Manual de Auditoría de Gestión A Las Tecnologías de Información y Comunicaciones

CORTE DE CUENTAS DE LA REPBLICA
El Salvador, C.A.
XIV Concurso Anual de Investigacin de OLACEFs 2011,

denominado Auditoria de Gestin a las Tecnologas de
Informacin y Comunicaciones.
Tema:
Manual de Auditora de Gestin a las
Tecnologas de Informacin y
Comunicaciones.
SEUDNIMO: JEREMAS 333
NDICE
RESUMEN EJECUTIVO . i
I.
INTRODUCCIN ........................................................................ 1
CAPITULO I .................................................................................... 2
GENERALIDADES DE LA INVESTIGACIN ....................................... 2
1. MARCO TERICO ........................................................................... 2
1.1 Titulo de la Investigacin ......................................................... 2
1.2 Definicin del Problema ........................................................... 2
1.3 Objetivos de la Investigacin. ................................................... 2
1.4 Alcance. ................................................................................. 3
1.5 Metodologa de Investigacin utilizada. ...................................... 3
1.6 Antecedentes. ........................................................................ 4
1.7 Definicin de Auditora de Gestin a las TICs. ............................. 4
CAPITULO II ................................................................................... 6
DESARROLLO DE LA INVESTIGACIN ............................................. 6
1. PROCESO DE LA AUDITORA ........................................................... 6
1.1 Objetivo del Manual. ................................................................ 6
1.2 Elaboracin y Organizacin de Papeles de Trabajo Electrnicos. .... 6
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
1.2.1 Informacin mnima deben contener los papeles de trabajo

electrnicos................................................................... 7
1.3 Naturaleza de la Documentacin de Auditora. ............................ 9
1.4 Forma, Contenido y Extensin de la Documentacin de Auditora. 10
2. FASES DEL PROCESO DE AUDITORA ............................................. 12
2.1 Objetivos de la Auditoria de Gestin a las Tecnologas de
Informacin y Comunicaciones. ............................................. 12
Objetivo General. ................................................................. 12
Objetivos Especficos ............................................................ 12
2.2 Estndares Internacionales que influyen en el proceso de una
Auditora de Gestin a las Tecnologas de Informacin
y Comunicaciones. ............................................................... 13
Mejores Prcticas ................................................................. 14
2.3
Supervisin en el Proceso de una Auditora de Gestin

a las Tecnologas de Informacin y Comunicaciones..................16
CAPITULO III ............................................................................... 16

DE LA PLANIFICACIN ................................................................. 18
1. Conocimiento de la Entidad y Entorno del rea de Tecnologa de
Informacin y Comunicacin. ....................................................... 16
1.1 Organizacin de rea TIC. ...................................................... 17
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
1.2 Infraestructura Tecnolgica de la entidad auditada. ................... 18

1.3 Plan Maestro de tecnologa de informacin y comunicaciones...... 19
1.4 Planes Operativos ................................................................. 20
1.5 Planes de Continuidad ........................................................... 21
1.6 Planes de Mantenimiento. ...................................................... 21
1.7 Presupuesto Tecnolgico. ....................................................... 22
1.8 Planificacin de TACCs. .......................................................... 22
2. Seguimiento a Recomendaciones de Auditoras Anteriores. ............... 23
3. Anlisis, Evaluacin e Incorporacin de Hallazgos de Auditora
elaborados por la Unidad de Auditora Interna y Firmas Externas de
Auditora..24
4. Plan de Trabajo de Auditoria TICs. ............................................... 25
5. Anlisis Previo. ............................................................................ 26
5.1 reas preliminares a examinar. ............................................... 26
5.1.1 Organizacin y Planificacin de TI .................................... 26
5.1.2 Procesamiento Electrnico de Datos ................................. 27
5.1.3 Evaluacin de los Sistemas. ............................................ 29
5.1.4 Controles de Sistema en Desarrollo y Produccin............... 29
5.1.5 Evaluacin de los equipos ............................................... 31
5.1.6 Evaluacin de la Seguridad de la Informacin. .................. 33
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
5.2 Indicadores de Gestin (Eficiencia, Eficacia, Efectividad y Economa)

aplicados al rea de Tecnologa de Informacin y Comunicaciones
........................................................................................... 34
5.3 Evaluacin de Riesgos Tecnolgicos. ......................................... 36
5.4 Evaluacin de Control Interno Tecnolgico. ................................ 38
5.5 Normativa Tcnica de Control Interno y Fuentes de Informacin. .. 41
5.6 Comunicacin de Asuntos de Importancia
Relativa de TICs. .................................................................. 42
5.7 Informe Ejecutivo de Anlisis Previo. ......................................... 43
6. Conclusiones y Recomendaciones...46
CAPITULO IV ................................................................................ 47
DE EJECUCIN .............................................................................. 47
1. Pruebas de Auditora asistidas por Computadora. ............................. 47
1.1 Pasos para desarrollar una TAAC. ............................................. 48
1.2 Seguridad de datos y Tcnicas de Auditora Asistidas por
Computadora. ....................................................................... 48
2. Evaluacin y recoleccin de Evidencia............................................. 49
3. Cumplimiento de Polticas y procedimientos. ................................... 51
4. Carta de Salvaguarda. .................................................................. 52
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
CAPITULO V .................................................................................. 52
DE INFORME ................................................................................. 52
1. Resultados Preliminares de Auditora (Informe Previo). ..................... 52
2. Carta de Gerencia de Asuntos de Importancia Relativa. .................... 53
3. Informe de Auditora. .................................................................. 54
II. CONCLUSIONES ....................................................................... 57

III. APLICABILIDAD EN EL CAMPO DEL CONTROL
GUBERNAMENTAL. ................................................................... 58
IV. BIBLIOGRAFA ........................................................................ 59
V. ANEXOS .................................................................................... 60
ANEXO 1
Formato de Papeles de Trabajo .................................................... 61
ANEXO 2 ............................................................................................
Criterios Tcnicos del rea de Tecnologas de la Informacin y
Comunicaciones. ........................................................................ 62
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
RESUMEN EJECUTIVO
El presente manual de auditora de gestin a las tecnologas de

informacin y comunicaciones describe procedimientos que los auditores
deben
utilizar
para
verificar
el
uso
de
los
recursos
tecnolgicos,
confidencialidad, confiabilidad, integridad, disponibilidad de la informacin

procesada por los sistemas de informacin automatizados y apoyo en la
automatizacin de los procesos operativos y administrativos de la entidad
para llegar a medir los indicadores de gestin de eficiencia, efectividad y
economa
de
implementadas
las
tecnologas
por
la
de
informacin
institucin
presentar
comunicaciones
conclusiones
recomendaciones oportunas y acertadas que sirvan de gua para corregir

las deficiencias que pueden llegar a existir y lograr mejorarlas.
El Captulo I, describe las generalidades de la investigacin como: ttulo

de
la
investigacin,
definicin
investigacin, el alcance de
del
problema,
los
objetivos
de
la
la investigacin incluyendo el proceso de
auditora de gestin a las tecnologas de informacin y comunicaciones, la

metodologa
utilizada,
los
antecedentes
de
las
tecnologas
de
la
informacin y comunicaciones en las diferentes entidades del sector

pblico
municipal
que
trabajan
continuamente
con
sistemas
informticos.
En el Captulo II Desarrollo de la investigacin, se describen los

objetivos del manual, el diseo, preparacin y conservacin de papeles de
trabajo y la naturaleza de la documentacin de auditora en formato
electrnico en cada ente fiscalizador, adems de los procedimientos que
deben desarrollar los auditores en la fase de planificacin de auditora y de
i
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
los estndares internacionales que intervienen en el proceso de una

auditora de gestin a las tecnologas de informacin y comunicaciones.
El Captulo III de la Planificacin, describe el desarrollo de una

auditora de gestin a las TICs, en la fase de planificacin, obtenindose
un entendimiento y comprensin de los aspectos siguientes: entorno de la
entidad y del rea de Tecnologa de Informacin, procesos sistematizados,
administracin de riesgos, evaluacin de indicadores de gestin, control
interno
organizacin
del
rea
de
tecnologa
de
informacin
comunicaciones, pues dicho conocimiento le brinda un marco conceptual,

que le permite evaluar si la organizacin sigue un enfoque estructurado de
gestin informtica y si el mismo es adecuado, adems el seguimiento a
recomendaciones de auditoras anteriores, la elaboracin de un plan de
trabajo de auditora y de la ejecucin de gua de procedimientos de
anlisis previo y la elaboracin del informe ejecutivo de anlisis previo que
contendr los asuntos de importancia identificados y agrupados por
proyectos de las reas vulnerables o de impacto determinados.
En el Captulo IV de la Ejecucin, se describen las pruebas asistidas por

computadora que se pueden aplicar para investigacin y la obtencin de
evidencia de las causas que originan una debilidad en gestin tecnolgica,
la evaluacin y recoleccin de evidencia suficiente y apropiada que
permitan emitir las conclusiones acerca de la operatividad de la gestin en
tecnologa de informacin y comunicaciones.
El Capitulo V de Informe, describe la estructura que debe de contener

un informe de resultados preliminares, la carta de gerencia, que dar a
conocer a la administracin todos aquellos asuntos de menor importancia,
ii
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
estos asuntos de menor importancia son riesgos que pueden ser

administrados y que a juicio del auditor no son de impacto en la gestin de
las tecnologas de la informacin y comunicaciones, al haber garantizado el
derecho de defensa a la administracin, analizado las respuestas y
comentarios,
se
emite
el
informe
de
auditora
que
sustenta
las
conclusiones del auditor sobre el uso de las tecnologas de informacin y

comunicaciones y medicin de los indicadores de gestin de eficiencia,
eficacia y economa de la entidad pblica.
iii
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
INTRODUCCIN
La
creciente
disponibilidad
de
informacin
electrnica
procesos
soportados por recursos informticos y de comunicacin que son capaces

de satisfacer las circunstancias tanto funcionales como econmicas, de
oportunidad y efectividad de las entidades pblicas, hacen que el auditor
se vea en la necesidad de poseer el conocimiento suficiente de los
sistemas de informacin por computadora para planear, dirigir, supervisar,
y revisar el trabajo a desarrollar.
La naturaleza especializada de la auditora de gestin a las tecnologas de
la informacin y comunicaciones (TICs), requiere de habilidades y
conocimientos
tcnicos
informticos,
para
desarrollar
este
tipo
de
auditoras, adems es necesario para el desarrollo de la auditoria, la

implementacin de normativa legal y tcnica en el rea de Tecnologa de
Informacin y Comunicaciones de la administracin pblica y municipal y
promulgacin de normas generales para la auditora a los sistemas de
informacin.
Para realizar auditora de gestin a las tecnologas de informacin y
comunicaciones requiere realizar una adecuada planeacin de la auditora,
se debe tener un conocimiento general razonable que permita determinar
el alcance, tamao y caractersticas de cada rea de Tecnologa de la
Informacin y Comunicacin dentro de la organizacin que se auditar, sus
sistemas, procesos sistematizados, normativa tcnica utilizada por la
entidad,
adopcin
implementacin
de
estndares
internacionales
relacionados con seguridad de la informacin, control interno y servicios

tecnolgicos, organizacin y equipo fsico y lgico.
1
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
CAPITULO I
GENERALIDADES DE LA INVESTIGACIN
1. MARCO TERICO
1.1 Ttulo de la Investigacin
Manual de Auditora de Gestin a las Tecnologas de la Informacin

y Comunicaciones.
1.2 Definicin del Problema
Los Entes Fiscalizadores no poseen una metodologa apropiada a

seguir para el desarrollo de auditoras de gestin a las tecnologas
de informacin y comunicaciones.
1.3 Objetivos de la Investigacin.
1) Proponer criterios tcnicos tecnolgicos en el desarrollo de

auditoras de gestin a las tecnologas de informacin y
comunicaciones.
2) Estandarizar una metodologa para el desarrollo de auditoras
de gestin a las tecnologas de informacin y comunicaciones.
3) Implementar
procedimientos
para
el
desarrollo
de
las
auditorias de gestin a las tecnologas de informacin y

comunicaciones.
2
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
1.4 Alcance.
El alcance que tendr la investigacin comprende todo el proceso

de auditora de gestin a las tecnologas de informacin y
comunicaciones, e incluye las fases de planificacin, ejecucin e
informe.
La Auditora de Gestin a las Tecnologas de Informacin y

