Instituto Tecnológico de Chetumal

“Diferentes modelos de control aplicados a la

auditoria informática”

Auditoria Informática

Profesor:
Ing. Miguel Ángel Durán Jacobo
Alumnos:

Miguel Ángel Rodríguez Muñoz

Luna León Carlos Antonio
López Luna Román

13-Septiembre-2010
 El presente documento trata sobre los diferente modelos de control que pueden ser
utilizados durante una auditoria informática, cada uno de estos modelos tienen sus
características especiales, los cuales nos proporcionaran información necesaria para
conocer la eficiencia de los sistemas informáticos, el cumplimiento de las normativas del
ámbito y conocer si es eficaz la gestión de los recursos informáticos.

2
 Introducción

Auditoria informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos.

Los objetivos de la auditoría Informática son:

 El control de la función informática

 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito
 La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

 Eficiencia
 Eficacia
 Rentabilidad
 Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

 Gobierno corporativo
 Administración del Ciclo de vida de los sistemas
 Servicios de Entrega y Soporte
 Protección y Seguridad
 Planes de continuidad y Recuperación de desastres.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la

auditoría informática ha promovido la creación y desarrollo de mejores prácticas como
COBIT, COSO, COCO, AEC y SAC

3
 Modelos de Control Utilizados en Auditoria Informática

En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de
control interno “informe COSO” y COBIT son los dos modelos más difundidos en la
actualidad, aun que podemos encontrar otros como el COCO, AEC y SAC.

COSO está enfocado a toda la organización, contempla políticas, procedimientos y

estructuras organizativas además de procesos para definir el modelo de control interno.

Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra
en el entorno IT, contempla de forma específica la seguridad de la información como uno
de sus objetivos, cosa que COSO no hace. Además el modelo de control interno que
presenta COBIT es más completo, dentro de su ámbito.

Informe COSO

El denominado "Informe COSO" sobre control interno, publicado en EE.UU. en 1992,

surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos,
definiciones e interpretaciones existentes en torno a la temática referida.

Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de
trabajo que la Treadway Commission, National Commission On Fraudulent Financial
Reporting, se creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF
SPONSORING ORGANIZATIONS).

El grupo estaba constituido por representantes de las siguientes organizaciones:

· American Accounting Association (AAA)

· American Institute of Certified Public Accountants (AICPA)
· Financial Executive Institute (FEI)
· Institute of Internal Auditors (IIA)
· Institute of Management Accountants (IMA)

La redacción del informe fue encomendada a Coopers & Lybrand.

Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco

conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que
venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones
públicas o privadas, de la auditoria interna o externa, o de los niveles académicos o
legislativos, se cuente con un marco conceptual común, una visión integradora que
satisfaga las demandas generalizadas de todos los sectores involucrados.

4
Componentes

El marco integrado de control que plantea el informe COSO consta de cinco componentes
interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión:

· Ambiente de control
· Evaluación de riesgos
· Actividades de control
· Información y comunicación
· Supervisión

Ambiente De Control

El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de

una entidad desde la perspectiva del control interno y que son por lo tanto determinantes
del grado en que los principios de este último imperan sobre las conductas y los
procedimientos organizacionales.

Los principales factores del ambiente de control son:

· La filosofía y estilo de la dirección y la gerencia.

· La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.
· La integridad, los valores éticos, la competencia profesional y el compromiso de todos los
componentes de la organización, así como su adhesión a las políticas y objetivos
establecidos.
· Las formas de asignación de responsabilidades y de administración y desarrollo del
personal.
. El grado de documentación de políticas y decisiones, y de formulación de programas que
contengan metas, objetivos e indicadores de rendimiento.

El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores
que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese
mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al
tono de la organización.

Evaluación De Riesgos

El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las
actividades de las organizaciones. A través de la investigación y análisis de los riesgos
relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la
vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad
y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto
al nivel de la organización como de la actividad.

5
El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no
son un componente del control interno, constituyen un requisito previo para el
funcionamiento del mismo.

Los objetivos (relacionados con las operaciones, con la información financiera y con el
cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo
objetivos globales y por actividad, una entidad puede identificar los factores críticos del
éxito y determinar los criterios para medir el rendimiento.

A este respecto cabe recordar que los objetivos de control deben ser específicos, así como
adecuados, completos, razonables e integrados a los globales de la institución.

