Propuesta de implantación del área de auditoría en informática en un órgano legislativo

Poca gente sabe que el 24 de febrero de 1822, el México Independiente tuvo a la Iglesia de San Pedro y San Pablo como el primer escenario del Poder Legislativo, donde nace la primera Cámara de Diputados y el primer Congreso Constituyente en México.

En 1823 el Congreso Constituyente comenzó a esbozar la idea de que el Poder Legislativo se compusiera por dos Cámaras: una integrada con base en el número de habitantes y otra formada por igual número de representantes de los nacientes estados, Diputados y Senadores, respectivamente.

En este mismo año, Fray Servando Teresa de Mier concibe la idea del bicameralismo dando lugar a la creación del Honorable Congreso de la Unión que se plasmó en el Acta Constitutiva de la Federación, que fue la ley fundamental mexicana y base de la creación de la Constitución Política de los Estados Unidos Mexicanos, que ha pasado por innumerables modificaciones hasta llegar a lo que hoy día se conoce como nuestra Carta Magna.

En 1981 se inauguró la construcción de lo que hoy es la sede de la Cámara de Diputados, con sólo 24 años de existencia las paredes de este recinto pueden contar una larga trayectoria de triunfos y fracasos.

Como dato curioso mencionar que las distintas instalaciones que ha tenido la Cámara de Diputados a lo largo de este período han sido incendiadas por lo menos tres veces, a causa de los diferentes movimientos políticos y sociales que se han dado en México.

Nuestro estudio empieza aquí y, no de forma idealista ni inocente este informe trata de comenzar a cambiar la situación de México desde su parte más fuerte, dentro del poder; introduciendo nuevas formas de ver el gobierno.

La Cámara de Diputados está compuesta por 500 Diputados, mismos que son los representantes de la Nación electos en su totalidad por la ciudadanía mexicana; divididos en: 300 elegidos, según el principio de votación mayoritaria relativa, mediante sistemas de distritos electorales y 200 según el principio de representación proporcional, mediante el sistema de listas regionales, votadas en 5 circunscripciones plurinominales.

En México, nuestra carta magna, habla de la división de poderes para su ejercicio: Legislativo, Ejecutivo y Judicial; el poder legislativo en nuestro país consiste en la elaboración, estudio y aprobación de las leyes que regulan nuestro territorio a nivel nacional, asimismo la Constitución Política de los Estados Unidos Mexicanos, establece que “el Poder Legislativo se deposita en un Congreso General, que se divide en dos Cámaras, una de Diputados y otra de Senadores”^[2].

La Cámara de Diputados es, por tanto, uno de los dos Órganos Legislativos que está encargado de brindar representatividad a la población de todo el país, por medio del ejercicio del poder legislativo, mediante los 500 diputados que la conforman. Los artículos 51 al 79^[3]establecen detalladamente la conformación, funciones, ejercicio, facultades compartidas y exclusivas, etc. de estos dos Órganos, las cuales no se menciona por no ser el objeto de nuestro estudio.

Como está plasmado en el Estatuto de la Organización Técnica y Administrativa y del Servicio de Carrera de la Cámara de Diputados, ésta cuenta con cuatro Órganos de Gobierno:

Y por lo que respecta a la organización técnica y administrativa, está integrada por:

A fin de comprender, la conformación de la Cámara de Diputados y específicamente con el propósito de ubicar tanto de la Contraloría Interna como de la Dirección General de Informática y Telecomunicaciones dentro de este Órgano Legislativo, a continuación se presenta su Estructura Orgánica^[4] actual en Figura 1.1, “ Estructura orgánica general de la Cámara de Diputados”.

Figura 1.1. Estructura orgánica general de la Cámara de Diputados

Como se puede ver, la Secretaría General es la cabeza de los servicios técnicos y administrativos (compuesta a su vez por la Secretaría de Servicios Parlamentarios y de Servicios Administrativos y Financieros). Estas últimas articuladas mediante órganos responsables de la gama de servicios específicos, respectivamente en las áreas parlamentaria y administrativo-financiera. Dentro de las áreas que conforman a la Secretaría de Servicios Administrativos y Financieros, se encuentra a la Dirección General de Informática y Telecomunicaciones, misma que se estudia en el siguiente capítulo de este informe.

Para comprender el funcionamiento de la Cámara de Diputados se menciona su conformación actual en cuanto a los Grupos Parlamentarios, que en conjunto con los respectivos Senadores conforman un Partido Político, los cuales están encargados de las labores puramente legislativas; dentro de la Cámara de Diputados la información publicada al 15 de julio de 2005 en su página oficial^[5], arroja la repartición de los actuales 500 Diputados con las siguientes cifras:

Figura 1.2. Conformación de la H. Cámara de Diputados LIX Legislatura

La formación de la Contraloría Interna se establece en la Ley Orgánica del Congreso General de los Estados Unidos Mexicanos, Artículo 53 que a la letra dice:

Para su manejo interno, la Cámara de Diputados cuenta con el Manual de Organización General de la Cámara de Diputados, que se expide en cumplimiento a los Lineamientos para la Organización de los Servicios Parlamentarios, Administrativos y Financieros establecidos por la Conferencia para la Dirección y Programación de los Trabajos Legislativos, que en su presentación “...establece el marco de actuación de las unidades sustantivas y adjetivas de la Cámara, así como su estructura orgánica, representada a nivel de jefatura de departamento. Comprende las atribuciones de la Secretaría General, de las Secretarías de Servicios Administrativos y Financieros, y de sus áreas dependientes, así como de otros órganos técnicos de la Cámara como la Contraloría Interna y la Coordinación General de Coordinación Social”, y al cual se apega la administración actual.

En el Manual de Organización General de la Cámara de Diputados se establece la estructura orgánica autorizada de la Contraloría Interna, como se ilustra en Figura 1.3, “Estructura orgánica de la Contraloría Interna de la Cámara de Diputados”:

Figura 1.3. Estructura orgánica de la Contraloría Interna de la Cámara de Diputados

En la figura anterior, se aprecia en el segundo nivel a tres Direcciones Generales, éstas representan lo que en la práctica son la son las tres Subcontralorías que ya se menciona, con sus respectivas Direcciones de Área.