Comunicaciones,
comprender
un
examen
los
controles
generales y especficos TICs y procedimientos sustantivos y

administrativos de la entidad, apoyados por recursos tecnolgicos,
para el cumplimiento de sus objetivos estratgicos y operativos,
con el propsito de mejorar la efectividad, eficiencia, economa y
confidencialidad de la informacin y la prestacin de los servicios
en las entidades pblicas y municipales.
1.5 Metodologa de Investigacin utilizada.
La metodologa de investigacin ser documental, la cual permite

elaborar un marco terico conceptual para formar un cuerpo de
ideas sobre el tema investigado, incluye el uso de instrumentos
definidos segn la fuente documental a que hacen referencia.
Estas fuentes de informacin son los documentos que registran o

corroboran el conocimiento inmediato de la investigacin, dentro
de los cuales estn: libros, revistas, informes tcnicos, tesis,
internet, entre otros.
3
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Elegido el tema de estudio se procede a la recopilacin y lectura

bibliogrfica sobre la temtica de inters, la cual permite fortalecer
los conocimientos tericos y conceptuales.
La investigacin contar con el ttulo de la investigacin, definicin

del problema, los objetivos, el alcance de la investigacin y los
antecedentes.
1.6 Antecedentes.
En todas las reas de la gestin pblica y municipal, las

tecnologas de informacin y comunicaciones han transformado la
manera de prestar los servicios al pblico, optimizando los
recursos y volvindose ms productivos, siendo capaces de
producir mucho ms, de mejor calidad, invirtiendo mucho menos
tiempo.
Las Tecnologas de Informacin y Comunicaciones, tambin

conocidas como TIC, son el conjunto de tecnologas desarrolladas
para gestionar informacin y enviarla de un lugar a otro. Incluyen
las tecnologas para almacenar informacin y recuperarla despus,
enviar y recibir informacin de un sitio a otro, o procesar
informacin para poder calcular resultados y elaborar informes.
Las Tecnologas de la Informacin y la Comunicacin estn

presentes en nuestras vidas y la han transformado.
4
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Esta revolucin ha sido propiciada por la aparicin de la tecnologa

digital. La tecnologa digital, unida a la aparicin de ordenadores
cada vez ms potentes, ha permitido a la humanidad progresar
muy rpidamente en la ciencia y la tcnica desplegando nuestro
arma ms poderosa: la informacin y el conocimiento.
1.7 Definicin de Auditora de Gestin a las TICs.
La Auditora de Gestin a las Tecnologas de Informacin y

Comunicaciones, consiste en el examen de carcter objetivo
(independiente),
selectivo
crtico
(muestral)
(evidencia),
de
las
sistemtico
polticas,
(normas)
normas,
funciones,
actividades, procesos e informes de una entidad, con el fin de

emitir
una
opinin
profesional
(imparcial)
con
respecto
a:
eficiencia en el uso de los recursos informticos, validez y

oportunidad de la informacin, efectividad de los controles
establecidos y la optimizacin de los recursos tecnolgicos.
Este enfoque es totalmente compatible con las prcticas y

controles contenidos en COBIT, ITIL, estndares o normativa que
relaciona el enfoque COSO, SAC, NIAS, Estndares de Seguridad
de la Informacin (ISO 27000) entre otros, que hacen referencia a
las pistas de auditora en los sistemas informticos, controles de
acceso a los sistemas, bases de datos, reas de Tecnologa de la
Informacin
Comunicaciones
(TICs)
rea
de
servidores,
codificacin de la informacin, prevencin de virus, fraude,

5
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
deteccin y mitigacin de intrusos, entre otros; estos estndares

no proporcionan un criterio legal aplicable si no han sido
adoptados por la entidad, pero s procedimientos de auditora para
examinar la gestin tecnolgica en las diferentes organizaciones
del sector pblico.
CAPITULO II
DESARROLLO DE LA INVESTIGACIN
1. PROCESO DE LA AUDITORA
1.1 Objetivo del Manual.
Proveer
los
auditores
tecnolgicos
lineamientos
para
la
realizacin de una auditora de gestin a las tecnologas de

informacin y comunicaciones que coadyuven a la buena gestin
de la disponibilidad de los servicios sistematizados prestado a la
poblacin en general, con el uso de la tecnologa proporcionando
seguridad,
disponibilidad,
confiabilidad
oportunidad
de
la
informacin procesada y resguardada dentro de la entidad.
1.2 Elaboracin
Organizacin
de
Papeles
de
Trabajo
Electrnicos.
Cada
ente
pblico
disear
implementar
formatos
para
elaboracin de papeles de trabajo en medios magnticos, el cual

6
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
se almacenar segn las necesidades particulares de cada entidad

fiscalizadora.
El auditor deber preparar y conservar los papeles de trabajo

adecuados, los cuales le ayudan en la planeacin, desempeo,
supervisin y revisin de la auditora, y registran la evidencia
obtenida para apoyar la opinin de auditora.
La documentacin de auditora es conocida tambin como:

"papeles
de
trabajo.
se
refiere
al
registro
de
los
procedimientos desarrollados en la auditora, es decir, la evidencia

ms relevante obtenida en el transcurso de la misma; incluyendo
las conclusiones a las que lleg el auditor.
1.2.1 Informacin mnima que deben contener los papeles

de trabajo electrnicos.
Los papeles de trabajo electrnicos que elaborarn los

auditores
de
sistemas
informticos
sern
en
forma
electrnica y deben ser completos, de tal forman que

muestren: la informacin y los hechos concretos, el alcance
del trabajo efectuado, las fuentes de la informacin
obtenida y las conclusiones respectivas. ANEXO 1.
Como anteriormente se mencion, la forma de documentar

la evidencia va a depender del auditor, pero hay que tomar
7
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
en cuenta, las leyes que rigen cada pas para presentar la

documentacin en forma electrnica o fsica.
1.2.2 Organizacin de Papeles de Trabajo.
A efecto de clasificar y organizar el archivo corriente y

permanente de los papeles de trabajo originados en la
auditora de gestin a las TICs, a continuacin se presenta
un ejemplo de cmo realizarlo:
Archivo Permanente
Legal
Administrativo
Tcnico
Ley de Creacin de Organigrama TIC
Inventario de hardware
la entidad
y software
Manual
de Manual de Funciones
Sistemas operativos
organizacin
Manual de Descripcin Bases de datos
de Puestos
Polticas
y Aplicaciones
procedimientos
de
TICs
Contratos
de Planes de contingencia
nombramiento
Instructivos
Diagrama de Red
Formularios
8
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Archivo Corriente
Componente
Elementos
Leyes y reglamentos
Controles administrativos
Marco Legal
Normas y procedimientos
Manuales de usuario
Percepcin de usuarios
Percepcin de usuarios
Seguridad fsica
Seguridad lgica
Niveles de seguridad
Panorama tcnico
Valores parametrizables
Pistas de auditora
Origen de datos
Entrada de datos
Funcionamiento
Proceso de datos
Salida de informacin
Planes de contingencia
Back up
Sitios de resguardo
1.3 Naturaleza de la Documentacin de Auditora.
La documentacin de la auditoria puede hacerse en papel, medios

electrnicos, u otros medios. Para este caso el medio ser
electrnico y documental respecto a la evidencia de respaldo sobre
las deficiencias encontradas por el auditor, la cual debe de estar
impresa (Fsico) y con la suficiente seguridad razonable que es la
9
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
autorizada y proporcionada por el servidor pblico auditado,

mientras no se tenga una legislacin que avale la documentacin
en formato electrnico.
La documentacin de auditora debe ser preparada y archivada de

tal manera que si en determinado momento otro auditor con
experiencia necesite tener acceso a ella por cualquier motivo,
pueda entender: la naturaleza, oportunidad y extensin de los
procedimientos de auditora desempeados; los resultados y la
evidencia
de auditora obtenida, as como las
conclusiones
obtenidas durante la auditora.
1.4 Forma, Contenido y Extensin de la Documentacin de

Auditora.
Los papeles de trabajo deben ser preparados lo suficientemente

completos y detallados con el fin de que haya una mejor
comprensin de la auditora.
Las Normas de Auditora de la Organizacin Internacional de
Entidades Fiscalizadoras (INTOSAI), en los acpites 153 a 158,
destacan la importancia de la documentacin del trabajo de
auditora, resaltamos lo sealado en los acpites 156 y 158: 156.
Los auditores deben justificar documentalmente, de manera
adecuada, todos los hechos relativos a la fiscalizacin, incluso los
antecedentes, y la extensin de la planeacin, del trabajo
realizado y de los hechos puestos de manifiesto.; 158. El auditor
debe tener en cuenta que el contenido y la disposicin de los
10
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
documentos
de
trabajo
reflejan
su
grado
de
preparacin,
experiencia y conocimiento. Los documentos de trabajo deben ser

lo suficientemente completos y detallados como para permitir a un
auditor experimentado, que no haya tenido previa relacin con la
auditora, descubrir a travs de ellos el trabajo realizado para
fundamentar las conclusiones.
2. FASES DEL PROCESO DE AUDITORA

CONOCIMIENTO GENERAL DE LA ENTIDAD Y DEL REA DE
TECNOLOGA DE INFORMACIN Y COMUNICACIN
P
L
A
N
I
F
I
C
A
C
I
SEGUIMIENTO DE RECOMENDACIONES DE
INFORMES DE AUDITORA ANTERIORES
ANLISIS Y EVALUACIN DE RIESGOS
IDENTIFICACIN Y EVALUACIN DE INDICADORES
EVALUACIN DEL CONTROL INTERNO
PLAN DE TRABAJO DE ANALISIS PREVIO Y

EJECUCIN DE LA AUDITORIA
EJECUCIN DE PROGRAMAS, PRUEBAS DE

CUMPLIMIENTO Y SUSTANTIVAS, OBTENCIN DE
EVIDENCIAS
EJECUCIN
RESULTADOS PRELIMINARES DE AUDITORIA
INFORME
INFORME DE AUDITORIA
11
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
2.1 Objetivos de la Auditoria de Gestin a las Tecnologas de

Objetivo General.
El objetivo de la auditora de gestin a las tecnologas de

informacin y comunicaciones es evaluar la eficiencia, economa,
efectividad y confiabilidad de la informacin, para la toma de
decisiones que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuacin.
Objetivos Especficos.
Asegurar
la
integridad,
confidencialidad,
confiabilidad
oportunidad de la informacin.
Seguridad de los datos, el hardware, el software y las
instalaciones.
Minimizar existencias de riesgos en el uso de tecnologa de
informacin en los procesos sistematizados.
Conocer la situacin actual del rea informtica para el logro de
objetivos estratgicos y operativos de la institucin.
Apoyo de funcin del rea de tecnologa de informacin y
comunicaciones a las metas y objetivos de la organizacin.
seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente tecnolgico.
12
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Incrementar la satisfaccin de los usuarios que reciben los

servicios sistematizados.
Buscar una mejor relacin costo-beneficio de los sistemas
automatizados.
2.2 Estndares Internacionales que intervienen en el proceso

de
una
Auditora
de
Gestin
las
Tecnologas
de
El auditor de las tecnologas de informacin y comunicaciones,

deber de tener conocimientos de los diferentes estndares que
ayudan al control, operacin y administracin de los recursos
tecnolgicos, control de inversiones en tecnologa de informacin y
comunicaciones a nivel fsico y lgico y procesos documentados de
tecnologa de informacin y comunicaciones. Dichos estndares
inciden en el proceso de la auditoria, ya que las entidades de
gobierno los implementan segn sus necesidades de resguardo,
uso y proteccin de la informacin, que es un activo importante
dentro de la organizacin para asegurarse que la informacin se
encuentre disponible, oportuna y utilizada por los funcionarios
autorizados.
Para la realizacin de una auditora de TICS, existen Normas de

relacionadas a la Auditora de Sistemas las cuales son emitidas por
el Consejo Normativo de la Asociacin de Auditora y Control de
Sistemas de Informacin (Information Systems Audit and Control
Association ISACA).
13
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Para
documentar
el
proceso
de
auditora,
la
Organizacin
Internacional de Entidades Fiscalizadoras (INTOSAI), ha emitido

lineamientos
generales
que
destacan
la
importancia
de
documentar el trabajo de auditora.
Mejores Prcticas
ITIL Esta metodologa es la aproximacin ms globalmente
aceptada
para
la
gestin
de
servicios
de
tecnologas
de
informacin en todo el mundo, ya que es una recopilacin de las

mejores prcticas tanto del sector pblico como del sector privado
que se apoyan en herramientas de evaluacin e implementacin.
El objetivo de usar ITIL

