= AUuDITORIA
Mae
MCT Tm aT tC)
oe ee ee eee |
Mario G. Piattini
Emilio del Peso
Alfaomega <> Ra-Ma
Auditoria Informatica
Un enfoque practico
2.° edicién ampliada y revisada
Coordinadores
Mario Gerardo Piattini Velthuis
Universidad de Castilla-La Mancha
Emilio del Peso Navarro
IEE Informaticos Europeos Expertos:
Alfaomega 4 I Ra-Ma
Auditovia Informitica: Un enfioger pricteso, 2a cdeciin ampleada y rev isch
© Mario Gerardo Piattina Velthuis y Emilio del Peso Navarre
ISHN 84-7897-444-N, edivida original publicada por RA-MA Eulitortal,
MADRID, Expatia. Derechos reservadus © RA-MA Editorial
MARCAS COMERCLALES: RA-MA ha jatentado a lo lange de ete libeo dhstinguir
Las mrure as regintradas de bos términen dexcniptives, siguiends cf culo de mayseculas
que uitliea ct fabricante. sin intencidn Se infrangar a marca y silo em benciicio del
propictario de la masma.
02001 ALFAOMEGA GIELIPO RINTOR, S.A. del.¥,
Pirkgoras 11.59, Col. Del Valle, 03100 México, DP
Miembro de la Canara Nacional de Ba Idustria Eitosial Mexicana
Regisino No, 2817
Internet: httpsi!www.alfaomegacomank
Email, ventas! @alfaamega-comums
(SHEN; 97B-1S-0731-2
Derechos reservados.
Ee obra es propiedad intelectual de su autor y los dereckon de publicacidn en lengua
copahols han sido legalsienme transferides al editoe Probibeda wu reprodeccdn par-
‘tal o total por cuakgaier molie ih permniso por excrite del propictanio de lus dere
thos del copyreghe.
SOTA IMPORTANTE.
La snformacion contonida cn esta obra tiene en fin exclusivamente diddetive y. por he
luntho, no etd previshe su ageovechamicnsa a nivel prodecioeal 1 indbesasial Cas imi
saciunes técnicas y programas imcluidas, has sida elaborades con pran cuidado por
el autor y repemiickies bajo estrictas normas de conuOL. ALFAGMBGA GRUPO
EDITOR, 5.4, de C.¥. mo seed juridicameste responsable por: cxrares u amisiones:
anos y perjuicios que 9 pudicran atribsir af wea de la informacion comprendida en
‘este libro, ni por la utlizachin indebidla que puxaera dirsele.
Impresisiea:
Gente Nuews Edinowiall
Bagot, D.C. Cokesbia
PREFACIO
Desde los inicios de la humanidad bas distintas culturas han dado una importancia
enorme a los temas de contabilidad, y por tante tambidn han mecesitado de medias que
pemniticran verificar sus registros, es decir, de la auditoria, De hecho se piensa que la
imvencidin de la esctitura surgié come respuesta a la neoesidad de auditar, Plesher
(1993): por lo que la de awditor seria una de Las profesiones mis antiguas.
Pero es realmente a partir de finales de L800 cuando la auditoria financiers se
‘extiende por el Reino Unido y Norteamérica, y s¢ sientan las bases de las pricticas que
conocemos en la actualidad.
A partir de 1950, la informuitica se convierte en una herramienta muy importante
en las labores de auditoria financiera, ya que permite Nevar a cabo de forma nipida y
precisa, operaciones que manualmente consumirian demasiados recursos. Empieza la
denominada “wuditoria con el computador”, que no puede considerarse verdadera
auditoria informatica, sino que utiliza el computador como herramicata del auditor
financiero. .
Sin embargo, al convertirse los sistemas de informacidn de la empresa cada ver
mis dependientes de los computadores, surge la necesidad de verificar que los
sistemas informéitices funcionan conectamente, empexandose a finales de los afios
— gesenta a descubrirse varios casos de fraude cometidos con ayuda del computador que
hacen inviable seguir conformindos: con La auditoria “alrededor del computador”.
Surge asf Ia necesidad de una nucva especialidad dentro de la auditoria, cuyo objetive
te precisamente verificar ¢l funcionamiemto correcto, eficax y eficiente de la
informética, en definitiva, la “amditoria del computador”,
En la actualidad nadie duda que la informacidin st ha coavertide en uno de los
actives principales de las empresas, que representa su principal ventaja eatratégica.
XL_ALIDITORA INPORMATICA: UN ENBOQUE FRACTION oman
Las empresas invierten enormes cantidades de dinero y tiempo en la creacidie de
sistemas de informacion que les ofrescan la mayor productividad y calidad posibles.
Es por eso que los temas relatives a la avditoria informidtica cobran cada vex mis
relevancia tanto a nivel internacional come nacional,
De esa importancia creciente de La informacidn nace la necesidad de que ese bien
Juridico sea protegide por el derecho y aparcaca regulado en el ordenamiento juridico,
La entrada en vigor de la Ley Orgiinica [5/1998 de 13 de diciembre de Proteccidin
de Datos de Caricter Personal; la Ley Organica 10/1995 de 23 de noviembre que
aprucha el nueve Cédigo Penal, y por dltime el Texto Refundido de la Ley de la
Propiedad Intelectual aprobado por ¢l Real Decreto Legislative 1/1996 de 12 de abeil
asi Como una serie de normas especificas del sector eatablecen un marco juridico de bo
que se viene denominando Nuevas Tecnologias de la Informacidin,
El establecimiento de ese marco junidico incide de forma imporante en la
Auditoria Informatica, Pues si antes comprobdbames que era imposible realizar una
Auditoria de Cucetas si no se auditaba lo que contenian esas “cajas negras™ que som
los sistemas de informacién y que contienen todos los datos ecomdmicos de las
organizaciones, ahora vemos que dificilmemte se puede realizar una Auditocia
Informitica si no tenemos en cuenta cl marco juridico en que se sition esos siemas
informations,
‘Colaboran en el libro veintiocho autores, entre bos que se encuentran profesores
de universidad y peofesionales de reconocide prestigio en el mundo de la auditoria
informitica, reuniendo algunos de ellos las dos cunlidades, lo que aporna un gran valor
aftadiéo a la obra al ofrecer perspectivas y eaperiencias muy variadax sobre
précticamente todos los aspectos relacionados con la auditoria informdtica,
Los ebjetives que nos hemos propucsto en esta obra son los siguientes:
* Presentar de forma clara y precisa los conceptos fundamentales sabre control
imerno y auditoria informuitica,
* Offecer un tratamiento sistemitico de las sécnicas y métodos del auditor
informitico,
* Dara conocer los aspectos organizatives, juridicos y deontokigions asociados
a la auditoria informdtica,
* [Exponer en profundidad las principales areas de la auditedia informdtica:
fisica, seguridad, desarrollo, mamenisniento, explotacién, ofimdtica, calidad,
redes, direccisin, etc.
* Suministrar una visidn global de la auditoria informaitica en diversos sectores:
banca, sector adreo, public, PYMES, etc,
oan ___PREFACIO XLI
© Proporcionar pautas ¥ expertencias que ayuden al profesional informitico en
las tareas de auditoria,
En esta segunda edicidn del libro se han actualizado y corregide varios capitulos,
incorparande o&ros nuevos, con el fin de offecer una panordmica actual y completa de
este campo.
CONTENIDO
La obra esti dividida en tres partes clarameme diferenciadas:
Parte I: Introduccion
En esta primera parte, que comsta de siete capitulos, se exponen diversos
fundamentales de La auditoria informatica. En el primer capitulo s¢ describe
la wilizacidn de la informética come herramienta del auditor financiero, mientras que
en el segundo capitulo ya empieza ta auditeria informitica propiamente dicha,
analizdindose sa relacién con el control interno, dedicdndose el capitulo siguiente a
cxponer las principales metedologias de control interno, seguridad y auditoria
informitica.
El capttulo 4 trata de uno de los aspectos fundamentales de la auditonia y de cuya
calidad depende realmente el éxito de la misma: el informe de auditoria. Otro aspecta
esencial es lla organizacién del departamento de anditoria informatica, que se analiza
enel capitulo siguiente.