Una vez identificados, el análisis de los riesgos incluirá:

· Una estimación de su importancia / trascendencia.

· Una evaluación de la probabilidad / frecuencia.
· Una definición del modo en que habrán de manejarse.

Existen circunstancias que pueden merecer una atención especial en función del impacto
potencial que plantean:

· Cambios en el entorno.
· Redefinición de la política institucional.
· Reorganizaciones o reestructuraciones internas.
· Ingreso de empleados nuevos, o rotación de los existentes.
· Nuevos sistemas, procedimientos y tecnologías.
· Aceleración del crecimiento.
· Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios deben estar orientados
hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma
complementados con planes para un abordaje adecuado de las variaciones.

Actividades De Control

Están constituidas por los procedimientos específicos establecidos como un reaseguro para
el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y
neutralización de los riesgos.

Las actividades de control se ejecutan en todos los niveles de la organización y en cada una
de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo
expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados
a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo
de la entidad con el que estén relacionados:

· Las operaciones
· La confiabilidad de la información financiera
6
· El cumplimiento de leyes y reglamentos

En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar
también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad
de la información financiera, éstas al cumplimiento normativo, y así sucesivamente.

A su vez en cada categoría existen diversos tipos de control:

· Preventivo / Correctivos
· Manuales / Automatizados o informáticos
· Gerenciales o directivos

En todos los niveles de la organización existen responsabilidades de control, y es preciso

que los agentes conozcan individualmente cuales son las que les competen, debiéndose para
ello explicitar claramente tales funciones.

La gama que se expone a continuación muestra la amplitud abarcativa de las actividades de

control, pero no constituye la totalidad de las mismas:

· Análisis efectuados por la dirección.

· Seguimiento y revisión por parte de los responsables de las diversas funciones o
actividades.
· Comprobación de las transacciones en cuanto a su exactitud, totalidad, y autorización
pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consistencia,
prenumeraciones.
· Controles físicos patrimoniales: arqueos, conciliaciones, recuentos.
· Dispositivos de seguridad para restringir el acceso a los activos y registros.
· Segregación de funciones.
· Aplicación de indicadores de rendimiento.

Es necesario remarcar la importancia de contar con buenos controles de las tecnologías de

información, pues éstas desempeñan un papel fundamental en la gestión, destacándose al
respecto el centro de procesamiento de datos, la adquisición, implantación y mantenimiento
del software, la seguridad en el acceso a los sistemas, los proyectos de desarrollo y
mantenimiento de las aplicaciones.

A su vez los avances tecnológicos requieren una respuesta profesional calificada y

anticipativa desde el control.

Información Y Comunicación

Así como es necesario que todos los agentes conozcan el papel que les corresponde
desempeñar en la organización (funciones, responsabilidades), es imprescindible que
cuenten con la información periódica y oportuna que deben manejar para orientar sus
acciones en consonancia con los demás, hacia el mejor logro de los objetivos.

7
La información relevante debe ser captada, procesada y transmitida de tal modo que llegue
oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales.

La información operacional, financiera y de cumplimiento conforma un sistema para

posibilitar la dirección, ejecución y control de las operaciones.

Está conformada no sólo por datos generados internamente sino por aquellos provenientes
de actividades y condiciones externas, necesarios para la toma de decisiones.

Los sistemas de información permiten identificar, recoger, procesar y divulgar datos

relativos a los hechos o actividades internas y externas, y funcionan muchas veces como
herramientas de supervisión a través de rutinas previstas a tal efecto. No obstante resulta
importante mantener un esquema de información acorde con las necesidades institucionales
que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto deben
adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las
iniciativas y actividades estratégicas, a través de la evolución desde sistemas
exclusivamente financieros a otros integrados con las operaciones para un mejor
seguimiento y control de las mismas.

Ya que el sistema de información influye sobre la capacidad de la dirección para tomar

decisiones de gestión y control, la calidad de aquél resulta de gran trascendencia y se refiere
entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad.

Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el
trabajo de los demás, cuáles son los comportamientos esperados, de que manera deben
comunicar la información relevante que generen.

Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto
es, en el más amplio sentido, incluyendo una circulación multidireccional de la
información: ascendente, descendente y transversal.

La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte
de los directivos resultan vitales.

