caso de una auditora informtica a la
Auditora de Sistemas y Tecnologas de Informacin


122
Administracin de los servicios TIC, esta documentacin es la que debe evaluarse en especial.

Cules son dichos instrumentos? Los agrupamos en dos categoras:

Estructurales: son los documentos que permanecen relativamente estables durante la
vida de la empresa, sirven para posicionar el rea, definir sus funciones y relaciones
con los otros sectores de la organizacin. Incluimos en esta categora al Organigrama,
Manuales de puestos y funciones, Manuales de procedimientos, etc.

Cclicos: son los instrumentos de administracin destinados a programar la actividad de
los ejercicios por los que transita la empresa. Regulan el funcionamiento y la
produccin del rea, cambian en consonancia con los perodos de su evolucin.
Incluimos en esta categora los documentos peridicos (generalmente anuales), tales
como: Plan estratgico de sistema, Planes de sistemas de informacin, Presupuesto
del rea de Sistemas, Proyectos de desarrollo de sistemas de informacin, Proyectos
informticos, Plan de seguridad informtica, Plan de contingencia, etc.

Estos documentos, similares a los usados para gestionar otras reas de una empresa,
deberan servir de base para auditar el rea Sistemas; la carencia de ellos impide al auditor
juzgar la marcha de la misma.




A continuacin, presentamos un extracto de los "Objetivos de Control de Sistemas y
Tecnologas de Informacin publicado por la SIGEN (Sindicatura General de la Nacin -
www.sigen.gov.ar); este material describe la documentacin a revisar cuando se auditen los
servicios informticos de los organismos del Estado Argentino

Auditora de Sistemas y Tecnologas de Informacin


123
SIGEN: OBJETIVOS DE CONTROL PARA LA ADMINISTRACIN PBLICA NACIONAL
50



Los Objetivos de Control de Sistemas y Tecnologa de Informacin relativas a Planeamiento,
Organizacin y Gestin son:

Planeamiento:
Debe existir un documento aprobado donde conste el planeamiento a largo plazo para la unidad
responsable del servicio de procesamiento de la informacin, el cual debe contemplar los aspectos
pertinentes a su contribucin al logro de las metas a largo plazo del organismo.
El plan de largo plazo de la unidad debe ser coherente con el plan general a largo plazo fijado por la
autoridad superior y debe estar integrado al mismo. Adems debe reconocer las metas del organismo,
la evolucin tecnolgica y los requerimientos normativos.
El plan de largo plazo de la tecnologa de informacin debe traducirse peridicamente en planes de
corto plazo donde se especifiquen los objetivos parciales a cumplir. Estos planes a corto plazo deben
contemplar la asignacin de recursos suficientes.
El responsable de la unidad responsable del servicio de procesamiento de la informacin debe
controlar e informar a la alta gerencia acerca del avance en las metas aprobadas.

Polticas, Normas y Procedimientos:
Deben desarrollarse y comunicarse a las reas involucradas, polticas que reflejen las directivas de la
alta gerencia sobre los objetivos y metas institucionales que se relacionen con la funcin de
procesamiento de la informacin.
Deben definirse y comunicarse a todos los funcionarios afectados, las normas actualizadas que
regulan la adquisicin de bienes informticos y servicios de comunicaciones asociados, el diseo,
desarrollo y modificacin de los Sistemas Computadorizados de Informacin y las operaciones
especficas de la funcin de servicio de procesamiento de informacin.
Se deben definir y comunicar a todos los funcionarios afectados, procedimientos actualizados que
regulen la metodologa a aplicar para las relaciones entre la unidad de servicio de procesamiento de
informacin y las unidades usuarias.

Nivel y Responsabilidades:
La responsabilidad por los servicios de procesamiento de la informacin del organismo debe recaer en
una unidad o comit de sistemas que asegure la homogeneidad de criterios y la unificacin de
objetivos a alcanzar.
La unidad responsable de los servicios de procesamiento de informacin debe encontrarse ubicada en
la estructura en una posicin tal que garantice la necesaria independencia respecto de las unidades
usuarias.
El manual de organizacin debe incluir la descripcin de las principales reas que abarca la unidad y
las responsabilidades asignadas.

Separacin de funciones:
Debe existir una adecuada y documentada separacin de funciones dentro de la unidad, asegurando
la correcta segregacin de las siguientes tareas:
produccin/procesamiento
desarrollo y mantenimiento de sistemas
administracin de la redes/telecomunicaciones
administracin de base de datos
administracin de seguridad
control de calidad
auditora
reas usuarias
Debe establecerse por escrito la descripcin de puestos de trabajo abarcando tanto la autoridad como
la responsabilidad. Debe incluir definiciones de las destrezas tcnicas que se requieren en los puestos
pertinentes y ser adecuada para su utilizacin en la evaluacin del rendimiento.

Auditora Interna de Sistemas:
El sistema de informacin debe ser controlado con el objetivo de garantizar su correcto funcionamiento
y asegurar el control del proceso de los diversos tipos de transacciones.
Los recursos de la tecnologa de informacin deben ser controlados con el objetivo de garantizar el
cumplimiento de los requisitos del sistema de informacin que el organismo necesita para el logro de
su misin.

50
Extrado del Informe sobre la "Evaluacin de la Gestin y Organizacin Informtica", www.sigen.gov.ar, agosto de
2003.
Auditora de Sistemas y Tecnologas de Informacin


124
Debe definirse por escrito la responsabilidad y autoridad asignada a la funcin de auditora interna de
sistemas.
Los auditores de sistemas responsables de la revisin de las actividades de la Unidad de Servicios de
Procesamiento de la Informacin del organismo deben ser competentes tcnicamente, con las
destrezas y conocimientos necesarios para realizar tales revisiones en forma eficaz y eficiente.
Aquellos miembros del personal de la unidad de auditora interna del organismo a quienes se les
asignan las tareas de auditora de sistemas de informacin deben ser asistidos para mantener su
competencia tcnica por medio de formacin profesional permanente y adecuada.





Por ltimo, agregamos el Cuestionario para evaluar la organizacin general del servicio
informtico", elaborado por Yann Derrien, material que creemos til para relevar los aspectos
relacionado con la Administracin del rea Sistemas.


Cuestionario para evaluar la
Organizacin General del Servicio Informtico
51


-Existe un organigrama escrito del departamento de Sistemas?
-Existe un comit informtico responsable de las decisiones del rea?
-Hay un plan informtico?
-Hay un presupuesto informtico?
-Hay un seguimiento de las actividades del personal de sistemas?
-Se facturan los costos de los servicios informticos a los usuarios?
-Existe auditora interna para los servicios informticos?
-Son coherentes los perodos de amortizacin elegidos para los equipos y el software, con su
perodo de vida til?
-Hay separacin de funciones entre desarrollo y explotacin?
-Hay seguimiento de la calidad del servicio prestado por el departamento de Sistemas?
-Es coherente la calificacin del personal con la funcin que ejerce?
-Son suficientes el equipamiento y productos de software con que cuenta la organizacin para un
eficiente servicio informtico?




51
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. Captulo 2.
Auditora de Sistemas y Tecnologas de Informacin


125
4. EXPLOTACION u OPERACIONES



Este tipo de trabajos de auditora informtica tiene por objetivo evaluar la calidad de los
servicios prestados por el rea Sistemas y el desempeo de las aplicaciones en produccin.
Los autores citados denominan este tipo de trabajos Auditora del entorno de produccin
(Derrien) y Auditora informtica del rea de explotacin (Rivas); tambin se corresponden
con el apartado Operaciones y procesamiento de datos del BCRA y el dominio "Entrega y
Soporte" de COBIT. Se ocupa de evaluar:
Los servicios generales relacionados con las TIC, es decir, evala las prestaciones de
servicios del rea Sistemas tales como: administracin de servidores; administracin de
redes de comunicaciones de datos; servicios de impresin y archivos; acceso a Internet y
correo electrnico; aplicaciones de automatizacin de oficina; soporte a usuarios (mesa de
ayuda). Recientemente, este sector pas a hacerse cargo tambin de los servicios de
comunicacin telefnica de las empresas a partir de la convergencia de las redes de
comunicacin en el protocolo IP (telefona digital).
Los servicios generales del rea Sistemas han ganado relevancia en los ltimos tiempos y
ha hecho resurgir el protagonismo del rea como centro prestador de servicios. La
conectividad a Internet, correo electrnico y mensajera digital, produccin y mantenimiento
del sitio web de la empresa, la vinculacin a operatorias de comercio electrnico y otros
servicios conexos, se han transformado imprescindibles para las organizaciones actuales.
Por consiguiente, son materia de nuevos aspectos a auditar.

La seguridad informtica: en los ltimos tiempos y a partir del fenmeno Internet a cobrado
especial relevancia la evaluacin de la seguridad informtica. Debe analizarse, por
ejemplo, los mecanismos de proteccin contra accesos externos (firewalls, criptografa,
antivirus), los procedimientos operativos para control de acceso, permisos y derechos;
copias de seguridad, seguimiento de incidentes, administracin de los datos, tolerancia a
los fallos, etc. Este tema se analizar en detalle en el prximo captulo.

La operatividad y funcionalidad de las aplicaciones en produccin. En este caso se utilizan
tcnicas similares a las utilizadas en las auditoras a los sistemas de informacin aunque
con un objetivo distinto. Su misin es evaluar el rendimiento del sistema de informacin
respecto a los requerimientos del negocio, por ejemplo: los tiempos de respuesta son
adecuados? la aplicacin se adapta a los requerimientos? los datos que se almacenan
son suficientes para hacer anlisis de gestin?, etc.
En este tipo de trabajos de auditora es importante disponer de los manuales de operacin
de las aplicaciones: describen al usuario las instrucciones o pasos a seguir para procesar
las operaciones en situaciones normales y las excepciones. El auditor debe verificar su
correspondencia con la operatoria real.
Auditora de Sistemas y Tecnologas de Informacin


126
Aspectos a considerar cuando se audita el sector Explotacin

Recordemos al lector que para hacer auditora se requiere determinar previamente los
estndares de comparacin o comportamiento esperado del aspecto a evaluar, luego se releva
el funcionamiento del mismo y, por ltimo, se compara el rendimiento real con el esperado,
material que sirve de base al auditor para realizar sus observaciones. En este caso, los
estndares de rendimiento de los servicios TIC normalmente no estn fijados y son sumamente
complejos de definir; saber, por ejemplo, cul es el equipamiento ms adecuado para correr la
aplicacin en produccin? cules son las medidas de seguridad ms adecuadas para
proteger lo datos? cules son los parmetros para medir el desempeo del sector Mesa de
Ayuda? y otros aspectos son materias difciles de identificar y cuantificar.

En la prctica, estos estndares de rendimiento esperado son determinados por la propia
organizacin en base a sus propios criterios. Es decir, no hay criterios ni parmetros de uso
estndar y/o aceptados por la "industria" o "mejores prcticas" para medir el desempeo de los
distintos aspectos que abarca el rea de Explotacin. Al respecto, las normas ITIL descriptas
en el Anexo III- pueden ayudar.

Tambin debe considerarse en este tipo de trabajos de auditora el expertise (conocimiento y
experiencia) requerido por el auditor. Cada uno de los distintos servicios que abarca
Explotacin requiere de conocimientos especficos o sea de expertise propio. Por consiguiente,
es muy difcil que un nico especialista pueda evaluar el desempeo de dicho sector en toda su
dimensin. Normalmente se requiere formar un equipo con expertos en cada aspecto a auditar.
Cuestionario para evaluar el entorno de produccin
52


Derrien nos propone el siguiente cuestionario para evaluar esta funcin:
-Hay un seguimiento de la calidad de las prestaciones suministradas?
-Se realiza regularmente un anlisis del contenido de los discos para liberar archivos sin uso?
-Se respaldan (backup) regularmente los archivos y programas necesarios para los sistemas en produccin y en
desarrollo?
-Permiten las copias de seguridad resolver en un plazo satisfactorio las prdidas de informacin o fallos?
-Se llevan las copias de seguridad a emplazamientos externos?
-Est protegido el acceso fsico a las instalaciones informticas crticas?
-Estn protegidas las instalaciones informticas crticas contra fallos en el fluido elctrico, incendios, desastres
naturales, etc.?
-Hay un administrador de datos?
-Se utiliza un diccionario de datos?
-Se procede a tareas de optimizacin perodica de las bases de datos?
-Se controla regularmente la integridad de las bases y la coherencia de los datos?
-Hay un administrador de las redes de comunicacin (LAN, WAN, Internet)?
-Estn controlados los accesos a la red?
-Existen procedimientos de back-up de la red?
-Estn coordinadas la adquisicin y la utilizacin de los PC?
-Est controlado el acceso a las aplicaciones o a los datos sensibles soportados por los PC?
-Est controlado el desarrollo, implementacin y mantenimiento de las aplicaciones crticas residentes en los PC?
-La empresa cuenta con las licencias de uso correspondientes a los productos de software vigentes en sus PC?
-Existen procedimientos de administracin de incidentes?
-Existen procedimientos para administrar usuarios, permisos y derechos?
-Son satisfactorios los procedimientos asociados a la puesta en explotacin de nuevos programas?
-La ejecucin de trabajos en tiempo diferido (batch) es objeto de una planificacin?
-Estn claramente definidas las modalidades de recuperacin de la cadena de procesos en caso de incidentes?

52
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. Captulos 4 y 5, extracto.
Auditora de Sistemas y Tecnologas de Informacin


127
5. DESARROLLO


Este tipo de trabajos de auditora informtica tiene por objetivo evaluar el desempeo del sector
Anlisis y Programacin o Desarrollo y Mantenimiento de Sistemas de una empresa. Los
autores citados denominan este tipo de trabajos Auditora de los procedimientos de desarrollo
y mantenimiento (Derrien), Auditora del Desarrollo (Piattini y del Peso) y Auditora
informtica del rea de construccin de sistemas (Rivas); y se corresponde con el dominio
"Adquisicin e Implementacin" de COBIT.

Se aplica en aquellos casos en que la entidad opte por usar aplicaciones a medida y hayan
sido desarrolladas y/o mantenidas por un equipo interno de analistas-programadores. En los
ltimos tiempos es cada vez menos frecuente que las organizaciones emprendan nuevos
proyectos de desarrollo de sistemas "a medida" en forma autnoma; en general, estn optando
por la adquisicin de paquetes de gestin estndar (ERP, CRM, SCM) o delegan en terceros el
desarrollo y mantenimiento de los sistemas propios (outsourcing de desarrollo).

Recordemos al lector que este sector es el que se ocupa de construir, implementar y mantener
las aplicaciones de la organizacin; es decir, es el encargado de llevar adelante los proyectos
de desarrollo de nuevos sistemas de informacin y de mantener aqullos que estn en
produccin
53
.

El desarrollo de aplicaciones es uno de los aspectos relacionados con la gestin informtica
que frecuentemente generan ms insatisfaccin en los directivos de una organizacin. Una de
las razones de esta insatisfaccin podra encontrarse en las tcnicas empleadas para la
construccin de los sistemas (actividades de anlisis, diseo y programacin); todava gran
parte de las tareas se realizan en forma artesanal, dependiendo en parte de la rigurosidad,
creatividad y capacidad tcnica de los profesionales, tornando muy difcil controlar el
desempeo de esta funcin.

La actividad ms significativa del rea de Desarrollo se produce en los proyectos de nuevas
aplicaciones, donde son los responsables primarios del xito o fracaso de este tipo de
emprendimientos. Estos proyectos son sumamente complejos, ya que involucran una mezcla
de aspectos humanos y tecnolgicos, incluso cambios en la cultura organizacional, alquimia
que es muy difcil de lograr. En cambio, en las tareas de mantenimiento de las aplicaciones en
produccin estn ms acotadas las funciones y responsabilidades del sector y se pueden
administrar ms fcilmente. En ambos casos, el nfasis de un trabajo de auditora debe recaer

53
Para ampliar recomendamos a: LARDENT, Alberto. Sistemas de informacin para la gestin empresaria -
Procedimientos, seguridad y auditora. Bs. As. Prentice Hall, 2001. Captulo 25.
Auditora de Sistemas y Tecnologas de Informacin


128
tanto sobre los costos visibles como sobre los costos ocultos que implica la actividad.

En este tipo de trabajos, el auditor debe identificar la metodologa de desarrollo utilizada por el
sector y el grado de respeto (uso) por parte de los programadores. Uno de los problemas ms
frecuentes, es que no estn generalmente establecidas las pautas de trabajo del sector; por
consiguiente, es difcil controlar su desempeo ya que, como vimos, no se puede auditar tareas
que no estn pautadas, cuantificadas y establecidas.


Cuestionario para evaluar el sector de Desarrollo
54


Algunas preguntas tiles para realizar el relevamiento de los procedimientos de desarrollo y
mantenimiento de las aplicaciones son las siguientes:

-Se realizan estudios de oportunidad previo la lanzamiento de nuevos diseos de
aplicaciones?
-Se analizan las ventajas e inconvenientes entre adquisicin externa vs. desarrollo interno de
nuevos sistemas de aplicacin?
-Se documentan las especificaciones de aplicacin solicitadas por los usuarios?
-Existen normas en materia de desarrollo y programacin?
-Se preven en el proyecto de desarrollo de nuevas aplicaciones las fases de puesta en
prctica (etapa de implementacin) del sistema?
-Es satisfactoria la calidad de la documentacin asociada a los programas de aplicacin en
produccin?
-Qu procedimientos de mantenimiento de programas se formalizan?
-Existen procedimientos para atender las solicitudes de cambios a las aplicaciones por parte
de los usuarios?





A continuacin, presentamos una tabla que sintetiza las etapas, objetivos, tareas y
documentacin considerados en la metodologa de desarrollo de aplicaciones basada en el
modelo "ciclo de vida de los sistemas". El lector seguramente conocer otro/s modelos con ms
o menos etapas y/o denominaciones distintas a la descripta; sin embargo, todas tienen en
comn las mismas actividades. En especial, el aporte de esta tabla para realizar auditora
informtica al sector Desarrollo est en la columna Documentacin, donde se describen los
distintos documentos que el auditor debe revisar cuando controle el sector.

54
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. Captulo 3.
Auditora de Sistemas y Tecnologas de Informacin


129


Etapa Objetivos Tareas Documentacin



Identificacin
del problema

-Identificar qu y
cmo se lo quiere
resolver
-Definir el alcance
del trabajo
-Proponer
alternativas de
solucin
-Fijar criterios para la
evaluacin
econmica

-Hacer un relevamiento
general
-Generar propuestas de
solucin para el problema
planteado
-Proponer mtodos para la
evaluacin econmica


-Informe descriptivo del
problema, alcances del trabajo,
soluciones propuestas y
mtodo de evaluacin elegido.
-Aceptacin formal del informe
por parte de usuarios finales y
autoridades de la empresa.





Evaluacin
costo/beneficio
-Evaluar los costos y
beneficios de las
alternativas
propuestas.
-Elegir la alternativa
a desarrollar.
-Determinar la
viabilidad
econmica, tcnica
y operativa.
-Definir un plan
tcnico y econmico
para el proyecto.
-Determinacin de los
costos operativos del
sistema actual.
-Estimacin de los costos
de las diferentes
alternativas de desarrollo.
-Identificacin y evaluacin
de los beneficios de cada
alternativa.
-Evaluacin de todas y
seleccin de una
alternativa.
-Confeccin del
presupuesto econmico y
tcnico.
-Informe con la evaluacin
costo/beneficio de cada
alternativa.
-Informe de los fundamentos
que motivaron la eleccin de
una de las alternativas.
-Presupuesto aprobado del
proyecto (tcnico y econmico).




Planeamiento
del proyecto
-Definir el proyecto.
-Determinar los
responsables del
sector usuario y del
departamento de
Sistemas.
-Definir los recursos
a utilizarse
(cantidad, calidad y
tiempo).
-Elaborar el proyecto de
ejecucin.
-Definir los recursos que se
van a necesitar y cundo.
-Definir criterios de
administracin del proyecto
(establecer puntos de
control y criterios de
evaluacin del avance del
proyecto).
-Designar a los
responsables del sector
usuario y de Sistemas.
-Plan detallado de la ejecucin
del proyecto.






Definicin del
sistema objeto
-Definir con precisin
cmo va a funcionar
el nuevo sistema de
informacin.
-Atender los
requerimientos
funcionales del
usuario.
-Disear el sistema
de datos y su
administracin.
-Definir los
mecanismos de
control del sistema
de informacin.
-Definir los
procedimientos de
seguridad.

-Relevamiento detallado de
todas las reas.
-Anlisis del flujo datos.
-Definicin del sistema de
datos.
-Definicin de los
mecanismos de control del
sistema.
-Definicin de los
procedimientos de
seguridad.
-Diagrama funcional del
sistema de informacin.
-Estructura lgica del sistema
de datos.
-Lista de recursos que sern
necesarios para el nuevo
sistema.
Auditora de Sistemas y Tecnologas de Informacin


130


Etapa Objetivos Tareas Documentacin


Definicin de la
aplicacin
informtica
-Definir el
funcionamiento de la
aplicacin y sus
vinculaciones con el
sistema de informacin
de la empresa.
-Definir entradas,
salidas, archivos y
procesos.
-Establecer las formas
de prueba de la
aplicacin.
-Definir los mecanismos
de seguridad.
-Definir la aplicacin.
-Definir el sistema de
datos.
-Definir los programas.
Definir los procedimientos
de seguridad.
-Confeccionar los lotes de
prueba.
-Carpeta de aplicaciones.
-Carpetas de programas.

Programacin y
prueba
-Escribir y probar los
programas.
-Probar la aplicacin.
-Codificacin y depuracin
de los programas.
-Prueba de los programas.
-Prueba de la aplicacin
(integracin de los
programas).
-Confeccin de los
manuales de operacin y/o
de usuario final.
-Listados de programas
fuentes.
-Documentacin de
pruebas realizadas.
-Manuales de
procedimientos y
operacin para el usuario
final.
-Plan de implementacin
del nuevo sistema.



Puesta en
operaciones
-Pasar formalmente del
anterior sistema de
informacin al nuevo.
-Preparar los recursos
para la instalacin del
nuevo sistema.
-Efectuar la prueba
integral del sistema en
el ambiente real.
-Efectuar los ajustes
finales al sistema (si
fuere necesario).
-Verificar que los equipos e
instalaciones sean
adecuados.
-Entrenar a los usuarios en
el nuevo sistema.
-Generar/convertir
archivos.
-Efectuar pruebas
generales del sistema
(paralelos).
-Incorporar programas de
la aplicacin a las
bibliotecas de produccin.
-Informe de aprobacin del
nuevo sistema por parte
del usuario final.
-Documentacin de la
conversin de archivos.
-Documentacin de la
incorporacin de los
programas de la aplicacin
a la biblioteca de
produccin.



Sistema en
rgimen
-Utilizar el sistema de
informacin en forma
eficiente.
-Mantener el nivel de
servicio del sistema.
-Determinar el grado de
satisfaccin de los
usuarios con el sistema.
-Reuniones de evaluacin
del funcionamiento del
sistema.
-Reuniones de tratamiento
de problemas y propuestas
de cambios.
-Registro de todos los
problemas o fallas
detectadas.
-Informes de evaluacin
de funcionamiento del
sistema.
-Informe de problemas y
propuestas de cambio.
-Documentacin del
sistema (manuales de
operacin y carpetas de
programas) debidamente
actualizadas.
-Estadsticas de
problemas y fallas.



Auditora de Sistemas y Tecnologas de Informacin


131
6. JUSTIFICACION DE UNA AUDITORIA INFORMATICA



En este aparado nos interesa analizar las razones que justifican una auditora informtica.
Siguiendo a Derrien
55
, vamos a analizar quines son los habituales demandantes de una
auditora de la actividad informtica.

En primer lugar, la Direccin de la empresa. Esto ocurre cuando se cuestiona internamente la
calidad de la produccin del rea de Sistemas, sector considerado como piedra angular en
muchas organizaciones. Esta inquietud es ms frecuente en aquellas empresas que disponen
de mecanismos de control interno eficaces para evaluar su actividad, por ejemplo, un rea de
Auditora Interna. El Director de la entidad est a menudo en inferioridad de condiciones para
evaluar una actividad tcnica en la cual, generalmente, no ha sido formado. Por lo tanto, es
legtimo hacer uso de las competencias profesionales de un auditor informtico para evaluar y
comprobar el seguimiento de los mandatos oportunamente definidos para el rea Sistemas.

El responsable informtico, igualmente, puede recurrir a la auditora de su propio servicio. De
esta forma, podr obtener la opinin independiente de un especialista -en contacto con
variadas instalaciones informticas- sobre su propio departamento. En un contexto de
reorganizacin, la auditora de su rea ser tambin para l una forma de ratificar algunas de
sus decisiones y, por lo tanto, de justificar y de hacer aceptar a sus colaboradores la nueva
estructura y los procedimientos introducidos.

Por ltimo, los organismos de control externo (organismos fiscales, de regulacin como el
BCRA, Sindicaturas, etc.) tienen igualmente la necesidad de evaluar la calidad del entorno
informtico, fundamentalmente en lo que hace a la calidad de los datos digitalizados que deben
controlar para cumplir con su misin de fiscalizacin.


Existen situaciones en las que el auditor debe estar alerta y aclarar las razones del pedido de
una auditora informtica. Por ejemplo, cuando es encargada por la Direccin, en un contexto
de relacin tensa con la Gerencia de Sistemas, el auditor puede ser considerado (a veces con
razn) como un corta cabezas; o cuando es encargada por una nueva Gerencia de Sistemas
en el momento de hacerse cargo de sus funciones, en este caso la auditora puede ser el
pretexto para una crtica o para poner en tela de juicio la labor de quien lo precedi en dicho
cargo. En este ltimo caso, siendo bien pensado, puede servir para establecer el estado de

55
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. pg. 15.
Auditora de Sistemas y Tecnologas de Informacin


132
situacin en la cual se asume la responsabilidad de conducir el rea.
56


Necesidad de una Auditora Informtica

Los sntomas tpicos que justifican la realizacin de un trabajo de auditora informtica, pueden
encontrarse en las siguientes situaciones57:

Descoordinacin y desorganizacin en el rea de Sistemas:
Los estndares de productividad del departamento de Sistemas se desvan
sensiblemente de los promedios generales de la empresa.
No coinciden los objetivos del departamento de Sistemas con los generales de
la organizacin.
El centro de procesamiento de datos est fuera de control.

Mala imagen del departamento de Sistemas e insatisfaccin de los usuarios:
No se atienden en tiempo y forma las peticiones de cambios de los usuarios.
No se reparan las averas del equipamiento ni se resuelven las incidencias en
plazos razonables.
No se cumplen los plazos de entrega acordados para los trabajos
comprometidos.

Debilidades polticas y econmico-financieras:
Necesidad de terceras opiniones para justificar las inversiones informticas.
Incremento desmesurado en los costos de los proyectos del rea.
Desviaciones presupuestarias significativas.

Sntomas de inseguridad (alto nivel de riesgos):
Riesgos de continuidad del servicio.
Riesgos en la confidencialidad y privacidad de los datos.
Escasos controles para el acceso fsico y lgico a los programas y datos.


56
La justificacin de una auditora informtica para establecer un estado de situacin es recomendable en
organizaciones cuya rea Sistemas est en una grave crisis, como ocurre frecuentemente en nuestras PyMES donde
solemos encontrarnos con casos extremos como desmantelamientos del rea Sistemas (despidos masivos de los
empleados del rea o ruptura del vnculo con un Analista externo); la solucin ms comn es entregar el problema a
otros tcnicos para que lo resuelvan segn su mejor criterio. En estos casos, es justificable y conveniente encargar una
auditora de los recursos informticos de la entidad, de manera que el auditor de sistemas releve y diagnostique la
situacin en forma independiente de quin/es proveern la solucin.
57
ACHA ITURMENDI, JUAN JOSE. Auditora informtica en la empresa. Editorial Paraninfo, Madrid, 1994. pg. 41 ,
42 y 43.
Auditora de Sistemas y Tecnologas de Informacin


133


7. CONSIDERACIONES FINALES


Como vimos anteriormente, auditora es efectuar el control y la revisin de una situacin, pero
para ejercer una funcin de control se debe contar con estndares, parmetros, pautas contra
las cuales comparar. Esto ltimo representa la mayor dificultad actual para realizar auditoras
informticas: la falta de modelos, estndares de rendimiento, comportamiento y resultados
esperados para la aplicacin de recursos informticos en la gestin de empresas.

Sumariamente, en una auditora informtica hay dos clases de aspectos a controlar:

Organizacionales: contempla la posicin, rol y funcionamiento interno del rea de Sistemas
(ADMINISTRACION). Para evaluarlos, se recomienda contar con especialistas en
administracin y TIC.

Tcnicos: contempla la evaluacin de aspectos especficos relacionados con la prestacin
de servicios TIC (EXPLOTACION y DESARROLLO), tales como: el funcionamiento de los
servidores, las redes de comunicacin de datos, las bases de datos, el desarrollo y
mantenimiento de las aplicaciones, etc. Para evaluarlos, se recomienda la participacin de
especialistas TIC.



Pasada la etapa en la cual el principal problema de las empresas era poner en funcionamiento
los sistemas computacionales, la preocupacin actual es hacer previsible el funcionamiento del
rea Sistemas, es decir, cmo gestionarla de manera de lograr la mayor rentabilidad de las
inversiones en recursos informticos. Para lograrlo, deben fijarse para el rea previamente
objetivos claros, mensurables y en consonancia con las necesidades de la organizacin; y
luego realizar las revisiones (auditoras) peridicas correspondientes.

Auditora de Sistemas y Tecnologas de Informacin


134
Auditora de Sistemas y Tecnologas de Informacin


135
CUESTIONARIO DE REVISION


Qu es auditora informtica? cules son sus objetivos y alcances?













Cules son los campos de accin de la auditora informtica? Qu
actividades de revisin comprenden estos campos?














Para qu sirve el modelo Fases de crecimiento IT? cundo y cmo lo
utilizara?














Auditora de Sistemas y Tecnologas de Informacin


136
Cmo aplicara la metodologa COBIT? Compare con el enfoque propuesto en
esta unidad.










Quines son los demandantes de una auditora informtica?










Cmo detectar la necesidad de una auditora informtica?









Auditora de Sistemas y Tecnologas de Informacin


137
ANEXO III

COBIT e ITIL


1. COBIT



COBIT (Objetivos de Control para la Informacin y las Tecnologas afines) ha sido desarrollado
como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y
control en Tecnologa de Informacin. .

COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit
and Control Foundation (ISACF - www.isaca.org), mejorados a partir de estndares
internacionales tcnicos, profesionales, regulativos y especficos para la industria, tanto los ya
existentes como los que estn surgiendo en la actualidad. Los Objetivos de Control resultantes
han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El
trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el mismo sentido
que los Principios de Contabilidad Generalmente Aceptados. Para propsitos del proyecto,
"buenas prcticas" significa consenso por parte de los expertos.

La misin de COBIT es investigar, publicar y promover un conjunto de objetivos de control en
tecnologas de informacin con autoridad, actualizados, de carcter internacional y aceptados
generalmente para el uso cotidiano de gerentes de empresas y auditores.

Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en
la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una
independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin.
El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como
prioridad para las mejoras futuras que se realizarn al marco referencial.

Componentes del COBIT 2 Edicin

El desarrollo del COBIT (2 Edicin, 1998), ha resultado en la publicacin de los siguientes
componentes:

Auditora de Sistemas y Tecnologas de Informacin


138
- Resumen Ejecutivo (Executive Sumary), el cual consiste en una sntesis ejecutiva que
proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y
principios del COBIT.

