Metodología para la auditoría del uso adecuado de la...

Ma. del Rocío Franco Jiménez 016079

La Salle. Seminario de Auditoría en Informática Maestría en Sistemas Computacionales Fecha de creación 01/12/2002 11:46 p.m. RFJ Seminario Auditoria Informatica.doc

1

Metodología para la auditoría del uso adecuado de la tecnología

1. INTRODUCCIÓN .......................................................................................... 5

2. GENERALIDADES DE AUDITORÍA INFORMÁTICA .................................. 6

2.1. Noción ................................................................................................................................6

2.2. Objetivo / Alcance.............................................................................................................6

2.3. Tipos y Características.....................................................................................................6

2.4. Organismos de Certificación ...........................................................................................7 2.4.1. ISACA.........................................................................................................................7 2.4.2. CISA ...........................................................................................................................8

3. ACTORES .................................................................................................... 8

3.1. Usuario ...............................................................................................................................8 3.1.1. Usuario Final ..............................................................................................................8 3.1.2. Usuario Experto..........................................................................................................8

3.2. Desarrollador.....................................................................................................................8

3.3. Auditor................................................................................................................................8

3.4. Puestos Administrativos..................................................................................................8

4. LEGISLACIÓN.............................................................................................. 9

4.1. Propiedad intelectual........................................................................................................9

4.2. Contrato de licencia..........................................................................................................9

4.3. Copia no autorizada..........................................................................................................9

4.4. Piratería..............................................................................................................................9 4.4.1. Riesgos.....................................................................................................................10

4.4.1.2. Problemas técnicos..............................................................................................10 4.4.1.3. Ausencia de asistencia técnica............................................................................10 4.4.1.4. Carencia de actualización tecnológica.................................................................10 4.4.1.5. Falta de calidad en el software ............................................................................10 4.4.1.6. Ataques intencionales ..........................................................................................10 4.4.1.7. Disminución de imagen empresarial....................................................................10



2

5. NORMAS COBIT ........................................................................................ 11

6. AUDITORÍAS INTERNAS .......................................................................... 11

7. AUDITORÍA SOBRE SISTEMAS ............................................................... 11

7.1. Sistemas operativos y Software básico .......................................................................11

7.2. Tunning ............................................................................................................................11

7.3. Optimización de los sistemas y subsistemas..............................................................12

7.4. Investigación y desarrollo..............................................................................................12 7.4.1. Controles generales .................................................................................................12 7.4.2. Controles Aplicaciones.............................................................................................12

8. HERRAMIENTAS Y TÉCNICAS................................................................. 12

8.1. Cuestionarios ..................................................................................................................12

8.2. Entrevistas.......................................................................................................................13

8.3. Checklist ..........................................................................................................................13 8.3.1. Rango .......................................................................................................................13 8.3.2. Binaria ......................................................................................................................14

8.4. Trazas o Huellas..............................................................................................................14

8.5. Log....................................................................................................................................14

8.6. Software de auditoría......................................................................................................14

9. METODOLOGÍA......................................................................................... 14

9.1. Concientizar a la Dirección sobre necesidad de control en tecnología de información...................................................................................................................................14

9.1.1. Beneficios de la aplicación de un control de tecnología de información..................16 9.1.2. Amenazas y Pérdidas por la falta de aplicación de un control de tecnología de información ................................................................................................................................16

9.2. Técnicas de auditoría .....................................................................................................16 9.2.1. Estudio general.........................................................................................................16 9.2.2. Análisis .....................................................................................................................16 9.2.3. Inspección ................................................................................................................16 9.2.4. Confirmación ............................................................................................................16 9.2.5. Investigación.............................................................................................................17 9.2.6. Declaración...............................................................................................................17 9.2.7. Certificación..............................................................................................................17 9.2.8. Observación .............................................................................................................17 9.2.9. Cálculo......................................................................................................................17



3

9.3. Revisión preliminar y conceptos generales de la entidad a auditar .........................17 9.3.1. Estudio y evaluación de la Organización .................................................................18 9.3.2. Estudio y evaluación de sistemas y procedimientos................................................18 9.3.3. Estudio y evaluación de flujogramas........................................................................19

9.4. Establecer Objetivo / Alcance........................................................................................19

9.5. Estudio y Análisis de la Legislación Informática aplicable al país............................22 9.5.1. Comercio Electrónico ...............................................................................................23 9.5.2. Protección de Datos Personales ..............................................................................23 9.5.3. Derecho a la Información .........................................................................................23 9.5.4. Derechos de Autor ...................................................................................................23 9.5.5. Acceso ilícito a sistemas y equipos de informática..................................................24 9.5.6. Ley de Propiedad Industrial......................................................................................24 9.5.7. Ley del Mercado de Valores.....................................................................................24 9.5.8. Valor probatorio de documentos electrónicos en legislación diversa ......................24 9.5.9. Propuestas en Política Informática Nacional - Sector Público.................................24 9.5.10. Propuestas en Política Informática Nacional - Sector Educativo.............................25 9.5.11. Propuestas en Política Informática Nacional - Sectores Social y Privado...............25

9.6. Estudio y análisis de las políticas de seguridad .........................................................26 9.6.1. Responsabilidades de uso y derechos ....................................................................27

9.6.1.1. Responsabilidad de Uso ......................................................................................27 9.6.1.2. Responsabilidad de la empresa...........................................................................27 9.6.1.3. Responsabilidades del Usuario ...........................................................................28

9.6.2. Aspectos de influencia de las políticas de seguridad...............................................28 9.6.2.1. Cuentas, perfiles y autorizaciones .......................................................................28 9.6.2.2. Control de acceso ................................................................................................29 9.6.2.3. Uso adecuado de software ..................................................................................29 9.6.2.4. Uso adecuado de recursos materiales y hardware .............................................29 9.6.2.5. Respaldos ............................................................................................................29

9.7. Estudio y Análisis del Sistema de Control Interno......................................................30 9.7.1. Método Descriptivo...................................................................................................30 9.7.2. Método gráfico..........................................................................................................31 9.7.3. Método de Cuestionarios .........................................................................................31

9.7.3.1. CUESTIONARIO 1 REVISIÓN DE CONTROL INTERNO GENERAL ................32 9.7.3.2. CUESTIONARIO 2 INVENTARIO........................................................................33 9.7.3.3. CUESTIONARIO 3 ACTIVO FIJO (PLANTA Y EQUIPO) ...................................34 9.7.3.4. CUESTIONARIO 4 USO DEL CORREO ELECTRÓNICO: ASIGNACIÓN DE LICENCIA 35

9.8. Identificar Riesgos, amenazas y controles ..................................................................36 9.8.1. Identificar riesgos .....................................................................................................36 9.8.2. Identificar amenazas ................................................................................................36 9.8.3. Identificar controles requeridos en cuanto a los riesgos y amenazas .....................36

9.9. Pruebas de cumplimiento ..............................................................................................37 9.9.1. Evaluación del desempeño de hardware y software, provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema............37

9.10. Propuesta de corrección si hay debilidad de control .................................................37



4

10. REFERENCIAS....................................................................................... 39



5

1. Introducción

La auditoría informática como técnica y herramienta de apoyo a la Organización, ha facilitado en las últimas décadas el desarrollo en el área de Sistemas, debido al auge que han tenido en estos últimos años.

La Información cada vez va teniendo más realce, y se le va considerando como un activo intangible, irrecuperable e invaluable. Esta preocupación internacional ha llevado a que grandes peritos en el tema, dediquen horas de trabajo, análisis y estudio a realizar inventos que permitan el almacenamiento de los datos, acceso rápido a ellos y recuperación, entre otras.

Así la Tecnología pasa a un plano de suma importancia, donde las telecomunicaciones acortan distancias y eficientizan el trabajo, produciendo una alta rentabilidad en la empresa, sin embargo, como amenaza, y con base a los bajos costos de adquisición de productos similares que tengan las bondades antes mencionadas, más las nuevas en desarrollo, llegan a ser compradas o copiadas de manera ilegal.

Se habla de ilegalidad en cuanto se van creando leyes o se preparan congresos o se disponen reglamentos y políticas internas para respetar el derecho de autor y la iniciativa para resolver tal cuestión.

La empresa en su aspecto competitivo, se ve en la necesidad de destinar parte de su presupuesto a esta nueva área, donde se ven faxes, computadoras, licencias de software, teléfonos, scanner, impresoras, y mucho más. Pero… ¿cómo saber si este desembolso es el mejor, si realmente se obtienen beneficios? Esto tiene relación directa con el buen uso que se dé a la tecnología.

En el presente trabajo, se despliegan los conceptos generales y relacionados con la auditoría informática como un punto de partida para entender y ahondar en la metodología propuesta de la auditoría sobre el uso adecuado de la tecnología, misma que de manera detallada y a modo de ejemplo se muestra y definen los conceptos básicos pero bajo este enfoque, de tal manera, que facilite su lectura y sea una guía práctica para realizar una auditoría de este estilo, sin importar el giro al que se dedique la Organización.



6

2. Generalidades de Auditoría Informática

2.1. Noción

Es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. 1

La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones.

