Industrial Data

ISSN: 1560-9146
iifi@unmsm.edu.pe
Universidad Nacional Mayor de San Marcos
Per

Ramrez R., Guadalupe; lvarez D., Ezzard

Auditora a la Gestin de las Tecnologas y Sistemas de Informacin
Industrial Data, vol. 6, nm. 1, agosto, 2003, pp. 99-102
Universidad Nacional Mayor de San Marcos
Lima, Per

Disponible en: http://www.redalyc.org/articulo.oa?id=81606114

Cmo citar el artculo

Nmero completo
Sistema de Informacin Cientfica
Ms informacin del artculo Red de Revistas Cientficas de Amrica Latina, el Caribe, Espaa y Portugal
Pgina de la revista en redalyc.org Proyecto acadmico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto
Vol. (6) 1: pp. 99-102
AUDITORA A LAGESTIN DE LAS
TECNOLOGAS Y SISTEMAS DE
INFORMACIN
RESUMEN
El artculo plantea utilizar la
Auditoria Informtica como una
herramienta que gestione el uso
adecuado de la tecnologa de
informacin, apoyado en la
aplicacin de la normativa legal y
en estndares informticos
internacionales. En la
metodologa se han considerado
dos aspectos bsicos: La
identificacin de reas de riesgo
y la identificacin de reas de
control.
Palabras Claves: Auditoria
informtica. Riesgos informticos.
Tecnologa de la informacin.
ABSTRACT
This article outlines the use of
computing audit as a tool to exert
a suitable use of information
thechnology, supported by
applying legal regulations as well
as international computing
standards. In methodology, two
basic features have been
considered: both risk areas and
control areas identification.
Key Words: Computing audit.
Computing risks. Information
technology.
agosto 2003
(1)
Guadalupe Ramrez R.
(2)
EzzardlvarezD.
INTRODUCCIN
Una de las principales preocupaciones de las Entidades Pblicas que han realizado ingentes esfuerzos
en la implementacin de tecnologas de informacin, es que probablemente no ven que las inversiones
que han realizado den soluciones inmediatas, tangibles y medibles; y all donde se vea una oportunidad
de mejora, realmente estn creando un problema difcil de administrar, controlar y caro de mantener.
La Auditora Informtica se constituye en una herramienta que gestiona la tecnologa de la informacin
en las entidades, a travs de auditoras internas y externas.
El presente trabajo propone una metodologa de auditora informtica con la finalidad de medir los
riesgos y evaluar los controles en el uso de las tecnologas de informacin, haciendo uso de tcnicas
y estrategias de anlisis, que permitan que la auditora informtica se convierta en una real y eficiente
herramienta de gestin de tecnologas de informacin, a disposicin de las Entidades Pblicas.
COMPENDIO DE NORMATIVIDAD SOBRE EL USO DE TECNOLOGAS DE
INFORMACIN EN EL PER
El Instituto Nacional de Estadstica e Informtica del Per ha publicado su obra titulada "Compendio
de Normatividad sobre el uso de Tecnologas de Informacin en el Per", la misma que compila la
legislacin establecida por el Gobierno y el Congreso de la Repblica. Se inicia con los mandatos
previstos en la Constitucin de Poltica, contina con las leyes que garantizan la libertad de informacin,
leyes de derecho de autor y derechos conexos, normas sobre delitos informticos, normas sobre
firmas y certificados digitales, la ley que permite la utilizacin de los medios electrnicos para la
comunicacin de la manifestacin de voluntad, normas sobre el uso de Tecnologas de Informacin
en la gestin de archivos y documentos y normas que regulan el uso de formatos electrnicos en las
instituciones de Administracin Pblica.
NORMAS TCNICAS DE CONTROL INTERNO PARA EL SECTOR PBLICO