Además de una buena comunicación interna, es importante una eficaz comunicación

externa que favorezca el flujo de toda la información necesaria, y en ambos casos importa
contar con medios eficaces, dentro de los cuales tan importantes como los manuales de
políticas, memorias, difusión institucional, canales formales e informales, resulta la actitud
que asume la dirección en el trato con sus subordinados. Una entidad con una historia
basada en la integridad y una sólida cultura de control no tendrá dificultades de
comunicación. Una acción vale más que mil palabras.

Supervisión

Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente,

así como su revisión y actualización periódica para mantenerla en un nivel adecuado.
Procede la evaluación de las actividades de control de los sistemas a través del tiempo, pues
8
toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser
reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o
resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a
la gestión que, al variar las circunstancias, generan nuevos riesgos a afrontar.

El objetivo es asegurar que el control interno funciona adecuadamente, a través de dos

modalidades de supervisión: actividades continuas o evaluaciones puntuales.

Las primeras son aquellas incorporadas a las actividades normales y recurrentes que,
ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las
circunstancias sobrevinientes.

En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones:

a) Su alcance y frecuencia están determinados por la naturaleza e importancia de los

cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los
controles, y los resultados de la supervisión continuada.
b) Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la
auditoría interna (incluida en el planeamiento o solicitada especialmente por la dirección), y
los auditores externos.
c) Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen,
priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es
averiguar el funcionamiento real del sistema: que los controles existan y estén
formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos, y
que resulten aptos para los fines perseguidos.
d) Responden a una determinada metodología, con técnicas y herramientas para medir la
eficacia directamente o a través de la comparación con otros sistemas de control
probadamente buenos.
e) El nivel de documentación de los controles varía según la dimensión y complejidad de la
entidad.
f) Debe confeccionarse un plan de acción que contemple:
· El alcance de la evaluación
· Las actividades de supervisión continuadas existentes.
· La tarea de los auditores internos y externos.
· Areas o asuntos de mayor riesgo.
· Programa de evaluaciones.
· Evaluadores, metodología y herramientas de control.
· Presentación de conclusiones y documentación de soporte
· Seguimiento para que se adopten las correcciones pertinentes.

Las deficiencias o debilidades del sistema de control interno detectadas a través de los
diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se
adopten las medidas de ajuste correspondientes.

Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto
las personas responsables de la función o actividad implicada como las autoridades
superiores.
9
En conclusión; En el marco de control postulado a través del Informe COSO, la
interrelación de los cinco componentes (Ambiente de control, Evaluación de riesgos,
Actividades de control, Información y comunicación, y Supervisión) genera una sinergia
conformando un sistema integrado que responde dinámicamente a los cambios del entorno.

Atendiendo a necesidades gerenciales fundamentales, los controles se entrelazan a las

actividades operativas como un sistema cuya efectividad se acrecienta al incorporarse a la
infraestructura y formar parte de la esencia de la institución.

Mediante un esquema de controles incorporados como el descripto:

· Se fomentan la calidad, las iniciativas y la delegación de poderes.

· Se evitan gastos innecesarios.
· Se generan respuestas ágiles ante circunstancias cambiantes.

COBIT

La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento
de su supervivencia en el mercado.

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y

Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de varios países,
desarrollado por ISACA (Information Systems Audit and Control Association).

La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnología de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los
procesos involucrados en la organización.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y

la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
“La adecuada implementación de un modelo COBIT en una organización, provee una
herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los
objetivos de control y controles detallados, que aseguran que los procesos y recursos de
información y tecnología contribuyen al logro de los objetivos del negocio en un mercado
cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.

10
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de tecnología. Vinculando tecnología informática y
prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales
prominentes en un recurso crítico para la gerencia, los profesionales de control y los
auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los

computadores personales y las redes. Está basado en la filosofía de que los recursos TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados para
proveer la información pertinente y confiable que requiere una organización para lograr sus
objetivos.

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define

un marco de referencia que clasifica los procesos de las unidades de tecnología de
información de las organizaciones en cuatro “dominios” principales, a saber:

- Planificación y organización
- Adquisición e implantación
- Soporte y Servicios
- Monitoreo

Principios

Requerimientos de la Información del Negocio

• Efectividad: Información relevante y pertinente, proporcionada en forma oportuna,

correcta, consistente y utilizable
• Eficiencia: Empleo óptimo de los recursos.
• Confidencialidad: Protección de la información sensitiva contra divulgación no
autorizada
• Integridad: Información exacta y completa, así como válida de acuerdo con las
expectativas de la organización.
• Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus
capacidades.
• Cumplimiento: Leyes, regulaciones y compromisos contractuales.
• Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento
normativo.

