Vol. (6) 1: pp.

99-102

AUDITORA A LAGESTIN DE LAS

TECNOLOGAS Y SISTEMAS DE
INFORMACIN

(1)

Guadalupe Ramrez R.
(2)
EzzardlvarezD.

INTRODUCCIN
RESUMEN
El artculo plantea utilizar la
Auditoria Informtica como una
herramienta que gestione el uso
adecuado de la tecnologa de
informacin, apoyado en la
aplicacin de la normativa legal y
en estndares informticos
internacionales. En la
metodologa se han considerado
dos aspectos bsicos: La
identificacin de reas de riesgo
y la identificacin de reas de
control.
Palabras Claves: Auditoria
informtica. Riesgos informticos.
Tecnologa de la informacin.

ABSTRACT
This article outlines the use of
computing audit as a tool to exert
a suitable use of information
thechnology, supported by
applying legal regulations as well
as international computing
standards. In methodology, two
basic features have been
considered: both risk areas and
control areas identification.
Key Words: Computing audit.
Computing risks. Information
technology.

Una de las principales preocupaciones de las Entidades Pblicas que han realizado ingentes esfuerzos
en la implementacin de tecnologas de informacin, es que probablemente no ven que las inversiones
que han realizado den soluciones inmediatas, tangibles y medibles; y all donde se vea una oportunidad
de mejora, realmente estn creando un problema difcil de administrar, controlar y caro de mantener.
La Auditora Informtica se constituye en una herramienta que gestiona la tecnologa de la informacin
en las entidades, a travs de auditoras internas y externas.
El presente trabajo propone una metodologa de auditora informtica con la finalidad de medir los
riesgos y evaluar los controles en el uso de las tecnologas de informacin, haciendo uso de tcnicas
y estrategias de anlisis, que permitan que la auditora informtica se convierta en una real y eficiente
herramienta de gestin de tecnologas de informacin, a disposicin de las Entidades Pblicas.

COMPENDIO DE NORMATIVIDAD SOBRE EL USO DE TECNOLOGAS DE

INFORMACIN EN EL PER
El Instituto Nacional de Estadstica e Informtica del Per ha publicado su obra titulada "Compendio
de Normatividad sobre el uso de Tecnologas de Informacin en el Per", la misma que compila la
legislacin establecida por el Gobierno y el Congreso de la Repblica. Se inicia con los mandatos
previstos en la Constitucin de Poltica, contina con las leyes que garantizan la libertad de informacin,
leyes de derecho de autor y derechos conexos, normas sobre delitos informticos, normas sobre
firmas y certificados digitales, la ley que permite la utilizacin de los medios electrnicos para la
comunicacin de la manifestacin de voluntad, normas sobre el uso de Tecnologas de Informacin
en la gestin de archivos y documentos y normas que regulan el uso de formatos electrnicos en las
instituciones de Administracin Pblica.

NORMAS TCNICAS DE CONTROL INTERNO PARA EL SECTOR PBLICO

Las Normas de Control Interno para el Sector Pblico son guas generales dictadas por la Contralora
General de la Repblica, con el objeto de promover una sana administracin de los recursos
pblicos en las entidades en el marco de una adecuada estructura del control interno. Estas normas
establecen las pautas bsicas y guan el accionar de las entidades del sector pblico hacia la
bsqueda de la efectividad, eficiencia y economa en las operaciones.
(1)

(2)

agosto 2003

IngenierodeSistemas.
DoctorandoenSistemas,UNFV
JefedelaOficinadeInformtica.
FacultaddeIngenieraIndustrial,UNMSM

NOTAS CIENTFICAS

99

>>> AUDITORA A LA GESTIN DE LAS TECNOLOGAS Y SISTEMAS DE INFROMACIN

de riesgos y controles en la gestin de las tecnologas de

informacin, para su efectivo apoyo al logro de los objetivos de
la institucin, para el cumplimiento de sus metas estratgicas,
asociado a la nueva economa digital en la que se desenvuelven
(Ver Figura 2).

AUDITORA

COMPARACIONES

IDEAL

REAL

DIFERENCIA

OBSERVAC IONES

Figura 1. Esquema del concepto clsico de Auditora

Las normas de control interno para sistemas computarizados
pertenecen a la categora 500 de las Normas de Control Interno
para el Sector Pblico y se indican a continuacin:
500-01 Organizacin del rea informtica
500-02 Plan de sistemas de informacin
500-03 Controles de datos fuente, de operacin y de salida
500-04 Mantenimiento de equipos de cmputo
500-05 Seguridad de programas, de datos y equipos de cmputo
500-06 Plan de contingencias
500-07 Aplicacin de tcnicas de Intranet
500-08 Gestin ptima de software adquirido a medida por
entidades pblicas

Por un lado la identificacin de riesgos nos sirve para determinar

el nivel de exposicin de la institucin al inadecuado uso de los
servicios que brinda la tecnologa de la informacin; pero adems
permite gestionar los riesgos, implementando controles que estn
orientados a evitarlos, transferirlos, reducirlos o asumirlos
gerencialmente.
Por tanto, es necesario definir ambos conceptos: riesgos y
controles, para fines del trabajo de investigacin:
a. Riesgo: Un riesgo impide que la Entidad logre alcanzar los
objetivos establecidos como negocio y que en el tiempo dicha
situacin genere debilidades en el control interno. Los riesgos
se agrupan de acuerdo a su impacto en la institucin.
b. Control: Un control establece las medidas implementadas en
las Entidad con la finalidad de reducir los riesgos existentes y
proteger los activos ms importantes.