Este problema está siendo regulado en la actualidad para homogeneizar los nombres de los puestos dentro del organigrama

Habrá que mencionarse que aunque existen autorizados ciertos número de plazas, en la práctica, actualmente la nivelación, regularización y autorización de algunas plazas de más y de menos se encuentra en proceso. Como es el caso de los Jefes de Departamento, entre otros.

En cuanto a los niveles salariales, en Tabla 1.1, “Niveles salariales de la Contraloría Interna de la Cámara de Diputados” se describe su régimen, su nivel según estructura y rango salarial:

Dentro del Manual de Organización General de la Cámara de Diputados se encuentra también que se plasma el objetivo y funciones de la Contraloría Interna, como sigue:

La legislación de la Subcontraloría de Auditoría, como ya se mencionó, se estructura desde el Estatuto de la Organización Técnica y Administrativa y del Servicio de Carrera de la Cámara de Diputados establece que la “organización y funcionamiento de la estructura técnica y administrativa de este Órgano, entre ellos la Contraloría Interna”^[6], en su Título Cuarto habla específicamente de éste órgano, misma que se encarga de recibir quejas, realizar investigaciones, llevar a cabo auditorías y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores públicos y se ubica en el ámbito de la Conferencia, según lo dispone el artículo 53 de la Ley Orgánica.

Este Título del estatuto establece todas las particularidades de este Órgano de Control Interno, como son: el procedimiento para designar al Contralor Interno, lo sueldos y percepciones que recibirá él y el demás personal del área, sus derechos y obligaciones, su estructura orgánica y funciones^[7].

Para realizar estas funciones, se divide en tres Subcontralorías:

Ésta última, objeto de nuestro estudio, es la encargada en particular de la realización de las auditorías que se plasman dentro del Programa Anual de Control y Auditoría que es sometido a la aprobación de la Conferencia para la Dirección y Programación de los Trabajos Legislativos.

Además de las revisiones por peticiones especiales o por órdenes de la Auditoría Superior de la Federación.

Además de la estructura general (Figura 1.1, “ Estructura orgánica general de la Cámara de Diputados”) dentro de la cual se ubica a la Subcontraloría de Auditoría dentro del universo entero de la Cámara de Diputados, a continuación se presenta el Organigrama de la Subcontraloría de Auditoría de forma particular y desglosada (Figura 1.3, “Estructura orgánica de la Contraloría Interna de la Cámara de Diputados”), estos datos se encuentran plasmados también en el Manual de Organización General de la Cámara de Diputados.

Como a continuación se aprecia, la Subcontraloría de Auditoría está compuesta por dos vertientes: la Dirección de Auditoría Financiera y la Dirección de Auditoría Administrativa y a su vez en las Subdirecciones y Departamentos correspondientes.

Figura 1.4. Estructura orgánica de la Subcontraloría de Auditoría

El objetivo general de la Subcontraloría de Auditoría se plasma en el Manual de Organización General de la Cámara de Diputados, que a la letra dice:

Adicionalmente, en el Manual de Organización de la Contraloría General se establece como su objetivo:

Las funciones de la Contraloría Interna están plasmadas en primera instancia de forma general en el Estatuto de la Organización Técnica y Administrativa y del Servicio de Carrera de la Cámara de Diputados:

En segunda instancia, de forma particular las funciones de la Subcontraloría de Auditoría están plasmadas en el Manual de Organización General de la Cámara de Diputados:

Por otra parte, en el Manual de Organización de la Contraloría General se reiteran las mismas funciones plasmadas con anterioridad en el Manual de Organización General de la Cámara de Diputados.

Las metas de la Subcontraloría de Auditoría no se encuentran plasmadas en ningún documento oficial; sin embargo, en el Marco conceptual y desempeño de la Contraloría Interna se plasman sus metas, y a la letra dice:

La misión de la Subcontraloría de Auditoría no se encuentra plasmada tampoco en ningún documento oficial; pero de igual forma en el Marco conceptual y desempeño de la Contraloría Interna se plasma como su misión la siguiente:

La visión de la Subcontraloría de Auditoría tampoco se encuentra en ningún documento oficial; pero de igual forma en el Marco conceptual y desempeño de la Contraloría Interna se plasma como su visión la siguiente:

En cuanto a las debilidades, fortalezas de la Subcontraloría de Auditoría, derivado del estudio al área, el cual consistió primero en entrevistas con el personal, y asistir a las instalaciones para analizar el área entera en lo que se refiere a tecnologías de información, recursos informáticos, infraestructura y cultura informática, se encuentran las siguientes:

Cuando se habla de riesgo, se entiende como: “Los riesgos son condiciones del mundo real en el cual hay una exposición a la adversidad, conformada por una combinación de circunstancias del entorno, donde hay posibilidad de perdidas.^[10]”.

Al asistir a las instalaciones de la Subcontraloría de Auditoría para analizarla, se revisaron las tecnologías de información con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:

El personal de la Subcontraloría de Auditoría no cuenta con un documento formal que establezca sus funciones; sin embargo, cuentan con un documento llamado Marco conceptual y desempeño de la Contraloría Interna, que fue se proporcionó para este estudio y en el cual se muestran como controles, los siguientes:

Como se puede ver, los controles a los que se refiere son puramente administrativos.

En cuanto a tecnologías de información, actualmente el único control que se lleva dentro de la Subcontraloría de Auditoría es como máximo el inventario físico de los equipos de cómputos, resguardos individuales de los mismos y relación del software que maneja cada equipo.

La Dirección General de Tecnologías de Información cuenta con sus propios controles de acceso lógico y sellos de seguridad en cuanto a la seguridad física, además de los ya mencionados resguardos físicos personales de equipo de cómputo.

Además de eso, no existe control alguno sobre ningún aspecto del ámbito informático, tampoco sobre la capacitación del personal y actualmente hay total desconocimientos de las mejores prácticas y/o software que pueda auxiliar a los auditores en su desempeño y cumplimiento de funciones.

La Subcontraloría de Auditoría tiene un inventario de equipo limitado y mal repartido, hay personal que necesita máquinas más adecuadas para su trabajo, algunos incluso podría hacer uso de herramientas informáticas que apoyarán su labor, mientras que hay personal con equipos más completos y modernos que en realidad no utilizan.

En los siguientes puntos se detalla su infraestructura, su tecnología actual en cuanto a hardware y software.