Recursos de TI

• Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas,
sonidos, etc.
• Aplicaciones: Sistemas de información, que integran procedimientos manuales y
sistematizados.

11
 • Tecnología: Hardware y software básico, sistemas operativos, de administración de
bases de datos, de redes, telecomunicaciones, multimedia, etc.
• Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas.
• Recurso Humano: Habilidad, actitud y productividad del personal.

Básicamente, apoya a la organización al proveer un marco que asegura que:

 La Tecnología de Información (TI) esté alineada con la misión y visión.

 LA TI capacite y maximice los beneficios.
 Los recursos de TI sean usados responsablemente.
 Los riesgos de TI sean manejados apropiadamente.

El modelo COBIT hace un estudio de estos elementos para conocer realmente la

importancia de cada uno y conocer el estado y situación general de la organización
completa

COCO

El Instituto Canadiense de Contadores Certificados (CICA por sus siglas en inglés), a través
de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre
Control Interno dio a conocer el Modelo COCO (Comisión de Criterios sobre el Control
por sus siglas en inglés, en lo adelante COCO).

El modelo busca proporcionar un entendimiento del control y dar respuesta a las siguientes
tendencias:

1. En el impacto de la tecnología y el recorte a las estructuras organizativas.

2. En la creciente demanda de informar públicamente acerca de la eficacia del control.
3. En el énfasis de las autoridades para establecer controles, como una forma de proteger
los intereses de los accionistas.

El modelo pretende proporcionar bases consistentes para dichos requerimientos

reguladores, de tal manera que permitan a las autoridades cumplir sus objetivos, sin que con
ello se establezcan requerimientos excesivos que pudieran atentar contra la eficiencia de la
gestión.

El propósito del modelo es desarrollar orientaciones o guías generales para el diseño,

evaluación y reportes sobre los sistemas de control dentro de las organizaciones,
incluyendo asuntos gubernamentales en el sector público y privado.

Elementos del Control

En la estructura del modelo, los criterios son elementos básicos para entender y, en su caso,
aplicar el sistema de control que se comenta. Se requieren adecuados análisis y

12
comparaciones para interpretar los criterios en el contexto de una organización en
particular, y para una evaluación efectiva de los controles implantados.

El modelo prevé veinte criterios agrupados en cuatro grupos, en cuanto al propósito,

compromiso, aptitud, y evaluación y aprendizaje. Los criterios definidos para cada grupo
son los siguientes:

Propósito

El apoyo en su capacidad o aptitud para alcanzarlo (información, herramientas y

habilidades).
El sentido de compromiso e involucramiento para realizar debida y oportunamente
su tarea.
Que la misma persona deba vigilar y evaluar su desempeño.
Los objetivos deben ser comunicados.
Se deben identificar los riesgos internos y externos que pudieran afectar el logro de
los objetivos.
Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas,
de manera que el personal identifique el alcance de su libertad de actuación.
Se deben establecer planes para guiar los esfuerzos.
Los objetivos y planes deben incluir metas, parámetros e indicadores de medición
del desempeño.

Compromiso

1. Se deben establecer y comunicar los valores éticos de la organización.

2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los
valores éticos de la organización y con el logro de sus objetivos.
3. La autoridad y la responsabilidad deben ser claramente definidos y consistentes
con los objetivos de la organización, para que las decisiones se tomen por el personal
apropiado.
4. Se debe fomentar una atmósfera de confianza para apoyar el flujo de la
información.

Es importante reiterar que la misma persona deberá vigilar y evaluar su desempeño, al igual
que su entorno, para aprender de la experiencia y poder ejecutar mejor su tarea, así como
para introducir los cambios necesarios.

En este sentido, si se desea aplicar este modelo en una organización, la unidad a considerar
puede ser toda la entidad, una agencia o dependencia de la misma, o subunidades como
pueden ser divisiones o departamentos.

