7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
1/163
UNIVERSIDAD NACIONAL
SISTEMA DE ESTUDIOS DE POSTGRADO
MAESTRIA EN ADMINISTRACION DE
TECNOLOGA DE INFORMACIN
CURSO PROYECTO INTEGRADO II
PROYECTO DE APLICACIN PRACTICA DE TECNOLOGA DE INFORMACION
PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA
DE LA INFORMACION EN EL MINISTERIO DE HACIENDA
Clair Chacn Rodrguez
Jos Adrin Vargas Barrantes
Heredia, Costa Rica, agosto del 2001
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
2/163
PROPUESTA PARA IMPLANTAR LA AUDITORA DE TECNOLOGA DE LA
INFORMACION EN EL MINISTERIO DE HACIENDA
INDICE GENERAL
RESUMEN EJECUTIVO..............................................................................................................I
CAPITULO 1...............................................................................................................................1
INTRODUCCION.........................................................................................................................1
CAPITULO 2...............................................................................................................................7
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI............................7
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI...............................................................7
2.1.1 Enfoqu D An!on"o E#$n"qu......................................................................................7
2.1.2 Enfoqu % S&n%'& G&'#(&.............................................................................................11
2.1.) Enfoqu % M&nu* A'&u+..............................................................................................13
2.1., Enfoqu % -"o&' D*/&%o..........................................................................................15
2.1.0 Enfoqu D M&'"o P"&!!"n" Y O!'o.................................................................................21
2.1. Enfoqu % *& Fun%"3n 4&'& * Con!'o* 5 Au%"!o'(& % S"!& % Info'"3n6Mo%*o CO7IT8.......................................................................................................................29
2.1.9 Con"%'"on o:' *o D"f'n! Enfoqu........................................................33
2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA..................36
2.) PROPUESTA DE MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE TI.................................................................................................................................................. 40
2.).1 C'"!'"o % *##"3n....................................................................................................40
2.).2 D#'"4#"3n %* Mo%*o P'o4u!o...............................................................................41
CAPITULO ).............................................................................................................................55
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
3/163
PROPUESTA DE ORGANI;ACIN DE LA AUDITORIA DE TECNOLOGIA DE LAINFORMACIN.........................................................................................................................55
).1 ASPECTOS CONCEPTUALES Y LEGALES.....................................................................55
).1.1 Con!'o* In!'no Info'
).1. P'"n#"4"o 4&'& * E>'#"#"o % *& Au%"!o'"& % TI.........................................................59
).2 ORGANI;ACIN DE LA AUDITORIA INTERNA DEL MINISTERIO DE HACIENDA.........63
).2.1 An!#%n!..................................................................................................................63
).2.2 O:>!"=o Gn'&* % *& Au%"!o'(& In!'n&.......................................................................65
).2.) M""3n? V""3n 5 V&*o'.................................................................................................65
).2., Fun#"on........................................................................................................................66
).2.0 O'/&n"+"3n...................................................................................................................68
).2. R#u'o Hu&no........................................................................................................69
).) PROPUESTA DE ORGANI;ACIN 5 RE@UERIMIENTOS DE RECURSOS HUMANOS70
).).1 O'/&n"+"3n % *& Au%"!o'(& % TI...............................................................................71
).).2 R#u'o Hu&no........................................................................................................75
CAPITULO ,.............................................................................................................................77
PROPUESTA DE HERRAMIENTAS COMPUTADORI;ADAS DE APOYO A LA AUDITORIA .77
,.1 IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORI;ADAS EN LAAUDITORA...............................................................................................................................77
,.2 HERRAMIENTAS INFORMTICAS DE APOYO A ADMINISTRACIN DE LA AUDITORIA.................................................................................................................................................. 78
,.2.1 A*/uno E>4*o % H''&"n!& Co4u!&%o'"+&%& % A4o5o & *&A%"n"!'"3n % *& Au%"!o'(&...............................................................................................86
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
4/163
,.) HERRAMIENTAS INFORMTICAS DE APOYO FUNCION DE AUDITORIA DE TI.......93
,.).1 A*/uno >4*o % $''&"n!& #o4u!&%o'"+&%& % &4o5o & *& fun#"3n %Au%"!o'(& % TI.......................................................................................................................100
,., ELEMENTOS PARA UNA DECISIN SO7RE HERRAMIENTAS
COMPUTADORI;ADAS.........................................................................................................108
,.,.1 S"!u"3n A#!u&* % TI n *& D"'##"3n Gn'&* % Au%"!o'(& In!'n&........................108
,.,.2 TI n * M"n"!'"o % H"n%&...................................................................................109
,.,.) Mo%*o !o%o*3/"#o '#on%&%o 4&'& *& &u%"!o'(&..............................................110
,.,., P'o#o % C'"3n 5 D&''o**o % *& Au%"!o'(& % TI............................................110
,.,.0 Rqu'""n!o % H&'%B&'.....................................................................................111
,.0 PROPUESTA DE HERRAMIENTAS COMPUTADORI;ADAS........................................111,.0.1 H''&"n!& % A4o5o & *& A%"n"!'"3n % *& TI.................................................111
,.0.2 H''&"n!& % A4o5o & *& A%"n"!'"3n % *& Au%"!o'(&.....................................112
,.0.) H''&"n!& % A4o5o & *& Fun#"3n % Au%"!o'(&.....................................................113
CAPITULO 0...........................................................................................................................115
PLAN OPERATIVO PARA LA INTRODUCCIN DE LA AUDITORIA DE TI ..........................115
0.1 CONSIDERACIONES ESTRATGICAS...........................................................................115
0.1.1 A4o'! % *& A%"n"!'"3n.......................................................................................115
0.1.2 A*#&n# %* P*&n............................................................................................................116
0.1.) O'/&n"+"3n 4&'& * D&''o**o %* P*&n....................................................................118
0.1., R"/o.......................................................................................................................... 118
0.2 COMPONENTES DEL PLAN OPERATIVO......................................................................119
0.) UNA APRO-IMACIN A LOS COSTOS.........................................................................132
CAPITULO ...........................................................................................................................134
CONCLUSIONES Y RECOMENDACIONES...........................................................................134
7I7LIOGRAFA.......................................................................................................................138
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
5/163
SITIOS CONSULTADOS.........................................................................................................139
INDICE DE ANE-OS
ANE-O 1.................................................................................................................................141
PARTICIPANTES PROYECTO CO7IT 2..........................................................................141
ANE-O NO.2..........................................................................................................................143
LISTA DE PROVEEDORES Y PRODUCTOS CAATTS..........................................................143
ANE-O ).................................................................................................................................149
ALGUNAS PANTALLAS DE LA HERRAMIENTACO7IT ADVISOR )ERA EDICIN ............149
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
6/163
DEDICATORIA
A Dios, Fuente de Luz y Esperanza.
A mis padres, Miguel Angel y Amparo Claudia, smbolo de amor, trabajo y bondad.
A mis hijas, Iania, !ailn y Lizeth, "uienes #on su amor y #omprensi$n %ueron mi
%uente de energa e inspira#i$n.
A mi hermana &alili y a su hijo 'os( )ablo, "uienes #on su apoyo y #ari*o,
estimularon mis deseos de supera#i$n.
Mi sin#ero agrade#imiento a mi #ompa*ero 'os( Adri+n, a su esposa andra y a sus
hijos, Ali#ia, Esteban, Eduardo, Mariel y Andrea, de "uienes re#ib mu#ho #ari*o,
apoyo y #omprensi$n para seguir adelante.
Clair
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
7/163
DEDICATORIA
Dedico este esfer!o e" #ri$er lgar a Dios, %ie"es cree$os e" &l
sa'e$os #or fe %e "o solo es (odo#oderoso si"o %e e" s i"fi"ito a$or
"os g)a * fortalece d)a a d)a. +racias a &l e te"ido el a#o*o de "a
$-er $* es#ecial co" la %e co$#arto $i ida, $i es#osa /a"dra, %ie"
"o solo to co$#re"si" #ara ace#tar las ase"cias * #riacio"es, si"o
%e ta$'i" "os aco$#a * a#o* e" $cos $o$e"tos de este
esfer!o. &l reco"o!co la co$#re"si" de $is adorados i-os e i-as,licia, &ste'a", &dardo, ariel * la #e%ea "drea, ellos "o solo a"
sido testigos si"o %e ta$'i" a" te"ido %e e"te"der #or% s #a#
"o #do $cas eces aco$#aarlos e" -egos, #aseos o e" ss
estdios. Clair * s fa$ilia, co" %ie"es esta e#erie"cia a eco
"acer "a a$istad %e tie"e $a*or alor %e todos los otros frtos de los
estdios reali!ados.
os dri"
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
8/163
ARADECI!IE"TO
gradece$os al i"isterio de Hacie"da la o#ort"idad %e "os 'ri"d #ara crsar el rogra$ade aestr)a as) co$o reali!ar este #ro*ecto de a#licaci" #rctica a'orda"do " te$a dei"ters i"stitcio"al.
la Directora +e"eral de ditor)a I"ter"a del i"isterio, icda Rosal)a Calder" +a$'oa,%ie" "o slo fe la #atroci"adora del #ro*ecto si"o %e sie$#re esto dis#esta adedicar"os tie$#o #ara a"ali!ar * co$e"tar te$as de "estro i"ters * facilit e" lo %e estoa s alca"ce la reali!aci" del #ro*ecto.
l ster is Caes o"ge, %ie" co$o ttor s#o orie"tar"os * #rese"tar"os de $a"erares#etosa * lle"a de sa'idr)a sgere"cias * o'seracio"es %e co"tri'*ero" a lograr "a
$a*or calidad de "estro #ro*ecto, * ade$s logr $otiar"os e" los $o$e"tos de dificltad.
los #rofesores ster os rrieta /ala!ar * ster aier e" ora, %ie"es orie"taro""estro esfer!o * co" s segi$ie"to $otiaro" la co"sta"cia * la 's%eda de la ecele"cia.
los %e $edia"te e"treistas, facilitaci" de doc$e"tos o sgere"cias "os #er$itiero" re"irla i"for$aci" "ecesaria * e"ri%ecer "estros criterios.
todos ....:CH/ +RCI/ .
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
9/163
Resumen Ejecutivo
RESUMEN EJECUTIVO
&l #rese"te doc$e"to es el resltado del #ro*ecto de a#licaci" #rctica de tec"olog)a de la
i"for$aci" reali!ado e" el $arco del crso ro*ecto I"tegrado II del #rogra$a de aestr)a e"
d$i"istraci" de (ec"olog)a de la I"for$aci" * re#rese"ta "a res#esta a la #ro'le$tica
descrita e" el Diag"stico so're ditor)a de /iste$as e" el i"isterio de Hacie"da, ela'orado
e" el crso ro*ecto I"tegrado I, del $is$o #rogra$a.
Co"for$e co" lo i"dicado, #rete"de co$o o'-etio ge"eral #ro$oer la i$#la"taci" de la
ditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da, $edia"te la
estrctraci" de "a #ro#esta %e co"sidere as#ectos orga"i!acio"ales, recrsos $a"os
* tec"olgicos, as) co$o " #la" de tra'a-o co"creto #ara este fi".
Co$#le$e"taria$e"te, se #la"tea" los sigie"tes o'-etios es#ec)ficos;
Defi"ir " $odelo $etodolgico o#eratio #ara el desarrollo de la f"ci" de la ditor)a
de (ec"olog)a de I"for$aci" e" el i"isterio de Hacie"da.
&la'orar "a #ro#esta de orga"i!aci" #ara la f"ci" de la ditor)a de (ec"olog)a de
I"for$aci" e" el i"isterio de Hacie"da.
ro#o"er los recrsos $a"os * erra$ie"tas co$#tadori!adas de a#o*o al aditor,
co"ocidas co$o C((s #or ss siglas e" i"gls "ecesarias #ara la i$#la"taci" de la ditor)a de (ec"olog)a de la
I"for$aci" e" el i"isterio de Hacie"da.
&strctrar " #la" de tra'a-o es#ec)fico #ara la i$#la"taci" de la ditor)a de
(ec"olog)a de la I"for$aci" e" el i"isterio.
&" ca"to a $etodolog)a, el estdio se a#o*a e" la i"estigaci" 'i'liogrfica, la 's%eda de
i"for$aci" #or $edio de I"ter"et, la reco#ilaci" directa de i"for$aci" $edia"te o'seraci".