La revisión analítica a la suficiencia de controles establecidos en el ámbito informático, con la finalidad de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la información. 2

2.2. Objetivo / Alcance

Revisión de los controles técnicos de gestión informática referente a la seguridad, explotación de la información, interoperatividad entre sistemas, desarrollo, comunicaciones e infraestructura de tecnología.

a. Operatividad: Que el mínimo de maquinaria y sistemas informáticos se encuentren en buen funcionamiento.

b. Verificación de la observancia de las normas teóricamente existentes en el departamento de informática y su coherencia con el resto de la empresa. Aplicando:

b.1 Las Normas Generales de la Instalación Informática: Registrar las áreas que carezcan de normatividad. Se revisa que la normatividad informática general no sea contradictoria con la Normal general de la Empresa.

b.2 Los Procedimientos Generales Informáticos: Se verificará su existencia, al menos en los sectores más importantes.

b.3 Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales

2.3. Tipos y Características

Las áreas generales que abarca la auditoría informática son: Interna, Dirección, Usuario y Seguridad, mismas que se combinan con las áreas específicas que son explotación, desarrollo, sistemas, comunicaciones y seguridad.

Así cada Área Especifica puede ser auditada desde los siguientes criterios generales:

• Desde su propio funcionamiento interno. • Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de

cumplimiento de las directrices de ésta. • Desde la perspectiva de los usuarios, destinatarios reales de la informática. • Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama

auditada.1



7

a. Auditoría de Inversión Informática: Revisa las inversiones informáticas realizadas por la empresa para la conservación y control de la información.

b. Auditoría de Seguridad Informática: Forma de protección de modo global o particular de los sistemas informáticos. La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. 1

c. Auditoría de Desarrollo de Sistemas: Revisión de la aplicación en el desarrollo de sistemas de la normatividad establecida en la empresa, de acuerdo a sus políticas, estándares de calidad o IEEE. Revisando prerrequisitos del Usuario (único o plural) y del entorno, Análisis funcional, Diseño, Análisis orgánico (Reprogramación y Programación), Pruebas, Entrega a Explotación y alta para el Proceso. 1

d. Auditoría de Técnica de Sistemas: Revisión de la aplicación de la normatividad establecida en la empresa, de acuerdo a sus políticas, estándares de calidad o IEEE, en la adquisición de nueva tecnología.

e. Auditoría de Organización Informática: Cuando se redefinen puestos y funciones, creando un cambio estructural.

f. Auditoría Informática de Explotación: La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que son necesarios transformar, y que se someten previamente a controles de integridad y calidad.1

g. Auditoría Informática de Comunicaciones y Redes: El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. 1

2.4. Organismos de Certificación

2.4.1. ISACA Los criterios de la ISACA (Information Systems Audit and Control Association) abarca las siguientes áreas: 3

• Revisión de la estructura Organizacional, las políticas y procedimientos referentes a la seguridad informática y el ambiente de control del área informática.

• Verificación del control de ingresos físicos a áreas sensibles y de las vías de acceso lógico.

• Revisión del estado del Plan de Recuperación de Desastres Organizacional.



8

• Revisión del software de base desde la perspectiva de la adecuada implementación de sus parámetros de seguridad.

• Verificación de la existencia de una metodología adecuada para el desarrollo o adquisición de aplicaciones

2.4.2. CISA Desde 1978, el programa Certified Information System Auditor, patrocinado por ISACA, ha sido aceptado a nivel mundial como la norma entre los profesionales de auditoría, control y seguridad, el cual concede al individuo que lo obtiene el valor y reconocimiento como certificación profesional. 4

3. Actores

3.1. Usuario

3.1.1. Usuario Final Es la persona que tiene un problema y/o una iniciativa para realizar mejor y con eficacia su trabajo. 3.1.2. Usuario Experto Es la persona que es ejemplar en su desempeño laboral, que domina sus actividades y tiene una visión global y clara; es capaz de interrelacionar las funciones y actividades de las demás personas con las suyas, con iniciativa y criterio prudencial, catalogándolo así como un usuario clave. Es a quien se le llama, para hacer las pruebas necesarias de los desarrollos de nueva o modificación de funcionalidad, y de los reportes solicitados.

3.2. Desarrollador

Persona que tiene los conocimientos técnicos, lógica, relación directa con el programa en cuestión si se realiza una modificación, y la imaginación suficiente para optimizar los tiempos de respuesta, los reportes, nuevas funcionalidades, etc., a partir de elaborar un programa que se lo permita.

3.3. Auditor

El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.1

Los auditores informáticos o financieros deberán dar cumplimiento a la Ley de Propiedad Intelectual. Eliminando riesgos en las empresas auditadas como son: multas, deterioro de imagen de la empresa, virus y una falta de control de la gestión informática, 5

3.4. Puestos Administrativos

Es el responsable de una organización o entidad empresarial o el máximo responsable de la compra y gestión de maquinas, computadoras, servidores… y software en la Organización.



9

4. Legislación

Es cierto que una norma jurídica es algo vivo y dinámico; dinamicidad que debe ponerse aún más de manifiesto cuando se trata de normalizar los aspectos jurídicos de los distintos campos de aplicación de las nuevas tecnologías.

Pero la necesidad de un marco jurídico adecuado en el que puedan desarrollarse conforme a norma, los distintos aspectos que las nuevas tecnologías plantean, es algo que viene preocu-pando en todos los países. Esto ha hecho que aparezcan normas jurídicas para regular aquellas situaciones que las nuevas tecnologías generan. A estos planteamientos no son ajenas la informática y las telecomunicaciones. 6

4.1. Propiedad intelectual

Un programa original de ordenador está protegido por la Ley de Propiedad Intelectual que defiende los derechos de autor de la persona o empresa que lo ha creado. Por tanto, los programas de ordenador están protegidos por la Ley de Propiedad Intelectual, que dispone que cualquier copia sin autorización es ilegal. 5

4.2. Contrato de licencia

Establece los límites de su uso a quien lo ha adquirido. El contrato de licencia que acompaña al programa se encuentra está localizado explícitamente en la documentación del programa o en la pantalla del ordenador al comienzo del programa. El precio del programa cubre la adquisición legal del uso del programa y obliga al comprador a usarlo sólo según los límites y contratos establecidos en ella. 5

4.3. Copia no autorizada

A menos que se establezca de otra forma, la adquisición de una licencia de uso de programa permite al comprador hacer una sola copia de seguridad, para ser usada exclusivamente en caso de que el disco original no funcione adecuadamente o sea destruido. Cualquier otra copia del programa original es considerada como ilegal y como una infracción del contrato de licencia y de la Ley de Propiedad Intelectual, así como la Ley de Protección Jurídica de Programas de Ordenadores, que protege el programa y rige su uso.5

4.4. Piratería

Es un término usado para describir la copia no autorizada o el uso de un programa de ordenador de cualquier forma no permitida por la Ley de Propiedad Intelectual o por el autor, según lo establecido en el contrato de licencia del programa. Cualquier persona que practique la piratería de programas de ordenador comete un acto ilegal, según la Ley de Propiedad Intelectual y el Código Penal. 5

Los nuevos riesgos que la informática involucra no sólo quedan cifrados en la pérdida o robo de algunos equipos. La mayoría de ellos se presenta en el contenido y en la posibilidad de alteración de los registros magnéticos, ya que en ella se encuentra el activo vital de la empresa que es la información. 2



10

4.4.1. Riesgos

4.4.1.1. Sanciones y multas Las sanciones resultantes de demandas judiciales pueden significar par las empresas unas pérdidas económicas sustanciales, dependiendo de la gravedad de la infracción y de los daños que provoque esta acción. 4.4.1.2. Problemas técnicos La utilización de copias incompletas o sin actualizar puede provocar innumerables fallos y deficiencias difíciles de prever en los sistemas de información. Estos prejuicios pueden concretarse en una interrupción del sistema, producción de información inexacta, pérdida de datos, y muchas otras situaciones similares difícil de predecir. 4.4.1.3. Ausencia de asistencia técnica La posesión y uso de software no original tiene como contrapartida la imposibilidad de recurrir o solicitar la asistencia técnica del fabricante o proveedor autorizado, al no poder demostrar que se tiene una licencia legal. 4.4.1.4. Carencia de actualización tecnológica El crecimiento tecnológico y compatibilidad de la plataforma informática pueden verse comprometidos. Las actualizaciones de determinado software se pueden obtener a precios reducidos cuando se demuestra que se tiene una copia autorizada del software. 4.4.1.5. Falta de calidad en el software Esta es una restricción ya que los usuarios de copias ilegales no se recibirán las innovaciones, correcciones o mejoras del software distribuido por los fabricantes a los clientes debidamente acreditados. 4.4.1.6. Ataques intencionales La actualización de software no original expone a una empresa a que se realicen modificaciones dañinas o bien a la omisión de controles de seguridad y protección. 4.4.1.7. Disminución de imagen empresarial La divulgación potencial de la utilización de software no original puede acarrear a la empresa pérdidas en la confianza de sus proveedores o clientes.