Las Normas de Control Interno para el Sector Pblico son guas generales dictadas por la Contralora
General de la Repblica, con el objeto de promover una sana administracin de los recursos
pblicos en las entidades en el marco de una adecuada estructura del control interno. Estas normas
establecen las pautas bsicas y guan el accionar de las entidades del sector pblico hacia la
bsqueda de la efectividad, eficiencia y economa en las operaciones.
(1)
IngenierodeSistemas.
DoctorandoenSistemas,UNFV
(2)
JefedelaOficinadeInformtica.
FacultaddeIngenieraIndustrial,UNMSM
NOTAS CIENTFICAS 99
 >>> AUDITORA A LA GESTIN DE LAS TECNOLOGAS Y SISTEMAS DE INFROMACIN
AUDITORA
COMPARACIONES
IDEAL REAL
DIFERENCIA
OBSERVAC IONES
Figura 1. Esquema del concepto clsico de Auditora
Las normas de control interno para sistemas computarizados
pertenecen a la categora 500 de las Normas de Control Interno
para el Sector Pblico y se indican a continuacin:
500-01 Organizacin del rea informtica
500-02 Plan de sistemas de informacin
500-03 Controles de datos fuente, de operacin y de salida
500-04 Mantenimiento de equipos de cmputo
500-05 Seguridad de programas, de datos y equipos de cmputo
500-06 Plan de contingencias
500-07 Aplicacin de tcnicas de Intranet
500-08 Gestin ptima de software adquirido a medida por
entidades pblicas
CONCEPCIN DE LA PROPUESTA DE AUDITORA
INFORMTICA
Segn Alonso Hernndez Garca , "conceptualmente la auditora,
toda y cualquier auditora, es la actividad consistente en la emisin
de una opinin profesional sobre si el objeto sometido a anlisis
presenta adecuadamente la realidad que pretende reflejar y/o
cumple las condiciones que le han sido prescritas."
De aqu se deduce la importancia de establecer una opinin
objetiva, fundada en las evidencias encontradas, sobre las
diferencias existentes entre el planteamiento del funcionamiento
de cualquier rea a auditar y su ejecucin real en la organizacin,
y comunicarlas a las personas correspondientes.
Se plantea que una de las formas de Auditora Informtica aplicado
a Entidades Pblicas es el proceso orientado a la identificacin
100 NOTAS CIENTFICAS
de riesgos y controles en la gestin de las tecnologas de
informacin, para su efectivo apoyo al logro de los objetivos de
la institucin, para el cumplimiento de sus metas estratgicas,
asociado a la nueva economa digital en la que se desenvuelven
(Ver Figura 2).
Por un lado la identificacin de riesgos nos sirve para determinar
el nivel de exposicin de la institucin al inadecuado uso de los
servicios que brinda la tecnologa de la informacin; pero adems
permite gestionar los riesgos, implementando controles que estn
orientados a evitarlos, transferirlos, reducirlos o asumirlos
gerencialmente.
Por tanto, es necesario definir ambos conceptos: riesgos y
controles, para fines del trabajo de investigacin:
a. Riesgo: Un riesgo impide que la Entidad logre alcanzar los
objetivos establecidos como negocio y que en el tiempo dicha
situacin genere debilidades en el control interno. Los riesgos
se agrupan de acuerdo a su impacto en la institucin.
b. Control: Un control establece las medidas implementadas en
las Entidad con la finalidad de reducir los riesgos existentes y
proteger los activos ms importantes.
AUDITORA INFORMTICA DE LA
GESTIN DE LAS TECNOLOGAS
DE INFORMACIN
Comparaciones
Gestin Ideal de las
Tecnologas de Informacin
Gestin Real de las
Tecnologas de Informacin
Diferencias
RIESGOS
CONTROLES
SS
Figura 2. Esquema de Auditora Informtica de la gestin de
tecnologas de informacin
agosto 2003

