IntroduccinA lo largo de este informe de seminario de titulacin, se propone la implantacin del rea de auditora informtica dentro de la Contralora Interna de la H. Cmara de Diputados, ya que no obstante de que este rgano tiene 10 aos de creacin, a la fecha no se cuenta con sta ni con las funciones dedicadas especficamente a las IT; este es el motivo que motiv la realizacin de este informe. Para ello, se comienza por dar una semblanza de los antecedentes, conformacin y legislacin de la Cmara de Diputados; a fin de que se comprenda cul es la ubicacin del rgano Interno de Control (Contralora Interna) dentro de esta institucin, dentro de su estructura se encuentra a la Subcontralora de Auditora, sta ltima objeto de este estudio. De sta ltima se realiza un anlisis y se comienza por sus aspectos generales para terminar con el estudio de sus particularidades a fin de fundamentar esta investigacin. En seguida se analiza el rea de sistemas del rgano, en este caso la Direccin General de Tecnologas de Informacin, de la misma forma que con el rgano Interno de Control se analiza de lo general a lo particular. En seguida, se proporciona toda la investigacin y anlisis correspondiente de las actuales herramientas informticas y manuales que pueden se usadas por los r auditores, las mejores prcticas y dems estrategias que puedan auxiliar a los empleados de la Contralora Interna y as contribuir con la mejor rendicin de cuentas y cumplimiento a las actuales leyes de transparencia y acceso a la inform acin pblica gubernamental. Para concluir, se proporcionan las recomendaciones de cmo deber estar conformada el rea de auditora en informtica de acuerdo a la magnitud del rea de sistemas; los pasos que se consideran necesarios seguir para su implant acin y por ltimo de todas las herramientas estudiadas, se hace una propuesta de aquella que est ms acorde a las funciones y caractersticas tanto de la Subcontralora de Auditora como del rea de sistemas del rgano. Es importante mencionar que el presente informe de seminario de titulacin tiene un sentido preventivo por muchas razones, entre ellas: la creciente importancia de mantener seguros los activos informticos y en particular los datos (tanto del rea de la Contralora Interna como del rea de Sistemas); ya que si bien la informacin es intangible, sta representa el elemento fundamental que sirve de base para el correcto desarrollo de todas las funciones dentro de la H. Cmara de Diputados. Por otro lado, la reciente creacin e implantacin de la Ley Federal de Acceso a la Informacin Pblica Gubernamental obliga en el mediano plazo a todos los rganos de control de gobierno a mejorar, actualizar y modernizar sus mecanismos de revisin y control. As, en este informe se plantea la problemtica a la que hoy da se enfrenta la Subcontralora de Auditora de la H. Cmara de Diputados, cules son sus riegos y oportunidades, y se fundamenta plenamente las recomendaciones hechas en cuanto a la implantacin de IT dentro del rea y diferentes recursos, as como capacitacin de personal y actualizacin de la legislacin existente.

Captulo 1. Descripcin del rgano legislativo y de su organo interno de controlTabla de contenidos

H. Cmara de Diputados Antecedentes Legislacin rganos de gobierno y estructura tcnica y administrativa Estructura orgnica general Conformacin actual Contralora Interna de la Cmara de Diputados Legislacin Estructura orgnica Objetivo y funciones Subcontralora de Auditora Legislacin Estructura orgnica general Objetivo Funciones Metas Misin Visin Debilidades y fortalezas Riesgos Controles Tecnologa informtica actual de la Subcontralora de Auditora Recursos humanos y capacitacin

En este captulo se da un vistazo a la historia y conformacin de la Cmara de Diputados; asimismo se ubica en qu contexto se encuentra el rgano de Control Interno y su respectiva rea de Auditora, estructura, objetivos, funciones y la normatividad con la que actualmente se maneja. Lo anterior, a fin de dar un panorama claro de qu es y a qu se dedica, principalmente enfocado a estudiar la Subcontralora de Auditora, de esta forma, se encuentra en este apartado el punto de partida de nuestro estudio.

H. Cmara de DiputadosLas paredes de la H. Cmara de Diputados pueden relatar una larga historia de triunfos y fracasos, pero sobretodo de cambios y transformaciones constantes que la han convertido en lo que hoy da es, a continuacin se da un repaso de qu es, para qu es y por qu fue creada a H. Cmara de Diputados y como llego a conformarse la Contralora Interna como rgano de control dentro de este rgano hace 10 aos: El pueblo ejerce su soberana por medio del Congreso de la Unin [1] , ste representa la conformacin del Poder Legislativo de los Estados Unidos Mexicanos, mismo que se deposita en dos Cmaras, una de Diputados y otra de Senadores, las cuales ejercen las facultades que la propia Constitucin les confiere.

AntecedentesPoca gente sabe que el 24 de febrero de 1822, el Mxico Independie nte tuvo a la Iglesia de San Pedro y San Pablo como el primer escenario del Poder Legislativo, donde nace la primera Cmara de Diputados y el primer Congreso Constituyente en Mxico. En 1823 el Congreso Constituyente comenz a esbozar la idea de que el Pod er Legislativo se compusiera por dos Cmaras: una integrada con base en el nmero de habitantes y otra formada por igual nmero de representantes de los nacientes estados, Diputados y Senadores, respectivamente. En este mismo ao, Fray Servando Teresa de M ier concibe la idea del bicameralismo dando lugar a la creacin del Honorable Congreso de la Unin que se plasm en el Acta Constitutiva de la Federacin, que fue la ley fundamental mexicana y base de la creacin de la Constitucin Poltica de los Estados Unidos Mexicanos, que ha pasado por innumerables modificaciones hasta llegar a lo que hoy da se conoce como nuestra Carta Magna. En 1981 se inaugur la construccin de lo que hoy es la sede de la Cmara de Diputados, con slo 24 aos de existencia las par edes de este recinto pueden contar una larga trayectoria de triunfos y fracasos. Como dato curioso mencionar que las distintas instalaciones que ha tenido la Cmara de Diputados a lo largo de este perodo han sido incendiadas por lo menos tres veces, a causa de los diferentes movimientos polticos y sociales que se han dado en Mxico. Nuestro estudio empieza aqu y, no de forma idealista ni inocente este informe trata de comenzar a cambiar la situacin de Mxico desde su parte ms fuerte, dentro del pode r; introduciendo nuevas formas de ver el gobierno. La Cmara de Diputados est compuesta por 500 Diputados, mismos que son los representantes de la Nacin electos en su totalidad por la ciudadana mexicana; divididos en: 300 elegidos, segn el principio de votacin mayoritaria relativa, mediante sistemas de distritos electorales y 200 segn el principio de representacin

LegislacinEn M ico, nuestra carta magna, habla de la divisin de poderes para su ejercicio: Legislativo, Ejecutivo y Judicial; el poder legislativo en nuestro pas consiste en la elaboracin, estudio y aprobacin de las leyes que regulan nuestro territorio a nivel nacional, asimismo la Constitucin Poltica de los Estados Unidos Mexicanos , establece que el Poder Legislativo se deposita en un Congreso General, que se divide La C mara de Diputados es, por tanto, uno de los dos rganos Legislativos que est encargado de brindar representatividad a la poblacin de todo el pas, por medi del o ejercicio del poder legislativo, mediante los 500 diputados que la conforman. Los artculos 51 al 79[3] establecen detalladamente la conformacin, funciones, ejercicio, facultades compartidas y exclusivas, etc. de estos dos rganos, las cuales no se menciona por no ser el objeto de nuestro estudio.

en dos C maras, una de Diputados y otra de Senadores [2]

rganos de gobierno y estructura tcnica y administrativaComo est plasmado en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, sta cuenta con cuatro rganos de Gobierno:

y Pleno. y Mesa Directiva. y Conferencia para la Direccin y Programacin de los Trabajos Legislativos. y Junta de Coordinacin Poltica.Y por lo que respecta a la organizacin tcnica y administrativa, est integrada por:

y Secretara General. y Secretara de Servicios Parlamentarios. y Secretara de Servicios Administrativos y Financieros. y Contralora Interna. y Coordinacin General de Comunicacin Social.

Estructura orgnica generalA fin de comprender, la conformacin de la Cmara de Diputados y especficamente con el propsito de ubicar tanto de la Contralora Interna como de la Direccin General de Informtica y Telecomunicaciones dentro de este rgano Legislativo, a continuacin se presenta su Estructura Orgnica[4] actual en Figura 1.1, Estructura orgnica general de la Cmara de Diputados .

Figu

. .E

u

u

gnica general de la Cmara de Dipu a dos

Como se puede ver, la Secretara General es la cabeza de los servicios tcnicos y administrativos (compuesta a su vez por la Secretara de Servicios Parlamentarios y de

proporc onal, m plurinominales

ante el s stema de listas regionales, votadas en 5 circ nscripciones

Servicios Administrativos y Financieros). Estas ltimas articuladas mediante rganos responsables de la gama de servicios especficos, respectivamente en las reas parlamentaria y administrativo -financiera. Dentro de las reas que conforman a la Secretara de Servicios Administrativos y Financieros, se encuentra a la Direccin General de Informtica y Telecomunicaciones, misma que se estudia en el siguiente captulo de este informe.