- Marco Referencial (Framework), el cual proporciona a la alta gerencia un entendimiento ms
detallado de los conceptos clave y principios del COBIT, e identifica los cuatro dominios de
COBIT describiendo en detalle, adems, los 34 objetivos de control de alto nivel e
identificando los requerimientos de negocio para la informacin y los recursos de las
Tecnologas de la Informacin que son impactados en forma primaria por cada objetivo de
control.

- Objetivos de Control (Control Objetives), los cuales contienen declaraciones de los
resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302
objetivos de control detallados y especficos a travs de los 34 procesos de las Tecnologas
de la Informacin.

- Guas de Auditora (Audit Guidelines), las cuales contienen los pasos de auditora
correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para
proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con
respecto a los 302 objetivos detallados de control recomendados para proporcionar a la
gerencia certeza o recomendaciones para mejorar.

- Conjunto de Herramientas de Implementacin (Implementation Tool Set), el cual
proporciona las lecciones aprendidas por organizaciones que han aplicado COBIT
exitosamente en sus ambientes de trabajo. Este conjunto de herramientas de
implementacin incluye la Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y
entendimiento del COBIT. Tambin incluye una gua de implementacin con dos tiles
herramientas: Diagnstico de la Conciencia de la Gerencia y el Diagnstico de Control de TI,
para proporcionar asistencia en el anlisis del ambiente de control en TI de una
organizacin.

Tambin se incluyen varios casos de estudio que detallan como organizaciones en todo el
mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las
25 preguntas mas frecuentes acerca del COBIT, as como varias presentaciones para distintos
niveles jerrquicos y audiencias dentro de las organizaciones.


Auditora de Sistemas y Tecnologas de Informacin


139
2. MARCO REFERENCIAL DEL COBIT (Frameworks)

La necesidad de control en Tecnologa de Informacin

Actualmente uno de los aspectos ms importantes para el xito y la supervivencia de cualquier
organizacin, es la gestin efectiva de la informacin as como de las tecnologas relacionadas
con ella (TI). Por lo general, la administracin debe decidir la inversin razonable en seguridad
y control de estas tecnologas de la Informacin y cmo lograr un balance entre riesgos e
inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin,
necesita un Marco Referencial de prcticas de seguridad y control de TI generalmente
aceptadas para medir comparativamente su ambiente de TI, tanto el existente como el
planeado.

Existe una creciente necesidad entre los usuarios en cuanto a la seguridad en los servicios de
TI; esto se logra a travs de la acreditacin y la auditora de servicios de TI. Actualmente, sin
embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios
por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales.
Esta confusin proviene de los diferentes mtodos de evaluacin (tal como la evaluacin
ISO9000), nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios
necesitan una base general para ser establecida como primer paso.

Frecuentemente, los auditores han tomado el liderazgo en estos esfuerzos internacionales de
estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y
apoyar frente a la Gerencia su opinin acerca de los controles internos. Sin contar con un
marco referencial, sta se convierte en una tarea demasiado complicada.

Si los administradores, los especialistas en TI y los auditores desean ser capaces de cumplir
con sus tareas en forma efectiva dentro del marco actual caracterizado por cambios
acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo marque la
evolucin de la tecnologa. Es preciso, pues, comprender la tecnologa de controles
involucrada y su naturaleza cambiante, si se desea emitir y ejercer juicios razonables y
prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las
organizaciones gubernamentales.

Respuesta a las necesidades

Hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios
como COSO en los Estados Unidos, Cadbury en el Reino Unido, CoCo en Canad y King en
Sudfrica. Existen tambin, un nmero importante de modelos de control ms enfocados al
Auditora de Sistemas y Tecnologas de Informacin


140
nivel de tecnologa de informacin, algunos buenos ejemplos de esta ltima categora son el
Cdigo de Seguridad de Conducta del DTI (Departamento de Comercio e Industria, Reino
Unido) y el Manual de Seguridad del NIST (Instituto Nacional de Estndares y Tecnologa,
EEUU). Sin embargo, estos modelos de control con orientacin especfica, no proporcionan un
modelo de control completo y utilizable sobre la tecnologa de informacin como soporte para
los procesos de negocio. El propsito de COBIT es el cubrir este vaco proporcionando una
base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca
a la tecnologa de informacin.

Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnologa de
informacin y la aplicacin de nuevos modelos de control y estndares internacionales
relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de
auditora al COBIT, que es tambin una herramienta para la administracin. COBIT es, por lo
tanto, una herramienta innovadora para el gobierno de TI que ayuda a la gerencia a
comprender y administrar los riesgos asociados con TI. Por lo tanto, la meta del proyecto es el
desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y
necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer
y mejor marco referencial para la administracin en cuanto a controles internos.

El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en
TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de
negocio y considerando a la informacin como el resultado de la aplicacin combinada de
recursos relacionados con la Tecnologa de Informacin que deben ser administrados por
procesos de TI.

Para los requerimientos de certificacin de la informacin financiera ("fiduciaria"), COBIT utiliza
las definiciones del Informe COSO para la efectividad y eficiencia de operaciones, confiabilidad
de informacin y cumplimiento con leyes y regulaciones. Sin embargo, la confiabilidad de
informacin fue ampliada para incluir toda la informacin y no slo la informacin financiera.
Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y
disponibilidad como los elementos clave.

Audiencia de COBIT

COBIT esta diseado para ser utilizado por tres audiencias distintas:
ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y las inversiones
en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los
Auditora de Sistemas y Tecnologas de Informacin


141
servicios de tecnologa de informacin proporcionados internamente o por terceras partes.
AUDITORES: Para dar soporte a las opiniones mostradas a la administracin sobre los
controles internos sobre las TI.

Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los
auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado
dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de
control sobre los aspectos de informacin del proceso, y por todos aqullos responsables de TI
en la empresa.

Orientacin a objetivos de negocio

Los Objetivos de Control del COBIT estn definidos con una orientacin a los procesos,
siguiendo el principio de reingeniera de negocios. Se clasifican en dominios y procesos, se
identifica tambin un objetivo de control de alto nivel para documentar el enlace con los
objetivos del negocio. Se proporcionan, adems, consideraciones y guas para definir e
implementar el Objetivo de Control de TI.

La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel
(dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en
ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo
del control, forman conjuntamente el Marco Referencial COBIT. El marco referencial toma
como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 302
objetivos detallados de control.

Calidad de la informacin

COBIT considera siete caractersticas relacionadas con la informacin:
Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del
negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera
utilizable.
Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.
Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin
no autorizada.
Integridad: Se refiere a la precisin y suficiencia de la informacin, as como a su
validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad: Se refiere a la disponibilidad de la informacin cuando sta es requerida
Auditora de Sistemas y Tecnologas de Informacin


142
por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades asociadas.
Cumplimiento: se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocio est sujeto, por ejemplo, criterios de
negocio impuestos externamente.
Confiabilidad de la informacin: Se refiere a la provisin de informacin apropiada para
la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de
reportes financieros y de cumplimiento.

Recursos IT

Los recursos de las tecnologas de la informacin identificados en COBIT pueden explicarse o
definirse como se muestra a continuacin:
Datos: Los elementos de datos en su ms amplio sentido, por ejemplo: externos e
internos, estructurados y no estructurados, grficos, sonido, etc.
Aplicaciones: Se entiende como sistemas de aplicacin la suma de procedimientos
manuales y programados.
Tecnologa: La tecnologa cubre hardware, software, sistemas operativos, sistemas de
administracin de bases de datos, redes, multimedia, etc.
Instalaciones: Recursos para alojar y dar soporte a los sistemas de Informacin.
Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear,
organizar, adquirir, entregar, soportar y monitorizar servicios y sistemas de informacin.

Niveles de las actividades

El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura
general para su clasificacin y presentacin. La teora subyacente para la clasificacin
seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al
considerar la administracin de sus recursos: Dominios, Procesos y Actividades/tareas.

Comenzando por la base, encontramos las Actividades y tareas necesarias para alcanzar un
resultado medible. Algunos ejemplos de esta categora son las actividades de desarrollo de
sistemas, administracin de la configuracin y manejo de cambios. Ejemplos de tareas son las
llevadas a cabo como soporte para la planeacin estratgica de tecnologas de la informacin,
evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el
desempeo.

Los Procesos se definen en un nivel superior como una serie de actividades o tareas conjuntas
con "cortes" naturales (de control).
Auditora de Sistemas y Tecnologas de Informacin


143

Al nivel ms alto, los procesos son agrupados de manera natural en Dominios. Su
agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una
estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a
los procesos de tecnologas de la informacin.

Dominios de COBIT

Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras
que la gerencia utilizara en las actividades TI cotidianas de la organizacin..Por lo tanto, cuatro
grandes dominios son identificados: planificacin y organizacin, adquisicin e implementacin;
entrega y soporte, y monitorizacin. Las definiciones para los dominios mencionados son las
siguientes:

Planificacin y Organizacin: Este dominio cubre la estrategia y las tcticas. Se refiere a la
identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la consecucin de la visin
estratgica necesita ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura
tecnolgica apropiadas.

Adquisicin e Implementacin: Para llevar a cabo la estrategia de TI, las soluciones de TI
deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas
dentro del proceso del negocio. Adems, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.

Entrega y Soporte: En este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern
establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de
los datos por sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.

Monitoreo: Todos los procesos necesitan ser evaluados regularmente a travs del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de control.


Auditora de Sistemas y Tecnologas de Informacin


144
3. OBJETIVOS DE CONTROL DEL MARCO REFERENCIAL


El marco referencial del COBIT ha sido limitado a una serie de objetivos de control de alto nivel,
enfocados a las necesidades de negocio, dentro de un proceso de tecnologas de la
informacin determinado. Los objetivos de control de las TI han sido organizados por proceso /
actividad.

Los recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en
forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar
sus objetivos. Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes
niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al
nivel corporativo, otros al nivel de la funcin de servicios de informacin, y otros al nivel del
propietario de los procesos de negocio.

Es preciso sealar que los objetivos de control de las TI han sido definidos de una forma
general (no dependen de ninguna plataforma tcnica), aunque se debe aceptar el hecho de
que algunos entornos de tecnologa especiales pueden necesitar espacios separados para los
objetivos de control.

El marco referencial se divide en cuatro partes correspondientes a los cuatro dominios
existentes: planificacin y organizacin, adquisicin e implementacin, entrega y soporte y
monitorizacin. En cada parte, se reflejan los objetivos de control de alto nivel correspondientes
a cada dominio (34 objetivos en total). Veamos a continuacin, los 34 objetivos de control de
alto nivel de las tecnologas de la informacin reflejados en el Marco de Referencia COBIT
(COBIT Framework). A continuacin, veamos cada uno de ellos:


3.1. Dominio PLANIFICACIN Y ORGANIZACIN


Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que
la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de
negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, debern establecerse una
organizacin y una infraestructura tecnolgica apropiadas. Procesos:

PO1 - Definicin de un plan Estratgico de TI

Objetivo: Lograr un balance ptimo entre las oportunidades y los requerimientos de TI del
Auditora de Sistemas y Tecnologas de Informacin


145
negocio, para asegurar sus logros futuros.

Su realizacin se concreta a travs de un proceso de planeacin estratgica emprendido en
intervalos regulares dando lugar a planes a largo plazo, los que debern ser traducidos
peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo.
Tiene en cuenta:

Definicin de objetivos de negocio y necesidades de TI. La alta gerencia ser la responsable
de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las
metas generales de la organizacin.
Inventario de soluciones tecnolgicas e infraestructura actual. Se deber evaluar los
sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad,
estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el
nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.
Cambios organizacionales. Se deber asegurar que se establezca un proceso para
modificar oportunamente y con precisin el plan a largo plazo de tecnologa de informacin
con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en
las condiciones de la TI
Estudios de factibilidad oportunos. Para que se puedan obtener resultados efectivos

PO2 - Definicin de la Arquitectura de Informacin

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los
sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin
de negocio, asegurando que se definan los sistemas apropiados para optimizar la utilizacin de
esta informacin. Toma en consideracin:

Documentacin: se deber documentar el modelo de datos y los sistemas asociados.
Diccionario de datos. Debe incorporar las reglas de sintaxis de datos de la organizacin y
deber ser continuamente actualizado.
Propiedad de los datos y la clasificacin de criticidad. Se establecer un marco de
referencia de clasificacin general relativo a la ubicacin de datos en niveles de seguridad.

PO3 - Determinacin de la Direccin Tecnolgica

Objetivo: Aprovechar al mximo la tecnologa disponible y las emergentes, satisfaciendo los
requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de
infraestructura tecnolgica. Toma en consideracin:

Auditora de Sistemas y Tecnologas de Informacin


146
Adecuacin y evolucin de la capacidad de infraestructura actual. Deber concordar con los
planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar aspectos tales
como: arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.
Monitoreo de desarrollos tecnolgicos: evaluacin continua de las tecnologas emergentes y
condiciones regulatorias sobre las TI.
Contingencias. Debern preverse en el plan de infraestructura tecnolgica
Planes de adquisicin. Debern reflejar las necesidades identificadas en el plan de
infraestructura tecnolgica.

PO4 - Definicin de la Organizacin y de las Relaciones de TI

Objetivo: Definir el entorno organizacional para la prestacin de servicios de TI. Esto se realiza
por medio de una organizacin apropiada con personal suficiente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:

Comit de Direccin. Se encargara de vigilar la funcin de servicios de informacin y sus
actividades.
Propiedad, custodia. La Gerencia deber crear una estructura para designar formalmente a
los propietarios y custodios de los datos; sus funciones y responsabilidades debern estar
claramente definidas.
Supervisin. Asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente
Segregacin de funciones. Evitar la posibilidad de que est en manos de un solo individuo la
resolucin de un proceso crtico.
Roles y responsabilidades. Debe asegurar que todo el personal conozca y cuente con la
autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido
asignadas
Descripcin de puestos. Para delinear claramente tanto la responsabilidad como la
autoridad, incluyendo las definiciones de las habilidades y experiencia necesarias para el
puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo.
Niveles de asignacin de personal. Deber asegurarse una asignacin de personal
adecuado en nmero y calidad, para ello debern hacerse evaluaciones de requerimientos
regularmente. .
Personal clave. Deber identificarse al personal clave de tecnologa de informacin.

PO5 - Administracin de la inversin en TI

Objetivo: tiene como finalidad gestionar el financiamiento y el control de desembolsos de
recursos financieros asignado a TI, asegurando la satisfaccin de los requerimientos de
Auditora de Sistemas y Tecnologas de Informacin


147
negocio. Su realizacin se concreta a travs presupuestos peridicos sobre inversiones y
operacionales. Tiene en cuenta:

Alternativas de financiamiento. Se debern analizar diferentes alternativas de
financiamiento.
Control del gasto efectivo. Se deber tomar como base el sistema de contabilidad de la
organizacin, donde se registran los costos asociados con las actividades derivadas de los
servicios TI.
Justificacin de costos y beneficios. Deber establecerse un control gerencial que garantice
que la prestacin de servicios por parte de la funcin de servicios TI se justifique en cuanto
a costos. Los beneficios derivados de las actividades de TI debern ser analizados en forma
similar.

PO6 - Comunicacin de la Direccin y aspiraciones de la Gerencia

Objetivo: Asegurar el conocimiento y comprensin de los usuarios sobre las expectativas del
alto nivel (gerencia), se concreta a travs de comunicaciones efectivas de las polticas
establecidas sobre TI. Toma en cuenta:

Los cdigo de tica / conducta. El cumplimiento de las reglas de tica, conducta, seguridad
y estndares de control interno deber ser establecido por la alta Gerencia y promoverse a
travs del ejemplo.
Las directrices tecnolgicas. Deben ser comunicadas a los responsables de tomar
decisiones TI.
El compromiso con la calidad- la Gerencia de la funcin TI deber definir, documentar y
mantener una filosofa de calidad, debiendo ser comprendidos, implementados y
mantenidos por todos los niveles que participen.
Las polticas de seguridad y control interno, la alta gerencia deber asegurar que las
polticas de seguridad y de control interno especifiquen el propsito y los objetivos, la
definicin y asignacin de responsabilidades para su implementacin a todos los niveles de
la organizacin y la definicin sanciones asociadas con la falta de cumplimiento.

PO7 - Administracin de recursos humanos

Objetivo: Optimizar las contribuciones del personal a los procesos de TI, satisfaciendo los
requerimientos de negocio a travs de tcnicas de administracin de personal. Toma en
consideracin:

Reclutamiento y promocin. Deber contarse con criterios objetivos, considerando factores
Auditora de Sistemas y Tecnologas de Informacin


148
como: educacin, experiencia y responsabilidad requerida para los cargos.
Requisitos de calificacin. El personal deber contar con la adecuada calificacin, tomando
como base su educacin, entrenamiento y experiencia.
Entrenamiento. Los programas de educacin y entrenamiento estarn dirigidos a
incrementar los niveles de habilidad tcnica y administrativa del personal.
Evaluacin objetiva y medible del desempeo. Deber asegurarse evaluaciones objetivas y
llevadas a cabo regularmente, respetando estndares establecidos y considerando las
responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su
desempeo y conducta cuando esto sea apropiado.

PO8 - Asegurar el cumplimiento de Requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales relacionadas con TI.
Toma en cuenta:

Leyes, regulaciones y contratos
Revisiones regulares en cuanto a cambios
Bsqueda de asistencia legal y modificaciones
Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el personal de
la funcin de servicios de informacin.
Privacidad y confidencialidad de los datos
Propiedad intelectual
Flujo de datos a entes externos

PO9 - Evaluacin de riesgos

Objetivo: Responder a las amenazas hacia la provisin de servicios de TI y asegurar el logro de
los objetivos de TI . Se requiere la identificacin de riesgos de TI y anlisis de impacto,
considerando las medidas de seguridad requeridas para mitigar los riesgos. Toma en
consideracin:

Identificacin de los riesgos asociados a TI con la finalidad de que los mismos puedan ser
administrados.
Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones de los
riesgos.
Actualizacin de evaluaciones de riesgos
Definicin de criterios para la medicin de riesgos
Definicin de un plan de accin para mitigar los riesgos (Plan de Seguridad)

Auditora de Sistemas y Tecnologas de Informacin


149
PO10 Administracin de proyectos

Objetivo: Establecer prioridades para la entrega de servicios oportuna y de acuerdo al
presupuesto de inversin. Para ello se realiza una identificacin y priorizacin de los proyectos
acorde con el plan operacional de la organizacin. Toma en consideracin:

Metodologa de administracin de proyectos. Disponer de un marco de referencia para la
administracin de proyectos que defina el alcance y los lmites de los mismos, as como la
modalidad de ejecucin. La metodologa deber cubrir, como mnimo, la asignacin de
responsabilidades, la determinacin de tareas, la realizacin de presupuestos de tiempo y
recursos, la medicin de avances, los puntos de revisin y las aprobaciones.
Involucramiento de los usuarios en el desarrollo, implementacin o modificacin de los
proyectos.
Asignacin de responsabilidades y autoridades a los miembros del personal asignados al
proyecto.
Presupuestos de costos y horas hombre
Planes y metodologas de aseguramiento de calidad.

PO11 Administracin de calidad

Objetivo: Satisfacer los requerimientos de calidad de los servicios TI. Para ello se realiza una
planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de
calidad por parte de la organizacin. Toma en consideracin:

Definicin y mantenimiento de un plan de calidad, el cual deber promover la filosofa de
mejora continua.
Asignacin de responsables para las actividades de aseguramiento de calidad -tales como:
revisiones, auditorias, inspecciones, etc.- necesarias para alcanzar los objetivos del plan
general de calidad.
Adopcin de metodologas de ciclo de vida para el desarrollo de sistemas que rija el proceso
de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin.
Revisiones y reportes de aseguramiento de calidad

Auditora de Sistemas y Tecnologas de Informacin


150
3.2. Dominio ADQUISICIN E IMPLEMENTACIN


Para llevar a cabo la estrategia de TI, las soluciones tecnolgicas deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso de
negocios de la empresa. Este dominio cubre tambin los cambios y el mantenimiento
realizados a los sistemas de informacin existentes. Procesos:

AI1 - Identificacin de Soluciones

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario. Para ello
se realiza un anlisis de las oportunidades / alternativas comparadas contra los requerimientos
de los usuarios. Toma en consideracin:

Requerimientos de informacin para los proyectos de desarrollo.
Estudios de factibilidad (tcnica, funcional y econmica)
Arquitectura de informacin teniendo en consideracin el modelo de datos del ente
Seguridad de la relacin de costo-beneficio de los proyectos para controlar que los costos
no excedan los beneficios.
Disponibilidad de pistas de auditoria Deben existir mecanismos que proporcionen datos
sensitivos de las transacciones, por ejemplo: identificacin de usuarios, da-hora, etc.
Consideracin de soluciones provistas por terceros proveedorres.
Criterios para la aceptacin de instalaciones y tecnologa

AI2 - Adquisicin y mantenimiento del software de aplicacin

Objetivo: Disponer de controles para los procesos de adquisicin y mantenimiento de
aplicativos. Para ello se definen procedimientos especficas sobre recepcin de requerimientos
de nuevo software o modificacin del actual. Se toma en consideracin:

Requerimientos de usuarios, para realizar un correcto anlisis y obtener un software claro y
fcil de usar.
Requerimientos de archivo, entrada, proceso y salida.
Interfase usuario-maquina asegurando que el software sea fcil de utilizar
Personalizacin de paquetes
Pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y estrs),
Controles de aplicacin y requerimientos funcionales
Documentacin (tcnica y de usuario)
Auditora de Sistemas y Tecnologas de Informacin


151

AI3 - Adquisicin y mantenimiento de la infraestructura tecnolgica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios.
Para ello se realizara una evaluacin del desempeo del hardware y software disponible.
Considera:
Evaluacin de tecnologa disponible para identificar el impacto de nuevo hardware o
software sobre el rendimiento del sistema general.
Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto
de fallas de rendimiento.
Seguridad del software de base, seguridad de los datos y acceso a las aplicaciones.

AI4 - Desarrollo y mantenimiento de procedimientos relacionados con las Tecnologas de
Informacin

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas
disponibles. Para ello se desarrollan manuales de procedimientos para usuarios,
requerimientos de servicio, material de entrenamiento, etc. Toma en consideracin:
Manuales de procedimientos para los usuarios, considerando su actualizacin
Manuales de Operaciones y controles.
Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.

AI5 - Instalacin y acreditacin de sistemas

Objetivo: Verificar los procesos de implementacin de las aplicaciones. Para ello se evalan la
documentacin derivada de los procesos de migracin, conversin de datos y certificaciones de
aceptacin. Toma en cuenta:

Capacitacin de usuarios de acuerdo al plan de entrenamiento definido y los materiales
relacionados.
Conversin / carga de datos, de manera que todos los elementos necesarios del sistema
anterior sean convertidos al sistema nuevo.
Pruebas de desempeo y de aceptacin final con el objeto de asegurar un producto
satisfactorio.
Acreditacin de las pruebas.
Revisiones post implementacin con el objeto de evaluar si el sistema proporciona los
beneficios esperados.


Auditora de Sistemas y Tecnologas de Informacin


152

AI6 - Administracin de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.
Esto se hace posible a travs de actividades de planeamiento y control para los cambios
requeridos y llevados a cabo en la infraestructura de TI vigente. Toma en consideracin:

Identificacin de cambios tanto internos como los aportados por los proveedores
Procedimientos de categorizacin, priorizacin y gestin de emergencias.
Evaluacin de impactos provocados por los cambios.
Autorizacin de cambios
Procedimientos de distribucin de versiones de software


3.3. Dominio ENTREGA Y SOPORTE


En este dominio se hace referencia a la entrega de los servicios TI requeridos. Abarca desde
las operaciones de procesamiento de datos tradicionales hasta el entrenamiento de usuarios;
incluye tambin la seguridad informtica y el aseguramiento de continuidad del servicio. Este
dominio incluye el procesamiento de transacciones atendido por los sistemas de aplicacin.
Procesos:

DS1 - Definicin de niveles de servicio

Objetivo: Establecer pautas para evaluar el nivel de servicio requerido. Para ello se establecen
pautas de niveles de servicio que formalicen los criterios de desempeo para medir la cantidad
y la calidad del servicio. Toma en consideracin:

Pautas formalizadas (convenios) que fijen la disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte proporcionados al usuario, etc.
Definicin de las responsabilidades de los usuarios y de la funcin de servicios de sistemas
informacin
Definicin de tiempos de respuesta y volmenes, mecanismos de distribucin de costos y/o
facturacin de los servicios TI
Garantas de integridad
Convenios de confidencialidad


Auditora de Sistemas y Tecnologas de Informacin


153

DS2 - Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de los proveedores de servicios
informticos estn claramente definidas y que cumplan los requerimientos. Para ello se
establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos
existentes en cuanto a su efectividad y cumplimiento de las polticas de la organizacin. Toma
en consideracin:

Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el
proveedor evaluando niveles de procesamiento requeridos, seguridad, monitoreo y
requerimientos de contingencia, as como en otras estipulaciones segn sea apropiado.
Acuerdos de confidencialidad.
Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los
acuerdos de seguridad establecidos.
Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento del contrato.

DS3 - Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor
uso de ella para alcanzar el desempeo deseado. Para ello se realizan controles de manejo de
capacidad y desempeo que recopilen datos y reporten acerca del manejo de las cargas de
trabajo, volmenes de operaciones y demanda de recursos TI. Toma en consideracin:

Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin
Monitoreo y reporte de uso de los recursos TI
Utilizar herramientas de modelado apropiadas para simular cargas de sistemas con la
finalidad de determinar la apropiada configuracin
Administracin de la capacidad disponible procurando minimizar la capacidad ociosa

DS4 - Asegurar la Continuidad del Servicio

Objetivo: Establecer mecanismos para asegurar la disponibilidad del servicio de acuerdo con
los requerimientos y continuar su provisin en caso de interrupciones. Para ello se dispone de
planes de contingencia alineados con el Plan de Continuidad del Negocio. Toma en
consideracin:

Priorizacin de servicios
Disponibilidad de un plan documentado
Desarrollo de procedimientos alternativos
Auditora de Sistemas y Tecnologas de Informacin


154
Disponibilidad de procedimientos de respaldo y recuperacin y de equipamiento de back-up
Pruebas y entrenamiento del Plan de Contingencia

DS5 - Garantizar la seguridad de sistemas

Objetivo: Proteger los activos TI y salvaguardar la informacin contra uso y divulgacin no
autorizados, dao o prdida. Para ello se realizan controles que aseguren que el accesoa
sistemas, datos y programas est restringido a usuarios autorizados- Toma en consideracin:

Autorizacin y autenticacin y mecanismos de acceso lgico
Perfiles e identificacin de usuarios, estableciendo procedimientos para asegurar acciones
oportunas relacionadas con la requisicin, suspensin/baja de cuentas de usuario
Manejo, reporte y seguimiento de incidentes de seguridad
Prevencin y deteccin de virus
Mecanismos de proteccin de acceso para conexiones con redes pblica (firewalls)

DS6 - Identificacin y asignacin de costos

Objetivo: Asegurar el conocimiento y seguimiento de los costos atribuibles a los servicios de TI.
Para ello se utiliza un sistema de contabilidad de costos que asegure que los costos derivados
de las funcin Sistemas sean registrados, calculados y asignados correctamente. Toma en
consideracin:

Los elementos a contabilizar sean identificables y medibles.
Procedimientos y polticas de distribucin de costos que fomenten el uso apropiado de los
recursos de sistemas y aseguren una justa asignacin a los departamentos usuarios.
Tarifas resultantes de un sistema de costeo transparente de manera puedan ser analizadas
y monitoreadas por los usuarios.

DS7 - Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa disponible
y sean conscientes de los riesgos y responsabilidades involucrados. Para ello se realizan e
instrumentan planes de capacitacin adecuados a la organizacin. Toma en consideracin:

Curriculum de capacitacin estableciendo procedimientos para identificar necesidades de
entrenamiento del personal para que haga uso adecuado de los servicios de informacin
Campaas de difusin y concientizacin que incluya tica de la funcin de servicios de
informacin
Auditora de Sistemas y Tecnologas de Informacin


155

DS8 - Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que los problemas experimentado por los usuarios sean atendidos y
solucionados apropiadamente. Para ello se crean un centro de ayuda (Mesa de Ayuda) que
proporcione a los usuarios soporte y asesora de primera lnea. Toma en consideracin:

Consultas de usuarios y respuesta a problemas estableciendo una funcin de soporte o
Mesa de Ayuda
Monitoreo de consultas y despacho, estableciendo procedimientos que aseguren que las
consultas de los usuarios pueden ser resueltas y/o sean asignadas al nivel adecuado para
atenderlas
Anlisis y reporte de tendencias de consultas, su solucin y tiempos de respuesta

DS9 - Administracin de la configuracin

Objetivo: Disponer de un inventario de todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia fsica y proporcionar una base para el manejo de cambios.
Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su
localizacin fsica y un programa regular de verificacin que confirme su existencia. Toma en
consideracin:

Inventario de activos TI estableciendo procedimientos para asegurar que stos sean
registrados al momento de adquisicin e instalacin.
Administracin de cambios en la configuracin asegurando que los registros de
configuracin reflejen la situacin real de todos los elementos de la configuracin
Chequeo de software instalado, detectando productos no autorizados

DS10 - Gestin de Problemas e Incidentes

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean
investigadas. Para ello se necesita un sistema de administracin de problemas que registre y
d seguimiento a los incidentes, adems de un conjunto de procedimientos de escalamiento de
problemas para resolverlos de la manera ms eficiente. Toma en cuenta:

Registro de incidentes y resoluciones
Procedimiento de escalamiento de problemas
Reportes de incidentes

Auditora de Sistemas y Tecnologas de Informacin


156

DS11 - Administracin de Datos

Objetivo: Asegurar la calidad de los datos. Para ello deben establecerse mecanismos de
validacin durante su entrada, actualizacin, salida y almacenamiento.. Esto se logra a travs
de una combinacin adecuada de controles generales y de aplicacin sobre las operaciones de
TI. Considera:

Formularios de entrada de datos y documentos fuente
Controles de entrada, proceso y salida de datos
Administracin de dispositivos de almacenamiento y respaldo de archivos

DS12 - Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico adecuado que proteja al equipamiento y al personal
de TI contra peligros naturales o fallas humanas. Esto se hace posible con la instalacin de
controles fsicos y ambientales adecuados, que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del
personal a las instalaciones y contemplen la seguridad fsica. Toma en cuenta:

Acceso fsico a las instalaciones
Seguridad fsica de las instalaciones
Proteccin contra amenazas ambientales
Seguridad y salubridad de las instalaciones

DS13 - Administracin de la operacin

Objetivo: Asegurar que las funciones importantes de servicios TI estn siendo llevadas a cabo
regularmente y de una manera ordenada. Esto se logra a travs de una programacin de
actividades de procesamiento. Para ello, la gerencia deber establecer y documentar
procedimientos para administrar las operaciones del rea Sistemas, los cuales debern ser
revisados peridicamente para garantizar su cumplimiento. Toma en consideracin:

Manuales de operaciones
Procedimientos de arranque y recuperacin
Calendarizacin de cargas de trabajo
Registro de operaciones y eventos de produccin.