La Subcontraloría de Auditoría tiene como personal una plantilla de 29 empleados entre los regímenes fiscales de mandos Medios y Superiores, Honorarios Asimilados a Sueldos y Supernumerarios, mismos que a continuación se enuncian:

ya se mencionó que existe un conflicto entre los nombres de los puestos que se plasman en el Estatuto de la Organización Técnica y Administrativa y del Servicio de Carrera de la Cámara de Diputados y la estructura orgánica de la Subcontraloría de Auditoría, adicionalmente existen inconsistencias en los tramos de control, entre otras, pero no se ahonda más en este tema por no ser objeto de este estudio; por otra parte, esta situación ya está siendo regularizada ante las instancias correspondientes.

Actualmente el área de sistemas cuenta con un total de 45 máquinas de escritorio, 20 impresoras conectadas en red y 3 tipos de servidores, aunque dentro del área se cuentan con algunos otros servidores, los 3 que se describen a continuación son exclusivos del área de sistemas:

Para el área de sistemas todos los equipos incluyendo Pentium III cuentan con Windows XP Professional, Office XP, antivirus McAfee. Todos los equipos cuentan con la paquetería básica, solo algunos de los equipos Dell cuentan con Visio 2003, Corel ó Photoshop.

Todo el software tiene licencia, las licencias adquiridas para cualquier software es de tipo corporativa.

La infraestructura con la que cuenta tanto el área de sistemas como toda la Cámara de Diputados incluyendo cada una de sus áreas dentro de cada edificio se describe de la siguiente manera:

Debajo de toda la infraestructura de los edificios de encuentra una red de anillo lógico de fibra óptica, la cual esta conectada a un servidor central (Web) el cual esta tiene salida a Internet por medio de un firewall físico.

En cada uno de los edificios en la planta baja se encuentra un switch que a su vez funciona como router, estos son de alta capacidad, cada unos de estos switch/router se conectan a otros switch también de alta capacidad que se encuadran en cada piso por cableado UTP categoría 6 ó 5, estos últimos se conectan a un switch más, que es de una capacidad menor que se encuentra dentro de cada área de cada edificio por medio de cableado UTP categoría 6 ó 5, cada uno de estos switch se encarga de distribuir los servicios de red a cada una de las PC dentro del área.

En cada piso se maneja una topología de bus para la distribución de servicios.

El área de sistemas cuenta con un total de 60 empleados los cuales están distribuidos de la siguiente manera:

Una misión en el área de sistemas ayuda a establecer la finalidad o el propósito para la cual fue creada y este debe de ir ligado al objetivo de la organización, también se deben de comprender unos o más objetivos y las tareas que deben de realizarse para alcanzar dicho objetivo.

En la actualidad el área de sistemas de la Cámara de Diputados no cuenta con una misión que ayude a establecer el propósito para la cual fue creada esta área, esto representa un riesgo para el área ya que al no contar con una misión bien establecida crea confusión en las personas que operan dentro del área.

Una visión ayuda al área de sistemas a proyectarse en el futuro en una situación deseada, es decir hacía donde va o que es lo que quiere lograr. El área de sistemas de la Cámara de Diputados aún no cuenta con una visión establecida.

Un objetivo para el área de sistemas es una situación deseada que el esta intenta lograr, esta es una imagen que el área pretende para el futuro. Al alcanzar el objetivo, la imagen deja de ser un ideal y se convierte en real y actual, por lo tanto, el objetivo deja de ser deseado y se busca otro para ser alcanzado.

Las funciones de establecer objetivos son las siguientes:

En la actualidad el área de sistemas de la H. Cámara de Diputados no cuenta con objetivos ni metas.

En base a la plática realizada con el los gerentes de las diferentes subáreas que conforman al área de sistemas, actualmente estas son las funciones que realizan:

Una estrategia es un plan que integra las principales metas u objetivos y políticas de una organización y a la vez, establece una secuencia coherente de las acciones a realizar. Una estrategia puede ayudar a un área de sistemas a poner orden y asignar recursos con el fin de lograr una situación viable y estable, así como a anticiparse a los posibles cambios en el entorno.

En base a las platicas sostenidas con los gerentes de la subáreas de sistemas y debido a que en los puntos anteriores ya se definió que el área de sistemas no cuenta con políticas ni objetivos establecidos a su vez esta tampoco cuenta con estratégicas.

La Information Systems Audit and Control Association –Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association –Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.

Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su IT Governance Institute –Instituto de Gobernación de TI– asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente

Las empresas públicas y privadas están valorando cada día más la creciente importancia que representa mantener sistemas informáticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.

El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, está dedicado a la capacitación e investigación en de Auditoría Interna y Control.

A través del IMAI los profesionales de la auditoría interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector público como privado y social.

De acuerdo al IMAI su misión es “promover el mejoramiento constante de la Práctica Profesional de la Auditoría Interna, para fortalecer el prestigio de esta profesión y de quienes la practican”.

El objetivo principal del Instituto es “la superación profesional de sus miembros”, mediante lo siguiente:

El mejoramiento de la práctica Profesional de la Auditoría Interna.

Desarrollar y mantener la unión y cooperación efectiva entre los profesionales de la Auditoría Interna.

Promover la difusión de las normas de actuación profesional a través de las cuales los auditores internos puedan medir y regular su propio desempeño y las organizaciones puedan esperar servicios de calidad.

Establecer y mantener el prestigio de la Auditoría Interna a través de la investigación y la divulgación de conocimientos técnicos de enfoques conceptuales relativos al ejercicio profesional de esta disciplina y materias afines.

Establecer y mantener vínculos con otros organismos profesionales o docentes y entidades públicas o privadas, para identificación y desarrollo de aspectos que permitan elevar la calidad de la práctica de la Auditoría Interna y el Control en general, dentro de las organizaciones.

El Institute of Internal Auditors (IIA) –organización profesional con sede en Estados Unidos, con más de 70.000 miembros en todo el mundo y 60 años de existencia– anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes.

EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el líder en la certificación, la investigación y la guía tecnológica en la profesión de la audítoría interna.

El desarrollo de los Estándares de la Práctica Profesional de Auditoría Interna, así como las Certificaciones de Auditor Interno (CIA), de Auto evaluación de Control (CCSA) y de Auditor Interno Gubernamental (CGAP), y su participación en el diseño del Enfoque COSO son sólo algunos de los hitos que han transformado al IIA en la entidad internacional señera en la profesión.