Conformacin actualPara comprender el funcionamiento de la Cmara de Diput ados se menciona su conformacin actual en cuanto a los Grupos Parlamentarios, que en conjunto con los respectivos Senadores conforman un Partido Poltico, los cuales estn encargados de las labores puramente legislativas; dentro de la Cmara de Diputados la informacin[5] publicada al 15 de julio de 2005 en su pgina oficial , arroja la reparticin de los actuales 500 Diputados con las siguientes cifras:

Figura 1.2. Conformacin de la

. Cmara de Dipu ados LIX Legislatura

[1]

Constitucin Poltica de lo Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1. s Constitucin Poltica de los Estados Unidos Mexicanos, Ttulo Segundo, Captulo 1. Constitucin Poltica de los Estados Unidos Mexicanos, Captulo II. Del Poder [bib-manual-camara-diputados] [bib-camara-diputados-web]

De la Soberana Nacional y de la Forma de Gobierno, Artculo 41.[2]

De la Soberana Nacional y de la Forma de Gobierno, Artculos 49 y 50.[3]

Legislativo[4] [5]

Contralora Interna de la Cmara de DiputadosYa que se conoce como se conforma la Cmara de Diputados, el siguiente escaln para hablar en particular de la Contralora Interna, ste es el rgano de Interno de Control que es el encargado de llevar a cabo la gestin del control administrativo y fiscal dentro de esta institucin. Cabe sealar que la Contralora Interna de la Cmara de Diputados del Honorable Congreso de la Unin se cre mediante Acuerdo de la Gran Comisin del 5 de mayo de 1994, con el objetivo de que la Cmara de Diputados cuente con su propio rgano

Interno de Control que a fin de propiciar el ptimo aprovechamiento de los recursos de la Institucin.

LegislacinLa formacin de la Contralora Interna se establece en la Ley Orgnica del Congreso General de los Estados Unidos Mexicanos, Artculo 53 que a la letra dice: La Cmara cuenta con su propia Contralora Interna, la que tendr a su cargo recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos de la misma. La Contralora se ubica en el mbito de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Su titular es designado a propuesta de dicha Conferencia, y aprobado por las dos terceras partes de los diputados presentes en el pleno.

ImportanteComo puede apreciarse, la creacin de la Contralora Interna dentro de la H. Cmara de Diputados data de hace diez aos y paulatinamente ha venido reforzando sus mecanismos e incrementando su actuacin, ha tenido avances significativos hasta incorporar en sus revisiones las subvenciones a los grupos parlamentarios, a partir de 2002, lo que represent un arduo esfuerzo y rediseo de funciones. Para su manejo interno, la Cmara de Diputados cuenta con el Manual de Organizacin General de la Cmara de Diputados que se expide en cumplimiento , a los Lineamientos para la Organizacin de los Servicios Parlamentarios, Administrativos y Financieros establecidos por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, que en su presentacin ...establece el marco de actuacin de las unidades sustantivas y adjetivas de la Cmara, as como su estructura orgnica, representada a nivel de jefatura de departamento. Comprende las atribuciones de la Secretara General, de las Secretaras de Servicios Administrativos y Financieros, y de sus reas dependientes, as como de otros rganos tcnicos de la Cmara como la Contralora Interna y la Coordinacin General de Coordinacin Social , y al cual se apega la administracin actual.

Estructura orgnicaEn el Manual de Organizacin General de la Cmara de Diputados se establece la estructura orgnica autorizada de la Contralora Interna, como se ilustra en Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados :

Figura 1.3. Estructura orgnica de la Contralora Interna de la Cmara de Diputados

En la figura anterior, se aprecia en el segundo nivel a tres Direcciones Generales, stas representan lo que en la prctica son la son las tres Subcontraloras que ya se menciona, con sus respectivas Direcciones de rea.

Este problema est siendo regulado en la actualidad para homogeneizar los nombres de los puestos dentro del organigrama Habr que mencionarse que aunque existen autorizados ciertos nmero de plazas, en la prctica, actualmente la nivelacin, regularizacin y autorizacin de algunas plazas d e ms y de menos se encuentra en proceso. Como es el caso de los Jefes de Departamento, entre otros. En cuanto a los niveles salariales, en Tabla 1.1, Niveles salariales de la Contralora Interna de la Cmara de Diputados se describe su rgimen, su nivel segn estructura y rango salarial:

Tabla 1.1. Niveles salariales de la Contralora Interna de la Cmara de Diputados

Denominacin Contralor General Director General Director de rea Secretario Particular Subdirector de rea Coordinador Administrativo Jefe de Departamento Total

Rgimen Estructura Rango salarial 1 3 6 Base Base Base MD 02 a MD 06 MD 07 a MD 12 MG 06 a MG 10

Homlogos MG 02 a MG 12 8 Base MS 02 a MS 12

Homlogos MS 02 a MS 12 9 27 Base MC 01 a MC 07

Dentro del Manual de Organizacin General de la Cmara de Diputados se encuentra tambin que se plasma el objetivo y funciones de la Contralora Interna, como sigue:

ObjetivoEstablecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que s tas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.

FuncionesElaborar el Programa Anual de Control y Auditora de la Cmara de Diputados, someterlo a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos y proceder a su ejecucin. Disear, implantar y supervisar la operacin del Sistema Integral de Control y Evaluacin de la Gestin de las unidades administrativas de la Cmara de Diputados.

!

!

Objeti

y funci nes

Evaluar el cumplimiento de los programas y polticas aprobados por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos, con objeto de retroalimentar el proceso de planeacin, programacin y presupuestacin. Establecer los lineamientos y polticas que orienten a la colaboracin, que conforme a la ley deba prestar la Contralora a la Auditora Superior de la Federacin, para el mejor cumplimiento de sus respectivas responsabilidades. Emitir las disposiciones, reglas y bases de carcter general, normas, lineamientos y polticas en el ejercicio de las atribuciones, que conforme a las leyes, competen a la Contralora, previa autorizacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Opinar previamente a su expedicin, sobre los proyectos de disposiciones, reglas, normas, lineamientos y polticas que elaboren las unidades administrativas de la Cmara. Aplicar las normas que se hubieren fijado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos en materia de control, fiscalizacin y evolucin. Proporcionar informacin a la Conferencia para la Direccin y Programacin de los Trabajos Legislativos cuando sta lo requiera. Recibir y atender las quejas y denuncias que se p resenten en contra de los servidores pblicos, adscritos a las reas administrativas y los que realicen funciones de ese carcter en la Cmara de Diputados y en su caso, sustanciar el procedimiento administrativo disciplinario e imponer las sanciones correspondientes en los trminos de la ley en la materia.

Subcontralora de AuditoraLa Subcontralora de Auditora se puede apreciar a nivel general en Figura 1.1, Estructura orgnica general de la Cmara de Diputados asimismo corresponde a una ; de las Direcciones Generales de Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados. De esta forma se observa al rea de inters particular, en este apartado se presenta su legislacin, conformacin, principales funciones, estructura, etc.

Legisl ci nLa legislacin de la Subcontralora de Auditora, como ya se mencion, se estructura u O n n T n y n y desde el E de la estructura tcnica y administrativa de este rgano, entre ellos la Contralora Interna[6], en su Ttulo Cuarto habla especficamente de ste rgano, misma que se encarga de recibir quejas, realizar investigaciones, llevar a cabo auditoras y aplicar los procedimientos y sanciones inherentes a las responsabilidades administrativas de los servidores pblicos y se ubica en el mbito de la Conferencia, segn lo dispone el artculo 53 de la Ley Orgnica. Este Ttulo del estatuto establece todas las particularidades de este rgano de Control Interno, como son: el procedimiento para designar al Contralor Interno, lo sueldos y'(&% $ )( '35391) @ 0)( & 9 3%& 1% 3 $ 38( 7 & 53 5 63 5& 3 4 & 1 2 & 0 )( '% %& % $ "

3C )( &1& 8BA & 0 )( &1)11&A D

#

u

establece que la organizacin y funcionamiento

percepciones que recibir l y el dems personal del rea, sus derechos y obligaciones, su estructura orgnica y funciones[7]. Para realizar estas funciones, se divide en tres Subco ntraloras:

y Quejas, Denuncias e Inconformidades y Evaluacin y Seguimiento y Auditora[8]sta ltima, objeto de nuestro estudio es la encargada en particular de la realizacin de , las auditoras que se plasman dentro del Programa Anual de Control y Auditora que es sometido a la aprobacin de la Conferencia para la Direccin y Programacin de los Trabajos Legislativos. Adems de las revisiones por peticiones especiales o por rdenes de la Auditora Superior de la Federacin.

Estructura orgnica generalAdems de la estructura general ( Figura 1.1, Estructura orgnica general de la Cmara de Diputados) dentro de la cual se ubica a la Subcontralora de Auditora dentro del universo entero de la Cmara de Diputados, a continuacin se presenta el Organigrama de la Subcontralora de Auditora de forma particular y desglosada (Figura 1.3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados , ) estos datos se encuentran plasmados tambi n en el Manual de Organizacin General de la Cmara de Diputados. Como a continuacin se aprecia, la Subcontralora de Auditora est compuesta por dos vertientes: la Direccin de Auditora Financiera y la Direccin de Auditora Administrativa y a su vez en las Subdirecciones y Departamentos correspondientes.

Figura 1.4. Estructura orgnica de la Su contralora de AuditoraE

Ob etivoEl objetivo general de la Subcontralora de Auditora se plasma en el Manual de Organizacin General de la Cmara de Diputados, que a la letra dice: Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normaividad aplicable, t verificando que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federacin. Adicionalmente, en el Manual de Organizacin de la Contralora General se establece como su objetivo:

F

Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos de los que dispone la Cmara.