11

5. Normas COBIT

Las Normas COBIT (Control Objectives for Information and related Technology) es el resultado de uno de los mayores Proyectos de investigación completado y publicado por la Organización Mundial de Auditores de Sistemas de Información (ISACF).Este conjunto de Normas constituye un estándar internacional para la aplicación de un correcto Control de los Sistemas de Información. Es aplicable a un amplio rango de Sistemas de información que van desde el nivel de Computadoras Personales, Computadoras de Rango Medio, Grandes Computadoras (Mainframes) e Instalaciones Cliente-Servidor. 7

Las Normas COBIT se caracterizan porque contribuyen a:

• Disminución de riesgos • Seguridad y control sobre adquisiciones tecnológicas • Controles internos • Controles Gerenciales

6. Auditorías internas

La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. 1

La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

7. Auditoría sobre sistemas

7.1. Sistemas operativos y Software básico

Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

7.2. Tunning

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados: cuando existe sospecha del comportamiento parcial o general del Sistema y, realizarlo también de modo sistemático y periódico. 1



12

7.3. Optimización de los sistemas y subsistemas

Se debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings preprogramados o específicos. El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crítico de producción diaria de explotación de información.

7.4. Investigación y desarrollo

Es deber de Sistemas cuidar que no intervengan estas actividades con la operación diaria de la empresa, sobre todo, si es empresa desarrolladora de software. Así, si están bien administradas el auditor podrá percibir que no hay ineficiencia o lentitud en la base de datos transaccional.

7.4.1. Controles generales Tiene en cuenta los requerimientos de la organización y la infraestructura tecnológica existente. 7.4.2. Controles Aplicaciones Por otra parte cada sistema de procesamientos que transforma datos en información es un conjunto de programas que ejecutan determinadas funcionalidades con un conjunto específico de controles incorporados. El enfoque moderno consiste entonces, no en verificar directamente la corrección de los programas, sino a través de la validez y completitud de los datos procesados. 3

8. Herramientas y técnicas

8.1. Cuestionarios

El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. 1

Se envían cuestionarios preimpresos a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.8

Se recomienda solo hacer preguntas necesarias, que permitan alcanzar el objetivo; preguntas sencillas y directas, no hacerlas abiertas, porque dificultan el análisis.



13

8.2. Entrevistas

El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

• Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.

• Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.

• Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. 1

Para el caso del auditor informático, siempre tienen que ser su entrevista preparada y con preguntas sistematizadas, que en un ambiente de cordialidad le permita al usuario dar la información que el auditor requiere, de una manera sencilla.

8.3. Checklist

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método.1

El profesionalismo para utilizar los checklist, pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

8.3.1. Rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido. Después se hacen preguntas, mismas a las que se les dio una ponderación y después bajo promedio aritmético, se relacionado con el rango preestablecido.



14

Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en los checklist binarios. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor. 1 8.3.2. Binaria Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente. Los Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor riqueza del intervalo.

8.4. Trazas o Huellas

Por lo general, los auditores se apoyan en software que les permiten rastrear los caminos que siguen los datos a través del programa. Las Trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. No deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo. 1

8.5. Log

Es un historial que informa que fue cambiando y cómo fue cambiando (información).

8.6. Software de auditoría

Los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.

Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para su trabajo. 8

9. Metodología

9.1. Concientizar a la Dirección sobre necesidad de control en tecnología de información

Es tarea fundamental de quien dirige conocer la empresa en la que trabaja, y ubicándose en el organigrama, cada una de las funciones de su personal de confianza. A través de reuniones periódicas un jefe ha de tener el control de lo que se está realizando para que a partir de ello, repasen la visión, misión, políticas, objetivos, metas de la empresa reflejadas según la especialización en las tareas funcionales de cada departamento e individuo.



15

Con frecuencia en las empresas, las personas suelen “ciclarse” en la consecución de un objetivo primario, olvidando o descuidando el resto de las operaciones, no obstante, se admiten acciones que si no son del todo correctas, pero no afectan tan directamente a los resultados, se permiten sin marcar alguna objeción. Sin embargo, no se reconoce a corto plazo pero sí a largo plazo, que estas prácticas han mermado la eficacia y eficiencia del área.

Por ello, cuando la presión del trabajo a nivel área ha disminuido, o las actividades se han vuelto más complejas, sin serlo antes, la Alta Dirección se centra en estandarizar y estudiar los procesos para definir nuevas actuaciones, o en su caso crear mecanismos o dar definiciones para descomplicar las funciones.

Poco a poco, las empresas requieren de implantar un sistema de calidad, que revise cada una de las etapas del proceso que tienen en sus organizaciones. Esto no es más que un reconocimiento de la importancia del control, el cual ayuda a disminuir costos, a gastar en lo que se debe, con premisas de mantenimiento preventivo. La cultura organizacional va cambiando. Estas nuevas medidas dan a la compañía una buena imagen, prestigio, fidelidad, rentabilidad, transparencia, compromiso, etc.

Es así como, ahora con frecuencia se observa que se van creando departamentos de auditoría interna, o en su caso solicitan las revisiones externas, no porque se hayan encontrado errores, sino porque aquello que la operación diaria cubre o no se le da importancia, puede ser visto por una persona ajena a la operación, al proceso o a la empresa. Su experiencia, audacia, perspicacia y el no estar involucrado, le permite tratar los asuntos con objetividad, detentando fallas u oportunidades de mejora, sin dar una opinión personal, tan solo dando a conocer y documentando la manera de trabajar, con base en una normatividad estándar y a las reglas propias de cada empresa.

En cuanto a la tecnología de la información, los papeles van desapareciendo y las computadoras, lo magnético y lo digital, va tomando relevancia, así todo aquello que como infraestructura y herramientas pueda servir para mantener en óptimas condiciones la información, va siendo cada vez lo más valioso.

Cada día es más importante mantener seguros los datos con los que trabajan las empresas, ya que si la información es algo intangible, ésta representa el grado de utilidades que pueden obtener las empresas.

En estos momentos, al ser el auge en la sociedad, toda la creatividad y ciencia se va dirigiendo hacia este nuevo aspecto: capacidad de almacenamiento, velocidad, tiempos de respuesta… Se crean nuevos procesos de direccionamiento e interrelación de datos. Cada vez existen políticas, formas de protección para cuidar los derechos intelectuales en relación a estos temas.

Y la auditoría informática, que si bien, es un concepto prácticamente nuevo, se va aplicando con más frecuencia. Por esta razón, las áreas de sistemas cuidan con mayor esmero las licencias del software que se utiliza, el número de máquinas personales y su utilización, la capacidad de las mismas… para adaptarlo a las necesidades de los usuarios.

“LAS PERSONAS NO SUELEN HACER AQUELLO QUE SE LE DICE, SINO AQUELLO DONDE SE LES TIENE CONTROLADO”.



16

9.1.1. Beneficios de la aplicación de un control de tecnología de información • Revisión analítica a la suficiencia de controles establecidos en el ámbito

informático. • Disminuye los riesgos. • Garantiza la seguridad, confiabilidad y exactitud de la información. • Proporciona claridad en los procesos.

9.1.2. Amenazas y Pérdidas por la falta de aplicación de un control de tecnología

de información • Riesgo de detener o entorpecer las operaciones que están en función directa al

número de aplicaciones automatizadas y a la importancia de estas. • Ineficiencia y lentitud en los procesos. • Pérdida o robo de equipo. • Depreciación acelerada y falta de mantenimiento del equipo. • Posibilidad de alteración de los registros magnéticos.

9.2. Técnicas de auditoría 9.2.1. Estudio general Obtener de los datos o informaciones originales de la empresa que se examina, situaciones importantes o extraordinarias que pudieran requerir atención especial. Ej. Alguna compra nueva de equipo o software que por cantidad o importe sea relevante. 9.2.2. Análisis Clasificación y agrupación de elementos que constituyan unidades homogéneas y significativas, a partir de conocer las áreas del departamento de estudio, homologar por funciones. Ej. El área de perfiles, roles y autorizaciones, distinto del de contratos de mantenimiento de computadoras personales, del de mantenimiento de equipo pesado del site. 9.2.3. Inspección Examen físico de bienes materiales o de documentos con el objeto de cerciorarse de la autenticidad de un activo tangible o intangible. Ej. Facturas de las adquisiciones, documentos de donación, recibos de exención de impuesto, si es el papel que avala la pertenencia, documento de la licencia. Constituye la materialización del dato registrado en la contabilidad. Estos papeles avalan jurídicamente la posesión de los activos y el respeto al derecho intelectual del creador. Revisión de los contratos de mantenimiento, capacitación, arrendamiento de equipo. 9.2.4. Confirmación Obtención de una comunicación escrita de una persona, departamento o comité independiente del área o empresa examinada. Así se puede solicitar al comité de informática una confirmación del alcance de las autorizaciones del área auditado tiene para decidir por sí mismo sobre la tecnología de información.



17

9.2.5. Investigación Obtención de información, datos y comentarios de los funcionarios y empleados de la propia empresa o área. El auditor puede formarse alguna opinión con base en los comentarios de las personas y a las respuestas de los jefes de departamento. Esto le ayuda a conocer el funcionamiento y flujo de información de la organización. Ej. Solicitar a algún usuario que comente acerca de los programas que tiene su máquina y la forma de instalación. Solicitar información sobre el procedimiento de resguardo del equipo y accesorios. 9.2.6. Declaración Manifestación escrita con la firma de los interesados del resultado de las investigaciones realizadas con los funcionarios y empleados de la empresa o área.9 Aunque si bien es conveniente y necesaria la utilización de esta técnica, la información debe ser usada con cautela, debido a que con frecuencia los datos pudieron ser proporcionados por personas que estuvieron involucrados en el proceso, operación o decisión, como es el caso de la distribución y asignación de permisos para el uso de software, donde habría que determinar si todos tienen licencias que los respalden.