ITIL como metodologa propone el establecimiento de estndares
que ayudan al control, operacin y administracin de los recursos.
Plantea hacer una revisin y reestructuracin de los procesos
existentes en caso de que estos lo necesiten (si el nivel de
eficiencia es bajo o que haya una forma mas eficiente de hacer las
cosas), lo que nos lleva a una mejora continua.
Otra de las cosas que propone es que para cada actividad que se
realice se debe de hacer la documentacin pertinente, ya que esta
puede ser de gran utilidad para otros miembros del rea, adems
de que quedan asentados todos los movimientos realizados,
permitiendo que toda los usuarios estn al tanto de los cambios y
no se tome a nadie por sorpresa.
14
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
COBIT conjunto de mejores prcticas para la seguridad, la

calidad, la eficacia y la eficiencia en TIC que son necesarias para
alinear TIC con el negocio, identificar riesgos, entregar valor al
negocio,
gestionar
recursos
medir
el
desempeo,
el
cumplimiento de metas y el nivel de madurez de los procesos de la

organizacin y tiene como propsito "investigar, desarrollar,
publicar y promocionar un conjunto de objetivos de control
generalmente aceptados para las tecnologas de la informacin
que
sean
autorizados
(dados
por
alguien
con
autoridad),
actualizados, e internacionales para el uso continuo de los

gestores de negocios (tambin directivos) y auditores." Gestores,
auditores, y usuarios se benefician del desarrollo de COBIT porque
les ayuda a entender sus sistemas de informacin (o tecnologas
de la informacin) y decidir el nivel de seguridad y control que es
necesario para proteger los activos de sus compaas mediante el
desarrollo de un modelo de administracin de las tecnologas de la
informacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados por

ISO
(International
Organization
for
Standardization)
IEC
(International Electrotechnical Commission), que proporcionan un

marco de gestin de la seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada, grande o
pequea.
La informacin es un activo vital para el xito y la continuidad en

el mercado de cualquier organizacin. El aseguramiento de dicha
15
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
informacin y de los sistemas que la procesan es, por tanto, un

objetivo de primer nivel para la organizacin.
2.3 Supervisin en el Proceso de una Auditora de Gestin a las

Tecnologas de Informacin y Comunicaciones.
Los
entes
fiscalizadores
debern contar
con procedimientos
autorizados para efectuar la supervisin y control de calidad del

proceso de auditora que incluya las fases de planificacin,
ejecucin e informe, con el objetivo de identificar y corregir
errores en el proceso y agregar valor a los resultados que debern
presentarse a la entidad auditada.
La
supervisin
puede
ser
conducida
por
funcionarios
independientes al equipo de auditora instalado en la entidad

auditada, a efecto de recomendar mejoras objetivas e imparciales,
acertadas, oportunas y que brinden calidad al proceso de
auditora, logrndose cumplir con las expectativas del ente
auditado.
CAPITULO III
DE LA PLANIFICACIN
1. Conocimiento de la Entidad y Entorno del rea de Tecnologa de

Informacin y Comunicacin.
Para el desarrollo de una auditora de gestin a las TICs, es muy

importante que el auditor, conozca el entorno de la entidad y del rea
de Tecnologa de la Informacin, procesos sistematizados, organizacin
16
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
del rea de tecnologa de informacin y comunicaciones, planes

estratgicos de TIC, planes operativos, planes de contingencia y/o
continuidad del negocio relacionado con la tecnologa de la informacin,
planes de mantenimiento preventivo y correctivo de la plataforma
tecnolgica con la que cuenta la entidad, de manera que le permita
una adecuada planificacin de su trabajo, pues ese conocimiento le
brinda un marco conceptual, que le permite evaluar si la organizacin
sigue un enfoque estructurado de gestin informtica y si el mismo es
adecuado.
1.1 Organizacin de rea TIC.

El auditor debe de conocer, comprender y analizar la arquitectura
organizacional de la Entidad de manera general, identificando las
ideas
rectoras,
organizacin,
instrumentos
administrativos,
recursos humanos (principales funcionarios), productos y servicios

de la entidad, as como la relacin que mantiene con otras
organizaciones y del conocimiento de la funcin del rea de
Tecnologa de Informacin y Comunicaciones principalmente en
aspectos como: Arquitectura Organizacional, Ideas Rectoras,
Objetivos y metas operativas, Instrumentos Administrativos,
Organizacin
funcin,
Procesos,
Productos
y/o
Servicios,
Insumos y el entorno de la funcin de Tecnologa de Informacin y

Comunicaciones (clientes), aplicando procedimientos generales
tales como:
Revisar y evaluar si la funcin de TIC est alineada con la
misin,
visin,
valores,
objetivos
estrategias
de
la
17
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
organizacin y deber revisar el desempeo esperado por la

empresa (eficacia y eficiencia) y evaluar su cumplimiento.
Revisar y evaluar la eficacia de los recursos de TIC y el
desempeo de los procesos administrativos.
Se debe utilizar un enfoque basado en riesgos para evaluar la
funcin de TIC.
Se deber revisar y evaluar el ambiente de control de la
organizacin.
Se deber de revisar las reas fsicas de TICs, con el propsito
si est en condiciones para la operatividad de las Tecnologas de
la Informacin y Comunicaciones.
Se deber de revisar las funciones de cada uno de los tcnicos
para
comprobar
condiciones
si
estos
necesarias
para
cuentan
realizar
con
su
herramientas
trabajo
de
y
la
optimizacin de los recursos tecnolgicos.

Se deber de verificar y analizar el Manual de funciones sea
aplicable y acorde a la realidad de las funciones desarrolladas
por el capital humano del rea de Tecnologa de Informacin y
Comunicaciones.
1.2 Infraestructura Tecnolgica de la entidad auditada.

El auditor debe conocer, comprender y analizar de forma general
la Gestin en Tecnologa de la Informacin, la infraestructura o
plataforma tecnolgica y los sistemas de informacin aplicados a
la entidad, tales como:
Granja de Servidores y sus caractersticas
Seguridad Perimetral
18
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Estructura de redes
Sistemas Operativos
Software y hardware de seguridad
El inventario de Hardware y Software con el propsito de
establecer el nivel de obsolescencia o actualizacin.
Servicios tercerizados contratados por la entidad y vinculados
con la tecnologa de la informacin y comunicaciones.
Adquisiciones (Inversiones) en recursos de Tecnologa de la
informacin.
Infraestructura elctrica, entre otras.
Sistemas de Informacin (Aplicaciones)
Procesos y/o funciones (sustantivos, apoyo y administrativos)
de la entidad, que estn soportados con tecnologa de
informacin y comunicaciones.
La Administracin de Sistemas y Bases de Datos.
Adopcin de Metodologas de Anlisis y desarrollo de Sistemas.
Lenguajes de programacin
Aplicaciones en produccin y desarrollo
Gestores de bases de datos.
1.3 Plan
Maestro
de
tecnologa
de
informacin
comunicaciones.
Como producto del proceso de gestin, el rea de tecnologa de
informacin y comunicaciones debe elaborar un plan maestro,
definido como un documento a largo plazo que contenga la
estrategia
de
proyectos
de
modernizacin
de
los
procesos
19
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
institucionales a travs de los recursos tecnolgicos, con el

objetivo de brindar con calidad el servicio ofrecido a los usuarios
(Clientes)
de
la
entidad,
entre
los
aspectos
mnimos
que
conforman dicho plan se encuentran los siguientes:

Objetivos estratgicos institucionales
Misin
Visin
Acciones estratgicas
Procesos que sern automatizados
Usuarios que intervienen en el proceso
Recursos humanos, materiales, financieros y tcnicos
Cronograma de implementacin de proyectos
1.4 Planes Operativos
Los planes operativos son un instrumento de control a corto plazo
que el auditor debe revisar, y que stos contengan el desgloce de
las actividades y acciones a desarrollar que conforman cada lnea
estratgica del plan maestro, plasmndose lo siguiente:
Objetivo general
Objetivos especficos
Lneas estratgicas y acciones a corto plazo
Responsables de los proyectos a desarrollar.
Recursos humanos, materiales, financieros y tcnicos
Cronogramas de actividades a desarrollar en el periodo.
20
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
1.5 Planes de Continuidad

Es un conjunto de tareas que el rea de TIC debe realizar en caso
de fallas en los sistemas impidan el normal funcionamiento de los
servicios TIC, el fin es recuperar a la brevedad las operaciones de
la organizacin.
El auditor debe conocer y analizar el plan de contingencia

implementado por la entidad para poder auditarlo, con el propsito
de determinar el grado de efectividad y eficiencia para brindar
continuidad en los servicios de TIC y minimizar la probabilidad y el
impacto de interrupciones en los servicios, funciones y procesos
claves del negocio.
Adems se debe de conocer y comprender que el rea de TICs ha

requerido procedimientos para los planes de contingencia de
servicios tecnolgicos y de comunicaciones contratados con
terceros con el propsito garantizar la continuidad del negocio,
alinear los procesos de recuperacin y determinar el impacto de la
contingencia; para esto deber de realizar con los proveedores
pruebas de contingencia para determinar la veracidad del plan
presentado.
1.6 Planes de Mantenimiento.

El
auditor
debe
comprender
analizar
los
planes
de
mantenimiento de la Infraestructura o plataforma Tecnologa

(hardware y software) implementado por el rea de TIC, con el
objetivo de verificar que la plataforma tecnolgica garantice un
21
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
funcionamiento continuo, disponibilidad y oportunidad de la

informacin.
1.7 Presupuesto Tecnolgico.

El
auditor
debe
revisar
que
las
inversiones
en
recursos
tecnolgicos hechas por las entidades del sector pblico, han

contribuido a maximizar el desempeo de la organizacin y si
stas fueron administradas adecuadamente.
El rea de Tecnologa de Informacin y Comunicaciones debe

concentrar un presupuesto tecnolgico institucional que considere
todas las necesidades de (hardware y software), para lo que, el
auditor debe verificar que toda contratacin se incluya y se
autorice en el plan anual de compras.
El auditor con base a este plan debe evaluar el proceso de

contratacin,
priorizando
en
el
cumplimiento
de
las
especificaciones tcnicas, recepcin del bien o servicio y utilidad

de los mismos de acuerdo a las necesidades requeridas por las
unidades solicitantes.
1.8 Planificacin de TAACs.

Se debe evaluar una combinacin apropiada de tcnicas manuales
y TAACs. Al determinar que se utilizarn Tcnicas de Auditora
Asistidas por Computadora, debe considerarse lo siguiente:
Conocimientos de computadoras, destreza y experiencia del

auditor de TICs.
22
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Eficiencia y efectividad para el uso de las Tcnicas de Auditora