Establecen el IIA como el recurso de conocimiento primario sobre las mejores prácticas y publicaciones(cuestiones) que afectan la profesión interna de auditoría. Encuentran las necesidades de desarrollo de profesional que se desarrollan de médicos internos de auditoría.^[12]

El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios.

La Certificación CIA (Certified Internal Auditor) cumplió 30 años como un reconocimiento mundial que demuestra la capacidad profesional, el dominio de los estándares y de las normas internacionales de la práctica de auditoría interna, el manejo de los principios y controles de la tecnología de información, y las estrategias emergentes para mejorar a la organización y a su gobierno corporativo.

Para obtener la certificación CIA además de los requisitos educacionales y de experiencia sino el apego al Código de Ética, y el desarrollo profesional continuo.

Para mantener la certificación CIA se requiere que los CIA mantengan y actualicen sus habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos años, 80 horas de educación profesional continua.

El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones es confiable, segura y está disponible cuando se le necesita.

Definimos Aseguramiento de la Información como “la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet”^[16].

Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuación se describe brevemente las más importantes.

La administración del aseguramiento de la calidad valida que los sistemas de información producidos por la función de sistemas de información logren las metas de calidad y que el desarrollo, implementación, operación, y mantenimiento de los sistemas de información, cumplan con un conjunto de normas de calidad^[17].

En la actualidad es más común ver que los usuarios se están haciendo más exigentes en términos de la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de la calidad ha tomado mayor importancia en muchas organizaciones.

Las organizaciones se están comprometiendo en proyectos de sistemas de información que tienen requerimientos de calidad más estrictos y se preocupan cada vez más sobre sus responsabilidades legales al producir y vender software defectuoso.

Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de producción, implementación, operación y mantenimiento del software.

COBIT, lanzado en 1996, es una herramienta de gobierno^[18] de TI que ha cambiado la forma en que trabajan los profesionales de TI.

De acuerdo a ISACA, COBIT es:

COBIT establece un diagnóstico que permite definir las metas desde el punto de vista de seguridad y control que le serán de utilidad para la organización para cada uno de sus procesos, pudiendo entonces establecer un plan de acción para lograr estas mejoras, y posteriormente identificar los lineamientos para sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas.

La manera en que COBIT provee este marco para el control y la gobernabilidad de TI se puede presentar en forma sintética a partir de sus principales características, que a continuación serán descritas.

ITIL es un conjunto de las mejores prácticas para la gestión de servicios de TI que ha evolucionado desde 1989, comenzó como un conjunto de procesos que utilizaba el gobierno del Reino Unido para mejorar la gestión de los servicios de TI y ha sido adoptado por la industria, como base de una gestión satisfactoria de los servicios de TI^[19].

ITIL describe las mejores prácticas que se pueden utilizar y mejor se adecuan a una organización, incluye cinco disciplinas que proporcionan las empresas flexibilidad y estabilidad para ofrecer servicios de TI^[20] , estas son:

Incluye también cinco disciplinas que soportan los servicios TI de calidad y bajo costo de las empresas 6, estas son:

El objetivo de ITIL en todas sus disciplinas es la definición de las mejores prácticas para los procesos y responsabilidades que hay que establecer para gestionar de forma eficaz los servicios de TI de la organización, y cumplir así los objetivos empresariales en cuanto a la distribución de servicios y la generación de beneficios.

En 1995 el British Standard Institute (BSI) publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998 también el BSI publica la norma BS 7799-2 con especificaciones para los sistemas de gestión de la seguridad de la información. Tras una revisión de ambas partes de BS 7799, la primera es adoptada como norma ISO en el año 2000 y denominada ISO/IEC 17799.

Actualmente las empresas deben asegurar que sus recursos y la propiedad intelectual estén protegidos y que los clientes se sientan seguros de realizar negocios.

De acuerdo al BSI^[21]:

BS CIA 7799 es una guía de auditoría del Sistema de Gestión de Seguridad de la Información (ISMS) basada en los requisitos que deben ser cubiertos por la organización. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse a esta norma.

ISO 17799 define la seguridad de la información como la preservación de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que define las mejores prácticas para gestión de la seguridad de la información, consta de las siguientes partes:

Define un conjunto de objetivos principales e identifica un conjunto de controles de seguridad, que son medidas que se pueden adoptar para cumplir los objetivos de la norma.

Especifica los controles de seguridad que se pueden utilizar, basándose en los resultados de una evaluación de gestión de riesgos, como base para una certificación formal d una empresa TI bajo la norma BS 7799.

ISO 17799 establece la base común para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.

Dominios:

Es el primer estándar mundial para la gestión de servicios de TI. Se dirige tanto a proveedores de la gestión de servicios, así como a empresas que subcontratan o gestionan sus propios requisitos.

BS 15000 especifica un conjunto de procesos de gestión interrelacionados basados en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditoría del servicio gestionado.

En esencia, la norma BS 15000 contiene conceptos cuidadosamente concebidos que definen y demarcan los elementos que una organización debe tener en cuenta para estructurar y soportar los Servicios de IT a sus clientes, ya sean internos o externos.

El estándar BS 15000 consiste de 2 partes^[23]:

La Parte 1 son las especificaciones del sistema de gestión, y contiene alrededor de 14 páginas de requisitos normativos. Está estructurado de acuerdo a las reglas para especificaciones fijadas por el BSI.

En general BS 15000 define lo que requiere hacer y cumplir una organización para alcanzar su certificación respecto al estándar. Cubre el cumplimiento de requisitos para:

La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle sobre cada requisito, ofreciendo dirección y guía al Proveedor del Servicio que desee alcanzar el estándar.

Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminología. Provee guía y dirección practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debería ser realizado, y que debería monitorearse para lograr una efectividad real del proceso en la práctica.

Su estructura y vocabulario está cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias.

Normalmente en organizaciones medianas o grandes el implantar o monitorear un sistema de control interno sano se enfrentan a todo un desafío.

COSO^[25] es una herramienta que puede asistirlo en la evaluación, auditoría, documentación, mejora y seguimiento del sistema de control interno.

COSO permite facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de las organizaciones preocupadas por mejorar sus resultados.

Esta herramienta permite construir o mejorar en sistema de control interno (total o parcial por ejemplo solo acotado al objetivo información contable) y de este modo recibir con tranquilidad la evaluación de los auditores externos que podrán así efectuar su tarea de atestiguamiento en forma más rápida y eficaz.