El control comprende los elementos de una organización que tomados en conjunto, apoyan
al personal en el logro de sus objetivos organizacionales, los cuales se ubican en las
categorías generales siguientes:

13
  Efectividad y eficiencia de las operaciones. Incluye objetivos relacionados con
metas de

 La organización, tales como:

· Servicios al cliente.
· Salvaguarda y uso eficiente de recursos.
· Cumplimiento de obligaciones sociales.
· Protección de recursos contra pérdida o uso indebido.

 Confiabilidad de los reportes internos y externos.

· Adecuado mantenimiento de registros contables.
· Información confiable para uso de la organización y la publicada para
información de terceros.
· Protección de los registros contra accesos indebidos.

 Cumplimiento de leyes, disposiciones y políticas internas.

La estructura del modelo canadiense requiere de creatividad para su interpretación y

aplicación y es adaptable a cualquier organización una vez que se adecua a las necesidades
de sus propios interese

Auto Evaluación de Control

AEC

La ejecución de proyectos de Autoevaluación de Control (AEC) debe realizarse de acuerdo

con un método sistemático y estructurado, que asegure en todo tiempo que los esfuerzos
llevados a cabo por los distintos participantes, se realicen en un orden y consecuencia
apropiados al fin que se persigue.

Un método bien diseñado permite, entre otras cosas, precisar cuáles son los diferentes
ámbitos de participación, asegurar una ejecución eficaz y eficiente del proceso y que los
resultados posean las características de calidad que cumplan con las expectativas de la
administración, del personal responsable de las operaciones y de los Auditores Internos.

Los elementos constituidos de la estrategia pueden ser establecidos de acuerdo con las
etapas que a continuación se proponen:

* Proceso de Involucramiento y Preparación de la AEC

* Selección y Aplicación de la Metodología
* Desarrollo de la AEC
* Determinación de Acciones de Mejora
* Comunicación de Resultados

Con el fin de ilustrar la manera en que el proceso opera, a continuación se describe cada
una de las etapas antes mencionadas.

14
Proceso de Involucramiento y la Preparación de la AEC

La naturaleza del proceso, como ya se ha mencionado, requiere de la participación de los

diferentes niveles de la organización, lo que asegura que los esfuerzos se traduzcan en
resultados tangibles. Muy importantes en este sentido, es la actitud entusiasta y propositiva
del Auditor Interno.

Al inicio del proceso, es necesario que el Auditor Interno tenga un acercamiento con el
director general de la organización con el fin de inducirlo al debido entendimiento del
objetivo, enfoque, alcance y metodología de la AEC y de cómo este proceso puede
favorecer el mejoramiento de los controles que dan apoyo a su responsabilidad principal,
que es el cumplimiento de los objetivos de la organización. Con ello se busca lograr un
apoyo amplio, de su parte, con el fin de que las acciones derivadas del proceso sean
aplicadas oportunamente por todos los responsables de lograr los objetivos. Este mismo
proceso debe llevarse a cabo con los mandos directivos dependientes de la dirección
general.

Para lograr éxito en la implementación de estos procesos, se requiere que el director general
y otros miembros prominentes de la alta administración muestren en los hechos una actitud
de respaldo a los objetivos, premisas y técnicas de la AEC, adoptándola como una
herramienta integrada al proceso administrativo. Esta actitud debe apoyar la filosofía que
persigue este proceso, asi como también a los principios en los que se sustentan las distintas
etapas. También implica el reconocimiento y respeto al trabajo del Auditor Interno dentro
de la organización. Los más altos directivos deben dar una señal clara y contundente a
todos los demás niveles sobre la importancia y beneficios que aporta la AEC al
cumplimiento de los objetivos fundamentales de la organización. También deben resaltar en
su mensaje la importancia de la participación constructiva de quienes específicamente
habrán de involucrarse en el proceso.

Los facilitadores generalmente son los Auditores Internos, aunque también puede ser
personal especialista contratado para estos propósitos; sin embargo, los Auditores Internos
son quienes naturalmente pueden llevar a cabo esta tarea, dado que conocen con claridad
cuáles son los objetivos de la organización, los objetivos de cada área además cuentan con
el conocimiento de los sistemas de control establecidos y una idea muy aproximada a nivel
de eficiencia y eficacia con que operan.

Preparación de la AEC; En esta etapa debe llevarse a cabo una presentación en la cual se
precise detalladamente el objetivo del proceso en los ámbitos de competencia particulares,
se acuerde el programa de trabajo correspondiente, se identifique los participantes idóneos
por parte del responsable del área a evaluar con la orientación del Auditor Interno, y se
obtenga la información relativa de los objetivos y funciones, que es el punto de partida de
la AEC.