Funci nesLas funciones de la Contralora Interna estn plasmadas en primera instancia de forma general en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados: a. b. c. d. Elaborar, aplicar y verificar el cumplimiento del programa anual de control y auditora; Realizar las auditoras conforme al programa anual de control y auditora y elaborar los informes de los resultados obtenidos; Vigilar que el manejo y aplicacin de los recursos financieros, humanos y materiales se lleven a cabo de acuerdo con las disposiciones aplicables; Convocar y participar en la aclaracin de las observaciones con los titulares de las Unidades Administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar; e. Participar en los diversos actos de fiscalizacin conforme a las atribuciones de la Contralora Interna; f. Fungir como enlace con la entidad de fiscalizacin superior de la federacin de la Cmara, en la revisin de la Cuenta Pblica; y g. Las dems que se deriven del presente Estatuto y de las normas, disposiciones y acuerdos aplicables.[9] En segunda instancia, de forma particular las funciones de la Subcontralora de Auditora estn plasmadas en el Manual de O an acin General de la Cmara de Dipu ados:G

y Elaborar y verificar el cumplimiento de la aplicacin del Programa Anual de Controly Auditora, autorizado por la Conferencia para la Direccin y Programacin de los Trabajos Legislativos.

y Realizar las auditoras conforme al Programa Anual de Control y Auditora (PACA). y Convocar y participar en la aclaracin de las observaciones con los titulares de lasunidades administrativas auditadas, as como llevar el seguimiento de las observaciones pendientes de solventar.

y Elaborar los informes definitivos de los resultados obtenidos de las auditorasrealizadas.

y Elaborar trimestralmente el avance del PACA. y Elaborar las guas y programas detallados de auditoras, correspondiente al PACA. y Participar en los diversos actos de fiscalizacin conforme a las atribuciones de laContralora Interna.

y Fungir como enlace con la Auditora Superior de la Federacin, cuando a se sinstruya por las instancias correspondientes, en la revisin de la Cuenta Pblica de la Cmara de Diputados.

P Q

H I

R

y Promover la capacitacin de los integrantes de la Subcontralora de Auditora, a finde elevar la calidad, eficiencia y eficacia de su presencia fiscalizadora.

y Elaborar, revisar y actualizar los manuales correspondientes al rea. y Representar a la Contralora Interna conforme a sus atribuciones.Por otra parte, en el Manual de Organizacin de la Con ralora General se reiteran las mismas funciones plasmadas con anterioridad en el Manual de Organizacin General de la Cmara de Diputados.S

MetasLas metas de la Subcontralora de Auditora no se encuentran plasmadas en ningn documento oficial; sin embargo, en el Marco conceptual y desempeo de la Contralora Interna se plasman sus metas, y a la letra dice:

y Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin parasupervisar el funcionamiento de las unidades administrativas y de los Grupos Parlamentarios dentro de su campo de accin.

y Verificar el ejercicio de los recursos pblicos asignados a la Cmara, para que serealice con eficiencia, eficacia y en apego a los ordenamientos legales aplicables, transparencia y racionalidad.

y Fortalecer la mejora continua en la administracin y uso de los recursos pblicos. y Dar transparencia al ejercicio del gasto. y Reforzar la prevencin de irregularidades en el desempeo de los servidorespblicos.

Misi nLa misin de la Subcontralora de Auditora no se encuentra plasmada tampoco en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su misin la siguiente:

ImportanteLa misin de la Subcontralora de Auditora es Dar transparencia a la gestin de las unidades administrativas y de los servidores pblicos de la H. Cmara de Diputados, en el ejercicio del gasto pblico, previniendo la desviacin del mismo.

Visi nLa visin de la Subcontralora de Auditora tampoco se encuentra en ningn documento oficial; pero de igual forma en el Marco conceptual y desempeo de la Contralora Interna se plasma como su visin la siguiente:

ImportanteLa visin de la Subcontralora de Auditora es que la ciudadana tenga confianza y credibilidad en la administracin de la H. Cmara de Diputados.

Debilidades y fortalezasEn cuanto a las debilidades, fortalezas de la Subcontralora de Auditora, derivado del estudio al rea, el cual consisti primero en entrevistas con el personal, y asistir a las instalaciones para analizar el rea entera en lo que se refiere a tecnologas de informacin, recursos informticos, infraestructura y cultura informtica, se encuentran las siguientes:

T

U

Debilidadesy No cuentan con la debida regulacin legal y jurdica actualizada que apoye ysustente sus funciones, ni en las reas administrativas, mucho menos en lo que respecta a las funciones de auditora en informtica.

y No existe un rea ni una persona que desarrolle la funcin de auditora eninformtica.

y En general, el personal de mandos medios, as como operativo, se muestra pocointeresado en el avance de las tecnologas de informacin, as como en la formacin de su personal en este sentido.

y Su personal est capacitado para la utilizacin de equipos de cmputo solo paralas funciones ms bsicas.

y Actualmente la Subcontralora de Auditora no ha realizando nunca una auditoraen informtica al rea de sistemas, mucho menos a las dems reas administrativas ni Grupos Parlamentarios.

y No cuentan con ningn tipo de software que apoye la funcin de auditoracotidiana, mucho menos alguno especializado para la auditora en informtica.

y No aprovechan la infraestructura informtica que les proporciona la Cmara deDiputados (red).

y No cuentan con una planeacin informtica que les permita ir a la vanguardia,mucho menos hacer un planteamiento formal en cuanto a este tema.

y El personal de la Cmara de Diputados muestra en general un grado muy bajo decultura informtica.

y Existe poco equipo de cmputo en el rea y est mal repartido entre el personalauditor y los altos mandos.

y El equipo con que cuentan los auditores, en general no cumple con las necesidadesbsicas de procesamiento para que realicen correctamente su funcin.

y El procedimiento para la adquisicin de tecnologas de informacin dentro de laCmara de Diputados es muy burocrtico, lleva mucho tiempo el suministro de equipos y bienes de cmputo.

y Hay muy poca participacin del personal del rea en los constantes cursos decapacitacin en informtica que se imparten en la Cmara de Diputados.

Fortalezasy En general existe poca rotacin de personal integrante de la Subcontralora deAuditora en general, lo que ayuda a comprometer paulatinamente ms al personal en sus labores cotidianas.

y La red que tiene la Subcontralora de Auditora es la que proporciona la Cmara deDiputados, la cual es de banda ancha y adems puede ser adapta da a las necesidades del rea si sta lo fundamenta adecuadamente, asimismo la compra de equipo y dems tecnologa.

y De ser correctamente fundamentada la necesidad de adquirir un software o equipode cmputo para la Subcontralora de Auditora en las reas dedicadas a este proceso, podrn ser adquiridos.

y Regularmente existe reconocimiento del trabajo de los niveles superiores hacia losinferiores.

y Buena motivacin del personal que labora en la Subcontralora de Auditora.

y Es un campo frtil para la implantacin de nuevas tecnologas de informacin, yaque al no haber un sistema actualmente, no ser necesario ningn proceso de migracin de datos.

y Un planteamiento adecuado y bien pensado de las necesidades presentes y futurasdel rea resolver fcilmente la problemtica que actualmente enfrenta la Subcontralora de Auditora.

RiesgosCuando se habla de riesgo, se entiende como: Los riesgos son condiciones del mundo real en el cual hay una exposicin a la adversidad, conformada por una combinacin de[10] circunstancias del entorno, donde hay posibilidad de perdidas. .

Al asistir a las instalaciones de la Subcontralora de Auditora para analizarla, se revisaron las tecnologas de informacin con las que cuentan a la fecha, de lo cual se determinan los siguientes riesgos:

Tabla 1. . LgicosV

Riesgo Prdida de informacin

Probabilidad Impacto Control Media Alto Alto Medio Bajo No lo hay No lo hay No lo hay No lo hay

Recomendaciones inadecuadas Baja Fuga de informacin Descontrol del personalTabla 1. . FsicosW

Baja Medio

Riesgo Incendio Robo Desastres naturales

Probabilidad Impacto Baja Media Baja Bajo Alta Alta

Control Sistemas contra incendio Controles de acceso, resguardos e inventarios Programas de capacitacin en caso de desastres naturales

ControlesEl personal de la Subcontralora de Auditora no cuenta con un documento formal que establezca sus funciones; sin embargo, cuentan con un documento llamado Marco conceptual y desempeo de la Contralora Interna, que fue se proporcion para este estudio y en el cual se muestran como controles, los siguientes: Preventivo: Una de las prioridades de la Contralora Interna ha sido y es la de fortalecer los sistemas de control interno, a fin de contribuir al ejercicio transparente del gasto y a evitar irregularidades por parte de las diversas reas administrativas, para lo cual se ha venido promoviendo la revisin, actualizacin y complementacin de la normatividad.