Esta parte finaliza co des capitulos que se dedican a explorar sendos aspectos a
Jos que no se les suele dedicar la extensidn necesaria en bos libros existentes: ¢l marco
jurkieo y la deontologia del auditor informdtico, pero que nosotros estimamos
imprescindibles en la formacién de cualquier profesional que wabaje en esta drea,
Parte Il: Principales areas de la auditoria informatica
Los capitulos que configuran esta parte central del libro se dedican a analizar las
diversas dreas a las que se aplica Ia auditeria informética. Asi, se empieza cn cl
capitulo 8 con la auditoria fisica, mientras que el capitulo siguiente se dedica a la
aaditoria de la ofimitica, que cada dia tiene un mayor peso en las empresas
instituciones; y él capitulo 10a la auditoria de la direccién,
Los capitulos 11 al 13 se dedican a exponer las consideraciones de auditoria
informatica sobre tres direas bastante relacionadas: explotaciin, desarrollo y
Tantenimiento; que s¢ complementan con el contenide de tos dos capitulos siguientes
que abordan las bases de datos y la técnica de sistemas respectivamente.
ae
X11 _ALDITORIA INPORMATICA: UN ENPOQUE PRACTICO: kA
Dos aspectos que cada dia cobran mds importancia dentro de la aplicacién de lax
Teenologias de la Informaciia a las empresas, la calidad y la seguridad, son objeto de
los capitulos 16 y 17.
El capitulo 18 se dedica por completo a analizar la auditoria de redes, uno de los.
cOMmponenies mas imaportantes en un sistema de informaciéa, que est experimentando
un cambio espectacular en la dltima década.
El capitulo siguiente se dedica a exponer los principales elementos que deben
examinarse ala hora de auditar las aplicaciones informiticas, mientras que ¢l capitulo
2) profundiza en estos aspectos para las auditorias de lox sistemas EIS/DSS y las
aplicaciones de simulacién,
Esta parte finaliza con un capitulo dedicado a la auditoria de los entornos
informéticos desde ¢] punto de vista juridico, totalmente actualizado para esta segunda
edicidn,
Parte Ill: Auditoria informatica en diversos sectores
No queriamos. dejar fuera de esta obra algunas consideraciones sobre la
aplicaciéa de la auditoréa informatica a diversos sectores econdmicos que sirviera para
aglutinar de forma practica los coaceptas expuestos en la parte anterior.
Siguiendo esta flosofia, dedicamoes el capitulo 22 a la auditoria informdtica en el
sector bancario, mientras que el capitulo 23 analiza la auditoria informdtica en el
sector Wansportes, especificamente ¢l aéreo, Los capitulos 24 y 2$ watan sobre la
auditoria informitica en dos sectores muy importantes en nuestro pais: la
Administracién Pablica y las PYMES.
Parte IV: Otras cuestiones relacionadas con la auditoria
informatica
En esta segunda edicidin del libro se han incorporade des nuevos capitulos que
complementan a los anteriores tratando importantes cuestiones relacionadas con la
audioria informatica. El capitulo 26 aborda la relacién entre el peritaje y la aaditoria
informética, mientras que ¢l capitulo 27 analiza el contraso de auditoria.
El libro finaliza con una amplia bibliografia que ba servide de referencia y que,
en parte. también se ofrece come lecturas recomendadas en cada une de Jos capitulos.
También hemos incluido en cada capitulo unas preguntas de repaso que pueden
indicar al lector ¢l grado de asimilachién que ha alcanzade sobre la materia.
Por ultimo se incluyen bos acrénimos utilizados en el texto,
ea PREF ACH XIN
ORIENTACION A LOS LECTORES
Aunque un conocimiento en profundidad de las técnicas y herramientas de la
auditoria informstica puede estar reservado a los profesionales de la materia, nuestro
propisito al editar esta obra ha sido dirigimmos a una audiencia mucho mds amplia que
comprenshe:
* Participantes en seminarios o cursos monognifiens sobre awditoria
informatica, bien sean de introdaccidin o mis avanzados,
+ Profesionales informations y eoonomistas que estén trabajando en el rea de
auditoria, ya sea financiera o informatica, y que deseen ampliar y perfeccionar
sus conocimientos,
+ Directivos que sean responsables de la gestidin del departamento de sistemas
de informacién, su desarrollo o explodaciin.
© Profesionales del Derecho que se encuentren trabajando en el campo
informatica.
+ Estudiantes universitarios de la asignatura Audiloria Informidtica, que
afortunadamente se va incorporando actualmente en los planes de estudio de
‘un mayor ndmero de universidades.
+ Consultores informaticos y usuarios avanzados que tengan interés en adquirie
algunos conacimientos sobre auditoria informsitica.
Debido a la diversidad de la audiencia, el estudio de esta obra puede realizarse de
mancras muy distintas, dependicndo de la finalidad y conocimientos previos del
lector, ya sea auditor o auditado.
Cada parte y cada capitulo pueden consultarse de manera auténoma sin tener que
seguir el orden que se ha establecido.
AGRADECIMIENTOS:
‘Querriamos expresar nuestro agradecimiento, en primer lugar, a los autores que
colaboran en sia obra y que son sus verdaderos artifices, Sus conocimicntos,
experiencias y autoridad en el campo de La auditoria informitica constituyen, sin bugar
adudas, una garantia de la calidad desu contenido,
‘Queremos 1a Rafael Rodriguez de Cora, antiguo presidente de la QAI
(Organizacién de Auditoria Informatica), el haber aceptado escribir el prétogo a ln
primera edicidn de esta obra, y a Marina Touriflo presidenta actual de la OAL por el
poilogo a esta segunda edicién, pues al igual que el resto de los compafieros de la
~ —_—_—
XLV AUIDTORDA INFORMATICA: UN ENFOQUE PRACTIOO omnis
OAL, ha sido durante varios aiios una fuente constante de aprendizaje y de intercambio
de ideas, mameniendo encendida la Ilama de In auditoria informatica en nuestro pals,
Asimismo agradecemos a Miguel Recio Gayo su inestimable ayuda en la revisida
de la obra.
Desde estas puiginas queremos también agradecer a los lectores de ba primera
edicién de! libro por sus sugerencias y felicitaciones, ya que cllos han hecho posible la
realizaciin de esta segunda edicidn.
Mario Piattini quiere dejar testimonio de su reconocimiento a los distintos
profesores que uve, ya hace varios aflos, en el Muster de Auditoria Informitica
dirigido por Carlos Manuel Femindez, organizado por la empresa CENEL Elles
despertaron su interés por un drea cada dia mas rebevante dentro de ba Informitica.
Emilio del Peso quiere expresar particulanmente su agradecimiento a todos
aquellos que han confiade en él siendo el que memos sabe en esta materia: a su familia
que siempre, de una forma u otra, colabara en todo aquello que hace, y especialmente
asus hijas Nuria y Marfa del Mar, que han colaborade en la wranscripeiin y comeccion
de esta obra.
Por ultimo, nos resta dar las gracias a Ana M." Reyes por sus valiosas sugerencias
que, como en otras muchas ocasiones, han contribuide a mejorar considerablemente
este libro, asi como a la empresa Albadalejo, SL, que s¢ encargé de la composicion
del mismo, y a la editorial Ra-Ma, especialmente a José Luis Ramirez, por su apayo y
confianza.
Mario Pisttini
Emilio del Peso
Madrid, Ovtebee 2000
PROLOGO A LA PRIMERA EDICION
Tengo el gran placer de presentar Auditoria Informudtica: Un enfogque prdctico, de
los Editores Emilio del Peso y Mario Piattini. Me parece un libro extraordinariamente
oportune para la situacién en que vivimes, desde el punto de vista tecnoldgico, de bos
fegocios, y de la awditoria y seguridad informatica, ya que aporta un enfoque
integrado y completo,
Estamos inmersos en un profundo cambio de todo tipo que nos Hevard al prdximo-
‘glo XXI. Las empresas y organizaciones dependen de los drdenes econdmicos,
industrisles, y sociales en los que se encuentran inmersas por lo que, si lat tendencias
tecnoldgicas y los entomos econGmicos ¢ industriales cambian, deben adaptarse
Fépidamente a las nucvas circunstancias para sobrevivir, Una de las lendencias
actuales mis significativas es la que se dirige desde una Sociedad Industrial hacia la
Hamada Sociedad de Informacidn.