Según el informe COSO, los componentes que se interrelacionan para alcanzar los objetivos son los siguientes^[26].

MAGERIT^[27] es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el Consejo Superior de Informática^[28] y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información.

Esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados.

MAGERIT desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

MAGERIT persigue los siguientes objetivos:

Asimismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.

Actualmente las organizaciones están expuestas a ataques que propicien la pérdida de información y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos.

La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa.

Esta ley estadounidense contempla una revisión mucho más rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos^[30].

Sin embargo, el control interno es un proceso efectuado por los niveles directivos y gerenciales, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de sus áreas, teniendo como principales objetivos:

Esta ley lleva mucho más lejos las disposiciones sobre la obligación de la gerencia de asegurar adecuados controles internos por lo que cuenta con una sección de normas y reglas que dispone que los auditores deben incluir lo siguiente:

Dentro de esta ley existen 3 secciones que involucran directamente al departamento de TI y que son la 302, 404 y 409, cuyo contenido se explica brevemente a continuación^[31].

La cláusula 302. Habla de la obligación de generar reportes donde muestren el resultado financiero de la empresa^[32] y que este debe de estar avaluado en cuanto a su integridad.

La cláusula 404 nos dice que deben existir procedimientos^[33] y políticas ^[34] que aseguren la integridad de la información así como la disponibilidad de ella.

Por último la cláusula 409 indica que toda organización debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo^[35] y esto afecte de manera seria a las ventas^[36] de la organización.

Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.

Las normas de auditoría se clasifican en:

Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.

Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la empresa u organización a ser auditada, que pudieran nesecitar una mayor atención.

Las técnicas procedimientos están estrechamente relacionados, si las técnicas no son elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor.

Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico.

Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera:

Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el nombre de procedimientos de auditoría en informática.

La combinación de dos o más procedimientos, derivan en programas de auditoría, y al conjunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría.

El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea.

En General los procedimientos de auditoría permiten:

Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedimiento de auditoría serán los mas indicados par obtener su opinión.

Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de auditoría, de los cuales destacan el análisis de datos, ya que para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos, así también tiene la misma importancia para el auditar ya que debe de utilizar diversas técnicas para el análisis de datos, basados en [bib-solis-2002], las cuales se describen a continuación.

Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el ámbito de esta técnica, a continuación se muestran los procesos de monitoreo:

Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida en las bitácoras de los sistemas de computo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas.

El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, así como para el auditor.

Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:

La importancia de las bitácoras es la de recuperar información ante incidentes de seguridad, detección de comportamiento inusual, información para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cómputo forense.

Las Herramientas de análisis de bitácoras mas conocidas son las siguientes:

Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya que están teniendo mucha relevancia, como evidencia en aspectos legales.

El uso de herramientas automatizadas es de mucha utilidad para el análisis de bitácoras, es importante registrar todas las bitácoras necesarias de todos los sistemas de cómputo para mantener un control de las mismas.

La utilización de equipos de computación en las organizaciones, ha tenido una repercusión importante en el trabajo del auditor, no sólo en lo que se refiere a los sistemas de información, sino también al uso de las computadoras en la auditoría.

Al llevar a cabo auditorías donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de muy diversa condición, uno de ellos, es la revisión de los procedimientos administrativos de control interno establecidos en la empresa que es auditada.

La utilización de paquetes de programas generalizados de auditoría ayuda en gran medida a la realización de pruebas de auditoría, a la elaboración de evidencias plasmadas en los papeles de trabajo.

Según [bib-zavaro-martinez] las técnicas de auditoría Asistidas por Computadora (CAAT) son la utilización de determinados paquetes de programas que actúan sobre los datos, llevando a cabo con más frecuencia los trabajos siguientes:

Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las múltiples aplicaciones específicas del sistema que emplea la unidad auditada, el examinar un diverso número de operaciones específicas del sistema, facilitar la búsqueda de evidencias, reducir al mínimo el riesgo de la auditoría para que los resultados expresen la realidad objetiva de las deficiencias, así como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo.

Teniendo en cuenta que se hacía imprescindible auditar sistemas informáticos; así como diseñar programas auditores, se deben incorporar especialistas informáticos, formando equipos multidisciplinarios capaces de incursionar en las auditorías informáticas y comerciales, independientemente de las contables, donde los auditores que cumplen la función de jefes de equipo, están en la obligación de documentarse sobre todos los temas auditados.

De esta forma los auditores adquieren más conocimientos de los diferentes temas, pudiendo incluso, sin especialistas de las restantes materias realizar análisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalización del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.

En un ambiente de evolución permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el plano económico soportadas por la evolución tecnológica, surge la necesidad de que la función de auditoría pretenda el mejoramiento de su gestión.

La práctica de nuevas técnicas para evaluar el control interno a través de las cuales, la función de auditoría informática pretende mejorar la efectividad de su función y con ello ofrecer servicios más eficientes y con un valor agregado.

La evolución de la teoría del control interno se definió en base a los principios de los controles como mecanismos o prácticas para prevenir, identificar actividades no autorizadas, más tarde se incluyó el concepto de lograr que las cosas se hagan; la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organización.

En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el director de finanzas, contralor o al director de auditoría como los responsables principales del correcto diseño y adecuado funcionamiento de los controles internos.

Las empresas u organizaciones deben buscar formas o fórmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o fórmulas es el Benchmarking.

Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuación se presentan algunas definiciones.

Esta definición presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no sólo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante.

Según la definición anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definición implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores.

Entre otras definiciones tenemos la extraída del libro Benchmarking de Bengt, la cual es: “benchmarking es un proceso sistemático y continúo para comparar nuestra propia eficiencia en términos de productividad, calidad y prácticas con aquellas compañías y organizaciones que representan la excelencia”.

Como vemos en esta definición se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, también se presenta el término de comparación y por ende remarca la importancia de la medición dentro del benchmark.

Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realización lo cual representa la calidad, y la relación entre los bienes producidos y los recursos utilizados para su producción, lo cual se refiere a la productividad.

Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos también se puede notar que concuerdan o presentan una serie de elementos comunes.

Para empezar en la mayoría de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicará una y otra vez ya que dicho proceso está en búsqueda constante de las mejores prácticas de la industria, y como sabemos la industria está en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mejores prácticas de hoy lo serán también de mañana.

También se vio en las diferentes definiciones que este proceso no sólo es aplicable a las operaciones de producción, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio.