9.2.7. Certificación Obtención de un documento en el que se asegure la verdad de un hecho, legalizado por lo general, con la firma de una autoridad.9 9.2.8. Observación Presencia física de cómo se realizan ciertas operaciones o hechos. Por ejemplo, el auditor puede obtener la convicción de que la atención al cliente es adecuada y bien documentada, debido al uso de la herramienta Remedy, solo con la observación de la manera como un especialista recibe la incidencia, la atiende, la sigue y le da solución. 9.2.9. Cálculo Verificación matemática de alguna partida. Conviene utilizarlo en cuanto a los techos presupuestales y bases de licitación, cuando se refiere a equipo y software.

9.3. Revisión preliminar y conceptos generales de la entidad a auditar

En primeras entrevistas del auditor con el área auditada habrá que determinar el objetivo, las condiciones y limitaciones del trabajo, el tiempo a emplear, la coordinación del trabajo con el personal de la entidad o función a auditar, el alcance de la revisión; y todos aquellos puntos que, por su naturaleza, ameriten ser definidos antes de la iniciación del trabajo. Si es un auditor externo, habrá de considerarse también los honorarios y gastos a cobrar.

El auditor deberá ponderar el sistema de control interno, proceder a hacerse de un conocimiento general del entorno de la entidad, de sus propietarios, su administración y sus operaciones. Se hará un proceso de recopilación de información más detallada, misma que se irá enriqueciendo a lo largo de la auditoría.

Como primer contacto del auditor con la entidad convendrá que desarrolle las siguientes actividades, como fuentes relevantes:



18

• Experiencias anteriores con la entidad y su medio, incluyendo la prestación de cualquier otro tipo de servicio.

• Establecer conversaciones con:

o Nivel directivo hasta el operativo.

o Personal de la auditoría interna. Revisión de informes de auditoría interna.

o Auditores, asesores legales y otras personas que hayan proporcionado servicios a la Organización.

o Personas relacionadas o conocedoras de la actividad o giro de la empresa: clientes, proveedores, competidores, organismos reguladores de su actividad.

• Conseguir y analizar publicaciones relacionadas con las actividades de la Compañía o área auditada: estadísticas gubernamentales, encuestas, textos, revistas y periódicos especializados, etc.

• Legislación y reglamentación relacionada con uso adecuado de la tecnología: licencias, equipos personales y servidores, accesorios, unidades disponibles de disco, software…

• Observar las operaciones en el mismo lugar donde se desarrollan.

• Documentos o informes generados por el área: actas de consejo, informes a autoridades, presupuestos de equipo, informes a la gerencia, manuales administrativos, y de operación, manual de la organización, etc.

9.3.1. Estudio y evaluación de la Organización Conocer la operación organizacional de la empresa, comenzando por solicitar la visión, misión, política y objetivos, asegurándose que son conocidos por el personal, que pueden citarlas y que las tienen presente en sus actividades. Solicitar el organigrama de la empresa y específicamente del área auditada, donde contenga los puestos principales de la entidad y toda la estructura tratándose de la revisión de una función concreta, dejar definidos los tipos de autoridad: lineal, funcional y staff. 9.3.2. Estudio y evaluación de sistemas y procedimientos Conocer los procesos y subprocesos, pues representan las acciones más importantes en la planeación y desarrollo de cualquier trabajo de auditoría. Requerir a la empresa los manuales de sistemas y procedimientos de operación, en los que se tiene que identificar lo siguiente:

• Nombre. • A qué sistema o función operacional pertenece. • Quiénes sin los actores. • Dónde inicia.



19

• Dónde termina. • Qué objetivos persigue. • Qué políticas administrativas y/o disposiciones de control debe respetar. • Interrelación con otros procedimientos o instructivos. • Personas que reciben/entregar los documentos. • Lugar donde estos son almacenados o en caso contrario, el responsable de

destruirlos. • Periodicidad de los documentos. • Criticidad de los documentos (identificando los documentos)

Identificar de forma secuencial las actividades involucradas en cada procedimiento. 9.3.3. Estudio y evaluación de flujogramas Obtener una representación gráfica de los procedimientos de operación.

9.4. Establecer Objetivo / Alcance

Examinar una parte representativa del área, para derivar del resultado del examen de tal muestra, una opinión personal sobre el universo total del que fue seleccionado. Se llaman también pruebas selectivas.

El tema de Tecnología es tan amplio, que cabe precisar como parte del alcance, el área específica que se va a auditar, pudiendo ser el área de software, hardware, grandes o pequeños equipos, dependerá de: tipos de usuarios: operativos, medios mandos o alta dirección; funciones ordinarias o proyectos designados… Así se podrá definir el tipo de entrevistas y cuestionarios que se han de aplicar.



20

Entonces, se puede decir que el objetivo para el uso adecuado de la tecnología es: Realizar una revisión analítica a la suficiencia de controles establecidos en el ámbito informático (cumplimiento de normas y procedimientos establecidos), con la finalidad de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la información, asegurar la proporción al empleado de las herramientas (software o hardware) ajustadas a las necesidades de sus funciones operativas y administrativas.

Después de haber concluido con la revisión preliminar y así haber dimensionado el trabajo de auditoría en el uso adecuado de tecnología se recomienda elaborar una carta de presentación del trabajo que se va a realizar en la Empresa que solicitó el servicio, aclarando que en cuanto a lo escrito actualmente en los documentos de la Organización, la forma de trabajar, el sistema de calidad y la selección de normas aplicables al giro propio de la empresa, como normas ISO, IEEE, ISACA, COBIT, entre otras, corresponde la una absoluta responsabilidad de la Administración.

De la misma manera que se entregará un dictamen con los resultados como consecuencia al estudio y evaluación del sistema de calidad.

En esta misma carta, se debe añadir que estará realizado el trabajo bajo las normas oficiales establecidas por el Instituto Mexicano de Contadores Públicos, haciendo mención que al ser un área sumamente especializada, sustentará sus papeles de trabajo con el apoyo de informáticos y personas con experiencia en el área a auditar, para considerarlo como una buena investigación sobre el uso adecuado de tecnología.



21

A continuación se muestra un ejemplo de carta compromiso relacionado con la auditoría del uso adecuado de tecnología:

Al Presidente del Consejo de Administración o Representante apropiado de la Administración Estimado Señor RFJ: En relación con la auditoría del uso adecuado de Tecnología al día de hoy dd mm aaaa, que desean ustedes que llevemos a cabo, por medio de la presente tenemos el gusto de confirmarles nuestra aceptación y entendimiento de las bases sobre las se desarrollará nuestro trabajo, así como los servicios que habrán de recibir de nuestra parte. Nuestra auditoría se llevará a cabo de acuerdo con las normas de auditoría generalmente aceptadas emitidas por el Instituto Mexicanos de Contadores Públicos, A.C., las normas IEEE que se apliquen al caso, las normas ISACA, ISO y con el apoyo primordial de expertos en el tema como desarrolladores, analistas y especialistas, incluirá los procedimientos de auditoría que consideremos necesarios en las circunstancias. Para determinar el alcance de nuestros procedimientos daremos consideración a la efectividad de su sistema de control interno, para lo cual llevaremos a cabo un estudio y evaluación del mismo. Para formar nuestra opinión sobre su operación y documentación, efectuaremos las pruebas necesarias para obtener seguridad razonable en cuanto a la forma de trabajar y documentar de acuerdo a sus políticas, procedimientos e instructivos. Así comprobaremos la veracidad de los documentos, la confianza suficiente para ser utilizados como fuente primaria de análisis. Debido a la naturaleza y limitaciones inherentes a la auditoría y a cualquier sistema de control interno, existe el riesgo de que errores e irregularidades importantes no sean descubiertos, sin embargo, en caso de ser detectados serán informados inmediatamente a la administración. Como resultado de la auditoría que practiquemos, emitiremos un dictamen sobre el uso adecuado de la Tecnología en su empresa. Como consecuencia del estudio y evaluación del sistema de control interno mencionado anteriormente, y del resultado de la aplicación de nuestros procedimientos de auditoría, podríamos determinar debilidades importantes en dicho sistema, las cuales serían comunicadas a ustedes en carta por separado. Nos permitimos recordarles que la administración es responsable de la información contenida en sus procedimientos, instructivos, políticas y su revelación suficiente. Esto incluye el mantenimiento y controles internos adecuados, la selección y aplicación de normas IEEE, ISO, ISACA, entre otras, y la salvaguarda de los activos de la Compañía. Como parte del proceso de auditoría, solicitamos de la administración confirmación escrita de las declaraciones que nos hagan en relación con la auditoría que practicaremos. Esperamos cooperación completa de su personal y confiamos en que se nos proporcionará la información necesaria, la documentación y se nos permitirá observar la forma en se utiliza la tecnología al momento de operar. Nuestros honorarios están basados en el tiempo que hemos estimado para llevar a cabo el trabajo, más los gastos que incurramos por su cuenta, los cuales ascenderá, a $XXX,XXX.XX Esperamos el contenido de esta carta merezca su aprobación y, de ser así, le rogamos devolvernos una copia firmada de conformidad. Le agradecemos la confianza que nos dispensan y quedamos a sus órdenes para cualquier aclaración al contenido presente. ATENTAMENTE La Empresa Auditora, Cia CONFORME (Nombre, puesto y firma del cliente)