Asistidas por Computadora y tcnicas manuales.
Nivel de riesgo de auditora.
2. Seguimiento a Recomendaciones de Auditoras Anteriores.
El auditor de TICs deber obtener informes de auditoras anteriores

relacionadas con la gestin de las tecnologas de informacin y
comunicacin
con
el
propsito
de
efectuar
el
seguimiento
al
cumplimiento de recomendaciones. En este caso, el auditor solicitar a

los
funcionarios
implementadas
actuantes
para
los
comprobar
comentarios
el
las
cumplimiento
acciones
de
las
recomendaciones y la evidencia que las respaldan, y se analizar para

establecer una base de estos y el grado de cumplimiento de las
referidas recomendaciones.
El auditor al comprobar que las recomendaciones se encuentran

cumplidas, comunicar por escrito los resultados del seguimiento a los
funcionarios involucrados con el cumplimiento, hacindoles mencin
que se han implementado acciones tendientes al mejoramiento del
control interno o de la gestin tecnolgica en la entidad y deber incluir
en el informe final de auditora un prrafo estableciendo que la entidad
cumpli con las recomendaciones plasmadas en el informe de auditora
anterior.
En el caso que al realizar el anlisis de las acciones implementadas en

la
entidad,
stas
Manual de Auditora
Comunicaciones.
de
no
son
Gestin
suficientes
las
para
Tecnologas
cumplir
de
con
Informacin
las
23
y
recomendaciones hechas en el informe auditoria anterior, se deber de

desarrollar un asunto de importancia relativa, que deber incluirse en
el informe final de auditora, en un apartado donde se haga referencia
a los resultados sobre el seguimiento a las recomendaciones de la
auditora anterior; detallando lo siguiente:
a) Identificacin.
Har referencia al informe y perodo auditado al que se le est
efectuando seguimiento.
b) Condicin.
Incluir la situacin encontrada en la auditora anterior.
c) Recomendacin.
Incluir la recomendacin planteada en la auditora anterior.
d) Comentarios de la administracin.
Debe describir la situacin actual de las acciones tomadas por la
administracin, para cumplir con la recomendacin.
e) Grado de cumplimiento
Debe indicarse el grado de cumplimiento actual.
3. Anlisis, Evaluacin e Incorporacin de Hallazgos de Auditora

elaborados por la Unidad de Auditora Interna y Firmas
Externas de Auditora.
El auditor debe obtener de la entidad auditada los informes y papeles

de trabajo de auditora de tecnologas de informacin y comunicaciones
emitidos por la Unidad de Auditora Interna y las Firmas Externas de
Auditora, con el objetivo de analizar y evaluar los hallazgos con los
respectivos atributos, su impacto, importancia relativa y la evidencia
24
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
de soporte, y as determinar los hallazgos que sern incorporados en el

informe de auditora.
El proceso de anlisis y evaluacin deber plasmarse en papeles de
trabajo que elaborar el auditor informtico.
4. Plan de Trabajo de Auditoria TICs.
Despus que los auditores han conocido la entidad y el rea de

tecnologa de informacin y comunicaciones e identificado posibles
asuntos de importancia (lneas preliminares a examinar) que hayan
llamado la atencin, se listan y se agruparn por proyectos, deber de
incluir su conocimiento y anlisis en un documento metodolgico que
evidencia la estrategia y alcance de la auditora, el contenido se
describe a continuacin:
Antecedentes la entidad y el rea TIC
Organigrama de TIC
Objetivos general y especficos de TIC
Naturaleza y alcance de la auditoria
Estrategia de la auditora
Enfoque de la auditoria
Fundamento de la auditora
Agrupacin
de
Asuntos
de
Importancia
Determinacin
de
Proyectos a Examinar en la Fase de Anlisis Previo.

Leyes aplicables al proceso de la auditoria
Recursos (humanos, materiales y tcnicos) del equipo de auditoria
Cronograma de trabajo
Programa de auditora para iniciar la etapa de anlisis previo.
25
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
5. Anlisis Previo.
Como resultado de los procedimientos aplicados al conocimiento y

comprensin del rea de Tecnologa de Informacin y Comunicacin y
de la Plataforma Tecnolgica de la entidad, se elaborarn programas
de auditora dirigidos a examinar lo que a criterio del equipo de
auditora les llam la atencin, para dirigir de forma adecuada los
procedimientos que desarrollarn los objetivos de la auditoria.
5.1 reas preliminares a examinar.

5.1.1
Organizacin y Planificacin de TI
El auditor debe de realizar una evaluacin y anlisis de la

estructura organizativa y la planificacin del rea de TIC, con el
propsito obtener una definicin clara de las funciones, lneas de
autoridad y responsabilidad de las diferentes unidades que
conforman
el
rea
de
Tecnologa
de
Informacin
Comunicaciones, adems se debe analizar si es recomendable la

ubicacin actual dentro del organigrama institucional o amerite
que el rea de tecnologa de informacin y comunicaciones debe
estar al ms alto nivel de la pirmide administrativa para
cumplimiento de sus objetivos y cuente con el apoyo necesario de
la mxima autoridad.
El auditor debe de constatar y analizar que el rea de TIC ha

implementado y est cumpliendo con los controles siguientes:
Se debe evitar que una misma persona tenga el control de

toda una operacin.
26
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Las
funciones
de
operacin,
programacin
diseo
de
sistemas deben estar claramente delimitadas.

Deben existir mecanismos necesarios a fin de asegurar que los

programadores y analistas no tengan acceso a la operacin del
computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos

de entrada como de los resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnticos

deben estar expresamente definidos por escrito.
Las instrucciones deben impartirse por escrito.
5.1.2 Procesamiento Electrnico de Datos.

Los auditores debern revisar los controles en las operaciones del
procesamiento electrnico de datos en los siguientes aspectos:
1.- Revisin de controles en el equipo.
Se hace para verificar si existen formas adecuadas de
detectar errores de procesamiento, prevenir accesos no
autorizados y mantener un registro detallado de todas las
actividades
del
computador
que
debe
ser
analizado
peridicamente.
2.- Revisin de programas de operacin.
Se verificar que el cronograma de actividades para procesar
los datos, asegure la utilizacin efectiva del computador.
3.- Revisin de controles ambientales.
27
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Se hace para verificar si los equipos tienen un ambiente fsico

adecuado, es decir si se cuenta con aire acondicionado,
fuentes de energa continua, extintores de incendios, etc.
4.- Revisin del plan de mantenimiento.
Se verificar que todos los equipos principales tengan un
adecuado mantenimiento que garantice su funcionamiento
continuo.
5.- Revisin del sistema de administracin de archivos.
Se hace para verificar que existan formas adecuadas de
organizar
los
archivos
en
el
computador,
que
estn
respaldados, as como asegurar que el uso que le dan es el

autorizado.
6.- Revisin del plan de contingencias.
En esta seccin se verificar si el plan de contingencia es
apropiado para garantizar la continuidad del negocio, las
operaciones
la
recuperacin
de
informacin
ante
contingencias humanas o naturales que puedan poner en

peligro las operaciones, prdida de informacin, infecciones
de virus entre otras, el cual debe de contener como requisitos
mnimos los siguientes:
Considera requerimientos de resistencia, procesamiento
alternativo, y capacidad de recuperacin de todos los
servicios crticos de TI.
Cubre
los
lineamientos
de
uso,
los
roles
responsabilidades, los procedimientos, los procesos de

comunicacin y el enfoque de pruebas.
28
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Considera los requerimientos de respuesta y recuperacin

para diferentes niveles de prioridad, por ejemplo, de una a
cuatro horas, de cuatro a 24 horas, ms de 24 horas y
para periodos crticos de operacin del negocio.
Se ha centrado la atencin en los puntos determinados
como los ms crticos en el plan de continuidad para
construir
resistencia
establecer
prioridades
en
situaciones de recuperacin.
Procedimientos de control de cambios, para asegurar que
el plan de continuidad se mantenga actualizado y que
refleje de manera contina los requerimientos actuales del
negocio.
5.1.3 Evaluacin de los Sistemas Informticos.

Evaluacin
de
los
(flujo
operacin
documentacin,
diferentes
de
sistemas
informticos
informacin,
redundancia,
en
procedimientos,
organizacin
de
archivos,
estndares de programacin, controles, utilizacin de los

sistemas).
Evaluacin
del
avance
de
los
sistemas
informticos
en
desarrollo y congruencia con el diseo general.

Seguridad fsica y lgica de los sistemas informticos, su
confidencialidad y respaldos.
5.1.4 Controles de Sistema en Desarrollo y Produccin

El auditor debe de verificar y asegurarse que el rea de Tecnologa
de Informacin y Comunicaciones ha justificado que los sistemas
29
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
informticos adquiridos a terceros y desarrollados internamente

han sido la mejor opcin para la entidad y que proporcionen
oportuna y efectiva informacin, y se han desarrollado bajo un
proceso planificado y se encuentren debidamente documentado.
Procedimientos a seguir:
Asegurarse que los usuarios han participado en el diseo e
implantacin
de
los
sistemas
informticos,
pues
aportan
conocimiento y experiencia de su rea y esta actividad coadyuva a

una mejor cultura tecnolgica en el cambio de los procesos
institucionales.
Verificar que el rea de auditora interna ha formado parte del
grupo de diseo para sugerir y solicitar la implantacin de rutinas
de huellas de auditora.
Evaluar si el desarrollo, diseo y mantenimiento de sistemas
obedece a planes especficos, metodologas del ciclo de vida de
desarrollo
de
sistemas,
procedimientos
en
general
normativa escrita y aprobada.

Evaluar si cada fase concluida esta aprobada y documentada
por los usuarios mediante actas u otros mecanismos, a fin de
evitar reclamos posteriores.
Constatar si los aplicativos antes de pasar a produccin son
probados con datos que agoten todas las excepciones posibles.
Comprobar
si
todos
los
sistemas
informticos
estn
debidamente documentados y actualizados.
30
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Evaluar
si
han
implantado
procedimientos
de
solicitud,
aprobacin y ejecucin de cambios a programas, formatos de

los sistemas en desarrollo.
Verificar si el sistema informtico es entregado al usuario
previo entrenamiento y elaboracin de los manuales de
operacin respectivos
Para el procesamiento electrnico de datos en los sistemas

informticos el auditor debe de considerar:
Evaluar la validacin de datos de entrada, procesamiento y
salida, este proceso es realizado en forma automtica.
Verificar que la preparacin de los datos de entrada sea
responsabilidad
de
los
usuarios
consecuentemente
su
correccin.
Verificar la adopcin de acciones necesaria para correcciones

de errores.
Evaluacin de la planificacin del mantenimiento del hardware

y aplicativos informticos, tomando todas las medidas de
seguridad para garantizar la integridad.
5.1.5 Evaluacin de los equipos
Capacidades
Utilizacin
Nuevos Proyectos
Seguridad fsica y lgica
31
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
El auditor debe de constatar que el rea de la Tecnologa de

Informacin y Comunicaciones ha implementado controles tales
como:
Controles de Adquisicin
El propsito es asegurar que el hardware y software adquirido a
terceros
proporcione
mayores
beneficios
que
cualquier
otra
alternativa y garantizar la seleccin adecuada de equipos y

sistemas informticos.
Procedimientos a seguir:
Revisin de un informe tcnico en el que se justifique la

adquisicin del equipo, software y servicios informticos
incluyendo un estudio costo-beneficio.
Formacin de un comit que coordine y se responsabilice de

todo el proceso de adquisicin e instalacin
Elaborar un instructivo con procedimientos a seguir para la

seleccin y adquisicin de equipos, programas y servicios
informticos. Este proceso debe enmarcarse en normas y
disposiciones legales.
Revisar el respaldo de mantenimiento y asistencia tcnica de

los equipos informticos.
Controles en el uso de Computadoras de Escritorio y

Porttiles.
Es la tarea ms difcil pues son equipos ms vulnerables, de fcil
acceso, de fcil explotacin pero los controles que se implementen
32
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
ayudarn a garantizar la integridad y confidencialidad de la

informacin.
Por lo que, el auditor mediante sus procedimientos de auditora
debe asegurase que el rea de tecnologa de informacin ha
realizado lo siguiente:
Adquisicin de equipos de proteccin como reguladores de

voltaje y de ser posible UPS.
Vencida la garanta de mantenimiento del proveedor del equipo

se debe proporcionar mantenimiento preventivo y correctivo.
Establecimiento de procedimientos para la realizacin de

respaldos de la informacin.
Procedimientos e informes de revisin del software contenido

en el computador, para asegurarse que el software instalado
cuente con la respectiva licencia de uso.
Mantener
programas
procedimientos
de
deteccin
inmunizacin de virus en copias no autorizadas o datos

procesados en otros equipos.
Procesos de estandarizacin de sistemas operativos, software

de ofimtica, manejadores de base de datos y mantener
actualizadas las versiones respectivas.
5.1.6 Evaluacin de la Seguridad de la Informacin.

Los
equipos
informticos
son
instrumentos
que
estructuran
grandes cantidades de informacin, la cual puede ser confidencial

para la entidad y puede ser mal utilizada o divulgada a personas
que hagan mal uso de esta; adems pueden ocurrir robos, fraudes
o sabotajes que provoquen la destruccin total o parcial de las
33
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
actividades
de
procesamiento
electrnico
de
datos.
Esta
informacin puede ser de suma importancia, y al no contar con

ella en el momento preciso puede provocar retrasos sumamente
costosos.
Al auditar los sistemas informticos, el auditor debe verificar y
constatar lo siguiente:
Que no se tengan copias "piratas" o bien que, al conectarnos

en red con otras computadoras, no exista la posibilidad de
transmisin de virus.
Que se hayan implementado procesos fsicos y lgicos para la

proteccin del hardware y datos procesados, as como a las
instalaciones de ingreso al rea de procesamiento de datos y
servidores.
Contemplando
las
situaciones
de
incendios,
sabotajes, robos, catstrofes naturales, etc.