En este sentido destaca lo siguiente:

y Expedicin de la Norma de Adquisiciones, Arrendamientos, Obra Pblica yServicios.

y Actualizacin del Manual para los eventos de Entrega-Recepcin. y Actualizacin de los Lineamientos Generales para la Administracin de Recursos. y Manual de Bases y Polticas para la Prestacin de Servicios. y Actualizacin de Manuales de Procedimientos.Otro aspecto al que se le ha dado importancia es a la participacin en los diferentes actos de fiscalizacin relacionados con adquisiciones, tales como licitaciones pblicas, concursos por invitacin restringida, seleccin entre 5 cotizaciones, etc, participando desde la revisin de bases hasta el fallo de los eventos. Esta actividad ha permitido obtener importantes ahorros para la Institucin, adems de hacer ms transparentes los procesos de adquisicin. Se tuvo participacin relevante en los actos de Entrega-Recepcin de los Grupos Parlamentarios, Comisiones y Comits realizados por primera vez, con motivo del cambio de la LVIII a la LIX Legislatura. Como se puede ver, los controles a los que se refiere son puramente administrativos. En cuanto a tecnologas de informacin, actualmente el nico control que se lleva dentro de la Subcontralora de Auditora es como mximo el inventario fsico de los equipos de cmputos, resguardos individuales de los mismos y relacin del software que maneja cada equipo. La Direccin General de Tecnologas de Informacin cuenta con sus propios controles de acceso lgico y sellos de seguridad en cuanto a la seguridad fsica, adems de los ya mencionados resguardos fsicos personales de equipo de cmputo. Adems de eso, no existe control alguno sobre ningn aspecto del mbito informtico, tampoco sobre la capacitacin del personal y actualmente hay total desconocimientos de las mejores prcticas y/o software que pueda auxiliar a los auditores en su desempeo y cumplimiento de funciones.

Tecnologa informtica actual de la Subcontralora de AuditoraLa Subcontralora de Auditora tiene un inventario de equipo limitado y mal repartido, hay personal que necesita mquinas ms adecuadas para su trabajo, algunos incluso podra hacer uso de herramientas informticas que apoyarn su labor, mientras que hay personal con equipos ms completos y modernos que en realidad no utilizan. En los siguientes puntos se detalla su infraestructura, su tecnologa actual en cuanto a hardware y software.

HardwareEn la Subcontralora de Auditora se utiliza la red que proporciona la propia Cmara de Diputados, misma que funciona por medio de un anillo lgico de fibra ptica, sobre la cual corren la mayora de las reas administrativas, rganos tcnicos y buena parte de los Grupos Parlamentarios. Sobre la red que provee el rea de sistemas se habla en el siguiente captulo, por el momento concretamente se menciona la tecnologa con la que cuenta nicamente la Subcontralora de Auditora:

y Tres equipos DELL, Pentium IV. y 7 HP Pentium IV

y 8 HP Pentium III y Tres equipos en desuso modelo 486. y Tres impresoras en red: y 1 DELL blanco y negro y 1 Xerox Phaser 4400 blanco y negro y 1 Laser Jet 400 blanco y negro y 2 HP Laser Jet 5500 a color (Propiedad privada)

SoftwareLos equipos con Pentium IV, tiene instalado Windows XP, con sesin para usuario limitado y office XP con los componentes bsicos. Los equipos de Pentium III para abajo tienen instalado Windows 98 95 y office de la misma versin, con paquetera bsica.

Recursos humanos y capacitaci nLa Subcontralora de Auditora tiene como personal una plantilla de 29 empleados entre los regmenes fiscales de mandos Medios y Superiores, Honorarios Asimilados a Sueldos y Supernumerarios, mismos que a continuacin se enuncian:

y 1 Subcontralor de Auditora, y 1 Auxiliar. y 2 Subdirectores (Director de Auditora Financiera y Director de AuditoraAdministrativa),

y 4 Jefes de Departamento (Dos para cada Direccin), y 17 Auditores (Rotan segn las necesidades de auditora entre las dos reas), y 2 Secretarias, y 1 Choferya se mencion que existe un conflicto entre los nombres de los puestos que se plasman en el Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados y la estructura orgnica de la Subcontralora de Auditora, adicionalmente existen inconsistencias en los tramos de control, entre otras, pero no se ahonda ms en este tema por no ser objeto de este estudio; por otra parte, esta situacin ya est siendo regularizada ante las instancias correspondientes.

NotaComo ya se mencion, uno de los grandes problemas de la Subcontralora de Auditora es la poca capacitacin de persona, aproximadamente el 30% sabe usar con agilidad la paquetera de office, un 40% la usa pero con dificultades, mientras que el 30% tiene conocimientos muy bsicos de computacin.

[6]

Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 1, Inciso c).

X

Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculos del 153 al 158.[8]

[7]

Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Estatuto de la Organizacin Tcnica y Administrativa y del Servicio de

Artculo 158.[9]

Carrera de la Cmara de Diputados, Ttulo Primero.- Disposiciones Generales, Artculo 158.[10]

[bib-solis-2002]

Captulo

. Descripcin del rea de sistemas

Tabla de contenidos

Normatividad actual Recursos informticos existentes del rea de sistemas Hardware. Software Infraestructura informtica Recursos humanos y capacitacin Estructura orgnica Misin Visin Objetivos y metas Funciones y servicios Estrategias Fortalezas y debilidades Riesgos Controles y mecanismos de seguridadUna vez que se conoce al rea de auditora del rgano, es necesario ahora que se conozca su contraparte: la Direccin General de Tecnologas de Informacin; misma que existe dentro de la Cmara de Diputados, para la administracin y control de sus recursos informticos, misma que se estudia en este captulo. Parte importante de este estudio es definir los controles y riesgos del rea de sistemas y darle dimensin

respecto de la auditora; as como las debilidades propias a fin de determinar el objetivo a seguir. Por ello, en este captulo, se hace un estudio de la conformacin actual del rea de sistemas, su normatividad, estructura, misin, visin y funciones. recursos, estrategias y servicios actuales,

Las debilidades y fortalezas dirn cules son los requerimientos del rea de auditora y cules sern sus dimensiones. Sobretodo, recordando que toda falla o caencia de r control genera una situacin de riesgo, stos sern estudiados a fin de conocer su funcionamiento actual y posibles mejoras.

Normatividad actualEn la actualidad la Cmara de Diputados en su rea de sistemas no se rige bajo ninguna norma o certificacin externa nacional o internacional. Tampoco cuentan con ningn tipo de manual de procedimientos u organizacin que les permita realizar sus labores de forma sistemtica y ordenada. De igual forma la falta de metas y objetivos genera desorganizacin y falta de control, mala administracin e inclusive representa un riesgo latente ante las posibles fallas del sistema. Tampoco cuentan con ningn tipo de plan de contingencia en caso de que la red falle, mucho menos con medidas para minimizacin de riesgos por posibles ataques, desastres de ningn tipo, etc. A fin de conocer mejor el rea de sistemas se presenta en la Figura 2.1, Conformacin actual del rea de sistemas su conformacin actual:

Figura 2.1. Conformacin actual del rea de sistemas

Recursos informticos existentes del rea de sistemasHardware.Actualmente el rea de sistemas cuenta con un total de 45 mquinas de escritorio, 20 impresoras conectadas en red y 3 tipos de servidores, aunque dentro del rea se cuentan con algunos otros servidores, los 3 que se describen a continuacin son exclusivos del rea de sistemas:

Tabla 2.1. Equipos de escritorioYa `b aY`Y Y a`Y h

C ntid d M 22Y Y

C Peg fe c d

t sti si

DELL

IV 512 MB Ram 60 GBD.D., Quemador 48 , Pantalla LCD 15"

18 5Tabla

HP

Compaq Pentium III, 128 MB D.D., CD-Rom, Monitor 15 Flopy 3, Tarjeta de red. . Impresorasq r r

5 10 5Tabla

Impresora Dell Impresora HP

Impresora Epson Inyeccin de tinta color. . Servidoresu t

2 1

Servidores Sun 1 servidor de Correo 1 servidor Web Servidor Dell Antivirus (McAfee)

Soft arePara el rea de sistemas todos los equipos incluyendo Pentium III cuentan con Windows XP Professional, Office XP, antivirus McAfee. Todos los equipos cuentan con la paquetera bsica, solo algunos de los equipos Dell cuentan c on Visio 2003, Corel Photoshop. Todo el software tiene licencia, las licencias adquiridas para cualquier software es de tipo corporativa.w

Infraestructura informticaLa infraestructura con la que cuenta tanto el rea de sistemas como toda la Cmara de Diputados incluyendo cada una de sus reas dentro de cada edificio se describe de la siguiente manera: Debajo de toda la infraestructura de los edificios de encuentra una red de anillo lgico de fibra ptica, la cual esta conectada a un servidor central (Web el cual esta tiene ) salida a Internet por medio de un firewall fsico. En cada uno de los edificios en la planta baja se encuentra un switch que a su vez funciona como router, estos son de alta capacidad, cada unos de estos switch/router se conectan a otros switch tambin de alta capacidad que se encuadran en cada piso por cableado UTP categora 6 5, estos ltimos se conectan a un switch ms, que es de una capacidad menor que se encuentra dentro de cada rea de cada edificio por medio de

v

Cantidad

s

Cantidad

arca

Caractersticas Laser a color Inyeccin de tinta color

arca

Caractersticas

q

p

Cantidad

arca

Caractersticas Floppy 3, Tarjeta de fibra ptica, Tarjeta de red Pentium III, 256 MB Ram, 40 GB D.D., CD-Rom, Monitor 15 , Floppy 3, Tarjeta de fibra ptica, Tarjeta de red

cableado UTP categora 6 5, cada uno de estos switch se encarga de distribuir los servicios de red a cada una de las PC dentro del rea. En cada piso se maneja una topologa de bus para la distribucin de servicios.