AUDITORA INFORMTICA DE LA
GESTIN DE LAS TECNOLOGAS
DE INFORMACIN

Comparaciones

CONCEPCIN DE LA PROPUESTA DE AUDITORA

INFORMTICA
Segn Alonso Hernndez Garca , "conceptualmente la auditora,
toda y cualquier auditora, es la actividad consistente en la emisin
de una opinin profesional sobre si el objeto sometido a anlisis
presenta adecuadamente la realidad que pretende reflejar y/o
cumple las condiciones que le han sido prescritas."

Gestin Ideal de las

Tecnologas de Informacin

Gestin Real de las

Tecnologas de Informacin

Diferencias

RIESGOS
De aqu se deduce la importancia de establecer una opinin
objetiva, fundada en las evidencias encontradas, sobre las
diferencias existentes entre el planteamiento del funcionamiento
de cualquier rea a auditar y su ejecucin real en la organizacin,
y comunicarlas a las personas correspondientes.
Se plantea que una de las formas de Auditora Informtica aplicado
a Entidades Pblicas es el proceso orientado a la identificacin

100

NOTAS CIENTFICAS

CONTROLES
SS
Figura 2. Esquema de Auditora Informtica de la gestin de
tecnologas de informacin

agosto 2003

Guadalupe Ramrez R. y Ezzard lvarez D. >>>

En la Figura 3 se muestra la estrategia utilizada para la

implementacin de las mejores prcticas de control, es un proceso
de benchmarking, que toma en cuenta las mejores
recomendaciones internacionales, como las contenidas en el
COBIT, las utilizadas por empresas de prestigio internacional, las
normas internacionales de auditora, entre otros; los que permiten
obtener altos niveles de seguridad, fiabilidad y conformidad en la
gestin de la tecnologa de la informacin.
Los riesgos de tecnologa de informacin que afectan a las Entidades
Pblicas estn relacionados con 3 aspectos bsicamente:
a. Dependencia en el uso de tecnologa de informacin:
Relacionada con el uso que efecta la Entidad y la importancia
que representa para el desarrollo de sus operaciones
b. Confiabilidad en el uso de tecnologa de informacin:
Relacionada con resultados del procesamiento de datos y
que no requieren trabajo manual por los usuarios para
completar la informacin.
c. Cambios en la tecnologa de informacin: Ralacionado
con la automatizacin de los procesos principales de la Entidad
y la adecuacin de esos procesos automatizados a nuevas
necesidades de la Entidad motivados por regulacin o por
modernizacin para mantenerse competitivos o lograr su
acreditacin.
Para la evaluacin de los controles se utilizan 4 grandes reas:
a. Administracin de los recursos de TI: Para asegurar que
la Entidad utilice tecnologa de informacin bajo criterios de
costo-beneficio, considerando las necesidades de
automatizacin y adecuacin de cambios del entorno en que
se desenvuelve.
b. Seguridad Fsica y Seguridad de Informacin: Para
garantizar que el ambiente en el que los sistemas funcionan
protege su confidencialidad, integridad y confiabilidad, la
reduccin al mnimo del riesgo de que ocurran daos
accidentales o intencionales a los equipos.

CONTROLES

RIESGOS
cmo eliminarlos,
transferirlos, reducirlos,
Estndares Internacionales
COBIT
NAGU
MAGU
Normas legales, etc.

Proceso de Benchmarking
MEJORES
PRCTICAS

Figura 3. Esquema de implementacin de controles

agosto 2003

c. Desarrollo y Mantenimiento de Sistemas de Informacin

de la Entidad: Para garantizar la disponibilidad de los
sistemas cuando se necesiten, que se controle la integridad
de los datos y que satisfagan a los usuarios.
d. Continuidad de SI de la Entidad: Reducir al mnimo la
posibilidad de que ocurra un desastre total y garantizar que el
negocio pueda reanudar sus operaciones con efectividad en
caso de que ya no se disponga de las instalaciones de
procesamiento existentes.
A continuacin se presenta en la Figura 4, la Visin Sistmica de
la Metodologa propuesta, donde se puede apreciar al rea de
Informtica de la Entidad, no como un departamento de la
organizacin sino ms bien como el entorno informtico.
El proceso de auditora, muestra claramente dos reas bien
definidas: el rea de Riesgos y el rea de Control. Los riesgos
identificados nos llevarn automticamente a definir las reas de
control; de similar modo, las reas de control deben de ser
evaluadas para determinar si los esfuerzos de la Entidad estn
siendo orientados a cubrir reas de riesgo y no se presente el
caso de que dichos esfuerzos estn mal orientados.
La tercera parte de este diagrama muestra la comparacin entre
las reas de Control y las Mejores Prcticas de Control; esto
significa que debemos de realizar un proceso de benchmarking
con la finalidad de asegurarnos que las Entidades Pblicas, donde
el gobierno ha realizado grandes inversiones en tecnologas de
la informacin, estos, estn siendo utilizados y protegidos
eficientemente, para ello tomaremos como referencia aquellas
recomendaciones de Organismos Internacionales que orientan la
gestin de Auditora Informtica en el Mundo tal como ISACAF, el
COBIT, Firmas Auditoras de prestigio internacional, las NAGU,
las MAGU, entre otras.
Finalmente, la visin sistmica muestra los factores del entorno
que afectan de alguna manera la gestin de la tecnologa de la
informacin en las Entidades Pblicas.