Auditora de Sistemas y Tecnologas de Informacin


157

3.4. Dominio MONITOREO

Los procesos relacionados con las TI necesitan ser evaluados regularmente para verificar su
calidad y suficiencia en cuanto a los requerimientos de control y seguridad. Procesos:

M1 - Monitoreo de los Procesos

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Se logra
definiendo reportes e indicadores de desempeo de los sistemas en produccin y de los
servicios de soporte. Para ello la gerencia definir indicadores claves de desempeo y/o
factores crticos de xito y los comparar con los niveles objetivo propuestos para evaluar el
desempeo de los procesos TI de la organizacin. La gerencia deber tambin medir el grado
de satisfaccin de los clientes con respecto a los servicios de informacin proporcionados con
la finalidad de optimizarlos. Tiene en cuenta:

Indicadores clave de desempeo para los servicios TI
Evaluacin de satisfaccin de usuarios
Reportes gerenciales sobre servicios TI

M2 - Evaluacin del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de
TI. Para ello la gerencia se encarga de monitorear la efectividad de los controles internos
vigentes, las vulnerabilidades y problemas de seguridad asociados a los servicios TI. Toma en
cuenta:

Reportes de errores y excepciones
Comparaciones con mejores prcticas
Reportes gerenciales

M3 - Obtencin de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza a los servicios TI por parte de los miembros de
la empresa, clientes y proveedores. Para ello la gerencia deber obtener certificaciones o
acreditaciones independientes en relacin a seguridad y control interno, en especial para los
servicios de TI que resulten crticos. Toma en cuenta:

Certificaciones y acreditaciones independientes relacionados con servicios de TI
Auditora de Sistemas y Tecnologas de Informacin


158
Aseguramiento por parte de terceros de cumplimiento de normas legales y regulatorias
Revisiones a proveedores externos de servicios TI

M4 - Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza sobre los servicios TI y
beneficiarse de las recomendaciones de expertos independientes. Para ello la gerencia
deber establecer procedimientos regulares de auditoria externa. La funcin de auditoria
deber proporcionar reportes con los objetivos de las auditorias, perodo de cobertura,
naturaleza y trabajos de auditoria realizados, como as tambin las recomendaciones y
conclusiones relacionadas con los trabajos de auditoria llevados a cabo.

Toma en consideracin:
Independencia y calificacin de los auditores
Resultados y recomendaciones de auditora
Actividades de seguimiento de las recomendaciones de auditora


Auditora de Sistemas y Tecnologas de Informacin


159
4. NORMAS ITIL


ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de TI, su principal propsito es
asistir a las organizaciones en el desarrollo de un framework o marco de referencia para la
gestin de servicios de TI. Aunque se desarroll durante los aos 1980, ITIL no fue
ampliamente adoptada hasta mediados de los aos 1990. Esta mayor adopcin y conocimiento
ha dado base a varios estndares, incluyendo ISO/IEC 20000, que es una norma internacional
que cubre los elementos de gestin de servicios de TI basada en las normas ITIL.

Los nombres ITIL e IT Infrastructure Library (Information Technology Infrastructure Library o
Biblioteca de infraestructura de TI) son marcas registradas de la Office of Government
Commerce (Oficina de comercio gubernamental, OGC), esta ltima es una divisin del
Ministerio de Hacienda del Reino Unido. Aunque pertenece a la OGC, ITIL es de libre
utilizacin.

ITIL fue publicado como un conjunto de libros, cada uno dedicado a un rea especfica dentro
de la gestin de TI, la ltima versin es la 3, publicada en mayo de 2007; sin embargo, la ms
difundida es la versin 2 del ao 2001. Los libros centrales de la versin 2 de ITIL -Soporte y
Provisin de Servicios- plantean un modelo de procesos que se encargan de realizar todas las
actividades relativas al soporte de los servicios (en un planteamiento muy operativo y orientado
al da a da) y a la provisin de los servicios (en un planteamiento un poco ms tctico y con
visin de futuro), ellos son:

1) Escritorio de servicios.
Gestin del Nivel de Servicio: Es el proceso que se encarga de detectar las necesidades
del cliente en cuanto a los servicios TI que deben ser proporcionados y los diferentes
grados de calidad y cantidad con los que deben ser proporcionados. Se encarga del
seguimiento y revisin de los requerimientos.
2) Administracin de Incidentes
Es un proceso cuyo objetivo es atender los incidentes reportados (tanto por usuarios como
por herramientas de monitorizacin) y resolverlas en el menor plazo posible. Registra,
identifica y clasifica los incidentes, reduciendo el tiempo de solucin, estandarizando los
procedimientos para su solucin
3) Administracin de Problemas
Tiene el objetivo de investigar las causas que se esconden detrs de los incidentes, trata
Auditora de Sistemas y Tecnologas de Informacin


160
de identificar la causa raz, proponer soluciones temporales y/o definitivas y evaluar los
resultados de la aplicacin de estas soluciones. Este proceso requiere que los registros de
administracin de Incidentes sean precisos y explcitos para identificar la causa raz de los
incidentes reportados, as como las tendencias de los posibles problemas que pudieran
ocurrir.
4) Administracin de Cambios
La gestin del cambio procura utilizar medios y procedimientos estandarizados en la
realizacin de cambios en la infraestructura soporte de los servicios TI, de tal forma que se
minimice el riesgo y el impacto en clientes y usuarios. En sntesis, trata de que los cambios
se hagan con mucho cuidado; debe asegurar que el anlisis de impacto es realizado y
conocido antes de implementar los cambios.
5) Administracin de Configuraciones
Este proceso tiene como objetivo mantener un estricto control sobre el inventario,
elementos que lo componen y las relaciones entre ellos, con el fin de proporcionar
informacin sobre la infraestructura (tanto fsica como lgica) que soporta los servicios TI.
6) Administracin de Liberaciones
Propone y controla las liberaciones de software, apoya la implementacin de nuevas
versiones en ambientes de prueba y produccin. Garantiza que todas las copias de
programas estn resguardadas. Controla las inversiones de software y detecta el uso de
productos sin licencias.
7) Administracin de niveles de servicio
Mantiene y mejora los servicios de TI a travs de acuerdos. Monitorea y reporta los
servicios TI. Es responsable de asegurar que los acuerdos de niveles de servicio, los
acuerdos operacionales y los contratos con terceros sean controlados, asegurando que
cualquier impacto adverso en la calidad del servicio se mantenga en un mnimo.
8) Administracin de la Disponibilidad
Este proceso est muy ligado a la gestin de la Capacidad, se encarga de asegurar que los
requerimientos de disponibilidad de los servicios TI se cumplen y que los servicios se
diseen en trminos de disponibilidad. Objetivos: optimizar la capacidad de la
infraestructura de TI y sus servicios, cubrir los requerimientos de disponibilidad de TI y
alinearlos con los requerimientos del negocio. Hace foco en la mejora del servicio en vez
de subsanar fallas
9) Administracin de la Capacidad
Tiene como responsabilidad asegurar que los servicios TI se proporcionan a los usuarios
bajo unos parmetros de capacidad adecuados y en el momento oportuno, mediante la
monitorizacin y ajuste tanto de los componentes como de los servicios. Este proceso est
Auditora de Sistemas y Tecnologas de Informacin


161
directamente relacionado con los requerimientos de negocio y no slo est enfocado al
desempeo de los componentes de los sistemas informticos.
10) Administracin de la Continuidad
Este proceso se encarga de asegurar que existan los planes de contingencia para los
servicios TI y que stos se pueden ejecutar de forma adecuada llegado el caso en que sea
necesario. El objetivo es recuperar los servicios TI despus de una contingencia,
manteniendo la continuidad de negocio y cumpliendo con los marcos regulatorios.
11) Administracin financiera
Este proceso es responsable de asegurar los aspectos financieros relacionados con la
provisin de servicios TI, por ejemplo: mantener una contabilidad de costos, una adecuada
presupuestacin y establecimiento de polticas de facturacin por los servicios TI.

La versin 3 de ITIL consta de 5 libros formando una estructura articulada en torno al concepto
de ciclo de vida de los servicios TI y responden a los ttulos de:
- Estrategia de Servicio (Service Strategy).
- Diseo del Servicio (Service Design)
- Transicin del Servicio (Service Transition)
- Operacin del Servicio (Service Operation)
- Mejora Continua del Servicio (Continual Service Improvement)
Auditora de Sistemas y Tecnologas de Informacin


162
5. RELACION ENTRE ITIL Y COBIT


TIL es una gua de mejores prcticas, consiste en una serie de referencias comunes y
recomendaciones para todas las actividades del rea de TI. Tales referencias estn divididas
en procesos y tareas para el soporte y la entrega de servicios de TI, describiendo las mejores
prcticas para administrarlos de forma tal que stos se presten con la calidad requerida, sean
ms eficientes, estn ms centrados en los usuarios y sus costos sean mejor manejados.

Podemos presentar a ITIL como centrado en la definicin de procesos y de tareas a realizar y a
COBIT como fuerte en la definicin de mtricas y controles. Esto lleva a que COBIT, sirva
como un empuje importante de ITIL, dado que permite a la organizacin establecer sus metas y
medir sus mejoras.

ITIL es fuerte en los procesos de entrega y ayuda, pero es dbil en controles y procesos de
seguridad, mientras que COBIT se centra en controles y mtrica, proporcionando una vista ms
global de los procesos TI. Aunque COBIT se orienta en los procesos de IT, no incluye pasos ni
tareas de proceso; se centra en lo que una empresa necesita hacer ms que en cmo hacerlo,
proporcionando a la Direccin la determinacin de cules son los parmetros suficientes para
cumplir con estos requisitos. ITIL, en cambio, define los mejores procesos de la prctica para TI
y aconseja cmo conseguirlos.



COBIT NORMAS ITIL
Planificacin y
Organizacin
*Organizacin informtica
*Plan estratgico de TI
*Arquitectura de la informacin
*Polticas y procedimientos
*Cumplimiento de regulaciones externas
*Administracin de proyectos
Adquisicin e
Implementacin
*Desarrollo, mantenimiento y adquisicin de software de aplicacin
*Adquisicin y mantenimiento de la infraestructura tecnolgica
Entrega y
Soporte

*Servicios de procesamientos o soportes prestados por terceros
*Servicios de Internet
Monitoreo

*Monitoreo de los procesos
*Auditoria interna


Auditora de Sistemas y Tecnologas de Informacin


163
ANEXO IV

Fases de crecimiento IT

1. INTRODUCCIN


Diversos especialistas han intentado disear un modelo conceptual para racionalizar y, por
consiguiente, prever, administrar y controlar la utilizacin de los recursos informticos
disponibles en una organizacin.

Quiz uno de los mejores estudios es el que proviene de Richard Nolan
58
, quien desarroll un
modelo para identificar el grado de desarrollo de la computacin en una organizacin, describe
la evolucin de la informtica en una empresa en etapas o fases de crecimiento IT
59
. El modelo
procura ayudar a los directivos de una empresa en la administracin de los recursos
informticos con que cuentan y es especialmente til para los procesos de anlisis de
proyectos de inversin en computacin, ya que nos brinda un cuadro de referencia para
determinar la etapa de evolucin informtica en que est la empresa, asegurando decisiones
adecuadas a la etapa de crecimiento en que est ubicada.

Como dijimos, este estudio presenta como novedad la identificacin de fases de desarrollo en
la aplicacin de recursos IT dentro de una organizacin. Esta comprobacin abre la posibilidad
de construir un modelo para caracterizar el comportamiento de la organizacin respecto al uso
de recursos informticos, enmarcados dentro de su proceso de crecimiento, o sea un cuadro
orientativo para permitir a quienes dirigen la empresa la posibilidad de racionalizar y optimizar
sus gastos en recursos computacionales.

1.1. Objetivo del modelo

El conocimiento de las ETAPAS o fases de crecimiento IT dentro de una organizacin busca
maximizar el retorno sobre la inversin en dichos recursos.

La descripcin de las fases y el comportamiento de los factores claves de cada una de las

58
NOLAN, RICHARD L. Harvard Business Review, Cmo administrar las crisis en el procesamiento de datos.
Consejo Tcnico de Inversiones S.A., 1979, pg. 3.
- NOLAN, RICHARD L. y KOOT, WILLIAM J.D. Nolan Stages Theory Today, A framework for senior and IT
managment to manage information technology. KPMG Managment Consulting, Nolan, Norton & Co, Business and
IT Strategy, 1997.
59
IT de Information Technology (tecnologas de informacin),equivalente a informtica.
Auditora de Sistemas y Tecnologas de Informacin


164
etapas permite a quienes administran los recursos informticos optimizar la aplicacin de los
mismos o al menos controlar los costos en IT, es decir lograr integrar los elementos
computacionales a la operatoria del negocio de la manera menos costosa y traumtica.

1.2. Caractersticas de las etapas

Las etapas de crecimiento de los recursos informticos se caracterizan porque:

Son predecibles.
Deben ser experimentadas y cumplidas, no pueden ser evitadas.
El entorno donde se desarrollan es cambiante.
Se producen en ciclos cada vez ms cortos, por consiguiente demandan velocidades de
respuesta mayores por parte de los responsables de administrar los RECURSOS
INFORMTICOS disponibles.
Cada una de ellas atiende a necesidades crticas y especficas que la organizacin busca
satisfacer con recursos informticos.

En situaciones de crisis (prdidas graves, reestructuraciones, merger, etc.) la organizacin
puede decidir temporalmente introducir crecimientos desbalanceados o, an, saltear etapas en
su proceso de crecimiento.

El objetivo que la organizacin debe procurar es avanzar lo ms rpidamente posible hacia las
etapas finales donde las inversiones en recursos informticos permiten a la empresa obtener
los mejores y mayores resultados econmicos.

1.3. Factores claves

Una de las singularidades del modelo presentado por Nolan Norton es que pueden identificarse
cuatro elementos, llamados factores claves, que son los que tienen la responsabilidad de
movilizar a la organizacin desde una fase a la siguiente.

Estos factores, sobre los cuales se aconseja a los responsables de la empresa mantener un
monitoreo especial, son los siguientes:

El modelo categoriza los sistemas de aplicacin de una empresa en tres niveles, segn el
grado de desarrollo y alcance: para soporte operativo, para control gerencial y de planeamiento
estratgico.

Conocimiento de los Usuarios: considera la "cultura de los usuarios finales", es decir los
Auditora de Sistemas y Tecnologas de Informacin


165
conocimientos, experiencia y entrenamiento de los recursos humanos de la organizacin en
el uso de recursos informticos aplicados en el desarrollo de su trabajo cotidiano.

Portafolio de Aplicaciones: integrado por todos los sistemas de aplicacin que la empresa
tenga en produccin. Agrupa tanto los paquetes de aplicaciones desarrollados en forma
propia (sistemas a medida) como las aplicaciones estndares que pueden incluir los
paquetes de productividad (los productos utilizados para automatizacin de oficina:
procesadores de textos, hoja de clculo, agenda electrnica, correo electrnico, bases de
datos personales, etc.).
Planeamiento
estratgico
Control gerencial
Soporte operativo
Portafolio de aplicaciones
Funciones de la empresa
Ejemplo: administracin, ventas, personal,
contabilidad y finanzas, compras, etc.


Management o Gerenciamiento de los recursos informticos: incluye las acciones
relacionadas con el planeamiento, administracin y control de los recursos informticos, es
decir refleja la importancia que la organizacin asigna a los recursos informticos
disponibles y por consiguiente las soluciones que implementa para administrar y controlar
este elemento.

Recursos informticos (Recursos IT): este factor agrupa todos los elementos tcnicos
especficamente informticos, tradicionalmente todos los recursos bajo la responsabilidad
del Centro de Cmputos o del Departamento de Sistemas. Por ejemplo: elementos de
hardware, productos de software, de comunicaciones de datos, tecnologa aplicada al
desarrollo de sistemas, personal tcnico, sistemas de aplicacin propios, bases de datos
propias, capacitacin de los recursos humanos especializados, etc.

A los dos primeros se los considera como los factores activos, es decir, son los demandantes
de recursos informticos. y que movilizan a los otros dos factores para que los satisfagan; en
definitiva, movilizan a la organizacin para que pase de una etapa a la siguiente. Por ello, los
dos ltimos factores se denominan pasivos.


Auditora de Sistemas y Tecnologas de Informacin


166
Gerenciamiento
Planificacin y control
Usuarios
Conocimiento y pericia
Aplicaciones
Soporte y calidad
Recursos IT
Especialistas y Tecnol.
Costo IT
Los factores claves y el proceso de crecimiento IT
F
a
c
t
o
r
e
s

d
e
m
a
n
d
a
n
t
e
s
(
a
c
t
i
v
o
s
)
F
a
c
t
o
r
e
s

p
r
o
v
e
e
d
o
r
e
s
(
p
a
s
i
v
o
s
)



Desarrollo histrico del modelo

1973 - El presupuesto de Procesamiento de Datos sigue una curva S

Primera hiptesis, los costos de I/T pueden ser usados como un indicador del nivel de evolucin en
tecnolgica computacional de una organizacin. Una segunda hiptesis fue que los puntos de transicin
en la curva S del presupuesto I/T podran ser usados como indicadores de los pasos entre etapas. Una
tercera hiptesis fue que las etapas indican las tendencias ms importantes respecto a planeamiento,
organizacin y control del procesamiento automtico de datos. Por ejemplo, en la segunda etapa
(crecimiento o contagio), el gerenciamiento debe estimular el desarrollo de nuevos sistemas y la
adquisicin de experiencia por parte de los usuarios, en cambio en la etapa de control, la atencin debe
ser dirigida hacia la estabilizacin y formalizacin de los sistemas. Cada etapa tiene sus propios
mecanismos de control y requiere de enfoques de gerenciamiento especficos.

1977 - De una teora descriptiva a un prescriptiva

La organizacin debe aumentar el uso de procesamiento automtico de datos. El xito de la aplicacin de
tecnologa informtica depende -entre otras cosas- del grado en que se aplican procedimientos de control,
como por ejemplo: proyect management. Sin embargo, el gerenciamiento debe encontrar mecanismos
que permitan un equilibrio entre el caos y el control rgido, de manera de permitir un crecimiento sin
estorbos.
Otro descubrimiento fue que la curva S no slo representaba el crecimiento de los gastos en IT, sino
tambin la curva de aprendizaje organizacional y de usuarios finales respecto a la aplicacin de
tecnologa computacional en la empresa.

1979 - Seis etapas de crecimiento que dependen de cuatro factores

Es el artculo ms conocido, sobre esta publicacin se escribe este resumen. En el modelo presentado,
existe un punto de ruptura en la curva de crecimiento entre las etapas 3 y 4, generando dos curvas S. Se
estableci que las polticas que la Direccin deba establecer para el procesamiento de datos, dependa
de la etapa en la cual la organizacin se encontraba dentro del modelo y que se dispona de cuatro
factores claves para moverla de una fase a la otra.

Auditora de Sistemas y Tecnologas de Informacin


167
Discontinuidad
tecnolgica
Etapa 1
Iniciacin
Etapa 2
Crecimiento
Etapa 3
Control
Etapa 4
Integracin
Etapa 5
Arquitectura
Etapa 6
Difusin
masiva
C
o
s
t
o
s

d
e

I
T
E
r
a

d
e

P
r
o
c
e
s
a
m
i
e
n
t
o

d
e

d
a
t
o
s
(
D
P

E
r
a
) E
r
a

d
e

T
e
c
n
o
l
o
g

a
s

d
e

i
n
f
o
r
m
a
c
i

n
(
I
/
T

E
r
a
)


1992 - La tercera curva S

El desarrollo ms reciente del modelo define una tercera curva. Los cambios que se producen en la
organizacin a travs de la era de Procesamiento de Datos (PD Era) son determinados por cambios
tcnicos. En la era de Tecnologas de Informacin (I/T Era), los cambios requeridos son bsicamente de
procedimientos organizacionales. Durante la tercera curva S, se requiere un cambio en la estructura de la
entidad. Normalmente jerrquica-funcional y orientada a las tareas, debe reemplazarse por una estructura
organizacional tipo red, donde los procesos operativos puedan ser rpidamente adaptados a las
posibilidades tecnolgicas de cada momento.


DP Era I/T Era Network Era
L
a

t
e
r
c
e
r
a
c
u
r
v
a
S
(
1
9
9
2
)












Auditora de Sistemas y Tecnologas de Informacin


168
Automatizacin de tareas y automatizacin de procesos

Antes de abocarnos a analizar las fases del crecimiento es conveniente detenernos y
conceptualizar:

Automatizacin de tareas

Implementacin de procedimientos -apoyados en recursos informticos- para automatizar
la ejecucin de tareas administrativas. Estn caracterizados por:

Su implementacin se justifica en la reduccin de costos o en la ganancia individual de
productividad.
Posee un retorno sobre la inversin limitado, usualmente vara entre el 10 y 100 %.
Asocia una tarea - una herramienta - una persona. Enfocado a la solucin de
problemas individuales.

Automatizacin de procesos

Implementacin de procedimientos -apoyados en recursos informticos- para automatizar
la ejecucin de procesos administrativos (en general aqullos considerados estratgicos
para el negocio) y caracterizados por:

Brindar soluciones a actividades crticas de la organizacin.
El objetivo es optimizar (agilizar, buscar nuevas oportunidades, menores costos) el
proceso global del negocio.
Busca automatizar procesos completos.
El retorno esperado sobre la inversin es muy atractivo, se estima que vara entre un
100 y un 1000 %.
Permiten capturar nuevas oportunidades de negocio.
Deben romper barreras culturales, las llamadas "funciones cruzadas", tareas que
afectan la estructura de poder interno. Implica nueva tecnologa y nueva estructura de
supervisin.


Auditora de Sistemas y Tecnologas de Informacin


169
2. LAS FASES DE CRECIMIENTO IT


El modelo caracteriza cinco etapas o fases evolutivas por las que pasa la relacin entre los
recursos informticos y su aplicacin en la administracin de una organizacin. Recordemos
que estas etapas son de ejecucin secuencial y deben ser cumplidas para que la empresa
pueda pasar a la siguiente etapa o fase.

2.1. Fase I - INICIACION

Es la primera fase, comienza cuando una organizacin decide incorporar recursos informticos.
Generalmente el rea de aplicacin es el sector de Administracin y Finanzas.

Esta etapa se caracteriza porque sus objetivos son automatizar tareas especficas, de
ejecucin repetitiva y de gran volumen. El nfasis se centra en reducir costos y, como objetivo
secundario, optimizar los resultados de la ejecucin de las tareas que pretende automatizar
(mayor precisin y mejores tiempos de respuesta).

En esta fase las aplicaciones informticas son simples y estn destinadas al soporte de
operaciones rutinarias.

Se crea el sector "Centro de Cmputos" como un centro de atencin especializado, el que
inicialmente acta como receptor y custodio de los recursos IT que se incorporan y presta el
servicio de procesamiento de datos de la empresa. Sus especialistas son quienes determinan
cules son las necesidades de procesamiento de datos de cada uno de los sectores
demandantes y cmo trabajar.

Los factores claves se comportan de la siguiente manera:

Conocimiento de los usuarios: los recursos humanos de la organizacin estn capacitados
slo para operar los pocos sistemas que se implementan en esta fase. Las aplicaciones se
limitan a imitar el funcionamiento de las tareas que automatizan.

Portafolio de aplicaciones: dedicadas exclusivamente al soporte operacional
(automatizacin de tareas). Los sistemas desarrollados en esta etapa son aquellos con
tareas repetitivas, voluminosas, de clculo complejo, por ejemplo liquidacin de sueldos
(nmina), dbitos y crditos, etc. Las aplicaciones de esta fase no constituyen sistemas de
informacin, ms bien son una coleccin de programas que llevan a cabo clculos sobre
archivos que emulan un fichero de tarjetas automatizadas.
Auditora de Sistemas y Tecnologas de Informacin


170

Management de los recursos informticos: la alta direccin de la organizacin no est
involucrada en los proyectos informticos, stos estn a cargo de los responsables de los
sectores donde se instrumentan. El control es dbil o inexistente.

Recursos informticos: comienza la incorporacin de recursos informticos en la
organizacin, no existen polticas para administrar los nuevos elementos y herramientas.
Los recursos humanos del sector se especializan en la programacin de aplicaciones.


2.2. Fase II - CRECIMIENTO (contagio)


Los buenos resultados (inmediatos, tangibles y mensurables) obtenidos en la fase anterior
alientan la utilizacin de recursos informticos en toda la organizacin. La experimentacin con
nuevas tcnicas genera nuevas soluciones, innovaciones en las metodologas de trabajo, y
todos los sectores de la empresa sienten que la informtica es la clave para solucionar sus
problemas. Se produce as una fuerte presin por parte de todos los sectores para que se
incorporen recursos de IT en sus reas.

Esta etapa tiene las siguientes caractersticas:

Aumenta sustancialmente el presupuesto asignado a IT.
Se extiende la automatizacin a todos los sectores de la organizacin.
Se automatiza el soporte operativo de tareas y comienza el inters por automatizar los
procesos.
El rea de Administracin y Finanzas contina siendo el mayor demandante.
Parece imposible satisfacer la demanda de todos los usuarios. Comienza a aparecer el
fenmeno del backlog (demoras en los tiempos de respuesta del rea de Anlisis y
Programacin para satisfacer la demanda de nuevas aplicaciones o modificaciones de las
vigentes).
Se establece dentro de la empresa el departamento Centro de Cmputos como un sector
dedicado a prestar servicios internos.

Los factores claves se comportan de la siguiente manera:
Conocimiento de los usuarios: se difunde dentro de toda la organizacin las posibilidades de
la informtica. Comienzan a aparecer usuarios finales "especializados" y se consolida la
profesionalizacin de los integrantes del Centro de Cmputos. Los usuarios ven en la
aplicacin de los recursos informticos oportunidades para mejorar sus carreras.
Auditora de Sistemas y Tecnologas de Informacin


171
Portafolio de aplicaciones: se registra un crecimiento exponencial de la demanda de nuevas
aplicaciones para solucionar las problemticas particulares de cada sector. Se difunden
aplicaciones especiales para todas las reas, por ejemplo: control de stock, facturacin, etc.
Se adopta una metodologa para desarrollar las aplicaciones, en la cual la construccin de
un sistema es dividida en un nmero de pasos o etapas.
Management de los recursos informticos: la alta direccin de la organizacin comienza a
tomar conciencia de que deben implementarse polticas para administrar este recurso, en
esta etapa no existen normas establecidas y por consiguiente, tampoco hay un sistema de
control para evaluar los resultados de los proyectos de inversiones en informtica.
Recursos informticos: incorporacin masiva de recursos informticos a la organizacin, no
existen polticas para seleccionar productos y normalizar los que se adquieren. El sector
Centro de Cmputos ya est establecido como un departamento ms de la empresa,
dependiendo del rea de Administracin y Finanzas. Se maneja como un centro de costos,
sin tener objetivos de productividad.

2.3. Fase III - CONTROL


En la etapa anterior la aplicacin masiva de recursos informticos a todas los sectores de la
organizacin genera el desborde de los controles establecidos y aplicables a cualquier proyecto
de inversin de la empresa. La organizacin comienza a comprender que en un proyecto
informtico adems de los recursos informticos hay otros factores que influyen en su xito.

Esta etapa comienza cuando la direccin de la empresa toma conciencia del desgobierno
vigente en la aplicacin de los recursos informticos. En toda la organizacin comienzan a
aparecer "islas informticas", generando redundancia e inconsistencia en los sistemas de
informacin de la empresa, producto de la anarqua, falta de polticas establecidas y de
objetivos del Centro de Cmputos, rea que no logra satisfacer la demanda simultnea de
servicios efectuada por todos los sectores internos. Comienzan a ser intolerables las demoras
a las demandas de nuevos desarrollos o modificaciones a las aplicaciones (fenmeno de
backlog). Especialmente los mandos medios demandan mayor ingerencia en el desarrollo de
las aplicaciones dado que el backlog aumenta dramticamente. De esta manera, el rol de los
usuarios adquiere mayor importancia: comienzan a participar en los proyectos de desarrollo.

Ante esta situacin la empresa jerarquiza el sector de cmputos, lo separa del control de
Administracin y Finanzas, y le asigna una nueva ubicacin dentro del organigrama
(generalmente como un departamento de servicios internos) con polticas de servicios a cumplir
y objetivos a lograr.

Auditora de Sistemas y Tecnologas de Informacin


172
Las siguientes situaciones caracterizan esta etapa:

Se evala cada proyecto de inversin en recursos informticos bajo una ptica estricta de
anlisis costo/beneficio (control financiero del proyecto).
La direccin exige soluciones orientadas a todo el negocio y no slo a problemas
sectoriales.
El anlisis de los proyectos informticos se orienta a los resultados del negocio y no a la
solucin tcnica. Se priorizan las ventajas para los usuarios por sobre las prestaciones para
los tcnicos. Estos ltimos suelen tender a elegir soluciones que involucran el uso de
tecnologas de punta, en detrimento de factores tales como eficiencia de servicio,
confiabilidad y seguridad de funcionamiento.
Los sistemas de aplicacin comienzan a ocuparse de implementar programas de
informacin gerenciales.
Enfasis en automatizar procesos, especialmente de aquellos donde ya se haba
implementado la automatizacin de sus tareas.
Comienza la preocupacin por la integracin de los sistemas de informacin vigentes con
las aplicaciones en operacin y residentes en las distintas plataformas de equipamiento. Se
comienza a buscar soluciones tecnolgicas para lograr la integracin de todos los sistemas
independientes en un nico gran sistema de informacin.
Se implementan polticas para controlar la adquisicin, uso y control de los RECURSOS
INFORMTICOS
Se consolida el Centro de Cmputos como un departamento de servicios interno reportando
a los niveles ms altos de la organizacin, con responsabilidades sobre su presupuesto y la
calidad de sus servicios.

En la fase de control los factores claves se comportan de la siguiente manera:

Conocimiento de los usuarios: la organizacin cuenta ya con usuarios experimentados para
optimizar el uso de sus recursos informticos. Los usuarios especializados de cada rea
suelen convertirse en los "analistas funcionales" de los departamentos donde comenzaron a
experimentar en informtica y pasan a tomar la responsabilidad del mantenimiento de sus
sistemas de aplicacin departamentales.

Portafolio de aplicaciones: los nuevos desarrollos priorizan la automatizacin de procesos,
las aplicaciones desarrolladas en la primera etapa comienzan a mostrar los sntomas de la
edad (aumenta el costo de mantenimiento). Comienza a ser necesaria la generacin de
informacin para la toma de decisiones.

Management de recursos informticos: se regula la incorporacin de recursos IT de acuerdo
Auditora de Sistemas y Tecnologas de Informacin


173
a las necesidades objetivas y en funcin de resultados positivos en el anlisis
costo/beneficio de cada proyecto. El objetivo es racionalizar los costos (bajar costos),
reasignando recursos para aquellos proyectos con mayor retorno sobre la inversin. Un
nuevo instrumento de control aparece: el plan de sistemas. El gerenciamiento del rea de
sistemas juega un rol de intermediario entre el personal tcnico y los usuarios.

Recursos informticos: se establece una gerencia especfica para administrar los recursos
informticos Su objetivo principal es prestar un servicio eficiente, respetando un
presupuesto. El sector es responsable de establecer las pautas (estndares) que deben
respetar todos los sectores de la organizacin cuando se incorporen recursos informticos
para sus reas, con el fin de facilitar la futura integracin.


2.4. Fase IV - INTEGRACION


Lograda la administracin y control de los recursos informticos de la organizacin, los
directivos se encuentran con una situacin en la cual existen varios centros de informacin
dentro de la empresa (uno por sector), producindose situaciones de inconsistencia de datos y
problemas para consolidar la informacin.

La direccin comienza a descubrir que la combinacin de computadoras y telecomunicaciones,
junto con otras tecnologas IT, ofrecen posibilidades estratgicas para el desarrollo de la
empresa, y no slo ahorro de costos.

Recordemos que inicialmente la empresa incorpor RECURSOS INFORMTICOS para
automatizar tareas, o sea para solucionar problemas sectoriales; luego esa metodologa se
replic en todas las reas, generndose una situacin de descontrol en el manejo de los
recursos informticos. As aparece la etapa de control, donde el objetivo es lograr administrar
racionalmente los recursos informticos. Esta nueva fase, integracin, es la continuacin lgica
de las etapas anteriores y responde a la necesidad de dar soluciones tcnicas para integrar las
aplicaciones sectoriales en un sistema global de informacin.