Recursos humanos y capacitacinEl rea de sistemas cuenta con un total de 60 empleados los cuales estn distribuidos de la siguiente manera:

y 1 Director general de tecnologas de informacin. y 1 Director de sistemas. y 1 Subdirector de servicios. y 1 Subdirector de Internet. y 1 Director de infraestructura. y 1 Subdirector de soporte tcnico. y 1 Subdirector de telemtica. y 1 Subdirector de telecomunicaciones y 1 Jefe de telemtica. y 12 Ingenieros de soporte tcnico. y 10 Ingenieros de comunicaciones. y 5 Ingenieros de desarrollo Web. y 5 Ingenieros de desarrollo de aplicaciones. y 1 Webmaster. y 10 Secretarias. y 5 Ingenieros de sistemas. y 3 Auxiliares.

Estructura orgnicaFigura 2.2. Estructura orgnica de la Direccin General de S.I.

MisinUna misin en el rea de sistemas ayuda a establecer la finalidad o el propsito para la cual fue creada y este debe de ir ligado al objetivo de la organizacin, tambin se deben

de comprender unos o ms objetivos y las tareas que deben de realizarse paraalcanzar dicho objetivo. En la actualidad el rea de sistemas de la Cmara de Diputados no cuenta con una misin que ayude a establecer el propsito para la cual fue creada esta rea, esto representa un riesgo para el rea ya que al no contar con una misi bien establecida n crea confusin en las personas que operan dentro del rea.

Visi nUna visin ayuda al rea de sistemas a proyectarse en el futuro en una situacin deseada, es decir haca donde va o que es lo que quiere lograr. El rea de sistemas de la Cmara de Diputados an no cuenta con una visin establecida.

Objeti os y metasUn objetivo para el rea de sistemas es una situacin deseada que elesta intenta lograr, esta es una imagen que el rea pretende para el futuro. Al alcanzar el objetivo, la imagen deja de ser un ideal y se convierte en real y actual, por lo tanto, el objetivo deja de ser deseado y se busca otro para ser alcanzado. Las funciones de establecer objetivos son las siguientes:y

En la actualidad el rea de sistemas de la H. Cmara de Diputados no cuenta con objetivos ni metas.

Funciones y serviciosEn base a la pltica realizada con el los gerentes de las diferentes subreas que conforman al rea de sistemas, actualmente estas son las funciones que realizan:

x

y Presentacin de una situacin futura: se establecen objeti os que sirven como una vgua para la etapa de ejecucin de las acciones.

y Fuente de legitimidad: los objetivos justifican las actividades del rea. y Sirven como estndares: sirven para evaluar las acciones y la eficacia del rea. y Unidad de medida: para verificar la eficiencia y comparar la productividad delrea.

y Instalacin y configuracin de equipos. y Altas y bajas de usuarios. y Instalacin y configuracin de aplicaciones. y Mantenimiento de equipos de usuarios. y Administracin de las listas de correo. y Copias de seguridad de los datos de los usuarios y recuperacin de los mismos encaso de prdida.

y Instalacin, configuracin y mantenimiento de servicios como correo electrnico. y Desarrollo de nuevas aplicaciones que permitan el mejor uso de los equipos. y Administrar y mantener la disponibilidad y funcionamiento de los servidores(hardware y software).

y Elaborar proyectos e informes para la implementacin de software y hardware, yanalizar y proponer nuevos programas y equipamientos.

y Mantener y controlar las licencias de software adquiridas por el Organismo. y Intervenir en proyectos especiales en los cuales resulte necesaria la asistenciainformtica.

y Coordinar la capacitacin del personal de la Cmara de Diputados en materiainformtica, en el uso de los programas, manejo de Intranet e Internet.

y Asegurar la disponibilidad de las comunicaciones. y Mejorar la funcionalidad del software asociado a las comunicaciones e incorporarlenovedades.

EstrategiasUna estrategia es un plan que integra las principales metas u objetivos y polticas de una organizacin y a la vez, establece una secuencia coherente de las acciones a realizar. Una estrategia puede ayudar a un rea de sistemas a poner orden y asignar recursos con el fin de lograr una situacin viable y estable, as como a anticiparse a los posibles cambios en el entorno. En base a las platicas sostenidas con los gerentes de la subreas de sistemas y debido a que en los puntos anteriores ya se defini que el rea de sistemas no cuenta con polticas ni objetivos establecidos a su vez esta tampoco cuenta con estratgicas.

Fortalezas y debilidadesDe las visitas que se hicieron al rea de la Direccin General de Tecnologas de Informacin, se detectaron las fortalezas y debilidades ms importantes dentro del rea de sistemas de la Cmara de Diputados, mismas que se muestran a continuacin:

Fortalezas Capacidad del personal de trabajo Infraestructura de punta Motivacin haca el personal de trabajo por parte de los Jefes Ganas de crecer Debilidades Riesgo Impacto

Poco crecimiento del rea de sistemas, poca Bajo presupuesto dirigido al implantacin de sistemas que impulsen al rea a ser ALTO rea un rea de servicios y a establecer controles para una mejor administracin de la informacin Mala distribucin de personal No se pueden aprovechar al 100% las capacidades MEDIO del personal

Poco tiempo de creacin (3 No se le da la importancia necesaria pensando que BAJO

Fortalezas aos) No hay procesos Mala rotacin de personal es un rea sin experiencia Las actividades no se realizan de acuerdo a ALTO estandares El personal realiza actividades que no conoce MEDIO

Poca comunicacin con los Los usuarios no ven resultados por parte del rea de MEDIO usuarios finales sistemas como un rea de servicios Los sud-departamentos trabajan en conjunto no Mala administracin de las tecnologas, mala ALTO identificacin de problemas

Pocas posibilidades de No se pueden aprovechar al 100% las capacidades crecimiento personal MEDIO del personal (influyentismo). No cuentan con las herramientas (software) No pueden anticiparse a los posibles problemas, ALTO necesarias para la buena perdida de informacin, cada de sistemas. administracin del rea.

RiesgosEl rea de Tecnologas de Informacin fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Tcnico, quien permiti dar un recorrido a las instalaciones, asimismo, proporcion la normatividad autorizada con la que se cuenta, se realiz un anlisis del rea y basndonos en la experiencia de trabajo en diferentes reas de TI en la actualidad en el rea de sistemas de la H. Cmara de Diputados se detectaron los siguientes riesgos:

Tabla

. . Lgicos

Cada de la red Cada de servicios de produccin

Extraccin, modificacin y destruccin de informacin Baja confidencial Uso inadecuado de las instalaciones Ataques de virus informticos Fuga de informacin Alta Alta Media

Riesgo

Probabilidad Impacto Media Media Alto Bajo Alto Media Alto Alto

Riesgo Inadecuados controles de acceso lgicos Prdida de informacin Falta de disponibilidad de aplicaciones crticas Descontrol del personal

Probabilidad Impacto Baja Baja Baja Medio Alto Medio Alto Bajo

Tabla

.5. Fsicos

Riesgo Vulnerabilidad Incendio Robo Desastres naturales

Probabilidad Impacto Bajo Alto Bajo Alto Alto Media Baja Media Baja

Inadecuados controles de acceso fsico Alta

Teniendo en cuenta que una de las principales causas de los problemas dentro del rea de sistemas, es la inadecuada administracin de riesgos informticos, se debe hacer una buena administracin de riesgos, basndose en los siguientes aspectos:

y y y y y

La evaluacin de los riesgos inherentes a los procesos informticos. La evaluacin de las amenazas causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignacin de responsables a los procesos informticos. La evaluacin de los elementos del anlisis de riesgos.

Controles y mecanismos de seguridadLos controles en un rea de TI permiten monitorear acciones y tomar medidas para hacer correcciones inmediatas o preventivas para evitar eventos indeseables en el futuro. Existen diferentes tipos de controles que se deben establecer en un rea de sistemas en donde hasta el momento en el rea de sistemas de la H. Cmara de Diputados solo cuenta con los que a continuacin se mencionan y los cuales aun no estn totalmente maduros. Los controles con los que cuenta el rea de sistemas son los siguientes:

y Controles de acceso fsico a las instalaciones y Controles de acceso lgico a las computadoras de todas las reas (por medio dedirectorio activo)

y Definicin de roles para equipos de computo todas las reas y Uso de firewall fsico y Polticas de seguridad para el uso de equipos de cmputo (actualmente es unproyecto de Manual que an no est autorizado oficialmente, pero ya est en uso en la prctica), entre las ms importantes est la prohibicin del uso de programas no autorizados o software pirata, polticas de segu ridad en el rea de sistemas y reas administrativas y parlamentarias.

. Legislacin informtica, mejores Captulo prcticas y tcnicas de auditora informticaTabla de contenidos

Legislacin informtica Institute of SystemAudit and Association, ISACA Instituto Mexicano de Auditores Internos, IMAI Institute of Internal Auditors, IIA Certified Internal Auditor, CIA Mejores prcticas de la auditora en informtica Aseguramiento de la informacin Aseguramiento de la calidad de la informacin Control Objectives for Information and related Technology, COBIT Information Technology Infraestructure Library, ITIL BS 7799 e ISO 17799 British Standard BS 15000 Committee of Sponsoring Organizations, COSO Metodologa de anlisis y gestin de riesgos de los sistemas de informacin, MAGERIT Sarbanes-Oxley, SOX Normas, tcnicas y procedimientos de auditora en informtica. Normas. Tcnicas. Procedimientos. Anlisis de datos. Monitoreo. Anlisis de bitcoras. Tcnicas de auditora asistida por computadora

Evaluacin del control interno. Benchmarking Computer Assisted Audit Techniques CAAT Tcnicas para analizar programas Planificacin de CAAT Utilizar CAAT (realizacin de auditora) Documentacin de CAAT (worksheets) Informe/reporte descripcin de los CAAT Tipos de herramientas CAAT

Legislacin informticaEn este punto se describen la regulacin de las mejores prcticas de Auditora en Informtica como administrar los riesgos en tecnologa Informtica, la auditora en el sector pblico en base a los organismos nacionales e internacionales.