Implementacin de mecanismos para garantizar la seguridad

lgica del software, a la proteccin de los datos e informacin,
procesos y programas, as como la restriccin de usuarios no
autorizados al acceso de la informacin.
5.2 Indicadores de Gestin (Eficiencia, Eficacia, Efectividad y

Economa) aplicados al rea de Tecnologa de Informacin
y Comunicaciones
Los indicadores son semforos de alarma, contienen informacin

vital que alertan si la entidad gubernamental est administrando
en forma deficiente sus objetivos estratgicos e identifica reas
dbiles que pueden sujetas a una mejora continua.
34
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Estos indicadores deben ser diseados e implementados por las

entidades pblicas, la responsabilidad del auditor, es medirlos e
interpretar los resultados obtenidos, para mejorar la gestin del
rea de Tecnologa de la Informacin y Comunicaciones (TICs).
La informacin utilizada para el desarrollo de indicadores incluye

tanto elementos del plan estratgico de la entidad como aspectos
operativos, mejor si se identifican con los puntos claves de la
cadena causal interna: obtencin de insumos e insumos, procesos
o transformacin de insumos, productos y servicios, efectos e
impactos.
El auditor deber evaluar el cumplimiento de la estructura de los

indicadores de gestin, a la vez desarrollara una matriz de
medicin de los mismos, con el propsito de comprobar si estos
estn cumpliendo con los propsitos de implementacin.
Estructura de un indicador adecuadamente compuesto:

Un
indicador
adecuadamente
compuesto
tiene
la
siguiente
estructura:
1. Nombre: La identificacin y diferenciacin de un indicador es
vital, y su nombre, adems de concreto, debe definir claramente
su objetivo y utilidad.
2. Forma
de
clculo:
Generalmente,
cuando
se
trata
de
indicadores cuantitativos, se debe tener muy claro la frmula

matemtica para el clculo de su valor, lo cual implica la
35
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
identificacin exacta de los factores y la manera como ellos se

relacionan.
Esto, sin embargo, no es exclusivo de parmetros cuantitativos.
3. Unidades de medida: La manera como se expresa el valor
cuantitativo
de
determinado
indicador
est
dado
por
las
unidades de medida, las cuales varan de acuerdo con los

factores que se relacionan (horas laborales-funcionario, valor
monetario, cantidad, das hbiles, etc.).
4. Status, umbral y rango de gestin: Esto requiere conocer las
metas de objetivos estratgicos o de alcance institucional (qu,
cunto, cmo y cundo), que sern a su vez el referente para la
definicin de las metas de los objetivos operativos.
5.3 Evaluacin de Riesgos Tecnolgicos
Riesgo
Evento fortuito e incierto resultante de acciones humanas o por la
accin de una causa externa, que puede intervenir en el
cumplimiento de la misin, visin, objetivos y metas que han sido
definidos por la entidad gubernamental, causando perjuicios
directos o indirectos.
El auditor debe cerciorarse que los riesgos tecnolgicos han sido

identificados
por
el
rea
de
tecnologa
de
informacin
comunicaciones, establecindose el impacto y la ocurrencia de los

mismos, la probabilidad o frecuencia de tal ocurrencia.
36
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
El auditor comprobar a travs del anlisis de riesgos que la

unidad de TIC garantice, de manera razonable, la confidencialidad,
integridad y disponibilidad de la informacin, lo que implica
protegerla contra uso, acceso, divulgacin o modificacin no
autorizados, dao o prdida u otros factores disfuncionales, tanto
por parte del personal interno como de terceros, para ello debe
acatar lo dispuesto en las Polticas y Normas Institucionales de
Seguridad Informtica.
Como resultado del anlisis y gestin de riesgos el auditor

obtendr el riesgo residual, orientando su examen a las acciones
tomadas por la entidad para reducirlo, aceptarlo o transferirlo,
implementndose controles internos para mitigarlo.
El auditor solicitar al rea de tecnologa de informacin y

comunicaciones la identificacin, anlisis y gestin de riesgos
tecnolgicos que afecten el cumplimiento de los objetivos y metas
del rea y la entrega de servicios en la entidad.
Componentes del riesgo:

a) Probabilidad: Posibilidad de ocurrencia de un riesgo, medible
a travs de criterios de frecuencia o considerando la existencia
de factores internos y externos, que propician el riesgo an si
ste no ha sucedido.
b) Severidad: Magnitud de los efectos o consecuencias que
ocasionara a la institucin la ocurrencia de un riesgo.
37
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
c) Nivel de riesgo: Resultado de confrontar la severidad y la

probabilidad con los controles existentes.
d) Riesgos de Tecnologa: Se asocian con la capacidad de la
entidad
para
que
la
tecnologa
disponible
satisfaga
las
necesidades actuales y futuras de la institucin y soporten el

cumplimiento de la misin.
e) Administracin
de
Riesgos:
Proceso
estructurado,
consistente y continuo, implementado a travs de toda la

entidad para identificar, evaluar, medir y reportar amenazas y
oportunidades
que
afectan
el
logro
de
los
objetivos
institucionales, a fin de proponer soluciones o alternativas para

minimizar
el impacto
de
los
riesgos
en el rendimiento
institucional.
5.4 Evaluacin de Control Interno Tecnolgico.
El auditor debe evaluar y supervisar los controles de TIC que son

parte integral del entorno de control interno de la organizacin,
proponiendo
al
rea
de
Tecnologa
de
Informacin
Comunicaciones consejos con respecto al diseo, implementacin,

operacin y mejora de controles de TICs.
El control interno del rea de tecnologa de informacin y

comunicaciones est comprendido por controles generales
(CPD, organizacin, implementacin, seguridad de programas y
datos, operacin del computador, seguridad de comunicaciones y
sistema operativo) diseados para asegurar que los aplicativos
38
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
informticos
funcionan
adecuadamente
controles
de
aplicacin (Control de acceso, origen, entrada, proceso y salida

de informacin) procedimientos diseados para asegurar que las
transacciones sean administradas de acuerdo con los objetivos
especficos de control; que la informacin conserve todos sus
atributos y caractersticas, y que los sistemas informticos
cumplan con los objetivos para los cuales fueron creados.
El auditor debe asegurarse que los controles internos diseados

por la institucin, mitiguen en gran medida los riesgos residuales
obtenidos en el anlisis de riesgos, siendo factible y con menor
inversin la administracin de stos, valor agregado que podr
denotar el auditor de TICs.
La evaluacin de Control Interno aporta a la entidad elementos de

medicin de la gestin informtica y de la cultura informtica; al
rea de TICs le brinda indicadores de satisfaccin de usuarios,
tanto por las aplicaciones, como por el nivel de servicio que
proporciona de la seguridad lgica y administracin de plataformas
tecnolgicas, que los alerta sobre las posibles fallas de seguridad y
le brinda retroalimentacin sobre polticas y medidas de control,
que podran mejorar el funcionamiento de los equipos.
Esta revisin permite a la alta gerencia reforzar el rea de

tecnologa de informacin y comunicaciones, para que cumpla sus
objetivos y soporte, las estrategias del negocio, mientras que al
rea de tecnologa de informacin y comunicaciones le brinda la
39
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
oportunidad de definir acciones preventivas y adoptar alternativas

de mejora continua de sus servicios.
El factor crtico en el proceso de la auditora es el conocimiento y

evaluacin del Control Interno Tecnolgico y la elaboracin de los
programas de auditora, por tal motivo es importante que el
auditor informtico, realice una revisin y evaluacin detallada del
control
interno
Comunicaciones
en
las
(TICs)
Tecnologas
de
las
de
entidades
Informacin
pblicas,
en
y
los
siguientes puntos de control:

Gerenciales.
Desarrollo y Mantenimiento de Sistemas Informticos.
Operacin.
Aplicaciones.
Tecnologa.
Continuidad y Oportunidad del Servicio.
Cumplimiento de Objetivos estratgicos y operativos
Se deber realizar una revisin y evaluacin de las condiciones de
seguridad lgica y fsica, que garanticen que las medidas de
seguridad
en
las
plataformas
tecnolgicas
estn
siendo
administradas de tal forma que cumplan con los propsitos para lo

cual fueron diseadas y gestin adecuada de los procesos
sustantivos sistematizados de la entidad y las metas de la
organizacin
los
objetivos
de
los
proyectos
tecnolgicos
implementados.
40
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Esta evaluacin tiene un enfoque tcnico y es recomendable como

medida preventiva, para reducir el riesgo de los ataques externos
e internos hacia la informacin de la entidad, que puede afectar la
continuidad de las operaciones.
El auditor debe asegurarse que el control interno haya sido
implementado por la administracin de la entidad y monitoreado
peridicamente como medida preventiva, para anticiparse a
situaciones que pongan en peligro la informacin o la continuidad
de las operaciones de las entidades pblicas; as como para
identificar a tiempo oportunidades de mejora o desviaciones de las
estrategias de TICs.
5.5 Normativa
Tcnica
de
Control
Interno
Fuentes
de
Informacin.
En la nueva era de la informacin electrnica y de los recursos

tecnolgicos en las operaciones y prestacin de servicios de las
entidades pblicas, es necesario contar con un marco normativo
tcnico que regule el uso, seguridad, administracin y gestin de
la informacin y de los recursos tecnolgicos, con el propsito de
resguardar la informacin ante ataques cibernticos, usurpacin
de archivos confidenciales o bien detener por completo los
sistemas de la organizacin, daando el software o el hardware de
la misma. Estas y otras muchas amenazas forman parte del
peligro a los que se ven expuestas las entidades pblicas, no solo
por parte de personas ajenas a la institucin, sino que hasta los
41
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
mismos trabajadores de la entidad podran infringir las polticas

implementadas y hacerle dao.
La carencia de aspectos tcnicos jurdicos en la aplicabilidad de los

procedimientos de auditora en los procesos sistematizados hace
que se vuelva vulnerable dicha auditoria, por tal motivo antes de
realizar este tipo de auditora, los Entes Fiscalizadores deben
implementar en el sector pblico y municipal como primer paso las
Normas Tcnicas de Control Interno Tecnolgicas, con el propsito
de constituir el marco bsico normativo tcnico, para promover la
eficiencia
y eficacia
en el desarrollo
de
las
actividades
operaciones tecnolgicas, obtencin de confiabilidad y oportunidad

de la informacin, y el cumplimiento con leyes, reglamentos,
aspectos administrativos y otras regulaciones aplicables, para
proporcionar seguridad razonable en la consecucin de los
objetivos establecidos y metas programadas.
La normativa tcnica es elaborada internamente dentro del rea

de Tecnologa de Informacin y Comunicaciones, autorizada por la
mxima autoridad de la entidad y divulgada a los usuarios de los
servicios tecnolgicos. (ANEXO 2)
5.6 Comunicacin de Asuntos de Importancia Relativa de

TICs.
El auditor en el transcurso de la auditoria, mantendr constante

comunicacin con los servidores de la entidad u organismo
42
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
auditado, proporcionndoles oportunidad para que presenten

pruebas o evidencias documentadas, con la finalidad de obtener
mayores
elementos
de
juicio,
que
nos
permitan
brindar
conclusiones y recomendaciones adecuadas y que estos a la vez

puedan ser utilizados por los tomadores de decisiones, para
mejorar su gestin.
Mencionando
en
procedimientos
dicha
comunicacin
pruebas
de
que
auditora
con
base
aplicados,
a
se
los
han
identificando asuntos de importancia relativa relacionados a los

objetivos de nuestra Auditora de Gestin, los cuales se hacen de
su conocimiento, adems se debe de hacer mencin el nombre de
la normativa relacionada a la comunicacin con los funcionarios.
Adems se hace con el propsito de obtener evidencia convincente

de las causas que estn originando los asuntos de importancia
(condiciones,
deficiencias,
procedimientos
de
observaciones),
auditora
la
para
obtencin
dirigir
de
sus
evidencia
respectiva.
5.7 Informe Ejecutivo de Anlisis Previo.
El producto que se obtendr del Anlisis Previo, ser un informe

ejecutivo que contendr los asuntos de importancia identificados y
agrupados por proyectos de las reas vulnerables o de impacto
determinados, al aplicar los procedimientos de auditora de
43
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
anlisis previo y donde se profundizar en la fase de ejecucin de

la auditora.
El objetivo del informe ejecutivo es que el Director lo autorice y

tenga una visin general del proceso de la auditoria, pueda
comprender
en
procedimientos
una
sola
aplicados
lectura
los
en
qu
consisten
los
ASUNTOS DE IMPORTANCIA
RELATIVA DE TICs obtenidos, y deber contener en su estructura

como mnimo lo siguiente:
Introduccin
En esta seccin se presenta, brevemente, el objetivo general de
cada
proyecto
de
anlisis
previo,
objetivos
especficos
restricciones.
1. Datos Generales
La descripcin del rea de Tecnologa de la Informacin.
En qu consiste rea de Tecnologa de Informacin, los productos
o los servicios que ofrecen, cules son sus principales funciones.
Filosofa
del
rea
de
Tecnologa
de
Informacin
Comunicaciones.
Esta
seccin
incluir
misin,
visin,
principios
y/o
valores,
objetivos estratgicos, acciones estratgicas, objetivos a corto

plazo, metas, indicadores de gestin tecnolgica y ubicacin
organizativa
del
rea
de
Tecnologa
de
Informacin
Comunicaciones.
44
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Proyectos Tecnolgicos ejecutados o a ejecutar.