De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la práctica de compararse sólo internamente a comparar nuestras operaciones en base a estándares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria.

Dentro del benchmarking existen los siguientes tipos:^[40]

Existen diferentes técnicas para analizar programas la cuales ayudan al auditor en el trabajo de campo y de las cuales las más importantes se mencionan a continuación:

En este punto se mencionarán cuales son los factores que influyen en la adecuada selección de una herramienta CAAT, así como los pasos que se deben tomar en cuenta para la planificación y selección de la misma.

Cuando se planifica la auditoría, el auditor de sistemas de información debe considerar una combinación apropiada de las técnicas manuales y las técnicas de auditoría asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes:

Los pasos más importantes que el auditor de sistemas de información debe considerar cuando prepara la aplicación de los CAAT seleccionados son los siguientes:

El auditor de sistemas de información debe evaluar el efecto que los cambios a los programas/sistemas de producción puedan tener en el uso de los CAAT. Cuando el auditor de sistemas de información lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAAT, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de información. Probando los CAAT el auditor de sistemas de información debe obtener una garantía razonable de la integridad, confiabilidad, utilidad y seguridad de los CAAT por medio de una planificación, diseño, prueba, procesamiento y revisión adecuados de la documentación. Ésto debe ser hecho antes de depender de los CAAT. La naturaleza, el tiempo y extensión de las pruebas depende de la disponibilidad y la estabilidad de los CAAT.

La seguridad de los datos y de los CAAT pueden ser utilizados para extraer información de programas/sistemas y datos de producción confidenciales. El auditor de sistemas de información debe guardar la información de los programas/sistemas y los datos de producción con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organización a la cual pertenecen los datos. El auditor de sistemas de información debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAAT. Por ejemplo, debe incluir una revisión del mantenimiento de los programas y controles de los cambios de programa de auditoría para determinar que sólo se hacen los cambios autorizados al CAAT.

Cuando los CAAT están en un ambiente que no está bajo el control del auditor de sistemas de información, un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT Cuando se hacen cambios a los CAAT el auditor de sistemas de información debe asegurarse de su integridad, confiabilidad, utilidad y seguridad por medio de una planificación, diseño, prueba, procesamiento y revisión apropiados de la documentación, antes de confiar en ellos.

Cuando se toma la decisión de hacer una auditoría de sistemas con al ayuda de CAAT es importante tomar en cuenta los pasos que a continuación se describen.

El uso de los CAAT debe ser controlado por el auditor de sistemas de información para asegurar razonablemente que se cumple con los objetivos de la auditoría y las especificaciones detalladas de los CAAT. El auditor debe:

El software de auditoría generalizado, también conocidos como paquetes de auditoría s on programas de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor.

Cuando el auditor de sistemas de información utiliza el software de auditoría generalizado para acceder a los datos de producción, se deben tomar las medidas apropiadas para proteger la integridad de los datos de la organización. Además, el auditor de sistemas de información tendrá que conocer en el diseño del sistema y las técnicas que se utilizaron para el desarrollo y mantenimiento de los programas/sistemas de aplicación de la organización.

El software utilitario es usado para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteo automático de registros o totales de control.

Cuando el auditor de sistemas de información utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervención no planificada durante el procesamiento y que éste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisión del log de la consola del sistema o de la información de contabilidad del sistema. El auditor de sistemas de información también debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organización, puesto que estos utilitarios podrían fácilmente dañar el sistema y sus archivos.

Los datos de prueba consisten en tomar una muestra del universo de datos del sistema que se encuentra en producción para analizarlos.

Cuando el auditor de sistemas de información utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que esta técnica no evalúa los datos de producción en su ambiente real. El auditor de sistemas de información también debe estar consiente de que el análisis de los datos de prueba pueden resultar muy complejos y extensos, dependiendo de el número de operaciones procesadas, el número de programas sujetos a pruebas y la complejidad de los programas/sistemas.

Cuando el auditor de sistemas de información utiliza el software de aplicación para sus pruebas CAAT, debe confirmar que el programa fuente que está evaluando es lo mismo que se utiliza actualmente en producción. El auditor de sistemas de información debe estar consiente de que el software de aplicación sólo indica el potencial de un proceso erróneo, no evalúa los datos de producción en su ambiente real. Cuando el auditor de sistemas de información utiliza los sistemas de auditoría especializados debe conocer profundamente las operaciones del sistema.

Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT deben estar registrados en los papeles de trabajo de la auditoría. Las conclusiones acerca del funcionamiento del sistema de información y de la confiabilidad de los datos también deben estar registrados en los papeles de trabajo de la auditoría. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de información. Específicamente los papeles de trabajo deben contener la documentación suficiente para describir la aplicación de los CAAT incluyendo los detalles que se mencionan en los párrafos siguientes:

La documentación debe incluir:

La sección del informe donde se tratan los objetivos, la extensión y metodología debe incluir una clara descripción de los CAAT utilizados. Esta descripción no debe ser muy detallada, pero debe proporcionar una buena visión general al lector. La descripción de los CAAT utilizados también debe ser incluida en el informe donde se menciona el hallazgo específico relacionado con el uso de los CAAT. Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la sección del informe donde se tratan los objetivos, extensión y metodología y una referencia anexa para el lector, con una descripción más detallada.

A continuación se mencionan y se describe el funcionamiento de las principales herramientas CAAT, cuales son sus beneficios y que es lo que ofrecen.

ACL^[42]

ACL es una herramienta CAAT enfocada al acceso de datos, análisis y reportes para auditores y profesionales financieros.

Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversión, también posee una poderosa combinación de accesos a datos, análisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transacción de datos críticos en la organización.

ACL permite:

• Análisis de datos para un completo aseguramiento.

• Localiza errores y fraudes potenciales.

• Identifica errores y los controla.

• Limpia y normaliza los datos para incrementar la consistencia de los resultados.

• Realiza un test analítico automático y manda una notificación vía e-mail con el resultado.

ACL brinda una vista de la información de la organización y habilita directamente el acceso a búsquedas de cualquier transacción, de cualquier fuente a través de cualquier sistema.

Ahorra tiempo y reduce la necesidad de requerimiento de información a departamentos de TI muy ocupados, incrementa el nivel de datos hospedados en múltiples ERP o aplicaciones especializadas. Permite examinar el 100 por ciento de las transacciones de datos, cada campo, cada registro.