CONCLUSIONES
La metodologa propuesta permite revisar el uso de la tecnologa
de informacin en la Entidad, utilizando tcnicas modernas para la
recopilacin de informacin y anlisis detallado, con la finalidad
de identificar los riesgos y evaluar los controles en el uso de las
mismas.
La Auditora Informtica permite a la Entidad Pblica buscar los
medios para alcanzar los estndares internacionales en el uso

NOTAS CIENTFICAS

101

>>> AUDITORA A LA GESTIN DE LAS TECNOLOGAS Y SISTEMAS DE INFROMACIN

Avance Tecnolgico

Cotos de la Tecnologa

Competencia

Trabajo en

GESTIN DE LA TECNOLOGA DE LAEquipo

INFORMACIN
Leyes

IDEAL

REAL
Procesos de
Negocio

Cultura Organizacional
Qu controles implementar
Cultura
Organizacional

CONFIABILIDAD EN
EL USO DE TI

CAMBIOS
EN EL USO
DE TI

Para controlar riesgos

Infraestructura
Tecnolgica
EFECTOS:
Comparar
Seguridad
Fiabilidad
Conformidad

DESARROLLO DE
SISTEMAS DE
INFORMACIN

MEJORES
PRCTICAS

ADMINISTRACIN
DE LOS RECURSOS
DE TI
SEGURIDAD FSICA Y
SEGURIDAD DE LA
INFORMACIN

DEPENDENCIA
EN EL USO
DE TI

Idiosincrasia
de la TI

Procedimientos

CONTROL

RIESGO

Normas
Nivel de Conocimientos
de TI

COBIT,
ISACAF

Estndares

Lmite del rea

de Sistemas/
Informtica/
Telemtica/
Teleproceso de
la Entidad

NAGU,
MAGU
CONTINUIDAD
DE LOS
SISTEMAS

EMPRESAS
INTERNACIONALES
AUDITORAS

Polticas

PROCESO DE SEGUIMIENTO
Catstrofes

Estndares Internacionales

Figura 4. Visin sistemtica de la auditora informtica

adecuado de las tecnologas de informacin, con miras a una

certificacin de calidad.Pone al descubierto si los esfuerzos de la
Entidad estn correctamente orientados a controlar los riesgos de
mayor impacto y a redireccionar aquellos esfuerzos orientados a
reas que no representan riesgos.
La estrategia utilizada para la implementacin de las mejores prcticas
de control, es un proceso de benchmarking, que toma en cuenta las
mejores recomendaciones internacionales de instituciones que
orientan las auditoras informticas a nivel mundial, las normas
contenidas en el COBIT, las utilizadas por empresas de prestigio
internacional, las normas internacionales de auditora, entre otros;
los que permiten obtener altos niveles de seguridad, fiabilidad y
conformidad en la gestin de la tecnologa de la informacin.

BIBLIOGRAFA
1. Derrien, Y. (1994), Tcnicas de Auditora Informtica.
Marcombo, Barcelona.
2. Echenique Garca, Jos Antonio. (1995), Auditora en
Informtica. Edit. Mc Graw Hill, Mxico.

102

NOTAS CIENTFICAS

3. Ferreyros Morn, Juan A. (1995), Informtica Contable y

Auditora de Sistemas. Edit. La Senda. Per.
4. Gil Peuchan, Ignacio. (1999), Sistemas y Tecnologas de la
Informacin para la Gestin. Edit. McGraw Hill. MadridEspaa.
5. Hernndez, Roberto; Fernndez, Carlos; Baptista,
Pilar. (1998), Metodologa de la investigacin. Edit. Mc
Graw Hill, Mxico.
6. IBM del Per. (1998), Control y Auditora de Sistemas de
Informacin. Departamento de Educacin de IBM del Per S.A.
7. IBM del Per. (1998), Seguridad en Sistemas de Informacin.
Departamento de Educacin de IBM del Per S.A.
8. INEI. (1996), Auditora Informtica. Publicacin del Instituto
Nacional de Estadstica e Informtica del Per.
9. Murphy, David. (1998), La auditora de sistemas informticos.
Temas Avanzados. Documento hecho en la Escuela Nacional
de Control. Contralora General de la Repblica.

agosto 2003