"
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
10/163
Resumen Ejecutivo
dicio"al$e"te se reto$a" alg"os ele$e"tos del a"lisis de la e#erie"cia de otras
i"stitcio"es, reali!ado co$o #arte del diag"stico *a co$e"tado.
a #ro#esta ela'orada i"cor#ora los sigie"tes ele$e"tos;
a tili!aci" del $odelo ela'orado #or la I"for$atio" /*ste$s dit. "d Co"trol
ssociatio" ?I/C@ de"o$i"ado A'-etios de Co"trol #ara la I"for$aci" *
(ec"olog)as fi"es BCAI( co$o $odelo $etodolgico o#eratio #ara el desarrollo de
la f"ci" de ditor)a de (ec"olog)a de la I"for$aci".
:'icaci" de la f"ci" de aditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de
Hacie"da e" la Direcci" +e"eral de ditor)a I"ter"a, $edia"te la creaci" del rea
de ditor)a de (ec"olog)a de la I"for$aci" e" dica Direcci", co"for$ada
i"icial$e"te co" " Coordi"ador +e"eral de rea * dos #rofesio"ales e" i"for$tica.
d%isici" de la erra$ie"ta co$#tadori!ada CAI( a"age$e"t disor co$o
a#o*o a la ad$i"istraci" de la (ec"olog)a de la I"for$aci" * #ara ser tili!ada #or las
#ri"ci#ales reas i"for$ticas del i"isterio.
a ad%isici" de "a erra$ie"ta de a#o*o a la gesti" de la aditor)a, otra #ara la
f"ci" de ditor)a de (I * "a erra$ie"ta #ara la ealaci" del riesgo. Co$o
erra$ie"ta de a#o*o a la f"ci" de la aditor)a de (ec"olog)a de la I"for$aci" se
reco$ie"da la ad%isici" del CAI( disor, erra$ie"ta %e es co"gre"te co" el
$odelo reco$e"dado * adicio"al$e"te #rese"ta i$#orta"tes fortale!as.
sig"aci" de recrsos #ara la ad%isici" de "eo e%i#o #ara la Direcci" +e"eral
de ditor)a I"ter"a, co"for$e co" los re%eri$ie"tos del softEare %e se decida
ad%irir.
Arie"taci" de los #ri$eros esfer!os al fortaleci$ie"to del a$'ie"te de co"trol, #ara lo
cal se co"sidera co"e"ie"te i"iciar co" la ealaci" del do$i"io del $odelo CAI(
so're la"eaci" * Arga"i!aci", co"creta$e"te e" tres s'do$i"ios o #rocesos;
&alaci" * /egi$ie"to del la" estratgico, Defi"ici" de la Arga"i!aci" *
Relacio"es de (I * &alaci" del Riesgo.
""
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
11/163
Resumen Ejecutivo
si$is$o, a"%e el #la" o#eratio "o i"cl*e las actiidades %e le corres#o"der reali!ar a
la d$i"istraci", se co"sidera o#ort"o e#o"er los #ri"ci#ales a#ortes %e sta de'er
co"cretar co$o co"dicio"es "ecesarias #ara el adecado f"cio"a$ie"to de la ditor)a de
(ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da, se #la"tea" los sigie"tes;
Co$#ro$iso de la d$i"istraci"; a d$i"istraci" de'e as$ir la
res#o"sa'ilidad %e le es #ro#ia e" ca"to al diseo, i$#la"taci", actali!aci" *
#erfeccio"a$ie"to del siste$a de co"trol i"ter"o. or gra"des %e sea" los esfer!os
* a#ortes de la aditor)a, "o a'r alor agregado e" el ta"to la d$i"istraci" "o
as$a ese #a#el * se co$#ro$eta co" la i$#la"taci" de las reco$e"dacio"es %e
a%ella #rese"te co$o resltado de ss ealacio"es.
Dis#o"i'ilidad de recrsos; a d$i"istraci" de'e asig"ar los recrsos
fi"a"cieros * $a"os re%eridos #ara la i$#la"taci" de la #ro#esta. &" el
a#artado so're costos esti$ados, se $estra la i"ersi" i"icial e" ad%isici" de
e%i#o, softEare, recrso $a"o adicio"al * ca#acitaci" del #erso"al de la
Direcci" +e"eral de ditor)a I"ter"a, si" la cal eide"te$e"te "o ser #osi'le
llear a ca'o la #ro#esta.
d%isici" de la erra$ie"ta CAI( a"age$e"t disor #or #arte de la
d$i"istraci". Co$o " ele$e"to $s del ali"ea$ie"to de los esfer!os de la
ad$i"istraci" * de la ditor)a de (ec"olog)a dela I"for$aci" #ara fortalecer el
siste$a de co"trol i"ter"o se re%iere %e a$'as #artes te"ga" " $is$o e"fo%e *
se orie"te" acia la co"secci" de los $is$os o'-etios.
&la'oraci" del la" &stratgico (ec"olgico, actal$e"te e" #roceso, e
i"clsi" de la ditor)a de (ec"olog)a de la I"for$aci" de"tro del $is$o. a
co"clsi" de este la" &stratgico (ec"olgico * la #esta e" $arca del $is$o
co$o ele$e"to orie"tador de los esfer!os del i"isterio de Hacie"da e" el ca$#o
tec"olgico, ser la 'ase f"da$e"tal #ara el accio"ar de la ditor)a de (ec"olog)a
de la I"for$aci".
"""
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
12/163
Resumen Ejecutivo
de$s es "ecesario %e dico la" co"ce#te a#ro#iada$e"te el rol de la aditor)a *
s a#orte #ara el ali"ea$ie"to de la gesti" de la (I * los o'-etios del "egocio * e"
co"sece"cia co"sidere, tal * co$o fe $a"ifestado #or el e%i#o de tra'a-o e"cargado
de s ela'oraci", la i"trodcci" de la ditor)a de (ec"olog)a de la I"for$aci" co$o
"o de ss co$#o"e"tes * #ro*ectos #rioritarios.
Co" el #ro#sito de esta'lecer de $a"era es#ec)fica las accio"es %e de'er" desarrollarse
#ara e-ectar la #ro#esta, el doc$e"to i"cor#ora " #la" de o#eratio, esta'lecido #ara lo
%e #odr)a co"siderarse "a #ri$era eta#a, e" la %e el o'-etio ser < lograr la co"solidaci"
de la orga"i!aci" ad$i"istratia de la ditor)a de (ec"olog)a de la I"for$aci" * la
asig"aci" de recrsos $a"os * tec"olgicos $)"i$os #ara el desarrollo de esta f"ci" * el
fortaleci$ie"to del a$'ie"te de co"trol de (I de"tro del i"isterio=> lo %e de$a"dar, seg" el
cro"ogra$a de tareas ela'orado, " tie$#o esti$ado de dos aos * $edio.
&l #la" #ro#esto se estrctra e" 9 co$#o"e"tes, a sa'er; #ro'aci" del #ro*ecto, -ste de
la orga"i!aci" de la Direcci" de ditor)a I"ter"a, sig"aci" de Recrsos Fi"a"cieros,
Co"trataci" de Recrso H$a"o, Ca#acitaci" de F"cio"arios, d%isici" de /oftEare,
d%isici" de &%i#o de C$#to * Fortaleci$ie"to del $'ie"te de Co"trol.
Co$o #arte del #roceso de ela'oraci" del #la" o#eratio se adierte so're los
#ri"ci#ales riesgos %e se ide"tifica" e" tor"o al #ro*ecto, co"creta$e"te;
I"sficie"te a#o*o de las "eas atoridades i"stitcio"ales.
Go lograr la co"trataci" de #erso"al id"eo o#ort"a$e"te.
trasos e" el #roceso de co"trataci" ad$i"istratia.
si$is$o, se i"cl*e "a #ri$era a#roi$aci" a los costos de la e-ecci" del #la" #ro#esto,
co"for$e co" el cal se re%erir "a i"ersi" cerca"a a los 120,000 dlares, dra"te los
#eriodos #res#estarios 2002 * 2003.
or otra #arte, a los efectos de la #esta e" #rctica de la #ro#esta se reco$ie"da la
ela'oraci" de " doc$e"to de #ro*ecto 'asado e" la #ro#esta * e" los a-stes %e la
Direcci" +e"eral de ditor)a I"ter"a * las atoridades s#eriores esti$e" "ecesarios.
"=
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
13/163
Resumen Ejecutivo
&l tra'a-o ela'orado esta'lece co" sficie"te #recisi" a "estro criterio, los esfer!os *
actiidades a desarrollar, %eda #or er si ade$s del i"ters * co"cie"cia so're la "ecesidad
de la aditor)a de (I e" el i"isterio, eiste la ol"tad * el co$#ro$iso. Gos a'riga la
es#era"!a de %e de"tro de alg" tie$#o lo %e e#o"e$os co$o #ro#esta se co"ierta e"
realidad * ge"ere los 'e"eficios es#erados.
=
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
14/163
Captulo 1 Introduccin
CAPITULO 1
INTRODUCCION
Co$o resltado de la i"estigaci" reali!ada e" crso ro*ecto I"tegrado I, la cal co"sider
" diag"stico so're la aditor)a de siste$as e" el i"isterio de Hacie"da, se esta'leciero"
"a serie de as#ectos %e resalta" la "ecesidad de "a ealaci" i"de#e"die"te de la gesti"
de la (ec"olog)a de la I"for$aci" B(I. co"ti"aci" se reto$a" los $s relea"tes #ara
efectos del o'-etio de este doc$e"to;
Co"ce#to de aditor)a de siste$as s aditor)a de tec"olog)a de la i"for$aci"
"%e si 'ie" es cierto e" la $a*or)a de los casos los co"ce#tos se tili!a" i"disti"ta$e"te,
alg"os #rete"de" difere"ciarlos e" el se"tido de %e la aditor)a i"for$tica se orie"ta a la
ealaci" de la f"ci" i"for$tica co$o tal, co"sidera"do los difere"tes sericios %e esta
#resta as) co$o los as#ectos orga"i!atios asociados a dica #restaci", $ie"tras %e la
aditor)a de siste$as se refiere a la actiidad de la aditor)a al ealar deter$i"ado #roceso o
rea o#eratia, e" la %e de'e i"clirse " a"lisis so're los siste$as de i"for$aci"co$#tadori!ados %e a#o*a" dico #roceso.
or otra #arte, $s recie"te$e"te se a ido ge"erali!a"do el co"ce#to de aditor)a de
(ec"olog)a de la I"for$aci", e" " se"tido ge"rico * co" el fi" de a'arcar ade$s alg"as
reas %e a" to$ado $a*or relea"cia e" los lti$os aos co$o so" las relatias a las
teleco$"icacio"es, segridad, a#licacio"es e" Ee' * erra$ie"tas cola'oratias, e"tre otros.
Gecesidad de " $odelo o#eratio
&s #osi'le ide"tificar difere"tes for$as de estrctrar las reas de acci" de la aditor)a de
siste$as, "o o'sta"te, las difere"cias e"tre las $is$as res#o"de", "o ta"to a difere"cias e"
tor"o al $'ito de la $is$a si"o a los criterios #ara la agr#aci" de las tareas. &"
1
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
15/163
Captulo 1 Introduccin
#rctica$e"te todos los casos se ide"tifica se#arada$e"te lo relatio a la ad$i"istraci" de la
f"ci" i"for$tica * las resta"tes reas se ide"tifica" seg" los criterios #articlares so're la
for$a de isali!ar la f"ci" i"for$tica * la i$#orta"cia relatia de dicas reas, lo cal se
e i"fle"ciado #or los aa"ces de la tec"olog)a de la i"for$aci". or lo ta"to, la orga"i!aci"
de la aditor)a i"for$tica e" "a i"stitci" es#ec)fica re%erir decidir el es%e$a o $odelo
a tili!ar, #ara lo cal es i$#orta"te co"siderar las caracter)sticas de la res#ectia i"stitci".
ro'le$tica orga"i!acio"al * del $arco reglador; co"tradiccio"es e i"co"gre"cias
e"tre la orga"i!aci" real * la "or$atia.
" "o se a logrado co"solidar "a orga"i!aci" eficie"te * f"cio"al #ara la gesti" de la (I
e" el i"isterio de Hacie"da, de tal for$a %e ta"to a "iel del $arco reglador, e" el %e se
ide"tifica" alg"as d#licidades de f"cio"es * la ase"cia de "a estrctra orga"i!atia
de'ida$e"te i"tegrada, co$o a "iel o#eratio, e" el %e so" eide"tes los efectos de las
deficie"cias de coordi"aci" e"tre las reas, se ide"tifica" deficie"cias * co"flictos %e
de$a"da" "a o#ort"a ate"ci".
ag"itd de la i"ersi" reali!ada e" ardEare, softEare * recrso $a"o dedicado a
so#ortar la gesti" de la (I e" el i"isterio.