Aquellos que van a desarrollar que sea innovador y novedoso, y
que van permitir a sistematizar los procesos de negocio.
El presupuesto de las Inversiones requeridas.

Se deben detallar los presupuestos de inversin que se ejecutarn
en determinado periodo por parte del rea de tecnologa de
informacin y comunicaciones.
Principales logros de la entidad y del rea de Tecnologa de

la Informacin y Comunicaciones.
Se deben resaltar las realizaciones sobre la implementacin y el
uso de las tecnologas de informacin y comunicaciones en los
procesos de negocio y de soporte en el cumplimiento de metas y
objetivos en el periodo de la auditoria que tenga la entidad o el
rea de Tecnologas de Informacin y Comunicaciones.
2. Desarrollo
Se deben describir detalladamente los procedimientos de auditora
y cmo se fueron desarrollando. Pueden ser necesarias figuras
para describir lo realizado en cada etapa. Si el trabajo lo amerita
puede dividirse en ms de un punto.
reas de Impacto o Vulnerables.

Se deber describir y listar todas las reas y procesos que
impactan negativamente la gestin tecnolgica de la entidad y que
45
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
no permiten alcanzar los objetivos y metas previstos en los planes

del
rea
de
Tecnologa
de
Informacin
Comunicaciones,
agrupndolas por proyectos, con el propsito de dirigir la auditoria

a las reas de impacto o vulnerables identificadas.
El equipo de trabajo de Auditoria

Detallar
los
auditores
con
las
respectivas
profesiones
especialidades que ejecutaran los proyectos o fases de la

auditoria.
Anexos
Lo que los auditores consideren importante de anexar.
6. Conclusiones y Recomendaciones.
Las conclusiones deben redactarse de una forma clara y entendible y
no ser interpretadas por un tercero. Los auditores sustentan su trabajo
en las conclusiones basadas en indicadores de gestin del rea de
Tecnologa de Informacin y Comunicaciones.
Las recomendaciones son emitidas por el Director de Auditoria que

tiene a cargo el equipo de auditoria, para agregar valor a la estrategia
de
auditora,
naturaleza
alcance
determinacin
de
los
procedimientos de auditora que se realizarn en la fase de ejecucin

de la entidad auditada.
46
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
CAPITULO IV
DE EJECUCIN
1. Pruebas de Auditora asistidas por Computadora.
Una vez concluido el anlisis previo, el auditor debe disear un

programa de auditora dirigido a las reas de mayor vulnerabilidad y/o
impacto
identificadas
al
confrontar
los
riesgos
versus
controles
tecnolgicos y se debe investigar a profundidad y obtener evidencia de

las causas que originan una debilidad dentro de la Gestin a las
Tecnologas de Informacin y Comunicaciones, para lo cual, el auditor
podr apoyarse en las Tcnicas de Auditora Asistidas por Computadora
(TAACs).
Estas tcnicas son utilizadas en el desarrollo de procedimientos de

auditora, incluyendo:
Procedimientos de revisin analticos
Pruebas de cumplimiento de los controles generales de tecnologa de
informacin y comunicacin
Pruebas de cumplimiento de los controles de aplicacin de tecnologa
de informacin y comunicacin
Pruebas de penetracin
Verificacin Ocular (Observacin, Comparacin)
Verificacin Fsica (Inspeccin)
Verificacin Oral (Indagacin, entrevista, encuestas)
Verificacin Escrita (Anlisis, Confirmacin, Tabulacin, conciliacin)
47
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Verificacin Documental (Comprobacin, Clculo, Rastreo, Revisin

Selectiva).
1.1 Pasos para desarrollar una TAAC.

1. Defina detalladamente el objetivo de lo que se va a examinar
2. Determine las tcnicas de auditoria que deber automatizar.
3. Identifique las fuentes de los datos.
4. Identifique sus atributos.
5. Solicite la documentacin de sistema o confeccione el modelo
entidad relacin
6. Analice la forma como automatizara las tcnicas de auditoria,
solucin lgica.
7. Seleccione la herramienta computacional que ms se adecue a
lo requerido.
8. Implemente la herramienta computacional siguiendo los pasos
del modelo lgico
9. Prueba y verifique los resultados.
10. Ya tiene confeccionada su TAAC
1.2 Seguridad de datos y Tcnicas de Auditora Asistidas por

Computadora.
Cuando las TAACs son utilizadas para extraccin de informacin y

anlisis de datos, el auditor de TICs debe verificar la integridad
del sistema de informacin y el ambiente tecnolgico donde son
extrados los datos.
48
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Las Tcnicas de Auditora Asistidas por Computadora pueden ser

utilizadas para extraer programas o sistemas de informacin
sensibles y datos en produccin que deben ser mantenidos en
forma confidencial.
El auditor de TICs debe entender la clasificacin de informacin

de
la
entidad
polticas
llevadas
para
salvaguardar
adecuadamente los programas y/o sistemas de informacin y

datos en produccin con un nivel apropiado de confidencialidad y
seguridad.
El auditor de TICs debe considerar el nivel de confidencialidad y
seguridad requerido por la organizacin propietaria de los datos y
cualquier legislacin pertinente, y debe consultar a otros, tanto
como el consejo y administracin sea necesaria.
El auditor debe utilizar y documentar los resultados de los

procedimientos,
para
proveer
sobre
la
marcha
integridad,
confiabilidad, utilidad y seguridad de la TAACs. Por ejemplo, esto

debe incluir una revisin de programas de mantenimiento y
control de cambio de programas sobre el software de auditora
para determinar que solo los cambios autorizados han sido hechos
por las TAACs.
2. Evaluacin y recoleccin de Evidencia.
El auditor deber obtener la certeza (evidencia) suficiente y apropiada

a travs de la ejecucin de sus procedimientos para permitirle emitir
49
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
las conclusiones para fundamentar su opinin sobre la operatividad de

la Gestin en Tecnologa de Informacin y Comunicaciones.
Evidencia Suficiente.
Se entiende por suficiente, aquel nivel de evidencia que el auditor debe
obtener
travs
de
sus
pruebas
de
auditora, para
llegar
conclusiones razonables sobre el uso de las Tecnologas de informacin

y comunicaciones que se someten a examen. Este profesional no
pretende obtener toda la evidencia existente, sino aquella que cumpla,
a su juicio profesional, con los objetivos de su examen.
Es necesario confiar en evidencias que son ms convincentes que

concluyentes, por tanto, con frecuencia puede buscar evidencia de
diferentes fuentes o de distinta naturaleza para apoyar un mismo
hecho o dato. La evidencia es adecuada cuando sea pertinente para
que el auditor emita su juicio profesional.
El auditor en tal situacin debe valorar que los procedimientos que

aplica para la obtencin de la evidencia sean los convenientes en cada
circunstancia.
Evidencia adecuada.
El concepto de adecuacin de la evidencia es la caracterstica
cualitativa, en tanto que el concepto suficiencia tiene carcter
cuantitativo. La combinacin de ambos elementos debe proporcionar al
auditor el conocimiento necesario para alcanzar una base objetiva de
juicio sobre los hechos sometidos a examen.
50
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
La evidencia es adecuada cuando sea pertinente para que el auditor

emita su juicio profesional.
Documentacin de la evidencia
La evidencia obtenida deber recogerse en los papeles de trabajo del
auditor como justificacin y soporte del trabajo efectuado y para
documentar todos aquellos asuntos de importancia relativa que no est
conforme a la normativa tcnica y legal en la operatividad y uso de las
tecnologas de informacin y comunicaciones.
Proteccin y Conservacin
La evidencia de auditora deber estar protegida contra el acceso no
autorizado y la modificacin.
La evidencia de auditora debe mantenerse despus de la finalizacin
del trabajo de auditora, mientras sea necesario para cumplir con todas
las leyes aplicables, reglamentos y polticas.
3. Cumplimiento de Polticas y Procedimientos.
En el transcurso de la auditora de gestin a las tecnologas de

informacin y comunicaciones, el auditor debe cerciorarse mediante los
procedimientos
plasmados
en
los
programas
cumplimiento de polticas y procedimientos
de
auditora,
el
para el uso de la
informacin y de las tecnologas de informacin y comunicaciones

(TICs) en la organizacin, y al determinar que no se estn cumpliendo,
el auditor lo evidenciar aplicando diferentes tcnicas de auditora y lo
comunicar al funcionario pblico responsable del incumplimiento para
51
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
determinar las causales por las cuales no se estn cumpliendo con lo

plasmado en la normativa interna y externa aplicable, esto a su vez le
sirve al auditor para obtener documentacin que respalde su juicio y su
opinin profesional con respecto al uso de la informacin y de la
tecnologa de informacin y comunicaciones.
4. Carta de Salvaguarda.
Antes que el equipo de auditora se retire de la entidad, debern

obtener la carta de salvaguarda, relacionada con la gestin de
tecnologa de informacin y comunicaciones, suscrita por el Titular de
la Entidad o por el funcionario a quien l designe, con la finalidad que
el equipo de auditores se resguarden que toda la informacin
relacionada con las tecnologas de informacin y comunicaciones
solicitada, ha sido prevista por la administracin.
CAPITULO V
DE INFORME
1. Resultados Preliminares de Auditora (Informe Previo).

Esta etapa finaliza con los procedimientos de auditora de la fase de
ejecucin, y comienza con la elaboracin del Informe previo de
Auditora de resultados preliminares (en algunos pases se le conocen
como: informe previo, pre-informe, borrador de informe, entre otros),
el jefe de equipo agrupa todos los asuntos de importancia (
condiciones,
deficiencias,
Manual de Auditora
Comunicaciones.
de
observaciones)
Gestin
las
que
Tecnologas
incumplieron
de
Informacin
las
52
y
disposiciones relacionadas con aspectos de control interno y/o de

cumplimiento con leyes, reglamentos legales y tcnicos u otras
disposiciones aplicables que dieron origen a la condicin (Criterio), con
la documentacin que los respaldan y que los auditores determinaron
al aplicar sus procedimientos de auditora y se comunicarn a la
mxima autoridad de la entidad y a los funcionarios actuantes
responsables, esto se hace para garantizarse que dichos funcionarios
tuvieron la oportunidad de defensa y convocndolos a una lectura de
los resultados obtenidos y previos de auditora para que emitan sus
comentarios de defensa respectivos.
Para
que
un
asunto
de
importancia
(condiciones,
deficiencias,
observaciones), sea incluido en el Informe previo de Auditora de

resultados
preliminares
Informe
de
Auditora
deber
estar
estructurado con todos sus atributos (Condicin, Criterio, Causa,

Efecto, Comentarios de la Administracin, Comentarios del Auditor y
Recomendaciones).
Las recomendaciones y conclusiones hechas por los auditores debern
ser
viables
y factibles
para
que
stas
sean atendidas
por
la
administracin y que sean de fcil comprensin y anlisis para terceras

personas y auditores que verificarn el cumplimiento en auditorias
recurrentes.
El informe previo de Auditora de resultados preliminares deber tener
un formato uniforme y estar dividido por secciones para facilitar al
funcionario lector una rpida comprensin del contenido del informe, y
contendrn los principios y estructuras descrita en el Informe de
Auditora.
53
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
2. Carta de Gerencia de Asuntos de Importancia Relativa.
Al finalizar la fase de ejecucin, se elabora una carta de gerencia, en la

cual se comunicar a la administracin todos aquellos asuntos de
menor importancia, estos asuntos de menor importancia son riesgos
que pueden ser administrados y que a juicio del auditor no son de
impacto
en
la
gestin
de
las
tecnologas
de
informacin
comunicaciones.
Este documento incluye la descripcin de los asuntos de menor

importancia
(Condicin)
determinados
que
no
clasifican
para
constituirse como hallazgo y requieren de atencin por parte de la

administracin
para
que
en
el
futuro
prximo
no
afecten
el
cumplimiento de la Misin, Visin, Objetivos y Metas de la entidad, al

detallar estos asuntos menores, debern incluir las disposiciones
relacionadas con aspectos de control interno, leyes, reglamentos u
otras disposiciones aplicables (Criterio) que se incumplieron y que
originaron la condicin, las cuales al ser superadas mejoraran la
gestin tecnolgica institucional, fortaleciendo el sistema de control
interno, bajo responsabilidad de la mxima autoridad de esa Entidad.
3. Informe de Auditora.
Posterior a la lectura del informe previo de Auditora de resultados

preliminares (Pre Informe, Borrador de Informe) se analizan los
comentarios y documentacin presentada por la administracin, y se
54
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
elabora el Informe de Auditora que contiene los resultados finales de

la auditora que no fuesen superados.
Se comunicarn los resultados al mximo nivel de direccin de la
entidad auditada y otras instancias administrativas, as como a los
funcionarios involucrados en los asuntos de importancia relativa
(observaciones) que correspondan, cuando esto proceda.
El informe de Auditora debe tener un formato uniforme y estar dividido
por
secciones
para
facilitar
al
funcionario
lector
una
rpida
comprensin del contenido del informe.