En la Figura 3 se muestra la estrategia utilizada para la
implementacin de las mejores prcticas de control, es un proceso
de benchmarking, que toma en cuenta las mejores
recomendaciones internacionales, como las contenidas en el
COBIT, las utilizadas por empresas de prestigio internacional, las
normas internacionales de auditora, entre otros; los que permiten
obtener altos niveles de seguridad, fiabilidad y conformidad en la
gestin de la tecnologa de la informacin.
Los riesgos de tecnologa de informacin que afectan a las Entidades
Pblicas estn relacionados con 3 aspectos bsicamente:
a. Dependencia en el uso de tecnologa de informacin:
Relacionada con el uso que efecta la Entidad y la importancia
que representa para el desarrollo de sus operaciones
b. Confiabilidad en el uso de tecnologa de informacin:
Relacionada con resultados del procesamiento de datos y
que no requieren trabajo manual por los usuarios para
completar la informacin.
c. Cambios en la tecnologa de informacin: Ralacionado
con la automatizacin de los procesos principales de la Entidad
y la adecuacin de esos procesos automatizados a nuevas
necesidades de la Entidad motivados por regulacin o por
modernizacin para mantenerse competitivos o lograr su
acreditacin.
Para la evaluacin de los controles se utilizan 4 grandes reas:
a. Administracin de los recursos de TI: Para asegurar que
la Entidad utilice tecnologa de informacin bajo criterios de
costo-beneficio, considerando las necesidades de
automatizacin y adecuacin de cambios del entorno en que
se desenvuelve.
b. Seguridad Fsica y Seguridad de Informacin: Para
garantizar que el ambiente en el que los sistemas funcionan
protege su confidencialidad, integridad y confiabilidad, la
reduccin al mnimo del riesgo de que ocurran daos
accidentales o intencionales a los equipos.
RIESGOS CONTROLES
cmo eliminarlos,
transferirlos, reducirlos,
Estndares Internacionales
COBIT
Proceso de Benchmarking
NAGU MEJORES
MAGU PRCTICAS
Normas legales, etc.
Figura 3. Esquema de implementacin de controles
agosto 2003
Guadalupe Ramrez R. y Ezzard lvarez D. >>>
c. Desarrollo y Mantenimiento de Sistemas de Informacin
de la Entidad: Para garantizar la disponibilidad de los
sistemas cuando se necesiten, que se controle la integridad
de los datos y que satisfagan a los usuarios.
d. Continuidad de SI de la Entidad: Reducir al mnimo la
posibilidad de que ocurra un desastre total y garantizar que el
negocio pueda reanudar sus operaciones con efectividad en
caso de que ya no se disponga de las instalaciones de
procesamiento existentes.
A continuacin se presenta en la Figura 4, la Visin Sistmica de
la Metodologa propuesta, donde se puede apreciar al rea de
Informtica de la Entidad, no como un departamento de la
organizacin sino ms bien como el entorno informtico.
El proceso de auditora, muestra claramente dos reas bien
definidas: el rea de Riesgos y el rea de Control. Los riesgos
identificados nos llevarn automticamente a definir las reas de
control; de similar modo, las reas de control deben de ser
evaluadas para determinar si los esfuerzos de la Entidad estn
siendo orientados a cubrir reas de riesgo y no se presente el
caso de que dichos esfuerzos estn mal orientados.
La tercera parte de este diagrama muestra la comparacin entre
las reas de Control y las Mejores Prcticas de Control; esto
significa que debemos de realizar un proceso de benchmarking
con la finalidad de asegurarnos que las Entidades Pblicas, donde
el gobierno ha realizado grandes inversiones en tecnologas de
la informacin, estos, estn siendo utilizados y protegidos
eficientemente, para ello tomaremos como referencia aquellas
recomendaciones de Organismos Internacionales que orientan la
gestin de Auditora Informtica en el Mundo tal como ISACAF, el
COBIT, Firmas Auditoras de prestigio internacional, las NAGU,
las MAGU, entre otras.
Finalmente, la visin sistmica muestra los factores del entorno
que afectan de alguna manera la gestin de la tecnologa de la
informacin en las Entidades Pblicas.
CONCLUSIONES
La metodologa propuesta permite revisar el uso de la tecnologa
de informacin en la Entidad, utilizando tcnicas modernas para la
recopilacin de informacin y anlisis detallado, con la finalidad
de identificar los riesgos y evaluar los controles en el uso de las
mismas.
La Auditora Informtica permite a la Entidad Pblica buscar los
medios para alcanzar los estndares internacionales en el uso
NOTAS CIENTFICAS 101
 >>> AUDITORA A LA GESTIN DE LAS TECNOLOGAS Y SISTEMAS DE INFROMACIN