Accesa a diversos tipo de de datos con facilidad incluyendo bases de datos ODBC. Esta herramienta proporciona una completa integridad de datos, ACL solo tiene acceso de lectura a los datos de los sistemas que se están monitoreando, esto significa que la fuente de datos nunca será cambiando, alterada o borrada.

Una de las ventajas de esta herramienta es que tiene un tamaño ilimitado en el monitoreo de datos y puede procesar rápidamente millones de transacciones de datos ya que permite leer mas de 10,000 y hasta 100,000 registros por segundo

ACL destaca por ser de fácil uso: selecciona, identifica y da formato a los datos fácilmente gracias al Data Definition Wizard con esta librería permite importar y exportar datos directamente a Excel, Access y XML, otra mas de las ventajas es que no es necesario tener conocimientos de programación para el uso de ACL.

La herramienta tiene comandos pre-programados para análisis de datos, pero también puede analizar datos adaptándose a una metodología y excepciones de investigación en cualquier momento, se pueden implementar continuos monitoreos haciendo análisis automáticos a través de scripts y habilitando la notificación en tiempo real. Explora los datos rápida y completamente, como se muestra en Figura 3.2, “Comandos pre-cargados”

Figura 3.2. Comandos pre-cargados

Otra ventaja es los resultados se pueden ver fácilmente y entenderlos en formatos tabulares, posee graficas precargadas, también posee un log de actividad de los registros ésto permite analizar y comprar registros pasados con los nuevos, posee vistas de reportes precargadas de Crystal Reports, como se muestra en Figura 3.3, “Visor de Cristal Reports”

Figura 3.3. Visor de Cristal Reports

Especificaciones técnicas:

• PC con procesador Pentium o superior.

• Windows 98/ME o Windows NT (SP6), 2000 (SP2), XP.

• 32MB de RAM (Mínimo).

• 26MB de espacio en disco duro para ACL (Mínimo) y 44 MD extras si se desea instalar la librería de Crystal Reports.

Otros componentes requeridos:

• Internet Explorer 5.5 o mayor.

• Windows Installer

• MDAC 2.6

• MsJet 4.0 SP3 o mayor.

• MSXML 4.0 o mayor.

Auto Audit

Auto Audit es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final.

Además del manejo de documentos y papeles de trabajo en forma electrónica, Auto Audit permite seguir la metodología de evaluación de riesgos a nivel de entidad o de proceso, la planificación de auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un módulo de reportes “ad hoc”. Todos estos módulos están completamente integrados y los datos fluyen de uno a otro automáticamente. Su pantalla principal se muestra en la Figura 3.4, “Ventana principal”.

Figura 3.4. Ventana principal

Beneficios

Eficiencia en el trabajo

Aumenta la eficiencia en la conducción de la evaluación de riesgos y planificación anual. El incremento está entre 20% y 45%.

Base de conocimiento

Acceso inmediato a toda la documentación de auditorías pasadas, en ejecución o planeadas.

Flexibilidad

Permite que los auditores puedan trabajar en lugares distantes con sus réplicas locales de la auditoría en curso y su posterior sincronización a la base de datos centralizada.

Estandarización y control

Garantiza el seguimiento de metodologías de trabajo de acuerdo a las mejores prácticas de la organización con el uso de una biblioteca de documentos estándares (memoranda, programas, papeles de trabajo, cuestionarios, evaluaciones, informe final y otros).

Adaptabilidad

Provee una herramienta de reportes “ad hoc” para la generación de informes, tablas y gráficos con los formatos requeridos para el Comité de Auditoría o Auditor General.

Comunicación

Mejora la comunicación con los auditados en el seguimiento de los hallazgos y planes de acción.

Reducción de costos y aprovechamiento del recurso más valioso (el auditor):

Se reducen los costos y el tiempo de documentación y revisión de papeles, logrando invertir más tiempo en la auditoría, añadiendo así valor a la labor de auditoría.

Seguridad y confidencialidad

Permite la creación de usuarios definiendo perfiles según su rol dentro de la auditoría para controlar el acceso de documentos e integridad de la información. Con sus algoritmos de cifrado (encriptación) Auto Audit garantiza la confidencialidad de información.

Facilidad de uso

Auto Audit se aprende e implementa en menos de una semana.

Integración con ACL

Es posible integrar los procesos de análisis de datos que se efectúan con ACL en los papeles de trabajo de Auto Audit.

Funcionalidad de Auto Audit for Windows

• Planificación de Auditorías en función de la Evaluación de Riesgos, siguiendo la metodología de evaluación vertical y/o por proceso.

• Programación de auditorías y asignación de auditores para el trabajo de campo.

• Flexibilidad máxima para la numeración e índice de los programas y papeles de trabajo, enlaces y referencias cruzadas de documentos.

• Mantenimiento de una Biblioteca de Estándares de programas de auditoría, papeles de trabajo, memos, listas de chequeo, hallazgos, informes y otros.

• Establecimiento de usuarios con perfiles definidos para crear, modificar, eliminar, revisar o aprobar documentos específicos, de acuerdo a su rol dentro del flujo de trabajo en el proceso de auditoría (Gerente, Encargado, Staff).

• Creación automática del Informe Final de Auditoría extrayendo información clave de los hallazgos registrados durante el trabajo de campo.

• Monitoreo de hallazgos para todas las auditorías visualizado por status, fecha de seguimiento, auditoría, nivel de riesgo y otros.

• Registro de tiempos y gastos para la generación de reportes.

• Elaboración de encuestas post-auditoría así como también evaluaciones de los auditores.

• Disponibilidad de reportes estándares ya listos para su uso y posibilidad de crear reportes “ad hoc” según las necesidades.

• Mantiene un registro histórico de todas las actualizaciones, revisiones y aprobaciones de documentos.

• Permite personalizar áreas de la aplicación para reflejar el ambiente de trabajo único de cada organización tales como: áreas de negocio, factores de riesgo, calificaciones de hallazgos, entre otros y se adapta a cualquier estructura de auditoría (COSO, COCO, CSA).

• Tiene un algoritmo propio que encripta los datos asegurando la confidencialidad de la información y su acceso únicamente a través de la aplicación.

El Costo-Beneficio, tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realización de la propuesta de implementación de un área de Auditoría en Informática en el Órgano Legislativo, a su vez comparar dichos costos previstos con los beneficios esperados de la realización del proyecto, definiendo la factibilidad de las alternativas a seguir para llevar a cabo la propuesta.