Este cambio es may répado, esta afectande al mundo entero, y oa conuprensidin es
fundamental para las organizaciones de todo tipo, particularmente en el contexto de
kes Sistemas y Tecnologias de Informaciin. Aunque los avances tecnoligicos de bos
dhimos veinte afos han sido constantes y espectaculares, en los Ghtimos cinco afios se
ba producido una verdadera revolucién tecnoldgiea de gran calado e impacto para la
propia industria informitica, asi como de comsecuencias importantes para el resto de
os sectores.,
(Cada vez un mayor nimero de organizaciones considera que la informacion y la
tecnologia asociada a ella representan sus actives mis importantes. De igual modo que
s¢ exige para los otros actives de la empresa, los requerimientos de calidad, comtroles,
seguridad c informacién, son indispensables. La gerencia debe establecer un sistema
de control interno adecuado, Tal sistema debe soportar debidamente bos procesos del
negocio,
=
SKM AUDITOR A INFORMATICA: UN ENROQUIL FRACTION - onma
Haciéndose eco de estas tendencias, la propia Organizacidn ISACA (Information
Systems Audit and Control Association), a través de su Fundacidn, publicd en
diciembre de 1995 ¢l CobiT (Control Objectives for Information and Related
Technology), como consecuencia de cuatro afios de intensa investigacién y del trabajo
de un gran equipo de
202_ AUDITORLA INFORMATION: UN ENFOQUE PRACTICN. . ote
mancra general, se podria decir que algunas de las actividades bisicas de todo proces:
dedireccidn son:
= Planificar
* Organizar
* Coondinar
* Controdar
10.2. PLANIFICAR
En grandes hineas, se tata de prever la utilizacién de las tecnologias de
informacién en la empresa. Existen varios tipos de planes informiticas. El prisscipa,
y origen de todos los demas, lo constimye el Plan Estratégico de Sistemas de
Informacidn.
10.2.1. Plan Estratégico de Sistemas de Informacién
Es el marco bisico de actuacién de los Sistemas de Informacin en In emgees
Debe asegurar el alineamiento de tos mismes con tos objetivos de la propia empresa,
Desgraciadamente, la transformacién de los objetivos de la empresa en objetivy
informiticos no es siempre una tarea facil, Mucho se ha escrito sobre el ‘contenide y
las ventajas ¢ inconvenientes de las diversas metodologias de realizacién de este tip:
de planes. No se traia en estos breves apuntes de tenciar en dicha polémica, El lect
encontrard abundante bibliografia sobre la materia. El auditor deberd evaluar si tle
metodologias se estan utilizando y/o pueden ser de utilidad para sa empresa,
Estrictamente hablando, estos planes no son responsabilidad exclusiva de
Direccién de Informatica, Su aprobaciin final probablemente incumbe a tree
estamentos de La empresa: Comité de Informitica (ver mds abajo) ¢ incluso en ihim
témino de la Direccién General. Sin embargo, la Direceidn de Informatica debe serd
permanenic impalsor de una planificaciGn de Sistemas de Informaciém adecusda y 4
tiempo.
Aunque se suele definir la vigencia de un plan estratégico coma de 3 aS afios, de
hecho tal plaze ex muy dependiente del entomo en el que st mucve la empresa, Hay
muchos Factores que influyen: la caltura de la propia empresa, el sector de actividad,
es decir, si la empresa se encucnira en un sector en el que el uso adecuado deb
tecnologia informética es an factor estratégico -cl sector financiero, por ejemplo-, bx
acciones de la comperencia, etc. Cada empresa tiene su equilibrity natural y el aaditr
deberd evaluar si los places en aso en su empresa son los. adecuados.
oa CVRITUILO 1: ALIDTTORIA DR LA EECCIGN 20
En cualquier caso, independientemente de Ia metadologia, los plazes y Ins
axciones concretas Ievadas a cabo, debe existir un proceso, con participacién activa
‘& los wsuarios, que regulanmente clabore planes estratégicos de Sistemas de
liemacién a largo plazo, cualquiera que sea ese largo, y el auditor deberd evaluar su
wdoceaciin.
Geta de auditoria
El auditor deberd examinar el proceso de planificacién de sistemas de
isfemaciin y cvaluar si razonablemente se cumplen los objetives para ¢l mismo.
Baie otros aspectos, deberd evaluar si:
© Durante el proceso de planificacién se presta adecuada atencidéin all plan
eutratdgico de la empresa. s¢ establecen mecanismos de sincronizaciin entre
sus grandes hitos y los proyectos informdticos asociades y sc tienen en cucnta
‘spectos como cambios organizatives, cmome legislative, evoluciin
tecnokigica, organizaciin informitica, recursos, etc. y sux impactos estin
adecuadamente recogides en el Plan Estraiégico de Sistemas de Informacin,
Igualenemte, ¢1 auditor deberd evaluar si se presta adecuada consideracién a
nuevas tecnologias informdticas, siempre desde cl punto de vista de su
conufbecién a los fines de Li empresa y mo como experimentactin
tecnoligica.
* Las tareas y actividades presentes en el Plan tienen ba correspondiente y
adecuada aggnacién de recursos para poder [levarlas a cabo. Asimismo, si
tienen plazos de consecucidn realistas en funcidin de la situachén actual de la
‘empresa, de la organizacién informedtica, del estado de la tecnologia, etc.
Entre las acciones a realizar, se pueden describir-
* Lectura de actas de sesiones del Comaié de Informitica dedicadas a la
plnificacitin estratégica.
Wentificacién y lectura de bos documentos intermedios prescritos por la
metodologia de planificacidn,
* Lectura y comprensitn detallada del Plan e identificacién de las
consideraciones incluidas en el mismo sobre los objetivos empresariales,
cambios organizativos, evolucién tecnalégica, plazos y niveles de recurses,
ec,
* Realizacidn de entrevistas al Director de Informatica y a otros miembros del
Comité de Informdtica participantes en ¢l proceso de claboracién del Plan
Esratégico, Igualmente, realizacién de entrevistas a representantes de los
usaarios con el fin de evaluar su grado de panticipacién y simtonia con el
contenido del Plan,
24 ALDTORLA INFORMATIC
OQUIRRACTICD - ata
+ Wdentificacién y comprensidn de los mecanismos existentes de seguimicnioy
actualizacidn del Plan y de su relacidn con la evolucién de la empresa
10.2.2, Otros planes relacionados
Come se ha comentado mds arriba, normalmente, deben existir otros planet
informaticos, todos cllos macidos al amparo del Plan Estratégboo. Enare otros, los mip
habitwales svelen ser:
* Plan operative anual '
+ Plan de direccidn tecnolégica
* Plan de arquitectura de la informacidin
+ Plan de recuperacitin ante desastres
Algunos de ellos (Plan tecnoligico, Plan de arquitectura) aparecen a woes
imegrados en el propia Plan Estratégioo. En este capitulo, se tratarin sélo dos de evize
planes, los mis comunes y que, ademas, siempre tiencn vida propia: Plan operative y
Plan de recuperaciéa.
Plan operative anual
El Plan operative sc establece al comienzo de cada ejercicio y es el que marce by
Pautas a seguir durante el mismo, Debe extar, obviamente, alineado con ¢l Plas
Estratégico, Asimismo, debe estar precedido de una recogida de necesidades de ba
usuarios,
El Plan operative de Sistemas de Informackin describe las actividades a realizar
durante el siguiente ejercicio natural. Entre otros aspects, debe sefialar los sistemas
de informaciin a desarroliar, los cambios tecnoldgicos previstos, los recursos y le
plazos necesarios, etc,
El auditor deberd evaluar la existencia del Plan y su nivel de calidad. Debeot
estudiar su alineamiento con el Plan Estratégico, su grado de atenciéa a las
necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar a-
cabo el Plan, etc, Deberi analizar si los plazos descritos son realistas teniendo a
‘cuenta, entre otras cosas, las experiencias anteriores en la empresa, etc.
ucts CAPITULO Pt ALIDITORIA DE LA EXRECCION 285
Pan de recuperacién ante desastres
Una instalackén informdtica puede verse afectada por desastres de variada
taturaleza: incendio, inundacidn, fallo de algdin componente critico de hardware, robo,
mbotaje, acto de terrorisma, etc. gle tengan come consecuencia inmediata la
indisponibilidad de un servicio informatico adecuado. La Direccidn debe prever esta
posibilidad y, por tanto, planificar para hacerbe frente.
En otro capitulo de este libro se cubren los aspectos relatives a la auditoria de un
Pan de recuperacién ante desastres, Sin embargo, se quiere sefialar aqui que dicho
Panes responsabilidad directa de la Direccidin y mo del responsable de la seguridad.