Avance Tecnolgico Cotos de la Tecnologa Competencia

Trabajo en
GESTIN DE LA TECNOLOGA DE LAEquipo
INFORMACIN
Leyes
IDEAL REAL

Procesos de
Cultura Organizacional Negocio
Qu controles implementar Procedimientos
Cultura
RIESGO CONTROL
Organizacional Para controlar riesgos Infraestructura
Tecnolgica
Estndares
EFECTOS:
Comparar Seguridad
DESARROLLO DE Fiabilidad
CONFIABILIDAD EN SISTEMAS DE Lmite del rea
Conformidad
EL USO DE TI INFORMACIN de Sistemas/
Informtica/
ADMINISTRACIN
MEJORES Telemtica/
COBIT,
DE LOS RECURSOS PRCTICAS Teleproceso de
ISACAF
CAMBIOS DE TI la Entidad
EN EL USO
DE TI
SEGURIDAD FSICA Y NAGU,
DEPENDENCIA
Idiosincrasia SEGURIDAD DE LA MAGU
EN EL USO
de la TI INFORMACIN Polticas
DE TI
CONTINUIDAD EMPRESAS
Normas DE LOS INTERNACIONALES
Nivel de Conocimientos SISTEMAS AUDITORAS
de TI

PROCESO DE SEGUIMIENTO

Catstrofes Estndares Internacionales

Figura 4. Visin sistemtica de la auditora informtica

adecuado de las tecnologas de informacin, con miras a una
certificacin de calidad.Pone al descubierto si los esfuerzos de la
Entidad estn correctamente orientados a controlar los riesgos de
mayor impacto y a redireccionar aquellos esfuerzos orientados a
reas que no representan riesgos.
La estrategia utilizada para la implementacin de las mejores prcticas
de control, es un proceso de benchmarking, que toma en cuenta las
mejores recomendaciones internacionales de instituciones que
orientan las auditoras informticas a nivel mundial, las normas
contenidas en el COBIT, las utilizadas por empresas de prestigio
internacional, las normas internacionales de auditora, entre otros;
los que permiten obtener altos niveles de seguridad, fiabilidad y
conformidad en la gestin de la tecnologa de la informacin.
BIBLIOGRAFA
1. Derrien, Y. (1994), Tcnicas de Auditora Informtica.
Marcombo, Barcelona.
2. Echenique Garca, Jos Antonio. (1995), Auditora en
Informtica. Edit. Mc Graw Hill, Mxico.
3. Ferreyros Morn, Juan A. (1995), Informtica Contable y
Auditora de Sistemas. Edit. La Senda. Per.
4. Gil Peuchan, Ignacio. (1999), Sistemas y Tecnologas de la
Informacin para la Gestin. Edit. McGraw Hill. Madrid-
Espaa.
5. Hernndez, Roberto; Fernndez, Carlos; Baptista,
Pilar. (1998), Metodologa de la investigacin. Edit. Mc
Graw Hill, Mxico.
6. IBM del Per. (1998), Control y Auditora de Sistemas de
Informacin. Departamento de Educacin de IBM del Per S.A.
7. IBM del Per. (1998), Seguridad en Sistemas de Informacin.
Departamento de Educacin de IBM del Per S.A.
8. INEI. (1996), Auditora Informtica. Publicacin del Instituto
Nacional de Estadstica e Informtica del Per.
9. Murphy, David. (1998), La auditora de sistemas informticos.
Temas Avanzados. Documento hecho en la Escuela Nacional
de Control. Contralora General de la Repblica.

102 NOTAS CIENTFICAS agosto 2003