"%e #or li$itacio"es de registro * co"trol o de e"trega de i"for$aci" "o fe #osi'le
o'te"er "a esti$aci" co"creta del $o"to, es eide"te %e el i"isterio de Hacie"da a
reali!ado e" los lti$os aos "a sig"ificatia i"ersi" de recrsos e" (ec"olog)a de la
I"for$aci" * $a"tie"e "a i$#orta"te ca"tidad de f"cio"arios dedicados a so#ortar la
gesti" de la (I. &llo se co"ierte e" "a de las -stificacio"es #ara la i"trodcci" de la
aditor)a de (I * otros esfer!os %e se orie"te" a $e-orar dica gesti".
Ca"tidad, "atrale!a * relea"cia de los siste$as de i"for$aci".
&l esfer!o de i"trodcci" * a#o*o al desarrollo de la (I e" la i"stitci" a lleado a %e e" la
actalidad los siste$as de i"for$aci" co$#tadori!ados, e" o#eraci" * desarrollo, "o solo
so" $cos si"o %e "a 'e"a #arte de ellos so" erra$ie"tas f"da$e"tales #ara la
2
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
16/163
Captulo 1 Introduccin
#restaci" de los sericios 'sicos %e corres#o"de" a la i"stitci" * gestio"a" i"for$aci"
de relea"cia "o solo #ara el i"isterio si"o #ara el oder &-ectio co$o " todo.
&scaso desarrollo de la aditor)a de siste$as e" el i"isterio.
Co"for$e la "or$atia ige"te, la f"ci" de aditor)a de siste$as o aditor)a i"for$tica
corres#o"de a la Direcci" +e"eral de ditor)a I"ter"a, sitaci" %e se #rese"ta de igal
$a"era e" las i"stitcio"es a"ali!adas e" el estdio. Go o'sta"te, de'ido a los escasos
recrsos $a"os * tec"olgicos, las actiidades reali!adas se li$ita" a alg"os i"te"tos de
aditor)a de siste$as e" o#eraci", e" a#licacio"es #ara el desarrollo de alg"os #rocesos
co$#tadori!ados * e" estdios de segi$ie"to a la a#licaci" de dis#osicio"es de la
Co"tralor)a +e"eral de la Re#'lica, co$o resltado de las ealacio"es reali!adas e"
alg"os de los siste$as de i"for$aci" e" o#eraci". si$is$o, se a" e$itido criterios *
reco$e"dacio"es e" difere"tes ocasio"es so're esta te$tica, es#ecial$e"te e" ca"to a
co"troles de alto "iel.
Res#o"sa'ilidad de la ad$i"istraci" * res#o"sa'ilidad de la aditor)a de siste$as.
De acerdo co" los co"ce#tos 'sicos so're co"trol i"ter"o * aditor)a, es la d$i"istraci" la
res#o"sa'le del esta'leci$ie"to, a"lisis * $e-ora co"ti"a de los #rocedi$ie"tos * siste$as
de co"trol i"ter"o, $ie"tras %e la aditor)a se orie"ta a la ealaci" de los $is$os co"
criterio #rofesio"al e i"de#e"die"te, co" $iras a gara"ti!ar el adecado f"cio"a$ie"to. &stos
co"ce#tos de'e" estar adecada$e"te asi$ilados a "iel i"stitcio"al #ara "o ge"erar *
$a"te"er falsas e#ectatias e" tor"o a los a#ortes * resltados %e ge"era la aditor)a de
siste$as.
Co"cie"cia ge"erali!ada so're la co"e"ie"cia o "ecesidad de la aditor)a de siste$as.
)
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
17/163
Captulo 1 Introduccin
&iste " co"se"so eide"te e" tor"o a la "ecesidad de desarrollar la aditor)a de siste$as e"
la i"stitci", esto es "a destaca'le fortale!a #or re#rese"tar " i$#orta"te ele$e"to
facilitador #ara la i"trodcci" * co"solidaci" de la aditor)a de siste$as e" el i"isterio.
Geos #ro*ectos * retos %e a ftro se #la"tea" * las eige"cias %e se ge"erar" e"
el ca$#o de la aditor)a de siste$as.
&l i"isterio se a #la"teado i$#orta"tes #ro*ectos * retos #ara los #ri$os aos e" $ateria
tec"olgica, lo cal "o slo reslta $eritorio si"o ta$'i" "a i$#orta"te fe"te de riesgos,
es#ecial$e"te e" tor"o al te$a de la segridad de los siste$as, es#ecial$e"te #or la l)"ea
esta'lecida e" ca"to al a#roeca$ie"to de las facilidades de i"ter"et #ara el desarrollo del
"egocio ssta"tio.
ri"ci#ales e#ectatias e" ca"to al a#orte de la aditor)a de siste$as.
a $a*or)a de los e"treistados o#i"a %e e" el i"isterio el #erfeccio"a$ie"to de los
siste$as de i"for$aci" es "o de los #ri"ci#ales a#ortes %e se es#era" de la aditor)a de
siste$as, ello de"ota cierta falta de #recisi" so're la res#o"sa'ilidad de la #ro#ia
d$i"istraci" e" tor"o a los co"troles %e de'e esta'lecer e" la gesti" de la (I, de c*os
esfer!os de#e"der la s#eraci" de la #ro'le$tica ide"tificada e" este ca$#o.
Ha'ie"do %edado clara$e"te esta'lecida la "ecesidad * co"se"so so're la i$#orta"cia de
co"tar co" "a "idad %e, co" criterio #rofesio"al e i"de#e"die"te, eale el co"trol i"ter"o e"
las difere"tes reas de la gesti" de la tec"olog)a de la i"for$aci" e" el i"isterio, es "estro
i"ters #la"tear "a #ro#esta %e #er$ita a la i"stitci" co"tar co" ese a#o*o, del cal se a
e"ido a'la"do desde ace arios aos #ero si" %e se a*a logrado co"cretar asta aora.
Co"for$e co" lo i"dicado a"terior$e"te, la i"estigaci" #rete"de, co$o o'-etio ge"eral
#ro$oer la i$#la"taci" de la ditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de
Hacie"da, $edia"te la estrctraci" de "a #ro#esta %e co"sidere as#ectos
,
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
18/163
Captulo 1 Introduccin
orga"i!acio"ales, recrsos $a"os * tec"olgicos, as) co$o " #la" de tra'a-o co"creto #ara
este fi".
Co$#le$e"taria$e"te, se #la"tea" los sigie"tes o'-etios es#ec)ficos;
Defi"ir " $odelo $etodolgico o#eratio #ara el desarrollo de la f"ci" de la ditor)a
de (ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da.
&la'orar "a #ro#esta de orga"i!aci" #ara la f"ci" de la ditor)a de (ec"olog)a de
la I"for$aci" e" el i"isterio de Hacie"da.
ro#o"er los recrsos $a"os * erra$ie"tas co$#tadori!adas de a#o*o al aditor,
co"ocidas co$o C((s #or ss siglas e" i"gls "ecesarias #ara la i$#la"taci" de la ditor)a de (I e" el i"isterio de
Hacie"da.
&strctrar " #la" de tra'a-o es#ec)fico #ara la i$#la"taci" de la ditor)a de (I e" el
i"isterio.
&" ca"to a $etodolog)a, el estdio se a#o*a e" la i"estigaci" 'i'liogrfica, la 's%eda de
i"for$aci" #or $edio de i"ter"et, la reco#ilaci" directa de i"for$aci" $edia"te o'seraci".
dicio"al$e"te se reto$a" alg"os ele$e"tos del a"lisis co$#aratio de la e#erie"cia de
otras i"stitcio"es reali!ado co$o #arte del diag"stico *a co$e"tado.
Co$o todo estdio, el #rese"te a te"ido %e e"fre"tar li$itacio"es, %e de "a otra for$a
a" restri"gido la co"secci" de los o'-etios. &" ese se"tido, el i"ters de estrctrar "a
#ro#esta %e co"sidere los difere"tes as#ectos -"to co" la dis#o"i'ilidad de tie$#o #ara la
reali!aci" del estdio, "o #er$ite" #rof"di!ar e" alg"os as#ectos co$o la deter$i"aci" de
cargas de tra'a-o #ara la defi"ici" de la #la"tilla ideal #ara la ditor)a de (ec"olog)a de la
I"for$aci" B e" adela"te ditor)a de (I o " a"lisis tc"ico de las difere"tes erra$ie"tas
co$#tadori!adas de a#o*o a la gesti" de la aditor)a, te$as %e e" s) $is$os co"llear)a"
" esfer!o e" tie$#o * recrsos si$ilar a la i"estigaci" %e "os oc#a.
0
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
19/163
Captulo 1 Introduccin
Co"for$e co" los o'-etios * co"sideracio"es, el doc$e"to fi"al del #rese"te #ro*ecto
co"sidera arios ca#)tlos. &" el ca#)tlo 2, se a"ali!a" los #la"tea$ie"tos de difere"tes
atores e" ca"to $etodolog)a #ara el desarrollo de la ditor)a de (I * se #ro#o"e " $odelo
%e, a "estro criterio, res#o"de a las caracter)sticas * sitaci" del i"isterio.
&" seg"do lgar, se a"ali!a" los as#ectos co"ce#tales * legales relacio"ados co" la
estrctra orga"i!atia de la ditor)a de (I, as) co$o la orga"i!aci" actal * los recrsos
$a"os co" %e ce"ta la Direcci" +e"eral de ditor)a I"ter"a, #ara fi"ali!ar co" la
#ro#esta de orga"i!aci" * re%eri$ie"to $)"i$o de recrsos $a"os #ara la ditor)a de
(I.
&" el ca#)tlo catro se #la"tea la i$#orta"cia del so de erra$ie"tas co$#tadori!adas e" la
ditor)a de (I, ta"to #ara el a#o*o de la ad$i"istraci" de la aditor)a co$o a la f"ci" de
ditor)a de (I, se #la"tea" alg"os ele$e"tos a co"siderar e" la selecci" de erra$ie"tas
co$#tadori!adas * fi"al$e"te se #ro#o"e la ad%isici" de alg"as de estas.
/egida$e"te se #rese"ta " #la" o#eratio #ara la i"trodcci" de la ditor)a de (I, #ara lo
cal se e#o"e" alg"as co"sideracio"es estratgicas, s#estos, alca"ce, orga"i!aci" *
riesgos asociados co" la e-ecci" del #la". si$is$o se #la"tea "a a#roi$aci" de los
costos #ara la e-ecci" del #la".
or lti$o, se #rese"ta" las co"clsio"es del a"lisis reali!ado * las reco$e"dacio"es #ara la
e-ecci" del #la" #ro#esto #ara la i"trodcci" de la ditor)a de (I e" el i"isterio.
Fi"al$e"te, es#era$os %e el a"lisis reali!ado * la #ro#esta #la"teada sira de 'ase #ara
co"ertir e" realidad la eiste"cia de " rea de ditor)a de (I, * e" lti$a i"sta"cia, se
co"solide * fortale!ca el siste$a de co"trol i"ter"o del i"isterio.
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
20/163
Captulo 2 Modelo Metodolgico Propuesto
CAPITULO 2
MODELO METODOLOGICO OPERATIVO PARA LA AUDITORIA DE LA TI
&" el #rese"te ca#)tlo se #la"tear " $odelo $etodolgico o#eratio #ara el desarrollo de la
ditor)a de (ec"olog)a de la I"for$aci" e" el i"isterio de Hacie"da. ara ello e" " #ri$er
$o$e"to se #rese"ta" * a"ali!a" los e"fo%es de difere"tes atores * lego se reto$a" los
as#ectos 'sicos del diag"stico i"stitcio"al, co" el #ro#sito lti$o de %e la #ro#esta
res#o"da a las caracter)sticas * sitaci" de la i"stitci".
2.1 PRINCIPALES AREAS DE LA AUDITORIA DE TI
a ditor)a de (I se sele estrctrar e" difere"tes reas, #ara lo cal se a" #rese"tado
difere"tes $odelos o es%e$as. &" "estro caso, co" el #ro#sito de ofrecer "a isi"
ge"eral, e" e! de #rese"tar "o de ellos se o#ta #or descri'ir arios e"fo%es * reali!ar "
a"lisis so're si$ilitdes. l efecto se co"sidera" a%ellos %e a "iel "acio"al a" destacado
e" este ca$#o, as) co$o los %e a "iel i"ter"acio"al se a" co"siderado de $a*or relea"cia
de co"for$idad co" lo i"estigado e" esta o#ort"idad.