Una vez obtenida la información relativa a los objetivos y funciones, es analizada por los
Facilitadores para llevar a cabo el proceso "alineación de objetivos", que tienen como
propósito asegurar que todo el personal conoce y entiende la manera en que sus actividades
15
y resultados, sumados a otros, ayudan a cumplir el objetivo del área y ésta a su vez
contribuye al objetivo general de la organización. Si entre el personal de una misma área no
comparten la misma visión y orientación de los objetivos, es de esperar que sus esfuerzos
no se estén canalizando adecuadamente y que los objetivos no sean logrados de forma
eficiente y eficaz.

Las herramientas básicas para el levantamiento y análisis de la formación, son

generalmente las siguientes: matrices de Riesgo/ Control y Encuestas. Parte de la
información que se debe incluir en las matrices y/o encuestas se deriva del análisis
realizado a la información relativa de los objetivos y funciones.

Paralelamente a todo lo, anterior, se realizan las actividades necesarias para la

implementación de la etapa del taller de AEC, como son: la selección de un salón adecuado
para las reuniones y el aprovisionamiento del equipo y material necesario (pantalla P.C.,
retroproyector, datashow, acetatos, etc.)

Selección y Aplicación de la Metodología

Es importante determinar las herramientas que se van a utilizar para la evaluación de cada
uno de ellos, es decir, cuáles de los componentes conviene sean autoevaluados por la vía de
los talleres de Autoevaluación del Control (TAQ y cuales mediante la aplicación de
encuestas.

Las Mejores Prácticas relativas a la implantación del proceso de AEC, sugieren que por lo
menos el componente evaluación de riesgos sea autoevaluado a través de la realización del
TAC, en tanto que los otros cuatro componentes se puedan autoevaluar a través de
encuestas.

Desarrollo de la AEC

El proceso tiene como eje principal la evaluación de la efectividad de los sistemas de

control, analiza la forma en que los objetivos particulares están alineados con los objetivos
básicos del negocio, las fortalezas y debilidades de los procesos operativos, la
identificación de riesgos que pueden afectar los objetivos principales del área, así como los
controles para identificarlos, atenuarlos y administrarlos.

La realización de los talleres es la esencia del proceso, ya que de ellos se deriva la

identificación de las acciones de fortalecimiento para elevar directamente la probabilidad
de que los objetivos sean alcanzados.

Talleres

* Los talleres de Autoevaluación de Control, tienen entre otros propósitos los siguientes:
* Fortalecer la propiedad del Control y promover un cambio de parte de los responsables
de establecerlos. 
* Identificar los riesgos que pueden afectar el logro de los objetivos. 

16
 * Promover la discusión sobre la suficiencia y eficacia sobre los Controles que son
aplicados para cumplir con los objetivos.
* Apoyar la efectividad del Control Interno de cada área.
* Incrementar el interés y la confianza a todos los niveles, en el sentido de que los 
controles son efectivos y funcionan adecuadamente.

Encuesta

Por lo que respecta a las encuestas, su diseño y aplicación debe considerar lo, siguiente:
* Diseño específico para el área a autoevaluar.
* Las preguntas se deben plantear de manera abierta y propositiva.
* Solicitar información en forma ordenada y estructurada.
* Cuidar que no se emita algún punto importante a fin de asegurar una amplia cobertura
del área objeto de la autoevaluación.
* Permitir la obtención de la información detallada.
* Permitir se pueda incluir información que el personal considere pertinente.

Cada uno de las participantes debe documentarlas de manera individual, sin que se requiera
que el personal esté reunido en un solo evento.

Los talleres de Autoevaluación buscan que todas las áreas sean responsables del
establecimiento y mejoramiento de sus propios sistemas de Control, instrumentados para
lograr objetivos particulares de su área, los que a su vez están concatenados a los objetivos
primarios.

Por su naturaleza la AEC favorece la cobertura amplia en la revisión de objetivos y áreas

relevantes.