22

9.5. Estudio y Análisis de la Legislación Informática aplicable al país

Existe una serie de prejuicios y una inercia que se opone tenazmente al manejo de la información a través de las computadoras. Se teme ser desplazado, se tiene la idea de que se va a despedir personal, que aprender las nuevas técnicas es imposible, etc. En principio la informática, por lo menos en el poder Judicial, no desplaza a nadie, sino que redistribuye las funciones y no necesariamente se despide personal, ni tampoco es imposible ni difícil aprender las nuevas técnicas. 10

Por supuesto, como en todos los campos, el nivel de conocimiento de estas técnicas será distinto, según las condiciones de cada uno y la dedicación que aplique a la tarea. Pero lo cierto es que el manejo de las computadoras y demás tecnología no es "una ciencia" y cualquiera puede operarlos, en especial porque los sistemas cada vez son más amigables y más simples. Las impresoras, los faxes, scanner, etc., están cada vez mejor señalizados, ya no hace falta saber al 100% inglés para utilizarlos de la mejor manera, por consiguiente, se tiende cada vez a usar la tecnología de manera indiscriminada, y el acceso a ella, por ser más económica, provoca que se le quite importancia a la vía por la cual se adquiere un aparato similar.

Así las empresas han impulsado a sus gobiernos, para que legalicen su adquisición y utilización, protegiendo los derechos de autor.

Es necesario conocer la legislación para saber cuáles son los puntos o cláusulas especiales que se refieren al caso concreto de estudio, para ello conviene ubicarnos en el país, en este caso México; ya que, es mesurable definir con base en ello los cuestionarios, controles y finalmente hacer un análisis y detección del uso adecuado de la tecnología, pues son los parámetros sobre los que se fundamentan las compras de equipo y software.

Por consiguiente, si los objetivos no coinciden con lo esperado es que existe un problema en algún lugar del sistema. El resultado del control y la dicotomía advertida muestra la necesidad de revisión de las leyes, las políticas, las actividades, las directrices. La consecuencia del control consiste en brindar información al esquema de retroalimentación, para iniciar o determinar e informar en el dictamen las desviaciones.

Se determinan a continuación un esquema de lo que es necesario conocer en la empresa, para poder aplicar de alguna manera las leyes informáticas al estilo de organización y personas que la integran, pues de esta forma se entenderá si la tecnología con la que cuenta cada miembro ha sido utilizada adecuadamente:

• Estudio del estado actual del área a auditar

• Racionalización de trámites con base al flujo de trabajo

• Formación profesional del personal y funciones que desempeñan

• Adquisición del material de trabajo informático

• La carga de información que manejan

• Funcionamiento y resguardo de la información



23

• Presupuesto y mantenimiento

La Legislación de Derecho Informático en México, está citado, entre otros por los siguientes apartados:11

9.5.1. Comercio Electrónico

• Reformas al Código de Comercio - 29/04/00 • Reformas al Código Civil - 29/04/00 • Reformas a la Ley Federal de Protección al Consumidor - 29/04/00 • Reformas al Código Federal de Procedimientos Civiles - 29/04/00 • Acuerdo que establece los lineamientos para la operación del Registro Público

de Comercio - Sistema Integral de Gestión Registral 9.5.2. Protección de Datos Personales En cuanto al uso adecuado de la información contenida en las bases de datos, se puede considerar que limitaciones existentes para la utilización de la informática cuando se trata de garantizar los derechos y libertades fundamentales. Dicha limitación se es-tablece para todos los ficheros que contengan datos de carácter personal y que sean detentados por la Administración, personas físicas o jurídicas de carácter privado. Se determinan una serie de significados: "datos de carácter personal, persona a quien concierne, fichero, tratamiento automatizado" y es importante resaltar la responsabilidad que los anteproyectos de Ley señalan respecto a la persona física o moral que en última instancia decide el contenido de un archivo, no obstante, la información le pertenece y la libera a quien ve conveniente. 6

Referente a la organización interna de la empresa, ésta puede crear un comité de Protección de Datos que conceda autorización para la interconexión y utilización de ficheros, sean éstos públicos o privados, porque en primer lugar está la salvaguarda de la información de la empresa, misma que debería armonizarse con la normativa de la compañía. Esto sería sujeto de estudio para definir un cuestionario de control en la auditoría.

• Propuesta de iniciativa de Ley Federal de Protección de Datos Personales - 14/02/01

• Propuesta de reformas al Art. 16 constitucional en materia de protección de datos personales - 21/02/01

9.5.3. Derecho a la Información

• Art. 6 Constitucional 9.5.4. Derechos de Autor El software o soporte lógico se integra de una parte el sistema operativo que suministra el constructor junto con el material y el conjunto de programas que permiten desarrollar al sistema las distintas aplicaciones. Entendiendo por programa, el conjunto de instrucciones que permite a la computadora desarrollar una aplicación concreta. La vía jurídica de protección de patentes no permite acceder claramente a la misma, en función de poder patentar el algoritmo que subyace en la confección de un programa (programa máquina, fuente, traductor). 6



24

El Derecho de Autor, no está suficientemente desarrollado y difícilmente puede amparar aspectos directamente relacionados con la propia tecnología informática que, en realidad plantea nuevos problemas y cada vez más complejos.

• Del Derecho de autor • De la protección al derecho de autor • De los programas de computación y las bases de datos • Infracciones en materia de derecho de autor • Código Penal Art. 424 al 429

9.5.5. Acceso ilícito a sistemas y equipos de informática

• Art. 211 bis 1 al 211 bis 7 del Código Penal

9.5.6. Ley de Propiedad Industrial

• De los secretos industriales • De las marcas • De los esquemas de trazado de circuitos integrados • De las sanciones y delitos

9.5.7. Ley del Mercado de Valores

• Automatización de contabilidad y Registro de Operaciones • Contratación Bursátil

9.5.8. Valor probatorio de documentos electrónicos en legislación diversa

• Código Civil del Estado de Veracruz • Ley de Instituciones de Crédito

9.5.9. Propuestas en Política Informática Nacional - Sector Público Como parte del Seminario de Tecnologías para el desarrollo de la Administración Pública, el Ing. Erasmo Marín, de la Secretaría de Contraloría y Desarrollo Administrativo, presentó las diversas opciones estratégicas para el mejor desempeño de las funciones asignadas a este sector, entre las que destacan áreas de atención como: el futuro Programa de Desarrollo Informático, los Programas Institucionales de Desarrollo Informático, la planeación multianual, la automatización óptima de los servicios públicos, los planes y proyectos interinstitucionales, los servicios informáticos comunes, y las redes nacionales comunes. El Act. Carlos Jaso, de la Secretaría de Contraloría y Desarrollo Administrativo presentó las modificaciones normativas para la utilización de medios de comunicación electrónica en los procesos de licitación, en el contexto del sistema denominado Compranet y la nueva Ley de Adquisiciones. Precisó que la nueva legislación permitirá, al gobierno, contar con procedimientos de trabajo más eficientes y estandarizados; mayor cantidad de proveedores; mejores condiciones de calidad y precio, entre otros. A las empresas, mayores posibilidades de participar en licitaciones públicas y mecanismos más fáciles para obtener información y dar seguimiento a los procesos; así como ahorros en el costo de las bases. 12



25

• Secretaría de Contraloría y Desarrollo Administrativo • Secretaría de Agricultura, Ganadería, Desarrollo Rural, Pesca y Alimentación • Secretaría de Salud • Secretaría del Trabajo y Previsión Social • Comité de Informática de la Administración Pública Estatal y Municipal • Asociación Nacional de Investigadores en Informática Jurídica

9.5.10. Propuestas en Política Informática Nacional - Sector Educativo

• Universidad de las Américas - Puebla • UPIICSA - IPN • Asociación Mexicana de Estándares para el Comercio Electrónico, A.C. • Asociación Nacional de Instituciones de Educación en Informática, A.C • Instituto Latinoamericano de la Comunicación Educativa

9.5.11. Propuestas en Política Informática Nacional - Sectores Social y Privado

• Peritos en Informática • Federación de Asociaciones Mexicanas en Informática, A.C. • Cámara Nacional de la Industria Electrónica de Telecomunicaciones e

Informática, A.C. • Consejo Mexicano de la Industria de Productos de Consumo • Asociación Mexicana de Estándares para el Comercio Electrónico, A.C. • Banco Bilbao Vizcaya A / Bancomer, S.A. • Asociación Mexicana de la Industria de Tecnologías de la Información, A.C.