2.1.1 Enfoqu D An!on"o E#$n"qu
:" #ri$er e"fo%e es el #rese"tado #or "to"io &ce"i%e e" s li'ro ditor)a e" I"for$tica,
%e es "o de los clsicos e" esta $ateria. &ste ator disti"ge;
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
21/163
Captulo 2 Modelo Metodolgico Propuesto
a ealaci" ad$i"istratia co$#re"de los as#ectos sales del #roceso ad$i"istratio co" el
#ro#sito de deter$i"ar si desde el #"to de ista ad$i"istratio@ orga"i!atio se est"
c$#lie"do co" los criterios #reesta'lecidos. /e c're" as#ectos co$o;
A'-etios del de#arta$e"to, direcci" o gere"cia.
&" este #articlar el esfer!o del aditor se orie"tar a deter$i"ar si;
as res#o"sa'ilidades e" la orga"i!aci" est" defi"idas adecada$e"te * la
estrctra orga"i!acio"al est adecada a las "ecesidades.
&l co"trol orga"i!acio"al es adecado * se tie"e" los o'-etios * las #ol)ticas
adecadas, se e"ce"tra" ige"tes * est" 'ie" defi"idas.
os #estos se e"ce"tra" defi"idos * sealadas ss res#o"sa'ilidades.
&l a"lisis * descri#ci" de #estos est de acerdo co" el #erso"al %e los oc#a.
/e c$#le" los li"ea$ie"tos orga"i!acio"ales * si el "iel de salarios co$#arado
co" el del $ercado de tra'a-o.
os #la"es de tra'a-o co"cerda" co" los o'-etios de la e$#resa * si se ce"ta
co" los recrsos $a"os "ecesarios %e gara"tice" la co"ti"idad de la o#eraci"
o se ce"ta co"
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
22/163
Captulo 2 Modelo Metodolgico Propuesto
a ealaci" de los siste$as * #rocedi$ie"tos * de la eficie"cia %e se tie"e e" el so de la
i"for$aci" co$#re"de, e"tre otros;
a ealaci" de siste$as; eiste" siste$as e"trela!ados co$o " todo o eiste"
#rogra$as aislados * si eiste " #la" estratgico #ara la ela'oraci" de los
siste$as.
a ealaci" del a"lisis.
/e de'e alorar si;
o /e est e-ecta"do e" for$a correcta * eficie"te el #roceso de la
i"for$aci".
o ede ser si$#lificado #ara $e-orar s a#roeca$ie"to.
o /e de'e te"er "a $a*or i"teracci" de los siste$as.
o /e tie"e #ro#esto " adecado co"trol * segridad so're el siste$a.
o &st e" el a"lisis la doc$e"taci" adecada.
&alaci" del diseo lgico del siste$a.
os #"tos a ealar so"; e"tradas, salidas, #rocesos, es#ecificacio"es de datos *
es#ecificacio"es de #roceso.
&alaci" del diseo f)sico del siste$a
&" esta eta#a se de'er" aditar los #rogra$as, s diseo, el le"ga-e tili!ado,
i"terco"ei" e"tre los #rogra$as * caracter)sticas del ardEare e$#leado #ara el
desarrollo del siste$a.
Co"trol de #ro*ectos.
Co"siderar as#ectos co$o la eiste"cia * relaci" de los #ro*ectos co" el #la"
$aestro, defi"ici" de #rocedi$ie"tos * res#o"sa'ilidades de a#ro'aci" de
#ro*ectos, #la"eaci" de los #ro*ectos, tc"icas de co"trol de #ro*ectos, etc.
Co"trol de siste$as * #rogra$aci".
as reisio"es se reali!a" e" for$a #aralela desde el a"lisis asta la #rogra$aci"
* ss o'-etios so" los sigie"tes; e" la eta#a de a"lisis ide"tificar i"eactitdes,
a$'igedades * o$isio"es e" las es#ecificacio"es, e" la eta#a de diseo desc'rir
errores, de'ilidades * o$isio"es a"tes de i"iciar la codificaci" * e" la eta#a de
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
23/163
Captulo 2 Modelo Metodolgico Propuesto
#rogra$aci"; 'scar la claridad, la $odlaridad * erificaci" co" 'ase e" las
es#ecificacio"es.
I"strctios * doc$e"taci".
/e #rete"de ealar los i"strctios de o#eraci" de los siste$as #ara eitar %e los
#rogra$adores te"ga" acceso a los #rogra$as e" o#eraci" * %e c$#la" co" el
co"te"ido $)"i$o.
For$as de i$#la"taci".
/e de'e ealar los tra'a-os %e se reali!a" #ara i"iciar la o#eraci" de " siste$a,
esto es la #re'a i"tegral del siste$a, adecaci", ace#taci" #or #arte del sario,
e"tre"a$ie"to, etc.
/egridad f)sica * lgica de los siste$as.
/e de'e a"ali!ar el i$#acto e" el re"di$ie"to del siste$a co$o resltado de
ca$'ios trasce"de"tales e" el siste$a o#eratio e" el e%i#o, #die"do #ara ello
tili!ar " #a%ete de #re'as ela'orado co" ese #ro#sito es#ec)fico.
or s #arte, la ealaci" del #roceso de datos * de los e%i#os de c$#to i"cl*e el a"lisis
de;
Co"troles de los datos fe"tes * $a"e-o de cifras de co"trol; ealar la e"trada
de la i"for$aci" * %e se te"ga" las cifras de co"trol "ecesarias #ara
deter$i"ar la eracidad de la i"for$aci".
Co"trol de o#eraci"; alorar los #rocedi$ie"tos e i"strctios for$ales de
o#eraci", a"ali!ar s esta"dari!aci" * ealar el c$#li$ie"to de los $is$os.
Co"trol de salida; alorar si las salidas del siste$a satisface" los re%eri$ie"tos
del sario * so" distri'idas seg" corres#o"de.
Co"trol de asig"aci" de tra'a-o; alorar la direcci" de las o#eracio"es de la
co$#tadora e" tr$i"os de eficie"cia * satisfacci" del sario. Co"trol de $edios de al$ace"a$ie"to $asios; ealar la for$a co$o se
ad$i"istra" los dis#ositios de al$ace"a$ie"to 'sico de la direcci".
1
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
24/163
Captulo 2 Modelo Metodolgico Propuesto
Co"trol del $a"te"i$ie"to; a"ali!ar cl de los difere"tes ti#os de co"trataci"
del $a"te"i$ie"to es el $s co"e"ie"te * reisar los detalles del co"trato co"
el o'-eto de %e las clslas est" 'ie" defi"idas * se eli$i"e la s'-etiidad e
i"cor#ore las corres#o"die"tes #e"ali!acio"es #ara el #roeedor, #ara eitar
co"tratos #arciali!ados a faor de ste.
Arde" e" el ce"tro de c$#to; reisar las dis#osicio"es * regla$e"tos %e
coad*a" co" el $a"te"i$ie"to del orde" de"tro de la sala de $%i"as.
/egridad f)sica * lgica; se de'e co"siderar el siste$a i"tegral de segridad,
%e co$#re"de, e"tre otros; ele$e"tos ad$i"istratios, defi"ici" de "a #ol)tica
de segridad, orga"i!aci" * defi"ici" de res#o"sa'ilidades, segridad f)sica
co"tra catstrofes, siste$as de segridad de e%i#os * siste$as de i"for$aci",
#la"eaci" de #rogra$as de desastre B co"ti"ge"cia * s #re'a.
2.1.2 Enfoqu % S&n%'& G&'#(&
Atro es%e$a a co"siderar es el #rese"tado e" el $aterial del Crso de ditor)a de /iste$as
de la :"iersidad &statal a Dista"cia2, e" el %e se $e"cio"a" co$o reas #ara defi"ir el
alca"ce de la aditor)a de siste$as las sigie"tes;
Reisi" de Co"troles +e"erales del Ce"tro de C$#to; Reisar la estrctra
orga"i!acio"al, #ol)ticas, #rocedi$ie"tos o#eratios, a$'ie"te de co"trol,
o#eraci" de las i"stalacio"es de #rocesa$ie"to de datos, segridadJlgicaJf)sica,
#rocedi$ie"tos #ara el desarrollo * $a"te"i$ie"to de siste$as de
a#licaci"Jo#eratios.
/e de'e" a"ali!ar los co"troles orga"i!atios * gere"ciales, %e i"cl*e" a%ellos
%e 'ri"da" #rotecci" al a$'ie"te f)sico, as) co$o la asig"aci" de #erso"al
adecado * la o#eraci" eficie"te del ce"tro de #rocesa$ie"to de datos. &stos
co"troles de'e" 'ri"dar "a o#eraci" efica! a cargo de #erso"al calificado * del
cal se #eda de#e"der. /e de'e erificar la eiste"cia de adecados "ieles de
res#o"sa'ilidad * dar $arge" a "a adecada segregaci" de f"cio"es.
4ar#a, andra. Auditora In%orm+ti#a I5 6ota 7(#ni#a para el Curso Auditora de istemas. -228.
11
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
25/163
Captulo 2 Modelo Metodolgico Propuesto
de$s de'e co"tar co" #rocedi$ie"tos * est"dares adecados #ara el
f"cio"a$ie"to glo'al del ce"tro de c$#to.
Reisi" del Ciclo de ida del Desarrollo de /iste$as B/DC; reisar la
$etodolog)a, "or$as, tareas * #rocedi$ie"tos #ara el desarrollo, ad%isici" *
$a"te"i$ie"to de softEare de a#licacio"es. &l aditor de'e a"ali!ar los riesgos
asociados * las e#osicio"es %e so" i"ere"tes e" cada fase * asegrarse de
%e los $eca"is$os de co"trol adecados est" ige"tes #ara $i"i$i!ar esos
riesgos de for$a efica! e" ca"to a costos.
&l siste$a de'e co"trolarse desde %e i"gresa a la co$#a)a *a sea #or
ad%isici" o #or el desarrollo. &s crcial %e el aditor co$#re"da la
$etodolog)a de desarrollo * ad%isici" de siste$as co" el fi" de ide"tificar los
#"tos l"era'les %e ei-a" co"trol. &" caso de %e falte" co"troles el #a#el
del aditor es asesorar al e%i#o del #ro*ecto * a la lta Direcci" de los co"troles
a#ro#iados a i$#la"tar * efectar el segi$ie"to de los ca$'ios #ro#estos.
Reisi" de /iste$as de #licacio"es; reisar, ealar * a"ali!ar las fortale!as *
de'ilidades de co"trol * o#eracio"es de"tro de los siste$as de a#licacio"es
eiste"tes. os co"troles de a#licacio"es se refiere" a los co"troles de las
f"cio"es de i$#t, #rocesa$ie"to * ot#t. os co"troles de a#licacio"es
i"cl*e" $todos #ara asegrarse %e solo e" " siste$a co$#tadori!ado se
i"gresa" * actali!a" datos co$#letos, eactos * lidos, el #rocesa$ie"to reali!a
la tarea correcta * %e los datos se $a"tie"e" correctos * actali!ados.
Reisi" de la co"ti"idad de las o#eracio"es; reisar las #ol)ticas *
#rocedi$ie"tos refere"tes a la #la"ificaci" de co"ti"ge"cias * la eficie"cia
o#eratia. &l esfer!o del aditor se orie"ta a;
&alar el #la" de co"ti"ge"cias #ara deter$i"ar la adecaci" *
actalidad.
erificar %e el #la" de co"ti"ge"cias es efica! #ara asegrar la
ca#acidad de #rocesa$ie"to.
12
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
26/163
Captulo 2 Modelo Metodolgico Propuesto
&alar el sitio alter"o * deter$i"ar adecidad * segridad.
&alar la a'ilidad del #erso"al de siste$as * el #erso"al sario
#ara res#o"der e" for$a efica! a sitacio"es de e$erge"cia.
Reisi" (c"ica B/oftEare de /iste$as A#eratios; reisar las #ol)ticas *
#rocedi$ie"tos de desarrollo, ad%isici" * $a"te"i$ie"to de softEare de
siste$as o#eratios B teleco$"icacio"es, siste$as o#eratios, 'ases de
datos, &DI, etc=.
2.1.) Enfoqu % M&nu* A'&u+
or otra #arte, a"el ra! e" s li'ro
for$a e" %e est orga"i!ado el de#arta$e"to de c$#to, el estilo de direcci" %e se te"ga,
la #artici#aci" de los sarios e" la defi"ici" de los re%eri$ie"tos * el esta'leci$ie"to de
#rioridades, la ca"tidad de recrsos $a"os dis#o"i'les, s ca#acitaci", s $otiaci", la
$etodolog)a de tra'a-o e$#leada, la calidad de la doc$e"taci" de los siste$as, la for$a de
ad$i"istrar las 'ases de datos * otros as#ectos $s, tie"e" "a i"fle"cia $* ferte e" las
caracter)sticas de todos los siste$as de "a e"tidad. &" cada "o de estos te$as eiste "a
$e!cla de ele$e"tos tc"icos co" otros de carcter ad$i"istratio %e i"cide" e" todo el
accio"ar del rea de c$#to.