10.3. ORGANIZAR Y COORDINAR
El proceso de organizar sirve para estracturar los recursos, bos flujos de
informacién y bos controles que permitan abcanzar los objetives marcados durante la
flanificacién.
10.3.1. Comité de Informatica
Usa de las acusaciones mis cominmente lanzadas contra la informitica y bos
informaticos es la falta de comunicacién y entendimiento que se establece entre cl
departamento de informitica en la empresa y el resto de la misma. El Comité de
Indoemitica es ¢ primer lugar de encuentro dentro de La empresa de los informiticos y
Ses usuarios: es el lugar en el que se debaten los grandes asuntos de la informatica que
Wectan a toda la empresa y permite a los usuarios conocer Ins necesidades del
erajunto de la organizacién —no sdlo las de su drea- y participar en la fijacién de
Piicidades, Se evitan asi acusaciones de favoritismo entre unas dreas y otras, en
uno al trato recibido de informatica, y. en definitiva, se atiende a la mejor
Giliacién de los recursos informéticos, tradicionalmente escasos.
Si bien estrictamente el nombramiento, la fijacidn de funchones, etc. del Comité
deInformitica mo son responsabilidades directas de la Dineccitin de Informitica, sino
de ls Direccidin General fundamentalmente, la Direccidin de Informatica se ha de
‘tenvertiren ¢l principal impulsor de la existencia de dicho Comité.
Aunqee no existe regia fija, ¢] Comité deberia estar formado por pocas personas y
Por el director mas senior, dentro de la empresa, responsable en ditimo
de las tecnologias de la informacidén. El Director de Informatica deberia
como secretario del Comité y las grandes dreas usuarias deberian estar
fepresemtadas al nivel de sus directores meis senior. Asimicme, el director de
Asdiora Inicma deberia ser micmbro del Comité, Qtras personas de la organizacién
216 AUDITORIA ISPORMATICA: UN ENFOQUE PRACTICO ei
tumbien pueden integrarse en el Comité como miembros temporales cuando se
asuntos de su incumbencia o de
224 ALIDITORIA INFORMATICA: UN EXPOQUE PRACTIC - oy
Jos costes asociados a la regeneracién de datos por pérdida o inutilizacicin de los daiee
originales, ete,
Guia de auditoria
El auditor deberd estudiar las péilizas de seguros y evaluar la cobertura existente,
analizando si la empresa esté suficientemente cubierta o existen huecos en dick
cobertura, Por ejemplo, algunas pélizas sélo cubren el reemplazo del equipo, pero aa
los otros costes mencionados, etc.
10.4. CONTROLAR
Lavtarea de dirigir no puede considerarse completa sin esta faceta que forma pane
indisoluble de tal responsabilidad.
10.4.1. Control y seguimiento
Un aspecto comin a todo lo que se ha dicho hasta el momento es la obligacida de
la Direccida de controlar y efectuar un seguimiento permanente de Ja distinta actividad
del Departamemto, Se ha de vigilar el desarrollo de los planes estratégico y operatina
y de los proyectos que los desarrollan, Ia ejecucién del presupuesto, la evoluciin dela
cartera de peticiones de usuario pendientes, la evolucin de los costes, los planes de
formaciin, la evolucidn de la carga del computador y de los otros recursos (espacio en
disco, comunicaciones, capacidad de las impresoras...), etc.
En esta labor, es muy conveniente que existan estindares de rendimiento con bos
que comparar las diversas tareas. Son aplicables a las diversas facetas de la activided
del Departamento: consumo de recursos del equipo, desarrollo, operaciones, ete.
‘Gula de auditoria
Entre las acciones a realizar, se poeden mencionar:
+ Conocimienta y andlisis de los procesos existentes en el Departamento para
evar a cabo el seguimbemo y control, Evaluacidn de la periodicidad de be
mismeos. Analizar igualmente los procesos de represupuestacicin.
stun CAPITULO 10 AUIDTORLA DEILA DIRECCION 227
+ Revisién de planes, proyectos, presupucstos de afios anteriores y del actual
Para comprobar que son estudiades, que s¢ analizan las desviaciones y que se
toman las medidas comectoras mecesarias.
10.4.2. Cumplimiento de la normativa legal
La Direccidn de Informditica debe controlar que la realizacién de sus actividades
s¢ lleva a cabo dentro del respeto a la normativa legal aplicable, En particular, sc
ommideran fundamentales los relatives a la seguridad e¢ higiene en el trabajo,
teemutiva laboral y sindical, proteccidn de datos personales, propiedad imelectual del
software, requisites definides en la coberura de scguros, contratos de comercio:
thetrdnico, transmisidn de datos por lineas de comunicaciones, asi como normativa
‘tnitida por drganos reguladores sectoriales,
Asimismo, deben existir procedimicntos para vigilar y determinar permanen-
temente la legislacién aplicable.
Gaia de auditoria
El auditor deberd evaluar sila mencionada normativa aplicable se cumple.
Para ello, deberd, en primer lugar, entrevistarse con la Asesoria Juridica de la
empresa, la Direccidn de Recursos Humanos y la Direceién de Informatica con el fin
deconocer dicha normativa.
A continuacién, evaluard ¢l cumplimiento de las mormas, en panicular en los
sipecton mix criticos mencionados més arriba. Si el auditor no es un iéenico en los
sdistintos aspectos legales, deberd buscar asesoramiento adecuado interno a la empresa
oetterno,
10.5, RESUMEN
(La auditoria de la Direccidn de Informatica es una tarea dificil. Sin embargo, la
contribucidin que dicha Direcciin de Informatica realiza (o debe realizar) al ambiente
4 control de Las operaciones informdticas de una empresa es esencial. Desde un
pamo de vista de auditoria, la calidad del marco de controles impulsado ¢ inspirado
per la Direceién de Informdtica tiene una gran influencia sobre el probable
comportamiento de los sistemas de informacién. Por parte del auditor, son mds
mecewarias las capacidades, de evaluar la gestidn que las capacidades técnicas muy
profundas.
=
SS AUDITORIA INFORMATICA: UN ENPOQUE PRACTICO.
10.6. LECTURAS RECOMENDADAS
EDP Auditing, Conceptual Foundations and Practice. Ron Weber. McGraw-Hill,
1993,
Cone! Objectives for Information and Related Technology, Information Sysena
and Control Foundation, 196.
Contral Objectives, EDP Auditors Association, 1992.
Systems Auditability and Control, The Institute of Internal Auditors Reseach
Foundation, 1991.
10.7. CUESTIONES DE REPASO
1. Deserihanse Las actividades a realizar por un auditor para evaluar un ple
estratégicn de sistemas de informacidn,
2. Deserfbanse las funciones de um comité de informitica. Elabirese una lisa
con las funciones empresariales que deberian estar representadas en doko
comité, {Qué objetivo tiene para los usuarios su presencia en el comité?
3. Deserfbanse las ventajas de tener procedimientos. Elabérest un guide dep
(que podrian ser procedimientos de: a) disefio de sistemas b) programaciéa.
4, Qué evidencias deber’ buscar el auditor para poder evaluar i bs
mecesidades de los ussarios son tenidas cm cucmta adecuadamente?
5. Identifiquense las actividades incompatibles desde un panto de vista de
control en un departamento de informitica. Razdnese,
6. {Qué ventajas de control aporta la existencia de la funcién de aseguramiema
de la calidad?
7. Deseribanse los objetives de control a ser evaluados por el auditor en el
apartade de gestidn de recursos humanos,
8, Qué tareas debe realizar un auditor para evaluar el plan de formaciin del
departamento de informitica? ;Cémo puede juzgar si dicho plan es aconde
con bos objetives de la empresa?
ions CAPITULO 10: AUDITORIA DE LADIRECOHIN 22%
9, Relacidnense las actividades a realizar por un auditor para la evaluacién del
precio de tansferencia de repario de costes entre el departamento: de
informdtica y los asuarios.
10. jCuiles son las dreas legales cuyo cumplimiento es ¢l mis importante de
CAPITULO 11
AUDITORIA DE LA EXPLOTACION
Eloy Petia Ramos
11.1, INTRODUGCION
El nivel de competencia que existe, hoy cn dia, entre las empresas les obliga a
tomar decisiones ripidas y acertadas. Es necesario, para ello, el funcionamiento
adecuado de los sistemas informéticos (mediante Ja incorporacién de las mevas
wenalogias) y su continua actualizacién. De esta forma, es decir, combinando esas
teceologias con una adecuada organizacién y una gestién eficiente, las empresas
pedriin alcanzar sus objetives de manera satisfactoria.