Aunque como principio se deben aplicar las leyes y políticas concernientes al país en donde se realiza la auditoría, tratándose de la tecnología de información, cabe considerar los aspectos legales dictados internacionalmente o de aplicación en otros países, ya que todas las personas involucradas en dicha área están interesados en la protección de la información y las nuevas tecnologías

Sin embargo, se debe evitar el daño que se les hace a las filiales de empresas multinacionales, las cuales se ven a menudo sometidas a dos órdenes jurídicos diferentes, el del país en que actúan y el de aquel en que se encuentra establecida su propia sede social, a este fenómeno se le conoce como "invasión de normas extranjeras", es decir, se aplican normas legales fuera de su propia incumbencia geográfica.

Algunos problemas mundiales actuales como los siguientes están tratando de ser atendidos por peritos informáticos, como consecuencia de la inquietud social con cultura informática:

- Un primer aspecto sería la posible utilización ilegal de datos transferidos a otros países, lo cual puede dar lugar a graves atentados respecto a las libertades de los ciudadanos. Esta posible utilización negativa de informaciones necesitará de una normalización en el marco del derecho comparado y una armonización de los principios de protección.

- Otro aspecto a considerar sería el de posibles averías, provocadas o no, en las redes telemáticas, que puede dar lugar no sólo a la interrupción del flujo de datos, sino también a la alteración de archivos, lógicos y tratamientos de la información. La posible solución a este problema necesariamente pasaría por el marco del derecho comparado que al menos garantizase la continuidad de los flujos de datos.



26

- La posible amenaza a la propia identidad cultural, es otro de los aspectos negativos que es necesario abordar. Además de información, como argumentan distintos países del Tercer Mundo, se importan ideas y modos de pensar diferentes, como consecuencia de falta de competencia o diversidad suficiente de fuentes de información. ¿Qué normativa jurídica debe proteger este derecho a la propia identidad cultural?6

- En el análisis teórico del "Contrato Informático" utilizado en la "nueva era tecnológica" es difícil y contrariado profundizar en aspectos tales como: el marco jurídico aplicable a este tipo de convenio; la situación en la que se hallan los países en desarrollo, potenciales usuarios de los bienes y servicios informáticos; el logro de una definición completa de lo que es un contrato informático; la precisión de sus características, determinación de su naturaleza, y los elementos de este tipo de contratación.

- Donde al contrato informático puede definírsele como un complejo de contratos de transferencia de tecnologías, particularmente en lo que concierne a los bienes y/o servicios informáticos, conjuntamente con las obligaciones relativas al suministro de soluciones técnicas para ciertos problemas concretos. Puede suponer un acuerdo previo que implique un mayor grado de desarrollo de la tecnología informática a fin de satisfacer los requisitos específicos del adquiriente de bienes y/o servicios informáticos. 13

- En el contrato informático existen tres principales dificultades a superar: a) la especificidad de sus aspectos técnicos; b) la imprecisión del vocabulario técnico - jurídico; y c) la estructura compleja de este tipo de contrato.

- Asimismo, la falta de conocimientos técnicos indudablemente que dificulta la redacción e interpretación de este tipo contractual, y en particular la identificación de las principales cuestiones que deben ser consideradas. Por otro lado, el vocabulario informático se caracteriza por el predominio de las palabras en idioma inglés. A esta circunstancia apuntada se suma la imprecisión del vocabulario informático debido a la falta de uniformidad al respecto. Por ejemplo, no hay acepciones universalmente aceptadas del término software, o de qué constituye software de base. 13

9.6. Estudio y análisis de las políticas de seguridad

Una vez conocidas las leyes que aplican al país y los reglamentos, normas y políticas de la empresa en cuanto al uso adecuado de los recursos informáticos, deberá asegurarse mediante el estudio del control interno y la formulación de cuestionarios, si se cumplen los fines establecidos por legislación vigente, con el objetivo de preservar la seguridad en el sistema.

Entendiendo así por políticas de seguridad aquel conjunto de reglas y principios que gobiernan una identidad u organismo, especificando las condiciones, derechos, y obligaciones sobre el uso de los sistemas de cómputo, con la finalidad de:

• Prevenir la pérdida de la información.

• Tener uso adecuado y eficiente de los sistemas de cómputo y de las telecomunicaciones.

• Prevenir riesgos de accidentes y daños al equipo e instalaciones.

• Tener actualización tecnológica: Adquisición óptima de Software y Hardware.

• Organización procedimental, misma que favorecería llevar a cabo una auditoría.



27

• Proveer procedimientos para controlar el acceso de personal y control de los recursos tecnológicos necesarios para la operación de la empresa.

• Adecuar los criterios organizacionales a la legislación vigente.

• Cooperar al desarrollo de nueva legislación informática.

9.6.1. Responsabilidades de uso y derechos Como consecuencia de la importancia de la seguridad, se establecen responsabilidades de uso y derechos, como pudieran ser:

9.6.1.1. Responsabilidad de Uso

La tecnología en todos sus ámbitos: hardware y software, equipo de oficina (scanner, copiadora, impresora multifuncional, fax, infocus, conmutadores, cámaras, pizarrones digitales…) es utilizada a propio riesgo del usuario y la Institución no asume responsabilidad alguna por:

a) el contenido de cualquier recomendación o información recibida por un usuario proveniente de una fuente externa a la empresa, o cualquier costo incurrido como consecuencia de aceptar tales recomendaciones; b) cualquier consecuencia debida a interrupciones, fallas o cambios en el servicio, aun si estas fallas provinieren de circunstancias bajo el control de la Red de la organización. c) cualquier desperfecto no informado con oportunidad al área competente para su compostura, negligencia en la forma de uso.

9.6.1.2. Responsabilidad de la empresa A través de personal autorizado, la empresa se responsabiliza de:

a) monitorear las acciones de los usuarios en la Red, para asegurar el uso apropiado de los recursos. Además, definir sanciones para el caso en que no se cumplan las políticas de seguridad, rastreando los ataques a la red para infraccionarla y admitir información ajena o que perjudique a la compañía. 14 b) borrar archivos si, después de las advertencias apropiadas, no se mantienen al margen de la normatividad. Si se detecta que el software radicado en la computadora personal no está licenciado, eliminarlo de dicha máquina mediante un mecanismo interno. c) reparar o alterar equipamiento, tanto hardware como software y a tal efecto los usuarios deberán informar sobre cualquier problema a los especialistas o al personal apropiado a la brevedad posible. d) definir y supervisar la metodología para el mejor aprovechamiento de los recursos (como por ejemplo uso de proxys, espacio en el servidor destinado a carpetas personales, límite de uso de disco, tiempo de acceso dialup, navegación por Internet). e) fomentar en el personal una actitud positiva hacia la seguridad.



28

f) motivar al personal para reportar los accidentes ocurridos o desperfectos en el equipo.

9.6.1.3. Responsabilidades del Usuario

a) acceder sólo por vía legal a los recursos de la Red interna u otras redes. b) respetar la privacidad de toda la información en la red y en las computadoras (en particular en la lectura, borrado o modificación de archivos de otros usuarios). c) usar el sistema del modo más eficiente. d) atenerse a las disposiciones fijadas y obligarse a no introducir ningún tipo de virus en el sistema. e) no generar programas que pudieren dañar al sistema, a un usuario o a un tercero. f) no autorizar a terceros para usar sus cuentas ni privilegios de la red. g) no divulgar las claves personales ni tratar de descubrir las de otros usuarios. h) no usar el sistema, para insultar o molestar a ningún usuario, y mantener un lenguaje apropiado y respetuoso en las comunicaciones. i) utilizar la información estrictamente para fines laborales, por tanto no, con fines comerciales o financieros. j) la responsabilidad sobre equipos personales como la computadora o el teléfono, de la misma manera que el acceso restringido a las copiadoras, fax, scanner, impresora, etc., se deberá hacer bajo la firma del formato de resguardo, cuando éste cambie, así quedará documentado.

9.6.2. Aspectos de influencia de las políticas de seguridad La seguridad de los laboratorios de cómputo, del centro de cómputo de ola administración, del personal, de la información y de la documentación, es fundamental para asegurar el uso adecuado de la tecnología. El establecimiento de procedimientos y medidas de seguridad de cada uno de los aspectos que se muestran a continuación, sirven para salvaguardarlos contra cualquier evento natural o humano que de forma intencional o por accidente puedan afectarlos.

9.6.2.1. Cuentas, perfiles y autorizaciones

• Establecer el procedimiento para que los accesos a los sistemas estén relacionados con las funciones que realizan.

• Diseñar formatos de alta temporal de grupos de actividad, especificando el motivo del otorgamiento y duración, de la misma forma, que las cuentas ordinarias deben contar con una vigencia autorizada. Estos formatos de alta, baja o modificación deben contar con los datos del usuario.

• La contraseña que utilice para protección de su clave será de 8 caracteres alfanumérica y de preferencia no permitir duplicidad de caracteres.



29

9.6.2.2. Control de acceso • Utilizar cuentas de acceso personal, puede ser de huella digital, mano, iris o

voz. • Verificar que las puertas de emergencia estén cerradas y con la seguridad

de apertura debida. • Controlar la no admisión de equipo ajeno a la empresa, así como que no

sean sacados de la instalación sin la autoridad respectiva. • Supervisar que todas las personas cumplan los procedimientos de

seguridad, como requisito para tener acceso a las instalaciones. • Controlar los duplicados de llaves y revisión periódica sobre las cuentas. • Jefes administrativos y encargados del centro de cómputo autorizarán el

acceso a empleados, proveedores y/o visitantes. • Autoridades responsables de avisar al personal de turno nocturno, fin de

semana y días festivos los permisos. • Por lo general, cumplir con el horario de trabajo que se le ha indicado al

personal y no permitir acceso a horas en las que no labora. 9.6.2.3. Uso adecuado de software

• Contar con un programa que elimine de las máquinas aquellas copias ilegales o no autorizadas.