1)
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
27/163
Captulo 2 Modelo Metodolgico Propuesto
a ealaci" de la ad$i"istraci" de la f"ci" i"for$tica, #or #arte del aditor, #rocra
deter$i"ar el rol %e e-erce la gere"cia e" la defi"ici" de los o'-etios * $etas del rea de
c$#to, la calidad de la #la"eaci" * el grado de c$#li$ie"to de los #la"es a largo * corto
#la!o, la orga"i!aci" de esta rea, los $todos * #rocedi$ie"tos e$#leados, los $eca"is$os
de co$"icaci" tili!ados, los co"troles esta'lecidos e" f"cio"es claes tales co$o
$a"te"i$ie"to de siste$as, ad$i"istraci" de 'ases de datos, ad$i"istraci" de la red de
tele#roceso, o#eraci" del co$#tador, #rocedi$ie"tos de res#aldo * rec#eraci" * otros
#"tos $s.
&" este ti#o de ealaci" se trata de a"ali!ar as#ectos co$o c$#li$ie"to de $etas,
#rotecci" de actios * so eficie"te de los recrsos.
:. Au%"!o'(& % *o "!& n 4'o%u##"3n
a aditor)a de los siste$as e" #rodcci" se orie"ta a la ealaci" de as"tos tales co$o;
los $eca"is$os de segridad de acceso esta'lecidos, los co"troles de e"trada de datos, de
#rocesa$ie"to * de #rodcci" de salidas eiste"tes, los #rocedi$ie"tos de res#aldo
a#licados.
s#ectos co$o $ala defi"ici" de #erfiles, de'ilidades e" las alidacio"es de la e"trada de los
datos * otros $s tie"e" " ferte i$#acto e" la co"fia"!a %e se de#osite e" el siste$a de
co"trol i"ter"o de la co$#a)a.
&l ele$e"to clae de este ti#o de ealaci" es la i"tegridad de los datos. os co"ce#tos de
totalidad, eactitd * o#ort"idad so" la 'ase de las aditor)as a los siste$as e" #rodcci".
&" esta rea, la #artici#aci" co"sta"te del aditor es $* i$#orta"te.
#. Au%"!o'(& &* %&''o**o % "!&
a co"ce#ci" $oder"a de la aditor)a #rocra %e sta se co"ierta e" "a f"ci" asesora
de la ad$i"istraci". &" el caso del rea i"for$tica, este o'-etio "o se alca"!a si el aditor
"o #artici#a e" el #roceso de desarrollo de siste$as.
1,
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
28/163
Captulo 2 Modelo Metodolgico Propuesto
as tc"icas de desarrollo de siste$as a" e"ido eolcio"a"do co" el #ro#sito de lograr
%e estos se a-ste" co" facilidad a los ca$'ios e" el e"tor"o. /i" e$'argo, a #esar de los
esfer!os reali!ados, sgerir $e-oras e" " siste$a e" #rodcci" #ara refor!ar el siste$a de
co"trol i"ter"o acarrea costos $* eleados. &sta realidad a #roocado %e el aditor "o
logre %e ss reco$e"dacio"es sea" i$#la"tadas e" for$a gil.
a co"ce#ci" de este ti#o de aditor)a es de aditar el ftro, #reer las de'ilidades *
sole"tarlas #reio a %e el siste$a e"tre e" o#eraci". :"a de las e"ta-as $s gra"des %e
#osee este ti#o de aditor)a es %e dis$i"*e, e" gra" $edida, los costos de i$#la"taci" de
las reco$e"dacio"es del aditor, lo cal ace ta$'i" %e s la'or sea ista de "a $e-or
$a"era.
&ste ca$#o se le #rese"ta al aditor co$o la #latafor$a ideal #ara lograr "a #artici#aci"
asesora $* actia. de$s, le #er$ite desarrollar, co" $co $e"os esfer!o, erra$ie"tas
ato$ati!adas #ara i"cor#orarlas a los siste$as e" desarrollo %e a*de" al c$#li$ie"to de
otras f"cio"es de la aditor)a e" los ca$#os fi"a"ciero, co"ta'le * ad$i"istratio.
%. E=&*u"3n %* &:"n! % "#'o#o4u!&%o'
&l age %e tie"e" o* los $icroco$#tadores e" las e$#resas a tra)do co"sigo la eolci"
de " a$'ie"te distri'ido de #rocesa$ie"to de datos. Co" esto, si a"tes se te")a" #ro'le$as
de doc$e"taci", riesgos de #rdida de #riacidad * de i"tegridad de los datos, co" los
$icroco$#tadores la #ro'le$tica se a i"cre$e"tado. &l aditor de'e to$ar co"cie"cia de
ello * #o"er es#ecial ate"ci" a s eolci" de"tro de la e$#resa.
&" s ealaci" se de'e" a"ali!ar as#ectos co$o; #rocedi$ie"tos de ad%isici" de
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
29/163
Captulo 2 Modelo Metodolgico Propuesto
De $a"era si$ilar Kio$ar Delgado, ator del li'ro
resltados LM#ti$os. /o're este #articlar de'e" co"siderarse as#ectos co$o; e$isi",
#erti"e"cia, #'licaci", res#eto * co"trol.
Fi"al$e"te, e" este te$a de'e co"siderar la 'icaci" estrctral de"tro del orga"igra$a e"
%e se e"ce"tra el de#arta$e"to de i"for$tica as) co$o la descri#ci" de las
res#o"sa'ilidades de los i"tegra"tes del $is$o.
&l ca"to al recrso $a"o, se de'e ealar las #ol)ticas de selecci" de #erso"al, las
tc"icas de reclta$ie"to, las #ol)ticas de ca#acitaci" * e"tre"a$ie"to, as) co$o la
s#erisi" * la ealaci" de f"cio"es de este #erso"al.
D&''o**o % "!& % &4*"#"3n.
&l aditor es res#o"sa'le de dar segi$ie"to #er$a"e"te a la i"ersi" %e las e$#resas
reali!a" e" siste$as de a#licaci" * esto lo logra $edia"te s #artici#aci" e" el desarrollo de
los siste$as.
l efecto de'er co"siderar as#ectos co$o;
/i se ce"ta co" "a $etodolog)a adecada #ara el desarrollo de los
siste$as, %e ce"te co" la ca"tidad adecada #ara co"segir siste$as
co"fia'les, segros * adita'les.
1
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
30/163
Captulo 2 Modelo Metodolgico Propuesto
artici#ar actia$e"te e" las actiidades de $a"te"i$ie"to de los siste$as *
#er$a"ecer alerta.
Co$#ro'ar la #artici#aci" actia del sario desde las fases $s te$#ra"as
del ciclo de ida del desarrollo de siste$as.
/i se reali! " estdio de facti'ilidad #reio a las erogacio"es.
/i se a" reali!ado los estdios sficie"tes #ara deter$i"ar co" eactitd las
"ecesidades de i"for$aci" del sario.
/i se a" co"te$#lado las for$as de #rese"taci" de las salidas, las
"ecesidades de co"trol * de res#aldo * si se a" i"clido sficie"tes #istas
de aditor)a.
Co$o ele$e"to de co$#ro'aci", de'e" reali!arse ealacio"es de lo %e a #asado
i"$ediata$e"te des#s de la i$#la"taci";
&l "iel de satisfacci" del sario.
&l %e la a#licaci" a*a 'ri"dado "a solci" satisfactoria a las
"ecesidades de sario.
a facilidad de $a"e-o de la a#licaci".
Cl es la relaci" costoJ 'e"eficio de la a#licaci".
:"a ealaci" de la adere"cia a los est"dares de desarrollo
O4'"3n % *o "!& % &4*"#"3n.
&l aditor de'er ealar %e la orga"i!aci" ce"ta co" los recrsos #ara lograr la e-ecci"
co"for$e a lo #la"eado * %e los de#arta$e"tos sarios e i"for$ticos da" " so a#ro#iado
a los recrsos. ara ello co"siderar;
Reisar las ad%isicio"es de e%i#os reali!adas * ealar s co"e"ie"cia res#ecto
de lo #la"eado.
Reali!ar #re'as %e le #er$ita" o'te"er " criterio so're la tili!aci" de los
recrsos del co$#tador.
19
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
31/163
Captulo 2 Modelo Metodolgico Propuesto
Co$#ro'ar %e los recrsos de al$ace"a$ie"to so" ad$i"istrados de $a"era
adecada, reali!a"do #la"ea$ie"to de s so * de dis#osici" de los es#acios
dis#o"i'les.
Co$#ro'ar %e los recrsos de softEare c$#le" co" el #la"ea$ie"to esta'lecido *
%e co"stit*e" erra$ie"tas %e satisface" de la $e-or $a"era las "ecesidades de
orga"i!aci".
erificar %e los recrsos de softEare so" ad%iridos ca"do co"stit*e" la $e-or
o#ci" * e"fre"ta"do el a"lisis de la relaci" costo ? 'e"eficio.
Deter$i"ar si el softEare est sie"do 'ie" tili!ado, si el $a"te"i$ie"to %e se le
'ri"da es co"fia'le * segro, si todos los ca$'ios so" sficie"te$e"te co"trolados.
Reali!ar co$#ro'acio"es de %e se a" esta'lecido sficie"tes #rocedi$ie"tos de
co"trol de segridad.
&alar las li$itacio"es eiste"tes de acceso al lgar e" %e se 'ica" los e%i#os.
Co$#ro'ar %e se a" esta'lecido #rocedi$ie"tos #ara el $a"e-o de #osi'les
errores.
Ne se ce"te co" " #la" de co"ti"ge"cias * %e se a" co"te$#lado los
#ri"ci#ales #ro'le$as a %e #eda e#o"erse la e$#resa, %e las $edidas de
rec#eraci" so" reali!a'les * adecadas.
R=""3n % *& &4*"#"on.
&" la f"ci" de ealaci" de las a#licacio"es el aditor de'er;
1
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
32/163
Captulo 2 Modelo Metodolgico Propuesto
Co$#ro'ar %e los datos c$#le" co" #rocedi$ie"tos de #re#araci"
adecados.
Ne eiste co"trol so're los doc$e"tos origi"ales, de $a"era %e so"
sficie"te$e"te cstodiados.
Ne eiste" co"troles so're la e"trada de los datos.
Reisar el #rocesa$ie"to de los datos, de $a"era %e se $a"te"ga s
i"tegridad, %e s $a"i#laci" es segra, li$ita"do la #osi'ilidad de ser
co"ocidos #or #erso"al "o atori!ado.
Ne se a" defi"ido * se a#lica" reglas de alidaci" de los datos.
Reisar los co"troles de salida, erifica"do %e se #o"e" a dis#osici" del
#erso"al atori!ado #ara ello. Co$#ro'ar %e las salidas #rese"ta" " for$ato adecado a las
"ecesidades del sario.
Co$#ro'ar %e los i"for$es est" dirigidos a %ie" corres#o"de.
Ne se a" diseado #rocedi$ie"tos #ara el $a"e-o de errores.
A%"n"!'"3n % *& :& % %&!o.
&l aditor de'er co$#ro$eterse co" la ealaci" * igila"cia del a$'ie"te e" %e se
$a"tie"e" los recrsos de i"for$aci", de for$a %e co$#re'e %e so're las 'ases de datos
eiste "a 'e"a ad$i"istraci", %e las tareas res#ectias est" segregadas de las resta"tes
f"cio"es i"for$ticas, %e eiste asig"aci" de res#o"sa'ilidades e" el so * reglacio"es
%e sste"te" la i"tegridad * totalidad de los datos co"te"idos e" esas 'ases.
si$is$o de'er erificar las co"dicio"es e" %e se $a"tie"e" los diccio"arios de datos * los
est"dares ado#tados #ara s $a"e-o.
erificar la ca#acitaci" %e se a 'ri"dado a ss sarios, ta"to i"for$ticos co$o
ad$i"istratios.
P'o#&"n!o %"!'":u"%o 5 '%.
1
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
33/163
Captulo 2 Modelo Metodolgico Propuesto
&l aditor de'e estar e" ca#acidad de ealar la for$a e" %e se distri'*e" los recrsos
i"for$ticos de la e$#resa * so$eter a #re'a los co"troles %e se defi"e" #ara el so de los
recrsos i"for$ticos de la e$#resa, * so$eter a #re'a los co"troles %e se defi"e" #ara el
so de cada "o de esos recrsos, #ara la cstodia de los actios de la e$#resa * #ara la
li$itaci" de acceso %e se #eda dar desde las ter$i"ales 'icadas e" cal%ier lgar de la
e$#resa.