La auditon'a informatica periédica es uno de los instramentos mds eficaces con
gee cucntan las empresas para asegurar su existencia y SUperar a SUS competideres. La
deteccién oportuna de las debilidades det sistema permite mejorarlo racionalizando bos
recursos.
En este aniculo se pretende elaborar el esquema de un procedimiento (Figura
ILL) para Wevar a cabo las auditorias de la explotacién de los sistemas de
informacién' siguiendo la clasificacién de bos controles que hace el Proyecto CobiT.
" En este capitulo se ubllizarin com el mismo wgnificade las expresiones Sistema Informinco y
Stems de Informachin, aunque esta dltima Gene un contenido mas amplia, pues incluye bos sistemas
reanuules y fos informatics
ae
2232 AUDITORIA INFORMATICA: UN ENFOQUIE PRACTICD : oma
Figura HJ, Procedimiento de auditoria
11.2. SISTEMAS DE INFORMACION
En un sentido amplio s¢ poede considerar un Sistema de Informacidn (ST) como
un conjunto de componentes que interactiian para que Ia empresa pucda alcanzar sus
objectives satisfactoriamente (véase figura 11.2). Segin el Proyecto CobiT los
componentes o recursos de un SI son los siguientes:
* Bates, En general se comsideranin datos tanto bos estracturados come bos no
estructurades, las imigenes, Ins sonidos, etc.
Aplicaciones. Se incluyen las aplicaciones manuales y las informativas.
* Tecnologia. El software y el hardware; los sistemas operatives; los sistemas
de gestiGin de bases de datos; los sistemas de red, ete.
* Jnsteleciones. En ellas se obiean y se mantienen los sistemas de informacion.
onus CAPITULO 11: AUDITORIA DE LA EXPLOTACION 215
* Personal. Los conocimientos especificos que ha de tener el personal de bos
sistemas. de informacidn para planificarlos, organizarlos, administrarios y
gestionarlos.
(Committee of Sponsoring Organi
‘Control -Integrated Framework, 1992)-, de forma que permitan la eficacia y la
dficiencia de la empress; que bos datos financiers claborades por su sistema de
informacién: muestren una imagen fiel de la misma y que la empresa cumpla la
legislacién vigente. Por otra parte el sistema debe asegurar la confidencialidad de sus
datos, aspecto este Ultimo contemplado en la legislacién vigente.
Para hacer el seguimiento y comprobar que el sistema de informacién esd
wctuando como ex preceptive, éste habrd de disponer de un control intemo que
prevenga bos eventos no deseados o en eu defecto bos detecte y bos corrija.
Es conveniente recordar que el resultado de la auditoria parcial de un sistema de
informaciin no se pucde extrapolar al conjumo del sistema. El funcionamiento
inadecuada de algune (o algunos) de los procesos y recursos que intervienen en otras
partes del Sistersa (subsistemas) puede invalidar el sistema de informackin.
En el esquema que se ind desarrollando como procedimiento para auditar La
eaplotaciin ded sistema, se adopiunin las monmas de ISACA, asi como otras Normas
2M AUBITORIA INFORMATICA: UN ENFOQUE PRACTICH, eeu
de Auditoria de Sistemas de Informacién Generalmentc Accptadas y Aplicables
(NASIGAAY.
11.3. CARTA DE ENCARGO
Las responsabilidades del trabajo de auditoria deben quedar recogidas en un
conimtio o carta de encango antes de comenzar su realizacidn (la Norma General
niimero 12 de ISACA “Draft Standard # 12° se refiere a este agpecto sdlo em el casode
la auditorfa interna; pero también ex de aplicacién a la auditoria extema, como queda
de manifiesto en otros tipos de auditorias). En ese documento debe quedar reflejada
de la forma mas clara posible, entre otros aspectos, cudl serd el abcance del trabajo del
auitivor.
11.4. PLANIFICACION
‘Segin la Norma General miimero 6 de ISACA las auditorias de bos sixtemas de
informacidn deben planificarse y supervisarse para tener la seguridad de que koa
objetives de las mismas se allcanzan y se cumplen las NASIGAA,
En [a planificacién de la auditoria vamos a considerar tres fases:
3.1, Planificaciéin estratégica.
3.2. Planificacién administrativa.
3.3, Planificaciin técnica,
11.4.1. Planificacién estratégica
Es una revisién global que permite conocer la empresa, cl $1 y su control interna
con la intencién de hacer una primera evaluacién de riesgos. Segdn los resultados de
esa evaluacidin se establecenin los objetivos de la auditoria y se podni determinar su
alcance y las pruchas que hayan de aplicarse, asf como el momento de realizarlas.
Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los siguieries:
* Las caracteristicas de los equipos informaticos.
* El sistema © los sistemas operatives,
* (Caracteristicas de los archives o de las bases de datos.
+ La organizacién de la empresa,
«© La organizacion del servicio de explotacidn.
! Bl término Normas de Auditoria de Sistemas de Informackin Generalmente Aceptsdas »
Aplicables iese el mame sentide que Principios de Contabiladad CGeneralmenie Aceptades (PLGA) en is
sedsroeia financiera.
CAPITULO N: AUDITORIA DELA EXPLOTACION 215
[Las aplicaciones que el SI de La empresa (“auditario”)' que se esté auditando o
que se vaya a auditar estén en explotacisn.
El sector donde opera la empresa.
Informacidn comercial.
La informacién puede obtencrse:
a) Medianse entrevisias y confinmaciones:
Con los responsables de explotactin.
Con bos responsabics del plan de contingencias,
Con bos usuarios.
Con los proveedores de software y hardware,
5) Inspeccionande la siguieme docunemaciin:
+ Informes y papeles de trabajo de auditorias anteriores.
Las normas y procedimientos de la empresa relacionados con la
explotacidn del sistema de informaciin.
Los planes de contingencias.
Agenda de trabajo.
Instrucciones sobre el encendido y apagado de los equipas.
‘Contratos de mantenimiento con otras empresas,
Procedimientos de emergencia.
Instrucciones sobre seguridad fisica y légica.
Instrucciones sobre la separaciin de las biblioteca: de desarrollo y
+ Una mwestra representativa de las instrucciones operativas de las
aplicaciones mis importantes donde se incluyan: fecha, entradas, tempo de
proceso. mensajes de errores, instracciones para finalizar tareas erréneas y
diarios de operaciones.
ILA. Clasificacién de los controles
En la auditoria informatica s¢ ha distinguido, wadicionalmente, entre controles
feteraies y controles de las aplicaciones.
* = Audiarier
Jeo conocer niagin témaino con el que referiris al sujeto de la audioria en
alquier tempo vertal, es decir, la persona fikica « jurifica (elieme) cuyo sistema de informacita ha
ido anditado. op esi auditando © va a audiuese, el auior propone, salvo mejor parecer, of térrrins
“imfuario” come susceptible de ser utilxrado en cualquiera de estas viewacioncs.
——
234 AUDITOR[ INFORMATICA: UN ENFOQUE
AcTICO ome
La Nonna técnica nimero 3 de AICPA (American Instinte Of Chaner Public
Accountants), Efectos del proceso electrimico de datos en ef estudio y evaluaciéin def
control interna, publicada en 1974, distingue entre controles generales y conitroles de
Jas aplicaciones.
La AICPA publicé en 1984 la Norma niimero 48 (SAS.- Stament on Auditing
Standard) Les ofector del proceso iaformdtice en el amdlisis de fos Extador
Financieros, En ella se definen los controles generales como aquellos que estia
relacionados con todas o con la mayoria de las actividades contables informatizadas,
que generalmemte incluyen controles del desarrollo de las modificaciones y dl
mantenimiento de programas informdticos y controles de la utilizacién y modificaciie
de bos datos que se mantienen en archivos informiticos.
En una linea parecida se expresa el documento niimero | sobre ED extudio y
evalurcién del control interne en entornos iaformatizades, publicado por el REA
(Registro de Economistas Auditores} en enero de MG, siendo de interés para el
auditor informatics tener en cuenta este documento y sobre todo sus anexos.