Determinación de las Acciones de Mejora

La Autoevaluación implica un análisis de la información mencionada; el examen es

realizado por el personal del área participantes en los talleres y encuestas, los que
determinan en principio si los objetivos del área están orientados en el mismo sentido que
los de la empresa y si es que son una parte de los mismos; es decir, determinan en que
proporción y forma contribuyen al objetivo general de la empresa.
Posteriormente, de acuerdo a su conocimiento del entorno y características de operación,
determinan cuales son los riesgos que eventualmente pudieran afectar el logro de los
objetivos del área, en la forma y tiempo que fueron planeados. El siguiente paso es
confrontar dichos riesgos, con las políticas y procedimientos establecidos en el área; de esta
comparación se precisan controles excesivos y riesgos no cubiertos o partes de riesgos
contra los cuales no se está suficientemente protegido.

No necesariamente se debe tener cobertura del 100% contra todos los riesgos, por lo tanto,
se les debe otorgar prioridad a los más significativos. Para evitar subjetividad al asignar
importancia a los riesgos no cubiertos, éstos deben ser cuantificados, determinando en
términos monetarios cual pudiera ser su efecto si llegaran a concretarse y en su caso,
cuantas veces se podrían presentar en un ejercicio.
17
Comunicación de Resultados

Un diseño adecuado de encuestas y talleres exitosos originan mucha y diversa información;

por lo tanto, una función importante del equipo de Auditores Facilitadores, es recopilar y
ordenar los datos que no quedaron plasmados en los matices de Riesgo y Control.
Para integrar el informe, el Auditor Facilitador debe considerar diversas fuentes de datos
como son:

Matrices de Riesgo/Control analizadas en los talleres, puesto que son los

documentos que precisan los riesgos no cubiertos.
Encuestas en las que se detallan los comentarios sobre los diversos factores
integrantes de los componentes evaluados.
Registros (minutas, memorias o resúmenes) de los talleres.

Aparentemente el informe de los resultados en su forma pudiera guardar cierta semejanza

con los informes de Auditoría, pero en realidad es totalmente diferente, ya que en el fondo
el informe contiene la esencia de las discusiones efectuadas en el taller. El reporte
realmente está integrado con los comentarios de los participantes, el Auditor Facilitador
únicamente recopila selecciona y ordena la información y finalmente, redacta de manera
legible, comprensible y clara las opiniones del personal.

En este proceso el auditor debe procurar no emitir su opinión, sino integrar objetivamente
los resultados de la AEC; esta particularidad, es lo que verdaderamente marca la diferencia
con un informe de auditoría.

Una diferencia adicional a la anterior, es que una copia del informe se entrega a cada uno
de los participantes, como constancia de lo acordado y de los compromisos y responsables
establecidos, pero sobre todo, como una evidencia de que los resultados fueron vertidos
abierta y positivamente y con total apego a las opiniones emitidas.

Semantic Access Control Model

SAC

El Sistema de Control SAC involucra directamente un Modelo de Control de acceso basado

en la semántica, considerando para esto el significado de los signos, símbolos y caracteres.
La Web semántica es considerada la nueva generación de la Web.

El SAC nos proporciona la aplicación de los conceptos de la web semántica junto con sus
tecnologías al área del control de acceso. En concreto, se presenta un nuevo modelo de
control de acceso al que se ha denominado SAC, Semantic Access Control Model, el cual
usa diferentes capas de ingreso de datos para describir la semántica de los diferentes
componentes que participan en una decisión de acceso.
El diseño de SAC se basa en un modelo de metadatos que permite la integración semántica
de una aplicación de control de acceso y una infraestructura de acreditación externa. SAC
representa una solución al problema del control de acceso para entornos altamente
18
distribuidos, dinámicos y heterogéneos. El diseño de este modelo se basa en la información
semántica para lograr que se tengan en consideración las propiedades particulares de los
recursos accedidos (lo que se conoce como “introspección de contenido”).

Junto con el modelo de control de acceso se ha diseñado su correspondiente lenguaje de

políticas, Semantic Policy Language (SPL), que se basa en el modelado semántico de la
información contextual así como de los distintos recursos a proteger.

Igualmente, y con el fin de que la integración de la entidad de autorización externa resulte

transparente al resto del sistema de control de acceso, el lenguaje hace uso de las
descripciones semánticas (modelado semántico) de las distintas autoridades de certificación
que componen la infraestructura de autorización externa o PMI (Privilege Management
Infrastructure).

El SAC Basado en atributos.