De'e ealar los est"dares defi"idos so're co"trol de las redes * co$#ro'ar %e las
caracter)sticas f)sicas del ardEare ad%irido o #ro#esto c$#le" satisfactoria$e"te co" las
"ecesidades del co"-"to de e%i#o * "o degradar la ca#acidad de o#eraci" de los e%i#os *a
co"ectados.
De'e ealar los $eca"is$os de co"trol * la asig"aci" de res#o"sa'ilidades #or el so de los
recrsos dis#o"i'les de la red, to$a"do e" ce"ta la "ecesidad de recrsos de res#aldo.
si$is$o, de'e erificarse la eiste"cia de #la"es de ca#acitaci" * adiestra$ie"to %e
asegre" " so #roecoso de los recrsos * la dis$i"ci" de riesgos de %e la acci" de
" sario #diera casar #ro'le$as a todos los sarios de la red. &" ese $is$o se"tido,
de'e reisarse la eiste"cia de " $a"al claro * de fcil e"te"di$ie"to %e le #er$ita a los
"eos sarios fa$iliari!arse co" los recrsos a s dis#osici".
De igal $a"era de'e" ealarse los co"troles de ide"tificaci" * erificaci" de
atori!acio"es, %e co"te$#le" ade$s la eiste"cia de #rogra$as de co"trol %e,
#er$a"e!ca" #e"die"tes del so de los recrsos.
A:"n! % "#'o#o4u!&%o'.3
&"tres ss actiidades, el aditor de'e co"te$#lar la ealaci" del este a$'ie"te, to$a"do
e" ce"ta difere"tes as#ectos res#ecto al so de $icroco$#tadores, de $a"era %e #eda
reisar al i"icio las actiidades %e se relacio"a" co" la ad%isici" de los e%i#os, e" las
9Delgado, :iomar. Auditora In%orm+ti#a. Editorial ;6ED. an 'os(. )ag
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
34/163
Captulo 2 Modelo Metodolgico Propuesto
cales i"terie"e" las #ol)ticas de la e$#resa, erifica"do si todas las ad%isicio"es se a#ega"
a las #ol)ticas ad$i"istratias.
/e de'e erificar si se satisface" los co"troles res#ecto a la ad$i"istraci" * alorar s a#orte
al c$#li$ie"to de los o'-etios de la e$#resa.
De'e elar %e sola$e"te #er$a"e!ca" i"staladas a%ellas ersio"es de softEare so're las
%e la e$#resa dis#o"ga de "a lice"cia #ara o#erarla * erificar el c$#li$ie"to de la
legislaci", $otio #or el %e de'e #ro$oer el res#eto a los derecos de ator.
&" los e%i#os de $a*or ta$ao, de'e co"te$#larse la "ecesidad de co"tar co" " adecado
a$'ie"te de co"trol so're los arcios * las tra"saccio"es #rocesadas e" ellos, as) co$o las
#ol)ticas de acceso a los recrsos co"te"idos e" ellos. a correcta o#eraci" de los
$icroco$#tadores de'e ser reisada #or el aditor * ste de'e co$#ro'ar %e eiste"
adecadas #ol)ticas de res#aldo * co"trol de los datos al$ace"ados.
De'e co$#ro'ar %e las ad%isicio"es %e se realice" $a"te"ga" el grado "ecesario de
co$#ati'ilidad #ara asegrar $a*or ida a los recrsos de i"for$aci".
Co$o #ede "otarse, e" este caso se #rese"ta" i"de#e"die"te$e"te la reisi" de las
a#licacio"es * la ad$i"istraci" de las 'ases de datos %e e" el e"fo%e a"terior se i"cl*e"
de"tro de los siste$as e" o#eraci". si$is$o, el #rocesa$ie"to distri'ido se isali!a co$o
#arte del rea de a$'ie"te de $icroco$#tadores.
2.1.0 Enfoqu D M&'"o P"&!!"n" Y O!'o,
&" la reco#ilaci"
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
35/163
Captulo 2 Modelo Metodolgico Propuesto
a ditor)a F)sica es el $edio %e a #ro#orcio"ar la eide"cia o "o de la segridad f)sica e"
el a$'ie"te e" el %e se a a desarrollar la la'or i"for$tica, #or lo %e "o se de'e li$itar a
co$#ro'ar la eiste"cia de los $edios f)sicos, si"o ta$'i" s f"cio"alidad, racio"alidad *
segridad. os o'-etios de esta so"; el edificio, las i"stalacio"es, e%i#o *
teleco$"icacio"es, datos * #erso"as.
Au%"!o'(& % *& Of"
de teto, erra$ie"tas #ara la gesti" de doc$e"tos, co$o co"trol de e#edie"tes o siste$as
de al$ace"a$ie"to #tico de la i"for$aci", age"das * 'ase de datos #erso"ales, siste$as de
tra'a-o e" gr#o co$o el correo electr"ico o el co"trol de fl-o de tra'a-o.
Au%"!o'(& % *& D"'##"3n
&"te"dida la aditor)a de la direcci" co$o aditor)a de la gesti" de la i"for$tica o
De#arta$e"to de I"for$tica, el aditor de'e ea$i"ar;
&8 &l #roceso de #la"ificaci" de siste$as de i"for$aci" * ealar si
ra!o"a'le$e"te se c$#le" los o'-etios #ara el $is$o. De'e co"siderar si se #resta
adecada ate"ci" al #la" estratgico de la e$#resa, si se esta'lece" $eca"is$os de
si"cro"i!aci" e"tre ss gra"des itos * los #ro*ectos i"for$ticos asociados * si se tie"e" e"
ce"ta ca$'ios orga"i!atios e"tor"o legislatio, eolci" tec"olgica orga"i!aci"
i"for$tica recrsos * otros.
:8 &alar el #roceso de orga"i!ar * co"trolar los recrsos, los fl-os de i"for$aci" *
los co"troles %e #er$ita" alca"!ar los o'-etios $arcados dra"te la #la"ificaci".
22
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
36/163
Captulo 2 Modelo Metodolgico Propuesto
#8 "ali!ar las f"cio"es * res#o"sa'ilidades del de#arta$e"to de i"for$tica * lego
la segregaci" de f"cio"es.
%8 &alar %e la Direcci" de I"for$tica reali!a ss actiidades de"tro del res#eto a la
"or$atia legal a#lica'le. &" #articlar se co"sidera" f"da$e"tales los relatios a la
segridad e igie"e e" el tra'a-o, "or$atia la'oral, #rotecci" de datos #erso"ales, #ro#iedad
i"telectal del softEare. Re%isitos defi"idos e" la co'ertra de segros, co"tratos de
co$ercio electr"ico, tra"s$isi" de datos #or l)"eas de co$"icacio"es, as) co$o la
"or$atia e$itida #or los rga"os regladores.
Au%"!o'(& % *& E4*o!"3n
Corres#o"de a la ealaci" #eridica del f"cio"a$ie"to adecado de los siste$as
i"for$ticos o siste$as de i"for$aci", #ara asegrar la eiste"cia de la e$#resa * s#erar a
los co$#etidores. /igie"do las reco$e"dacio"es de CAI( el o'-etio ge"eral de la aditor)a
de e#lotaci" co"siste e" asegrarse de %e las f"cio"es %e sire" de a#o*o a las
(ec"olog)as de la I"for$aci" se reali!a" de for$a orde"ada * satisface" los re%isitos
e$#resariales.
ara acer el segi$ie"to * co$#ro'ar %e el siste$a de i"for$aci" est acta"do co$o es
#rece#tio, ste a'r de dis#o"er de " co"trol i"ter"o %e #ree"ga los ee"tos "o
deseados o e" s defecto los detecte * los corri-a.
&l es%e$a #ara llear aca'o las aditor)as de la e#lotaci" de los siste$as de i"for$aci"
se #rese"ta sigie"do la clasificaci" de los co"troles %e ace el #ro*ecto CAI(.
Au%"!o'(& %* D&''o**o
a aditor)a del desarrollo tratar de erificar la eiste"cia * a#licaci" de #rocedi$ie"tos de
co"trol adecados %e #er$ita" gara"ti!ar %e el desarrollo de siste$as de i"for$aci" se a
lleado a ca'o seg" #ri"ci#ios de i"ge"ier)a del softEare, orie"tados a o'te"er softEare
2)
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
37/163
Captulo 2 Modelo Metodolgico Propuesto
eco"$ico %e sea fia'le, c$#la los re%isitos #reia$e"te esta'lecidos * f"cio"e de
$a"era eficie"te so're $%i"as reales.
a aditor)a de desarrollo se a'ordar desglos"dola e" dos gra"des a#artados;
ditor)a de la orga"i!aci" * gesti" del rea de desarrollo
ditor)a de #ro*ectos de desarrollo de siste$as de i"for$aci"
a $etodolog)a %e se sar es la #ro#esta #or la I/C BI"for$atio" /*ste$s dit a"d
Co"trol ssociatio" %e est 'asada e" la ealaci" del riesgo; #artie"do de los riesgos
#ote"ciales a los %e est so$etida "a actiidad, e" este caso el desarrollo de " siste$a de
i"for$aci", se deter$i"a" arios o'-etios de co"trol %e $i"i$ice" esos riesgos.
De"tro del #ri$er a#artado de'e ealar los sigie"tes o'-etios de co"trol;
a. /i el rea de desarrollo tie"e "os co$etidos asig"ados de"tro del de#arta$e"to
* "a orga"i!aci" %e le #er$ite el c$#li$ie"to de los $is$os.
'. /i el #erso"al del rea de desarrollo ce"ta co" la for$aci" adecada * est
$otiado #ara la reali!aci" de s tra'a-o.
c. /i eiste " #la" de siste$as, de tal $a"era %e los #ro*ectos se llea" a ca'o
se 'asa" e" dico #la".
d. /i la #ro#esta * a#ro'aci" de "eos #ro*ectos se reali!a de for$a reglada,
as) co$o la asig"aci" de recrsos.
e. /i el desarrollo de siste$as de i"for$aci" se ace a#lica"do #ri"ci#ios de
i"ge"ier)a del softEare a$#lia$e"te ace#tados.
f. /i la orga"i!aci" del rea se ada#ta a las "ecesidades d4e cada $o$e"to.
&l otro gr#o relatio a la aditor)a de cada #ro*ecto de desarrollo de /I te"dr " #la" disti"to
de#e"die"do de los riesgos, la co$#le-idad de $is$o * los recrsos dis#o"i'les #ara reali!ar la
aditor)a. &sto o'liga %e sea" la #ericia * e#erie"cia del aditor las %e deter$i"e" las
actiidades del #ro*ecto %e se co"trolar" co" $a*or i"te"sidad e" f"ci" de esos
#ar$etros.
2,
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
38/163
Captulo 2 Modelo Metodolgico Propuesto
&l aditor de'e ealar;
a a#ro'aci", #la"ificaci" * gesti" del #ro*ecto
a fase de a"lisis
a fase de diseo
Fase de Co"strcci"
a fase de i$#la"taci"
Au%"!o'(& %* M&n!n""n!o
a eta#a de $a"te"i$ie"to de'e ser es#ecial$e"te co"siderada e" los estdios de
#rodctiidad * de la ditor)a I"for$tica. a $a"te"i'ilidad es el factor de calidad %e
e"glo'a todas a%ellas caracter)sticas del softEare desti"adas a acer %e el #rodcto sea
$s fcil$e"te $a"te"i'le, e" co"sece"cia, a co"segir "a $a*or #rodctiidad dra"te la
eta#a de $a"te"i$ie"to del softEare.
Au%"!o'(& % 7& % D&!o
Corres#o"de a la aditor)a de 'ases de datos la ealaci" de los o'-etios de co"trol e" el
ciclo de ida de "a 'ase de datos, a sa'er; estdio #reio * #la" de tra'a-o, co"ce#ci" de la
'ase de datos * selecci" del e%i#o, diseo * carga, e#lotaci" * $a"te"i$ie"to, * #or lti$o
la reisi" * #ost i$#la"taci".
Ca"do el aditor se e"ce"tra el siste$a e" e#lotaci" de'e estdiar e"tor"o de la 'ase de
datos %e 'sica$e"te co$#re"de;
&l /iste$a de +esti" de la ase de Datos B/+D, de"tro del %e destaca" los
sigie"tes co$#o"e"tes; el "cleo, el catlogo Bco$#o"e"te f"da$e"tal #ara
asegrar la segridad de la 'ase de datos, las tilidades #ara el ad$i"istrador de
la 'ase de datos, e"tre las %e se sele" e"co"trar alg"as #ara crear sarios,
co"ceder #riilegios, las %e se e"carga" de la rec#eraci" de la 'ase de datos;
arra"%e, co#ias de res#aldo, ficeros diarios * alg"as f"cio"e s de aditor)a, as)
co$o los le"ga-es de carta ge"eraci" %e i"cor#ora el #ro#io /+D.