El documento publicado por el REA dice: “los Controles Generales son uma parte
del entomo general de control y son aquellos que afectan, en un centro de proces:
electrénico de datos, a toda la informackén por igual y a la continuidad de este servicio
en la entidad. La debilidad © ausencia de estos controles pueden tener un impacts
significative en la integridad y exactitad de los datos, También se consideran
comroles. generales aquellos relacionados con la proteccian de los activos: lb
informacién resultamte. los elementos fisicos del hardware y el software (programas y
sistemas operativas).
Los Controles de las Aplicaciones som aquellos relacionados con la captura,
entmda y registro de datos en un sistema informitica, asi come los relacionados cons
procesamiento, célculo y salida de La informaciin y su distribucidin™,
a) Controles generales
Los controles generales se pueden clasificar en las siguientes categorias:
1. Controles Operatives y de Onganizacién:
« Segregacién de Functones entre el Servicio de Informacidn y los usuarics,
* Existencia de Autorizacién general en lo que respecta a la ejecucitin y a las
transacciones del Departamento (por ejemplo: prohibir al Servicio de
Informacién que inicie 0 autorice trantacciones}.
* Segregacién de funciones en el seno del Servicio de Informacién.
ess CAPITULO: AUDITORIA DELA EXPLOTACION 257
nr
. Controles sobre el desarrollo de programas y su documentacién:
+ Realizacitn de revisiones, pracbas y aprobacidn de los nuevos sistemas.
* Controles de las modificaciones de bos programas,
+ Procedimicntos de documentacidn.
we
. Controdes sobre los Programas y los Equipe:
‘Caracteristicas para detectar, de manera automidtica, errores
Hacer mantenimienios preventivos periddicos.
Procedimientos para salir de los errores de bos equipos (hardware).
‘Control y autorizaciéa adecuada en la implementacidén de sistemas y en las
modificaciones de los mismos.
4. Conaroles de aceeso:
* Sirven para detectar yo prevenir errores accidentales o deliberados,
causades por cl uso-o la manipulacién inadecuada de los archivos de datos
¥ por el uso incorrecto one autorizado de los programas.
5, Condroles sobre los procedimientos y Jos datos:
* Manuales escritos como soporte de los procedimientos y los sistemas de
aplicaciéa.
* Controles de las conciliaciones entre los datos fuente y los datos
informiticos,
+ Capacidad para restaurar archives perdidos, deterioradas o incarrectos.
b) Controtes de las aplicaciones
Los controles de las aplicaciones estin relacionados con Ins propias aplicaciones
informatizadas, Los controles bisicos de las aplicaciones son tres: capbura, proceso y
‘alida.
L Controles sobre la capture de datos:
* Altas de movimientos.
* Modificaciones de mowimientos.
* Consultas de movimientos.
* Manteaimientode los archivos.
4
24 AUDITORS INFORMATICA UN ENFOQUI PRACTICO ou
2. Comoles de proceso, Normalmente se incluyen en los programas, Se
disevian para detectar o prevenir los siguientes tipos de errores:
Entrada de datos repetidos. .
Procesamiento y actualizacion de archive © archivos equivocados.
Entrada de datos iligicos.
Pérdida o distorsidin de datos durante el proceso.
3. Controles de solide y distribuctim. Los Controles de salida se disefian pam
asegurarse de que cl resultado del proceso ex exacto y que los informs y
demuis salidas los reciben silo las personas que estén auborizadas,
En el Proyecto CobiT se establece una sueva clasificacién, donde se afirma que
existen tres. niveles en las Tecnologias de la Informacién a la hora de considera: by
pestidn de sus recursos: actividades y'otareas, proceso y dominios.
Actividades y tareas
Las activideder y las farear son necesarias para alcanzar un resubade
cuamtificable, Las acrividades suponen un conceplo ciclico, mientras que las tareas
implican un concepto algo muis discreto. -
Procesos
Los procesos s¢ definen como una scric de actividades © tareas unidas por
imerrupciones naturales.
Dominios
Los prosesos se agrupan de forma natural dando lugar a los dominios, que
confirman, generalmente, como dominios de responsabilidad en las estracturas
onganizativas de las empresas y estin en linea con el ciclo de gestion aplicable a los
procesos de las Tecnologias de la Informaciéa.
La Guia de Auditoria del Proyecto CobiT recoge 32 procesos de los Sistemas de
Informacién donde st sugieren los abjetivos de control, Eso: procesos estis
agrupados en cuatro dominios,
Dominios y procesos de las tecnologias de la informacigin
CAPITULO Li: AUDITORIA DE LA EXPLOTACI 29
1, Planificacin y rganisecién
re
Lh
Ta
Ls
Le.
Lh
La
ee
ho.
wa
Definir ef plan estratégico de lax Tecnologiat de Informacidn (TTI).
Definie la arquitectera de la informacidn.
Detenminar la direccién tecroligica.
Definir la organizaciin y las relaciones.
Gestidn de las inversiones.
Comunicar las tendenctas @ la direccidn.
Genidade recursos hwmanas,
Asegurarse del cumplimiento de los requisites externas.
Evaluceion de! riesgo.
Gestidn de proyectos.
Gerridn de fa calidad.
1 Adguisiciin ¢ implementacién
2d
22.
2B
2d.
2s
26
Identificar las soluciones automatizados.
Adguirir y mantener ef software.
Adquirir y mantener la arguitectura tecnoligica.
Desorrollar y mantener procedimientos.
dnstalar y acreditar los sistemas.
Gestidn de los cambios,
4. Suminisiro y mantenimiento
aL
az
aa
a4,
aA
R6,
7.
3B
ae,
RO
BAL
BID
Bi
Definirel nivel de servicios.
Gestionar los servicios de las terceras partes.
Gestionar lo capacidad y el fincionamiento,
Asegurarse del servicio continuo,
Asegurarse de la seguridad de lox sistemas,
Idensificar y localizar los costes,
Formacién tedrica y prictica de lor usuarios,
Asistir y asesorar a los clientes.
Manejo de la configuracién.
Gestidn de lox problemas y de los inctdentes,
Gestidn de lax datos.
Gesridn de las instalaciones.
Gestidn de la explotacién.
4. Monitorizaciia
an
42
Monitorizar el proceso,
Independencia.
240_ AUDITORIA INFORMATICA: UN ENPOQUE PRACTICO oname
1.4.1.2, Evaluachin de los controles internos
Es funcién del auditor evaluar el nivel de conerol interno; también ex dew
responsabilidad juzgar si los procedimienios establecidos son bos adecuades pan
salvaguarda el sistema de informacién.
La naturaleza y la extensidin de los controles que requicren los sistemas de
Proceso de datos varianin de acuerdo con la clase de sistemas en uso.
E] informe COSO define el CONTROL come “las monmas, los procedimicnio,
las pricticas y las estructuras organizativas disefladas para proporcionar seguridad
razonable de que los objetivos de las empresas se alcanzarin y que los eventos no
deseados se preveriin, se detectanin y se comeginin”.
Para cvaluar los comroles es necesarto buscar evidencia sobre:
* Laterminacién completa de todos los procescs.
* La separachin fisica y ldgica de los programas fuentes y objelos y de bs
bibliotecas de desarrollo, de pruebas y de produccidn,
© La existencia de nonmas y procedimientos para pasar bos programas de ung
biblioteca a otra.
© Las estadisticas de funcionamiento, donde al menos se incluya:
- Cupacidad y utilizacién del equipo central y de bos periféricos.
~ Ulilizacién de la memoria,
~ Utilizactén de las telecomunicaciones.
Las normas del nivel de servicios de los proveedores.
Los extindares de funcionamiento interno,
E] mantenimiento y revisidn de los diarios de explotacién (Operations Logs).
La realizaciGn del mantenimiento periédico de todos los equipos.
La cvidencia de la rotacidn de los tummies de los operadores y de Las vacaciones
tomadas.
‘Una forma de encontrar evidencia, como se comentaba en el punto 11.4.1.1a es
meehante entrevistas: para Ievarlas a cabo se pueden elaborar cuestionarios (ver
euadro 11.1) 0 listas de comprobaciin (check fists) com el objetive de no olvidar
detalles importantes’, Es conveniente que los cuestionarios y las listas de
comprobacién se claboren de tal manera que de las respuestas negativas se infers
debilidad, posibilidad de riesgo,
* En la bibliografia que se recomieada el lector podrd encontrar listas de comprobuciia
curstionanios de control interna. .
iF
CAPITULO I: AUDITORIA DE LA EXPLOTACIN 241
Referencia: 3.13/CCI/1
=A
‘Controles sobre la explotacién del Servicio de In-
formactin
Existen normas y peocedimientos escrilos
bree! funcionamiento del Servicio de Infor:
macidn?
ante ee eee
reso di Bes
nevis eoeepil do facien
reel Servicio de leformacitn y los departa-
“ments de bos usuaeion’?