• Evitar la transferencia de archivos ajenos a la empresa. 15 • Supervisar la utilización de los medios de comunicación como son el fax,

teléfono, correo electrónico. 9.6.2.4. Uso adecuado de recursos materiales y hardware

• Asegurar que los bienes del centro (equipo de computación y sus accesorios, equipo de comunicación, paquetes de documentos, listas impresas, documentación oficial, suministros, impresoras, faxes, cañones, cartuchos, disquetes, cd, etc.) sean guardados, que estén disponibles para las operaciones, y que no sean desperdiciados, mal usados o reemplazados. 16

• Equipo de computación y de comunicaciones, repuestos y herramientas serán guardadas y controladas por el personal de operación.

• Proveer de drenaje adecuado y otros materiales para remover derrames de líquidos en las áreas de trabajo.

• Asegurar que haya suficientes circuitos y estén instalados distribuidamente para evitar sobrecargas.

9.6.2.5. Respaldos

• Almacenamiento en cintas. • Equipo adecuado de respaldo. • Documentación de las diversas versiones de desarrollos. • Activación de bitácoras que sean evidencia del historial de modificaciones. • Análisis estadística de la información de las bitácoras, aquellas sin mucha

importancia puede ser relevada en un plazo de un mes.



30

9.7. Estudio y Análisis del Sistema de Control Interno

El Control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en una entidad para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar adherencia a las políticas prescritas por la administración.17

El estudio del control interno sirve de base para determinar el grado de confianza que a depositar en él y le permita determinar la naturaleza, extensión y oportunidad a los procedimientos de auditoría.18

9.7.1. Método Descriptivo Descripción de las actividades y procedimientos utilizados por el personal en las diversas unidades del área que se va a auditar. Ejemplo: ANÁLISIS Y PROCEDIMIENTO DE OPERACIÓN FUNCIÓN:

Resguardo de equipo P R O C E D I M I E N T O

Inventario y Control de Equipo Informático SE INICIA EN:

La preparación del Reporte de nuevas asignaciones

TERMINA EN: Al informar el archivador al jefe de equipos el resultado de su gestión.

OBJETIVO DEL PROCEDIMIENTO Tener un inventario actualizado del equipo del área con sus respectivas actas de resguardo.

• El Jefe de equipos o responsable de control de inventarios central debe planear las rutas de verificación de los operadores.

• El Reporte de Asignación de área y de equipo debe ser firmado en tinta negra y los renglones no utilizados deben ser cancelados.

• El Operador debe solicitar al usuario su firma en el resguardo, una vez obtenida ésta, deberá ser autografiada por el Jefe de Equipos y entregarle una copia al usuario.

• En caso de cancelación, si lo requiere el usuario, el Operador deberá dar una copia de cancelación.

• El Jefe de equipo deberá revisar que el formato de resguardo esté actualizado siempre con la siguiente inscripción: “Recibí el equipo y accesorios descritos propiedad de XXXX comprometiéndome a mantener en buen estado el equipo y no permitir instalar software sin licencia, así mismo que no sea usado el equipo con fines ajenos a la Empresa, asumiendo todas las responsabilidades legales y administrativas que correspondan en caso de no cumplir. Además me comprometo a notificar cualquier cambio del presente resguardo al área responsable del control de inventarios. Este resguardo cancela y sustituye a cualquier resguardo de fecha anterior con datos iguales en No. De serie CPU.”

• El Jefe de Equipo determinará el equipo y software que se le asignará a cada persona según su nivel y funciones administrativas, a menos que exista alguna otra disposición misma que deberá firma el Encargado del área que autoriza.

• Quincenalmente el archivador deberá revisar la actualización de resguardos y reporte de asignaciones.

FECHA RECOPILÓ REVISÓ ÍNDICE FORMA

No. 1 PÁGINA DE



31

9.7.2. Método gráfico Es aquel que señala por medio de cuadros y gráficas el flujo de las operaciones a través de los puestos o lugares donde se encuentran establecidas las medidas de control para el ejercicio de las operaciones.9

9.7.3. Método de Cuestionarios Consiste en el empleo de cuestionarios que proporcionen información exacta de lo que se desea saber. No necesariamente tiene que estar a cargo de un especialista, ya que hacerlo es más un asunto de sentido común que de conocimientos, es decir, es más un arte que una ciencia. Se recomienda hacer los cuestionarios bajo las siguientes premisas19:

• Sólo hacer preguntas necesarias: preguntas que ayuden considerablemente a alcanzar los objetivos.

• De preferencia preguntas cerradas. • Si se requiere de respuestas espontáneas, el entrevistador deberá ir anotando

los puntos más importantes. • Preguntas fáciles de leer y comprender. • Hacer pruebas piloto con personas que tengan experiencia en el área. • Preguntas que faciliten su medición: antes de aplicarlo, se deberá especificar

una medición.



32

Se presentan los siguientes cuestionarios20 a modo de ejemplo:

9.7.3.1. CUESTIONARIO 1 REVISIÓN DE CONTROL INTERNO GENERAL

Respuesta Pregunta No

aplica SI NO

Comentarios de las respuestas

1. ¿Actualmente se cuenta con una

gráfica de la organización? 2. ¿Las funciones de control de

inventarios, asignación de equipos, definición de funciones, otorgamiento de licencias están separadas?

3. ¿De quién depende directamente el jefe de departamento de inventarios, de software, de contratación, de mantenimiento de pequeño y grande equipo?

4. ¿Tiene la compañía auditor interno? ¿De quién depende? Describir brevemente el trabajo del auditor interno.

5. ¿Se usa un catálogo de equipo, software y funciones del personal?

6. ¿Actualmente hay algún manual o instructivo de asignación de equipo, de software, de mantenimiento, de operación?

7. ¿Se preparan y entregan a la alta gerencia mensualmente reportes de los activos tangibles o intangibles tecnológicos de la empresa?

8. ¿Se tiene control presupuestal de los costos y gastos?

9. ¿Quién autoriza las compras de nuevos equipos, licencias y actualización del hardware y software?

10. ¿Se hacen estudios y se documenta todo aquello que sirve para la determinación de una adquisición?

11. ¿Ha definido el consejo de administración la política general con respecto a seguros y monto de los mismos? ¿Se revisa pro algún funcionario público responsable, el monto y la cobertura de los seguros?

12. ¿Existe una revisión periódica de los mantenimientos preventivos? ¿En el área hay alguna persona encargada de supervisarlos y aprobarlos?



33

9.7.3.2. CUESTIONARIO 2 INVENTARIO


aplica SI NO


1. ¿Se almacenan las existencias en una

forma sistemática? 2. ¿Están protegidas de modo adecuado

para evitar su deterioro físico contándose con seguros contraincendio, daños, robo, etc.?

3. ¿Están bajo el control directo de almacenistas responsables por las cantidades en existencia?

4. ¿Están construidos y segregados los almacenes y áreas de almacenaje de manera de evitar el acceso a personas no autorizadas?

5. ¿Se llevan los registros de los inventarios constantes por personas que no tengan a su cargo los almacenes?

6. ¿Las actas de resguardo están actualizadas?

7. ¿Se tiene un procedimiento para detectar o permitir la sugerencia de mantenimiento del equipo cuando ha tenido alguna falla?

8. ¿Se sigue el procedimiento de investigación de la falla del equipo para hacer el cargo de responsabilidad a quien tiene el resguardo, cuando ha sido por descuido personal?

9. ¿Informan los almacenistas a sus superiores cuando han recibido el equipo? ¿Informan el estado en que fue entregado y recibido? ¿Se lleva algún reporte al respecto?

10. ¿Se entregan los abastecimientos, licencias, accesorios, equipo personal, suministros, mediante requisiciones, vale de salida o indicación precisa pero escrita y con firma de autorización?

11. En tal caso, son las requisiciones o vales: ¿Preparados por otra persona que no sea el almacenista? ¿Hechos en formas prenumeradas y controlando el orden numérico?

12. Si algún equipo ya es obsoleto, o no se está utilizando, ¿Existe algún procedimiento para sustituirlo o para fomentar que el usuario informe y lo entregue?



34

9.7.3.3. CUESTIONARIO 3 ACTIVO FIJO (PLANTA Y EQUIPO)


aplica SI NO


1. ¿Dónde está ubicado el site?

¿Dónde están ubicados los respaldos? ¿Dónde están ubicados los bienes de activo fijo?

2. ¿Existe descripción breve de los bienes de activo fijo?

3. ¿Existen políticas definidas sobre la autorización de inversiones en activo fijo, y que estén a cargo de determinadas personas o comités?

4. ¿Las erogaciones en demasía de lo autorizado están sujetas a la misma aprobación que la autorización original?

5. ¿Los registros del activo fijo contienen la suficiente información y detalle, según las necesidades de la Compañía?