Institute of System Audit and Association, ISACALa InformationSystemsAudit and Control Association Asociacin de Auditora y Control de Sistemas de Informacin ISACA, comenz en 1967. En 1969, el grupo se formaliz, incorporndose bajo el nombre de EDP AuditorsAssociation Asociacin de Auditores de Procesamiento Electrnico de Datos. En 1976 la asociacin form una fundacin de educacin para llevar a cabo proyectos de investigaci de gran escala para expandir n los conocimientos y el valor del campo de gobernacin y control de TI. Actualmente, los miembros de ISACA ms de 28.000 en todo el mundo se caracterizan por su diversidad ya que estn presentes en ms de 100 pases y cubre n una variedad de puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Informacin y Auditores Internos, por mencionar slo algunos. En las tres dcadas transcurridas desde su creacin, ISACA se ha convertido en una organizacin global que establece las pautas para los profesionales de gobernacin, control, seguridad y auditora de informacin. Su certificacin CertifiedInformationSystems Auditor Auditor Certificado de Sistemas de Informacin CISA, es reconocida en forma global y ha sido obtenida por ms de 30.000 profesionales. Su nueva certificacin CertifiedInformation Security Manager Gerente Certificado de Seguridad de Informacin CISM, se concentra exclusivamente en el sector de gerencia de seguridad de la informacin. Publica un peridico tcnico lder en el campo de control de la informacin, el InformationSystems Control Journal Peridico de Control de Sistemas de Informacin. [11] Organiza una serie de conferencias internacionales que se concentran en tpicos tcnicos y administrativos pertinentes a las profesiones de gobernacin de TI y aseguracin, control, seguridad de SI. Juntos, ISACA y su ITGovernanceInstitute Instituto de Gobernacin de TI asociado lideran la comunidad de control de tecnologa

de la informacin y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente Las empresas pblicas y privadas estn valorando cada da ms la creciente importancia que representa mantener sistemas informticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.

CertifiedInformation Security Auditor, CISALa Asociacin de Auditora y Control de Sistemas de Informacin (ISACA) provee una Certificacin en Auditor en Sistemas de Informacin (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la funcin de Auditora en TI, para lo cual presenta un Manual de Informacin Tcnica para la preparacin de los candidatos. La certificacin de CISA (CertifiedInformationSystems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos tericos y prcticos necesarios para desempearse como Auditor de Sistemas siguiendo los estndares y directrices definidos para una mejor preparacin. La designacin de CISA, se considera hoy en da, una ventaja competitiva y resulta de beneficio no solo para las organizaciones que deben cumplir con requerimientos de certificacin profesional de sus colaboradores, sino para las personas que buscan un desarrollo profesional y la obtencin de certificaciones que ofrecen oportunidades a nivel internacional.

CertifiedInformation Security Manager, CISMTambin ISACA provee la Certificacin para la Administracin de la Seguridad de la Informacin del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organizacin. La certificacin CISM est diseada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administracin y consultora de seguridad. Esta orientada a profesionales que administran la seguridad de la informacin en una organizacin y tienen el conocimiento y la experiencia para montar, implementar y dirigir una estructura de seguridad para administrar el riesgo con eficacia y tienen la responsabilidad de entender la relacin entre las necesidades comerciales y la seguridad de TI. Para obtener esta certificacin, los profesionales deben aprobar el examen, adherirse a un cdigo tico y presentar pruebas verificadas de que tienen una experiencia lab oral de cinco aos en seguridad de la informacin. Segn la ISACA, menciona los principales objetivos de esta certificacin como a continuacin se mencionan:

y Desarrollar modelos de riesgos que midan mejor los riesgos de seguridad y lospotenciales impactos sobre el negocio.

y Aumentar la calidad de la gestin ejecutiva de las nuevas amenazas y las yaexistentes, a travs de la convergencia entre la organizacin y las medidas de seguridad

y Impulsar la unificacin del enlace entre la seguridad de las organizaciones y losorganismos gubernamentales y legislativos, informndoles de las mejores prcticas en seguridad.

y Continuar definiendo la cualificacin, certificacin y formacin de los Directores deSeguridad -Chief Security Officer (CISO)- y otros puestos. (CSO)/ChiefInformation Security Officer

Instituto Mexicano de Auditores Internos, IMAIEl Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, est dedicado a la capacitacin e investigacin en de Auditora Interna y Control . A travs del IMAI los profesionales de la auditora interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector pblico como privado y social. De acuerdo al IMAI su misin es promover el mejoramiento constante de la Prctica Profesional de la Auditora Interna, para fortalecer el prestigio de esta profesin y de quienes la practican. El objetivo principal del Instituto es la superacin profesional de sus miembros, mediante lo siguiente: El mejoramiento de la prctica Profesional de la Auditora Interna. Desarrollar y mantener la unin y cooperacin efectiva entre los profesionales de la Auditora Interna. Promover la difusin de las normas de actuacin profesional a travs de las cuales los auditores internos puedan medir y regular su propio desempeo y las organizaciones puedan esperar servicios de calidad. Establecer y mantener el prestigio de la Auditora Interna a travs de la inv estigacin y la divulgacin de conocimientos tcnicos de enfoques conceptuales relativos al ejercicio profesional de esta disciplina y materias afines. Establecer y mantener vnculos con otros organismos profesionales o docentes y entidades pblicas o privadas, para identificacin y desarrollo de aspectos que permitan elevar la calidad de la prctica de la Auditora Interna y el Control en general, dentro de las organizaciones.

Institute of InternalAuditors, IIAEl Institute of InternalAuditors (IIA) organizacin profesional con sede en Estados Unidos, con ms de 70.000 miembros en todo el mundo y 60 aos de existencia anualmente organiza su Conferencia Internacional, la que habitualmente congrega a ms de un millar de auditores de todos los continentes. EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el lder en la certificacin, la investigacin y la gua tecnolgica en la profesin de la audtora interna. El desarrollo de los Estndares de la Prctica Profesional de Auditora Interna, as como las Certificaciones de Auditor Interno (CIA), de Auto evaluacin de Control (CCSA) y de Auditor Interno Gubernamental (CGAP), y su participacin en el diseo del Enfoque COSO son slo algunos de los hitos que han transformado al IIA en la entidad internacional seera en la profesin. Establecen el IIA como el recurso de conocimiento primario sobre las mejores prcticas y publicaciones(cuestiones) que afectan la profesin interna de auditora. Encuentran

las necesidades de desarrollo de profesional que se desarrollan de mdicos internos de auditora.[12]

CertifiedInternal Auditor, CIAEl IIA cuenta con su propia Certificacin de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios. Contar con profesionales certificados en auditora interna, para la organizacin significa contar con un valioso recurso para la direccin y el consej de administracin, que o ayuda a garantizar el avance en la direccin correcta para el logro de sus metas y objetivos. La certificacin como auditor interno la otorga el Institute of InternalAuditors que es una asociacin internacional de profesionales esp ecialistas en auditora interna, administracin de riesgos, gobierno corporativo. control interno, auditora a tecnologa de informacin, educacin y seguridad[13]. La Certificacin CIA (CertifiedInternal Auditor) cumpli 30 aos como un reconocimiento mundial que demuestra la capacidad profesional, el dominio de los estndares y de las normas internacionales de la prctica de auditora interna, el manejo de los principios y controles de la tecnologa de informacin, y las estrategias emergentes para mejorar a la organizacin y a su gobierno corporativo. Para obtener la certificacin CIA adems de los requisitos educacionales y de experiencia sino el apego al Cdigo de tica, y el desarrollo profesional con tinuo. Los rigurosos requerimientos de este programa, aseguran que los auditores internos que logran la certificacin, estn armados con herramientas invaluables que pueden ser aplicadas globalmente en cualquier organizacin o industria.[14] Para mantener la certificacin CIA se requiere que los CIA mantengan y actualicen sus habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos aos, 80 horas de educacin profesional continua.

[11] [12]

[bib-isaca-mx]

http://www.theiia.org/ http://www.theiia.org/index.cfm?doc_id=5119http://www.facpece.org.ar/boletines/37/ 60a-confederacion.htm.[13] [14]

http://www.isaca.com.mx/ http://www.theiia.org/index.cfm?doc_id=56

Mejores prcticas de la auditora en informticaLas mejores prcticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones mtodos utilizados para estandariz procesos y administrar de una ar mejor manera los entornos de TI.

Las empresas que deseen utilizar un enfoque basado en mejores prcticas para la estandarizacin de estas directrices, tienen como opcin varias metodologas que sern descritas a lo largo de este captulo. A continuacin se presenta un marco en el que se pueden encerrar las mejores [15] prcticas de la auditora, dado que todas responden al siguiente esquema :

IdentificacinBuscan definir las necesidades de la organizacin que deben ser identificadas respecto de la auditora, as como las debilidades propias, a fin de determinar el objetivo a seguir.