Los conceptos sobre los que se basa el modelo de control de acceso son fundamentales en
los niveles de interoperabilidad y flexibilidad alcanzados. El modelo de control de acceso
basado en roles (RBAC), considerado como una tecnología madura y flexible, se define
sobre los tres conceptos predefinidos de “usuario”, “rol” y “grupo”.

La consideración de concepto “usuario del sistema” implica el proceso de identificación

como base para el control de acceso. Consecuente con esto, la asignación de roles y la
pertenencia a grupos toman como base la identificación del usuario.

La definición de roles y la agrupación de usuarios puede facilitar la gestión, especialmente

en sistemas de información corporativos. Pero en otros entornos donde la heterogeneidad y
distribución de los recursos son sus principales características, estos conceptos pierden
efectividad y dejan de ser los más adecuados. De hecho, el concepto de grupo es un
sustituto artificial de un concepto más general como es el atributo.

En la práctica, los grupos se definen según los valores de determinadas condiciones, como
puede ser la posición del empleado dentro de la empresa, la función desarrollada, etc. El
atributo usuario, por ejemplo, aparece en la mayoría de los modelos de control de acceso y,
aunque la identidad constituye uno de los atributos más útiles, existen escenarios donde no
es necesario (por ejemplo, si se quiere mantener el anonimato en el acceso) y por lo tanto
no debería ser un componente predefinido de un modelo general.

Visión general de SAC

El modelo SAC contempla la existencia de una serie de sistemas de control de acceso y un

conjunto de entidades de acreditación confiables que actúan de manera independiente y dan
servicio a los diferentes sistemas de control de acceso. El control de los recursos es
independiente de su localización. De esta forma, los recursos controlados por un
administrador no han de residir obligatoriamente en su propio sistema de información.

19
Igualmente, algunos de los recursos almacenados por un sistema de control de acceso
pueden no estar bajo el control de dicho sistema. Cada sistema de control de acceso
mantiene una descripción semántica de los recursos que controla.

Asimismo, se tienen en cuenta propiedades acerca del contexto de aplicación. El nivel de

diversidad ínfima no se limita a nivel de objeto (fichero, servicio, aplicación, componente
software, etc.), pudiéndose especificar a un nivel más fino.

20
 Conclusión

La presente recopilación de los modelos de control para la auditoria informática tuvo como

finalidad dar a conocer ciertos modelos utilizados, así demostrando que cada uno de ellos tiene

características propias, cada modelo en especifico tiene una metodología a seguir o

recomendaciones para facilitar la recopilación de información para su posterior análisis y dar con la

información requerida, desde conocer su actual control de la función informática, o saber la

eficiencia de los sistemas informáticos, o revelar si cumple con su normativa y es eficaz en su

gestión de recursos informáticos.

Se puede mencionar que el modelo COBIT es de los mas enfocados a la auditoria

informática debido a que evalúa el uso de las herramientas informáticas y sus aplicaciones, desde su

seguridad y calidad hasta los recursos humanos y infraestructura del lugar.

21
 Bibliografías

“Modelo basado en metadatos para la integración semántica en entornos distribuidos. Aplicación al

escenario de control de accesos”. Dirigida por D. José Mª Troya. Dpto. Lenguajes y Ciencias de la
Computación. 2003.

“Revista Técnica de la Facultad de Ingeniería de la Universidad de Zulia – ISSN 0254-

0770, v.29 n.3 Maracaibo Diciembre 2006” (www.scielo.org.ve/scielo.php?pid=so254-
07702006000300006&script=sci_arttext)

“Auditoria en sistemas computacionales” Autor Carlos Muños Razo, Editorial Prentice

Hall. 2006

Recursos internet

www.amocvies.org.mx/.../1%20MODELOS%20DE%20CONTROL.ppt

http://www.monografias.com/trabajos59/analisis-informes-coso-coco/analisis-informes-coso-
coco.shtml

http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm.

http://sisbib.unmsm.edu.pe/bibvirtual/public/quikamayoc/2002/Segundo/control_.htm

http://www.scribd.com/doc/27987761/1-Modelos-de-Control

www.kpmg.com.co/industries/.../Autoevaluacion_de_Control.pdf

http://www.rediris.es/difusion/publicaciones/boletin/66-67/ponencia15.pdf

http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm.

www.kpmg.com.co/industries/.../Autoevaluacion_de_Control.pdf

22