Es importante detallar los costos, ya que se considera que entre mayor sea el costo de la técnica de auditoría asistida por computadora que se seleccione, mayores deberán ser los beneficios que conlleve; esto es que la expectativa crece.

A continuación se detallan los costos que se relacionan con la evaluación a las necesidades de la propuesta de implementación.

Por último, se aplicó un cuestionario al personal de la Subcontraloría de Auditoría, el formato lo encontraremos en Apéndice B, Formato de cuestionario, y los cuestionarios respondidos en Apéndice C, Cuestionarios respondidos , los resultados son los siguientes:

Evaluar el desempeño de los sistemas informáticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la Información así como un elevado nivel de seguridad.

Realizar auditorías operacionales, integrales, especiales y de cumplimiento al área de sistemas, ayudando en la gestión de control de la Auditoría Interna y buscando las áreas de oportunidad.

El Área de Auditoría Informática, como parte de la SubContraloría de la H. Cámara de Diputados tendrá como misión y visión, los que a continuación se describe:

Es bien sabido que actualmente existe la necesidad de crear un ámbito de seguridad en cualquier organización, debido al aumento de casos internacionales de fraudes tanto contables como informáticos, como ya se mencionó anteriormente el activo más valioso de casi cualquier organización actualmente es precisamente la información, este es el caso de la Cámara de Diputados.

En base a los análisis realizados, se propone la creación de un área de Auditoría Informática que proporcione seguridad y control en el ámbito tecnológico, misma que deberá promover elevar la cultura informática tanto dentro de la Subcontraloría de Auditoría, como en el resto de la Cámara de Diputados. Esta área deberá estar encargada de constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la información y prevean las posibles contingencias en cuanto a la seguridad de la información que se maneja en este órgano, misma que por definición es muy delicada, asimismo que regule la gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del área de sistemas de esta Institución mediante las auditorías correspondientes.

Adicionalmente, esta área deberá contar con las actualizaciones sobre las regulaciones de la seguridad informática, mejores prácticas para aplicarlas a esta Institución, así como de las nuevas técnicas de auditoría en informática ya sean manuales o asistidas por computadora, apoyados en profesionales capacitados para mantener sistemas informáticos seguros, confiables y confidenciales, que eviten y prevengan la ocurrencia de situaciones de riesgo derivadas de las actuales debilidades en los sistemas de control.

La normatividad que propone ser modificada comienza a nivel del Manual de Organización General de la Cámara de Diputados que en Capítulo 1, Descripción del órgano legislativo y de su organo interno de control se menciona textualmente, dentro del objetivo que ahí se plasma, deberá cambiar de la siguiente forma:

Adicionalmente, en el Manual de Organización de la Contraloría General el texto propuesto es el siguiente:

La reestructuración de la Subcontraloría de Auditoría no estará completa si no contempla una modificación a su estructura orgánica que incluya un área que se dedique a realizar las funciones propias de la auditoría en informática, como se puede apreciar en la Figura 1.3, “Estructura orgánica de la Contraloría Interna de la Cámara de Diputados”, los puestos de la Subdirección hacia abajo son genéricos, lo que redunda en confusiones en los tramos de control y funciones, por ello y para acabar con esta problemática, además de incluir esta nueva área se propone que el Organigráma de la Subcontraloría detalle los nombres específicos de los puestos.

La nueva estructura orgánica de la Subcontraloría de Auditoría deberá establecerse como se indica en la Figura 5.1, “Nueva estructura orgánica para la Subcontraloría de Auditoría”.

Figura 5.1. Nueva estructura orgánica para la Subcontraloría de Auditoría

En esta parte del capitulo, serán presentadas las funciones que deberá realizar el Área de Auditoría Informática, como parte de la Subcontraloría de la H. Cámara de Diputados; mismas que han sido definidas para la realización de auditorias internas dentro de éste Órgano Legislativo.

Misión. Brindar a través de las auditorías, la información suficiente y competente, que permita la implementación de controles para una mejora continua que ayude a la prevención de delitos informáticos.

Visión. Consolidar el Área de Auditor í a Informática, como un área que pueda prever apoyo y asesoría a la H. Cámara de Diputados, para el cumplimiento de sus metas institucionales.

Funciones. El área de Auditoría Informática deberá realizar las actividades correspondientes a la verificación de los controles internos establecidos en el área de Sistemas así como estudios de seguridad física y lógica; análisis de los riesgos a que está expuesta la información y los equipos y la elaboración de documentación que en las auditorías sea requerida. Además deberá promover elevar la cultura informática tanto dentro de la Subcontraloría de Auditoría, como en el resto de la Cámara de Diputados, constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la información y prevean las posibles contingencias en cuanto a la seguridad de la información que se maneja en este órgano, misma que por definición es muy delicada, asimismo que regule la gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del área de sistemas de esta Institución mediante las auditorías correspondientes.

A continuación se listan las funciones principales que esta área, deberá llevar a cabo.

Dados los antecedentes con los que contamos sobre la estructura de la Subcontraloría Auditoría de la H. Cámara de Diputados, su conformación y los activos informáticos con los que cuenta, a continuación realizamos la propuesta de los requerimientos que serán necesarios para el funcionamiento de la nueva área.

En este apartado proponemos la herramienta y el equipo que será necesario para la implantación de esta nueva área. Los factores relevantes para la determinación de la adquisición de estos activos son los siguientes:

Derivado de este informe, se determina que los pasos más recomendables para la implantación del área de auditoría en informática son los siguientes:

La misión y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores.

COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las TI, que provean un marco de referencia para la administración, los usuarios y los auditores de cualquier tipo.

Hemos considerado que COBIT es la mejor práctica que podría ser de mayor utilidad a la Subcontraloría de Auditoría, debido a que provee a la administración un entendimiento de los principios y conceptos claves sobre los requerimientos del negocio para la información e impactos preliminares de recursos de TI a detalle en sus 34 Objetivos de Control de TI.

COBIT preverá al negocio de guías de auditoría, las cuales contienen pasos de auditoría sugeridos, correspondientes a cada uno de los 34 Objetivos de Control, estas guías serán un macro para asistir a los auditores de sistemas de información en cuanto a las en revisiones de los procesos de TI y la seguridad de la administración.