El informe de Auditora debe cumplir con los principios siguientes:
Que se emita por el jefe de grupo de los auditores actuantes.
Por escrito.
Oportuno.
Que sea completo, exacto, objetivo y convincente, as como claro,

conciso y fcil de entender.
El hecho de que un Informe sea Conciso, no significa que su
contenido sea corto, lo que se quiere es que su contenido sea breve,
ya
que
muchos
informes
pueden
ser
amplios
porque
las
circunstancias as lo requieren; sin embargo no deben incluir hechos

impertinentes, superfluos o insignificantes.
Que todo lo que se consigna est reflejado en los papeles de trabajo

y que responden a hallazgos relevantes con evidencias suficientes y
competentes.
Que refleje una actitud independiente.
Que muestre la conclusin u opinin de los resultados o evaluacin

de la Auditora.
Distribucin rpida y adecuada.

55
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
El informe de auditora deber ser estructurado y tendr como mnimo

requerido lo siguiente:
Nombre de la organizacin
Destinatario del Informe
Alcance de la Auditora
Objetivos de la Auditora
Perodo auditado
Naturaleza, plazo y extensin de las labores de auditora
Hallazgos
Conclusiones
Recomendaciones
Seguimiento Recomendaciones de Informes de auditoras anteriores

(acciones implementadas)
Firma
Fecha
Distribucin del Informe de acuerdo a los mecanismos de cada

Contralora
56
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
II.
La
CONCLUSIONES
auditora
de
Gestin
las
Tecnologas
de
Informacin
Comunicaciones, es la revisin y la evaluacin de los controles, sistemas,

procedimientos de informtica; de los equipos de cmputo, su utilizacin,
eficiencia
seguridad,
de
la
organizacin
que
participan
en
el
procesamiento de la informacin, a fin de que por medio del sealamiento

se logre una utilizacin ms eficiente y segura de la informacin que
servir para una adecuada toma de decisiones.
La
auditora
de
Gestin
las
Tecnologas
de
Informacin
Comunicaciones, deber comprender no slo la evaluacin de los equipos

de cmputo, de un sistema o procedimiento especficos, sino que adems
habr de evaluar los sistemas de informacin en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtencin de
informacin, contribuye con la direccin al logro de una administracin
ms eficaz, adems de valorar los mtodos y desempeo en todas las
reas orientadas a la informtica, los factores de la evaluacin abarcan el
panorama econmico, determinar deficiencias causantes de dificultades,
sean actuales o en potencia, las irregularidades, descuidos, prdidas
innecesarias, actuaciones equivocadas, deficiente colaboracin de lo que
es una buena organizacin de la tecnologa de informacin.
57
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
III. APLICABILIDAD
EN
EL
CAMPO
DEL
CONTROL
GUBERNAMENTAL.
Este manual de Auditora de Gestin a las Tecnologas de Informacin y

Comunicaciones, es aplicable al campo gubernamental por la creciente
disponibilidad, transacciones econmicas y uso de informacin en forma
electrnica y de procesos sistematizados y de comunicacin que son
capaces de satisfacer las necesidades de los usuarios (ciudadanos) que
hacen uso de las tecnologas de la informacin y comunicaciones (TICs),
es decir, las instituciones gubernamentales dependen cada vez ms de la
tecnologa de la informacin para la prestacin de los servicios pblicos y
municipales, stas tienen una importancia vital en la misin, visin y en
los
objetivos
de
las
organizaciones
pblicas
municipales
su
aplicabilidad depender del grado de madures en tecnologa que se tenga

en cada regin.
Es importante mencionar que actualmente en algunas unidades de
Auditoria Interna de las entidades pblicas y gubernamentales no se
practica como tal una auditoria de gestin a las tecnologas de informacin
y comunicaciones, ya que nicamente realizan un tipo de examen de
control interno y de cumplimento a leyes y reglamentos aplicables al rea
de tecnologa de la entidad.
58
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
IV. BIBLIOGRAFA
http://www.geocities.com/lsialer/NotasInteresantes.htm
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtm
http://www.monografias.com/trabajos/maudisist/maudisist.shtml
http://www.slideshare.net/alafito/niasauditsist.
Propuesta de Criterios Tcnicos de Control Interno del rea de
Tecnologa de la Informacin, publicado en la Revista - Transparencia
ao 3 No. 7 Enero 2008 y Publicorte No. 27 ao 7 Diciembre de 2007Enero 2008 de la Corte de Cuentas de la Republica de El Salvador
www.intosai.org - Normas de Auditora de la Organizacin Internacional
de Entidades Fiscalizadoras (INTOSAI)
http://www.geocities.com/lsialer/NotasInteresantes.htm.
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml.
http://www.monografias.com/trabajos/maudisist/maudisist.shtml
Directriz
emitida
por
ISACA,
Uso
de
Tcnicas
Asistidas
por
Computadora (TAACs)
Norma de Auditora de SI, Documento S15, Controles de Tecnologa de
Informacin, emitida por ISACA.
Norma de Auditora Reporte, Documento S7, emitido por ISACA.
Seminario de Auditora de Sistemas de Informacin Computarizados,
impartido por el Instituto Salvadoreo de Contadores Pblicos en
septiembre de 2010.
59
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
V.
ANEXOS
ANEXO 1
FORMATO DE PAPELES DE TRABAJO
En general, todo papel de trabajo electrnico debe contener como mnimo:
Ttulo del Ente Fiscalizador y la unidad a la cual pertenece el auditor
que elabora los papeles de trabajo con sus respectivos logos de pas y
del ente fiscalizador.
Encabezado: incluir el nombre de la entidad pblica, perodo de la

auditoria, tipo de auditora y rea o componente especfico, objeto de
la auditora.
Referencias: cada papel de trabajo tendr su propia referencia, y

deber indicar las hojas de trabajo relacionadas de acuerdo con un
sistema de referencias cruzadas.
Fecha e Identificacin de quin prepar el papel de trabajo: Mediante

rbrica de la persona que ha contribuido a su elaboracin, as como la
fecha de realizacin.
Fecha e Identificacin de quin supervis el trabajo: Mediante iniciales

de la persona que revis el trabajo realizado, como constancia de la
supervisin efectuada.
60
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
Referencia al paso del programa de trabajo: Para conocer el objetivo

de preparacin de la cdula.
El anlisis realizado: Estar en funcin a la ejecucin de los

procedimientos de auditora para cumplir con lo definido en los
programas de trabajo.
Mtodo de muestreo: Cuando sea aplicable ser necesario hacer

referencia al mtodo de muestreo aplicado.
Explicacin de las marcas de auditora utilizadas: En la parte inferior de

la cdula se deber realizar una descripcin del significado de las
marcas de auditora utilizadas, en el caso de que esta explicacin se
encuentre en otra cdula se har referencia a la misma.
Conclusiones: Cuando corresponda, se realizar una exposicin de los

resultados logrados con el trabajo, una vez finalizado.
La referencia de papeles de trabajo electrnicos en la auditoria

operacional o de gestin se realizar, utilizando las herramientas
automticas de ofimtica o bien referencia automatizada de un
software especfico.
61
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
ANEXO 2
Criterios Tcnicos del rea de Tecnologas de Informacin y
Comunicaciones.
Se proponen criterios tcnicos iniciales para gestionar la Infraestructura
Tecnolgica y de los procesos sistematizados en el sector pblico y
municipal.
ADMINISTRACIN DEL REA DE TECNOLOGIA DE INFORMACION
El rea de TI debe realizar un proceso de panificacin de TI de acuerdo

con la planeacin estratgica institucional, que facilite la consecucin de
sus de sus logros futuros.
La entidad debe procurar que a travs del Manual de Organizacin,
Funciones y Planes de Trabajo, se facilite la consecucin de los objetivos
planteados; para esto la entidad debe:
a) Velar porque la ubicacin del rea de TI, se encuentre en un nivel
razonable
de
independencia
funcional
dentro
de
la
estructura
organizacional.
b) Definir y mantener actualizado el manual de puestos para el personal
de TICs, de manera que las funciones y responsabilidades queden
claramente establecidas.
c) Definir los procedimientos que permitan la contratacin y adquisicin
de recursos de TICs.
d) Establecer una metodologa que permita administrar adecuadamente
los proyectos internos y externos (outsourcing), de acuerdo con los
62
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
recursos proyectados e invertidos.

e) Elaboracin de Presupuesto del rea de tecnologa de la Informacin
que incluyan los proyectos tecnolgicos viables a desarrollar el
cumplimiento
de
los
objetivos
estratgicos
operativos
de
la
institucin en el periodo financiero y debe de estar acorde con el plan

de compras institucional.
f) Elaborar un plan de Trabajo diseado de tal manera que defina los
objetivos a cumplir y alineado con los objetivos estratgicos y/o
operativos institucionales, actividades a desarrollar, programacin,
indicadores de cumplimiento.
La entidad debe procurar que los miembros de la organizacin acten de

modo que contribuyan al logro de los objetivos, establecer y comunicar los
objetivos de la administracin y las polticas de TICs, a los niveles
pertinentes y contar con personal tcnicamente capacitado o en su
ausencia contratarlo externamente.
La entidad implantar los mecanismos de control necesarios para la

supervisin y control de las tareas del rea de TI; para ello deber:
a) Verificar el cumplimiento de los controles y objetivos establecidos para

los procesos de TICs.
b) Contar con un contrato vigente de prestacin de servicios para el caso

en que sus servicios de TICs no sean propios, verificando el
cumplimiento del mismo.
63
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
c) Velar por el cumplimiento de sus obligaciones legales, regulatorias y

contractuales, en los plazos y formas establecidas, as como las que
terceros han establecido con la entidad.
La entidad que subcontrate parte o la totalidad de su procesamiento de
datos en nuestro pas, deber incluir en los contratos que suscriba, una
clusula que permita a la entidad auditada la supervisin de las tareas
contratadas en las instalaciones del proveedor.
SEGURIDAD LGICA Y ACCESO A LOS DATOS

El rea de TICs de la entidad administrar adecuadamente la seguridad
lgica de sus recursos; para esto deber:
a. Establecer
polticas
procedimientos
que
permitan
identificar,
autenticar y autorizar el acceso a los sistemas de informacin, sistemas

operativos y bases de datos.
b. Establecer polticas y procedimientos que permitan dar seguimiento a
las
transacciones
que
se
ejecutan
en
los
sistemas
de informacin, bases de datos y sistemas operativos.
Se debe mantener una adecuada seguridad en todos aquellos puntos con

acceso a redes pblicas de datos; definiendo controles que permitan
restringir el trfico hacia dentro y fuera de la red institucional (Pared de
fuego); Establecer polticas y procedimientos de prevencin, deteccin y
correccin de virus y Establecer polticas y procedimientos que regulen la
utilizacin del correo electrnico.
64
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
SEGURIDAD FSICA
El rea de TICs debe establecer polticas y procedimientos relacionados
con la ubicacin, construccin, acceso fsico a dicha rea.
El rea de TICs debe contar con procedimientos de control que regulen

las condiciones ambientales del rea, que proporcionen un ambiente fsico
conveniente para su funcionamiento y protejan los recursos materiales y al
personal de TICs contra peligros naturales o fallas humanas.
El rea de TICs debe de elaborar y ejecutar un plan de Mantenimiento de