Administracin de calidad totalIncorporan conceptos de calidad total aplicada a la auditora sobre la base de la mejora continua, con el pertinente concepto de medicin y evaluacin de resultados.

ComunicacinBuscan establecer un proceso de comunicacin interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas.

TecnologaRecomiendan emplear recursos de tecnologa informtica al proceso de auditoras privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.

Interrelacin externaProponen mantener estrechas relaciones profesionales con otras gerencias de auditora a fin de intercambiar estrategias, criterios y resultados.

Agente de cambioProporcionan las bases para posicionar a la Auditora como un agente de cambio en la organizacin a fin de implementar la auto evaluacin del control.

Reingeniera de auditoraProponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluacin del control.

Aseguramiento de la informaci nEl aseguramiento de la informacin es la base sobre la que se construye la toma de decisiones de una organizacin. Sin aseguramiento, las empresas no tienen certidumbre de que la informacin sobre la que sustentan sus decisiones es confiable, segura y est disponible cuando se le necesita. Definimos Aseguramiento de la Informacin como la utilizacin de informacin y de diferentes actividades operativas, con el fin de proteger la informacin, los sistemas de informacin y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticacin y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a travs de comunicaciones e Internet[16]. Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuacin se describe brevemente las ms importantes.

Aseguramiento de los DatosReferente la informacin histrica o prospectiva, probabilstica e indicadores de desempeo.

Aseguramiento de los ProcesosBasado principalmente en controles internos y procedimientos establecidos para la proteccin de intereses.

Aseguramiento del ComportamientoConformidad con normas, regulaciones o mejores prcticas.

Aseguramiento del Sistema de GestinEn la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados.

Aseguramiento de la calidad de la informaci nLa administracin del aseguramiento de la calidad valida que los sistemas de informacin producidos por la funcin de sistemas de informacin logren las metas de calidad y que el desarrollo, implementacin, operacin, y mantenimiento de los sistemas de informacin, cumplan con un conjunto de normas de calidad[17]. En la actualidad es ms comn ver que los usuarios se estn haciendo ms exigentes en trminos de la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de la calidad ha tomado mayor importancia en muchas organizaciones. Las organizaciones se estn comprometiendo en proyectos de sistemas de informacin que tienen requerimientos de calidad ms estrictos y se preocupan cada vez ms sobre sus responsabilidades legales al producir y vender software defectuoso. Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de produccin, implementacin, operacin y mantenimiento del software.

Control Objectives for Information and related Technology, COBIT[18] de TI que ha cambiado la COBIT, lanzado en 1996, es una herramienta de gobierno

forma en que trabajan los profesionales de TI. De acuerdo a ISACA, COBIT es: Una herramienta que permite evaluar la calidad del soporte de TI actual de la organizacin, vinculando los distintos procesos del negocio con los recursos informticos que los sustentan. COBIT establece un diagnstico que permite definir las metas desde el punto de vista de seguridad y control que le sern de utilidad para la organizacin para cada uno de sus procesos, pudiendo entonces establecer un plan de accin para lograr estas mejoras, y posteriormente identificar los lineamientos para sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas. La manera en que COBIT provee este marco para el control y la gobernabilidad de TI se puede presentar en forma sinttica a partir de sus principales caractersticas, que a continuacin sern descritas.

Estructura de CUBOLa estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las caractersticas que debe reunir la informacin para ser considerada adecuada a las necesidades de la organizacin. Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificacin estratgica, fundamentalmente a travs de promover las funciones ligadas a la gobernabilidad de TI, la cual es bsica para asegurar el logro de las metas de la organizacin. Esta estructura permite vincular las expectativas de la Direccin con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueos de los procesos.

DominiosPermite agrupar los objetivos de control de COBIT en distintas reas de actividad de la organizacin. Los cuatro dominios principales son:

y Planificacin y organizacin, y Adquisicin e implantacin, y Soporte y servicios, y y Monitoreo.Como su nombre indica, cada uno de estos dominios estn enfocados a os diferentes l niveles y departamento que pueden existir en una organizacin.

Modelo de madurez (MaturityModel)Ofrece las bases para el entendimiento y la evaluacin de las condiciones actuales de seguridad y control de los procesos del ambiente de TI de u na organizacin. Este modelo provee las bases para la evaluacin de las principales funciones del rea de TI, a travs de la consideracin de cada uno de sus procesos clave, a los cuales se les asignar un valor de cero a cinco, segn las definiciones sigu ientes:

InexistenteAusencia total de cualquier proceso o control reconocible.

1. InicialExiste evidencia de que la organizacin ha reconocido la necesidad de mejorar los procesos o controles.

2. RepetibleSe han desarrollado procesos donde se siguen p rocedimientos similares por diferentes personas para la misma tarea.

3. DefinidoLos procedimientos han sido estandarizados y documentados y son comunicados a travs de la capacitacin.

4. Gestionado o administradoEs posible monitorear y medir el cumplimiento de los procedimientos y tomar acciones cuando los procesos no estn funcionando efectivamente.

5. OptimizadoLos procesos han sido redefinidos al nivel de las mejores prcticas, basados en los resultados de mejoras continuas y el modelo de madurez con otras organizaciones.

InformationTechnologyInfraestructure Library, ITILITIL es un conjunto de las mejores prcticas para la gestin de servicios de TI que ha evolucionado desde 1989, comenz como un conjunto de procesos que utilizaba el gobierno del Reino Unido para mejorar la gestin de los servicios de TI y ha sido adoptado por la industria, como base de una gestin satisfactoria de los servicios de TI[19]. ITIL describe las mejores prcticas que se pueden utilizar y mejor se adecuan a una organizacin, incluye cinco disciplinas que proporcionan las empresas flexibilidad y estabilidad para ofrecer servicios de TI[20] , estas son:

y Gestin de incidencias, y Gestin de problemas, y Gestin de cambios, y Gestin de versiones, y y Gestin de configuracin.Incluye tambin cinco disciplinas que soportan los servicios TI de calidad y bajo costo de las empresas 6, estas son:

y Gestin del nivel de servicio, y Gestin de la disponibilidad, y Gestin de la capacidad, y Gestin financiera para servicios TI, y y Gestin de la continuidad de los servicios TI.El objetivo de ITIL en todas sus disciplinas es la definicin de las mejores prcticas para los procesos y responsabilidades que hay que establecer para gestionar de forma eficaz los servicios de TI de la organizacin, y cumplir as los objetivos empresariales en cuanto a la distribucin de servicios y la generacin de beneficios.

BS 7799 e ISO 17799En 1995 el British Standard Institute (BSI) publica la norma BS 7799, un cdigo de buenas prcticas para la gestin de la seguridad de la informacin. En 1998 tambin el BSI publica la norma BS 7799-2 con especificaciones para los sistemas de gestin de la seguridad de la informacin. Tras una revisin de ambas partes de BS 7799, la primera es adoptada como norma ISO en el ao 2000 y denominada ISO/IEC 17799. Actualmente las empresas deben asegurar que sus recursos y la propiedad intelectual estn protegidos y que los clientes se sientan seguros de realizar negocios. De acuerdo al BSI[21]: BS CIA 7799 es una gua de auditora del Sistema de Gestin de Seguridad de la Informacin (ISMS) basada en los requisitos que deben ser cubiertos por la organizacin. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse a esta norma.

ISO 17799 define la seguridad de la informacin como la preservacin de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que define las mejores prcticas para gestin de la seguridad de la informacin, consta de las siguientes partes: Define un conjunto de objetivos principales e identifica un conjunto de contr les de o seguridad, que son medidas que se pueden adoptar para cumplir los objetivos de la norma. Especifica los controles de seguridad que se pueden utilizar, basndose en los resultados de una evaluacin de gestin de riesgos, como base para una certifica cin formal d una empresa TI bajo la norma BS 7799. ISO 17799 establece la base comn para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. Dominios:

y Poltica de seguridad, y Aspectos organizativos para la seguridad, y Clasificacin y control de activos, y Seguridad ligada al personal, y Seguridad fsica y del entorno, y Gestin de comunicaciones y de operaciones, y Control de accesos, y Desarrollo y mantenimiento de sistemas, y Gestin de continuidad del negocio, y y Conformidad.

British Standard BS 15000El estndar fue creado por el Grupo de Gestin de Servicio de BSI, este grupo est conformado por expertos de la industria que representan distintas or anizaciones e g industrias, todos ellos con prcticas de excelencia en la Gestin de Servicio. En la dcada de 1980 se inici su estudio con la publicacin de un cdigo de prcticas que cubra cuatro procesos centrales. En 1998 se sustituy con los 13 proce sos de la figura anterior, as la primer edicin como estndar se public en el ao 2000. Al mismo tiempo tambin se public el libro IT Service Management (PD 0015), este libro de trabajo es utilizado para la revisin de la calidad del proceso de servicio.[22] Es el primer estndar mundial para la gestin de servicios de TI. Se dirige tanto a proveedores de la gestin de servicios, as como a empresas que subcontratan o gestionan sus propios requisitos. BS 15000 especifica un conjunto de procesos de gestin interrelacionados basados en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditora del servicio gestionado. En esencia, la norma BS 15000 contiene conceptos cuidadosamente concebidos que definen y demarcan los elementos que una organizacin debe tener en cuenta para estructurar y soportar los Servicios de IT a sus clientes, ya sean internos o externos. El estndar BS 15000 consiste de 2 partes[23]:

La Parte 1 son las especificaciones del sistema de gestin, y contiene alrededor de 14 pginas de requisitos normativos. Est estructurado de acuerdo a las reglas para especificaciones fijadas por el BSI. En general BS 15000 define lo que requiere hacer y cumplir una organizacin para alcanzar su certificacin respecto al estndar. Cubre el cumplimiento de requisitos para:

y El Sistema de Gestin (Management Systems), y El Planeamiento del servicio (ServicePlanning), y Las Relaciones entre procesos (ProcessReationships), y La Estructuracin del Servicio (DeliveryService), y El Control, y y La Liberacin de Servicios (Release).La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle sobre cada requisito, ofreciendo direccin y gua al Proveedor del Servicio que desee alcanzar el estndar. Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminologa. Provee gua y direccin practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debera ser realizado, y que debera monitorearse para lograr una efectividad real del proceso en la prctica. Su estructura y vocabulario est cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias.