20
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
39/163
Captulo 2 Modelo Metodolgico Propuesto
/iste$a de $o"itori!aci" * a-ste, %e facilita" la o#ti$i!aci" de la 'ase de datos
/iste$a A#eratio, #ie!a clae del e"tor"o, #esto %e el /+D se a#o*ar e" los
sericios %e le ofre!ca el siste$a o#eratio e" ca"to a co"trol de $e$oria,
gesti" de reas de #rocesa$ie"to i"ter$edio, $a"e-o de errores, co"trol de
co"fide"cialidad, $eca"is$os de i"ter'lo%eo.
o"itor de (ra"saccio"es.
rotocolos * /iste$as Distri'idos; al acceder las 'ases de datos a tras de redes,
el riesgo de iolaci" de la co"fide"cialidad e i"tegridad se ace"ta. (a$'i" las
'ases de datos distri'idas #ede" #rese"tar graes riesgos de segridad.
a%etes de segridad> la eiste"cia e" el $ercado de arios #rodctos %e
#er$ite" la i$#la"taci" efectia de "a #ol)tica de segridad, #esto %e
ce"trali!a" el co"trol de accesos, la defi"ici" de #riilegios, #erfiles de sario *
otros.
Diccio"ario de datos> " fallo e" " diccio"ario o re#ositorio, sele llear co"sigo
"a #rdida de i"tegridad de los #rocesos, %e #ede" #rodcir errores e" for$a
re#etitia a lo largo del tie$#o, dif)ciles de detectar.
Herra$ie"tas C/& B Co$#ter ided /*ste$J/oftEare &"gi"eeri"g J I/&
B I"tegrated ro-ect /##ort &"iro"$e"ts
e"ga-es de carta ge"eraci" i"de#e"die"tes.
Facilidades de sario.
Herra$ie"tas de O$i"er)a de datosO.
#licacio"es.
&l aditor de'e erificar %e todos estos co$#o"e"tes tra'a-a" co"-"ta * coordi"ada$e"te
#ara asegrar %e los siste$as de 'ases de datos co"ti"a" c$#lie"do los o'-etios de la
e$#resa * %e se e"ce"tra" co"trolados de $a"era efectia.
as co"sideracio"es de la aditor)a de'e" i"clirse e" las disti"tas fases del ciclo de ida de
"a 'ase de datos, sie"do $* i$#orta"te %e los aditores #artici#e" cada e! $s e" el
#roceso de desarrollo, dis$i"*e"do as) ciertos costes * acie"do O$s #rodctiaO s la'or, la
direcci" de las e$#resas "o sie$#re OeO la la'or de aditor)a * co"trol co$o real$e"te
#rodctia, as$i"dola, la $a*or)a de las eces, co$o " gasto "ecesario.
2
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
40/163
Captulo 2 Modelo Metodolgico Propuesto
Au%"!o'(& % T#n"#& % S"!&
a tarea de la aditor)a de tc"ica de siste$as es la e"cargada de aditar la estrctra
i"for$tica, es decir el co"-"to de i"stalacio"es, e%i#os de #roceso * el lla$ado softEare de
datos. Cada "o de esos a#artados co$#re"de;
Instalaciones
&ste a#artado i"clir salas de #roceso, co" ss siste$as de segridad * co"trol, as) co$o
ele$e"tos de co"ei" * ca'leado, es decir los ele$e"tos 'ase #ara aco"dicio"ar los
co$#o"e"tes del a#artado sigie"te;
Euipos de proceso
Corres#o"de a la ealaci" de los co$#tadores B$ai", $i"i * $icro, as) co$o ss
#erifricos, #a"tallas, i$#resoras, "idades de ci"ta, * los dis#ositios de co"$taci" *
co$"icacio"es Broters, $de$s
%oft&are de 'ase
/e co$#o"e" de los siste$as o#eratios, co$#iladores, tradctores e i"tr#retes de
co$a"dos * #rogra$as, -"to co" los gestores de datos o siste$as de ad$i"istraci" de
datos * toda "a serie de erra$ie"tas * co$#o"e"tes ailiares e i"ter$edios co$o
erra$ie"tas de desarrollo, facilidades de e#lotaci" co$o #la"ificadores, #a%etes de
segridad
Au%"!o'(& % *& C&*"%&%
/e refiere a la aditor)a de calidad del softEare, o sea al c$#li$ie"to de los re%eri$ie"tos
%e se a" esta'lecido, "or$al$e"te #or el sario o el clie"te, * las caracter)sticas i$#l)citas
%e de'e c$#lir todo softEare eco #rofesio"al$e"te a#arte de s reali!aci" seg"
deter$i"ados est"dares.
29
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
41/163
Captulo 2 Modelo Metodolgico Propuesto
e co$#ete la ealaci" i"de#e"die"te de los #rocesos, los #rodctos softEare, el #rogreso
del #ro*ecto o el c$o se reali!a el tra'a-o, %e i"estiga la coi"cide"cia co" los est"dares,
l)"eas g)a, es#ecificacio"es * #rocedi$ie"tos 'asados e" criterios o'-etios %e i"cl*e" los
doc$e"tos %e es#ecifica";
a for$a o co"te"ido de los #rodctos a #rodcir.
os #rocesos e" los %e los #rodctos de'e" ser #rodcidos.
C$o de'e ser $edida a la adere"cia co" los est"dares o l)"eas g)a.
Au%"!o'(& % *& S/u'"%&%
Corres#o"de a la ealaci" de los $odelos o'-etios de co"trol de segridad esta'lecidos
#or la orga"i!aci", co" el #ro#sito de asegrarse %e los co"troles est" e" co"so"a"cia co"
las "eas ar%itectras, las disti"tas #latafor$as * las #osi'ilidades de las co$"icacio"es,
%e gara"ti!a" %e "o se #ierde la i"for$aci", %e est dis#o"i'le e" el $o$e"to re%erido
#ara la to$a de decisio"es.
as reas %e c're la aditor)a de segridad so";
Auditora de la seguridad fsica
ditor)a de la segridad lgica.
Auditora de la seguridad ( el desarrollo de aplicaciones)
Auditora de la seguridad en el rea de produccin
Auditora de la seguridad de los datos
Auditora de la seguridad de comunicaciones ( redes
Auditora de la continuidad de las operaciones
Au%"!o'(& % R%
&l #ri$er #"to es aditar la gere"cia de las co$"icacio"es, a fi" deter$i"ar %e la f"ci" de
gesti" de redes * co$"icacio"es est clara$e"te defi"ida, de'ie"do ser res#o"sa'le de la
gesti" de la red, i"e"tario de e%i#o, * "or$atia de co"ectiidad, #or la $o"itori!aci" de
las co$"icacio"es, registro * resolci" de #ro'le$as.
2
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
42/163
Captulo 2 Modelo Metodolgico Propuesto
Co"sidera ta"to la aditor)a la red f)sica * la red lgica.
Au%"!o'(& % A4*"#"on
/e orie"ta a la reisi" de la eficacia del f"cio"a$ie"to de los co"troles diseados #ara cada
"o de los #asos de la a#licaci" fre"te a los riesgos %e trata" de eli$i"ar o $i"i$i!ar, co$o
$edios #ara asegrar la fia'ilidad B totalidad * eactitd, segridad, dis#o"i'ilidad *
co"fide"cialidad de la i"for$aci" #ro#orcio"ada #or la a#licaci".
ara este #ro#sito se tili!a" #ri"ci#al$e"te las sigie"tes erra$ie"tas; e"treistas,
e"cestas, o'seraci" del tra'a-o reali!ado #or los sarios, #re'as de co"for$idad,
#re'as ssta"tias o de alidaci" * el co$#tador $is$os BsoftEare es#eciali!ado.
lg"os casos es#ec)ficos de aditor)a de a#licacio"es so" la ealaci" de los siste$as de
a#o*o a la to$a de decisio"es * las a#licacio"es de si$lacio"es.
2.1. Enfoqu % *& Fun%"3n 4&'& * Con!'o* 5 Au%"!o'(& % S"!& % Info'"3n
6Mo%*o CO7IT8.
a F"daci" #ara el Co"trol * ditor)a de /iste$as de I"for$aci" * el Co$it Directio de la
$is$a, co" la #artici#aci" de disti"gidos es#ecialistas e" el ca$#o del co"trol, la aditor)a *
la (I, desarroll e" 1996 la #ri$era ersi" de este $odelo, el cal fe actali!ado e" 1998 *
e" el 2000, * a logrado "a i$#orta"te ace#taci" e" $cos #a)ses. &st diseado "o slo
#ara ser tili!ado #or sarios * aditores, si"o %e #ri"ci#al$e"te #ara ser sado co$o "a
lista de erificaci" #ara los #ro#ietarios de los #rocesos de "egocio.
CAI( est 'asado e" los A'-etios de Co"trol eiste"tes de la I"for$atio" /*ste$s dit a"d
Co"trol Fo"datio" BI/CF $e-orados co" los est"dares i"ter"acio"ales eiste"tes *
e$erge"tes tc"icos, #rofesio"ales, reglatorios * es#ec)ficos de la i"dstria. os A'-etios de
Co"trol reslta"tes, a#lica'les * ace#tados e" for$a ge"erali!ada, a" sido desarrollados #ara
ser a#licados a los siste$as de i"for$aci" de toda la e$#resa.
2
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
43/163
Captulo 2 Modelo Metodolgico Propuesto
&" l)"ea co" lo a"terior los recrsos de (ec"olog)a I"for$tica #ede" so" defi"idos de la
sigie"te $a"era;
Datos; A'-etos datos e" s $s a$#lio se"tido, Be-; eter"os e i"ter"os, estrctrados* "o estrctrados, grficos, so"ido, etc.
/iste$as de #licaci"; /e e"tie"de co$o siste$as de a#licaci" la s$a de
#rocedi$ie"tos #rogra$ados * $a"ales.
(ec"olog)a; C're ardEare, siste$as o#eratios, siste$as de ad$i"istraci" de 'ases
de datos, redes, $lti$edia, etc.
I"stalacio"es; Recrsos #ara al'ergar * so#ortar los siste$as de i"for$aci".
+e"te; Ha'ilidades del #erso"al, co"cie"ti!aci" * #rodctiidad #ara #la"ear,
orga"i!ar, ad%irir, e"tregar, so#ortar * $o"itorear siste$as de i"for$aci" * sericios.
:" co"ce#to 'sico del %e se #arte es %e los recrsos de (ec"olog)a I"for$tica "ecesita"
ser ad$i"istrados #or " co"-"to de #rocesos agr#ados "atral$e"te #ara #roeer la
i"for$aci" %e "ecesita la e$#resa #ara el logro de ss o'-etios.
CAI( destaca el i$#acto so're los recrsos de (ec"olog)a I"for$tica -"to co" los
re%eri$ie"tos del "egocio %e "ecesita" ser satisfecos, e" ca"to a efectiidad, eficie"cia,
co"fide"cialidad, i"tegridad, dis#o"i'ilidad, c$#li$ie"to * co"fia'ilidad. dicio"al$e"te, 'ri"da
defi"icio"es #ara los re%eri$ie"tos del "egocio %e so" destilados de "ieles $s altos de
o'-etios #ara calidad, segridad e i"for$aci" fi"a"ciera seg" se relacio"a" co" (ec"olog)a
I"for$tica.
Co"sidera " co"-"to de 34 o'-etios de co"trol de alto "iel, "o #or cada "o de los
rocesos de (ec"olog)a I"for$tica, agr#ados e" catro do$i"ios; la"ea$ie"to *
Arga"i!aci", d%isici" e I$#le$e"taci", &"trega * /o#orte * o"itoreo, seg" se
caracteri!a" a co"ti"aci".
)
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
44/163
Captulo 2 Modelo Metodolgico Propuesto
P*&n"3n 5 O'/&n"+"3n
&ste do$i"io c're la estrategia * las tcticas, es decir se refiere a la ide"tificaci" de la for$a
e" %e la tec"olog)a de la i"for$aci" #ede co"tri'ir de la $e-or $a"era al logro de los
o'-etios del "egocio. de$s, la co"secci" de la isi" estratgica "ecesita ser #la"eada,
co$"icada * ad$i"istrada desde difere"tes #ers#ectias. Fi"al$e"te, de'er" esta'lecerse
"a orga"i!aci" * "a i"fraestrctra tec"olgica a#ro#iadas.