Busca, adems, implementar la automatizacin de los procesos crticos del negocio a partir de
la automatizacin de las tareas conseguida en las fases anteriores.

Es una etapa donde priman los parmetros tcnicos por sobre los criterios econmicos. La
empresa tiene una necesidad estratgica de consolidar su informacin, o sea lograr un nico
sistema de informacin. En esta situacin los proyectos informticos no slo se analizan segn
criterios econmicos (por ejemplo: retorno sobre la inversin), sino se consideran tambin
Auditora de Sistemas y Tecnologas de Informacin


174
factores tales como: informacin oportuna y precisa, seguridad de servicios, posicin
competitiva de la empresa, capacidad de respuesta, imagen, etc.

Las tecnologas disponibles para resolver la integracin de los sistemas de informacin
bsicamente son dos: comunicacin de datos y bases de datos.
Comunicacin de datos: implica dar soporte para integrar todas las plataformas de
procesamiento de datos en un nico sistema, donde cada estacin de trabajo est
conectada a una red de datos y no slo como un sistema local o individual. Da lugar al
concepto de interoperabilidad: capacidad de un puesto de trabajo para emular terminales de
los distintos sistemas que integran la red.

Los elementos que la empresa debe considerar cuando analiza este aspecto son: canales
para comunicaciones de datos, interfases de comunicaciones, protocolos de enlace, etc.
Cuando la situacin de comunicaciones es compleja existen sistemas de redes de datos
que proveen servicios de conectividad para los distintos tipos de plataformas de hardware
existentes en la organizacin.

A partir de esta tecnologa nace una nueva especializacin dentro del Centro de Cmputos:
Administrador de Comunicaciones, cuyo responsable est a cargo del funcionamiento de la
red de datos y de lograr servicios de comunicacin adecuados a las necesidades de los
usuarios (velocidad y seguridad del servicio).

Bases de datos: Esta tecnologa tiene como objetivo integrar los sistemas de
almacenamiento de datos en un nico entorno, permitiendo mejorar la seguridad de los
datos (ante riesgos de prdida o fraude), la confiabilidad de los datos (evitar
inconsistencias), el uso eficiente de los espacios de almacenamiento (evitar la redundancia);
adems de proveer mejoras en los tiempos de acceso a los datos, productividad en el
desarrollo de las aplicaciones, y en general un ambiente de trabajo en el cual se prioriza la
calidad y seguridad de los datos.

Los sistemas de bases de datos generan un nuevo especialista dentro del Centro de
Cmputos: Administrador de Base de Datos, quien es el responsable de los datos de toda la
organizacin, es decir, su tarea es administrar un recurso estratgico de la empresa: la
informacin.

Caractersticas de esta fase:
Se busca implementar metodologas para integrar los sistemas de informacin sectoriales
en un nico sistema global.
Se incorporan nuevas tecnologas: Bases de Datos y Comunicacin de Datos.
Se prioriza el desarrollo de aplicaciones de funcionalidad interrelacionada. Su nfasis est
Auditora de Sistemas y Tecnologas de Informacin


175
en integrar las aplicaciones desarrolladas en la primera fase, as emergen los problemas
derivados de la arquitectura usada. Las aplicaciones comienzan a mostrar problemas de
vejez (documentacin pobre y desactualizada, diseo inapropiado para la integracin,
mantenimiento caro y complejo, etc.).
Se implementa una poltica de mantenimiento de estndares para todos los productos
informticos que se incorporan a la empresa, el objetivo es facilitar la integracin de esos
elementos al sistema de computacin en funcionamiento.

Los factores claves se comportan de la siguiente manera:
Conocimiento de los usuarios: los usuarios dejan de ser slo responsables por su
informacin, pasan a manejar los datos de toda la organizacin. Su estacin de trabajo es la
ventana a todos los datos de la empresa. Multiplican la productividad de su trabajo y
aumenta la flexibilidad de las tareas que pueden realizar, se involucran en los resultados del
negocio por sobre los objetivos de su rea.

Portafolio de aplicaciones: se analiza la reingeniera de las aplicaciones vigentes, las que
adems de mostrar las fatigas de la edad (edad promedio 9 aos), demuestran ser muy
caras para ser adaptadas a la integracin. Aparecen nuevas tecnologas para el desarrollo
de aplicaciones, como las herramientas CASE, que buscan mejorar la productividad del
sector Anlisis y Programacin y solucionar los problemas de los antiguos mtodos de
desarrollo de sistemas (diseo monoltico, documentacin desactualizada, etc.). Se
establece la diferenciacin de los programas vigentes en la empresa en dos categoras:
sistemas departamentales y sistemas corporativos. Los primeros dan servicio slo a los
sectores para los que fueron desarrollados y donde estn instalados; su mantenimiento est
a cargo de los analistas funcionales de dichas reas. Los segundos prestan servicio a toda
la organizacin y la responsabilidad de su mantenimiento y operacin est a cargo del
Centro de Cmputos.
La mayora de los sistemas de informacin -desarrollados para dar soluciones puntuales,
especficas- deben ser reconstruidos, ya que cuando se disearon, no se tuvo en cuenta las
necesidades de integracin. Por eso, durante el desarrollo de estos nuevos sistemas es
necesario dejar bien definidas las relaciones entre las distintas bases de datos.

Management de recursos informticos: la direccin toma conciencia de la importancia de la
informacin y de los recursos informticos como elementos para mejorar la competitividad y
acceder a nuevas oportunidades del mercado. El Centro de Cmputos comienza a prestar la
funcin de soporte tcnico para los departamentos donde existen recursos informticos en
operacin, los que quedan como responsables de la administracin y operacin de sus
equipos de procesamiento de datos. El Centro de Cmputos queda slo como responsable
del mantenimiento y operacin de los sistemas corporativos.
Recursos informticos: aparecen nuevos especialistas informticos, quienes se ocupan de
Auditora de Sistemas y Tecnologas de Informacin


176
prestar las nuevas funciones requeridas por esta fase: administradores de Comunicacin de
Datos y de Bases de Datos. Se incorpora tecnologa para la integracin y se implementan
polticas de soporte tcnico para las reas usuarias de sistemas departamentales.

2.5. Fase V - ARQUITECTURA


En esta fase entramos en la era de Tecnologas de Informacin. La direccin ve la posibilidad
de usar recursos IT para alcanzar objetivos estratgicos. Estos son considerados como los
elementos crticos para mantener la competitividad de la empresa, en definitiva, la
supervivencia.

Los recursos informticos pasan de ser aplicados mayoritariamente a las actividades internas,
a ser usados para automatizar las actividades externas de la empresa (las relaciones con
clientes y proveedores). Cambia la arquitectura de procesamiento de datos: de ser
centralizada, orientada a funciones y procesos, se transforma en distribuida, orientada a los
datos.

Al considerar la informacin como un recurso estratgico, la empresa no puede funcionar sin
sus activos informticos operativos (en tiempo y lugar adecuados). Los cuatro agentes o
factores claves ya estn maduros.

Esta etapa se caracteriza porque:

La organizacin considera que los datos son un recurso estratgico.
Se establece la arquitectura de informacin corporativa como el elemento crtico para la
operacin de la empresa.
La meta de la automatizacin de procesos es estratgica.

Los factores claves se comportan de la siguiente manera:
Conocimiento de los usuarios: los usuarios son altamente competentes en la utilizacin de
recursos informticos para desarrollar su trabajo de rutina. Conocen completamente las
posibilidades de la arquitectura de procesamiento con que cuentan, o sea estn capacitados
para utilizar en forma ptima los recursos IT disponibles.
Portafolio de aplicaciones: se cuenta con sistemas de aplicacin confiables, integrados y
que generan informacin para la toma de decisiones. Los procesos estratgicos para el
funcionamiento del negocio estn automatizados.
Management de recursos informticos: la direccin considera a los recursos IT como el
recurso estratgico para mejorar la dinmica de la organizacin y poder administrar los
Auditora de Sistemas y Tecnologas de Informacin


177
cambios permanentes a que la somete el mercado.
Recursos informticos: la organizacin ya cuenta con personal tcnico y usuarios finales
altamente capacitados, utilizan tecnologa de punta para explorar nuevas oportunidades de
negocio, por ejemplo arquitectura cliente-servidor para las aplicaciones, redes de
comunicacin de alta velocidad, computacin mvil, procesamiento de imgenes, sistemas
expertos, bases de datos masivas (data warehousing), etc.

2.6. Fase VI - DIFUSIN MASIVA


Al final de la era de Tecnologas de Informacin, aumenta la presin para reorganizar el rea
de Sistemas, pasando de una estructura funcional organizada por divisiones o departamentos a
una orientada hacia unidades de negocios.

Eventualmente, en esta fase toda la estructura IT ser descentralizada, y se implementa una
poltica masiva de down-sizing. El objetivo es hacerla ms eficiente en lo que hace a capacidad
de respuesta a las necesidades operativas de cada unidad de negocio de la empresa. Esta
poltica es congruente con la aplicada a las principales reas de la empresa, donde se
atomizan todas las funciones centralizadas (administracin, produccin, comercializacin, etc.)
y se replican en las unidades de negocios en que se dividi la organizacin. El objetivo
perseguido es dar a la empresa ms flexibilidad, mayor velocidad de cambio y adaptacin, es
decir mayor competitividad.

Debido al aumento de la automatizacin, la clsica estructura piramidal (5% de directivos, 35 %
mandos medios y 60 % operarios), se transforma en una diamante, en el cual los mandos
medios absorben el 55 % de la fuerza laboral. El soporte operativo pasa a ser absorvido por
tecnologa computacional (en la industria la robtica, en servicios la informtica). As, una
jerarqua funcional es lentamente reemplazada por una organizacin con forma de red. La era
de Red comienza en esta fase, cuando la tecnologa de informacin es orientada hacia los
procesos externos del negocio. La nueva estructura organizacional aumenta significativamente
la productividad, las mismas actividades son hechas con la mitad del personal; otros cambios
tambin se producen:

-la produccin es orientada a las necesidades del mercado
-la poltica de remuneracin se basa en la productividad
-la competencia cambia de multinacional a global
-los indicadores del xito son calidad, imagen e innovacin.

Todas estas transformaciones demandan nuevos instrumentos de medicin, nuevos principios
Auditora de Sistemas y Tecnologas de Informacin


178
organizacionales y nuevas estructuras organizacionales que no son posibles sin recursos
informticos. Las tecnologas de informacin ya no son slo una ayuda, son los elementos que
hacen posible el cambio.














Como resumen de las fases y de los factores presentamos la siguiente tabla:



444
Factores claves

Fase 1
INICIACION

Fase 2
CRECIMIENTO

Fase 3
CONTROL

Fase 4
INTEGRACION

Fase 5
ARQUITECTURA
Conocimiento de
usuarios
Ninguno
entusiasta
Superficial de
usuarios
Compromiso Mayor habilidad Competentes y
cmodos
Portafolio de
aplicaciones
Aplicaciones
para reducir
costos
Mayora de las
reas
Consolidacin
de
aplicaciones
Base de datos Integracin de
aplicaciones
Management de
RECURSOS
INFORMTICOS
Dbil
Centralizada
Aumenta
debilidad
Controles
internos
Controles
especiales por
dptos.
Datos y recursos
compartidos
Recursos
informticos
Tecncratas
Batch
Comienza el
backlog
Gerencia
intermedia
Base de datos
on-line
Recursos
distribuidos


NOTA: La sexta etapa -difusin masiva- est excluida, el desempeo de los factores en la misma no est
caracterizado.

Auditora de Sistemas y Tecnologas de Informacin


179
3. CONCLUSIONES


Este trabajo procura concientizar a los directivos de una organizacin y a los responsables de
administrar recursos informticos sobre la importancia de las herramientas informticas que se
aplican en sus sistemas de administracin.

Consideramos importante desarrollar el modelo de las Etapas de crecimiento de la informtica
para ser utilizado como un cuadro de referencia por quienes deciden en proyectos informticos.
El modelo permite evaluar la madurez de la organizacin para aceptar la incorporacin de
nuevos recursos de computacin, ya que toma en cuenta las necesidades de la actual etapa y
las previstas para la prxima fase.

Es importante destacar que los factores claves no tienen un desarrollo armnico en cada una
de las etapas por las que pasan. Normalmente las empresas estn en distintas etapas a la vez,
segn sea la madurez relativa de cada uno de sus factores. As, por ejemplo, los factores
conocimiento de los usuarios y management de los recursos informticos pueden estar en la
segunda fase, mientras que el portafolio de aplicaciones y los RECURSOS INFORMTICOS
estn en la tercera.

Caracterizamos cada etapa asignndole un comportamiento predecible, con problemas y
logros identificados, en el convencimiento de que entender lo que ocurre en las etapas ayuda a
manejarlas.

Los especialistas en informtica suelen planificar sus proyectos considerando slo los recursos
tcnicos necesarios para que el modelo funcione. Se olvidan de los otros factores,
especialmente de aqullos que llamamos Conocimiento de los usuarios y Management de
recursos informticos, factores que requieren un tiempo de maduracin interna dentro de la
empresa para operar eficientemente y en concordancia con los recursos que se pueden
adquirir fuera de la misma (Recursos Informticos y el Portafolio de aplicaciones).

Para evolucionar armnicamente es necesario planificar la incorporacin e implementacin de
los recursos informticos. La mejor oportunidad para aumentar el ndice de retorno sobre la
inversin (ROI) es sincronizar la evolucin de los cuatro factores.

Los usuarios necesitan de sistemas flexibles que se adapten rpidamente a los cambios. El
entorno de los negocios est cambiando, nos encontramos con nuevas reglas: cambios
tecnolgicos bruscos, mercados globales y diversificados, ciclos de vida de los productos cada
vez ms cortos. Ambiente que obliga a las empresas a buscar nuevas dimensiones para lograr
Auditora de Sistemas y Tecnologas de Informacin


180
permanecer en el mercado o encarar nuevos proyectos (integraciones, absorciones, joint-
ventures), requiriendo de sistemas de informacin con adecuada flexibilidad para integrar sus
estructuras con los de otras organizaciones. Por lo tanto las empresas necesitan avanzar lo
ms rpidamente posible hacia las dos ltimas etapas, su futuro est en juego.

En sntesis, el modelo procura alentar a las empresas para que aceleren su paso por las
primeras fases, permitiendo as que el computador (los recursos informticos) pase de ser
considerado como una simple caja donde residen los archivos de la organizacin, para
convertirse en un sistema gua de los procesos administrativos y de decisin de la empresa, tal
como proponen las ltimas fases.



Las innovaciones

En este apartado queremos destacar las reglas de las innovaciones. El objetivo es que el lector sea
consciente de las dificultades que entraan, aunque debemos tener en cuenta que sin las innovaciones,
una empresa probablemente quede muy rpidamente fuera del mercado.

Los proyectos informticos se caracterizan por presentar fuertes innovaciones dentro de la empresa.
Normalmente afectan al rea de Administracin y Finanzas en forma directa y al resto de la organizacin
en forma indirecta.

Las innovaciones, en general, se caracterizan porque:

Deben ser encaradas cuando estamos confortables, o sea en situaciones estables.
El xito nace de errores previos.
El perodo de discontinuidad (cuando se est cambiando del viejo sistema al nuevo) es el ms confuso
y peligroso para el xito del proyecto.
Cuando las barreras (resistencia al cambio) no se manejan adecuadamente es difcil encausar el
proceso de cambio.



Temas que influyen para el paso de una etapa a la otra

Nos detendremos a analizar algunos temas que influyen decisivamente en el desarrollo de las etapas.
Ellos son:

1) La gente

Se dice que es la mayor barrera a vencer, implica romper con escollos culturales. Es el factor clave para
el xito de la empresa en el uso de recursos informticos.

El objetivo es integrar a los proyectos informticos la mejor gente, la ms motivada y la ms capacitada
tcnicamente para llevarlos adelante.

Existen dos categoras de recursos humanos dentro de un ambiente informtico:

Especialistas: incluye a los desarrolladores de aplicaciones (analistas y programadores) y al personal
de soporte tcnico (ingenieros en sistemas, operadores, etc.). Se caracterizan por la alta rotacin y por
la escasez de personal calificado.

Usuarios: integrado por los usuarios finales de los sistemas de aplicacin implementados en el
equipamiento de computacin vigente. Las caractersticas dominantes son: bajos salarios, escasa
habilidad en el manejo de equipamiento y sistemas, falta de entusiasmo para aprender nuevas
tcnicas, prdida de inters de los mandos medios si no ven soluciones rpidamente.

Auditora de Sistemas y Tecnologas de Informacin


181
2) Costos y beneficios

Una regla de las inversiones informticas (similar a lo que ocurre en casi todos los proyectos de inversin)
es que los costos de automatizacin son siempre ocasionados antes que se comiencen a obtener
beneficios; an ms, los beneficios se obtienen recin cuando todo el proyecto est completo (cuando la
aplicacin est operativa).

Los costos y los plazos de ejecucin, muy a menudo son subestimados por los especialistas responsables
de llevar adelante el proyecto informtico, generando dudas sobre el xito del mismo entre los directivos
de la organizacin y predisponindolos en su contra.

Ocurre que a medida que avanzamos en las diferentes fases, los costos no son tan visibles como en las
iniciales. Est comprobado que los mayores costos dentro de un proyecto informtico se destinan hacia
rubros intangibles y difcilmente mensurables como capacitacin, desarrollo de las aplicaciones, puesta a
punto de los sistemas, mantenimiento, costos de implementacin, y no tanto como se presupuesta
inicialmente al evaluar el proyecto, cuando es usual slo considerar los costos en equipamiento y las
licencias por el software de base y las herramientas de desarrollo.

3) Barreras de la implementacin

Se han identificado algunos fenmenos que conspiran contra el xito de los proyectos informticos. Ellos
son:
Demoras (backlog) de Desarrollo. Se ha comprobado que en las empresas con ambientes de
desarrollo al estilo convencional -Centro de Cmputos centralizado, uso de terminales no inteligentes y
lenguajes convencionales (tercera generacin)- el backlog promedio es de dos aos. Este fenmeno
desmotiva a los usuarios y limita su entusiasmo para involucrarse.
Es muy complejo y caro la integracin de equipamiento y sistemas de procesamiento pertenecientes a
distintas arquitecturas de computadoras. Esta dificultad se manifiesta cuando las empresas avanzan
hacia la cuarta etapa. Es corriente que las empresas mantengan operativos los sistemas de
procesamiento electrnico de datos incorporados en cada una de las etapas por las que pasa y por
consiguiente pertenecientes a las distintas edades de la computacin.
Los costos de soporte que incluyen los costos de mantenimiento tcnico, de desarrollo de
aplicaciones, de integracin de sistemas, de conversiones y entrenamiento de los usuarios, consumen
demasiados recursos impidiendo destinarlos hacia nuevas inversiones. Dichos costos normalmente
son mayores en entornos con arquitecturas de computacin que incluyen equipamientos de mltiples
proveedores o de distintas lneas.
Es corriente encontrar fuertes resistencias cuando se trata implementar sistemas que integran
"funciones cruzadas", o sea reas de responsabilidad pertenecientes a distintos sectores y que
afectan el poder relativo de los mismos. Este fenmeno ocurre especialmente en la cuarta fase
cuando se quiere automatizar procesos.
Existen barreras tcnicas para la integracin: los datos y las aplicaciones no pueden ser compartidos
por toda la organizacin, algunos recursos informticos estn duplicados. Para romper esta barrera se
procura integrar por medio de nuevas arquitecturas de datos y de comunicaciones.



Distribucin de las inversiones
en el desarrollo de aplicaciones
$
Desarrollo
inicial de las
Aplicaciones
Mantenimiento de
Aplicaciones
Expansin de
Aplicaciones -
Nuevas funciones,
nuevos lugares
Mantenimiento de
los sistemas mejorados
Ao 1 Ao2 Ao 3 Ao4 Ao 5 Ao 6 Ao 7 Ao 8
Auditora de Sistemas y Tecnologas de Informacin


182

Auditora de Sistemas y Tecnologas de Informacin


183
CAPITULO 5
Seguridad informtica



1. INTRODUCCION


La seguridad de los servicios y recursos informticos se ha convertido en un tema prioritario en
la agenda de las empresas. Cualquier nuevo producto relacionado con TI que se lanza al
mercado, adems de las prestaciones funcionales y caractersticas tcnicas, destacan sus
bondades en materia de seguridad; slo basta con leer atentamente la publicidad de las
nuevas versiones de sistemas operativos para redes, administradores de bases de datos
(DBMS) o software de aplicacin para caer en la cuenta de que este aspecto es uno de los ms
tenidos en cuenta por los vendedores. Al respecto, recordemos la entidad asignada a este
problema por el gobierno de EE.UU. en la dcada de los 90, cuando catalog la proteccin de
los sistemas computarizados del pas como el tema prioritario en materia de defensa nacional.

De todas las cuestiones analizadas en este material quiz la seguridad informtica es el
aspecto ms dependiente de la tecnologa y, por consiguiente, est sumamente afectada por la
permanente evolucin que opera en el ambiente TI. Cuando se logr garantizar un entorno
seguro para administrar centros de procesamiento de datos basados en grandes computadores
con servicios centralizados, se impusieron las tecnologas abiertas, la computacin distribuda,
el ambiente cliente-servidor, dando por tierra con el potencial en materia de seguridad
desarrollado alrededor de la tecnologa mainframe. Cuando pareca que todo estaba dicho y
previsto en materia de seguridad para procesar transacciones en ambientes distribuidos,
apareci el fenmeno Internet. As, por cada nueva tecnologa aparecen nuevos y ms
complejos problemas de seguridad.

La seguridad depende de factores culturales, procedimentales y tecnolgicos. Nosotros nos
ocuparemos en especial de los procedimentales; en lo que respecta a los aspectos
tecnolgicos, slo haremos una descripcin sumaria de algunos controles y/o dispositivos
disponibles, intentando explicar su funcionalidad y su alcance (ver "Anexo V- Medidas de
Seguridad Informtica").

Debemos considerar que cuando en una entidad existe un problema de seguridad informtica
especfico y puntual, lo conveniente es consultar con un especialista tcnico en la materia. En
estos casos, el auditor informtico slo se limita a revisar los controles implementados para
brindar seguridad a la instalacin, es decir, su objetivo es evaluar la efectividad y operatividad
Auditora de Sistemas y Tecnologas de Informacin


184
de los controles implementados, detectar posibles brechas, hacer anlisis de riesgo, etc. No es
su misin solucionar tcnicamente las fallas de seguridad y control que encuentre en el
sistema, pero s debe alertar respecto a las que identifique.


Antecedentes

Los Directivos de una empresa tienen la responsabilidad, entre tantas otras, de preservar el
patrimonio de su organizacin. Para cumplir con este cometido disponen de personal de
vigilancia, cajas de seguridad, alarmas, acceso restringido a determinadas reas, proteccin
contra incendios, plizas de seguros y otras medidas que la empresa considere necesarias
para proteger sus activos. As como se protegen los activos fsicos (equipamiento), tambin
deben ser resguardados los activos intangibles, entre ellos, programas, archivos de datos,
conocimientos del personal de sistemas, etc., de importancia creciente en la cartera de
recursos estratgicos de una empresa.

Lo ms valioso que contienen los sistemas de informacin computarizados son los datos que
almacenan. En general, no es sencillo calcular su valor, puesto que no slo hay que tener en
cuenta el costo de haberla generado o, en su caso, de tener que volverla a ingresar, sino
tambin el costo de no poder disponer de ella en un momento determinado, como ocurre
cuando se produce una prdida de datos.

Es indudable el rol fundamental que le cabe al Gerente de Sistemas en relacin con la seguridad
informtica. Sin embargo, los responsables del rea informtica no han podido siempre atacar este
problema de la manera adecuada. En primer lugar, porque cualquier accin coherente en este
plano requiere la comprensin y total compromiso de la Direccin Superior, que suele desconocer
gran parte de los riesgos potenciales. En segundo lugar, los responsables de sistemas suelen
estar continuamente sometidos a fuertes presiones para dar soluciones a problemas operativos en
los cuales las cuestiones de control y seguridad pasan a segundo orden o son postergadas (casi
siempre indefinidamente)... En tercer lugar, aunque en mucho menor medida, el tema de la
seguridad de la informacin cubre un aspecto interdisciplinario que suele exceder su mbito de
accin y que debe ser encarado junto con los responsables de auditora interna y de seguridad
general de la organizacin.
60



60
SAROKA, RAUL H., La gestin de seguridad de activos informticos, TOMO XIX, Revista de Administracin de
empresas, s.f.
Auditora de Sistemas y Tecnologas de Informacin


185

Seguridad y cultura

Extracto del trabajo Seguridad lgica - Factores culturales y estructurales que la condicionan
presentado por el Dr. Ricardo O. Rivas en las
IX Jornadas de Sistemas de Informacin de la Fac.de Cs. Ec. -U.B.A., 1996


No basta con generar un modelo vlido e instrumentarlo a nivel de software o de hardware; es necesario
conseguir que sea utilizado y respetado en las actividades cotidianas. Es en este punto donde se manifiestan los
factores culturales que modifican las conductas esperadas de los usuarios de los sistemas. Sin pretender ser
taxativos, podemos identificar como los principales problemas de seguridad y ms comunes a los siguientes:

Desconocimiento y falta de conciencia de los riesgos que se asumen. La atencin prioritaria se
mantiene sobre los resultados que pueden obtenerse con la nueva funcionalidad ..., mayor riqueza de
informacin para la gestin o reduccin de costos, como puntos sustanciales. Todo lo dems queda
eclipsado y pasa a segundo plano, como si los cambios fueran neutros desde el punto de vista de la
seguridad y el control.
Falta de familiarizacin y/o desconocimiento de los nuevos medios disponibles para el control y el modo
de utilizarlos. Los niveles de Direccin y las Gerencias Funcionales estn con frecuencia en esta
situacin.
Persistencia de la tradicin del documento (comprobantes, registros y listados) como instrumento
central del control y respaldo de las operaciones. Los cambios acelerados que tienden a una
administracin sin papeles, contrastan con la cultura del papel dentro de la cual hemos sido
formados histricamente, en la cual las formas, los papeles o los registros son el reflejo, respaldo y
justificacin de las transacciones y sus consecuencias. Las nuevas modalidades habilitadas por los
adelantos tecnolgicos transforman a dichos instrumentos, al menos desde el punto de vista funcional,
en elementos accesorios, sin perjuicio de su importancia para cumplir normas y reglamentaciones de
orden legal y fiscal. El centro del control se desplaza a los datos almacenados, los procesos
computadorizados admitidos y su administracin.
Adopcin de un paradigma equivocado, que postula la seguridad e inviolabilidad intrnseca de todo
aquello que se ejecute a travs del empleo intensivo del computador.
Falta de compromiso de diseadores y proveedores de sistemas con relacin al tema.
Escasa o nula concientizacin de los usuarios acerca de la importancia de respetar los mecanismos y
normas de seguridad lgica instrumentados con relacin a los sistemas de informacin en los cuales
participan. La falta de comprensin disminuye drsticamente las posibilidades de lograr un efectivo
cumplimiento.
Falta de respaldo y compromiso poltico por parte del nivel mximo de la organizacin (propietario,
Directorio, Gerencia General).
Cuando se procede a definir un esquema de seguridad lgica basado en perfiles de usuarios y
permisos, no suele tomarse en cuenta, como condicin imprescindible, la necesidad de actualizar y
legitimar el esquema de niveles de autoridad, los alcances y lmites de las funciones atribuibles a cada
funcionario responsable. Sin este mapa previo no puede armarse una seguridad lgica ajustada a la
realidad de funcionamiento de la organizacin.

Auditora de Sistemas y Tecnologas de Informacin


186
2. CONCEPTOS RELACIONADOS CON SEGURIDAD
INFORMATICA


Seguridad se podra definir como todo aquello que permite defenderse de una amenaza. Se
considera que algo es o est seguro si ninguna amenaza se cierne sobre ello o bien el riesgo de
que las existentes lleguen a materializarse es despreciable...
Si de lo que se est hablando es precisamente de un sistema informtico, las amenazas existentes
son muy diversas: errores humanos, sabotaje, virus, robo, desastres naturales, etc. y pueden
afectar tanto a la informacin como a los equipos, que son, en definitiva, los bienes a proteger...
61



Veamos ahora algunos conceptos relacionados con seguridad informtica:

Amenazas
Evento potencial no deseado que podra ser perjudicial para el ambiente de procesamiento
de datos, la organizacin o una determinada aplicacin. Constituyen las contingencias
potenciales de un ambiente computacional.

Componentes
Una de las partes especficas de un sistema de informacin. Son las partes individuales de
un sistema informtico al que deseamos salvaguardar o proteger con medidas de seguridad
concretas. Segn la norma ISO 17799, los activos (componentes) de un sistema de
informacin son: recursos de informacin, recursos de software, activos fsicos y servicios.

Control
Mecanismo o procedimiento que asegura que las amenazas sean mitigadas o detenidas y
que los componentes sean resguardados, restringidos o protegidos. Constituyen las
medidas de seguridad.
Tipos de controles:
Preventivos: aminoran o impiden llevar a cabo un evento indeseado, por ejemplo:
control de acceso.
Disuasivos: inhiben a una persona a actuar o proceder mediante el temor o la duda; por
ejemplo: cmaras de vigilancia en los ingresos a zonas de seguridad.
Detectives: revelan o descubren eventos indeseados y ofrecen evidencia de ingreso o
intrusin; por ejemplo: registros de auditora.
Correctivos: solucionan o corrigen un evento indeseado o una intrusin, por ejemplo:
programas antivirus.
Recuperacin: recuperan o corrigen el efecto de un evento indeseado o intrusin; por
ejemplo: copias de seguridad (back up).

61
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 1.
Auditora de Sistemas y Tecnologas de Informacin


187

Exposicin
Prdida estimada o calculada relacionada con la ocurrencia de una amenaza. Una
exposicin al riesgo puede ser tangible (cuantificable) o intangible. La exposicin tangible se
puede valuar multiplicando la probabilidad de ocurrencia de la amenaza por su prdida
estimada en caso de materializacin. La exposicin intangible se vala en base a la
estimacin de especialistas o por el consenso de un equipo; en relacin con este ltimo
caso, ms adelante describiremos el mtodo Delphi usado para calificar riesgos que no
pueden ser cuantificados.

Riesgo
Nivel de exposicin de un componente. Posibilidad (%) de materializacin de una prdida.

Evaluacin del riesgo
Proceso mediante el cual se identifican amenazas, se determinan exposiciones (tangibles o
intangibles) y se valorizan los riesgos. El objetivo de un anlisis de riesgo es categorizar y
calificar los mismos con la finalidad de asignar racionalmente los recursos requeridos para
mitigarlos.

La seguridad como proceso

Uno de los puntos de consenso actual en el tema es que la seguridad es un proceso y no
actividades aisladas que desarrolla la empresa; un proceso que alcanza a todas las unidades
funcionales de la organizacin. Al hablar de seguridad hay que considerar muchos aspectos
que no solo involucran herramientas tecnolgicas sino tambin aspectos organizacionales
como procedimientos operativos, tica, cultura de los usuarios, etc.

El problema hay que enfrentarlo con tecnologa, pero tambin debe involucrar a los tomadores
de decisiones, que son finalmente quienes deciden las inversiones, ellos deben comprender
claramente la problemtica para destinar los recursos necesarios para garantizar la
confidencialidad, disponibilidad e integridad de los datos.