Equipo
Informtico;
debidamente
diseado
con
objetivos,
polticas,
prioridades, programacin de actividades en el que se identifique a los

responsables de ejecutarlas y la determinacin de los costos estimados;
adems, la identificacin de metas programadas formuladas de manera
precisa, factible, viable y medible, para que se pueda ejercer un
seguimiento y evaluacin de objetivos sobre su cumplimiento, para la
toma de decisiones a efecto de orientar adecuada y oportunamente los
recursos asignados. Este plan deber ser autorizado por la mxima
autoridad de la entidad y ser comunicado a los niveles pertinentes.
El rea de TICs deber de contar con la documentacin de soporte de las

operaciones que realicen (Fsicas o Electrnicas), ya que con sta se
justifica e identifica la naturaleza, finalidad y resultado de la actividad
realizada; asimismo, contiene datos y elementos suficientes que facilitan
su anlisis. La documentacin debe estar debidamente custodiada y contar
65
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
con procedimientos para su actualizacin oportuna.
SISTEMAS DE INFORMACIN
El rea de TICs debe procurar, a travs de procedimientos, el diseo e
implementacin de sistemas de informacin sean eficaces, seguros,
ntegros, eficientes y econmicos, que impidan la modificacin no
autorizada; asimismo, se ajuste al cumplimento de las leyes, reglamentos
y normativa vigente que les sean aplicables; para lo cual ser necesario
que se implemente:
a) Implementar una metodologa para el ciclo de vida del desarrollo de
sistemas, que asegure la calidad de los sistemas de informacin y
satisfaga los requerimientos del usuario.
b) Definir una adecuada separacin de los ambientes de desarrollo y
produccin, de forma que el personal de desarrollo no tenga acceso al
ambiente en produccin.
c) Se deber definir procedimientos de actualizacin en los manuales de
usuario y tcnico, para el uso de los sistema en produccin y que se se
encuentra documentado el Control de cambios (versiones del Sistema)
y los requerimientos se encuentren autorizados, realizados en el
Sistema dentro del sistema.
d) Disear lineamientos para verificar que todas las transacciones
efectuadas por los usuarios de los sistemas posean huellas o pistas de
auditora que permitan rastrear a los responsables de ingresar,
eliminar y modificar los registros en las bases de datos.
El rea de TICs debe velar por la adecuada disponibilidad, capacidad y el

66
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
desempeo de los sistemas de informacin.

El rea de TICs debe contar con polticas y procedimientos relacionados
con la captura, actualizacin, procesamiento, almacenamiento y salida de
los datos, que asegure que los mismos permanezcan completos, precisos,
confiables y vlidos.
SOFTWARE Y BASES DE DATOS

El rea de TICs administrar adecuadamente sus bases de datos, y se
requiere que se realice lo siguiente:
a) Definir la arquitectura de informacin para organizar y aprovechar de
la mejor forma los sistemas de informacin.
b) Establecer polticas y procedimientos actualizados relacionados con la
instalacin, administracin, migracin, mantenimiento y seguridad de
las bases de datos.
c) Definir
mecanismos
para
controlar
la
integridad,
disponibilidad,
seguridad, capacidad y el desempeo de las bases de datos.

d) Elaboracin de respaldos y definicin de perodos de almacenamiento y
eliminacin de informacin, acorde con los requerimientos legales de la
entidad.
El rea de TICs debe definir polticas y procedimientos para la adecuada

instalacin, mantenimiento y administracin de software debidamente
autorizado. Adems, todo software deber actualizarse con las ltimas
mejoras de seguridad publicadas por el proveedor, de la versin que estn
utilizando y que todava cuenta con soporte por parte del proveedor. Lo
anterior con el fin de reducir su vulnerabilidad, producto de las deficiencias
67
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
en los sistemas de seguridad, sistemas operativos, base de datos,

antivirus, entre otros.
HARDWARE, REDES y COMUNICACIONES

La entidad debe administrar adecuadamente el hardware, las redes y las
lneas de comunicacin. Para lo cual deber:
a) Realizar estudios de capacidad y desempeo del hardware y las lneas
de comunicacin, que permitan determinar en forma oportuna,
necesidades de ampliacin de capacidades o actualizaciones de
equipos.
b) Establecer mecanismos para procurar que todas las redes instaladas,
ya sean elctricas, de voz o de datos, cumplan con los requerimientos
mnimos vigentes de cableado estructurado. Entre estos debern
considerarse la documentacin, el etiquetado, ductos para el cableado
y el aterrizamiento del mismo.
c) Establecer
polticas
procedimientos
para
la
instalacin
mantenimiento del hardware y su configuracin base, que proporcionen

la plataforma de TICs apropiada para soportar las aplicaciones de la
entidad y reduzcan la frecuencia e impacto de las fallas de desempeo
del hardware.
El rea de TICs debe administrar adecuadamente los puntos de red y

switch es de red, para lo cual ser necesario:
a) Establecer polticas y procedimientos para la ubicacin, proteccin y
mantenimiento de los puntos de red y switches.
b) Mantener en lnea las estaciones de trabajo con los sistemas de
68
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
informacin de la entidad, de tal forma que en todo momento se

cuente con la informacin oportuna, confiable y actualizada.
c) Establecer polticas y procedimientos para la comunicacin al cliente
(usuario) sobre el uso adecuado de las estaciones de trabajo y
sistemas lgicos.
CONTINUIDAD DE LAS OPERACIONES

El rea de TICs debe establecer y mantener actualizadas polticas y
procedimientos para el respaldo y recuperacin de la informacin, que le
permitan tener acceso a la misma durante periodos de contingencias,
causados por desperfectos en los equipos, prdida de informacin u otras
situaciones similares.
El rea de TICs debe establecer un plan de continuidad o contingencia,

viable donde se detallen acciones, procedimientos y recursos financieros,
humanos y tecnolgicos que considere los riesgos posibles, que afecten de
forma parcial o total la operativa normal de los servicios de TICs
categorizando el tipo de accin a realizar en cuanto a la medicin en
tiempo y recurso financiero para el restablecimiento de las operaciones
tecnolgicas. Este plan deber ser autorizado por la mxima autoridad de
la entidad y ser comunicado a los niveles pertinentes. Adems, este plan
debe probarse y actualizarse atendiendo la realidad tecnolgica de la
entidad al menos una vez al ao.
El rea de TICs debe contar con una infraestructura tecnolgica

adecuada, que contemple el suministro de energa elctrica para la
69
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
continuidad del negocio en caso de fallas temporales en la red elctrica.
La entidad debe contar con cobertura de seguros para los principales

equipos de cmputo y comunicaciones que permita mitigar el riesgo
provocado
ante
cualquier
tipo
de
contingencia
desastre
natural
(incendio, impacto de rayo, explosin, explosin, humo, gases o lquidos

corrosivos, corto circuito, variaciones de voltaje, huelga, motn, robo,
asalto y fenmenos naturales).
SERVICIOS POR INTERNET y Y CORREO ELECTRNICO INTERNO.

El rea de TICs debe administrar adecuadamente la seguridad lgica de
los servicios por Internet y correo electrnico interno. Para esto se debe:
a) Implementar mecanismos de seguridad fsica y lgica que protejan la
integridad y privacidad de la informacin sensible cuando el canal de
transmisin sea internet.
b) Implementar y dar mantenimiento a los mecanismos de seguridad en
todos aquellos puntos con acceso al servicio por internet. Estos
mecanismos debern probarse al menos dos veces al ao.
c) Establecer procedimientos para uso y asignacin del Internet y correo
institucional.
d) Elaborar procedimientos para la estandarizacin para la creacin y
acceso de usuarios de red Institucional.
El rea de TICs debe considerar dentro de plan de continuidad o

contingencia, un apartado donde se detallen acciones, procedimientos y
recursos que consideren los riesgos posibles, que afecten de forma parcial
70
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin
o total la operativa normal de los servicios por Internet y correo interno.
El rea de TICs debe asegurar la adecuada disponibilidad, capacidad y el

desempeo de los servicios por internet.
El
rea
de
TICs
debe
crear
polticas
procedimientos
para
el
mantenimiento y seguridad del Portal o pgina Web en donde se defina la

responsabilidad del rea para la actualizacin, elaboracin, creacin y/o
diseo de la pgina Web institucional.
71
Manual de Auditora
Comunicaciones.
de
Gestin
las
Tecnologas
de
Informacin

Manual de Auditoría de Gestión A Las Tecnologías de Información y Comunicaciones

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Auditoría de Gestión A Las Tecnologías de Información y Comunicaciones

Cargado por

Copyright:

Formatos disponibles

CORTE DE CUENTAS DE LA REPBLICA

XIV Concurso Anual de Investigacin de OLACEFs 2011,

SEUDNIMO: JEREMAS 333

1.2.1 Informacin mnima deben contener los papeles de trabajo

Supervisin en el Proceso de una Auditora de Gestin

CAPITULO III ............................................................................... 16

1.2 Infraestructura Tecnolgica de la entidad auditada. ................... 18

5.2 Indicadores de Gestin (Eficiencia, Eficacia, Efectividad y Economa)

II. CONCLUSIONES ....................................................................... 57

El presente manual de auditora de gestin a las tecnologas de

confidencialidad, confiabilidad, integridad, disponibilidad de la informacin

recomendaciones oportunas y acertadas que sirvan de gua para corregir

El Captulo I, describe las generalidades de la investigacin como: ttulo

la investigacin incluyendo el proceso de

auditora de gestin a las tecnologas de informacin y comunicaciones, la

informacin y comunicaciones en las diferentes entidades del sector

En el Captulo II Desarrollo de la investigacin, se describen los

los estndares internacionales que intervienen en el proceso de una

El Captulo III de la Planificacin, describe el desarrollo de una

comunicaciones, pues dicho conocimiento le brinda un marco conceptual,

En el Captulo IV de la Ejecucin, se describen las pruebas asistidas por

El Capitulo V de Informe, describe la estructura que debe de contener

estos asuntos de menor importancia son riesgos que pueden ser

conclusiones del auditor sobre el uso de las tecnologas de informacin y

soportados por recursos informticos y de comunicacin que son capaces

auditoras, adems es necesario para el desarrollo de la auditoria, la

relacionados con seguridad de la informacin, control interno y servicios

Manual de Auditora de Gestin a las Tecnologas de la Informacin

1.2 Definicin del Problema

Los Entes Fiscalizadores no poseen una metodologa apropiada a

1.3 Objetivos de la Investigacin.

1) Proponer criterios tcnicos tecnolgicos en el desarrollo de

auditorias de gestin a las tecnologas de informacin y

El alcance que tendr la investigacin comprende todo el proceso

La Auditora de Gestin a las Tecnologas de Informacin y

generales y especficos TICs y procedimientos sustantivos y

1.5 Metodologa de Investigacin utilizada.

La metodologa de investigacin ser documental, la cual permite

Estas fuentes de informacin son los documentos que registran o

Elegido el tema de estudio se procede a la recopilacin y lectura

La investigacin contar con el ttulo de la investigacin, definicin

En todas las reas de la gestin pblica y municipal, las

Las Tecnologas de Informacin y Comunicaciones, tambin

Las Tecnologas de la Informacin y la Comunicacin estn

Esta revolucin ha sido propiciada por la aparicin de la tecnologa

1.7 Definicin de Auditora de Gestin a las TICs.

La Auditora de Gestin a las Tecnologas de Informacin y

actividades, procesos e informes de una entidad, con el fin de

eficiencia en el uso de los recursos informticos, validez y

Este enfoque es totalmente compatible con las prcticas y

codificacin de la informacin, prevencin de virus, fraude,

deteccin y mitigacin de intrusos, entre otros; estos estndares

1.1 Objetivo del Manual.

realizacin de una auditora de gestin a las tecnologas de

informacin procesada y resguardada dentro de la entidad.

elaboracin de papeles de trabajo en medios magnticos, el cual

se almacenar segn las necesidades particulares de cada entidad

El auditor deber preparar y conservar los papeles de trabajo

La documentacin de auditora es conocida tambin como:

procedimientos desarrollados en la auditora, es decir, la evidencia

1.2.1 Informacin mnima que deben contener los papeles

Los papeles de trabajo electrnicos que elaborarn los

electrnica y deben ser completos, de tal forman que