(EL personal de explotacién participa en fan.
‘clones de andlisis y deswrreilo de aplicacionet?
(JExiste organigrama del funcionamiento del
Servicio de Informaciéan?
{Se describen con detalle las funciones y res-
ponsabilidades del personal?
[El personal de explotacidn joonace perfects.
mente cuiles som xs funciones y sus respon
sabilidases?
.2Es imposible que los cperadores accedan a
‘programas y datos nc mecessarios para su tra-
‘bajo?
(Se rotan las ani gnactones de trabajo de bos.
‘operadores’?
Exisien nonmas de oteno debe hacerse bos
‘cambios die name para que exista la seguridad
de que las aplicaciones continian su procean’?
Cuadro 1.4 (Contincia}
242_AUINTORIA INFORMATICA: UN ENPOQUE PRACTIOO
‘Cliente | Nombre de la empresa
Fecha de auditoria : 31/12/9052
Dominio it
Procesa
Titulo
os
eae
Referencia: 3.13/CCi2
eer AY
‘Controles sobre la explotaciin del Servicio de In-
formaciia
HL. ;Bxiste personal con conockmiestos y experiencia
sufickente que organiza el trabajo para que resabie bo
exis eficaz posible?
12. (Esisten procedimientos de salvaguarda, Guera dea
insialacste, en relackin con ficherod maestros, ma-
muules y programas, que permitan recomstruir las
‘operaciones que sean necesarias?
13, [Se aprachen por personal atstorizade las solicitudes
de moevas aplicaciones?
14. {Eniste personal con sutowidad saficiente que ex el que
_aprucha kes cambios de ueas apbcactones por otras?
15, [Eisen procedimiemos adecuados parm mantener
la docamentacign all dia?
16, ;Tienen marwales todas las apticaciones?
(7. {Enisten controles que garantices:e] uso adecusdo
de discos y cimtas?
18, jBaimen procedimienton miocuades para conectanse
ydesconectarse de los equipos remota?
19, (Se spruchan los programas maevos y los que se
revisam antes de ponerios en funcsoeamienta?
20. jParticipan Jos departamenton de uuarion en La
|_evaluacitin de tos datos de prueba?
Cuadre [1.1 (comtinwacién)
eau, CAPITULO I: AUIITORIADELA EXPLOTACION 245
Referencia: 3.13/CCV/3
‘Cliente : Nonstne de In empresa
Fecha de anditeria : 31/1 2952
‘Dominio : Suministro y masterumento:
‘Proceso + Gestién de la explotackin
‘Titel : Cuestionario de Control Interna
= HE
‘Controles sobre la explotechin del Servicio de Ine si
formacién
2 gRevisan y evaldge New departumentos de usuarios:
fos resuhtadios de la prachas finales dando wa apro-
backin abies de poor en funckorurnierto las apliica-
cones?
TL Alponer en funcionaumiento macvas aplicaciones 0
‘versiomes actualizadas, jfuncionan en parabelo las
‘exinentes durnte un cierto tiempo?
1G. [Se comprachan los resultados con datos reales?
(M. (Gniste personal com lee conocimaenios y experien
‘daadecusdes que revisa com periodicidad kos com-
Ponentes fisicos.de hos eqsipos siguiendo fas ins-
trucchones de bos fabricantes’?
25. (Se cumplen las condicianes aenibientades: tempe-
fitera, unsedad, etc, que recomienda el fabricante
pam el equipo, cintas, et?
36, (Exisien controkes apeogeados para que wito las
Penonas autorizades tengan acces a hoi equipos,
‘Cintas, discos, documenaciin de programas, etc.?
7. jExisten normas sobre horas extras ¥ se controdan
las entradas ¥ sadidas de! personal fuera de st hora
rode trabajos?
NIA | Observaciones
Cuadro HT (eontinwactén)
2M AUISITORDA INPORMATICA: UN
114.14, Establecimiento de objetivos
En funcién de la importancia de los riesgos que se hayan detectado, el audiag’
establecerd los objetives de la auditoria, cuya determinacidim concreta permitird defiae|
con claridad el aleance de la misma.
Se considera que el riesgo es la presentacién negativa de an objetive de audited,
Si La oracién negativa se transforma en oracién afirmativa. se tiene como resultado m
objetive de control, Vearmos un ejemplo:
Una de las preguntas del cuestionario para la entrevista con el Director de
Explotacién dice lo siguiente:
éTiene su empresa normas escritas de céimo deben hacerse los iraspases &
Programas en desarrollo a programas en explotactin?
Si la respuesta fucra negativa, se podria concluir que existe un riesgo por el hecho
de que cada empleado podria hacer los trasvases sin tomar las medidas de seguridad
necesarias y porque el proceso de trasvase no ha dejado pistas de auditoria para poder
rehacer bos pasos que se han dado y poder comprobar que el trabajo se ha realizado de
manera cormecta, Por el solo hecho de mo existir normas escritas no quiere decir que
os trasvases se nealicen mal, No obstame cs una posibilidad de riesgo por lo que
debemos convertir este riesgo potencial en objetivo de auditoria,
La debilidad seria la siguiente:
La empresa no tiene normas escritas de cémo deben hacerse los traspasos de
programas en desarrollo « programas en explotactén,
El objetivo de contol seria:
Comprobar que la empresa tiene normas escritas de cme deben hacerse lor
Iapasos de programas en desarrollo a programas en explotactin,
Para alcanzar ese objetivo habri que disefiar una serie de prochas de
cumplimiento y sustantivas. Cada una de esas pruebas es un procedimiento.
Los procedimientos podrian ser:
a) Pruebas de cumplimiento
Si se confirma que realmente no existen manuales, no se pueden hacer pruebas de
cumplimiento, pues las pruchas de cumplimiento consisten en comprobar que se estin
cumpliends las normas establecidas. El procedimiento podria ser como sigue:
enema, CAPITULO Hi: ALDTTORIA DELA EXPLOTACION 245
Comprobar que las normas para pasar un programa de desarrotie a explotacién
son adecuadas v que la empresa las estd cumplienda.
La inexistencia de manuales no implica, forzosamente, que los traspasos se [evan
acabo inadecusdameme. Para confirmarlo, a no existir normas, se tendrian que
tealizar pruchas sustantivas,
6) Prieehos sustantives
Reviser fax aplicaciones -si son pocas aplicaciones se revisan todas; si son
muchos se clige wna muesiva representative que se han pasade de desarrollo a
explotacidn y, revisar que antes de pasartas han sido someridas aw fote de pruebas y
der han supercede sontsfecrorimmente. Que esas pruchas cumplen los requisites y
éskindares del sector, Que el traspaso ha sido autorizade por wna persona con la
safictente auteridied,
Ast pues, elaborando un cuestionario que contemple tedos los aspectos necesarios
pam la buena cxplotacitin del sistema de informacidin y realizando las pruebas
Oporiunas se padrin establecer los objetives de control de la auditorfa (cusdro 11.1).
Para comprender y evaluar bos riesgos no siempre es suficiene com entrevistas,
impecciones y confirmaciones; pucde scr nccesario realizar ciileulos y utilizar técnicas
deexamen anulitico,
La confirmacién consiste en coroborar la informacién -que existe en los
{eELINO- Con terceros, normalmente por escrita,
Los cilewlos consisten en la comprobaciin de la exactited aritmética de los
Tegistros de datos,
Las téenicas de examen analitico comsiien en la comparaciin de bos importes
epstrados con las expectativas desarrolladas por el auditor al evabuar las
inerrélaciones que razonablemente pueden esperarse entre las distintas partidas de la
imformachin auditada.
Sienapre que sea posible (y la naturabera de los datos bo permita) es conveniente
wilizar técnicas de examen analitieo (Norma Técnica mimero 5 de ISACA sobre la
tedlizackin del trabajo: “The Use of Risk Assesment in Auditing Planning").