&ste do$i"io co"sidera los sigie"tes o'-etios de alto "iel o #rocesos;
A1 Defi"ir " #la" estratgico de tec"olog)a de i"for$aci"
A2 Defi"ir la ar%itectra de I"for$aci"
A3 Deter$i"ar la direcci" tec"olgica
A4 Defi"ir la orga"i!aci" * de las relacio"es de (I
A5 a"e-ar la i"ersi" e" (ec"olog)a de I"for$aci"
A6 Co$"icar la direcci" * as#iracio"es de la gere"cia
A7 d$i"istrar recrsos $a"os
A8 segrar el c$#li$ie"to de re%eri$ie"tos eter"os
A9 &alar riesgos
A10 d$i"istrar #ro*ectos
A11 d$i"istrar calidad
A%qu""#"3n I4*n!"3n
ara llear a ca'o la estrategia de (I, las solcio"es de (I de'e" ser ide"tificadas,
desarrolladas o ad%iridas, as) co$o i$#le$e"tadas e i"tegradas de"tro del #roceso del
"egocio. de$s, este do$i"io c're los ca$'ios * el $a"te"i$ie"to reali!ados a siste$as
eiste"tes.
I1 Ide"tificar solcio"es
)1
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
45/163
Captulo 2 Modelo Metodolgico Propuesto
I2 d%irir * $a"te"er softEare de a#licaci"
I3 d%irir * $a"te"er ar%itectra de tec"olog)a
I4 Desarrollar * $a"te"er #rocedi$ie"tos relacio"ados co" (I
I5 I"stalar * acreditar siste$as
I6 d$i"istrar ca$'ios
En!'/& % '="#"o 5 So4o'!
&" este do$i"io se ace refere"cia a la e"trega de los sericios re%eridos, %e a'arca desde
las o#eracio"es tradicio"ales asta el e"tre"a$ie"to, #asa"do #or segridad * as#ectos de
co"ti"idad. Co" el fi" de #roeer sericios de'er" esta'lecerse los #rocesos de so#orte
"ecesarios. &ste do$i"io i"cl*e el #rocesa$ie"to de los datos #or siste$as de a#licaci",
frece"te$e"te clasificados co$o co"troles de a#licaci".
D/1 Defi"ir "ieles de sericio
D/2 d$i"istrar sericios #restados #or terceros
D/3 d$i"istrar dese$#eo * ca#acidad
D/4 segrar sericio co"ti"o
D/5 +ara"ti!ar la segridad de siste$as
D/6 Ide"tificar * asig"ar costos
D/7 &dcar * e"tre"ar a los sarios
D/8 #o*ar * asistir a los clie"tes de (I
D/9 d$i"istrar la co"figraci"
D/10 d$i"istrar #ro'le$as e i"cide"tes
D/11 d$i"istrar datos
D/12 d$i"istrar i"stalacio"es
D/13 d$i"istrar o#eracio"es
Mon"!o'o
)2
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
46/163
Captulo 2 Modelo Metodolgico Propuesto
(odos los #rocesos "ecesita" ser ealados reglar$e"te a tras del tie$#o #ara erificar s
calidad * sficie"cia e" ca"to a los re%eri$ie"tos de co"trol.
1 o"itorear los #rocesos
2 &alar lo adecado del co"trol I"ter"o
3 A'te"er asegra$ie"to i"de#e"die"te
4 ro#orcio"ar aditor)a i"de#e"die"te.
ara los a"teriores o'-etios de co"trol de alto "iel o #rocesos de (I, se defi"e" 318 o'-etios
detallados, a #artir de estos se desarrolla" 34 +)as de ditor)a %e i"cl*e" 376 #asos de
aditor)a, %e orie"ta" la ealaci" de la gesti" * el co"trol de los siste$as de (I.
2.1.9 Con"%'"on o:' *o D"f'n! Enfoqu
Des#s de #rese"tar los e"fo%es co"siderados * co"for$e el #ro#sito #la"teado se reali!a
" a"lisis co$#aratio de los $is$os. Go #rete"de$os e"trar a " a"lisis detallado #or
ra!o"es de tie$#o * de relea"cia #ara los #ro#sitos de la i"estigaci", si"o destacar las
#ri"ci#ales difere"cias * si$ilitdes, co" el #ro#sito lti$o de #erfilar lo %e de'er)a ser el
$odelo a #ro#o"er #ara la i"stitci".
"tes de reali!ar el a"lisis es #reciso reco"ocer la difere"te "atrale!a * sitaci" e" el
tie$#o de los #la"tea$ie"tos. arios se refiere" a #la"tea$ie"tos de atores i"diidales, "o
de ellos es resltado de los a#ortes de difere"tes atores * otro es el ge"erado co$o resltado
de " #roceso de a"lisis * a#ortes de es#ecialistas e" el ca$#o i"for$tico * de "a
orga"i!aci" es#eciali!ada e" la $ateria. or otra #arte, los #la"tea$ie"tos se 'ica"
te$#oral$e"te e"tre el ao 1991 * el ao 2000, sie"do es#erado %e los $s recie"tes
))
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
47/163
Captulo 2 Modelo Metodolgico Propuesto
i"cor#ore" as#ectos reslta"tes de la eolci" de las tec"olog)as de la i"for$aci" e" los
lti$os aos.
&" #ri$er lgar, de'e$os destacar %e si 'ie" es cierto se detecta" difere"cias i$#orta"tes e"
el e"fo%e, la i$#resi" es %e dicas difere"cias so" $s de for$a %e de fo"do.
Go se ide"tifica" co"flictos e" ca"to a te$as o reas %e de'a" o "o co"siderarse, si"o $s
'ie" difere"cias e" ca"to al criterio de agr#aci" de dicas tareas. &sta sitaci" se
eide"cia e" el cadro Go. 1, e" el %e se #rese"ta "a isi" res$ida de cada "o de los
e"fo%es * las reas defi"idas, reslta"do claro %e es #osi'le ide"tificar tres gra"des
categor)as f"da$e"tales, i"de#e"die"te$e"te del "o$'re %e cada "o de los atores le
asig"a * la desagregaci" co" %e a'orda cada "a, a sa'er; d$i"istraci" de la (I,
Desarrollo de /iste$as * d$i"istraci" de los /iste$as e" A#eraci".
&" el caso del e"fo%e CAI( #rese"ta la #articlaridad de co"siderar se#arada$e"te el
$o"itoreo, orie"tado a la ealaci" reglar a tras del tie$#o #ara erificar s calidad *
sficie"cia e" ca"to a los re%eri$ie"tos de co"trol.
&l r#ido aa"ce %e se #rese"ta e" la tec"olog)a de la i"for$aci" ace %e se $odifi%e la
i$#orta"cia relatia de las reas o %e sr-a" "eas f"cio"es, co$o es el caso de la
ide"tificaci" se#arada del a$'ie"te de $icroco$#tadores o $s recie"te$e"te, el desarrollo
%e se da alrededor de la i"ter"et * s tili!aci" co$ercial. &" ese se"tido e" los e"fo%es
$s recie"tes se "ota "a $a*or #rese"cia de estos co$#o"e"tes.
&l grado de desagregaci" * #"tali!aci" de erra$ie"tas o criterios #ara la reali!aci" de
las aditor)as es disti"to e"tre los difere"tes e"fo%es, sie"do CAI( el %e llega a #la"tear "
"iel $a*or de desagregaci" co" 34 #rocesos o'-etios de co"trol de alto "iel * o g)as de
aditor)a co" 376 #asos.
),
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
48/163
Captulo 2 Modelo Metodolgico Propuesto
CUADRO No. 1
ANALISIS COMPARATIVO DE LAS AREAS DE AUDITORIA DE TI
ECHENI@UE GARCIA ARAU; DELGADO PIATTINI CO7IT
1. &alaci"ad$i"istratia del
Ce"tro de &D
1. Co"troles+e"erales del
Ce"tro de C$#to
1. d$i"istraci"de la F"ci"
I"for$tica
1. Co"trolesad$i"istratios
1. ditor)a de laDirecci"
1. la"ificaci" *Arga"i!aci"
2. &ficie"cia desiste$as *#rocedi$ie"tos *eficie"cia e" el sode la i"for$aci"
2. Ciclo de ida deldesarrollo desiste$as
2. Desarrollo desiste$as
2. Desarrollo desiste$as dea#licaci"
2. Desarrollo3. Calidad
2. d%isici" ei$#le$e"taci"
3. roceso dedatos * de lose%i#os de c$#to
3. /iste$as dea#licacio"es4. Co"ti"idad delas o#eracio"es5. Reisi" (c"ica
3. /iste$as e"#rodcci"4. $'ie"te de$icroco$#tadores
3. A#eraci" de lossiste$as dea#licaci"4. Reisi" de lasa#licacio"es5. d$i"istraci"de 'ases de datos6. rocesa$ie"todistri'ido * redes
4. F)sica5. Afi$tica6. lotaci"7. a"te"i$ie"to8. ases de datos9. (c"ica desiste$as10. Redes11. #licacio"es
12. /egridad
3. &"trega */o#orte
4. o"itoreo
Fe"te; &la'oraci" #ro#ia to$a"do de refere"cia lo descrito e" este ca#itlo
AUTOR DEL ENFOQUE
A
R
E
A
)0
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
49/163
Captulo 2 Modelo Metodolgico Propuesto
2.2 SITUACIN DE LA GESTION DE LA TI EN EL MINISTERIO DE HACIENDA
co"ti"aci" se #rese"ta" los ele$e"tos $s relea"tes so're la sitaci" de la gesti" de
la (I e" el i"isterio. /e i"cl*e" a%), co" el i"ters de %e la #ro#esta co"sidere la sitaci"
es#ec)fica * res#o"da a las caracter)sticas de la i"stitci" e" %e se #rete"de i$#le$e"tar. l
efecto se co"sidera" seg" fero" #"tali!ados e" el diag"stico reali!ado #or los $is$os
atores co$o #arte del crso ro*ecto I"tegrado I.5
ro'le$tica orga"i!acio"al * del $arco reglador; co"tradiccio"es e i"co"gre"cias
e"tre la orga"i!aci" real * la "or$atia.
" "o se a logrado co"solidar "a orga"i!aci" eficie"te * f"cio"al #ara la gesti" de la (I
e" el i"isterio de Hacie"da, de tal for$a %e ta"to a "iel del $arco reglador, e" el %e se
ide"tifica" alg"as d#licidades de f"cio"es * la ase"cia de "a estrctra orga"i!atia
de'ida$e"te i"tegrada, co$o a "iel o#eratio, e" el %e so" eide"tes los efectos de las
deficie"cias de coordi"aci" e"tre las reas, se ide"tifica" deficie"cias * co"flictos %e
de$a"da" "a o#ort"a ate"ci".
ag"itd de la i"ersi" reali!ada e" ardEare, softEare * recrso $a"o dedicado a
so#ortar la gesti" de la (I e" el i"isterio.
"%e #or li$itacio"es de registro * co"trol o de e"trega de i"for$aci" "o fe #osi'le
o'te"er "a esti$aci" co"creta del $o"to, es eide"te %e el i"isterio de Hacie"da a
reali!ado e" los lti$os aos "a sig"ificatia i"ersi" de recrsos e" (ec"olog)a de la
I"for$aci" * $a"tie"e "a i$#orta"te ca"tidad de f"cio"arios dedicados a so#ortar la
gesti" de la (I. &llo se co"ierte e" "a de las -stificacio"es #ara la i"trodcci" de la
aditor)a i"for$tica * otros esfer!os %e se orie"te" a $e-orar dica gesti".
Ca"tidad, "atrale!a * relea"cia de los siste$as de i"for$aci".
&l esfer!o de i"trodcci" * a#o*o al desarrollo de la (I e" la i"stitci" a lleado a %e e" la
actalidad los siste$as de i"for$aci" co$#tadori!ados, e" o#eraci" * desarrollo, "o solo
so" $cos si"o %e "a 'e"a #arte de ellos so" erra$ie"tas f"da$e"tales #ara la
?Cha#$n @, Clair( y =argas . 'os( Adri+n. Diagn$sti#o sobre la Auditora de istemas en el Ministerio de!a#ienda. )roye#to de Apli#a#i$n )r+#ti#a. Maestra en Administra#i$n de 7e#nologa de la In%orma#i$n.
;niersidad 6a#ional. Abril 4BB-.
)
7/25/2019 Proyecto II Auditora de TI-versin impresa final.doc
50/163
Captulo 2 Modelo Metodolgico Propuesto
#restaci" de los sericios 'sicos %e corres#o"de" a la i"stitci" * gestio"a" i"for$aci"
de relea"cia "o solo #ara el i"isterio si"o #ara el oder &-ectio co$o " todo.
ri"ci#ales fortale!as del i"isterio e" la gesti" de (I.
&"tre las fortale!as ide"tificadas #or los e"treistados e" el ca$#o de