Seguridad de los datos

En una empresa los riesgos que corren los datos son, bsicamente, su prdida, alteracin y
robo:
a) la prdida de datos es generalmente el problema ms grave y el que ms afecta a los
usuarios.
b) la alteracin de datos puede perturbar o confundir, pero en general, no detiene el servicio.
Auditora de Sistemas y Tecnologas de Informacin


188
c) el robo, en cambio, no es un riesgo que afecte a los datos en s mismos y no incide en
forma directa en la prestacin del servicio, pero puede tener graves consecuencias para la
empresa. En el robo de datos, la empresa ni siquiera puede enterarse del hecho, ya que
normalmente, cuando la informacin es robada, no es destruida sino simplemente copiada y
no suelen quedar rastros de una operacin de copia.

Segn la norma ISO 17799 la seguridad de la informacin se entiende como la preservacin de
las siguientes caractersticas: confidencialidad, integridad y disponibilidad de los datos. A stas
algunos especialistas le agregan tambin como deseables: autenticidad, no repudio,
auditabilidad y legalidad. Veamos a continuacin qu implican algunas de las mencionadas
propiedades de los datos:

Confidencialidad
Se define como la condicin que asegura que los datos no puedan estar disponibles o ser
descubiertos por o para personas, entidades o procesos no autorizados (proteccin contra la
divulgacin indebida de informacin). La informacin debe ser vista y manipulada nicamente
por quienes tienen el derecho o la autoridad de hacerlo. A menudo se la relaciona con la
Intimidad o Privacidad, cuando esa informacin se refiere a personas fsicas (habeas data)..

Integridad
Se define como la condicin de seguridad que garantiza que la informacin slo es modificada,
por el personal autorizado. Este es un concepto que se aplica a la informacin como entidad.
Existe integridad cuando los datos en un soporte no difieren de los contenidos en la fuente
original y no han sido -accidental o maliciosamente- alterados o destrudos. Implica actividades
para proteccin contra prdidas, destruccin o modificacin indebida.

Disponibilidad
Se define como el grado en el que un dato est en el lugar, momento y forma en que es
requerido por el usuario autorizado. Situacin que se produce cuando se puede acceder a un
sistema de informacin en un periodo de tiempo considerado aceptable. Se asocia a menudo a
la fiabilidad tcnica (tasa de fallos) de los componentes del sistema de informacin.

La informacin debe estar en el momento que el usuario requiera de ella, un ejemplo de falta
de disponibilidad son los ataques de denegacin de servicio (en Ingls Denial of Service o
DoS) que dejan sin operar a los sitios Web.

Si el sistema informtico no est disponible en tiempo y forma, la empresa puede sufrir algn
tipo de prdida tanto en: clientes, ingresos, ventas, produccin, credibilidad o imagen. Incluso,
en situaciones extremas puede desaparecer.
Auditora de Sistemas y Tecnologas de Informacin


189

Autenticidad o no repudio
Se define como el mecanismo que permite conocer si la entidad/persona que esta accediendo
a un sistema, es realmente quien debe acceder y no un extrao. El no repudio se refiere a
cmo garantizar la autenticidad del remitente, el mecanismo ms difundido actualmente es la
firma digital utilizado especialmente en el comercio electrnico por Internet.
Auditora de Sistemas y Tecnologas de Informacin


190
3. EVALUACION DEL RIESGO


Como vimos, riesgo es la probabilidad de que se materialice una amenaza. Anlisis de riesgo
es, entonces, detectar las amenazas a las que un sistema de informacin est expuesto, el
grado de probabilidad de ocurrencia y sus posibles consecuencias.

La primera tarea en un estudio de seguridad informtica es calificar los riesgos; el objetivo es
identificar los sectores ms vulnerables y permitir concentrar los esfuerzos de control en los
lugares crticos. Esta tarea involucra descubrir las contingencias, amenazas, peligros y las
vulnerabilidades (debilidades) de la organizacin respecto a la proteccin de sus recursos
informticos.

En caso de riesgos con casustica suficiente o probabilidad de ocurrencia matemticamente
determinada, como el caso de fallas de hardware donde se dispone de medidas como MTBF
(probabilidad de fallas), es relativamente sencillo hacer un anlisis de riesgo y determinar la
mejor relacin costo/beneficio para las alternativas de medidas de seguridad asociadas;
adems, de disponer de opciones para derivar el riesgo a un tercero, como los casos de
seguros tcnicos.

Sin embargo, la mayora de los riesgos informticos carecen de casustica, no se disponen de
tablas con estadsticas de fallas y valores de los potenciales daos. En este caso, disponemos
de mtodos alternativos para evaluar el impacto posible y la probabilidad de ocurrencia, y en
consecuencia valorizar el riesgo. Estos mtodos no casusticos usan tablas para indicar la
calificacin de cada elemento analizado, identificando los distintos niveles del riesgo en
anlisis contra una escala. Estas tablas deben ser desarrolladas en base a un criterio de juicio
determinado previamente, por ejemplo: ms prdida, mayor impacto, ms probable. Lograr
esta categorizacin a veces es complejo ya que muchas son las variables que entran en juego.

Existen varias metodologas para estimar riesgos de este tipo, nosotros y a modo de ejemplo
describiremos el mtodo Delphi propuesta por Fitzgerald
62
para calificar riesgos informticos
sin casustica o no cuantificables. Esta metodologa, se basa en la opinin sistematizada de un
grupo de expertos, y la usamos en el siguiente ejemplo para calificar y categorizar amenazas y
prdidas esperadas difciles de estimar.



62
FITZGERALD, JERRY, Material didctico del Seminario de Control y Seguridad Informtica, Bs.As., 1993
Auditora de Sistemas y Tecnologas de Informacin


191
Mtodo Delphi

El mtodo Delphi propone comparar conceptos de a pares, en base a un criterio de juicio nico,
previamente fijado, y donde la opinin (subjetiva) de un grupo de expertos es traducida en votos y volcada
en una planilla especial para calificar dicho concepto. Cmo se usa la planilla de categorizacin Delphi?.
Tomemos como ejemplo un procedimiento para categorizar amenazas donde se identificaron cuatro tipos
de contingencias: Acceso ilegal, Fraude y robo, Violacin de la privacidad y Prdida de informacin.
Usando este mtodo, se construye una planilla en blanco segn el siguiente modelo:

Acceso
ilegal
Fraude
y robo
Acceso
ilegal
Fraude
y robo
Violacin de
privacidad
Violacin de
privacidad
Prdida de
informacin
Prdida de
informacin


Cada uno de los expertos debe votar por una u otra opcin en cada celda, comparando las amenazas
representadas por los ttulos de fila y columna. Las celdas de la planilla de categorizacin registran los
resultados (votos) de la comparacin entre pares de conceptos. La parte inferior-izquierda de la celda
sirve para registrar los votos a la amenaza especificada por el ttulo de la fila y la parte superior-derecha
para acumular los votos al concepto de la columna.

Todos los integrantes tienen el mismo poder, sus votos valen siempre 1 (uno) punto para cada celda y
pueden elegir asignar su voto al item de la fila o al de la columna de la interseccin, segn consideren
ms importante como amenaza una u otra. En caso de indecisin, pueden asignar medio punto (0,5) a los
dos conceptos en comparacin.

Siguiendo con el ejemplo, supongamos que el grupo Delphi est constituido por cinco expertos, entonces
en cada celda la sumatoria de ambas opciones debe dar 5, ya que los integrantes votan por la amenaza
de la fila, de la columna o se mantienen indecisos (0,5 puntos para cada una).

Los criterios de juicio para votar por una amenaza u otra pueden ser: mayor impacto negativo, mayor
prdida en pesos/dlares, ms probable de ocurrir, mayor demora en recuperar, ms crtica para la
organizacin, etc. El grupo debe elegir un nico criterio de juicio para establecer todas las comparaciones.
Supongamos que el grupo de los cinco expertos ya ha votado una ronda por cada una de las celdas; en
este caso la planilla resultante podra haber quedado as:


Acceso
ilegal
Fraude
y robo
Acceso
ilegal
Fraude
y robo
Violacin de
privacidad
Violacin de
privacidad
Prdida de
informacin
Prdida de
informacin
2
3
3,5
1,5
4
1
0
5
2
3
5
0


Hechas las calificaciones (en el ejemplo debieron realizarse seis rondas de votacin para comparar todos
los conceptos, unos contra otros) se procede a sumarizar los votos, con la finalidad de obtener el orden
de importancia de las amenazas, en este caso:

Item Incidencia total
Prdida de informacin 11,0
Fraude y robo 10,0
Acceso ilegal 7,5
Violacin de la privacidad 1,5

Los valores resultantes luego se usarn para obtener un orden de importancia de los riesgos y as asignar
Celda para comparar la incidencia
relativa que tiene como amenaza
Violacin de la privacidad contra
Fraude y robo.



Valores resultantes de la comparacin
entre Violacin de la privacidad (0
votos) con Fraude y robo (5 votos).
Este resultado significa que para los
votantes Fraude y robo es cinco
veces ms importante que Violacin
de la Privacidad segn el criterio de
juicio seleccionado

Auditora de Sistemas y Tecnologas de Informacin


192
racionalmente el presupuesto de seguridad de la empresa. Para ello podemos ponderar los resultados
obtenidos con el costo de las medidas de seguridad y obtener un orden de prelacin para asignar el
presupuesto asignado al rubro. Supongamos que disponemos de un presupuesto anual de $60.000 para
el rubro seguridad informtica, la distribucin racional de dicho presupuesto sera:


Item Incidencia Distribucin del presupuesto
Prdida de informacin 11,0 pts. (37%) $22.200.- (37%)
Fraude y robo 10,0 pts. (33%) $19.800 (33%)
Acceso ilegal 7,5 pts. (25%) $15.000 (25%)
Violacin de la privacidad 1,5 pts. (5%) $3.000 (5%)
TOTALES 30 pts. $60.000.-

Se pueden volver a calificar las mismas amenazas aplicando otros criterios de juicio y despus combinar
los resultados de las planillas obtenidas. De esta manera se podra diluir, an ms, la subjetividad de las
opiniones del grupo de expertos.



Del mismo modo en que categorizamos amenazas o riesgos, podemos utilizar esta
metodologa para calificar los efectos esperados de los controles o medidas de seguridad
sugeridas, por ejemplo, comparar la eficiencia estimada de implementar: Claves de acceso vs.
Servicio de guardia vs. Lector de credenciales vs. Dispositivos encriptadores vs. Respaldos
automticos.

Auditora de Sistemas y Tecnologas de Informacin


193
4. MEDIDAS DE SEGURIDAD INFORMATICA



Una vez identificados y categorizados los riesgos, se pasa a la etapa de anlisis de las
medidas de seguridad posibles para contrarrestarlos. Recordemos que las medidas de
seguridad son las acciones de control para asegurar que las amenazas sean mitigadas y los
componentes sean resguardados. Hay varias formas de agruparlas, por ejemplo: activas vs.
pasivas, fsicas vs. lgicas y otras.


Activas: son aquellas que implementan acciones para evitar o reducir los riesgos sobre el
sistema de informacin, por ejemplo: control de accesos.
Pasivas: se adoptan para estar preparados ante el caso de que una amenaza se
materialice (porque las medidas de seguridad activas no eran suficientes o porque no era
posible evitarla) y facilitar la recuperacin del sistema, por ejemplo: copias de seguridad.


Fsicas: son medidas de seguridad tangibles para proteger los activos de una empresa, por
ejemplo: mantener el equipamiento en un lugar seguro y correctamente acondicionado, con
acceso restringido y controlado, utilizar armarios ignfugos, etc.
Lgicas: no tangibles, caractersticas del ambiente informtico, por ejemplo autenticacin
de usuarios, control de permisos y derechos para acceder a los datos y programas, cifrado
de informacin, proteccin contra virus, registros de auditora.


Nosotros vamos a desarrollar en el Anexo V - Medidas de Seguridad Informtica" la
clasificacin propuesta por Nombella
63
, quien las agrupa segn la naturaleza de la tecnologa
aplicada:
Proteccin fsica
Copias de seguridad y equipamiento de respaldo
Sistemas tolerantes a los fallos
Programas antivirus
Cifrado de datos
Control de accesos, permisos y derechos
Registros de auditora
Seguridad en Redes / Internet

63
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997
Auditora de Sistemas y Tecnologas de Informacin


194
5. PLANILLA o MATRIZ DE CONTROL


Un instrumento sumamente til para desarrollar planes de seguridad es la Planilla de control
propuesta por Fitzgerald
64
, sta es una matriz bidimensional

que sirve para mostrar la relacin
entre amenazas, componentes y controles:


Amenazas

Componentes
Sistema no
disponible
Mensajes
perdidos
Acceso
ilegal
Desastres
y sabotajes
Errores y
omisiones
Fraude
y robo
Archivos de
bases de datos

Personal


Transacciones


Microcomp. y
comunicaciones

Centro de proc.
de datos
(mainfr)

Archivos
individuales

Instalaciones
y edificios



Las filas representan a los componentes o partes en que queremos descomponer un sistema
informtico y las columnas a las amenazas que deseamos analizar.

La tarea del experto consiste en registrar en las celdas las medidas de seguridad (controles)
que sirven al componente correspondiente para mitigar la amenaza representada por el ttulo
de la columna. En este caso, las medidas de seguridad estn representadas por un nmero en
cada celda y significa que el control asociado a dicho nmero (surge de una tabla de controles
posibles) aminorar o detendr la amenaza indicada por el ttulo de la columna mientras que
simultneamente salvaguarda, restringe y protege el componente mencionado en el ttulo de la
fila.

Como dijimos, los controles (medidas de seguridad) a implementar estn representados por
nmeros en las celdas; stos, a su vez, se corresponden con una Lista de controles
previamente confeccionada, como por ejemplo:

1) Control de accesos, permisos y derechos
Responsable de implementacin: Gerencia de Recursos Humanos y Gerencia de Sistemas

64
FITZGERALD, JERRY, Material didctico del Seminario de Control y Seguridad Informtica, Bs.As., 1993
Auditora de Sistemas y Tecnologas de Informacin


195
.
5) Autoverificacin y balance: controles programados para verificar automticamente los datos que ingresan
(dgitos de autoverificacin, secuencia, lmites, etc.).
Responsable de implementacin: Jefe de programacin
6) Recomienzo de proceso: Reiniciacin automtica en caso de errores de datos ingresados, interrupciones de
servicio, etc.
Responsable de implementacin: Jefe de operacin
7) Verificacin de virus: Al momento de trabajar con un disquete, autorizarlo con un programa de
identificacin de virus.
Responsable de implementacin: Jefe de seguridad informtica
........................................................
8) Tarjetas inteligentes para identificacin y autenticacin de usarios: Usar lectores de tarjetas inteligentes para
restringir accesos a las redes departamentales y al sistema central.
Responsable de implementacin: Jefe de seguridad informtica.

Siguiendo con el ejemplo, una matriz de control completada tendra una presentacin como la
siguiente:

Amenazas

Componentes
Sistema no
disponible
Mensajes
perdidos
Acceso
ilegal
Desastres
y sabotajes
Errores y
omisiones
Fraude
y robo
Archivos de
bases de datos
30,31 8,9,10,16,31 1,2,19 1,2,17,30 8,9,10,12
19,22,30
1,2,9,16,
17,19,22
Personal

11.23 8,9,10,12,14
,16,27
1,2,3,4,5,
19
1,2,3,4,5,
17
6,7,8,10,
22,23,27
1,2,5,6,7,
13,16,23
Transacciones

11 8,9,10,11,
14,16,21
3,4,5,18 3,5,20 6,7,9,12,
13,15
3,4,5,6,7,
12,20,23
Microcomp. y
comunicaciones
11,28.30 11,28 1,2,19 1,2,17,30 17,19,24,
30
1,2,17,19
Centro de proc.
de datos
(mainfr)
11,30 11 1,2,19,29 1,2,17,30 17,19,29,
30
1,2,17,19,29
Archivos
individuales
18,20 18 1,2 18,20 18 18,20
Instalaciones
y edificios
23 N/A 1,2 1,2,17 N/A 1,2,17


Luego se califican los controles en funcin de los resultados alcanzados en el anlisis de riesgo
previo, priorizando en funcin de la mayor probabilidad e impacto:

Amenazas Errores y
omisiones
Fraude
y robo
Sistema no
disponible
Mensajes
perdidos
Acceso
ilegal
Desastres y
sabotajes
Componentes AREA DE ALTO RIESGO RIESGO MEDIO BAJO RIES.
Transacciones

6,7,9,12,
13,15
3,4,5,6,7,
12,20,23
11 8,9,10,11,
14,16,21
3,4,5,18 3,5,20
Microcomp. y
comunicaciones
17,19,24,
30
1,2,17,19 11,28.30 11,28 1,2,19 1,2,17,30
Archivos de
bases de datos
8,9,10,12
19,22,30
1,2,9,16,
17,19,22
30,31 8,9,10,16,31 1,2,19 1,2,17,30
Personal

6,7,8,10,
22,23,27
1,2,5,6,7,
13,16,23
11.23 8,9,10,12,14
,16,27
1,2,3,4,5,
19
1,2,3,4,5,
17
Centro de proc.
de datos
(mainfr)
17,19,29,
30
1,2,17,19,29 11,30 11 1,2,19,29 1,2,17,30
Archivos
individuales
18 18,20 18,20 18 1,2 18,20
Instalaciones
y edificios
N/A 1,2,17 23 N/A 1,2 1,2,17


Auditora de Sistemas y Tecnologas de Informacin


196
En la planilla de control del ejemplo, vemos que estn identificadas tres reas de riesgo: Alto,
Medio y Bajo. Este anlisis sirve para asignar el presupuesto de seguridad informtica en
aquellos controles (medidas de seguridad) que atenan los riesgos segn el orden obtenido
luego del proceso de evaluacin que determin un orden de importancia.


Resumiendo, los pasos para construir una matriz de control son los siguientes:

1) Identificar los componentes del sistema de procesamiento de datos que se consideren
necesarios tener en cuenta desde el punto de vista de la seguridad.
2) Identificar las amenazas que se consideren ms importantes de tener en cuenta para
proteger el ambiente informtico.
3) Construir una matriz de control relacionando las amenazas con los componentes
4) Completar las celdas de la matriz de control obtenida en el paso anterior con las medidas
de seguridad adecuadas.
5) Categorizar por riesgo las amenazas y componentes y combinarlos, dividiendo la planilla
de control en tres regiones: Alto, Medio y Bajo riesgo.

Si bien todos los pasos descriptos para obtener una matriz de control tienen sus dificultades,
por ejemplo, cmo determinar las amenazas ms importantes? cules incluir y cules dejar
de lado?, el paso ms complejo es ubicar las acciones de seguridad ms adecuadas dentro de
la lista de controles.

Para determinar si una medida de control es conveniente o adecuada, el experto debera
contestar satisfactoriamente las siguientes preguntas:

qu amenazas son aminoradas o detenidas con este control?
qu componentes son salvaguardados, restringidos o protegidos mediante este control?
cul es la efectividad esperada de esta accin de control?
cul es el costo de implementar el control?
existen otras medidas de seguridad alternativas? cul es la efectividad esperada y costo
de las mismas?


Auditora de Sistemas y Tecnologas de Informacin


197

6. PLAN DE SEGURIDAD INFORMATICA


Tras hacer un anlisis de los riesgos y considerar el valor de los equipos, aplicaciones y datos
a proteger, se decide cules sern las medidas de seguridad que se van a implantar en una
organizacin. Hacer que estas medidas de seguridad se conviertan en normas y asegurarse
que sean implementadas y documentadas correctamente, es establecer un Plan de Seguridad
Informtica.

Podemos definir, entonces, al Plan de Seguridad Informtica como el documento que formaliza
las polticas y acciones de la organizacin para enfrentar las contingencias y vulnerabilidades
derivadas del entorno computarizado. El objetivo final es proteger los recursos informticos de
la entidad.

Un plan de seguridad informtica se desarrolla considerando los siguientes aspectos:
Objetivos de seguridad informtica: en funcin del Plan Estratgico de la empresa, el Plan
de Sistemas y Presupuesto del rea, se fijan y priorizan los componentes a proteger.
Anlisis de riesgos: en funcin de los componentes seleccionados para ser protegidos, se
realiza un anlisis de las amenazas y se categorizan en funcin de probabilidad de
ocurrencia e impacto.
Identificacin de medidas de seguridad: se determinan las medidas de seguridad ms
adecuadas en funcin del anlisis de riesgo.
Elaboracin de proyectos para implementar las medidas elegidas de seguridad: se asignan
responsabilidades, se adquieren e instalan productos de seguridad, se desarrollan
procedimientos y polticas para mantenerlas en operacin, etc.
Difusin de las polticas de seguridad informtica entre el personal para concientizar y
capacitar a especialistas y usuarios finales.
Desarrollo de Planes de Contingencia
Asignacin de presupuesto adecuado y apoyo de la Direccin

Norma ISO 17.799

Como marco de referencia para elaborar un Plan de Seguridad Informtica sugerimos seguir la
norma ISO 17799; esta norma fue tomada en junio de 2005 por la ONTI (Oficina Nacional de
Tecnologas de Informacin) como modelo para establecer el estndar Modelo de Poltica de
Seguridad de la Informacin para organismos de la Administracin Pblica Nacional de
nuestro pas. La ISO 17799 segmenta la problemtica de la seguridad informtica en las
siguientes reas de anlisis:
Auditora de Sistemas y Tecnologas de Informacin


198

Poltica de seguridad: comprende las polticas documentadas sobre seguridad de la
informacin y los procedimientos de revisin y evaluacin de las mismas.
Organizacin de la seguridad: se refiere a los organismos o puestos que se ocupan de la
seguridad, abarca tanto las funciones de coordinacin como las operativas. ltimamente se
adjudica al CISO (Chief Information Security Officer) el rol de responsable de seguridad
informtica en las corporaciones. Comprende tambin las actividades de asesoramiento,
cooperacin con otras organizaciones, auditora externa y el rol de terceros en materia de
seguridad.
Clasificacin y control de activos: se ocupa de la administracin (guarda, custodia e
inventario) del equipamiento y los datos.
Seguridad del Personal: comprende la gestin del personal afectado a los servicios
informticos: seleccin y polticas de personal, capacitacin, compromisos de
confidencialidad, responsabilidades en materia de seguridad.
Seguridad Fsica y Ambiental: se ocupa de asegurar el equipamiento y el rea de trabajo
afectada a los sistemas de informacin contra ataques, desastres y agentes nocivos.
Tambin se ocupa del suministro de energa, mantenimiento del equipamiento e
instalaciones.
Gestin de Comunicaciones y Operaciones: se ocupa de garantizar el funcionamiento de
los servicios TI (aplicaciones y conectividad). Tiene en cuenta los procedimientos
operativos normales, gestin de incidentes, cambios a los programas, seguridad de las
redes internas y de las conexiones con redes pblicas.
Control de Accesos: comprende los procesos de administracin de usuarios y accesos a
los servicios informticos (administracin de identidades, permisos y derechos),
mecanismos de monitoreo del trfico en redes y actividad de los usuarios.
Desarrollo y Mantenimiento de Sistemas: se ocupa de los procedimientos de cambios a los
programas en produccin y/o desarrollo de nuevos sistemas, de la validacin de datos de
entrada, proceso y salida, de los controles criptogrficos usados por los sistemas.
Administracin de la Continuidad del Negocio: comprende las previsiones para asegurar la
continuidad de los servicios informticos (planes de contingencia).
Cumplimiento: se refiere al respeto a las normas, reglamentaciones y leyes -tanto internas
como externas- relacionados con los servicios de sistemas, por ejemplo: derechos de
propiedad intelectual (licencias), proteccin de datos personales (habeas data).

Auditora de Sistemas y Tecnologas de Informacin


199
6.1. Auditora de la Seguridad Informtica

Cmo auditar la seguridad informtica en una organizacin? Al respecto debemos considerar
tres situaciones bsicas:

Cuando la organizacin tiene planes y/o polticas de Seguridad Informtica formalizados
(escritos, implementados, explcitos).
Cuando la organizacin no cuenta con planes formalizados pero tiene implementadas
medidas de seguridad para proteger sus sistemas y equipamiento. Si bien estas prcticas
no estn documentadas ni fueron seleccionadas luego de un proceso formal de anlisis
forman parte de una poltica de seguridad informal; adems, estn operativas y protegen
eficazmente los servicios de sistemas bsicos de la empresa.
Cuando la organizacin carece de cualquier poltica de seguridad, acta con la "poltica de
bombero", reaccionando ante situaciones consumadas de daos y/o perjuicios
relacionados con los servicios informticos.

Obviamente, la mejor situacin para auditar es la primera donde el auditor contrasta la
situacin de los servicios de sistemas contra los Planes y Polticas de Seguridad Informtica.
En estos casos, la documentacin a evaluar son los planes y proyectos de seguridad
informtica, los planes de contingencia, los procedimientos relacionados con seguridad, los
contratos con proveedores de seguridad informtica, y toda otra documentacin relacionada
con la gestin de la seguridad TIC.

En el segundo caso, el auditor debe relevar las prcticas vigentes, sugerir su formalizacin y
por ltimo puede hacer consideraciones respecto a la eficacia de las mismas.

En la ltima situacin, el auditor carece prcticamente de "cuadro de referencia" para hacer
consideraciones, salvo situaciones obvias que detecte, por ejemplo: carencia de copias de
seguridad, acceso irrestricto a sistemas y archivos, etc.

Sin embargo, en todos los casos el marco de referencia aportado por la ISO 17799 es aplicable
para evaluar la situacin de la entidad respecto a la seguridad de sus sistemas de informacin.

Auditora de Sistemas y Tecnologas de Informacin


200
7. PLANES DE CONTINGENCIA


Los Planes de Contingencia contienen las acciones planificadas para recuperar y/o restaurar el
servicio de procesamiento de datos ante la ocurrencia de un evento grave que no pudo ser
evitado. Tambin se los suele llamar Planes de Desastres o Planes de Emergencia. Cuando
las medidas de seguridad fallan o su efecto no es el esperado, actan los Planes de
Contingencia.

Un Plan de Contingencia debe incluir: manuales de instrucciones, juegos de copias de
seguridad especiales con todos los archivos (de datos, programas y procedimientos) y bases
de datos del sistema, capacitacin especial para el personal responsable (simulaciones),
seleccin y priorizacin de los servicios bsicos a mantener (servicios de emergencia o de
supervivencia), etc.

El Plan de Contingencia permite al grupo de personas encargadas de la recuperacin, actuar
como un equipo, ya que cada miembro dispone de una lista concreta de responsabilidades y
procedimientos a seguir ante un problema. Este es uno de los principales elementos que tiene
la organizacin para enfrentar los riesgos que lleguen a ser siniestros..


Sintticamente, los pasos para elaborar un Plan de Contingencia son:

1. Anlisis de Riesgos.
En esta etapa la preocupacin esta relacionada con tres simples preguntas: qu est bajo
riesgo? cmo se puede producir? cul es la probabilidad de que suceda? .Este paso, al igual
que el siguiente, son desarrollados tambin cuando se elabora el Plan de Seguridad
Informtica; aqu se vuelve a hacer el anlisis considerando bsicamente la necesidad de
restaurar los servicios de sistemas del ente.

2. Valoracin de Riesgos.
Es el proceso de determinar el costo para la organizacin en caso de que ocurra un desastre
que afecte a la actividad empresarial. Los costos de un desastre pueden clasificarse en las
siguientes categoras:
-Costos de reemplazar el equipo informtico: este costo es fcil de calcular y depender de
si se dispone de un buen inventario de todos los componentes necesarios para mantener
operativa la infraestructura TIC de la entidad.
-Costos por negocio perdido: son los ingresos perdidos por las empresas cuando el sistema
de informacin no esta disponible, por ejemplo: prdidas en las ventas.
-Costos de reputacin: estos costos se producen cuando los clientes pierden la confianza en
Auditora de Sistemas y Tecnologas de Informacin


201
la empresa y crecen cuando los retardos en el servicio son ms prolongados y frecuentes.
Son ms difciles de evaluar, aunque es deseable incluirlos en la valoracin.

3. Asignacin de prioridades a los sistemas de informacin a recuperar.
Despus de que un desastre acontece y se inicia la recuperacin de los sistemas, debe
conocerse cules aplicaciones recuperar en primer lugar, no se debe perder el tiempo
restaurando los datos y sistemas equivocados cuando la actividad primordial del negocio
requiere otras aplicaciones esenciales.

4. Fijar requerimientos de recuperacin.
La clave de esta fase del proceso de formulacin del plan de contingencia es definir un periodo
de tiempo aceptable y viable para lograr que los servicios informticos estn nuevamente
activos.

5. Documentar el Plan de Contingencia
Disponer de un documento que se pueda tener como referencia es la clave del Plan de
Contingencia. Esto puede implicar un esfuerzo significativo pero puede ser primordial para la
empresa en caso de ocurrir un desastre. Uno de los problemas del plan de contingencia es que
la tecnologa de sistemas cambia tan rpidamente que resulta difcil permanecer al da. La
documentacin bsica del Plan de Contingencia de un sistema informtico debe contener lo
siguiente:
- Listas de notificacin, nmeros de telfono, direcciones de los responsables..
- Prioridades, responsabilidades, relaciones y procedimientos.
- Diagramas de red.
Copias de seguridad.

6. Verificacin e Implementacin del Plan.
Una vez redactado el plan, hay que probarlo haciendo simulaciones de ocurrencia de las
contingencias contempladas. Por supuesto, tambin es necesario verificar los procedimientos
que se emplearn para recuperar los datos desde las copias de seguridad, confirmar si pueden
recuperarse las aplicaciones de mayor prioridad de la manera esperada.

7. Distribucin y mantenimiento del Plan de Contingencia.
Por ltimo, cuando se disponga del Plan de Contingencia definitivo y aprobado, es necesario
distribuirlo a las personas responsables de llevarlo a cabo. El mantenimiento del plan es un
proceso sencillo y necesario, se comienza con una revisin del plan existente y se examina en
su totalidad realizando los cambios a cualquier situacin que pueda haber variado en el
sistema y agregando los cambios ya realizados. Este proceso llevar tiempo, pero posee
algunos valiosos beneficios que se percibirn en situaciones de desastre aunque lo deseable
es que nunca tengan que utilizarse.
Auditora de Sistemas y Tecnologas de Informacin


202

En ocasiones, las grandes compaas cuentan con empleados con responsabilidades tales
como "Planificador de contingencias" o " Planificador para la continuidad de la actividad"
asignados a la tarea de estudiar y planificar la reanudacin de las actividades de la compaa
tras una catstrofe. Su trabajo no est enfocado exclusivamente a recuperar sistemas
informticos, pero ellos, ciertamente, deben saber bastante sobre ellos. Cabe destacar que
como todas las cosas que necesitan disciplina y prctica, restablecer un servicio informtico
despus de un desastre requiere de prctica y anlisis para tener aptitudes y poder realizarlo
con un alto nivel de eficacia.


Auditora de Sistemas y Tecnologas de Informacin


203
CUESTIONARIO DE REVISION


Qu es la seguridad informtica? Qu aspectos comprende?







Cules son las contingencias de un ambiente informtico?








Cmo se evala el riesgo informtico?






Cules son las medidas de seguridad para proteger el mbito informtico?






Auditora de Sistemas y Tecnologas de Informacin


204
Cmo desarrollar un Plan de Sistemas?







Qu aspectos contempla la norma ISO 17799? Brinde ejemplos para cada
categora







Cmo desarrollar un Plan de Contingencias






Qu es un delito informtico? Cules son sus alcances?








Auditora de Sistemas y Tecnologas de Informacin


205
ANEXO V

Medidas de Seguridad Informtica


1. INTRODUCCION


Las medidas de seguridad informtica son las acciones que efectivamente se toman para hacer
frente a las amenazas que se presentan en una instalacin informtica.

Como ya mencionamos, seguimos la clasificacin de Nombela quien agrupa las medidas de
seguridad informtica segn la naturaleza de la tecnologa aplicada, formulando las siguientes
categoras:

Proteccin fsica
Copias de seguridad y equipamiento de respaldo
Sistemas tolerantes a los fallos
Programas antivirus
Cifrado de datos
Control de accesos, permisos y derechos
Registros de auditora
Seguridad en Redes / Internet



A continuacin, describimos en este apartado y para cada categora arriba sealada, los
conceptos que consideramos ms importantes para un auditor informtico en relacin a
medidas de seguridad informtica.
Auditora de Sistemas y Tecnologas de Informacin


206
2. PROTECCION FISICA


Las medidas de seguridad fsicas son, en general, las ms obvias para los no legos en
informtica. Son las acciones de seguridad tpicas para proteger cualquier tipo de activos
fsicos o resguardar reas vulnerables. Contemplan -entre otras- controles de acceso a las
instalaciones, registros de ingreso y egreso de personas, vigilancia, cmaras de seguridad, etc.

Se agrupan de acuerdo a:
Ubicacin fsica. En este caso se analiza dnde se ubican los centros de procesamiento de
datos de la organizacin. Recordemos que stos son el centro neurlgico de la empresa,
por consiguiente es conveniente estudiar detenidamente su distribucin teniendo en cuenta
su proteccin y no slo aspectos funcionales y econmicos. Debe estar alejado de lugares
potencialmente vulnerables a desastres naturales (inundaciones, terremotos), ataques
externos (sabotajes, conflictos gremiales o polticos), robos y espionaje.
Disposicin fsica (layout). Ademas de la ptima funcionalidad, en el diseo de los edificios
dedicados a centros de procesamiento de datos debe considerarse el aspecto seguridad,
procurando facilitar accesos restringidos, fciles de vigilar y proteger.
Proteccin contra desastres. Las instalaciones informticas deben contemplar proteccin
contra desastres naturales, fuego y eventos de esta ndole. Detectores de humo, extintores,
rociadores, muebles y accesorios de oficina incombustibles y armarios ignfugos para
guardar copias de seguridad, son elementos aconsejados. Para prevenir este tipo de
contingencias es muy importante la calidad de las instalaciones de alimentacin elctrica:
contar con llaves trmicas, tableros adecuados, distribucin equilibrada de las cargas
elctricas, cableado protegido y enchufes correctamente instalados son las medidas ms
eficientes para prevenir incendios. En los Centros de Cmputos los mayores riesgos de
este tipo provienen de los circuitos de alimentacin elctrica. Instalaciones provisorias,
apuradas, ampliaciones no previstas, generan consumos picos y las lneas de alimentacin
se recargan.
.
Auditora de Sistemas y Tecnologas de Informacin


207
3. COPIAS DE SEGURIDAD Y EQUIPAMIENTO DE
RESPALDO


Una copia de seguridad implica tener la informacin (los archivos de datos) duplicada con la
finalidad de acceder a la misma en caso que se pierda o altere la original. Constituye el mejor
resguardo ante la prdida de informacin -cualquiera fuere el motivo- y resulta la prctica ms
antigua, extendida y eficaz para proteger los datos de una instalacin. Las copias de seguridad
son el resultado de los procesos de respaldo o backup.

Tipos de copias de seguridad
Completa: es una copia de todos los archivos (programas, datos, procedimientos
programados, etc.) de un sistema.
Progresiva o incremental: se copian slo los archivos creados o modificados desde la ltima
copia completa o progresiva.
Selectiva: se copian aquellos directorios y archivos seleccionados por el usuario.
A intervalos: se copian los archivos en uso con una cierta periodicidad. Estas copias son
realizadas automticamente por algunos productos de software, en especial aquellos que
actualizan en forma continua los datos del sistema, como los administradores de bases de
datos (DBMS.

Es conveniente planificar las copias de seguridad; esto implica especificar qu tipo de copia es
la ms adecuada para cada sistema, segn sea la naturaleza del trabajo o el volumen de datos
que maneje. Se determina adems, con qu frecuencia deben realizarse los respaldos, los
archivos a copiar, en qu momentos, el tipo de soporte que se emplear, el responsable, etc.

Es fundamental el correcto etiquetado de los soportes empleados en las copias de seguridad:
debe describirse el tipo de copia (completa, progresiva, selectiva), el contenido (unidades,
directorios), la fecha de copiado, nmero de soportes que integra el juego de la copia, operador
responsable, etc. Tambin es conveniente como medida de precaucin, mantener copias de
seguridad almacenadas en una localizacin externa al centro de procesamiento de datos (en
otro edificio), y en lo posible guardadas en armarios ignfugos y protegidos. De esta manera es
posible preservar los datos de los desastres naturales, sabotajes e incendios que puedan
ocurrir en el Centro de Cmputos.
Auditora de Sistemas y Tecnologas de Informacin


208






Dispositivos de backup

Existe una gran variedad de dispositivos de almacenamiento para hacer respaldos o copias de seguridad.
La disponibilidad de uno u otro depende de la arquitectura del equipamiento donde tenemos el sistema de
archivos y de la tecnologa vigente. En general, pueden ser agrupados en dos grandes categoras:

Cintas magnticas

Se caracterizan por su bajo costo y por almacenar grandes volmenes de datos; permiten slo acceso
secuencial a los mismos. Los modelos de cintas magnticas vigentes son:

Cintas de carrete abierto o de nueve pistas (almacenan de 44 a 172 MB). Son los primeros
modelos de cintas magnticas, usadas todava en los grandes computadores o mainframes. (en
proceso de obsolescencia tcnica)
Cartuchos de cintas: son la tecnologa vigente y ms difundida para hacer backup. Por ejemplo,
cintas DAT, AIT, etc. Almacenan ms de 1 TB. Suelen trabajar en dispositivos llamados robot de
cintas, donde combinan el uso simultneo de varias grabadoras de cintas, alcanzando varios TB
de capacidad.

Discos

Permiten el acceso directo y secuencial a los datos que almacenan. Su costo por MB almacenado es,
en general, ms alto que utilizar un sistema de cintas magnticas; como contrapartida la manipulacin
de la informacin es ms rpida y cmoda. Los tipos de discos utilizados para hacer backups son:

Disquetes: los hay de distintos tamaos y capacidades. Los vigentes son de 3,5 de tamao, con
capacidades de 1,44 MB. (en proceso de obsolescencia tcnica)
Discos duros intercambiables, similares a un disco duro pero removibles.
CD: en este caso tenemos vigentes varias tecnologas; las ms conocidas son los CD-ROM y los
CD-RW (regrabables). Son discos pticos con capacidad de 600 MB.
DVD: Son discos pticos de similar tamao fsico que un CD pero con capacidad de 4,7 GB.

NOTA: Las capacidades de los soportes mencionados son orientativas, dado que los avances
permanentes hacen que se amplen en forma continua.

Auditora de Sistemas y Tecnologas de Informacin


209
Equipamiento de respaldo

Son instalaciones completas con equipamiento similar (duplican) al sistema que se quiere
asegurar, generalmente son requeridos para implementar los planes de contingencia.
Actualmente hay dos alternativas para configurar equipamiento de respaldo:

Instalaciones de back-up. Implica replicar el centro de procesamiento de datos de la
empresa en forma completa: instalaciones ambientales, servidores, redes, estaciones
de trabajo, centros de impresin. Hay varias alternativas: centros de cmputos
alternativos de propiedad del usuario y ubicados en otro lugar, convenios de
contraprestacin formados por un crculo de usuarios de equipamiento de la misma
arquitectura o provistos por un tercero (el proveedor del computador o un proveedor de
servicios de procesamiento de datos). En EE.UU. algunas empresas proveedoras de
outsourcing mantienen centros de cmputos y de telecomunicaciones mviles,
montados en un camin e incluso en un avin, para utilizar en caso de terremotos,
inundaciones, paso de huracanes, conflictos armados, etc.

Equipos de back-up. Implica replicar slo el computador principal utilizado por la
entidad para dar la redundancia necesaria para mantener el servicio bsico de
procesamiento de datos; configuran o complementan un sistema con tolerancia a los
fallos. Cuando estos equipos duplicados o mellizos estn instalados dentro del
Centro de Cmputos principal no sirven para un Plan de Contingencia dado que seran
vulnerables a un desastre natural o atentado que afecte al edificio; para ser
considerados como equipos para "emergencias" deben estar fsicamente ubicados en
lugares distantes.

Disponer de copias de seguridad y/o equipamiento de respaldo permite que un sistema pueda
seguir trabajando luego de ocurrido un incidente. En estos casos el costo del incidente se
reduce al tiempo de demora para recuperar desde las copias de seguridad los datos perdidos y
poner en funcionamiento el equipamiento de respaldo. Este tiempo en muchos casos es
inaceptable para el negocio, por ejemplo, un sistema de despacho areo. Para solucionarlo
estn los sistemas tolerantes a los fallos.

Auditora de Sistemas y Tecnologas de Informacin


210
4. SISTEMAS TOLERANTES A LOS FALLOS



Un sistema tolerante a fallos es aqul capaz de soportar roturas del equipamiento, cadas de
lneas de comunicacin, interrupciones de alimentacin elctrica y otros inconvenientes, sin
que se produzcan interrupciones en el servicio de procesamiento de datos ni prdidas de
informacin.

Se basan principalmente en la duplicacin o redundancia de equipamiento (procesadores,
memoria, discos, controladores, tarjetas de comunicaciones) complementados con productos
de software especiales, diseados para administrar las fallas en forma automtica
(transparente a los operadores). Las fallas tpicas que manejan se relacionan con eventos
tales como: roturas de disco, procesador, memoria, tarjetas de comunicaciones, interrupcin de
la alimentacin elctrica, cadas de lneas de comunicacin, etc.

En el mercado conviven varias soluciones tecnolgicas que ofrecen tolerancia a los fallos:

Sistemas non-stop: tecnologa disponible en arquitecturas de equipamiento (computador y
sistema operativo) propietarios, por ejemplo la familia de computadores Non-Stop
Himalaya de Tandem, muy usados en la administracin central de grandes redes de
cajeros automticos, de autorizadoras de tarjetas de crdito.

Esta tecnologa es quiz la ms probada y la que asegura mayor ndice de tolerancia a las
fallos (los proveedores aseguran 99,98% de efectividad); se basa en un gran computador
que tiene los componentes crticos duplicados: procesador, memoria, fuente de
alimentacin, discos, tarjetas de comunicaciones, etc., complementado con un sistema
operativo que identifica las fallas y transfiere automticamente el procesamiento del
dispositivo que no funciona al redundante correspondiente. Entre otras cosas permiten a un
tcnico el cambio de los componentes que funcionan mal en el computador, sin parar el
sistema.

Cluster de servidores: es la tecnologa actualmente ms popular (ms accesible) para
proveer tolerancia a los fallos, disponible para equipamiento de arquitectura PC. Los
productos tolerantes a los fallos basados en cluster (grupo de servidores interconectados en
red) ms difundidos estn basados en los sistemas operativos Unix, Linux y Windows. En
general son productos de software especiales que complementan o potencian al sistema
operativo y les proveen capacidad para detectar y administrar fallas en la red o en los
servidores. Basan su capacidad de tolerancia a los fallos combinando la operatividad de dos
o ms servidores conectados en una red de comunicaciones de alta velocidad. La clave de
la tolerancia es la efectividad del producto de software que administra el funcionamiento
Auditora de Sistemas y Tecnologas de Informacin


211
del cluster para identificar las fallas que ocurran en un servidor de la red y transferir en
forma automtica su procesamiento al servidor que tiene asignado para respaldarlo. De esta
manera el servicio de procesamiento de la red contina prestndose en forma
transparente al usuario.

Sistemas de alta disponibilidad: diseados para mantener operativas aplicaciones que
deben estar en servicio 7 x 24 (las veinticuatro horas de los siete das de la semana). A
diferencia de los sistemas non-stop, estos sistemas se basan en utilizar productos de
software especiales para administrar aplicaciones que manejan grandes volmenes de
transacciones, asegurando el procesamiento en forma continua y segura. Productos
conocidos para programar aplicaciones de alta disponibilidad son Tuxedo y Topend, entre
otros.


Las soluciones descriptas de tolerancia a los fallos no son excluyentes. Un sistema
altamente tolerante a los fallos puede (y debe) ser configurado combinando productos de
distintas tecnologas, donde las caractersticas de seguridad que brinda cada una se suman
para lograr entornos ms confiables.
Auditora de Sistemas y Tecnologas de Informacin


212

5. PROGRAMAS ANTIVIRUS


Un ambiente de procesamiento de datos seguro, en especial aqullos basados en arquitectura
PC, debe considerar medidas de proteccin contra los programas maliciosos: virus, gusanos,
troyanos y otras especies semejantes, abundantes en el ambiente informtico actual.

Los programas maliciosos, familiarmente conocidos como virus poseen tres caractersticas
principales: son dainos, auto-reproducibles y subrepticios. El potencial de dao de un virus
informtico no depende de su complejidad, sino del valor del entorno donde se le permite
actuar.

El fenmeno de los programas maliciosos impresiona al gran pblico; sin embargo, no es el
peligro mximo de los sistemas informticos por las siguientes razones:

actan casi exclusivamente en el ambiente Windows, es decir, afectan slo a los PC; por lo
tanto, los grandes sistemas estn a salvo de ellos.
se dispone de productos que previenen y/o atenan los efectos nocivos de los mismos.
es posible implementar procedimientos efectivos para contrarrestarlos, slo se trata de
seguir una buena disciplina en cuestin de seguridad; por ejemplo, mantener copias de
seguridad de los archivos y programas usados, mantener conexiones seguras con Internet,
etc.

Para combatir estas plagas informticas existen diversos productos de software, pagos y de
acceso gratuito; se los conoce como antivirus. Podemos definir a un antivirus como un
programa destinado a combatir los diversos virus informticos y sus variantes. En general las
funciones de una aplicacin antivirus son: identificacin y eliminacin de programas maliciosos,
comprobacin de integridad, inmunizacin, y proteccin residente en memoria.

Para proteger a una instalacin de los programas maliciosos, se recomienda:
mantener conexiones seguras con Internet (usar firewalls), recordar que la principal fuente
actual de contaminacin es Internet.
verificar el contenido de los dispositivos de almacenamiento externo que conectan al equipo
(disquetes, pen drive, CD, DVD) .
mantener residentes en memoria programas antivirus.
actualizar peridicamente los productos antivirus.
disponer de copias de seguridad (backup) actualizadas.
crear discos de emergencia para arrancar.
Auditora de Sistemas y Tecnologas de Informacin


213
Virus en Internet

Para comprender el peligro del software malicioso en Internet, slo hay que tener en cuenta su
funcionamiento: si un virus informtico necesita ejecutar un programa objeto para activarse y propagarse,
habr que tener cuidado con los programas ejecutables que entren en un sistema va Internet. Adems de
los programas ejecutables, tambin son potencialmente peligrosos cualquier tipo de archivos que se
bajen, los mensajes de e-mail que se reciben y la navegacin en sitios Web desconocidos.

En Internet no slo es importante protegerse de los virus informticos para resguardar la informacin
propia, sino que la entidad debe evitar convertirse en un agente de propagacin o que contribuya a que
un virus informtico siga extendindose, por lo tanto, es imprescindible implementar acciones
para mantener incontaminados los archivos que la empresa ofrece a la red.

Auditora de Sistemas y Tecnologas de Informacin


214
6. CIFRADO DE DATOS


El recurso ms antiguo y eficaz para proteger la informacin de su alteracin, robo o violacin a
la confidencialidad es el cifrado de la misma, para ello se utiliza la criptografa.

El trmino criptografa proviene de la palabra griega Kriptos y Graphos que significan secreto u
oculto y escribir, respectivamente, por lo que se podra traducir como realizar una escritura
secreta. Por el contrario, el anlisis o estudio de la escritura secreta para descubrir su significado
se conoce como criptoanlisis...

El sistema para escribir un mensaje secreto se conoce como criptosistema y el mensaje secreto
como criptograma. A la accin de convertir un mensaje comprensible (en claro) en uno secreto o
ininteligible se denomina cifrado o criptografiado y a la accin contraria descifrado. Para referirse a
cifrado y descifrado es comn emplear los trminos encriptado y desencriptado que provienen
del ingls crypt y decrypt,, pero dichos trminos no son correctos en castellano.
65


Existen diversas metodologas para implementar criptosistemas, desde las ms simples y
antiguas, por ejemplo el mtodo Csar (atribuido a Julio Csar), sustitucin simple
monoalfabeto, sustitucin polialfabeto, etc.; pasando por mtodos ms complejos, como los
instrumentados en la 2 Guerra Mundial, a travs de dispositivos mecnicos sofisticados
llamados mquinas de cifrar, hasta llegar a los sistemas de ltima generacin, implementados
por medio de dispositivos electrnicos (computadoras).

En la actualidad, hay vigentes bsicamente dos sistemas para el cifrado de datos en el
ambiente informtico: de claves simtricas y de claves asimtricas, ste ltimo tambin es
llamado de clave pblica.

Sistemas de claves simtricas

Utilizan una clave nica, tanto para el cifrado como para el descifrado; la seguridad de este
mtodo se basa en mantenerla secreta. La calidad de la clave se manifiesta en la resistencia
(terica) para afrontar los ataques que pretendan desentraarla. En general, la resistencia de
una clave depende de la longitud de la misma, ya que el algoritmo que la genera es conocido.

En los sistemas de clave simtrica, el emisor o remitente de un mensaje cifra la informacin
con una determinada clave, la misma que el receptor o destinatario deber utilizar para
proceder al descifrado.

Sistemas de claves asimtricas o de clave pblica

Los sistemas de claves asimtricas cuentan con dos claves, una pblica (conocida, publicada)

65
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 114.
Auditora de Sistemas y Tecnologas de Informacin


215
y otra privada (oculta, secreta). Utilizan similares algoritmos de encriptacin que el sistema de
claves simtricas, por lo tanto la calidad (resistencia) de la clave privada tambin se basa en la
longitud de la misma.

La tecnologa de cifrado asimtrica o de clave pblica permite generar firmas digitales. Estas
posibilitan certificar la procedencia de un mensaje (documento) y asegurar la integridad del
mismo, es decir, permiten identificar quin emiti un mensaje (evitando su repudio) y verificar
que no ha sido alterado su contenido luego de su cifrado. La firma (la parte cifrada del
documento) se puede aplicar al mensaje completo o a un segmento que se aade dentro del
documento que se prepara para enviar, esto ltimo se conoce como funcin hash".
Comparacin entre los sistemas de claves simtricas y asimtricas

Los sistemas de clave simtrica se emplean cuando se quiere cifrar informacin que no se va a
compartir con mltiples usuarios, mientras que los de claves asimtrica o pblica son los ms
adecuados para el intercambio de informacin entre un grupo numeroso y creciente.

Los sistemas de clave pblica para el intercambio de informacin requieren del uso de dos
claves (una privada y la otra pblica) para cada participante del crculo. Por lo tanto, el nmero
de claves totales que se necesitan es de 2 x n (donde n es nmero de usuarios). Esta situacin
que parece trivial, se vuelve compleja cuando son muchos los participantes, debiendo crearse
incluso un sistema global para administrar las claves pblicas.

Los sistemas de clave simtrica son, en general, ms rpidos para cifrar que los de clave
pblica, por lo tanto, en muchos casos se recurre a un sistema de clave simtrica para cifrar la
informacin, combinado con un sistema de clave asimtrica para la distribucin de las mismas
y la certificacin de su procedencia.

Cmo se usa el sistema de clave pblica?

Para crear un mensaje pblico en este sistema, el emisor cifra la informacin con su clave
privada (secreta) y el receptor, para leer el documento y comprobar el autor (la "firma digital")
debe utilizar la clave pblica del emisor para descifrar el mensaje/documento. Esta ultima clave
es de acceso libre para los participantes del sistema.

Tambin se puede hacer el recorrido inverso: si Ud. quiere enviar un mensaje confidencial, lo
puede codificar con la clave pblica del destinatario; esta accin se denomina envoltura
digital. El mensaje encriptado de esta manera slo puede ser decodificado por el poseedor de
la clave privada asociada a la clave pblica con que se codific el mensaje.

Auditora de Sistemas y Tecnologas de Informacin


216
El sistema de clave pblica, parte de la base de que la clave privada (secreta) slo puede ser
utilizada por su poseedor, propietario y/o titular. Por lo tanto, un mensaje encriptado con su
clave privada es un documento que ninguna otra persona pudo haber generado y se conserva
tal como fue generado cuando se firm.

Los usuarios de estos sistemas de encriptacin generalmente anexan su clave pblica al
documento que envan, de manera de facilitar al receptor la lectura del mensaje (evitando la
necesidad de localizar dicha clave en los repositorios de claves pblicas para poder leerlo).

Autoridades Certificantes

El sistema de clave pblica necesita de una entidad que asuma la calidad de Autoridad
Certificante de las claves utilizadas, responsable de certificar la correspondencia entre una
clave pblica y la persona fsica o jurdica, titular de la misma. Para ello emiten Certificados de
Clave Pblica. Estos certificados permiten identificar inequvocamente al firmante de un
documento digital, evitando as la posibilidad de repudio por parte del autor del mismo.

La autoridad de certificacin puede usar su propia clave pblica para certficar las claves
pblicas de las que da fe. Puede imaginarse un sistema donde existan varias entidades que
sean Autoridades de Certificacin, organizadas jerrquicamente, donde las de mayor nivel
certifican la calidad de las claves pblicas emitidas por las de menor nivel.
Resolucin 45/97 de la Secretara de la Funcin Pblica
Extracto de la Resolucin de la Secretara de la Funcin Pblica N45/97
Tecnologas de firma digital para los procesos de informacin del sector pblico.
Objetivos:
-Normar la equiparacin de la firma digital a la firma ologrfica para permitir la digitalizacin y
despapelizacin de los circuitos administrativos del Estado.
-Crear condiciones para el uso confiable del documento digital suscripto digitalmente en el mbito del
Sector Pblico.
-Reducir el riesgo de fraude en la utilizacin de documentos digitales al suscribirlos digitalmente.

Vistos:
-La opinabilidad frente a terceros de un documento digital, el que requiere simultneamente de la
identificacin de autor y la garanta de integridad de su contenido.
-La necesidad de otorgar a los usuarios de documentos digitales garantas legales similares a las que
brinda la firma ologrfica sobre el soporte papel.

Se resuelve:
Elegir a la criptografa asimtrica como medio para instrumentar la firma digital por las siguientes razones:
-Permite identificar en forma inequvoca el autor y verificar indubitablemente que el mensaje no ha sido
alterado desde el momento de su firma (mantiene la integridad del documento).
-El mecanismo de clave pblica es el nico que no requiere la divulgacin de la clave privada (secreta)
utilizada por el firmante para suscribir o comprobar la firma digital de un documento.
-El mecanismo de clave pblica no es una tecnologa, sino una familia de mtodos matemticos
(algoritmos), que admiten distintas implementaciones (tanto de hardware como de software) y no est
relacionado con ningn pas ni proveedor en particular.

NOTA: El 14/11/2001 se aprob la Ley 25.506 de Firma Digital, cuyo Decreto Reglamentario es el
2698/2002 (del 20/12/2002). Esta ley da sustento legal al sistema de Firma Digital en Argentina
tanto para el sector pblico como para el mbito del derecho privado.
Auditora de Sistemas y Tecnologas de Informacin


217
7. CONTROL DE ACCESOS, PERMISOS Y DERECHOS

Control de acceso

Implica la identificacin y autenticacin de usuarios. Para que un usuario pueda utilizar los
recursos del sistema informtico, primero debe identificarse (Login) y luego autenticarse
(Password). Normalmente, quien controla el ingreso es el propio sistema a travs de rutinas del
sistema operativo y, segn sean sus caractersticas, es posible establecer restricciones:
quines pueden entrar al sistema, desde qu estaciones, cundo les est permitida la entrada,
cul es el tamao mnimo y composicin posible de las palabras clave, plazos en los que
deben ser cambiadas, cul es el perodo mximo de conexin, el lmite de conexiones
simultneas, el espacio mximo de disco que puede utilizar en la sesin, etc.


El control de acceso por medio de la autenticacin, no slo es la piedra angular de la seguridad
de los sistemas informticos actuales, sino que tambin es un aspecto difcil de implementar.
La autorizacin -dar o negar el acceso a los datos- es de poco valor si el sistema no puede
identificar fehacientemente quin hace la solicitud.

La autenticacin puede ser tan simple como una contrasea (password) o tan compleja como
un examen de retina o de ADN. Las seales de autenticacin pueden ser algo que Ud. sabe,
algo que Ud. tiene o algo que Ud. es:

Algo que Ud. sabe es informacin que debe ingresar en el sistema para el propsito de la
autenticacin. El ejemplo ms comn es una contrasea o frase de paso (password),
utilizada usualmente en forma conjunta con un ID (Login) o nombre de usuario. En este
caso, el nivel de seguridad depende de la facilidad con que otra persona podra saber,
descubrir o adivinar la informacin referida a la clave y nombre del usuario.

Algo que Ud. tiene es un dispositivo que lleva con Ud. y que lo identifica en el sistema. Los
dispositivos de seguridad vienen en muchas formas, desde tarjetas plsticas con banda
magntica, como una tarjeta de crdito, que se desliza a travs de un lector de banda
magntica u ptico conectado a la computadora, hasta tarjetas inteligentes con cadenas de
claves de nmeros sensibles al tiempo, generadas cada 60 segundos.

Algo que Ud. es se conoce tambin como biomtra. Las huellas digitales, la geometra de
la palma de la mano y el examen del iris son ejemplos. La biometra ofrece altos niveles de
seguridad para la autenticacin de usuarios. La biometra opera por comparacin de una
lectura actual con una lectura previa. Debido a que las lecturas nunca son perfectas, el
Auditora de Sistemas y Tecnologas de Informacin


218
sistema debe juzgar si stas son suficientemente similares como para constituir una
verificacin de la identidad aseverada.

Un sistema basado en lecturas biomtricas es efectivo aplicado a poblaciones pequeas,
pero en poblaciones grandes no lo es, dada las posibilidades de similitud de caractersticas
biomtricas de dos individuos en una gran poblacin, influido, adems, por el grado de
tolerancia del sistema respecto a las diferencias atribuibles al mecanismo de lectura de las
caractersticas biomtricas medibles. En ambientes abiertos, no seguros, como Internet, la
biometra sufre de las mismas amenazas que las contraseas, ya que es posible interceptar
la transmisin digital de una huella dactilar y reenviarla a un servicio para hacerse pasar por
el usuario.

Autenticacin de dos factores: se denomina autenticacin de dos factores cuando dos mtodos
de autenticacin se utilizan en forma conjunta, por ejemplo, una contrasea de usuario con un
dispositivo de seales (tarjeta inteligente). Suponen para el sistema, un alto nivel de certeza
acerca de la identidad de la persona.

En las grandes organizaciones, la administracin de usuarios se ha convertido en un autntico
problema. Cientos de usuarios, cada uno con acceso a diferentes aplicativos y servicios, alta
movilidad y rotacin del personal crean un ambiente difcil de controlar. Para solucionar esta
problemtica han surgido productos especficos -denominados I&AM de Identification and
Access Managment- diseados para administrar quin es quin y quin hace qu en el
sistema, eliminar el fenmeno de las cuentas hurfanas (usuarios activos en el sistema que
no tienen correlato con los reales), identificacin nica para acceder a todos los servicios
habilitados de un usuario (single sign on), etc.
Seleccin de claves

A la hora de elegir una clave (tanto para password de acceso como para cifrado de informacin)
debe evitarse utilizar claves sencillas de descubrir y que pueden hacer intil el sistema de cifrado
ms avanzado. Es necesario llegar a un compromiso entre la facilidad para recordarla y la
dificultad de que alguien pueda descubrirla. Una clave fcil de recordar para un usuario, puede ser
tambin fcil de descubrir por un posible agresor del sistema, en especial si conoce o dispone de
informacin personal del usuario. En el lado opuesto, una clave rebuscada -difcil de recordar-
ser tambin difcil que alguien pueda descubrirla, pero podra conducir a que el usuario la escriba
para recordarla en un lugar que pueda ser accedido por terceros (agenda, bloc de notas, etc.).

Un buen mtodo para elegir claves es utilizar palabras sin sentido compuestas por las iniciales
de una frase fcil de recordar, del nombre de varios hijos, sobrinos, etc., mezclando maysculas y
minsculas.


Control de permisos y derechos

Los permisos definen las posibilidades del usuario para el acceso a los recursos del sistema
tales como directorios, archivos e impresoras y se pueden otorgar para usuarios individuales o
Auditora de Sistemas y Tecnologas de Informacin


219
a grupos. Los permisos pueden ser de lectura, escritura, ejecucin, modificacin, borrado, etc.
Los derechos se refieren a la posibilidad que un usuario pueda realizar determinadas acciones:
por ejemplo, ejecutar un determinado programa, conectarse local o remotamente a una
estacin de trabajo, realizar o restaurar copias de seguridad, ejecutar el proceso de apagado
del sistema, ver los registros de auditora, crear usuarios, etc.

Normalmente, los permisos y derechos son manejados por el sistema operativo. Al respecto y
para mejor comprensin de los alcances de los permisos y derechos, veamos una
categorizacin de los sistemas operativos en niveles, segn cumplan con distintas normas de
seguridad: D, C1, C2, B1, B2, B3 y A1 (de menor a mayor), donde cada uno incluye las
exigencias del anterior
66
:

Nivel D. Seguridad inexistente o proteccin mnima
Este nivel indica ausencia de proteccin, por lo tanto un usuario puede realizar todas las
tarea que permita el sistema. Cualquier sistema operativo cumple con el nivel D.

Nivel C1. Seguridad discrecional
Los usuarios deben ser identificados y validados para poder entrar al sistema. Cada
usuario tiene control sobre sus objetos (archivos, directorios, dispositivos) y puede limitar
el acceso a los otros usuarios. Maneja el concepto de grupos de usuarios para asignar
permisos de uso.

Nivel C2. Acceso controlado
Debe existir clara diferenciacin entre el sistema de seguridad y los archivos normales.
Distingue entre control de acceso a archivos y directorios. Es obligatorio eliminar los restos
de cada proceso, es decir, borrar automticamente al finalizar un proceso la memoria
ocupada y los archivos y registros temporales usados durante su ejecucin. Sistemas
operativos que certificaron el nivel C2 son Windows 2000/XP, UNIX SVR4, Linux, etc.

Nivel B1. Seguridad etiquetada
Los recursos controlados deben etiquetarse. Las etiquetas marcan niveles de seguridad
jerrquicos, atendiendo al grado de confidencialidad requerido por el recurso. Las
etiquetas son: desclasificado, confidencial, secreto y alto secreto. Una vez asignado, ni
siquiera el dueo de un objeto puede cambiar sus permisos. Todas las conexiones al
sistema deben ser controladas. Sistema operativo con nivel B1 es la versin MLS (Multi
Level Security) de UNIX SVR4.

Nivel B2. Proteccin estructurada
Debe existir un nivel de seguridad formal y, tambin, debe poder comprobarse que el
sistema se adapta al modelo. Los canales de transmisin de datos deben estar
restringidos. Debe existir una persona encargada de la seguridad, con atribuciones en
dicho aspecto por encima, incluso, del Administrador del sistema. La versin ES
(Enhanced Security) de UNIX SVR4 est en proceso de certificar este nivel.

Nivel B3. Dominios de seguridad
Nivel de mxima seguridad en donde debe ser posible especificar protecciones de acceso
para cada sujeto y objeto del sistema en forma individual. Tambin, debe existir un
procedimiento para reconocer peticiones de acceso a usuarios y que stas sean
aceptadas o no en base a una poltica fijada. Es necesario que exista un sistema de
registros de auditora, que detecte y registre las violaciones a la seguridad.

Nivel A1. Diseo verificado
Es igual al nivel anterior (B3) pero requiere que el modelo sea verificado formalmente
como seguro. Ello supone la ejecucin de una serie de demostraciones matemticas para
confirmar que el diseo se ajusta al modelo ideado.


66
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 25 y 26.
Auditora de Sistemas y Tecnologas de Informacin


220
8. REGISTROS DE AUDITORA



Este tipo de registros de auditora tienen distinta funcin que las pistas de auditora analizadas
en el Captulo 3, en este caso, sirven para registrar y guardar en el computador datos sobre
eventos relacionados con la seguridad del sistema. Identifican, por ejemplo, los usuarios que
acceden al sistema, los programas o procedimientos ejecutados, los cambios de claves, la
creacin, borrado o renombrado de archivos y directorios, las fallas del equipamiento, etc.

Generalmente son creados y mantenidos por el propio sistema operativo, a travs de mdulos
y programas especiales, y guardados en archivos ad-hoc, grabados en lugares a los que no
pueden acceder los usuarios comunes (slo pueden ser accedidos por el administrador del
sistema).

Sirven para detectar intentos de acciones malintencionadas como robo y destruccin de
informacin. Algunos de estos productos cuentan con alarmas, mecanismos que detectan
eventos indeseados y avisan al administrador de la red el suceso, mediante un mensaje en
pantalla (o un bip), en el instante mismo en que tiene lugar el hecho. Por ejemplo, en la
consola del computador puede aparecer un mensaje como el siguiente:

ATENCION !!!
En la Estacin de Trabajo A17
se han registrado 15 intentos
de identificacin y autenticacin errneos

Este mensaje indica presuncin de intentos de acceso ilegal al sistema.

Para activar un subsistema de registros de auditora, deben tenerse en cuenta consideraciones
tcnicas y procedimentales:
Consideraciones tcnicas. Implica la configuracin de los mdulos de auditora del sistema
operativo para determinar qu eventos registrar, el formato de los archivos colectores,
mecanismos para activar y desactivar los programas de captura, la activacin de alarmas, la
inicializacin y respaldo de los archivos colectores, etc.

Consideraciones procedimentales. Implica ocuparse de la administracin del mismo. Incluye
la asignacin de responsabilidades, descripcin de las tareas y procedimientos relacionados
con la activacin del sistema y con el uso de los datos capturados, es decir, quines pueden
consultar, imprimir, guardar y borrar los registros de auditora, cundo iniciar los archivos
colectores, dnde guardar las copias, cmo comunicar los eventos no autorizados
detectados cuando se analizan los registros, etc.
Auditora de Sistemas y Tecnologas de Informacin


221
9. SEGURIDAD EN REDES / INTERNET
67



La seguridad en las comunicaciones entre computadoras - redes - ya no es ms un
requerimiento especfico de ambientes militares o de seguridad nacional. Los requerimientos
de seguridad en redes han aparecido en todos los ambientes de aplicacin, incluyendo banca,
comercio electrnico, gobierno, comunicaciones pblicas y redes privadas o corporativas.

Hay variados motivos que han incidido en el rpido cambio de actitud experimentado por los
responsables de la seguridad:
- El incremento de la interconexin de sistemas y de redes, hacindolos accesibles a
todo tipo de usuarios, tanto conocidos como desconocidos.
- El incremento de uso de redes para transacciones sensitivas y de alto grado de
seguridad, como lo son las transferencias de fondos, el intercambio electrnico de
datos comerciales, informacin gubernamental no clasificada (pblica) y la corporativa.
- El aumento de facilidad en la implantacin de redes dada la disponibilidad de la
tecnologa y la rpida cada de costo de la misma.

La seguridad en redes necesita ser implementada de acuerdo con la actual tendencia a los
sistemas abiertos, es decir, independientes del vendedor. Esto significa que los componentes
bsicos de la seguridad en redes - tcnicas de seguridad y protocolos de seguridad- necesitan
ser reflejados en estndares de sistemas abiertos apropiados.

Amenazas

La determinacin de los requerimientos de seguridad se basa en el reconocimiento de las
amenazas. Cuatro amenazas fundamentales surgen directamente de los objetivos citados: 1)
fuga de informacin o intercepcin, 2) modificacin o violacin de integridad, 3) interrupcin o
negacin del servicio o 4) uso ilegtimo.

Seguridad en Internet

La seguridad en Internet gira principalmente alrededor de un software especializado e instalado
en un servidor, denominado firewall (muro de fuego) que puede diferenciar entre el trfico que
se desea dejar ingresar -pginas Web y e-mail, por ejemplo- y trfico que no se desea dejar
entrar como solicitudes para leer archivos en los servidores de archivos corporativos o de
clientes de trabajo en grupo.

67
Extracto de "Estndares tecnolgicos para la Administracin Pblica". Secretara de la Funcin Pblica, Poder
Ejecutivo Nacional. www.sfp.gov.ar/etap.html - 10/03/2003
Auditora de Sistemas y Tecnologas de Informacin


222

Aunque son posibles ciertas configuraciones de seguridad, una buena prctica es agrupar las
aplicaciones en, por ejemplo, tres reas de trabajo dependiendo de los respectivos
requerimientos de seguridad.

En el nivel ms interno (red limpia o con mximos requerimientos de seguridad), se tienen los
clientes de grupo de trabajo, los servidores de archivos y los servidores de aplicaciones que
necesiten estar asociados con los mismos por razones de performance.

El segundo nivel, que forma una red perifrica de menor nivel de seguridad respecto de la
anterior, se incluyen las aplicaciones que generen trfico con el exterior, estas contemplan
servidores Web, servidores FTP y servidores de correo electrnico. Finalmente, la ltima lnea
la ocupa el firewall, conectado directamente a Internet por medio de algn dispositivo de
comunicaciones, por ejemplo, un router.

Firewalls

Un firewall es, en esencia, un mecanismo que slo permite pasar tanto en uno como en otro
sentido el trfico de informacin que la poltica la entidad considere aceptable.

El tipo de firewall que habr que implementar depender de las condiciones de seguridad que
la organizacin pretenda establecer en su presencia en Internet. Las funcionalidades necesaria
de un firewall, sern funcin, justamente, de las exigencias provocadas por la problemtica del
uso indebido de Internet.

Esto obliga a establecer reglas precisas en cuanto a recursos a los cuales se pueda acceder de
la red interna de la organizacin, por lo que habr que identificar (y autenticar) a los usuarios
autorizados, controlar tanto las conexiones entrantes como saliente y registrar las actividades,
no slo con propsitos estadsticos sino tambin para realizar auditoras y generar alarmas.

Por lo dicho, podemos decir que, un firewall deber proveer servicios concretos, tales como:
- Concentrar la seguridad en un nico punto de contacto con Internet.
- Controlar los accesos a la red interna de la organizacin.
- Registrar el uso del sito Web y de Internet.
- Proteger a la entidad de ataques externos provenientes de Internet
- Proteger a la entidad de intentos de redireccionamiento del trfico saliente.
- Limitar y an no permitir el uso de servicios vulnerables a ataques.
- Proveer de privacidad al sistema.
- Regular el uso de Internet por parte de los usuarios internos de la organizacin.
Auditora de Sistemas y Tecnologas de Informacin


223

Por otro lado, el uso de firewalls acarrea algunas limitaciones:
- Restricciones en servicios deseables como ser: FTP, telnet, X Windows, etc.
- Poca proteccin contra ataques provenientes del interior de la organizacin.
- Vulnerabilidad hacia algunos tipos de ataques como ser virus, gusanos y troyanos
provenientes de Internet.

Polticas de seguridad

El firewall es slo una de las piezas en una estructura de seguridad para una red, importante
pero no la nica. Otras cuestiones de gran importancia son la autenticacin, la integridad de los
datos y la privacidad que se consiguen por medio de herramientas como encriptado y firma
digital.

Un firewall se deber configurar de acuerdo con una poltica, existen bsicamente dos polticas,
extremas y opuestas entre s:

- Prohibir por omisin todo aquello que no est expresamente permitido.
- Permitir por omisin todo aquello que no est expresamente prohibido.

La poltica de prohibir todo es la ms estricta y la que brinda mayor grado de seguridad, no
obstante, cada servicio que se desea usar deber ser expresamente habilitado con las
consiguientes dificultades de mantenimiento e implementacin.

Por su lado, la poltica de permitir todo es mucho ms fcil de configurar, pero habr que tener
presente y anticipar cada uno de los posibles tipos de accesos indeseados que se pretenda
impedir.

Tipos de ataque

Si bien la figura del hacker viene rodeada de un halo de misterio y omnipotencia, la inmensa
mayora de ellos simplemente utiliza herramientas y utilitarios que pueden obtenerse de la
Web, slo un 5% escribe sus propios programas.
Los pasos que habitualmente sigue un hacker cuando quiere acceder a un sitio protegido son:
- Tratar de averiguar todo lo que puede sobre la topologa de la red que pretende atacar
(si tiene un router sin la proteccin adecuada, si se utilizan protocolos y/o servicios
vulnerables, etc.)
Auditora de Sistemas y Tecnologas de Informacin


224
- Tratar de acceder a las mquinas de la red por medio de algn tipo de utilitario como
Telnet o FTP. Para ello deber utilizar primero un programa basado en ping (pide
respuesta a una mquina para determinar si est activa y en red por medio del nombre
o de su direccin IP) que barra todas las posibles direcciones y as obtener un listado
de mquinas activas.
Tratar de acceder a un servidor DNS y levantar de ste la lista de direcciones IP y
nombres de mquinas clientes.



















Auditora de Sistemas y Tecnologas de Informacin


225





UNIDAD 4

ASPECTOS
GENERALES


Auditora de Sistemas y Tecnologas de Informacin


226



Auditora de Sistemas y Tecnologas de Informacin


227
CAPITULO 6
Marco de las auditoras en ambientes informticos



1. INTRODUCCION


Si algo caracteriza el ambiente donde se desarrollan los trabajos de auditora que hemos
contemplado en este material, es el cambio. La evolucin de las plataformas de procesamiento,
la aparicin permanente de nuevas tecnologas de informacin, los nuevos paradigmas que
duran cada vez menos, hacen que el trabajo de quien debe auditar el funcionamiento de los
sistemas de informacin o evaluar el uso de los recursos informticos disponibles sea
sumamente dificultoso. Es casi imposible disponer de herramientas informticas para auditora
y control de uso universal (para cualquier plataforma de procesamiento, para cualquier tipo de
aplicacin); por ello, al profesional que acta en trabajos de auditora en entornos informticos
se le plantean algunos de los siguientes interrogantes:

Cul es el alcance y profundidad de las tareas de auditora?
Cules son los mtodos y tcnicas de trabajo a utilizar en las misiones de
auditora?
Quines deben integrar los equipos auditores?


Estas preguntas pueden ser tomadas como un sntoma de las inquietudes de los auditores que
actan en ambientes computarizados: si existen divergencias respecto a cmo efectuar las
tareas de revisin y control y al alcance de las mismas, entonces existen dudas tambin
respecto a la efectividad del trabajo realizado.



Auditora de Sistemas y Tecnologas de Informacin


228




Tendencias
El siguiente es un extracto de un texto de Fitzgerald
68
relacionado al impacto de las nuevas tecnologas
de informacin sobre las tareas de auditora:
La auditora forma parte de la sociedad orientada a la informacin.
La disponibilidad y confiabilidad de los datos es lo que realmente importa, la informacin debe satisfacer
las necesidades de los usuarios generales.

La automatizacin reduce el tiempo disponible para realizar las tareas de auditora.
Debe reducirse el retraso en el acceso a la informacin (trabajar en tiempo real, auditar en la gnesis de
la transaccin). La computacin en redes permite al auditor viajar al sistema bajo anlisis.

La auditora debe trascender las fronteras
La globalizacin de la economa hace que el flujo de datos trascienda las fronteras de los pases (Internet,
comercio electrnico, etc.); es necesario entonces dominar las regulaciones y leyes de distintos pases y
regiones.

Los auditores deben operar a nivel de la lnea en las organizaciones en que actan.
El nuevo escenario ha disminuido el grado de independencia de la labor del auditor (se va moviendo del
nivel de staff hacia la lnea). En consecuencia debe mejorar la productividad de su trabajo, incluir en sus
informes anlisis de riesgo, de costo-beneficio de las propuestas y sus metodologas de trabajo deben
adaptarse a las modalidades operativas de los usuarios.

Los auditores deben reexaminar su labor dentro de las organizaciones.
Los procedimientos y tcnicas de la auditora tradicional no son ya suficientes: es necesario encarar el
diseo de controles preventivos desde la gnesis misma de los sistemas administrativos, en lugar de
actuar luego sobre hechos consumados. Por ello, se recomienda que los auditores participen de los
proyectos de sistemas desde su generacin; la auditora post implementacin ya no es efectiva. Deben
ocuparse de disear los controles a incluir en las aplicaciones cuando stas se construyen.

La modalidad de los informes de auditora tradicionales estn siendo cuestionadas.
Los reportes tradicionales son ahora tardos, carecen de oportunidad. Deben implementarse reportes on-
line que permitan corregir desviaciones en forma rpida. Los informes deben cambiar el estilo defensivo
por contribuciones positivas. Se debe abandonar la prctica de numerosos y detallados informes en favor
de documentos concisos, precisos, que sirvan a los responsables de implementar las correcciones.

Los auditores estn sumergidos dentro de la informacin.
El auditor ya no necesita salir a buscar la informacin, sino que se encuentra tapado por avalanchas de
datos; debe saber seleccionar qu datos analizar.


68
FITZGERALD, JERRY, Material didctico del Seminario de Control y Seguridad Informtica, Bs.As., 1993.
Auditora de Sistemas y Tecnologas de Informacin


229
2. MARCO LEGAL

2.1. Proteccin de datos personales (habeas data)

El habeas data, introducido en la Constitucin Nacional Argentina con la reforma de 1994,
garantiza derechos personalsimos frente a los nuevos avances tecnolgicos que facilitan el
manejo y circulacin de la informacin. El habeas data ("que tengas los registros, los datos")
surge del art. 43 en la parte que expresa: "Toda persona podr interponer esta accin para
tomar conocimiento de los datos a ellos referidos y de su finalidad, que consten en registros o
bancos de datos pblicos, o los privados destinados a proveer informes, y en caso de falsedad
o discriminacin, para exigir la supresin, rectificacin, confidencialidad o actualizacin de
aqullos. No podr afectarse el secreto de las fuentes de informacin periodstica".

Tambin la Constitucin de la Provincia de Crdoba lo contempla: "art. 50.- Toda persona tiene
derecho a conocer lo que de ella conste en forma de registro, la finalidad a la que se destine
esa informacin, y a exigir su rectificacin y actualizacin. Dichos datos no pueden registrarse
con propsitos discriminatorios de ninguna clase, ni ser proporcionados a terceros, excepto
cuando tengan un inters legtimo. La ley reglamenta el uso de la informtica para que no se
vulneren el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos".

Para instrumentar el ejercicio del habeas data, en Argentina se sancion en el ao 2000 la Ley
de Proteccin de Datos Personales (Ley 25326) cuyo rgano de aplicacin es la Direccin
Nacional de Proteccin de Datos Personales (DNPDP). En Espaa la Ley LORTAD (Ley
Orgnica de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal) regula
estos principios, en ella se inspir nuestra norma.

A continuacin, veamos algunos aspectos de la Ley 25326:

Definiciones de la ley 25.326

Art. 1 - La presente ley tiene por objeto la proteccin integral de los datos personales
asentados en archivos, registros, bancos de datos, u otros medios tcnicos de tratamiento de
datos, sean stos pblicos, o privados destinados a dar informes, para garantizar el derecho al
honor y a la intimidad de las personas, as como tambin el acceso a la informacin que sobre
las mismas se registre, de conformidad a lo establecido en el artculo 43, prrafo tercero de la
Constitucin Nacional.

Art. 2 - A los fines de la presente ley se entiende por:
Auditora de Sistemas y Tecnologas de Informacin


230
3) Datos personales: Informacin de cualquier tipo referida a personas fsicas o de
existencia ideal determinadas o determinables.
4) Datos sensibles: Datos personales que revelan origen racial y tnico, opiniones polticas,
convicciones religiosas, filosficas o morales, afiliacin sindical e informacin referente a
la salud o a la vida sexual....

Derechos de los titulares de datos

Art. 13 (Derecho de Informacin): Toda persona puede solicitar informacin al organismo de
control relativa a la existencia de archivos, registros, bases o bancos de datos personales, sus
finalidades y la identidad de sus responsables. El registro que se lleve al efecto ser de
consulta pblica y gratuita.

Art. 14 (Derecho de acceso): El titular de los datos, previa acreditacin de su identidad, tiene
derecho a solicitar y obtener informacin de sus datos personales incluidos en los bancos de
datos pblicos, o privados destinados a proveer informes. El responsable o usuario debe
proporcionar la informacin solicitada dentro de los diez das corridos de haber sido intimado
fehacientemente.

Art. 16 (Derecho de rectificacin, actualizacin o supresin): Toda persona tiene derecho a que
sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a
confidencialidad los datos personales de los que sea titular, que estn incluidos en un banco de
datos.

Responsables de archivos, registros y bancos de datos

Art. 21 (Registro de archivos de datos): Todo archivo, registro, base o banco de datos pblico,
y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto
habilite el organismo de control (DNPDP). El registro de archivos de datos debe comprender
como mnimo la siguiente informacin:
Nombre y domicilio del responsable;
Caractersticas y finalidad del archivo;
Naturaleza de los datos personales contenidos en cada archivo;
Forma de recoleccin y actualizacin de datos;
Destino de los datos y personas fsicas o de existencia ideal a las que pueden ser
transmitidos;
Modo de interrelacionar la informacin registrada;
Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la
Auditora de Sistemas y Tecnologas de Informacin


231
categora de personas con acceso al tratamiento de la informacin;
Tiempo de conservacin de los datos;
Forma y condiciones en que las personas pueden acceder a los datos referidos a
ellas y los procedimientos a realizar para la rectificacin o actualizacin de los datos.

Art. 26 (Prestacin de servicios de informacin crediticia):
En la prestacin de servicios de informacin crediticia slo pueden tratarse datos
personales de carcter patrimonial relativos a la solvencia econmica y al crdito,
obtenidos de fuentes accesibles al pblico o procedentes de informaciones facilitadas por
el interesado o con su consentimiento.
Pueden tratarse igualmente datos personales relativos al cumplimiento o incumplimiento
de obligaciones de contenido patrimonial, facilitados por el acreedor o por quien acte por
su cuenta o inters.
A solicitud del titular de los datos, el responsable o usuario del banco de datos, le
comunicar las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan
sido comunicadas durante los ltimos seis meses y y el nombre y domicilio del cesionario
en el supuesto de tratarse de datos obtenidos por cesin.
Slo se podrn archivar, registrar o ceder los datos personales que sean significativos
para evaluar la solvencia econmico-financiera de los afectados durante los ltimos cinco
aos. Dicho plazo se reducir a dos aos cuando el deudor cancele o de otro modo
extinga la obligacin, debindose hace constar dicho hecho.
La prestacin de servicios de informacin crediticia no requerir el previo consentimiento
del titular de los datos a los efectos de su cesin, ni la ulterior comunicacin de sta,
cuando estn relacionados con el giro de las actividades comerciales o crediticias de los
cesionarios.

Accin de habeas data

Art. 33 (Procedencia): La accin de proteccin de los datos personales o de hbeas data
proceder:
a) para tomar conocimiento de los datos personales almacenados en archivos, registros o
bancos de datos pblicos o privados destinados a proporcionar informes, y de la finalidad
de aqullos;
b) en los casos en que se presuma la falsedad, inexactitud, desactualizacin de la
informacin de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido
en la presente ley, para exigir su rectificacin, supresin, confidencialidad o actualizacin.



Auditora de Sistemas y Tecnologas de Informacin


232

2.2. Contratos informticos

Un contrato informtico es aquel cuyo objeto es un bien o un servicio informtico, o ambos. Los
contratos informticos suelen regular los siguientes elementos:

Hardware

Comprende la compra-venta, alquiler, leasing, mantenimiento del equipamiento informtico.
Suelen ser los contratos de menor complejidad.

Productos de Software

En Argentina, el software es considerado una obra intelectual que goza de la proteccin de la
Ley 11.723 (Ley de Derechos de autor con las modificaciones de la Ley 25.036/98).

Comprende varias situaciones:
- Licencia de uso: El titular de un programa de computacin autoriza a otro a utilizar el
programa (derecho de uso), conservando la propiedad del mismo. Los productos de software
de base y de automatizacin de oficina se comercializan bajo esta modalidad, se ofrecen como
paquetes en distintas modalidades de licencias instrumentadas en contratos de adhesin.
- Mantenimiento de productos de software: Contemplan el soporte tcnico para la instalacin y
uso de los productos de software licenciados.
- Desarrollo de aplicaciones: Contempla la contratacin de servicios de programacin de
software especfico (a medida) por parte de terceros. El contrato puede ser de locacin de
servicios o de obra.
- Garanta de acceso al cdigo fuente: Tiene por objeto garantizar al usuario el acceso a los
programas fuentes del software a medida en el caso que desaparezca la empresa titular de
los derechos de propiedad intelectual. Estos contratos suelen estar incluidos en los contratos
de desarrollo de aplicaciones.
El movimiento de Software Libre ha surgido como una alternativa interesante y viable para
asegurar el acceso al cdigo fuente de los productos de software que se utilicen, adems de la
gratuidad
-Mantenimiento de aplicaciones: Tiene por objeto corregir cualquier error detectado en los
Auditora de Sistemas y Tecnologas de Informacin


233
programas fuera del perodo de garanta. El mantenimiento puede ser correctivo, de
adaptacin, preventivo y perfectivo.
Servicios informticos

Comprende los contratos de locacin de servicios informticos; los ms importantes son los
siguientes: Consultora, Capacitacin, Auditora y seguridad informtica, Soporte tcnico,
Administracin de redes, Mesa de ayuda, etc.

Integracin de servicios informticos

Configuran los contratos ms complejos, son aquellos que contemplan los sistemas
informticos como un todo incorporado al objeto del mismo tanto hardware como software y los
servicios requeridos para poner en marcha los sistemas. Los ms usuales son:
Outsourcing o Tercerizacin de servicios informticos: Contempla los contratos con
terceros quienes asumen la prestacin de servicios informticos en forma completa.
Instalaciones de Backup La finalidad de estos contratos es asegurar la continuidad de los
servicios informticos. Proveen instalaciones provisorias para usar en caso de
contingencias.
Contratos llave en mano: Contratos donde el proveedor asume la responsabilidad total
para implementar un nuevo sistema: diseo, programacin, pruebas, capacitacin,
integracin y adaptacin a la plataforma informtica del cliente, incluso suelen contemplar
la provisin del nuevo equipamiento requerido.


Auditora de Sistemas y Tecnologas de Informacin


234
2.3. Ley Sarbanes-Oxley


En gran medida y como respuesta a una serie de importantes escndalos financieros ocurridos
en la ltima dcada en EEUU, como fueron los casos Enron, World Com, etc.; el 30 de julio de
2002 se promulg la Ley de Reforma de la Contabilidad de Compaas Pblicas y Proteccin
de los Inversionistas, ms conocidas como Sabanes-Oxley Act (SOA) Sarbox en referencia a
sus autores, los senadores norteamericanos Paul Sarbanes y Michael Oxley.

La ley Sarbanes-Oxley ha sido establecida para dotar de mayor transparencia y confianza a los
sistemas de informacin de las empresas, tanto de grandes como pequeas, locales o
extranjeras, que realicen ofertas pblicas de su capital en EEUU. Se concentra en las reas
financieras y contables de las compaas y en cmo stas elaboran la informacin econmica-
financiera que publican como base de su calificacin burstil.

Considera, en especial, la participacin de las reas TI y de auditora interna ya que ellas
tienen a su cargo los elementos de soporte requerido para la gestin, registro y control de los
sistemas de informacin. Asimismo, asigna a los Directivos de las empresas la responsabilidad
de identificar los principales riesgos asociados al negocio y tomar acciones para asegurar la
implementacin de adecuados sistemas de control.

La Sarbox requiere que las empresas que cotizan en bolsa mejoren sus prcticas de
contabilidad, utilizando procedimientos documentados, as como una ms rpida generacin de
informes financieros.

Se considera que la mayora de las compaas no tienen adecuados sus sistemas de
informacin a las nuevas exigencias de la Ley Sarbanes-Oxley. Necesitan incorporar nuevas
funcionalidades que permitan, entre otras cosas, acceder a sus libros contables en tiempo real.
Si los datos no son exactos, no importa la rapidez con que se obtengan; si no llegan a tiempo,
no importa lo funcional que sea el sistema de reportes financieros; por lo tanto, las empresas
deben buscar rapidez y exactitud. La informacin financiera debe llegar a tiempo a las
personas que participan en la toma de decisiones.

Puntos claves de la ley Sarbanes-Oxley

La ley Sarbanes-Oxley tiene por objeto principal la proteccin del accionista, mediante la
prevencin de fraudes financieros y el aseguramiento de que la informacin presentada a
los mercados es precisa, completa, fiable, comprensible y se presenta en plazo.
Se establecen importantes responsabilidades penales por falsedades e incumplimientos
(hasta 20 aos / U$S 5 millones).
Auditora de Sistemas y Tecnologas de Informacin


235
Obliga a directores presidentes (CEOs) y gerentes financieros (CFOs) a certificar la
exactitud de las declaraciones financieras de sus empresas.
Se exigen la creacin en cada empresa de un Comit de Auditora, independiente de la
gestin y encargado de certificar los Informes Anuales.
Obliga a las empresas a elaborar informes anuales de sus estructuras de control interno y
sus procedimientos.
Si bien es aplicable solamente a las empresas registradas en la Comisin de Valores de
Estados Unidos (SEC
69
), no slo afecta las prcticas de negocio en Estados Unidos, ya
que al cubrir a todas las compaas que presentan informes a la SEC y a sus firmas
auditoras, tiene un alcance extraterritorial.

En sntesis, la Sarbox requerir que las empresas mejoren su contabilidad utilizando polticas y
procedimientos financieros documentados, as como una generacin de informes financieros
ms rpida. Su objetivo principal es devolver la confianza a los inversores al reforzar el control
de la gestin empresarial.

Impacto en el control interno

Uno de los aspectos ms salientes de la ley Sarbanes-Oxley es que agrega un "Informe Anual
de Control Interno" en el cual se enumeran las responsabilidades del cuerpo directivo de la
empresa, el que deber establecer y mantener una estructura de control interno para informes
financieros ofreciendo una evaluacin de la efectividad de dicha estructura,
Obligacin de certificacin por parte del CEO / CFO del Informe Anual, especificando que se ha
revelado a la Comisin de Auditora y Control de la empresa y al Auditor Externo cualquier
fraude y deficiencia significativa detectada que pudiera afectar negativamente a la capacidad
de la compaa para registrar, procesar y comunicar datos financieros
La SEC establece que cada una de las sociedades cotizantes debe definir un modelo de
control y sugiere el modelo COSO. Pero admite otros tipos de modelos como puede ser el
Cadbury o el Coco Report. De todas maneras, lo primero que dice es que la empresa debe
medir contra un modelo de control reconocido.

Impacto en las firmas de auditoria externa

La ley Sarbanes-Oxley establece la creacin de una Junta de Supervisin Contable de las
Empresas Pblicas
70
(o Public Company Accounting Oversight Board). Esta Junta tiene, entre
otras, las funciones de:

69
SEC: Securities & Exchange Commission
70
Empresas que hacen oferta pblica de sus acciones
Auditora de Sistemas y Tecnologas de Informacin


236

a) Mantener un registro de auditores.

Este registro obliga a los auditores externos a suministrar, y actualizar anualmente, un amplio e
importante conjunto de informacin que permitir a la Junta evaluar el grado de cumplimiento
dado a las disposiciones vigentes.

b) Establecer normas de auditora, control de calidad, tica e independencia relacionadas con
la emisin de informes de auditora.

Entre otras cuestiones, se establece que la emisin de informes de auditora debe estar
precedida por una segunda revisin por parte de una persona distinta de la que estuvo a cargo
de la ejecucin de las tareas de auditora. Tambin, los informes de auditora deben consignar
un detalle de la estructura de control interno del ente auditado y un resumen de los principales
procedimientos de control desarrollados.

c) Investigar e imponer sanciones disciplinarias a las firmas de auditora.

La Ley dispone que habr inspecciones anuales, para las firmas de auditora que emitan hasta
cien informes de auditora al ao y con frecuencia no mayor a tres aos para las restantes.

d) Determinar incompatibilidades de los servicios de Auditora Externa

Las firmas de auditora no podrn brindar simultneamente servicios de auditora externa con
otros servicios que puedan generar conflictos de inters, tales como: tenedura de libros,
diseo e implementacin de sistemas contables, auditora interna, gestin de los recursos
humanos y otros que la Junta resuelva en el futuro. Tampoco es permitido que el Socio a cargo
de la realizacin de las tareas de auditora, ocupe esa funcin por mas de cinco ejercicios
seguidos. Es permitido la prestacin de otros servicios no incluidos en la lista, por ejemplo,
asesoramiento impositivo; en estos casos debe contarse con la aprobacin previa del Comit
de Auditora de la empresa.

e) Relacin entre el Comit de Auditora (interno) y la firma de Auditores Externos

La ley asigna al Comit de Auditora de cada Empresa las tareas de contratar, supervisar y
remunerar a la firma de auditores externos. El auditor externo deber presentar su informe al
Comit. Asimismo, con cierta frecuencia, el auditor proveer al Comit informacin vinculada a
la normas contables aplicadas por la empresa y a los ajustes que l ha recomendado y no han
sido contabilizados por la Compaa.

Auditora de Sistemas y Tecnologas de Informacin


237
2.4. Delito informtico


Se denomina delito informtico a los hechos ilegales que se producen empleando instrumentos
informticos, por ejemplo, utilizando programas escritos por el usuario y/o productos de
software, equipamiento de comunicacin de datos, etc.

Una de las principales causas por las que se producen delitos informticos es la vulnerabilidad
que ofrecen los centros de procesamiento de datos debido a las grandes concentraciones de
datos que administran y a las facilidades de acceso que brindan. Esta situacin es agravada
por el fenmeno actual de expansin de las redes de comunicacin de datos, Internet en
especial, que ha aumentado la vulnerabilidad de los sistemas informticos que ofrecen
servicios en dicho ambiente, multiplicando exponencialmente las posibilidades de delitos.

Sin embargo, y a pesar de los nuevos riesgos que entraan los sistemas computarizados, es
posible afirmar que un sistema informtico bien controlado ofrece menos oportunidades de
fraude que sistemas manuales comparables. Al respecto conviene tener en cuenta un aspecto
de ndole psicolgico:

Tal es la mstica de los ordenadores. Su reputacin es tan alta que el personal no informtico
acepta sin rechistar todo lo que sale por los listados. Para los programadores deshonestos es
bastante fcil engaarlos, iniciando una modificacin de programa fraudulenta. Esta modificacin
puede funcionar a favor del defraudador indefinidamente o insertarse en el programa durante un
perodo de tiempo corto
71


Hay varias formas en las que un sistema informtico puede verse involucrado para cometer
delitos:

Cuando el computador es el objeto de la agresin. Implica la destruccin o dao fsico
de todo o una parte de un sistema informtico. Constituyen los primeros casos de
delitos en este ambiente; normalmente son cometidos por individuos que carecen de
conocimientos en materia informtica, y lo nico que pueden hacer es romper lo
tangible (el hardware), interrumpiendo la prestacin de los servicios de Sistemas.
Cuando el computador es usado como instrumento para cometer un delito. En este
caso se usan computadores para cometer delitos, tales como estafas, engaos o
fraudes. Estos hechos son muy frecuentes en la actualidad, especialmente en las redes
de computadores donde se trabaja con dinero; por ejemplo, en las redes de cajeros
automticos, en las de transferencia electrnica de fondos utilizada por los bancos, en
el comercio electrnico por Internet, en las operaciones electrnicas de bolsa.
Cuando el ambiente del computador es el objeto del delito. Por ejemplo, adulteracin

71
J.A.THOMAS Y I.J.DOUGLAS, Auditora Informtica, Madrid, Paranainfo SA, 1987. pg. 194.
Auditora de Sistemas y Tecnologas de Informacin


238
de archivos, modificacin de programas, accesos ilegales, activacin prohibida de
procesos, robo de informacin, violacin a la privacidad y confidencialidad, etc. Algunos
de los delitos de esta categora son: dar de baja deudas (sin el correspondiente pago),
programas que redondean liquidaciones de sueldo a favor del programador, alterar
registros contables para obtener balances que tributen menos impuestos, engaar
accionistas o acreedores.

Contemplado el delito informtico en un sentido amplio se pueden formar los siguientes grupos
de figuras delictivas
72
:
a) Delitos contra la intimidad

Debemos considerar que el uso de la informtica debe garantizar la intimidad personal y
familiar de los ciudadanos y el legtimo ejercicio de sus derechos. Ms que la proteccin de
datos lo que se busca es la proteccin de la intimidad y la privacidad de las personas titulares
de esos datos (derecho al habeas data):

Este tipo de delitos contempla las situaciones que para descubrir los secretos o vulnerar la
intimidad de otros, una persona se apodera de mensajes de correo electrnico o cualquier otro
documento. Tambin comprende la interceptacin de las comunicaciones, la utilizacin de
artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o de imagen o
de cualquier otra seal de comunicacin.

Tambin deben considerarse en este punto a quien sin estar autorizado, se apodere, utilice o
modifique en perjuicio de tercero, datos reservados de carcter personal o familiar de otro que
se hallen registrados en archivos informticos. Estos casos estn contemplados en la nueva
ley modificatoria del Cdigo Penal argentino -aprobada en junio de 2008- la que condena, entro
otras cosas, la violacin de la correspondencia digital, la pornografa infantil en Internet y las
estafas usando firmas digitales.

b) Delitos contra el patrimonio.

Entre los delitos contra el patrimonio se encuentran:
Estafa informtica: Es un perjuicio patrimonial realizado con nimo de lucro mediante
engao, por ejemplo: robo de identidad o de nmero de tarjeta de crdito.
Daos informticos: Al que por cualquier medio destruya, altere, inutilice o de cualquier otro
modo dae los datos, programas o documentos electrnicos ajenos contenidos en redes,
soportes o sistemas informticos.
Propiedad intelectual: Esta categora contempla la llamada "piratera de software": actos

72
PIATTINI, MARIO G. y DEL PESO, EMILIO. Auditora Informtica. Un enfoque prctico. Madrid, Editorial RA-MA,
1998. Captulo 6.
Auditora de Sistemas y Tecnologas de Informacin


239
realizados con nimo de lucro y en perjuicio de terceros donde se reproduzca, plagie o
distribuya -en todo o en parte- programas de computacin sujetos a proteccin legal (en
Argentina bajo la ley 11.723, reformada en 1998 por la Ley 25.036).

Delito Informtico
73


El Consejo Europeo comenz a disear el Tratado sobre Delito Informtico en el ao 2000, identificando
las siguientes reas temticas en las que se requiere una nueva legislacin:

Ttulo 1 - Delitos contra la confidencialidad, integridad y disponibilidad de los datos y sistemas
informticos.
Ttulo 2 - Delitos relacionados con las computadoras [falsificacin y fraude].
Ttulo 3 - Delitos relacionados con el contenido [pornografa].
Ttulo 4 - Delitos relacionados con la violacin del derecho de autor y los derechos asociados.
Ttulo 5 - Responsabilidades secundarias y sanciones [cooperacin delictiva, responsabilidad
empresarial].

Aunque el Tratado sobre Delito Informtico ha enunciado claramente los problemas inherentes a la
investigacin internacional del delito, no ha abordado los mtodos para mantener la privacidad y los
derechos humanos.

Al principio hubo una gran confusin. El delito informtico se aplicaba a nuevos tipos de criminalidad, tales
como la pornografa ciberntica o la distribucin de imgenes pornogrficas que violaban algunas (pero
no todas) leyes de los pases con respecto a la pornografa inaceptable o al material utilizado para
explotar. Una nueva forma de delito fue tambin la penetracin ilegal en los sistemas computarizados o
piratera informtica, que en muchos pases an no constitua un delito penal.

El hecho de que Internet no tenga fronteras, facilit a las personas la distribucin de materiales a escala
internacional, en ocasiones sin dejar rastros sobre su autor. Uno de los propsitos del Tratado sobre
Delito Informtico fue establecer y acordar las disposiciones que deban aparecer en las legislaciones de
los signatarios con el objetivo de luchar contra la nueva actividad delictiva con ms coordinacin.

Otro tema fueron los juegos de azar en lnea; estaban surgiendo pistas de carreras virtuales en Internet, y
a pesar de que los pases variaron considerablemente su enfoque con respecto a los juegos de azar,
muchos pases desarrollados contaban con las ganancias provenientes de estos juegos para los
presupuestos del gobierno o las economas basadas en el turismo; para ellos, el surgimiento de
competidores virtuales que operaban desde parasos fiscales constituy una gran preocupacin

Aspectos del delito informtico

Existe el nuevo delito de penetracin del cdigo, invasin o espionaje dentro de los sistemas informticos
de otras personas u organizaciones. Las opiniones diferan en cuanto a si el hecho de solo mirar
constitua un delito, especialmente debido a que los primeros hackers detectaban a menudo fisuras en la
seguridad y se consideraban ciudadanos honestos al informarlas. Naturalmente, penetrar un sistema con
intensiones delictivas es otra cosa.

En segundo lugar, existen situaciones en las que el delito es viejo, pero el sistema es nuevo, como es el
caso de las estafas fraudulentas por Internet. El fraude comercial ha existido durante miles de aos, las
estafas telefnicas han existido durante dcadas y ahora tenemos las estafas por Internet. Esto tambin
es vlido para la pornografa y el fraude al derecho de autor.

El tercer elemento es el referido a la investigacin, donde la computadora sirve como depsito de
evidencias, necesarias para el procesamiento judicial exitoso de cualquier delito que se cometa. Lo que
sola archivarse en expedientes de papel, prcticamente ya no se archiva de otra forma que no sea la
digital y puede ser destruido y decodificado a distancia

Los bits digitales tambin constituyen un nuevo tipo de riesgo para el individuo, porque el que sepa cmo
falsificar la evidencia digital puede crear una nueva persona digital. Este es un cuarto tipo de delito, es
ms sutil que el resto y ms conocido cuando se presenta como ladrn de identidad. Si esta tendencia

73
Stephanie Perrin, Delito Informtico, extracto del libro Palabras en Juego: Enfoques Multiculturales sobre las
Sociedades de la Informacin, 2005 http://www.vecam.org/article659.html

Auditora de Sistemas y Tecnologas de Informacin


240
persiste, el trmino delito informtico podra ser til para describir el delito contra la persona digital.

La persona digital es un modelo de la personalidad pblica de un individuo, basado en los datos y
mantenido por las transacciones y que ha sido concebido para ser utilizado en representacin del
individuo. tiles como modelo para identificar a los individuos con el fin de dirigirse a ellos (por ejemplo,
las direcciones de correo electrnico) o identificarlos como personas con permisos para realizar una
funcin (pagar cuentas en lnea, planificar viajes), los bits pronto desarrollan un conjunto de hbitos y una
personalidad que son tan reales como el ser humano que est detrs de ellos.

Actualmente, los gobiernos y los negocios se basan en ellos para conocer a sus clientes y se confa ms
en las pruebas electrnicas y la persona digital que en los propios individuos. Sin embargo, las
fragilidades en la seguridad demuestran en nuestros das cun desacertada puede estar esa confianza.
Los ataques de Phishing y Pharming o la suplantacin ilegal de correos electrnicos o pginas Web
seducen a las personas para que den informacin personal por Internet, y los actores fraudulentos luego
utilizan esos datos para convencer a comerciantes, al gobierno o al banco de que son la persona real. En
el entorno actual es an ms complejo, los ladrones llegan a colocar amalgamas de datos (perfiles) para
crear personas ficticias pero probables.


Delitos informticos en Argentina
74


Muchas de las defraudaciones cometidas con herramientas informticas no llegan a los tribunales por
decisin de las propias empresas que los sufren, las cuales no quieren ver afectada su imagen pblica.
Otros casos son denunciados, pero las investigaciones no prosperan, porque en el afn de resolver los
problemas operativos que ocasiona un fraude, las compaas hacen cambios en los sistemas y pierden
evidencias. Para evitar que esto ocurra se recomienda llamar a un escribano ante la sospecha de un
fraude, y, en su presencia, resguardar un doble juego de soportes magnticos. Uno para hacer las
investigaciones necesarias y otro para presentar como prueba en un posible juicio".

En la Argentina no existe tipificacin sobre delitos informticos en el Cdigo Penal, pese a que es
posible cometer un sinnmero de ellos -desde una estafa hasta un homicidio, previo paso por el copiado
de software, la falsificacin de moneda y el robo de informacin- con la ayuda de una computadora. La
Polica Federal elabor un instructivo documento en el que resume los principales objetivos de los
delincuentes informticos. En los bancos buscan violar las transferencias electrnicas, el movimiento de
tarjetas de crdito, alterar las liquidaciones de intereses, burlar cajeros automticos. En las compaas de
seguro, la mira est puesta en las transferencias de fondos y el manejo de los pagos de siniestros y
pensiones. Las corporaciones son atractivas por las nminas de pago, transferencias de fondos, frmulas
de productos y cualquier otro dato confidencial. Por ltimo, en las instituciones pblicas buscan extraer o
alterar informaciones confidenciales, pensiones, subvenciones y cobro de impuestos.

El documento interno de la Polica tambin categoriza los delitos posibles de cometer por medios
informticos. Contra la propiedad: se refiere al apoderamiento de software e incluye el deterioro de
equipos, soportes fsicos de la informacin y archivos por efecto de virus. Contra el honor: habla de la
manipulacin de antecedentes de una persona para perjudicarla. Contra el estado civil: si se modificaran
dolosamente los datos de las personas. Contra las personas: se refiere a la alteracin dolosa de cuadros
clnicos, diagnsticos que podran provocar daos en la salud.

Hasta que no haya normas especficas, los jueces debern encuadrar las nuevas conductas en los tipos
vigentes. En abril de 1996 ingresaron al Congreso de la Nacin dos proyectos de ley para penalizar
delitos relacionados con la informtica. Sin embargo, el personal policial cree que los casos ms comunes
encajan dentro de cuatro tipos de delitos: las defraudaciones y estafas, los daos y las violaciones a las
leyes penal tributaria (Ley 23.771) y de proteccin a la propiedad intelectual (Ley 11.723). A pesar de ello,
opinan los expertos que es necesaria una legislacin ms especfica.

Resentidos

Estudios policiales sobre el tema afirman que la mayora de los transgresores informticos carecen de
antecedentes delictivos. Cuentan con una capacidad intelectual muy desarrollada y por lo general, son
hombres (las mujeres, hasta ahora slo han ocupado el rol de cmplices).

Adems, suelen tratarse de autodidactas vidos de vencer obstculos, dueos de un espritu de revancha
alimentado por el resentimiento hacia determinadas instituciones


74
Revista Information Technology N16, Extracto del artculo Nada por aqu, Septiembre de 1997. pg. 162 a 164.
Auditora de Sistemas y Tecnologas de Informacin


241
3. UN NUEVO MODELO


A los fines de contextualizar el ambiente IT, proponemos utilizar como cuadro de referencia un
nuevo modelo, basado en las principales aplicaciones de las computadoras en las
organizaciones; tambin se relacionan con las fases evolutivas de las tecnologas de
informacin. Tenemos tres etapas:

Etapa 1: Centrado en el clculo
Etapa 2: Centrado en los datos
Etapa 3: Centrado en la red


En la tabla que sigue vemos sintticamente las caractersticas principales de cada una de esas
etapas en lo que respecta a infraestructura informtica, modo de procesamiento vigente,
lenguajes de programacin, tipo de aplicaciones, management del rea sistemas, conocimiento
de los usuarios y a cmo son afectados los distintos trabajos de auditora:



ETAPAS DEL PROCESAMIENTO DE DATOS
FACTORES
Centrado en el
clculo
Centrado en los
datos
Centrado en la red
Infraestructura
informtica
Mainframe -Minicomputadores
-LAN
Cluster de servidores
WAN . Internet
Modo de
procesamiento
Centralizado
-Procesamiento
diferido (batch)
Distribuido
-Procesamiento por
tiempo compartido
Cluster de servidores
-Procesamiento
cooperativo
Lenguaje de
programacin
COBOL, Basic
(3GL)
COBOL, xBASE, SQL
(4GL)
SQL, Java
4GL
Tipo de
aplicaciones
legacy system
(contabilidad, sueldos,
facturacin)
decision support
(apoyado en DBMS)
web-enabled
(accesibles desde Internet)
Management del
rea de Sistemas
Dependiente de
Finanzas
Departamento
independiente
A nivel de staff
Conocimiento de
Los usuarios
Usuarios pasivos Conocimientos de
automatizacin de
oficina
Usuarios calificados



AUDITORIAS



Auditora de
Sistemas de
Informacin
Alrededor del
computador
(verificar exactitud)
A travs del computador
(verificar calidad de los
datos)
A la red
(verificar procedencia y
pertinencia de los procesos
y datos)
Auditora
Informtica
-de los sistemas en
produccin
-del Centro de
Procesamiento de
Datos
-a las redes
-a la seguridad informtica



Auditora de Sistemas y Tecnologas de Informacin


242
Etapa 1 - Procesamiento centrado en el clculo

Preocupacin principal: EXACTITUD. En esta etapa las computadoras se usan especialmente
para automatizar tareas de clculo complejas, tediosas, repetitivas; por ejemplo, clculo de
nmina (sueldos). Privilegian controles sobre los algoritmos incluidos en los programas.

Auditora: En esta etapa se comienza con los trabajos de auditora en los ambientes
computarizados. Slo se controlaban los sistemas de informacin econmico-financieros; los
procedimientos y herramientas eran tomados de los trabajos de auditora contable en entornos
tradicionales (manual-mecnicos). El auditor poda no ser experto en computacin, dado que
slo trabajaba con los datos de entrada y salida. Tcnica: alrededor del computador.

Etapa 2 - Procesamiento centrado en los datos

Preocupacin principal: INTEGRIDAD de los datos. En esta etapa es cuando se comienzan a
utilizar herramientas para administrar los datos: los gestores de bases de datos (DBMS). Se
plantea la necesidad de que los procesos de toma de decisiones se basen en los datos
residentes en los sistemas computarizados.

Auditora: En esta etapa se comienza a requerir a los auditores conocimientos tcnicos sobre el
ambiente TI. Los datos de la empresa se han convertido en un activo vital y pasan a ser una
preocupacin del auditor, ste debe controlar la calidad de los datos y las medidas de
seguridad adoptadas para protegerlos. Debe evaluar los procedimientos orientados a proteger,
resguardar y asegurar la calidad de los datos. Se privilegian los controles de entrada (input) y
el mantenimiento de datos (depuracin)

Las auditoras informticas comienzan a tomar entidad propia, dada la preocupacin por cmo
la empresa administra sus recursos informticos.

Etapa 3 - Procesamiento centrado en la red

Preocupacin principal: CONECTIVIDAD de los dispositivos a los servicios brindados por las
redes de computadoras. Esta etapa se caracteriza por el uso masivo de recursos informticos:
las entidades han multiplicado exponencialmente la cantidad de estaciones de trabajo y de
aplicaciones en produccin disponibles, las bases de datos son enormes y tienden a crecer
geomtricamente, las necesidades de computadores y de personal tcnico para hacerlas
funcionar son inagotables. A esta situacin interna se une un fenmeno externo: la
posibilidad -y necesidad- de enlazar las computadoras de la entidad a las distintas redes que
ofrece el medio (por ramo, regin o mercado donde participe).

Auditora de Sistemas y Tecnologas de Informacin


243
La globalizacin exige estar al mismo tiempo en todos los mercados; para hacerlo en forma
eficiente el recurso estratgico es la informacin, siendo las redes la fuente principal de la
materia prima que alimenta a los sistemas de informacin de la empresa. Para ello, la empresa
debe ahora conectarse con los sistemas de otras entidades y abrir sus sistemas al medio.

En esta etapa se procura automatizar todos los procesos administrativos de la empresa por
medio de tecnologas de informacin. Contempla tanto a las operaciones internas -procesadas
por el propio sistema computacional de la organizacin- como a las externas. Respecto a estas
ltimas, el fenmeno Internet a posibilitado el acceso masivo de las empresas y particulares a
las transacciones electrnicas (e-commerce y e-bussines). Por medio de las computadoras,
las empresas se vinculan entre s y con los particulares, para comprar y vender, realizar
pedidos y enviar la mercadera, en un ambiente virtual.

Auditoras: Procedimientos de auditora orientados a proveer acceso seguro a los recursos
informticos de la entidad. Controla a los usuarios, cualquiera fuere su ubicacin por medio de
la autenticacin de usuarios, y protege a los datos que viajan por la red usando tcnicas de
encriptacin de datos, por ejemplo

La preocupacin de la auditora en esta etapa es verificar que quienes entren a los sistemas de
la entidad sean usuarios autorizados y que puedan ejecutar slo aquellos procesos permitidos.

Comercio electrnico

El comercio electrnico iniciado en los '80 y regulado por las normas EDI (Electronic Data
Interchange), permiti transacciones entre computadoras sin la necesidad de la presencia
fsica de las partes intervinientes, el vnculo lo establecan las redes de comunicacin de datos.
Estas redes inicialmente fueron restringidas a unas pocas empresas, es decir vinculaban a
entidades especficas pertenecientes a una rama particular de la industria (por ejemplo, la
automotriz) y fueron las precursoras del comercio electrnico. Antecedentes similares son las
operaciones de transferencia electrnica de fondos o EFT (Electronic Found Translation) en el
ambiente bancario; diseadas para realizar transacciones financieras por medio de las
computadoras vinculando los bancos con las redes de cajeros automticos.

Las transacciones electrnicas existen desde hace varios lustros, Internet slo ha venido a
potenciar el fenmeno, permitiendo el acceso masivo de empresas y particulares a estos
mercados electrnicos, multiplicando las alternativas y nmero potencial de operaciones. En
este contexto, la carencia de documentacin fsica (papel) que avale las transacciones genera
la necesidad de buscar alternativas para obtener elementos probatorios de las operaciones y
sus correspondientes pistas de auditora.

Auditora de Sistemas y Tecnologas de Informacin


244
4. PROPUESTAS


Considerando la situacin actual, podemos afirmar que hoy la mayora de las empresas de
nuestro medio estn entre las etapas Centrada en los Datos (segunda) y Centrada en la red
(tercera); la posicin de cada entidad depender del grado de apertura de sus sistemas de
informacin. En este contexto, nuestras propuestas para los trabajos de auditora son:

a) Para las auditoras a sistemas de informacin:

Objetivo: Dejar registros permanentes -explcitos y completos- en el ambiente informtico de
las transacciones que procesa el sistema. (Ver Captulo 3 de este material)

Estas recomendaciones son especialmente efectivas cuando las aplicaciones son on-line,
tendindose a suprimir el papel como comprobante de las transacciones y con multiplicacin de
las ubicaciones desde donde se pueden efectuar operaciones comerciales.

b) Para las auditoras informticas:

Objetivo: Hacer administrable el rea de Sistemas.
Finalidad: Documentar los resultados esperables del rea. Implica medir el desempeo del
personal afectado, es decir, hacer auditable el rea. Los instrumentos o documentos a controlar
por el auditor son, entre otros, los siguientes:

Plan de Sistemas de la empresa.
Presupuesto para el rea de Sistemas, dividido en sectores operativos y de nuevos
proyectos.
Planes de los proyectos informticos en ejecucin.
Plan de seguridad informtica y de contingencia.
Planes de capacitacin en TI

Auditora de Sistemas y Tecnologas de Informacin


245
5. EL AUDITOR DE SISTEMAS


Un aspecto que debe dilucidarse es qu clase de profesional puede realizar auditoras en
entornos informticos. Usualmente se ha asumido que este tipo de auditora es parte de los
trabajos que realizan los contadores-auditores. Creemos que esta confusin vale la pena
analizarse ms a fondo.

La auditora no es una especialidad exclusiva de los contadores. Resulta obvio que si debemos
auditar el clculo de un edificio, necesitamos un ingeniero auditor y no un contador. Con igual
concepto existen mdicos auditores, auditores militares, etc. Dependiendo de la naturaleza de
la actividad a auditar, resultar entonces, el tipo de especialista que puede evaluarla.

En el desarrollo de este material hemos identificado bsicamente dos tipos de trabajos de
auditora en un entorno informtico: al sistema de informacin computarizado y a los recursos
informticos de la organizacin. En el primer caso, prima el objetivo de evaluar la calidad de la
informacin; en el segundo, la evaluacin de los recursos informticos. Ambos requieren,
entonces, de equipos de auditores con distinta preparacin y habilidades.

En el caso de trabajos de auditora a sistemas de informacin econmicos financieros, deben
ser dirigidos y ejecutados por profesionales en ciencias econmicas. En este tipo de trabajos
se requiere ms de conocimientos sobre el sistema de informacin que sobre el medio en
donde se procesan y/o residen los datos. En caso de ser necesarios los conocimientos tcnicos
especiales sobre el equipamiento, los programas y el funcionamiento del sistema
computacional, el equipo de auditores debe solicitar la colaboracin de especialistas en
tecnologas de informacin.

Por otro lado, los trabajos de auditora informtica (a los recursos informticos de una empresa)
deben estar a cargo de los especialistas en tecnologas de informacin. En estos casos, los
contadores-auditores deben abstenerse de efectuar recomendaciones en un campo que no es
su especialidad e incumbencia. Recordemos que el objetivo de una auditora informtica
consiste en medir la eficiencia con que se utilizan los recursos informticos disponibles en una
entidad: equipamiento, redes de comunicacin de datos, aplicaciones y desempeo del
personal de sistemas.

Sin embargo, en la prctica no es fcil determinar qu actividades pertenecen a una clase de
trabajos de auditora y cules a otra. Las zonas grises aparecen cuando se trata de precisar el
alcance de las tareas a realizar. Estas zonas grises pueden explicarse cuando analizamos las
metodologas que se siguen para efectuar una auditora al sistema de informacin contable; en
Auditora de Sistemas y Tecnologas de Informacin


246
ellas, se privilegia la etapa de revisin del sistema de control interno, base para las
afirmaciones posteriores respecto a la exactitud, integridad y correspondencia de los registros
recuperados del sistema informtico. Para efectuar la etapa de revisin del sistema de control
interno es necesario contar con conocimientos en tecnologas de informacin ya que, entre
otras cosas, se valida la efectividad de controles propios del ambiente computacional: control
de acceso al sistema, mtodos de respaldos, procedimientos para modificar los sistemas,
funcionamiento de los controles programados, etc. Para evaluar estos aspectos es necesario
contar con la ayuda de expertos informticos.




En los ltimos aos ha comenzado a ofrecerse en nuestro pas capacitacin especfica en
Auditora de Sistemas de Informacin:

ISACA (www.isaca.org) propone certificar Auditores en Sistemas de Informacin
(certificacin CISA), para ello se debe rendir un examen que habilita al profesional para
efectuar este tipo de trabajos.

ISACA comenz en 1967, cuando un pequeo grupo de personas con trabajos similares -
controles de auditora en los sistemas computarizados que se estaban haciendo cada vez
ms crticos para las operaciones de sus organizaciones respectivas- se sentaron a discutir
la necesidad de tener una fuente centralizada de informacin y gua en dicho campo. En
1969, el grupo se formaliz, incorporndose bajo el nombre de EDP Auditors
Association (Asociacin de Auditores de Procesamiento Electrnico de Datos). En 1976 la
asociacin form una fundacin de educacin para llevar a cabo proyectos de investigacin
de gran escala para expandir los conocimientos y el valor del campo de gobernacin y
control de TI.
....
En las tres dcadas transcurridas desde su creacin, ISACA se ha convertido en una
organizacin global que establece las pautas COBIT para los profesionales de gobernacin,
control, seguridad y auditora de informacin. Sus normas de auditora y control de TI son
respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas
profesionales que desafan a sus constituyentes. Su certificacin CISA (Certified Information
Systems Auditor o Auditor Certificado en Sistemas de Informacin) es reconocida en forma
global y ha sido obtenida por ms de 50.000 profesionales en todo el mundo. Su nueva
certificacin Certified Information Security Manager (Gerente Certificado de Seguridad de
Informacin, o CISM) se concentra exclusivamente en el sector de gerencia de seguridad de
la informacin. Publica un peridico tcnico lder en el campo de control de la informacin, el
Information Systems Control Journal (Peridico de Control de Sistemas de Informacin).
Organiza una serie de conferencias internacionales que se concentran en tpicos tcnicos y
administrativos pertinentes a las profesiones de gobernacin de TI y aseguracin, control,
seguridad de SI. Juntos, ISACA y su Instituto de Gobernacin de TI (IT Governance
Institute) asociado lideran la comunidad de control de tecnologa de la informacin y sirven a
sus practicantes brindando los elementos que necesitan los profesionales de TI en un
entorno mundial en cambio permanente.

Captulos locales a travs de los cuales hay recursos adicionales a disposicin:

Buenos Aires, Argentina Chapter http://www.adacsi.org.ar
Mendoza, Argentina Chapter jhidalgo@mendoza.gov.ar
Auditora de Sistemas y Tecnologas de Informacin


247

La Universidad del Salvador (www.salvador.edu.ar), en cambio, propone capacitacin de
postgrado en el tema; as ofrece dos opciones: Especializacin en Auditora de Sistemas
(un ao) y Maestra en Auditora en Sistemas (dos aos).


Especialista en Auditora de Sistemas

Objetivos:

-Proporcionar al futuro profesional los conceptos, metodologas y tcnicas relevantes para llevar a
cabo tareas de auditora de sistemas y tecnologa de informacin.
-Brindar los conceptos bsicos de control interno y sus aplicaciones al rea de sistemas, principios
de administracin de seguridad y auditora de paquetes de software que pueden estar respaldando
los distintos ciclos de negocio.
-Adquirir un conjunto de conocimientos relativos a seguridad y control de telecomunicaciones,
redes, bases de datos y plataformas tecnolgicas de mayor difusin en el mercado.

Los aspirantes a ingresar a la ESPECIALIZACIN EN AUDITORIA DE SISTEMAS debern ser
profesionales graduados como Contadores Pblicos, Licenciados en Administracin, Licenciados
en Sistemas, Licenciados en Investigacin Operativa, Ingenieros en Sistemas, Computador
Cientfico, Licenciados en Informtica e Ingenieros en Electrnica y disciplinas afines que por su
actuacin profesional puedan ser asimilados al rgimen y admitidos por una Junta de Admisin. Se
admitir el ingreso de egresados de Universidades Extranjeras reconocidas oficialmente de
acuerdo a las normas vigentes.


Maestra en Auditora en Sistemas

Objetivos:

-Desarrollar profesionales con destrezas apropiadas en el campo de la administracin de riesgos,
con un fuerte foco en el rea de administracin de riesgos informticos.
-Proporcionar al futuro profesional los conceptos, metodologas y tcnicas relevantes para llevar a
cabo tareas de auditoria de sistemas y tecnologa de la informacin.
-Brindar los conceptos bsicos de control interno y sus aplicaciones al rea de sistemas, principios
de administracin de seguridad y auditoria de paquetes de software que pueden estar respaldando
los distintos ciclos de negocios.
-Adquirir un conjunto de conocimientos relativos a seguridad y control de telecomunicaciones,
redes, base de datos y plataformas tecnolgicas de mayor difusin en el mercado.
Auditora de Sistemas y Tecnologas de Informacin


248
Auditora de Sistemas y Tecnologas de Informacin


249
CUESTIONARIO DE REVISION




Qu es el habeas data? Describa las obligaciones derivadas de la Ley 25.326
para los Administradores de Bases de Datos que contengan datos personales.













Qu aspectos considerara como auditor cuando evala un contrato de
servicios (outsourcing) para el desarrollo de aplicaciones?








Auditora de Sistemas y Tecnologas de Informacin


250
La ley Sarbanes-Oxley contempla los siguientes roles: Empresa (ente
auditado), Directivos (CEO/CFO), Comit de Auditora, Empresa de Auditora
(externa) y Junta de Supervisin de empresas de auditora. Elabore un grfico
expresando las relaciones entre los distintos roles.















Siguiendo el modelo propuesto por este material para analizar el ambiente TI
cmo evaluara los sistemas de informacin de la organizacin cuando sta
se encuentra en la etapa Centrada en los datos?



Auditora de Sistemas y Tecnologas de Informacin


251
BIBLIOGRAFA



ACHA ITURMENDI, JUAN JOSE, Auditora informtica en la empresa, Madrid, Editorial
Paraninfo, 1994.

CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS,
I Congreso Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico,
Madrid, 1988.

CANSLER, LEOPOLDO, Auditora en Contextos Computarizados-Gua Prctica Profesional,
Buenos Aires, Ediciones Cooperativas, 2003.

CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI),
PAPELES DE AVILA, Reunin de expertos sobre "AUDITORIA INFORMATICA",
Madrid,1987.

CHALUPOWICZ, Daniel. Responsabilidad corporativa, Informe COSO: La ley Sarbanes Oxley.
Ed. Osmar Buyatti, Bs. As., 2005.

COOPER & LYBRAND, Los nuevos conceptos del control interno (Informe COSO), Editorial
Daz de Santos, Madrid, 1997.

DERRIEN, YANN, Tcnicas de la auditora informtica, Madrid, Marcombo S.A.,1994.

FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS
ECONOMICAS. CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT),
Area Auditora - Informe N 5 - MANUAL DE AUDITORIA, Buenos Aires, 1985.

FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS
ECONOMICAS. CENTRO DE ESTUDIOS CIENTIFICOS y TECNICOS (CECYT),
Informe N 6 -Pautas para el examen de estados contables en un contexto
computarizado, Bs. Aires, s. f.

HERNANDEZ HERNANDEZ, Enrique. Auditora en informtica. Mxico, CECSA, 1999.

LARDENT, Alberto. Sistemas de informacin para la gestin empresaria - Procedimientos,
seguridad y auditora. Bs.As. - Prentice Hall. 2001

Auditora de Sistemas y Tecnologas de Informacin


252

NARDELLI, JORGE. Auditora y Seguridad de los Sistemas de Computacin, Buenos Aires,
Editorial Cangallo, 1984 (1Edicin), 1992 (2Edicin).

NOMBELA, JUAN JOSE, Seguridad Informtica, Madrid, Editorial Paraninfo, 1997.

PIATTINI, MARIO y DEL PESO, EMILIO. "Auditora Informtica. Un enfoque prctico". Editorial
Ra-ma. Madrid, 1998RIVAS, ANTONIO JUAN y PEREZ PASCUAL, AURORA, La
auditora en el desarrollo de proyectos informticos, Madrid, Ediciones Daz de
Santos, 1988.

RIVAS, GONZALO ALONSO, Auditora Informtica, Madrid, Ediciones Daz de Santos, 1989.

THOMAS, J.A. y I.J. DOUGLAS, Auditora Informtica, Madrid, Paraninfo SA, 1987.