246 _ AUSTRIA INFORMATICA: UN ENPOQUE PRACT
11.4.2. Planificacion Administrativa
La Planificacién Administrativa no se deberia hacer hasta haber concluide
Planificacién Estratégica, En esta fase de la planificacién pueden surgir ci
problemas por coincidir las fechas de trabajo del personal de Ia empresa auditoes
otrosclientes, Asien esta etapa deben quedar claros los siguientes aspectos:
Evidencia. En este punto se podri hacer una relacién con la docu
disponible en La etapa anterior, documentacién que s¢ utilizari indicande el
donde se encuentra para que esté a disposicidn del equipo de auditoria,
Persomal. De qué personal se va adisponer, qué conocimientos y experiencia say
los ideales y si va a ser necesario o no contar con expertos, tanio- persceal del
empresa anditora como expertos externas.
Calendarie, Establecer ta fecha de comienzo y de finalizactén de la audinoris y
determinar dinde se va a realizar cada tarea: en las deperdbencias del cliente o en le
oficinas del auditor.
Coordinacidn y cooperacién, Es conveniente que el auditor mamtenga buen
relaciones con el “auditario”, que se establezca, entre ambos, un nivel de cooperaciig
sin que deje de cumplirse el principio de independencia (Normas Generales nimems
1. 2 y 3.de ISACA) y que se defina con claridad ¢l interlocutor del cliente,
11.4.3. Planificacién Técnica
En esta dltima fase se ha de elaborar el programa de trabajo. En la fase de
Planificacidn Estratégica se han establecide los objetives de la auditoria, Em ba fase de
Planificacidin Adminisirativa se han asignado bos recursos de personal, tiempo, etc. Ea
esta fase de Planificacién Técnica se indican los métodos, -¢l método de auditoria que
se va a seguir, es decir, si s¢ va a seguir un métode que se base en los controles, o por
el contrario La auditoria se basard en prucbas sustantivas-, los procedimicntos, las
herramicantas y las téenicas que se utilizardn para alcancar los objetivos de la auditorla,
El programa de auditoria debe ser flexible y abierto, de tal forma que sc pucdan ir
introduciendo cambios a medida que s¢ vaya comociendo mejor el sistema. EL
programa y el resto de los papeles de trabajo son propiedad del auditor. Este no tiene
la obligacién de mostrarselos a la empresa que se audita (“uaditario"), debiendo
‘custodiarlos durante el plaza que marque la ley.
enyaay CAPITULO I): AUDITORIA DE LAENPLOTACION 247
Dedicarle a la planificacién el tiempo necesario permite evitar pérdidas
innecesarias de tiempo y de recursos. E, Perry [Planing EDP Audits, pagina 7] dice
que La distribucida ideal del tiempo empleado en realizar una auditoria seria: un tercio
ea planificar, un tercio en realizar ¢l trabajo de campo y un teri en hacer las
fevisiones y en la elaboracidn del informe o de los informes.
Para elaborar ¢l programa de trabajo se va a seguir la guia de auditoria del
proceso Gestiin de la Explotaciin [3.13 Gestién de la Explotacién"], Ciertos
agectos de la explotacidn de un sistema de informacidn pucden quedar al margen del
Proceso 3.13, Esto es debido a la clasificaciie que hace CobiT y que se ha comentado
aneriormelnie. Seguro que aquellos otros aspectos que el lector eche de menos
qedan recogidos en otros procesos. Esta es, pues, una de las grandes ventajas que
pecsenta la Guia CobiT, facilita la comunicacién en el sentido de que podemos
determinar con claridad el alcance de la auditoria,
11.5. REALIZACION DEL TRABAJO (PROCEDIMIENTOS)
‘Consivte en llevar a cabo las prucbas de cumplimiento y sustantivas que se han
Plnificado para poder alcanzar los objetivos de la auditoria (Cuadro 11-2).
11.5.1, Objetivo general
Para el caso de la auditoria de la explotacién hemos seguido las recomendaciones
que se inchuyen en La Guia del Proyecto CobiT, Asi el abjetive general de la auditoria
consistinia en:
Asegurarse de que las funciones que sirven de apoye a las Tecnologias de la
Injormacicn se realizan con regularidad, de forma ordenada, y satisfacen bos
requisites empresariales.
11.5.2. Objetivos especificos
Para alcangar el objetivo general, se puede dividir ese objetivo en diversos
objetives especitions sobre los que se realizardn tas pruebas oportunas para ascgurarse
de que el objetive general s¢ alcanza. El esquema de trabajo, para cada uno de bos
objetives. es cl siguiente:
=
etem
Referencia: 3.131
Por Pecks
roe FE
Auditarlo = (Nombre de la ermpeesa Revised
Fecha de awditoria : 31/12/KXXX
Dominio : Sumisisiro ¥ manteniméents
Proceso: | Germtide de la explotacicen
Titulo : Programa de trabajo
‘Gbjetivo general
Las funciones que sirven de apoyo a las Teonologias de fa Informacide: ¢ realizan con reguly|
Fidad, de forma ondenads, » satisfacen los requisitos empresariabes.
2, Objetivos especifices
LI. Objetivo de control sobre los manuales de instrucclones y sobre los procedimien:
tos de explotaciien
El servicio de informaciiin ha establecido y ha documentada peocedimientos normalizades |
para Is explotacide de las Teenologias de fn nformacién, Tesla Is solociencsy la plat
formas de las Tecnologias de la informaciéin imetaladas som operstivas utilizamds escapee
cedinsientes, Los procedimientos se revviuin de manera periddica para asegurarse de que soa|
electives y que se ajustan Io estublecida,
‘22. Objetive de control sobre el inicio de los process y otra docamentaciin de fun-
ciomamieeto
La direcesin del servicio de informackin se Ba aseperade de gor el perional de explotacita:
* EAL suficientemente familiarizads cos kos. procesos. que estin funcionando,
© Que dstos extn documentados adecundumente, y
© Que periddscamente se realizan prctbae y an spesan si proved,
2.3. Objetivo de control sobre la agenda de trabajo
La direccién del servicio de informacitin se ha asegurado de que ba agenda de trabajo, los
‘Procesos y las distintas tarcas cud organaradas com la secuencia mas efecti +
ximizando ua utilizackin. y s¢ aleanzan ios objetives establecides. Tanto la agenda inicial
como las modificaciones que se han peoducido han sado mutorizadas al aivel de responsabi-
lidad spropiade,
24. Objetive de control sobre salidas fuera del horario normal de trabajo
Los procedimientos implantados identifican, aclaran y apruetan las salidas fuera del boeseia
25, Objetive de control sobre La continuided en el process
Es Jos cambios de tumo de los operadores lor procesos mantienen su continuidad sipalenda
fos protocolos establecidos para el relewo de Ia actividad.
Cuadro 11,2 (Continia)
ome 7 __CARETUIL 11: AURITORIADE LA EXPLOTACHN 13
Referencia: 3.13/2
Por = Fecha
Preparado
Auditarto oNoenbre de la erapeesa Revisado
Fecha de anditoria < 31/12/KXXXX
Duminio : Sumaniswo y mantenimgenta
Proceso +: Gestidn de la explotacién
Titulo. : Programa de trabajo
Lé. Objetive de control sobre los diaries de explotacién (Operations Logs)
Los conerotes de la direccién garantizan que se esti guurdamdo, en los diarios de explota-
ida, informaciée eronoligica asficiente come para poder recosutruir, revisar en el mo
menio-oportuno, y cxaminar las secuencias del process y cualquier obra actividad relacionsi-
day que sirva de soporte al proceso em cuestida.
27. Objetive de control sobre la explotackén remota
Para el caio de expiotaciones cemotas, s¢ han defiaido ¢ implantado procedimientes con-
Potrebbero piacerti anche
- ReporteRanking EmpresasDocumento13 pagineReporteRanking EmpresasSusana Carolina Cruz AndradeNessuna valutazione finora
- Cobit4.1 MonitoreoDocumento39 pagineCobit4.1 MonitoreoSusana Carolina Cruz AndradeNessuna valutazione finora
- Universidad de Las Fuerzas ArmadasDocumento4 pagineUniversidad de Las Fuerzas ArmadasSusana Carolina Cruz AndradeNessuna valutazione finora
- Apuntes de Teoria Del ConsumidorDocumento61 pagineApuntes de Teoria Del ConsumidorSusana Carolina Cruz AndradeNessuna valutazione finora