6. ¿Se hace periódicamente un inventario físico del activo fijo y se compara con los registros respectivos?

7. ¿Las personas que tienen a su cuidado el activo fijo, están obligadas a reportar cualquier cambio habido como baja, obsolescencia, traspasos?

8. ¿La venta del equipo o el traspaso a otros centros de trabajo o Gerencias dentro de la empresa, requiere de la autorización de los Directivos?

9. ¿Se encuentran debidamente controladas las licencias en documento físico contra quienes realmente la tienen en uso?

10. ¿Se hacen investigaciones y avalúos periódicos para fines de aseguramiento?

11. ¿Se hace periódicamente levantamiento de información para detectar las necesidades en cuanto a equipo personal?

12. ¿Se adjuntan a las facturas las notas de entrada al almacén?



35

9.7.3.4. CUESTIONARIO 4 USO DEL CORREO ELECTRÓNICO: ASIGNACIÓN DE

LICENCIA21


aplica SI NO


1. ¿Cuál es su categoría profesional?

¿Alto mando, medio mando, operativo, analista, secretaria, otro?

2. ¿Cuál es su actitud hacia los medios de comunicación: Desconfianza, Positiva, Reticencia, Completamente positiva, Indiferencia?

3. ¿Cuál es su actitud hacia el correo?

4. ¿Qué ventajas observa sobre el uso del correo para desempeñar su trabajo?

5. ¿Cuáles son los principales problemas en el uso del correo?

6. ¿Sabía de la existencia de empresas que controlan los mensajes de sus empleados?

7. ¿Considera adecuada o justificada su actuación?

8. ¿Existen en su ámbito de trabajo normativas relativas a la utilización del correo electrónico?

9. ¿Qué medidas de seguridad especifica?

10. ¿Cuánto tiempo utiliza diariamente su correo electrónico?

11. ¿Cuál es el número de mensajes que envía diariamente?

12. ¿Cuál es el porcentaje de mensajes cuyo contenido es estrictamente laboral?



36

9.8. Identificar Riesgos, amenazas y controles Este punto se refiere específicamente al análisis factorial que se hace, considerando algunas variables como son el medio, la dirección, los procesos y procedimientos, hace una combinación ponderada entre los elementos genéricos externos e internos.9 Puede analizarse a través de las siguientes preguntas:

1. ¿Cuáles fueron las causas determinantes para seleccionar las normas IEEE, ISO, ISACA, leyes del país, para operar cómo lo hace ahora?

2. ¿Qué cursos de capacitación tecnológica se han establecido?

3. ¿La asignación de equipo y software son los apropiados para desarrollar su trabajo?

4. ¿Qué problemas impiden la plena utilización de la capacidad práctica de operación?

5. ¿Cuál es la política para el mejor aprovechamiento de los insumos y mantenimiento de los bienes (hardware)?

6. ¿Cuáles son las ventajas o desventajas de recurrir a recursos propios en cuanto a equipo, o recursos ajenos, como los contratos de arrendamiento y actualización de equipo?

Por tanto, las amenazas pueden catalogarse como las que se muestran a continuación, mismas que son identificadas a través de un buen análisis del sistema de control interno:

9.8.1. Identificar riesgos

• Pérdida de información. • Pérdidas económicas por uso indebido de la aplicación. • Daño en los recursos de una aplicación (hardware, software, datos y

comunicaciones). • Multas o sanciones. • Interrupciones prolongadas en las operaciones del negocio.

9.8.2. Identificar amenazas

• Falta de segregación de funciones. • Mantenimiento deficiente de los equipos. • Mantenimiento deficiente de la aplicación. • Accesos inadecuados a los datos y programas. • Falta de capacitación a los usuarios. • Cálculos incorrectos. • Ausencia o desactualización del plan de contingencias.

9.8.3. Identificar controles requeridos en cuanto a los riesgos y amenazas

• Copias internas y externas de datos y programas. • Acceso restringido a los datos y programas. • Procedimiento para otorgar y eliminar los accesos a los datos y programas. • Bitácoras de auditoria (log´s) y la revisión periódica de éstas. • Pólizas de seguro para los equipos. • Manuales de la aplicación completos y actualizados. • Estándares para el desarrollo y mantenimiento de la aplicación.



37

9.9. Pruebas de cumplimiento

9.9.1. Evaluación del desempeño de hardware y software, provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema

Los papeles de trabajo son propiedad absoluta del auditor condicionando su uso únicamente a los propósitos de su revisión y soporte de los resultados obtenidos. Al llegar a las pruebas de cumplimiento éstas deben apoyarse en el alcance que se determinó, pudiendo soportarlo a través de22:

§ Documentación. • Manuales de usuario, técnicos y procedimientos.

§ Cambios en los programas. • Solicitud por escrito. • Pruebas por parte de los usuarios. • Actualización de los manuales técnicos y de usuarios • Verificar que los cambios en los programas sean

realizados por el personal de informática o por el proveedor de la aplicación.

§ Copias de respaldo y recuperaciones. • Contenidos de las copias. • Periodicidad de las copias. • Persona responsable. • Custodia, almacenamiento, inventario, rotación de la

cinta. § Acceso a datos y programas.

• Verificar la lista de usuarios que tiene acceso. • Revisar el procedimiento para otorgar y eliminar los

accesos. • Analizar la periodicidad de los cambios de los

passwords (clave). § Capacitación de los usuarios § Controles en la entrada, proceso y salida

9.10. Propuesta de corrección si hay debilidad de control

A la conclusión de la etapa preliminar de la auditoría, el auditor puede presentar a considerar de la administración un informe sobre sus sugerencias para reforzar el control interno de la entidad y para optimizar la operación en su conjunto.9

Al finalizar, el auditor se percata de las medidas correctivas adoptadas por la administración para dar efecto a sus sugerencias.

Da a conocer lo que prevalece al cierre de la auditoría. La conclusión es la síntesis objetiva de los atributos del hallazgo, redactada de tal forma que ejerza impacto en la alta dirección. Si lo ve conveniente puede redactar su primer hallazgo y el esfuerzo de la administración por esclarecerlo.



38

Las recomendaciones tienen el alcance de sugerencias formuladas por el auditor, para corregir los efectos de los hallazgos, en óptica de mejorar la economicidad, la eficiencia y la efectividad de las operaciones.22

Estas deben orientarse a evitar que se repitan las causas de los efectos hallados y a rescatar los efectos que sean posibles.

Las recomendaciones deben ser practicables, útiles y costeables para facilitar la toma de decisiones en el proceso de implementación del sistema de control interno de la organización auditada.

Todo esto a través de la elaboración de un dictamen, mismo que se entrega al cliente, como trabajo final-resumen de su auditoría.



39

10. Referencias 1 http://www.monografias.com/trabajos5/audi/audi.shtml#alcan 2 http://www.edomexico.gob.mx/administracion/XIII%20Reunion/ponencias/Panel.ppt 3http://www2.ccea.com.uy/articulos/EL%20SISTEMA%20DE%20CONTROL%20INTERNO%20Y%20LA%20INFORMATICA.htm 4 http://www.palermo.edu.ar/cyt/pdf/cisa.pdf 5 http://www.bsa.org/espana/tregua/guia.pdf 6 http://www.quadernsdigitals.net/articles%5CTELOS%5Ctelos4%5Ct4legislacion.htm 7 http://www.iies.es/teleco/publicac/publbit/bit128/bitcd1/htm/herramientas/Auditoria.htm#4 8 http://www.geocities.com/diana_m_alvarez/principal.htm 9 SANTILLANA GONZÁLEZ, Juan Ramón, Auditoría Santillana I, Ed. ECAFSA, 2da edición, México, 1997, 331 pp. 10 http://www.salvador.edu.ar/falcon.htm 11 http://www.informatica-juridica.com/legislacion/mexico.asp 12 http://www.inegi.gob.mx/informatica/espanol/servicios/boletin/2000/Bpi3-00/tidap.html 13 http://www.zur2.com/fcjp/114/rodriguez.htm 14 http://www.cab.cnea.gov.ar/news/varios/resolucion6-02.htm 15 http://seguridad.internet2.ulsa.mx/congresos/2002/esime/impseg_polleg.pdf 16 http://www.colpos.mx/cominf/mricicp.htm 17 Comisión de Normas y Procedimientos de Auditoría. Normas y Procedimientos de Auditroría, Boletín E-12, Instituto Mexicano de Contadores Públicos, México, 1991 18 Comisión de Normas y Procedimientos de Auditoría. Normas y Procedimientos de Auditroría, Boletín 3050 Estudio y Evaluación del Control Interno, Instituto Mexicano de Contadores Públicos, México, 1996 19 BACA URBINA, Gabriel, Evaluación de proyectos, Ed. Mc Graw Hill, 4ta edición, México, 2002, 383 pp. 20 PERDOMO MORENO, Abraham, Fundamentos de control interno, Ed. ECASA, 2da edición, México, 1984, 246 pp. 21 http://www.ucm.es/BUCM/ccc/doc/9909/9909.htm 22 http://osi.conselldemallorca.net/jai2002/pdf/llabres.pdf

Metodología para la auditoría del uso adecuado de la...

Documents

Transcript of Metodología para la auditoría del uso adecuado de la...