Committee of SponsoringOrganizations, COSOEl informe es un manual de control interno que publica el Instituto de Auditores Internos de Espaa en colaboracin con la empresa de auditora Coopers&Lybrand. En control interno lo ltimo que ha habido es el informe COSO (SponsoringOrganizations of theTreadwayCommission), es denominado as, porque se trata de un trabajo que encomend el Instituto Americano de Contadores Pblicos, la Asociacin Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta pases, el Instituto de Administracin y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administracin de las empresas privadas en Espaa y en los pases de habla hispana.[24] Normalmente en organizaciones medianas o grandes el implantar o monitorear un sistema de control interno sano se enfrentan a todo un desafo. COSO [25] es una herramienta que puede asistirlo en la evaluacin, auditora, documentacin, mejora y seguimiento del sistema de control interno. COSO permite facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de las organizaciones preocupadas por mejorar sus resultados. Esta herramienta permite construir o mejorar en sistema de control interno (total o parcial por ejemplo solo acotado al objetivo informacin contable) y de este modo recibir con tranquilidad la evaluacin de los auditores externos que podrn as efectuar su tarea de atestiguamiento en forma ms rpida y eficaz. Segn el informe COSO, los componentes que se interrelacionan para alcanzar los objetivos son los siguientes[26].

Ambiente de controlElemento que proporciona disciplina y estructura, el ambiente de control se denomina en funcin de la integridad y competencia del personal de una organizacin; los valores ticos son un elemento esencial que afectan otros elementos del control

Evaluacin de riesgosEs la identificacin y anlisis de os riesgos que se relacionan con el logro de los objetivos; la administracin debe cuantificar la magnitud, proyectar su probabilidad y sus posibles consecuencias: En la dinmica actual de los negocios se debe prestar atencin a diversos factores, entre ellos los avances tecnolgicos.

Actividades de controlOcurren a lo largo de la Organizacin en todos los niveles y en todas las funciones, incluyendo los procesos de aprobacin, autorizacin, conciliaciones, etc. Las actividades de control se clasifican en:

y Controles preventivos, y Controles detectivos, y Controles correctivos, y Controles manuales y de usuarios, y Controles de cmputo o de tecnologa de informacin, y y Controles administrativos.

Monitoreo y aprendizajeLos controles internos deben ser monitoreados constantemente para asegurar que el proceso se encuentra operando como se plane y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen. Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio a travs de evaluaciones separadas de la operacin, es decir, mediante la auditora interna o externa.

Informacin y comunicacinSe debe generar informacin relevante y comunicarla oportunamente de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.

Metodologa de anlisis y gesti n de riesgos de los sistemas de informaci n, MAGERITMAGERIT [27] es una metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las administraciones pblicas, emitida en el ao 1997 por el Consejo Superior de Informtica[28] y recoge las recomendaciones de las directivas de la Unin Europea en materia de seguridad de sistemas de informacin. Esta metodologa presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de informacin y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberan adoptarse para con ocer, prevenir, evaluar y controlar los riesgos investigados. MAGERIT desarrolla el concepto de control de riesgos en las guas de procedimientos, tcnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales. MAGERIT persigue los siguientes objetivos:

y Concienciar a los responsables de los sistemas de informacin de la existencia deriesgos y de la necesidad de atenderlos a tiempo,

y Ofrecer un mtodo sistemtico para analizar tales riesgos, y Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgosbajo control, y

y Apoyar la preparacin a la organizacin para procesos de evaluacin, auditora,certificacin o acreditacin, segn corresponda en cada caso. Asimismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos: modelo de valor, mapa de riesgos, evaluacin de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.

Sarbanes-Oxley, SOXActualmente las organizaciones estn expuestas a ataques que propicien la prdida de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos. La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002, fue preparada a partir de los escndalos financieros de los ltimos aos y establece una serie de nuevos requisitos tanto para las empresas estadounidenses como para las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno corporativo. Estos requerimientos deberan estar cumplidos a partir del 15 de diciembre de 2003, pero la Comisin de Valores de Estados Unidos (Security Exchange Commision,SEC) ya dio, el pasado mes de mayo, una prrroga para las empresas extrajeras de dos aos, no ms all del 31 de julio de 2005. Para las empresas estadounidenses la prrroga es de slo un ao, no ms all del 31 de octubre de 2004.[29] La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa. Esta ley estadounidense contempla una revisin mucho ms rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos[30]. Sin embargo, el control interno es un proceso efectuado por los niveles directivos y gerenciales, diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de sus reas, teniendo como principales objetivos:

y Efectividad y eficiencia de las operaciones, y Confiabilidad de la informacin financiera, y Cumplimiento de las normas y leyes que sean aplicables, y y Salvaguardia de los recursos.Esta ley lleva mucho ms lejos las disposiciones sobre la obligacin de la gerencia de asegurar adecuados controles internos por lo que cuenta con una seccin de normas y reglas que dispone que los auditores deben inc luir lo siguiente:

y El alcance de las pruebas del auditor de la estructura de control interno, y Los hallazgos del auditor con respectos a dicha pruebas, y y Una evaluacin sobre dicha estructura de control.

Dentro de esta ley existen 3 secciones que involucran directamente al departamento de TI y que son la 302, 404 y 409, cuyo contenido se explica brevemente a continuacin[31]. La clusula 302. Habla de la obligacin de generar reportes donde muestren el resultado financiero de la empresa[32] y que este debe de estar avaluado en cuanto a su integridad. La clusula 404 nos dice que deben existir procedimientos[33] y polticas aseguren la integridad de la informacin as como la disponibilidad de ella. Por ltimo la clusula 409 indica que toda organizacin debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo[35] y esto afecte de manera seria a las ventas[36] de la organizacin.[34]

que

[15] [16] [17] [18] [19] [20] [21]

[bib-ti-complejos] [bib-guia-17799] [bib-guia-17799] http://www.monografias.com/trabajos4/derpub/derpub.shtml [bib-sun-itil] [bib-conceptos-itil] Gestin de la seguridad de la informacin ISO 17799- S2 Grupo http://www.nhmadrid.com/itil_bs15000.htm MiguelDaz S.: Ingeniero de Sistemas. / Socio consultor de AUDISIS / Lder de http://www.info.ccss.sa.cr Instituto de Auditores Internos de Espaa 1985 V Reunin de Auditores Internos de Banca Central Exposicin de Banco de Mxico Ministerio de Administraciones Pblicas, Madrid, 16 de junio de 2005 http://www.csi.map.es/csi [bib-rusbacki-2004] http://www.datasec.com.uy/ oxely-coso.pdf [bib-novell-sarbanes-oxley] http://www.monografias.com/trabajos11/empre/empre.shtml http://www.monografias.com/trabajos13/mapro/mapro.shtml http://www.monografias.com/trabajos10/poli/poli.shtml http://www.monografias.com/trabajos6/meti/meti.shtml http://www.monografias.com/trabajos12/evintven/evintven.shtm

AntonioVillaln Huerta[22] [23]

proyectos de adopcin de ITL en Argentina y Venezuela[24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36]

Normas, tcnicas y procedimientos de auditora en informtica.El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos de auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la auditora en informtica. Es fundamental mencionar que para el auditor en informtica conocer los productos de software que han sido creados para apoyar su funcin aparte de los componentes de la propia computadora resulta esencial, esto por razones econm icas y para facilitar el manejo de la informacin. El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos especializados que vienen a formar el cuerpo tcnico de su actividad. El auditor adquiere responsabilidades, no solamen con la persona que directamente contratan te sus servicios, sino con un nmero de personas desconocidas para l que van a utilizar el resultado de su trabajo como base para tomar decisiones. La auditora no es una actividad meramente mecnica, que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo son de de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos[37].

Normas.Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como resultado de este trabajo. Las normas de auditora se clasifican en: a. b. c. Normas personales. Normas de ejecucin del trabajo. Normas de informacin.

Normas personalesson cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias.

Normas de ejecucin del trabajoson la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora.

Normas de informacinson el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen.

Tcnicas.Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias.

Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin. Las tcnicas procedimientos estn estrechamente relacionados, si las tcni as no son c elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor. Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de documentos y por examen fsico. Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente manera:

y Estudio General y Anlisis y Inspeccin y Confirmacin y Investigacin y Declaracin y Certificacin y Observacin y Clculo

Procedimientos.Al conjunto de tcnicas de investigacin aplicables a un g rupo de hechos o circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditor y al a, conjunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea. En General los procedimientos de auditora permiten: