www.FreeLibros.

me

AUDITORIA
INFORMTICA
(Jn enfoque prctico
2 EDICIN A M P L I A D A Y R EVI SADA

M a rio G. Pia ttin i

Em ilio del P e s o

A li'a o m e g a ^ ^ R a - M a
 www.FreeLibros.me

Auditora Inform tica

Un enfoque prctico
2.a edicin ampliada y revisada

Coordinadores
Mario Gerardo Piattini Velthuis
Universidad de Casilla-La Mancha

Emilio del Peso Navarro

IEE Informticos Europeos Experto
 www.FreeLibros.me

Auditoria Inbumiliea I ncn!<yx ptittKo. 2 oJhio f linlj > io iw Ii

Mano Geraido f*t.ituni Velthuit > Umilio Jet Peto Navarro
ISBN K4-7X97-M4-X. J ki .Wi rifinal puMieada RAMA Idilon.il,
MADRID. F.pjAa Donhui icw vj J oi O RA-MA tidiloiial
MARCAS COMERCIALES: RAMA ha ment*y> alo largode o k libro dMinguu
la mite. re*iUadade Ri l4lTiIW>CKliptivO*. tiyuien3><el olilo de m.owwul.i'
Hoc uiiIi/j <1 labtKaMe. in mlencia de mlnivpr U auro y ilo <hcnelii io del
propinarlo de Ij n tn u

0 * 1 AI.FAOMKGA GRUFO F.DITOR, S.A. 4 C.V.

Pnifoeat I I.IV.Col. Del Valle. 0M00 Mitico. D.F

Micmhiu de U C k u u Naootul de li ladutliia F-dilori.il Mentana

Repuro No. JJIT
InieiiKi lifipy/aw.airomecxonu>
F-mail n M n l WiKumtia^iwLni

ISBN: 970-15-07)1.!

IV rw Iw retcrvado.
t>u iN j o piopxdjd imelivluildciu auloi >lo dcrelande fuN* a io en lenirua
opjV'Ij h.m tido legalmente tramferidot al edito* PioftiNda tu teptodactKta pii
ivil o (ot*l pea cualfaaer m nk in permito poi eterno dei profittino de lo derc-
<ho del eopyitfht

NOTA IMPORTANTE
L (ormaeKjn contcnxla en etla obr a tiene a Iin etclutivameMe didfcllco y. poi lo
unto, no e-vU pievi no tu afrovethamicMo j mvel pnrfettoaal indatirul liv .*-
iAHmci tcvnii.it y piorijnu laeluidot. lua udo elafaradi eon (un euidado p *
el juioi > reproducidoi bojo etinciat norma de eonirol AI.I AOMWiA CRI PO
EDITOR. S A. ile C.V. ieri juriduaineaee repoowblc poi ctrotet u orninone;
daftot y ivi)kk<>|ue e pudician allibali al n o de Li infomacidn comprendida en
ette libro, ni p U uiliracita imkbidi <uc pu*ei j dirtele

Imprrxi:
Geme Suoi EdUoriiI
Bojcci. D C . Coloratola
 www.FreeLibros.me

PR E F A C IO

Dtele los inicio de la humanidad las distintas cultura), han dado una importancia
enorme a los lemas de contabilidad, y por u n to tambin han necestalo d e medios que
permitieran verificar vas registros, es decir, de la auditora. De hect se piensa que la
a vencin de la escritura surgi com o respuesta a la necesidad d t auditar. Flesher
<1993): por lo que la d e auditor seria una de las profesiones ms antigua*.

Pero es realm ente a partir d e finales de 1800 cuando la audiDra financiera se

extiende por el Reino U nido y Norteamrica, y se sientan las base* de las prcticas que
conocemos en la actualidad.

A partir de 1950. la informtica ve conviene en una herramienta muy importante

ca las labores de auditoria financiera. >a que permite llevar a cabo Je form a rpida y
precita, operaciones que manualmente consumiran demasiados recjrsos Empieza la
denominada a u d ito ra con el c o m p u tad o r", que no puede consi Jerar\e verdadera
auditora informtica, sino que utiliza el computador como herramienta del auditor
financiero.

Sin embargo, al convertirse los sistemas de informacin de la im presa cada ve;

ais dependientes de los computadores, surge la necesidad de verificar que los
tatem as informticos funcionan correctamente, em pezndote a finales de los aAos
sesenta a descubrirse varios casos de fraude cometidos con ayuda del computador <pie
hacen inviable seguir conformndose con la auditoria "a lre d e d o r el co m p u tad o r
Surge asi la necesidad de una nueva especialidad dentro d e la auditcra. cuyo objetivo
es precisamente verificar el funcionamiento correcto, eficaz y eficiente d e la
informtica, en definitiva, la a u d ito ra del co m p u tad o r .

En la actualidad nadie duda que la informacin se ha convertido en uno de los

activos principales d e las empresa*, que representa su principal ventaja estratgica
 www.FreeLibros.me
XL AUXTtlAIM<)MATICVU\t>MHJI I HtSCIKO

Las empresas invienen enormes can tid a d de dinero y tiempo en la creacin de

sistema* do informacin que les o r e /ta n la mayor productividad y calidad posibles
Es por eso que los temas relativos a la auditoria informtica cobran cada v e / m is
relevancia tanto a nivel internacional com o nacional.

De esa importancia creciente de la informacin nace la necesidad de que esc bien

jurdico sea protegido por el derecho y aparezca regulado en el ordenamiento jurdico.

La entrada en vigor de la Ix y Orgnica 15/1999 d e 13 d e diciembre de Proteccin

de Datos de Carcter Personal; la Ley Orgnica I(VI9 9 5 de 23 de noviembre que
aprueba el nuevo Cdigo Penal, y por ltimo el Texto Refundido de la Ley de Ij
Propiedad Intelectual aprobado por el Real Decreto Legislativo 1/19% de 12 de abril
as como una serie de normas especficas del sector establecen un marco jurdico de k
que se viene denominando Nuevas Tecnologas d e la Informacin.

El establecimiento de ese marco jurdico incide de forma impon ante en la

Auditoria Informtica. Pues si antes comprobbamos que era imposible realizar una
Auditoria de Cuentas si no se auditaba lo que comentan esas "cajas negras que son
los sistemas de informacin y que contienen todos los datos ecoomicos d e las
organizaciones, ahora vemos que difcilmente se puede realizar una Auditoria
Informtica si no tenemos en cuenta el marco jurdico en que se sitan esos sistemas
informticos.

Colaboran en el libro veintiocho autores, entre los que se encuentran profesores

de universidad y profesionales d e reconocido prestigio en el mundo d e la auditora
informtica, reuniendo algunos de ellos las dos cualidades, lo que aporta un gran valor
afodtdo a la obra al ofrecer perspectivas y experiencias muy variadas sobre
prcticamente todos los aspectos relacionados con la auditora informtica.

Los objetivos que nos hemos propuesto en esta obra son los siguientes:

Presentar de form a clara y precisa los conceptos fundamentales bre control

interno y auditora informtica.

O frecer un tratamiento sistemtico de las tcnicas y mtodos del auditor

informtico.

Dar a conocer los aspectos organizativos, jurdicos y deontolgcos asociados

a b auditoria informtica.

Exponer en profundidad las principales reas de la auditora informtica:

fsica, seguridad, desarrollo, mantenimiento, explotacin, ofimtica. calidad,
redes, direccin, etc.

Suministrar una visin global de la auditoria informtica en diversos sectores:

banca, sector areo, pblico. PYMES. etc.
 www.FreeLibros.me
HKI>MK> XLI

Proporcionar pautas y experiencias que ayuden al profesional informtico en

las tareas de auditoria.

En esta segunda edicin del libro se han actualizado y corregido vahos captulos,
incorporando otros nuevos, con el fin de ofrecer una panormica actual y completa de
este campo.

CONTENIDO
La obra est dividida en tres partes claram ente diferenciadas:

Parte I: Introduccin
En esta primera parte, que con va d e siete captulos, se exxm en diversos
ooceptos fundamentales de la auditoria informtica. En el primer cap iu lo se describe
la utilizacin de la informtica com o herramienta del auditor financelo. mientras que
ca el segundo captulo ya empieza la auditoria informtica propiamente dicha,
analizndose su relacin con el control interno, dedicndose el c ap iu lo siguiente a
exponer las principales metodologas de control interno, seguridad y auditoria
formca.

El captulo 4 trata de uno de los aspectos fundamentales de la auditoria y de cuya

calidad depende realm ente el xito d e la misma: el informe de auditora O tro aspecto
esencial e s la organizacin del departamento de auditoria inform tica que te analiza
en el captulo siguiente.

Esta porte finaliza con dos captulos que se dedican a explorar sendos aspectos a
los que no se les suele dedicar la extensin necesaria en los libros exigentes: el marco
jurdico y la deontologa del auditor informtico, pero que nosotros estimamos
imprescindibles en la formacin de cualquier profesional que trabaje e i esta rea.

Parte II: Principales reas de la auditora informtica

Los captulos que configuran esta porte central del libro se dedicin a analizar las
Avenas reas a las que se aplica la auditora informtica. As. se empieza en el
captulo 8 con la auditoria fsica, mientras que el captulo siguiente se dedica a la
aaditora de la ofimtica. que cada da tiene un mayor peso en las empresas c
s&titciones; y el captulo 10 a la auditora de la direccin.

Los captulos I I al 13 se dedican a exponer las consideraciotes de auditoria

informtica sobre tres reas bastante relacionadas: explotacie. desarrollo y
mantenimiento; que se complementan con el contenido d e los dos cajitulos siguientes
que abordan las bases de dalos y la tcnica de sistemas respectivament:.
 www.FreeLibros.me
Xl.ll AI'OtTUm IMOWMATK'A: UN ENTOQC'fc WtCTKO

Dos aspectos que cada da cobran m is importancia dentro de la aplicacin d e las

Tecnologas de la Informacin a las empresas, la calidad y la seguridad, son objeto de
los captulos I6>- 17.

El capitulo 18 se dedica por completo a analizar la auditoria de redes, uno de los

componente* ms importantes en un sistema de informacin, que est experimentando
un cam bio espectacular en la ltima dcada.

El captulo siguiente se dedica a exponer los principales demento* que deben

examinante a la hora de auditar las aplicaciones inform tica', mim tras que el captulo
2(1 profundiza en estos aspectos para las auditorias de los sistemas E1S/DSS y las
aplicaciones de sim ulacin.

Esta parte finaliza con un captulo dedicado a la auditora de los entornos

informticos desde el punto de vista jurdico, totalmente actualizado para esta segunda
edicin.

Parte III: Auditora informtica en diversos sectores

N o queramos dejar fuera de esta obra algunas consideraciones sobre la
aplicacin de la auditoria informtica a diversos sectores econmicos que sirviera para
aglutinar de forma prctica los conceptos expuestos en ln parte anterior.

Siguiendo esta filosofa, dedicamos el capitulo 22 a la auditoria informtica en el

sector bancario. mientras que el captulo 23 analiza la auditoria informtica en el
sector transportes, especficamente el areo. Los captulos 24 y 25 tratan sobre la
auditora informtica en dos sectores muy importantes m nuestro pas: la
Administracin Pblica y las PYMES.

Parte IV: Otras cuestiones relacionadas con la auditora

informtica
En esta segunda edicin del libro se han incorporado dos nuevos captulos que
complementan a los anteriores tratando im portantes cuestiones relacionadas con la
auditora informtica. El captulo 26 aborda la relacin entre el peritaje y la auditora
informtica, mientras que el captulo 27 analiza el contrato d e auditoria.

El libro finaliza con una amplia bibliografa que ha servido d e referencia y que.
en parte, tambin se ofrece como lecturas recomendadas en cada uno de lo* captulos.
Tambin hemos incluido en cada captulo unas preguntas de repaso que pueden
indicar al lector el grado de asimilacin que ha alcanzado sobre la materia.

Por ltim o se incluyen los acrnimos utilizados en el texto.

 www.FreeLibros.me

ORIENTACIN A LO S LEC TO R ES
Aunque un conocimiento en profundidad de l u tcnica* y hcTamiemas de la
auditoria informtica puede estar reservado a lo profesionales de la materia, nuestro
propsito al editar esta obra ha sido dirigirnos a una audiencia muchc m is amplia que
comprende:

Participantes en seminarios o c u n o s monogrficos sobre auditoria

informtica, bien sean de introduccin o m is avanzados.

Profesionales informticos y economistas que estn trabajando en el rea de

auditoria, ya sea financiera o informtica, y que deseen a m p lia y perfeccionar
sus conocimientos.

Directivos que sean responsables de la gestin del departamento de sistemas

de informacin, su desarrollo o explotacin.

Profesionales del Derecho que se encuentren trabajarxfo en el campo

informtico.

Estudiantes universitarios de la asignatura Auditoria hform tica. que

afortunadamente se va incorporando actualmente en los planes d e estudio de
un mayor nm ero de universidades.

Consultores informticos y usuarios avanzados que tengan iiters en adquirir

algunos conocimientos sobre auditoria informtica.

Debido a la diversidad de la audiencia, el estudio de esta obra puede realizarse de

maneras muy distinta*, dependiendo de la finalidad y conocrmmlos previos del
lector, ya sea auditor o auditado.

Cada porte y cada captulo pueden consultarse de manera autnma sin tener que
Kguir el orden que se ha establecido.

AGRADECIMIENTOS
Querramos expresar nuestro agradecimiento, en primer lugar, a los autores que
colaboran en esta obra y que son sus verdaderos artfices. Si* conocimientos,
experiencias y autoridad en el cam po d e la auditora informtica constituyen, sin lugar
a dudas, una garanta de la calidad d e su contenido.

Queremos agradecer a Rafael Rodrguez de Cora, antiguo presidente d e la OAI

(Organizacin d e Auditoria Informtica), el haber aceptado escribir el prlogo a la
primera edicin de esta obra, y a Marina TosiniVo presidenta actual d e la OAI por el
prlogo a esta segunda edicin, pues al igual que el resto de los rompaAeros de la
 www.FreeLibros.me
XIJV A X TO U INFORMTICA UXK>FOQfEPRCTICO__________________________

OAI. ha sido durante varios aflos una fuente constante de aprendizaje y de intercambio
de nicas, manteniendo encendida la llama de la auditora informtica en nuestro pas.

Asimismo agradecemos a Miguel Recio G ayo su inestimable ayuda en la revisin

de la obra.

Desde estas pginas queremos tambin agradecer a los lectores de la primera

edicin del libro por mis sugerencias y felicitaciones, ya que ellos han hecho posible la
realizacin de esta segunda edicin.

Mario Piattini quiere dejar testim onio de su reconocimiento a los distintos

profesores que tuvo, ya hace varios aflos. en el M ster de Auditora Informtica
dirigido por Carlos Manuel Fernndez, organizado por la empresa CENE1. Ellos
despertaron su inters por un rea cada da ms relevante dentro de la Informtica.

Emilio del Peso quiere expresar particularmente su agradecimiento a todos

aquellos que han confiado en l siendo el que menos sabe en esta materia: a su familia
que siempre, de una forma u otra, colabora en todo aquello que hace, y especialmente
a sus hijas Nuria y Mara del Mar. que han colaborado en la transcripcin y correccin
de esta obra.

Por ltimo, nos resta dar las gracias a Ana M. Reyes por sus valiosas sugerencias
que. com o en otras muchas ocasiones, han contribuido a mejorar considerablemente
este libro, as como a la empresa Albadalejo. S .L , que se encarg de la composicin
del mismo, y a la editorial Ra-Ma. especialmente a los Luis Ramrez, por su apoyo y
confianza.

M ario Piainni
Emilio d e l Peto

MaJri. OttefcrtXDO
 www.FreeLibros.me

P R L O G O A LA PR IM E R A KDICIN

T engo el gran placer de presentar Auditoria Informtica: Un tn p q u r prctico, de

lo Editores Emilio del Peso y M ario Piattini. M e parece un libro extraordinariamente
oportuno p a n la situacin en que vivim os, desde el punto de v isu tecnolgico, d e los
negocios, y de la auditoria y seguridad informtica, ya que aporta un enfoque
egrado y completo.

Estamos inmersos en un profundo cam bio de todo tipo que nos l evar al prximo
agio XXI. La empresa y organizaciones dependen de los rdenes econmicos,
industriales, y sociales en los que se encuentran inmersas por lo que. si las tendencias
tecnolgicas y los entornos econmicos e industrales cambian. Jeben ad ap ta rse
rpidam ente a las nuevas circunstancias para sobrevivir. Una de lis tendencia
actuales ms significativas es la que se dirige desde una Sociedad lid u s tria l hacia la
llamada Sociedad de Inform acin.

Este cambio es muy rpido, est afectando al mundo entero, y su comprensin es

fundamental para las organizaciones d e lodo tipo, particularmente en el contexto de
ktt Sistemas y Tecnologas de Informacin. Aunque lo avances tecnolgicos d e los
lUtimo veinte aflos han sido constantes y espectaculares, en los ltimos cinco artos se
Ki producido una verdadera revolucin tecnolgica d e gran calado im pacto para la
propia industria informtica, as com o de consecuencias importantes pora el resto de
los sectores.

Cada ve* un mayor nmero de organizaciones considera que la informacin y la

tecnologa asociada a ella representan sus activos m is imprtame. De igual m odo que
se exige para lo otros activos de la empresa, los requerimientos de calidad, controles,
seguridad c informacin, son indispensables. La gerencia debe estaUecer un sistema
de control interno adecuado. Tal sistema debe soportar debidamente lo procesos del
negocio.
 www.FreeLibros.me
XXX AfOtTOlA INFORMTICA UN BflOQUIl WtACTKO m m

Hacindose eco de estas tendencias. U propia Organizacin ISACA (Information

System s Audit and Control Avsociation). a travs de su Fundacin, public en
diciembre de 1995 el C oN T (Control Objectives for Information and Relates!
Technology). com o consecuencia de cuatro aAos de intensa investigacin y del trabajo
d e un gran equipo de expertos internacionales.

E l marco del CobiT e s la definicin de estndares y conducta profesional para la

gestin y el control de los Sistemas de Informacin, en todos sus aspectos, y
unificando diferentes estind arev mtodos de evaluacin y controles anteriores.
Adicionalm ente, esta metodologa apoda un factor diferencial enormemente
importante: la orientacin hacia el negocio. Est disertado no slo para ser utilizado
por usuarios y auditores, sino tambin como una extensa gua para gestionar los
procesos de negocios.

Sin embargo, en trminos generales, podemos decir que a pesar de los grandes
adelantos tecnolgicos, la situacin actual d e los Sistemas de Informacin en las
Empresas y Organizaciones espaolas se caracteriza frecuentemente por una falla de
asim ilacin de las nuevas tecnologas, por una mfrautilizacin de los equipos
informticos, por un descontento generalizado de los usuarios, por una obsolescencia
de las aplicaciones informticas actuales, por una falta de planificacin de los
Sistemas de Informacin, y por soluciones planteadas parcialmente que. al no estar
integradas, producen islotes de mecanizacin y d e procesos manuales difciles de
controlar y caros de mantener. En definitiva, por una falta de estndares y
metodologas, y por una falta d e formacin y cultura generalizada, sobre todo en los
aspectos de control y de segundad informtica.

I-a Auditora Informtica ha aportado soluciones, en el pasado, para estos

problemas; pero se ha realizado frecuentemente, hasta ahora, slo en grandes empresas
y. en la mayora de los casos, com o un complemento a la Auditora Financiera.

Por diversas razones y por el mayor im pacto que estn adquiriendo las
Tecnologas de Informacin en la empresa, esta disciplina est siendo cada vez ms
importante y su aplicacin puede llevarse a cabo tambin en la PYME. La Auditora
Informtica plantea unos mtodos y procedimientos de control d e los Sistemas de
Informacin que son vlidos para cualquier tamaAo d e empresa.

Aqu e s donde creo que este libro de Auditoria Informtica: Un enfoque prctico
es de una gran utilidad al presentar un compendio exhaustivo d e los temas d e ms
actualidad por los autores ms cualificado del sector.

Puede servir de base, por un lado, para llevar a cabo la cultura y formacin sobre
Auditora Informtica, a la que me refera anteriormente, desde un punto de vista
tcnico: por otro lado, toca otros temas de inters actual y prctico, desde el punto de
vista del negocio y de la empresa, relativos a la organizacin, a la deontologa. al
marco jurdico, a la responsabilidad del empresario, y a la aplicacin prctica de la
Auditora Informtica en diversos sectores empresariales.
 www.FreeLibros.me
pkOmxvo a i a pwvij (a uxciQs xxxi

Es de destacar, y de agradecer, el subttulo de Un enfoque prctico. La mayora

de Us publicaciones de Auditora Informtica se han escrito en otra idiom as o han
sido traducidas en Sudamrica. y eran manejadas y utilizadas por especialistas, pero
no han calado suficientemente en el pblico en general". Mucha d e ellas se han
orientado hacia especialistas de Auditora Informtica para realizar >u trabajo, lo que
est tambin ampliamente descrito e n l. pero entiendo que este libro adems, tal
como est planteado, supone ese acercamiento de la Auditora a los rmpresarios. a los
usuarios y a esc pblico en general.

La competencia global ya est aqu. Las empresas y organizaciones se deben

reestructurar hacia operaciones cada vez m is competitivas y. c o n o consecuencia,
deben aprovechar los avances de las tecnologas de los Sistemas de Informacin para
mejorar su situacin competitiva.

Hoy da hablamos de reingeniera de negocios y d e procesos, d : calidad total, de

procesos distribuidos, de organizaciones planas, de EIS/D SS. etc., o m o cambios que
generan un im pacto en la manera en que operan las organizaciones privadas y
pblicas. Estos cambios estn teniendo y continuarn teniendo implicaciones
profundas para la gestin y para las estructuras de control en las crganizaciones del
mundo entero.

Entre las implicaciones de las tecnologas de informacin sobre la gestin

empresarial no quiero desaprovechar la oportunidad para comentar el gran impacto, en
I empresas y organizaciones, que tendr el efecto del cam bio al euro y del problema
del ao 2000 en las aplicaciones actuales.

Esto ser un ejemplo dramtico d e que la previsin, el control, la seguridad, y la

reduccin de costes, im plicados en los Sistemas de Informacin mecanizados. pueden
convertirse en una estrategia fundamental de las organizaciones. La automatizacin de
Us funciones y procesos de la organizacin, por su propia naturaleza, genera una
mayor dependencia de mecanismos d e control en los computadores y redes desde el
purco de vista del hardware y del software.

En este marco, de cam bio acelerado, si los responsables van a estar a la altura de
las circunstancias, es necesario que se pongan al da en cuanto a tecnologa y entorno
de la Auditora Informtica. Este libro, compilado por Emilio d tl Peso y Mario
Piattini. puede ser fundamental para ello.

Desde las Organizaciones como la O AI. que nos dedicamos a difundir y a

promooonar esta actividad, deseamos fervientemente que el libro tenga la divulgacin
que se merece y que efectivamente llegue a crear una "escuela" e s p i la , que se echa
de menos en nuestro enlom o, para mcntalizar a la Sociedad de la inportancia de ex
disciplina.
por Rafael hoJrigue; de Cora
PrruJoUf * U Oipoiuote de Kuitcti Inforatfuc*
de b 1SACA
 www.FreeLibros.me

PR L O G O A LA SEG UN D A LU IC I N

L/i importante es m irar nuevamente

ir nie m io en cuenta la i obras ya existentes.
teniendo en cuenta sus leyes,
su.t cdigos semnticos
e mterrelackmet.
Equipo Crnica

Al releer este libro. A uditoria Inform tica: u n enfo q u e prctico, entend que
ihi a re stillar una labor m u) ardua poder aiVadir algn concepto de in t e r i a los
Kledot ya en las pginas siguientes Por esta ra/n. me be permitido un primer
atrevimiento: esbozar algunas reflexiones propias sobre la Auditora de Sistemas de
Informacin. asi como com ntanos obre el K 'ntcnido de esta obra.

h i segundo atrevimiento es. en esta presentacin, hablar de "Auditora de

Stocmas de Informacin" en v e / de "auditora informtica". La primera denominacin
m i sustituyendo de alguna manera a la segunda. I j expresin Auditora de Sistemas
de Informacin, que se esl consolidando en todo el mundo, corresponde a la realidad
y previsin actual del avance de la tecnologas. Actualmente el acento est en la
informacin. siendo el elemento tcnico un componente variado, diverso y cambiante,
al servicio de la informacin. Este cam bio tambin ha sido adoptado hace varios aos
por la Information Systems Audit and Control Associai ion (ISA CA h reflejndolo en
d nombre para la asociacin.

Volviendo la vista atrs, y tratando de explicarme, tambin a m misma, qu

alente tiene ser un profesional de la Auditora de Sistemas d e Informacin, descubro
que la principal atraccin est en su aspecto "creativo". De ahf la eleccin, como
prlogo, de una frase de un equipo de creadores que resume para m una concepcin
aplicable a la actividad de la que hablamos: aprensler de las obras de otros, con una
 www.FreeLibros.me
XXXIV AlTOIINFORMATICA I M NKXE t PK S( IK O

mirada nueva y actualizada, icncr en cuerna los fundamentos h<*cos para el desarrollo
de la profesin, establecer un lenguaje comn de comunicacin e integrad* de todas
las disciplinas o actividades que estn relacionadas, y al mismo tiempo, investigar en
nuevas direcciones. lista, es tal vez la ra/ n m is importante que me ha hecho
permanecer en esta profesin.

l a opcin para esta permanencia engloba otro factor: la creciente consciencia

del com etido social que puede desempear esta profesin. I j tecnologa c a cada dia
ms presente en nuestras vidas, desde la domstica y privada kasta la profesional, y
frente a este imparable impulso tecnolgico, la sociedad necesita tener una opinin
objetiva c independiente sobre el margen de confianza que pued* tener en los sistemas
de informacin.

Por lo tanto, sigo convencida de lo acertado d e la decision cuando acept en el

aik> 1977 cons'cftirmc en un auditor informtico. Para mf. en ese momento en
EspaAa era una profesin incipiente, aunque, en otros pases tuviese ya mayora de
edad. Desde aquel entonces la Auditora de Sistemas d e Informacin ha
experimentado en EspaAa. una notable expansin, hasta el punto de convertirse en un
elemento clave con relacin a fiabilidad d e los servicios, usos y prestaciones d e los
sistemas informticos y nuevas tecnologas.

Publicaciones com o la presente son de vital importancia para la difusin de la

actividad y utilidad de la Auditora d e Sistemas d e Informacin, y adems permiten,
especialmente para aquellos que se inician en esta actividad, apeyarse en el camino ya
recorrido por otros profesionales como punto de referencia.

La actividad profesional se basa en unas "buenas prcticas'' consensuadas por

los profesionales a travs de sus asociaciones profesionales. Los auditores de sistemas
de informacin deben ser los verdaderos protagonistas d e establecer los fundamentos
del ejercicio de su profesin de una forma coherente, meditada y atendiendo a kit
avance* de la tecnologa, as como a las necesidades d e la sociedad a la cual se deben.
ste e s uno de los objetivos de la Organizacin de Auditora liiorm tica. capitulo de
la ISACA. que en Espaa, d e form a pionera, fue fundada <n el arto 1987. Una
asociacin de este tipo, con la participacin activa de sus integrantes, debera intentar
mejorar, desarrollar, c onsolidar y armonizar la profesin, logrando el afianzamiento de
las metodologas de Auditora de Sistemas d e Informacin.

Se trata de establecer unas bases slidas que tienen q u : ver. principalmente,

con el objetivo de la Auditora de Sistemas de Informacin, el conocimiento d e los
elementos auditados y la capacidad para detectar riesgos. La Auditora de Sistemas de
Informacin, u l como se entiende en el mbito internacional, en los colectivos de
profesionales, no tiene como propsito esencial saber si un de te-minado control, tanto
predeterminado como adecuado, se ha implantado sim plemente, sino saber qu control
o controles existen con la misma finalidad, qu objetivo y fin tim en, cmo se realizan
 www.FreeLibros.me
o AMA_______________________________________ WtlXXX A LA SECUNDA UXCKX XXXV

y la eficacia tienen cu cuanto al cumplimiento. y qu nesg as existen an para los

sistemas de informacin, o bien qu perjuicios pueden causar indirectamente.

A partir de aqu, dada la diversidad de la tecnologa y sus usm e implantacin,

se puede decir que no existe una verdad absoluta y taxativa sobre qu se considera
buenos mecanismos de control, y a que sto* son siempre el producto de una situacin
determinada, as como de su especificidad- Por eso los auditores de Sistemas de
Informacin, a travs de sus experiencias, colaboran para mejorar, consolidar y
armonizar lis prcticas de esta profesin.

La mejora se obtendr con una actitud innovadora y creativa de los

profesionales que las comparten y contrastan para tratar de consolidar y armonizar un
referente comn tanto pora los integrantes del colectivo como para I usuarios de sus
servicios.

En los ltimos tiempos, la legislacin relacionada con las tecnologas de la

informacin y con el tratamiento de datos personales, alude a las auditoras sin darles
un apellido determinado, ni una definicin c o n creta Se entiende, d ado el elemento
auditado y los resultados que se le pide a esa auditora, que debera tratarse de una
Auditora de Sistemas de informacin. Tam poco esta actividad estf definida en los
diccionarios, incluyendo el de la Lengua E spaola l-a ms cerca-ia e s la auditora
contable, o la de auditor, que no cooperan al esclarecimiento d e la p ofesin. sino que
al contrario, e s posible que confundan an ms. Sin embargo, se desprende de todas
ellas, a mi entender, la idea de la independencia u objetividad del auditor, as como la
necesidad de un trabajo profesional claramente definido.

A m odo de ilustracin sobre kxs principios de la actividac. se incluyen dos

manifestaciones de la ISACA: Los objetivos de la Auditora d e Sistemas de
Informacin deben brinda a la Direccin de una seguridad razonablr que los controles
se cumplen, fundamentar los riesgos resultantes donde existan debilidades
significativas de control y aconsejar a La Direccin sobre accione* correctivas : as
como "la realizacin de una Auditora d e Sistemas de Informacin implica la
evaluacin y emisin de una opinin objetiva e independiente, y de recomendaciones
sobre la fiabilidad de un sistema d e informacin".

La Auditora de Sistemas de Informacin, dada su relacin intrnseca con las

tecnologas de la informacin, con las entidades y organizaciones que utilizan estas
tecnologas, y con Ion usuarios en general, mantiene necesariameate mtenclaciones
con otras disciplinas o actividades profesionales, con las que comparten proyectos
aunque, con distintas metas, reas de actuacin y responsabilidades.

De hecho, la profesin se ha nutn d o y se nutre de e x p erto provenientes de

distintas disciplinas afines. Los requisitos esenciales para realzar este tipo de
actividad son: conocimientos slidos d e auditora, as com o conocmiento* tcnicos y
entrenamiento permanente en las nuevas tecnologas. Esta situacin, dados los avances
 www.FreeLibros.me
XXXVI M DIIOHIMSHlMSIVIK'.t I S I M i y i l*A. TII <

d e la tecnologa. est llevando a lo auditores de sistem d e informacin a

especializarte en determinadas reas o entorno tecnolgico. La realidad seAala que
lo equipos de Auditora de Sistemas de Informacin de las entidades d e dimensin
importante estn formados por profesionales multidisciplinares.

El presente libro A uditoria Inform tica: u n tn fo q tc prctico, incluye

acertadamente este aspecto de las inte relacio n es, desde la utilizacin de la informtica
o herramientas tecnolgicas, en concreto con respecto a lo auditores financieros, al
impacto de la creciente legislacin coc relacin a la utilizacin de las tecnologas.
Oportunamente, se analizan aquello elemento comunc para distintos tipos de
auditora, como son lo* principios de un informe de auditora, y los aspectos ticos que
debe observar un auditor, Es de agradecer la clarificacin obre jn sistema de control
memo y la realizacin de una Auditora de Sistemas de Informicin. El ejercicio de
ambos actividades tiene puntos en comn, incluso en situackoe* determinadas se
utilizan la mismas herramientas tcnicas. Sin embargo, existen diferencias especficas
que se indican en los captulos correspondientes. El control interno de los sistemas de
informacin es una responsabilidad primaria de us responsables. Adems aporta
aspectos prcticos tanto de la organizacin de la funcin de Aucitora de Sistemas de
Informacin, como de la realizacin de peritajes informiieo*.

Coincidiendo con las definiciones de la ISACA referidas en esta presentacin,

la Auditora de Sistema de Informacin abarca la revisin y eviluacin de todos los
aspectos (o alguna seccin/rea) de los sistemas automatizado d e procesamiento de
informacin, incluyendo procedim ientos relacionados no automticos, y las
interrelacioncs entre ellos. De ah que. eficazmente, se hayan previsto tratamientos
separados de distintas reas objeto de la Auditora de Sistemas de Informacin, desde
la seguridad fsica y ofimtica. hasta lo aspectos de tipo legal, la calidad, y b
seguridad, considerando tam biln los aspectos de gestin le los sistemas de
informacin, la adecuacin de la actividad a entornos medios, lat reas de desarrollo,
sistemas concretos y tecnologas especficas.

Es importante destacar que este enfoque prctico abarca isimsmo el ejercicio

de esta actividad en determinados sectores de actividad, que pueden imprim ir en la
realizacin del trabajo del auditor una cierta particularzacin. ya que lo riesgos de
los sistemas de informacin, en muchos casos, varan y dependen de la actividad
empresarial.

Los profesionales que han hecho posible este libro, esti haciendo un aporte
cualitativo a este "cam ino que se hace al andar", contribuyendo i que la Auditora de
Sistemas de Informacin se entienda en cuantos a sus objetivos, y que al mismo
tiempo cum pla con u funcin ocia! de dar confianza en los sistemas de informacin
a sus responsables y a la sociedad en general que recibe sus servicio.

Quiero personalm ente agradecer a M ario Piattini y Emilio del Peso, por
haberme honrado con la peticin de hacer esta presentacin. C o n o parte del colectivo
 www.FreeLibros.me
i_____________________________________ HHfrjUOO A l-A SKA'KDAMUCKVM XXXVII

profesional de auditores de sistemas d e informacin. agradezco um w n el esfuerzo

dedicado pora llevar a buen trm ino estas publicaciones, y mi difuvn y. asimismo
hago extensivo mi reconocimiento a los distintos autores por mi contribucin.

Marina T o u rito
Ccrtified Information Systems Auditor
Presidenta de la Organizacin de Auditoria Informtica
 www.FreeLibros.me

CO N T EN ID O

A u l o m ___________________________________________________________ XXI
Prlogo a la p rim e ra e dicin....... ..... .................................................................................... - ..
Prlogo a la se cunda edicin........................... .....................................- .............. X X X III
P r c fa d o ......... - ........................................................................................ .................. XX XIX

PARTE I. INTRODUCCIN.................. .................................... I

C A P T U L O I. I.A IN FO RM T IC A C O M O H E RRA M IEN TA DEL
AU DITO R FIN A N C IE R O (M onto Hernndez Garca) ........... ................ 3
1.1 Definicin del en lo m o ------ ------ -------------- ........ 3
1.2 Auditora. C o n c e p to ........ . ------------------------------------------------------ 4
1.3 Clases de auditora____________________________________ ________ 4
1.4 Procedim ientos................. _.................................... ............................... . 5
1.5 Variacin del o b je to .........................................~......... ................................. 1
1.6 Consultara. C o n c ep to ......... ........................................................................ 9
1.7 Ventajas de la Informtica como herramienta d e la Aoditcra
financiera__ __________ ___________ --------------------------------- _ 12
1.7.1 Grado de inform an /a cid o __________ _____ ____________ 12
1.7.2 Mejora de U i tcnica habituales.......................... -------- 12
I .7 J E volucin-------------------------------------------------------------------- 19
1.7.4 Grado de utilizacin------- -------------- ............... - .................. 20
1.8 C onclusiones_____ ________________________ ____________________ 22
1.9 Cuestiones de re p o so ______ ____ _____ _____________ ______ 22
CA P T U L O 2. C O N T R O L IN T E R N O Y A U D IT O RA
IN FO RM T IC A (Gloria Snchez Val riberas)..................... ......................... 25
2.1 Introd uccin__________________________________________________ 25
 www.FreeLibros.me

CA PTU LO 5. O R G A N IZ A C I N DF.I. D E PA R T A M E N T O DE
AUDITO RA IN F O R M T IC A (Rafael Ruano D iez)-------------------------- 107

5.1 A ntecedentes........................ --------- ...................------- ....... . 107

5.2 C ta e s y tipos de Auditoria Inform tica-------------............. ----- ------ 109
5.3 Funcin de Auditora Inform tica ............................ ....................... 110
5.3.1 D efinicin........... ............................................. ...................------ 110
5.3.2 Perfiles profesionales de la funcin de Auditora Informtica 111
5.3.3 Funciones a desarrollar por la funcin de Auditora
Inform tica...-------- -----..........------------------- .......--------- ------ 112
5.4 Organizacin de la funcin d e Auditora Inform tica............... ....... 115
5.5 Cuestiones de repaso............ ................................ - .............. 117

CA PTU LO 6. E L M A R C O JU R D IC O D E I-A A UDITORA

INFO R M TIC A (Emilio d t l Peso Navarro)------------------------------ ------- 119

6.1 Introduccin.......... ............. - -................. 119

6.2 La proteccin de datos de carcter personal....--------- ..................------- 121
6.3 La proteccin jurdica d e los programas de com putador------------------- 124
6.4 Las bates de datos y la m ultim edia............................ .............. ....... .......... 128
6.5 Los delitos inform ticos. _______ ------------------------------------------................-------------
6.6 Los contratos informtico*............. .......... ....... ............................. - 136
6.7 E l intercarabto electrnico d e dato_______ ___ .......................... 141
6.8 La transferencia electrnica d e fondo-------------- ------------------- 142
6l9 La contratacin electrnica.------------- ------------ -------------------- 144
6.10 K1 documento electrnico------------------------------------------------------------ 147
6.11 Lecturas recom endadas--------------------------------------------------- ----------- 148
6.12 Cuestiones de repaso............ ......... ....... - ............. ....... 149
C A PT U IX ) 7. D E O N T O L O G A D E L A U D IT O R IN F O R M T IC O Y
C D IG O S T IC O S (Jorge Pez M a M )............ ...................... ...................... 151
7.1 Introduccin__________________________________________________ 151
7.2 Principio* deontolgicos aplicables a los auditores informticos............ 156
7.2.1 Principio de beneficio del auditado.............................................. 156
7.2.2 Principio de calidad.................. ................ .............. ............. 158
7.2.3 Principio de capacidad---------- -------------------- --------------- 158
7.2.4 Principio de cautela..............____________________________________ . .............
7.2-5 Principio de comportamiento profesional-------------- - ......... 160
7.2.6 Principio de concentracin en el traba jo ........ .................. 160
7.2.7 Principio de confianza.................................................................. . 161
7.2.8 Principio de criterio pro p io ...... --------- -------- ------- 162
7.2.9 Principio de discrecin...........................................- ...................... 162
7.2.10 Principio de econom a.................................... ............................... 163
7.2.11 Principio de formacin continuada ...................... ....... ... 163
 www.FreeLibros.me
vi Ai pnowU isKrttvtncA: t y enfoque pkactkx

2.2 Las funciones le control interno > auditora informticos .............. 27

2.2.1 Control Interno Informtico .................................................. 27
2.2.2 Auditora Informtica ............ . . . . . . . ----------------------------.......... 28
2.2.3 Control interno y auditora informticos: cam pos anl>gos.... 29
2.3 Sistema de Control Interno Informtico ..................... ........................- 30
2.3.1 Definicin y tipos de controles internos...................................... 30
2.3.2 Implantacin de un stem a Se controles internos
inform ticos__________________________________________ 32
2.4 C onclusiones--------------------------- --------- --------------- ------------ -------- 42
2.5 Lecturas recomendada*--------------------------------------------------------------- 43
2.6 Cuestiones de repaso----. . . . --------------- --------- .............- .......-------- 43

C A P T U L O 3. M E T O D O L O G A S DE C O N T R O L INTER NO .
SEG U R ID AD Y A U DITO RA INFO R M TIC A
(J os M ara Gonzlez Zubieta)......... .................................................................................. ................

3.1 Introduccin a las metodologas......... ........ .............. ................................... 45

3.2 Metodologas de evaluacin Je rin a ti * ------------------ ----------------------- 49
3.2.1 Conceptos fundamentales............... ............- ---------------------- 49
3.2.2 Tipos de metodologas --------- ------------- 51
3.2.3 M etodologas ms com unes----- --------------- . . . . ------------------ 52
3.3 l-as metodologa* de Auditora Inform tica. . ----------------------- ---------- 63
3.4 El plan auditor informtico ----------------------------- ---------------- ------ 65
3.5 Control interno informtico. Sus mtodos y procedimientos. I j s
herramientas de control__ . . . . . . . . . . . . . . . . . . . . . . . . . . . . ------- . . . . . . . . . . . . 67
3.5.1 La funcin Je co n tro l. . . . . . . ......... ....... ........................... 67
3.5.2 Metodologas d e clasificacin de la informacin y de
obtencin le los procedim ientos le co n tro l.......................... 70
3.5.3 Las herramientas <k c ontrol........... ...................................... ...... 75
3.6 Conclusione*___ ---------------------------------------- . . . . . . . . . . . . . ----- 82
3.7 Ejemplo de metodologa le auditora de una aplicacin........ . . . 82
3.8 Lecturas recom endadas---- ---------------------------------------------- 91
3.9 Cuestiones le r e p a s o . . . . . . . . .------- ------------ .......................--------- 91
C A P T U L O 4. E L IN F O R M E DE AUDITO RA
(J o s/ de la Pea Snchez).............. ............ . . . ------------------------------ ... . . . . . . . 93
4.1 Introduccin. . . . . . . . --------------------. . . . . . ---------------------- 93
4.2 Las n o m o s --------- ----------- ------ . . . . . --------------- ------- --------------- 95
4.3 La evidencia ___ . . . . . . . ------------ ----------------------. . . . . . --------- 97
4.4 I.as irregularidades------------------------- . . . . . . . --------------- ------- -- 98
4.5 l-a documentacin . . . . . . . . -------- ----------------------------------------...-----------
4.6 El informe----- -------------------------------------------- --------------------------- 99
4.7 Conclusiones____ ____ . . . . . . . . . . . . . . . . . . . . . . . ------------ 104
48 Lecturas recom endadas. . . . ------------------------. . . . . . . . . ---------------------- 105
4 .9 Cuestiones de repaso------------------------------- ------ ------ . . . . . . . . . . . . . . . 106
 www.FreeLibros.me
X AUOfTOUlAINFORMATICA: US EXFOQtT. PKCTKT)_____________________________cm>

7 .1 1 2 Principio de fortalecirroeoto y respeto de U pro/esio..... ........ 164

7.2.13 Principio de independencia__ ........_____________ _ I6S
7.2.14 Principio de informacin suficiente----- ------- .... ________ 166
7 2 .15 Principio de integridad m o n i --------------------------------------- ------------- 167
7.2.16 Principio de legalidad-------------------------------------- --------- 167
7.2.17 Pnncipio de libre com petencia------- ----- --------------------------- 168
7.2.18 Principio de no discriminacin---------- ----- ------------ ........ 168
7.2.19 Principio de no injerencia. ----------------- ------------------------- 169
7.2.20 Principio de precisin.-___ ______________ __ ____ ....... 169
7 2-21 Principio de publicidad adecuada.________________________ 169
7.2.22 Principio de responsabilidad _ --------------------------------- -------- 170
7.2.23 Principio de secreto profesional-------------- -------------------- _ _ 170
7.2.24 Principio de servicio pblico---------- --------------- --------------. . . 172
7.2.25 Principio de veracidad ____ . ----------------------------------- 173
7.3 C onclusiones__________________________________________________ 174
7.4 Lecturas recom endadas............ ...................................................... ..... 177
7.5 Cuestiones de repaso.... .................. ................................ ............177

P A R T E n . P R I N C I P A L E S R E A S D E I .A A U D I T O R A
I N F O R M T I C A ................. .................................................................... ..............1 7 9

C A P T U L O 8. LA A U D IT O RA FSIC A (Gabriel Desmonte Basilio)....... 181

8.1 Introduccin__ ________ ________________ _________ ___________ ___ 181

8.2 I-a segundad fsica......... ................................................................. .......... 182
8.2.1 A nte*______________________________________ _____ _______ 182
8.2.2 D urante________ _________________________________________ 183
8.2.3 D espus______________________________________________ __ 184
8.3 reas de la seguridad fsic a............................................................................ 185
8.4 Definicin de Auditora F sica____ _____ ___ ____________ ....... 187
8.5 Fuentes de la Auditora Fsica---------- ---------------------- --------------- ------ 188
8.6 Objetivos de la Auditora Fsica .......... ................................................. ... 189
8.7 Tcnicas y herramientas del a uditor................................ ..... ............. 189
8.8 Responsabilidades de los a uditores........... .........._........ ......... ...... 190
8 .9 Fases de la Auditora Ffca_______________________________ - ____ 191
8.10 Desarrollo de las fases de la Auditora Fsica......... ................................... . 192
8.11 Lecturas recom endadas_____ ____________________________________ _ 195
8.12 Cuestiooe de repaso..._______________________ ............_________ 195

C A P T U L O 9. A U D IT O RA DE LA O FIM T IC A
(Manuel G m ez V az)............................. ......... ..... ........... 197

9.1 Introduccin......._______________ .......... 197

9.2 Controles d e auditora.............................. ... 198
9.2.1 Kconoma. eficacia y eficiencia.. 199
 www.FreeLibros.me
COXTtNIDO XI

9.2-2 Seguridad---- -------------------- ---------------------- ------------- ------- 204

9.2.3 Norm ativa vigente.............................. ............................................ 207
9.3 C onclusiones-__ -------------------------------------------------------------------- 208
9.4 Lecturas recom endadas----- ----------------- ----------------- - ............ 209
9.5 Cuestiones de repaso ________ __________________________________ 210

CA PTU LO 10. A U D IT O RA D E LA D IR E C C I N
(Juan M iguel Ramos Escobosa>............................................ ......... ............... 211

10.1 Introduccin------------------- -----------------...................------------------------ 211

102 Planificar_____________________________________________________ 212
10.2.1 Plan estratgico d e Sistemas de Informacin.......... . 212
10.2.2 O tros planes relacionado*..... ------------------------------------- - 214
10.3 Organizar y coord inar..-.-.------- ------------ ...... ................ 215
10.3.1 Com it de Inform tica............-------------------- ------------------- 2 15
10.3.2 Posicin del Departamento de Informtica en la em presa........ 217
10.3.3 Descripcin de funciones y responsabilidades del
Departamento d e Informtica. Segregacin de funciones....... 2 18
10.3.4 Estndares de funcionamiento y procedimientos Descripcin
de los puestos de trab a jo --------------------------- ------- -------- ....... 220
10.3.5 Gestin de recunsos humano: seleccin, evaluacin del
desempeo, formacin, promocin,finalizacin-------------- 221
10.3.6 C om urocacio_____ ________...........----------- ------------ . . . 223
10.3.7 G estin econm ica------------------------------ -------- ---------- 223
10.3.8 Segaros.-------------------------------- -------------- ---------- --------- 225
10.4 C ontro lar______________ ~ --------------------------------------------------------- 226
10.4.1 Control y seguim iento----------------------------------------------------- 226
10.4.2 Cumplimiento de la normativa legal----------------------------------- ------------- 227
10.5 Resum en---------------------------------------------------------------------------------- 227
10.6 Lecturas recomendadas 228
10.7 Cuestiones de repaso --------------------------------------------- ---- 228

CA PTU LO I I . A U DITO RA DE I.A E X PL O T A C I N

(Eloy Pea Ram os) ---------------------------...---------- 31

11. 1Introduccin.........................-------------------------- --------- ------- 231

11.2 Sistemas de Informacin ---------------- - 232
11J Carta de encargo....------------------------------------------------------- ---------- 234
11.4 Planificacin---------------------------------- --------- --------------------------------- 234
11.4.1 Planificacin estratgica.-------------------------------------------------- 234
11.4.2 Planificacin Administrativa................................... ........ 246
11.4.3 Planificacin T cn ica..-.-...----------- ---------------------------------- 246
11.5 Realizacin del trabajo (procedimientos)..... ----- - 247
11.5.1 Objetivo general________________________ ----------- ------ 247
11.5.2 Objetivos especficos________________________ 247
 www.FreeLibros.me
xa aud uo r M im o r m Attc a . x knhxjce PRAcnco

11.6 Inform es........................................................................... ..................

11.6.1 Tipos de informes________ _ ........................ ..............
11.6.2 Recomendaciones.............................................................
11.6.3 Normas para elaborar los inform es....... .......................
11.7 La documentacin de la auditora y su organizacin..................
11.7.1 Papeles de trabajo.............................................................
11.7.2 A rchivos........................................................ ...................
11.8 C onclusiones.......................................................................
11.9 Lecturas recom endadas..... ........................ .....................................
11.10 Cuestiones de repaso____ ....---------------------------------------------

C A P T U L O 12. A U D IT O RA D E L D ESA RR O LIX )

(Jo s^ A ntonio R odtro RotU ro)................................ - .......... ..........

12.1 Introduccin.................................... .............. ......................... ..........

12.2 Importancia de la auditora del desarrollo...................................
12.3 Planteamiento y metodologa ----------------- --------------------........
12.4 Auditora de la organizacin y gestin del rea de desarrollo.,.
12.5 Auditora de proyectos de desarrollo de S .l..................................
12.5.1
12.5.2
12.5.3 Auditora de la fase de diseAo...
12.5.4 Auditora de la fase de construccin...
12.5.5 Auditora de la fase de implantacin...
12.6 Conclusiones .
12.7 Lecturas recomendadas ...
12.8 Cuestiones de repaso..,

C A P T U L O 13. A U D IT O R A D E L M A N T EN IM IEN T O
(Juan Carlos Granja Alvarez)................ ........... .................. ...... ............ ..........

13.1 Introduccin a la Auditora Informtica del mantenimiento del vftw arc.

13.2 Listas de comprobacin en Auditora Informtica del M antenimiento..
13.3 M odeli/acin en la etapa de m antenim iento................. ..... _________
13.4 Modelo de estimacin en el mantenim iento.................. ....................- ....
13.4.1 Elementos de la mantenibilidad.............. ..................................
13.4.2 Mtricas de mantenibilidad..........................................................
13.4.3 Funciones de mantenibilidad........................................................
13.4.4 Mtodo de im plem entacin..........................................................
13.5 Caso de estudio......... ........................................................................-

13.8 Cuestiones de re
 www.FreeLibros.me

CA PTU LO 14. A U D IT O RA D E BA SES D E DATOS

(Mario G. Piaitini Velthuii)..................................................

14.1 Introduccin..........___________................ ------------------------------ ...................--------------

14.2 Metodologa* pora U auditora de b u n d e dalos........ ............... ....... 311
14.2.1 Metodologa tradicional........................ ............................................................312
14.2.2 Metodologa de evaluacin de riesgos--------------- -------------- 3 12
14.3 Objetivos de control en el ciclo de vida d e una h a de datos ............. 314
14J . 1 Estudio previo y plan de trabajo.................................................. 314
14.3.2 Concepcin de la base de datos y seleccin del equipo ... 318
14.3.3 Diselo y carga..----------- ------------- .................................... - 319
14.3.4 Explotacin y m a n ten im ien to------------------- .......... . 320
14.3.5 Revisin post-implantacin.......................................................... 321
14.3.6 O tros procesos auxiliares .............------------- ...................... 322
14.4 Auditora y control interno en un entorno de bases d e d alo s................... 322
14 .4 .1 Sistema de Gestin de Bases d e Dalos (SG BD )....................... 323
14.4.2 Software de auditoria .......................... ..................................... 324
14.4.3 Sistema de monilori/.acin y ajuste (luni/tg) .......................... 324
14.4.4 Sistema Operativo (S O ).. .- .---------- ..........---------------- 324
14.4.5 Monitor de Transacciones-...............................- ..... - ................... 324
14.4.6 Protocolos y Sistemas Distribuidos............................................. 325
14.4.7 Paquete de seguridad......................... .................................... ...... 325
14.4.8 Diccionarios de d ato s...................... ............................................. 326
14.4.9 Herramientas CASE (Computer A ided Syuem /Software
Engineering). IPSE (IntegrateJ Project Support Environmenis) 326
14.4.10 Lenguajes de Cuarta Generacin (L4G) independientes......... 326
14.4.1 1 Facilidades de u n a r io ------------ -------------------- 327
14.4.12 Herramienta* de 'm inera de dalos*........................................... 328
14.4.13 Aplicaciones__---------------------------- ------------------ ------------- 328
14.5 Tcnicas para el control de bases de dalos en un enlom o com plejo....... 329
14.5.1 Matrices de control-------- ----------------------- ----------------------- 329
14.5.2 Anlisis de los caminos de acceso------------------------------------ 330
14.6 C onclusiones_________________________________________________ 330
14.7 Lecturas recomendadas ------ 332
14.8 Cuestiones de r e p a s o --------------------------------------------------- ---------- 332

C A PT U L O 15. A U D IT O RA DE T C N IC A DE SIS TE M A S
(Julio A. Novoa B erm ejo)------------------------......------------............................ 335

15.1 mbito de tcnica de sistem as ....... ....... ....................................... 335

15.2 Definicin de la funcin... .. .---------------- ...............--------- ..... 337
15.3 El nivel d e servicio------------------------------------ --------------------------- ---- 337
15.4 Los procedim ientos-----------------....-----------------------.............-------------- 339
15.4.1 Instalacin y puesta en servicio............ ...................................... 339
15.4.2 Mantenimiento y soporte........................... ................. ............ 340
 www.FreeLibros.me
XIV AUOtTOKlA INFORMTICA- UN ESTOQUEHtACTKO___________________________ o m w

15.4.3 Requisitos pora oros com ponentes... ............................ 340

15.4.4 Resolucin de incidencias........... ................. ............... 341
15.4.5 Seguridad y con tro l-------------------------------- --------------------342
15.4.6 Informacin sobre b actividad...................................................... 343
153 Los c ontroles... ......................................... .................. ........................................ - 343
15.6 Auditora de la fuocia............................................................................ 351
15.7 Consideraciones sobre la tecnologa y su e v o lu cin--------------- --------- 356
15.8 A lgunas referencias............... ------- ....................... ............. ............. 358
15.9 Lecturas recom endadas---- ------------------------------------- ------------ ------- 359
15.10 Cuestiones de repaso___ ...-------------- ----- - . -------------- ....---------------- 359

C A P T U L O 16. A U D IT O RA DF. IJV C A LIDA D

( Jo U I ms IM etro Man re a ) ............. ............................................................... . 361

16.1 Prem bulo......... .................. ................... ............. ................ --------------------- 361

16.2 Definiciones previas......................................... ............................................. 362
16.3 Introduccin.......... ............................ .................... ------ - 363
16.3.1 Revisin ___ ..................____ .................. ..... ...............................364
16.3.2 Elemento software............. ........................................ ......................... 364
16.3.3 A uditora---------------------------------------------------------------------- 364
16.3.4 Concepto de evaluacin segn la EHA........................................ 365
16.3.5 Concepto de Auditora segn la EEA......................... ................ 365
16.4 Caractersticas de la calidad segn ISO 9 1 2 6................................ ............ 365
16.4.1 C aractersticas ............................................................- ............................... 365
16.4.2 M odelo ISO E xtendido ------- -------- ------- --------------------------- 367
16.5 Objetivos de las A uditoras de C alidad........................................ ............. 370
16.6 Procesas de C alidad..-................. ................................................................. 371
16.7 El proceso de Auditora del Softw are............- ............................................ 375
16.8 Auditara de Sistemas de Calidad de Softw are.......................................... 381
16.9 Proceso de aseguram iento d e la calidad descrito por ISO 12207...... 381
16.9.1 Im pkm entacin del pro ceso ----------------.............---------------- 383
16.9.2 Aseguramiento del producto ......................................................... 384
16.9.3 Aseguramiento del proceso..........- ......- ............... ................... .. 384
16.9.4 Aseguramiento d e la calidad de los sistem as................ ............ 385
16.10 Proceso de Auditora descrito por ISO 12 2 0 7.............................. ...... 385
16.10.1 Implcmcniacin del pro ceso .................................................. 385
16.10.2 A uditora-------------------------------- ------------------ ............. .. 386
16.11 C onclusiones----------------------------------------------------------------------------- 386
16.12 Lecturas recom endadas................................................................................. 387
16.13 Cuestiones de repaso....... .......................................................... ...... 387

C A P T U L O 17. A U DITO RA D E LA SEGURIDAD

(Miguel ngel Ram os G onzlez)......... ....... ........................................................ ..............

17.1 Introduccin .......................... ...... ................ ............. .......------ 389

 www.FreeLibros.me
cow w fapo xv

17 2 Areas que puede cubnr la auditoria d i la segundad.. ....------------ 393

I 7 J Evaluacin de riesgos----------------------------------------------------------- ----- 395
174 Fase* de la auditora de seguridad_______________....._________ _____ 399
17.5 Auditora de la segundad (to c a - ...------------------------------------------------ 400
17.6 Auditoria de la segundad lgica.................................................. ................ 02
17.7 Auditoria de la segundad y el desarrollo d e aplicaciones......................... -*04
17.8 Auditoria de la segundad en el rea de produccin--- -----------........... 404
17.9 Auditoria de la segundad d e lo s d alo s---------------------------- ----------- -*05
17.10 Auditoria de la segundad en comumcaciones y rede-----------407
17.11 Auditoria de la continuidad de las o p e ra cio n e s-------- ........----------- . 409
17.12 Fuentes de la auditoria___________________ ---------------------- 4 11
17.13 El perfil d d aud itor-...- -------------------------------------------- ------------- 411
17.14 Tcnicas, mtodos y herramientas----- ------ ---------------- ------------------- 413
17.15 Consideraciones respecto al in f a m e --------------------------- 414
17 .16 Contratacin de auditora externa............................................ ................. 4 16
17.17 Relacin de Auditoria con Administracin de Seguridad.......................... 4 17
17.18 C onclu siones____________ _______________________ _____________ 419
17.19 Lecturas rec om endadas____ ................------ ------------------------------- 421
17.20 Cuestiones de r e p a s o ------------------------------------------------------------------ 422

CA PTULO 18. A U DITO RA DE RED ES

(Jos Ignacio B o ito Prtz-H oU m da).................................................................. 423

18.1 Terminologa de redes. Modelo OS1 --------------------- - 423

18.2 Vulnerabilidades en redes.................................................. ..........----------- 426
18.3 Protocolos de alto nivel-------------------------------------------------------------------- ---------
18.4 Redes abiertas (T CP/IP)----------------------- --------------------------------------- 430
18.5 Auditando la gerencia de com unicaciones------------------------------ ......... 434
18.6 Auditando la red fsic a ---------------------------------...................---------- 437
18.7 Auditando la red lgica ...............----- . . . --------------- 440
18.8 Lecturas recom endadas--------------------------------------------------------------- 443
18.9 Cuestiones de repaso______ _ ----------------- - -------------------------- 444

CA PTU LO 19. A U D IT O RA D E A PL IC A C IO N E S
(Jos M ario M adurga O u ty t) ------ ------------ ...-------- -------- -------------- - . 445

19.1 Introducc in ------ _...----------- --------------------------- ----------------- 445

19 2 Problemtica de la auditoria de una aplicacin inform tica.................. 446
19.3 Herramientas de uso ms com n en la auditoria de una apbcacsn......... 450
19.3.1 Entrevistas__________________________________________ 450
19.3.2 E ncuestas_____________________________________________ 451
19.3.3 Observacin deltrabajo realizado por los usuarios.................... 452
19.3.4 Pruebas de conform idad.............................. .......................... ....... 452
19.3.5 Pruebas substantivas o de validacin---------------------------------------------- ------
19.3.6 Uso del com putador .........------------ .................................. 454
 www.FreeLibros.me
XVI AUPITOKA ISKXIMATK'Aj UN EifOQUf. HtACTlCO___________________________ ci*M

19.4 Etapas de la auditora de una aplicacin informtica................................. 456

19.4.1 Recogida de informacin y documentacin sobre la

19.4.2 Determinacin de los objetivos y alcance de la a u d ito ra........ 458

19.4.3 Planificacin de U auditoria...................... ......................... ......... 461
19.4.4 Trabajo de campo, informe e implantacin de mejoras............ 462
19.5 Conclusiones .................... ........................................................ - .................... 463
19.6 Lectura* recomendadas ................................... ............................................ 464
19.7 Cuestiones de r e p a s o ......................... ....................-------------- -------------- 464

C A P T U L O 20. A U D IT O R A IN FO RM A T IC A D E EIS/D SS
Y A P L IC A C IO N E S D E SIM U L A C I N (M anuel Palao Garca-Suelto) 467

20.1 Propsito y e n fo q u e ............................ ...... .......................... ....................... 467

20.2 Desarrollo de la* definiciones operativa* de los conceptos c la v e __ __ 468
20.2.1 Auditora Informtica........ - ----- ------------ ----------------- ---- 468
20.2.2 SID [/.?KSAD(DSS|-------------------------- -------- ------------------- 469
20.2.3 Aplicaciones de S im u laci n -------------- ----------------------------- 472
20.3 Singularidades de la AI de los SID(75|. SADJDSSJ y Simulacin------ 474
20.3.1 A l de los SID] 7 5 ] ......- .............. ................................... .............. 475
20.3.2 A l de k SAD[Ztt$] y Simulacin ............................................. 480
20.4 Conclusiones _________________________________________________ 481
20.5 Lecturas rec om endadas ................. ................................................... ----------
20.6 Cuestiones de re p a s o __ ..............................................------- ------- 481

C A P T U L O 21. A U D IT O R A JU R D IC A DE E N T O R N O S
IN F O R M T IC O S U osep Jtn-er i Podr)------------------------- ---------------- - 483

21.1 Introduccin.............................. ..... ............ ....... ................... ............... 483

21.2 Auditora del ento rn o ................................._____ _________ ............ 485
21.3 Auditora de las personas ________________ _________ 488
21.4 Auditora de la inform acin..... 492
21.5 Auditora de los a rc h iv o s_. .................................... ---- ----------........... 493
21.5.1 Niveles de proteccin de los archivos......................................... 493
21.5.2 Mecanismos de seguridad del arch iv o ------------------------------ - 495
2 1.5.3 Formacin de la figura del responsable del archivo.................. 495
21.6 C onclusiones________ ................................___ .................................... 503
21.7 Lecturas recom endadas............................................. ............... 5(H
21.8 Cuestiones de repaso------ ---------------------------------------------------------------- 504
 www.FreeLibros.me

PARTE III. AUDITORA INFORMTICA EN DIVERSOS

SECTORES_________________________________________ 507

CAPTULO 22. A U DITO RA IN FO R M T IC A E N E I. SE C T O R

BANCARIO (Pilar Am ador Corara) ________________________________ 509

22.1 Caractersticas generales de la Auditora Informtica en las en tid ad

financieras___ _____ _______ __________...................................--------- 509
22.1.1 Necesidad y beneficios de la auditora informtica en la
banca______________ _____________________ ...................... S09
22.1.2 Tipologa de las actividades a a u d ita r ................. ....................... 511
22.1.3 O bjetivos de la auditora y preparacin del pUn de trabajo.... 514
22.2 Auditora Informtica de una aplicacin bancana tpica ---------- . . . . . . . 5 15
22 2 I ("rtenos para la planificacin anual de los trabajos................... 516
22-2.2 Establecimiento del mbito d e la auditora. . . . . . . . . . . . . . . . . . . . 517
22.2.3 Procedimientos de auditora a em p lea r------------------------------- 519
22.2.4 Consideraciones a tener en cuenta durante la realizacin
de la aud ito ria................................................................................ 521
22.3 Auditora informtica de la proteccin de datos personales..... .. 523
223.1 La importancia y el valor de la informacin en el sector
bancario............................................................................................ 523
223.2 Actividades de auditora en relacin con la ptoccccio d e dates
personales......................................................... ............................... 525
22.4 Cuestiones de repaso------------------------------------------------------------------ 530

CAPTULO 23. A U DITO RA INFO R M TIC A EN EL SE C T O R

A REO (Aurelio Hermoso Baos) ................................................................ .. 533

23.1 Introduce &>__________________________________________________ 533

23.2 Sistema de reservas Amadeos ------------------- ---------------------------------- 534
233 Facturacin entre compartas a reas---------------------------------------------- 535
23.4 Cdigo de conducta para C R S ....... ............................................................. 536
233 Procesos informticos..................................................................................... 538
23.6 Auditora Inform tica............... .................................................................... 540
23.7 Conclusiones-------------------------------------------------------------------- ------- 548
23.8 Lecturas recomendadas ......................................548
23.9 Cuestiones de re p w o ------------------------------------------------------------------ 549

CA PTU LO 24. A U DITO RA IN FO R M T IC A EN LA

A D M IN ISTRA C I N <V fa o r Izquierdo Ix n o la ) ---- ----------------------------- 551

24.1 Introd uccin..... ....................................................... . ------------------------- 551

24.2 Las TIC en la L R J-P A C _______________________________________ 552
2 4 3 La informatizacin de registros______ . . . . . . . . . . . . . . . . . . . . . ---------------- 554
 www.FreeLibros.me
XVIII AUDfTOOlA IXKXtMTK'A fX ENFOQUE PKCTKT)

24.4 L as previsiones del Real Decreto 263/1996. Je 16 de febrero, por el

que se regula la utilizacin de 1 tcnicas E IT por la Administracin
General del Estado.......- ............................. ................................................... 555
24.5 Identificacin de los requisitos de seguridad, normalizacin y
conservacin en el texto del Real Decreto 263/1996................................. 556
24.5.1 Garantas de seguridad de sopones, medios y aplicaciones.... 556
24.5.2 Emisin de documentos: procedimientos para garantizar la
validez de los medios: integridad, conservacin, identidad
del autor y autenticidad de la voluntad........................................ 557
24.5.3 Validez de las copias: garanta de su autenticidad, integridad
y conservacin .............................................................................. 558
24.5.4 Garanta de realizacin de las comunicaciones......................... 558
24.5.5 Validez de comunicaciones y notificaciones a k
ciudadanos: constancia de transmisin y recepcin,
estampacin de fechas y contenido ntegro, identificacin
fidedigna de remitente y d e stin a tario ........ ........................... .... S59
24.5.6 Comunicaciones por medios preferentes del usuario:
comunicacin de la forma y cdigo de accesos a sus sistemas
de comunicacin ____ ________ __________ __ __________ _ 559
24.5.7 Validez de fechas d e notificacin para cmputo d e plazos;
anotacin en los registros generales o auxiliares a que hace
referencia el artculo 38 de la LRJ-PA C _____ ____________ 560
24.5.8 Conservacin de documentos: medidas d e seguridad que
garanticen la identidad c integridad d e la informacin
necesaria pora reproducirlos......................................................... 561
24.5.9 Acceso a documentos almacenados: disposiciones del artculo
37 de la Ley 30/1992. y . en su caso, de la Ley Orgnica
5/1992. Norma* de d e sarro llo .................... ...... ....................... 561
24.5.10 Almacenamiento d e documentos; medidas de seguridad que
garanticen su integridad, autenticidad, calidad, proteccin y
conservacin.......____________ .................._______ ___ ___ 562
24.6 Conclusiones sobre el papel d e la Auditora Informtica en la
Administracin Electrnica............ .............................................................. 563
24.7 Cuestiones de repaso ______________________ ....___ _________ ........ 565

C A PIT U L O 25. A U D IT O RA IN FO R M T IC A E N L A S PY M F S
(Carlos M. Fernndez Snchez).......................... - ....... ................ .................. . 567

25.1 Prem bulo___________________________________________________ 567

25.1.1 Las PYMES y las tecnologas de la Inform acin....................... 567
25.1.2 Metodologa de la Auditora Informtica.......................... ...... . 568
25.2 Introduccin........................................................... ............... ................. . 568
25.2.1 En qu consiste la gua d e autoevaluacin?............................... 568
25.2.2 A quin va dirigida? .......________ _____________ ____ ___ _ 569
25.2.3 Conocimientos necesarios.............................................................. 569
 www.FreeLibros.me
CONTTXIPO XIX

25.2.4 Entornos de aplicacin.................... ..... ....... - ............... 570

25.2.5 Metodologa utilizada .......------ -------------------------------------- 570
25.3 Utilizacin de la gua...................................................................................... 571
25.3.1 Fases de la airtoevahiacio..................................- ...........- .......... 571
25.3.2 Valoracin de resultado*---------------------------------- ............. 573
25.4 Mincomputadores e informtica distribuida. Riesgo en la eficacia le
serv icio informtico...................................... ................................. ................ 574
255 Cooclusiones___________________________ ___ __________________ 581
25.6 Lecturas recomendadas ---- ------ -------- -------------- . . . 582
25.7 Cuestiones de re p a s o ----------------------------------------------------------------- 583

PARTE IV. OTRAS CUESTIONES RELACIONADAS

CON LA AUDITORA IN FORM TICA_______________ 585

CAPTUIX) 26. PF.RITAR VE R SU S AUDITA R

(Jtss R h tr o Laguna)----- ------------------------------ --------- -------------------- 587

261 I n t r o d u c c i n ------- --------------------- -------- ...........----------- 587

26.2 Consuhorrs. Auditores > Pern o s --------------------------------------------- ------------
26.3 Definicin conceptual de Pe rito---- -------------------------------------- 590
27.3.1 Equivalencia con la denominacin de E xperto".-------- .. 592
27 J .2 A cerca de la adquisicin d e tx p e rtist~ ........ 593
26.4 Pento \ t n u s "Especialista**--- --------------------- ----------------- ... 594
27.3.1 Quin puede ver "Pcnto IT __________ .. 594
27 J .2 Formacin de "Pcntos IT Profesionales"---------------------------- 597
2 7 J J C o n c lu si n ------------------------------------------------------------------- 598
26 5 Diferenciacin entre Informes. Dictmenes y P e rita cio n e s.-.-...----- 598
27.3.1 A cerca del trm ino "Informe** . .------- 599
27 J . 2 Acerca del trm ino "Dictam en" 600
27.3.3 Definiciones del C O IT ---------------------------------------------------- 601
27.3.4 T anfas diferenciadas de Honorarios de Ingenieros en
Trabajos a p a r t i c u l a r e s ----------------- 603
26 6 Peritaciones extrajudicules y arbitraje.................. - 604
26.7 El D ictamen de Pcntos como Medio de p r u e b a .... ------ 606
27.3.1 O bjeto de la "prueba pericial** ---------------- 607
27.3.2 El "Dictamen de Peritos" en la vigente LEC ........ 608
27.3 J El "Dictamen de Peritos" en la LEC. d e enero de 2000 -------- 609
27.3.4 Com entarios fioales..------------------------------------- 611
26.8 Cooclustooe* _____ --------------- 611
26.9 Lecturas recom endadas.....------------------------------------612
2 6 1 0 Cuestiones de repaso 6 13
 www.FreeLibros.me
XX AUMTO!* DffOMmiCA: Mt ENTOHIt HUCIKX)

CA P T U L O 27. E L CO N T R A T O D E A U DITO RA
(Isabel fat-ara Fernndez d e M arcos).............................................................. 6 15

27.1 Introduccita 6IS

27.2 Una breve referencia a la n a tu ra le s jurdica del contrato d e auditora.. 620
27.3 Partes de un contrato de auditora. El perfil del auditor informtico..... 621
27.3.1 La entidad auditada____________________________________ 621
27.3.2 El auditor in fonnM co ............................................................... . 622
27.3.3 Terceras p e n o aa s.__ _______ ___________________________ 626
27.4 Objeto del contrato de auditora inform tica______________________ 628
27.4.1 Proteccin de dato d e carcter personal....... .............................. 629
27.4.2 La proteccin jurdica del softw are------------------------ ------ ---- 630
27.4.3 1.a proteccin jurdica de la b#*es d e dalos................................ 631
27.4.4 Contratacin electrnica................................................................. 632
27.4.5 La contratacin u io m iitica ._____ _____________ ______ _ 634
27.4.6 T ra m c rc rc u electrnica d e fondos______________________ 635
27.4.7 E l delito inform tico..........................._______________ ____ 636
27.5 C ausa-------------------------------------------------------------------------------------- 637
27.6 El informe de auditora--------------------------------------------------------------- 637
27.7 C onclusiones_________________________________________________ 638
27.8 Lectura. recom endadas................................................................................ 641
27.9 Cuestiones de repaso..........__ ___ ____ ___ ______ _______ ________ 6!

A C R N L M O S_____________________________________________________ 643

B IB L IO G R A F A ___________________________________________________ 649

N D IC E.___________________________________________ ___ _________ _ 655

 www.FreeLibros.me

C A P T U L O 1

LA IN FO R M T IC A
C O M O H E R R A M IE N T A
D EL A U D ITO R FIN A N C IE R O

Alonso Hernndez Garca

1.1. DEFINICIN D EL EN TORN O

Definid y no discutiris. Y aun sin la pretensin de que lo que se exponga en este

captulo sea indiscutible. parece muy conveniente delimitar el cam po en que nos
desenvolvemos.

Dentro de una especialidad tan reciente y expansiva com o la llamada auditora

informtica, cabe perfectamente la confusin conceptual tanto entre los diferentes
aspectos, reas o enfoques en s mismos como por la debida a la vertiginosa evolucin
que experimenta la especialidad.

Pero como ya pretende cxplicitar el ttulo del captulo, vamos a tratar de auditora
financiera, Parece indicarse que en cierta medida nos desgajamos del contenido
general del libro y nos desviamos hacia las auditoras financieras.

N o es exactamente as. Si desmenuzamos el contenido de la auditora y su

evolucin podemos observar que el concepto permanece inamovible y son su objeto y
finalidad lo que puede variar.

Tambin parece procedente hacer una alusin especfica a la consultara como

especialidad profesional, ya que se hace preciso delim itar sus respectivos cam pos que
en ocasiones se confunden y superponen.
 www.FreeLibros.me

1.2. AUDITORA. C O N CE P TO

Conceptualmente U auditoria, toda y cualquier auditoria, e s la actividad

consistente en la emisin d e una opinin profesional sobre si el objeto sometido a
a n iliu s presenta adecuadamente la realidad que pretende reflejar y/o cumple Ut
condiciones que le han sido prescritas.

Podemos descomponer este concepto en los elementos fundamentales que i

continuacin se especifican:

I) contenido: una opinin

2) condicin: profesional
3) justificacin: sustentada en determinados procedim ientos
4 ) objeto: una determinada informacin obtenida en un cierto
soporte
5> finalidad: determinar si presenta adecuadamente la realidad o sta
responde a las expectativas que le son atribuidas, es
decir, su fiabilidad

En lodo caso e s una funcin que se acomete a posterion. en relacin era

actividades ya realizadas, sobre las que hay que emitir una opinin

1.3. C LA S ES DE AUDITORA

Los elem entos 4 y 5 distinguen de qu clase o tipo de auditoria se trata. El objeto

sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que k
realiza el estudio, definen el tipo de auditora de que se traa. A titulo ilustrativo
podram os enum erar entre otras:

Financiera Opinin Cuentas anuales | Presentan realidad

Informtica Opinin Sistemas de aplicacin, re- i O peratividad eficiente y]
cursos informticos, planes i segn normas establec-1
de contingencia etc. I das
Gestin Opinin Direccin | Eficacia, eficiencia, eco-]
| nomicidad
Cum pli Opinin Normas establecidas I L as operaciones se ale-.
miento cuan a estas normas |
 www.FreeLibros.me
c a H u i i la informtica t o s w rkasiii .n ta im i . Ainno k van ciir o s

1.4. PROCEDIM IENTOS

La opinin profesional, elemento esencial de la auditoria, se fundamenta y

justifica por medio de unos procedimientos especficos tendentes a proporcionar una
seguridad razonable de lo que se afirma.

Com o es natural, cada una de las clases o tipos d e auditoria pcuee sus propios
procedimientos para alcanzar el fin previsto aun cuando puedan <n muchos casos
coincidir. El alcance de la auditoria, concepto d e vital importancia, nos viene dado por
k>s procedimientos, l a amplitud y profundidad de los procedimiento* que se apliquen
nos definen su alcance.

En las auditorias altamente reglamentadas corno la financiera e s preceptivo

"aplicar las Normas Tcnicas y decidir los procedimientos de audiurfa". Cualquier
limitacin... que impida la aplicacin de lo dispuesto en las Normas Tcnicas debe ser
considerada en el Informe de auditoria com o una reserva al alcance".

Se pretende garantizar que se toman en consideracin todos los aspectos, reas,

elementos, operaciones, circunstancias, etc. que sean significativas.

Para ello se establecen unas normas y procedimientos que en cuanto a la

ejecucin de la auditoria se resumen en que:

- El trabajo se planificar apropiadam ente y se supervisar adetiadam entc.

- Se estudiar y evaluar el sistem a de control interno.

- Se obtendr evidencia suficiente y adecuada.

Com o corolario ve establece que la evidencia obtenida deber recogerse e n los

papeles de trabajo del auditor com o justificacin y soporte del tralxjo efectuado y la
opinion expresada.

Estas tres normas se deducen claram ente de la situacin real actual de los riesgos
que ha de afrontar el auditor.

Inicialm ente. cuando el objeto d e la auditora, los docum crios financieros a

auditar, eran relativamente cortos y contenan ms bien escasas operaciones, los
procedimientos llamados de arriba a abajo, que parten de los documentos financieros y
auditan hacia abajo, hacia la evidencia d e auditoria subyacente, q ue le verificaba en su
integridad, tradicionalmente conocido por censura d e cuentas o en tase a las cuentas,
era adecuado, suficiente y viable.
 www.FreeLibros.me
t a iw t o Ma inmjkmAt k a un B iw q tt fKAcnco___________ __________________ o m i

Sin embargo, cuanto lleg U llamada revolucin cuantitativa, que (rajo conujs
la creacin de sociedades con importantes medios, que las operaciones tt
nuliiplscaran enormemente y que la gestin y propiedad se diferenciaran cada v a tak
claramente, el mtodo tradicional resoll laborioso, tedioso, largo, ineficaz y
ecoomic menle inviaMe.

No era posible verificar la totalidad de las muy cuantiosas operaciones y. por

un to , haba que reducir el cam po de accin del auditor a p a rle de la n u m era
informacin.

Tam bin, como no manifiesta Dale S. Plesher. a partir de los primeros artos dd
siglo XX. la banca se convirti en el principal usuario d e las auditoras de cara 4
seguimiento de sus crditos, y no estaba interesada en la exactitud administrativa de
las cuentas sino "en la calidad y representad v nlad d e los balances".

Este nuevo planteamiento, sin embargo, traa implcito un riesgo evidente, al te

verificarse la totalidad de los movimientos.

Los controles establecidos por la entidad auditada pudieran permitir que k

produjeran irregularidades, potencialm ente significativas, casuales o voluntarias.

A l no someterse a revisin lodas y cada una de las operaciones, cabe b

posibilidad de que escape a la atencin del auditor alguna de aquellas irregularidades

til auditor tiene el cometido irrenunciabJe de mantener el riesgo d e que efl

ocurra dentro de lm ites tolerables.

Este aserto podra representarse de forma aritmtica como:

R (c )* R (d -S (e ).

R(c) * al riesgo en el proceso o riesgo de control.

R(d) * nesgo de deteccin.

S(e = constante o parmetro admisible en que se desea mantener el riesgo de

auditoria.

Es inmediato el hecho de que el riesgo de control y el riesgo de deteccin dentro

de la ecuacin planteada son inversamente proporcionales. Si artadimos que el rcigo
de control e s ajeno al auditor, pues depende de las normas establecidas por la entidad
en mi sistema, e s evidente que para definir el riesgo de deteccin que est dispuesto a
admitir, ha de evaluarse primero el riesgo de control existente.
 www.FreeLibros.me
MW> CAPfniLO I: LA LNFOHMATKA COMO HmKAMtt.VTA DtL Al IXTOR HVANCIMIO T

De ah( se justifica la imposicin de las N orm as Tcnicas que establecen que la

rcvin del sistem a tiene pof objeto el que sirva como base para las pruebas de
cumplimiento y para la evaluacin del sislcma.

En esta lnea las Norm as de Auditora en su apaado 2.4.34. explicitan que el

riesgo final del auditor e s una combinacin de dos riesgos separados.

- El primero de stos e s ti constituido por aquellos errores de importancia que

ocurran en el proceso contable, del cual se obtienen las cuentas anuales.

- El segundo riesgo es de que cualquier error de importancia que pueda existir

sea o no detectado por el examen del auditor.

El auditor confa en:

- el control interno establecido por la entidad auditada para reducir el primer

riesgo y

- en sus pruebas de detalle y en sus otros procedimiento* para dism inuir el

segundo.

Basados en estos conceptos podemos esquematizar los procedim ientos de

auditora financiera establecidos por las Normas en relacin con la ejecucin de la
auditora, de la siguiente forma:

1.5. VARIACIN D EL O B JE TO

Por aadidura es innegable, (y aqu si reclamaramos la condicin de indiscutible

para el aserto), que con mayor o menor profundidad la gestin de las entidades ha
experimentado un cam bio sustancial y boy. salvo casos dignos del Guinnesx, se utiliza
la TI (Tecnologa de la Informacin) en todo proceso contable.

Se ha introducido un nuevo elemento cualitativo en el objeto de la auditora, el

oso de la informtica com o factor consustancial a la gestin, con la introduccin de la
 www.FreeLibros.me
.uoinwUixfoKMfirA t'Ni.NHHjt ii n A r im i

Tecnologa de La Informacin (T I) en lo sistema*. muy probablemente basada en lis

ventaja* que aporta la informali acin con respecto al trababa manual, entre la* que,
segn C. Martin, se podran distin g u ir
C o n so la d

Coso de explotacin Alto Bajo

Costo de operacin Alto Bajo
Rendimiento continuado Disminuye Constante
Consistencia Poca Excelente
Capacidad de clculo Buena Pobre
Reaccin ante lo inesperado Buena Pobre
Sentido comn Excelente Pobre
Lenguaje Bueno Pobre

F.ste nuevo elemento, la Tecnologa de la Informacin, puede estar y d e hecho

tiende a estar en todos los niveles del sistema.

liste mero hecho impone un nuevo condicionante al a u d ito r ha de trabajar ame y

con elementos de Tecnologa de la Informacin. Dado que segn las propia* Normas
Tcnicas de auditora que regulan su actuacin el auditor ha de tener en cuenta todos
los elementos de la entidad incluso los inform ticos, el cumplir con esta funcin no
es una decisin graciable del auditor sino una obligacin definida por la Norm a. Sera
m is que coherente que una firma de auditora que por la razn que fuere no quiere o
no puede cumplir con este requisito se viera obligada a introducir una lim itacin al
alcance de su trabajo. Es evidente que no habra aplicado todos los procedimientos
precisos.

En un excelente trabajo acometido por The Canadian Institute o f Chartered Ac

countant*. una institucin de reconocido prestigio internacional, se plantea la cuestin
de cules son actualmente los lib ro s" o soporte de los documentos financiero* objeto
de la labor del auditor en un entorno informatizado, y concluye que dicho* libros estn
materializados en lo* archivos electrnicos, es decir los archivos creados y mantenidos
en forma electrnica por las aplicaciones contable*.

El objeto e s distinto. Est en un soporte diferente. El auditor financiero we

alterado el objeto de *u actividad e n el sentido de que se h a introducido la T I. ahora
est en soporte magntico y este cam bio trac consecuencias d e gran calado en cuanto a
procedim ientos de auditora financiera.

Ha de cambiar su* procedimiento* en funcin de la* nueva* circunstancias y . por

tanto, de la expan*in de su alcance. La auditora financiera sigue siendo auditora y
financiera con la diferencia de que en su objeto, el mismo de siempre, e s decir en la
informacin financiera, se ha introducido la TI.
 www.FreeLibros.me

d lo .

los retvos electrnico* y proceder * tu anlisis de fon Mttbin

La situacin se hace ms dram tica por el hecho cada vez m i extendido de que
d soporte documental de lo apuntes electrnicos n o exista en absolito. FJ rastro de
auditoria tradicional ha desaparecido com o, por ejemplo, en el F.DI o H-T.

Afortunadamente la propia TI que incide en los procedim ientos que el auditor ha

de aplicar proporciona paralelamente medios de ejecutarlos d e fo m u eficiente y
directa. Las CAATS (Tcnicas d e Auditora asistidas por computador) ponen a
disposicin del auditor una am plia variedad de herramientas que no slo viabilizan los
nuevos procedim ientos sino que mejoran sensiblemente su a p lica d lo y amplan la
gama disponible.

Por tanto, deducimos claram ente que la introduccin d e la TI en los sistemas de

informacin afecta a los auditores d e una form a dual:

- cam bia el soporte del ob je to de su actividad

- posibilita la utilizacin de medios informatizados (CAATs) pera la realizacin
de sus procedim ientos

1.6. C ON SULTORA . C O N C E P TO

Y e s en esta fase de la exposicin cuando parece pertinente aftadr u tu referencia

la consuhora. Conviene distinguir su concepto del d e auditora pora precisar nuestro
enlomo con m is exactitud.

La consuhora consiste en "dar atesoramiento o consejo sobre lo que se ha de

hacer o cm o llevar adecuadamente una determinada actividad para obtener los fines
deseados".

Las diferencias se hacen evidentes. L os elementos d e la conwltoria podran

 www.FreeLibros.me
10 AUDITORIA INFORMATICA: UX BNTOQW. LCTICO____________________________ cmw>

4) objeto: la activ id ad o cuestin sometida a com id e ra c i n __ i

| establecer la m a n era d e llev arla a rab o adecua-l
15) finalidad:
[ dmente |

E s una funcin a priori con el fin de determinar cmo llevar i cabo una funcin o
actividad de forma que obtenga los resultados pretendidos. I j auditora verifica a
p ouenori si estas condiciones, una v e / realizada esta funcin o actividad, ve cumplen
y lo* re litados pretendidos se obtienen realmente.

A titulo enunciativo podramos relacionar los siguientes tipos o clases de

consultorio:

Financiera Asesorarme nto Planes de cuentas. Dise Ya e implantacin

Procedim ientos adm inis
trativos
Informtica Ascsoramicnto Aplicaciones, Desacollo.
i Planes de Contingencia Di sert> e implantacin.

Especialm ente el elemento / distingue claram ente la auditor'a de la consultara.

D ependiendo de que su contenido sea opinar sobre unos resultados v*. dar
asesorarmento o consejo e n relacin con una actividad a desarrollar, se tratar de
auditora o consultara. Esta distincin nos resultar im portan cuando queramos
delimitar las funciones.

Se observa, sin embargo, que las definiciones de la auditara informtica tienden

a englobar el concepto d e consultara. I-i auditora financiera, con siglos de
experiencia. se encuentra perfectamente definida: pero la* defniciones. reseflas o
referencias a la auditora informtica son variadas, lo que es lgico en una
especialidad tan reciente.

Dentro del abanico de definiciones, podemos c ita r

A) t)esde definiciones como la d e a . J. I bomas en el sentido Je que "la auditora

informtica, que es una parte integrante d e la auditoria, se estudia por separado para
tratar problem as especficos y para aprovechar los recursos de personal. 1.a auditora
informtica debe realizarse dentro del marco d e la auditora general. El cometido de la
auditora informtica se puede dividir en:

- Un estudio del sistema y un anlisis d e los controles organizativos y

operativos del departam ento de informtica.

- Una investigacin y anlisis de los sistemas de aplicarin que se estn

desarrollando o que ya estn implantados.
 www.FreeLibros.me
- La realizacin de auditora* d e dato* reales y de resultados de lo* sistemas que
se estn utilizando.

- La realizacin de auditoras de eficiencia y eficacia.

B) Incluyendo la de un destacado miembro de la O A I. Miguel ngel Ramos, que

define, segn sus manifestaciones sim plificadamente. en su tesis doctoral la auditora
informtica como "la revisin de la propia informtica y de su entorno" y desglosa sin
carcter exhaustivo que las actividades a que da lugar esta definicin pueden ser:

- Anlisis de riesgos.

- Planes de contingencia.

- Desarrollo de aplicaciones.

- Asesor-amiento en paquetes de segundad.

- Revisin de controles y cumplimiento de los mismos, as com o de las normas

legales aplicables.

- Evaluacin de la gestin d e los recursos informticos.

C ) A la de I. J. A d a que por su parte la define com o "Un conjunto de

procedimientos y tcnicas pora evaluar y controlar total o parcialmente un Sistema
Informtico, con el fin de proteger mis activos y recursos, verificar si sus actividades
se desarrollan eficientemente y de acuerdo con la normativa informtica y general
existente en cada empresa y para conseguir la eficacia exigida en el marco de la
organizacin correspondiente".

De ellas se desprende que tienden a abarcar conceptos tanto de auditora como de

oonsultora. En la linea de anlisis que hemos trazado la primera distincin a realizar
sera la diferenciacin entre auditora y consultorio. N o son trminos equivalentes y es
preciso distinguirlos.

Nuestro enfoque pretende centrarse e n la a u d ito ra segn el concepto que ya

hemos dejado expltcitado. Y dentro de ella la fin an ciera de acuerdo con su objeto y
finalidad que incluye el soporte informtico.
 www.FreeLibros.me
ALIXTOttlA INKWtMATICA INhNHXJO PIIAtUCO

1.7. V E N TA JA S DE LA INFORM TICA COM O HERRAMIENTA

DE LA AUDITORA FINANCIERA

1.7.1. Grado de informatizacin

t u U doble vertiente relativa a la introduccin e influencia de la TI e n el objeto

por una parte y en los procedimiento por otra d e la auditoria financiera hemos de
referim os en primer lugar al grado o intensidad de tu utilizacin.

En cuanto al objeto puede considerarse desde el uso de un sim ple PC con un par
de aplicaciones bsicas como pueden ser la contabilidad y un procesador de texto, a
un sistema complejo, distribuido, utilizando base d e datos en cliente servidor,
integrado y comunicado con otros sistemas con los que interacta directamente como
en el EDI. Rmccc evidente que las tres Normas para la ejecucin d e la auditoria
adquieren una complejidad y amplitud diferente*. M ientras ms desarrollado es el
sistema, ms problem tico resulta su enfoque por parte del auditor. Si bien lo riesgos
de un pcqueAo PC pueden ser sustantivos, la complejidad de los mismos en un gran
siuem a e s decisiva.

Entre los procedimientos (tcnicas) que las tres Normas de ejecucin de la

auditoria establecen com o medios de los que debe valerte el auditor en la ejecucin de
su trabajo destacan la inspeccin, observacin, averiguacin, confirmacin, clculo y
anlisis. De estas seis al menos cuatro se ejecutan d e form a ms eficiente con medios
informticos:

Inspeccin: como la comparacin d e datos en dos archivos o cuentas distintas,

conciliaciones.
Clculo: de amortizaciones, provisiones, ratos. etc.
Anlisis: regresiones o datos que cumplan determinadas condiciones.
Confirmacin: clculo estadstico, seleccin y em isin d e muestras, cumpli
miento. etc.

1.7.2. Mejora de las tcnicas habituales

N o resulta difcil justificar que las posibilidades del auditor utilizando medios
electrnicos se am plia enormemente con respecto a trabajos manuales sobre listados
en papel. El incremento en velocidad, eficiencia y seguridad e s evidente.

Para todo ello el auditor puede valerse sustancialm ente de las d ise as
herramientas informticas que tiene a su disposicin y que podramos catalogar de la
siguiente forma:
 www.FreeLibros.me
CAPtll I.U I IA rSUMIMMK'A COMOHmKAVmVTA IW1 Al IMIHI UNASX'IUtO l>

General 1Tratamicnto d e textos Tratamiento <fc textos

1H otixharting Hojas de clctlo
_____________ 1Utilidades________________________
Acceso directo ACL
Especfico Generadores d e papeles de trabajo Simulacin paralela
Administracin R ev ir n .iiul tu.i
1 Especializados Integradores Sistemas expertos
1Test c h e c k ______________J

IV forma somera podram os reseftar los objetivo que se cubren con la utilizacin
de las diversas herramientas enumeradas:

- Tratamiento de textos, utilizado generalm ente en la prctica com o una

mquina de escribir superautoinatizada para circulare, memorandos,
memoria, etc.

Con una mayor especial izacin permite automatizar operaciones, generar

documentos, relacionar diverso* documentos, ctc.

- Hoja de edculo, utilizada para efectuar clculos, automatizar resultados de

diferentes documentos numricos y en algunos casos obtencin de ratio*. etc..
as com o generar actualizaciones automticas, importar archivos d e otras
aplicaciones, y producir grficos disponiendo de una amplia gim a de frmulas
financieras, econmicas, etc.

- Generador de ppele t de trabajo, fundados esencialmente en el tratamiento de

textos de donde se obtienen plantillas, formatos, etc.; peimite edicin y
actualizacin. Clasifica los documentos por reas, sectores, personal
involucrado, ctc.

- Flowcharting-. produce diagramas representativos de funciones realizadas o a

realizar, flujo de documentos, ctc.

- Utilidades: existe una amplia gama que cubre desde comunicaciones,

visualizadores de archivos, bsquedas o incluso rcctificadorcsdc archivos.

El O CR es una asignatura pendiente.

- Administradores-, efectan el seguimiento administrativo de las auditoras.

Horas empleadas, reas, control presupuestario, etc.
 www.FreeLibros.me
14 Al'PtTORl*IMOHMIK'A: UN KNHXXIEPttCTICO cium

- A ccf.w directo: todas fas aplicaciones a que nos hemos referido hasta el
momento y las posteriores se refieren a dato* o "archivos" especficos de las
misma* que el auditor ha tecleado en las aplicaciones o ha copiado de otras ya
existentes. La gran sentaja del acceso directo e s que adopta como arch ito a
leer o analizar los de la firma auditada, generalmente los que contienen la
contabilidad de la misma. Sea cual sea la aplicacin d e contabilidad que luya
utilizado la firma auditada, las aplicaciones de acceso directo, como su
nombre indica, adoptan com o archivos propios los realizados por esas
aplicaciones. De esta forma se materializa directamente la aseveracin de que
los libros del auditor son los archivos informticos del auditado.

Tomando como hilo conductor la estructura de ACL (vase figura I . I ). una de las
aplicaciones ms destacadas de este estilo y posiblemente la ms extendida
mundialmente. tomaremos como esquema bsico, que vemos en la pgina siguiente.

Lo* archivos de datos son exactamente los existentes en el auditado, es decir tos
archivos fsicos de la firma auditada, d e la forma y con la codificacin con que hayan
sido grabados. Estos datos no cambian. ACL crea para su tratamiento el "documento
que contiene la informacin necesaria en cuanto a definiciones del formato del archivo
de datos, botches. ndices, vistas y espacio de trabajo.

La definicin del form ato contiene ta estructura y contenido del archivo de datos.
Incluye informacin com o nombre de los campos, codificacin de los datos, mrgenes
donde comienzan y donde term inan. Con esta informacin ACI. e s capaz, de leer e
interpretar el archivo de datos original a auditar.
 www.FreeLibros.me
CAPTULO 1.I-A INFORMATICA COMO HmKA.MH.VTA I

Figura / . / . Estructura d e ACL

Partiendo de esta situacin A CL puede manipular los dalos del archivo

prcticamente de cualquier forma o manera:

- Ordenar - Contar
- Crondogizar - Agregar
- Kxiraer segn condiciones - Totalizar
- Estadsticas - Estratificar
- Muestras - Comparar
- Clasificar

Slo existen dos limitaciones a los anlisis, clculos, verificaciones, etc. que
puede hacer ACL:

- Que e l dado deseado est en el archivo. (Por ejemplo, no se podra

croooJogi/jr si en el archivo no figuraran las fechas.)

- La imaginacin del auditor, que combina los diferentes mandatos para obtener
la informacin final que desea. Creando incluso nuevos cam pos computados,
producto del tratamiento de uno o varios d e los ya exis(enes.
 www.FreeLibros.me
It AtHMTORU CsKmMTKA 1~XENKXJtt. Plmeo

Es de destacar la posibilidad de seleccionar la informacir que cum pla una o

varias condiciones. Estos filtros resultan de incalculable valor cuardo se audita.

Si aAadimos que la respuesta a cualquier solicitud, sea curf sea el tamao del
archivo de dalos, se realiza en segundos y en cualquier caso c pocos minutos, la >
importancia d e esta aplicacin queda perfectamente clara.

A titulo m er^nem e enunciativo y com o punto d e ponida para el auditor ,

interesado, d e los 101 clculos y anlisis que se practican en las reas ms habituales. |
seleccionamos dos a titulo d e ejemplo:

E jem plo I: C O M P R O B A C I N D E BA LA N CE

Se indica la relacin de mandato* que permite realizar esta op:racin.

O PEN Contabilidad Abre el archivo "Contabilidad".

STRATIFY ON Cuenta Genera, para cada cuenu del plan, su total
ACCUMULATE Debe Haber Saldo al debe, al haber, y el saldo.

E jem plo 2: C O N C IL IA C I N E N T R E CO M P R A S V PR O V E E D O RE S

Se indica la relacin de mandatos que permite realizar esta operacin.

OPEN Contabilidad Abre el archivo "'Contabilidad".

SORT ON Impone TO Com pras IF
Cuenta="604" AN D D IU D
SORT ON Impone TO Proveedores
OPEN Compras
OPEN Proveedores SECONDARY
JOIN Fecha Asiento Importe WITH
Impone A siento Fccha T O "Conci-
Ilacin Com pras-Proveedores"
PKEY Im pone SKEY Impone
PRIM ARY SECONDARY
! Produce el archivo Compras" con aquello*
asiento* de la contabilidad cuya cuenta sea
la 604 y al debe, ordenado por el importe.
Produce el archivo "Pioveedore.*" con IF
Cuenta"400r AN D D H -"H " aquellos
asientos de la contabilidad cuya cuenta sea
la 400 y al haber, ordenlo por el im pone.
Abre el recin creado archivo Compras".
Abre el recin creado archivo!
"Proveedores" como archivo secundario. i
Produce el archivo "Coaciliacin Com pras-1
Proveedores" con e l rebultado de conciliar
Com pras" con "Proveedores, utilizando
el im pone como campo jue los relaciona.
!
www.FreeLibros.me
CAPfTVLO 1:1A INKHtVlATlCA COMO HMHUMtENTA DU. AUIMTCm FINAM1IKO 11

Revisin a n a llk a

Norm alm ente se utiliza la hoja d e clculo para obtener, d e los d a que
habitualmente se le introducen (Balance. Cuentas de Prdidas y Ganancias, etc.), los
io s. proporciones o funciones que proporcionan una nueva visin comparativa de mi
contenido.

Sistemas expertos

Las aplicaciones m is avanzadas en cualquier campo son las conocidas como

sistemas expertos relativos a la tambin llamada inteligencia artificial. Se trata de usar
el compotador pora que proporcione resultados o conclusiones producto del
procesamiento de unos datos especficos en base a unos conocimientos preexistentes
en el mismo.

liste sistema ya se ha utilizado en diversos cam pos, por ejemplo la medicina, pora
dir diagnstico* o tratamientos en hase a los datos del paciente que se introducen en la
aplicacin.

En el campo de la auditoria su utilizacin m is evidente es en el anlisis y

evihJKin del control interno. N o ha sido hasta el momento una aplicacin que se
haya prodigado, posiblemente por la dificultad d e completar una base de
conocimientos adecuada que slo los expertos pueden proporcionar. Se dice, como es
costumbre, que las grandes em presas ya han desarrollado sistemas expertos que
aplican en mayor o menor medida. Sin embargo, que se sepa, no se h a dado mucha
(wblkidad al respecto.

Los fundamentos de un sistema experto, aplicando la misma filosofa establecida

por las Normas Tcnicas, consiste en crear uno cuestionarios cuya respuesta sea " s '
o no" para evitar matices opinables, divididos por reas de actividad y que se paita de
la base de que una totalidad de respuestas positivas implica un sistema excelente.
Menos de un determinado nivel implicara un control dbil o muy dbil.

Ha de incorporar las pruebas d e cumplimiento correspondientes cuya cuanta se

designe por medios estadsticos y que sirvan sus respuestas como retroalimeniacin
para una clasificacin definitiva del sistema.

F.sia clasificacin a su vez proporciona un tamao de muestra para las pruebas

Mantisas a realizar a s como una definicin d e las mismas.

Destacan entre sus ventajas, siempre bajo la supervisin del auditor: la

objetividad del sistema, la utilizacin de frmulas estadsticas, la cuantificacin y
especificacin de pruebas de cumplimiento y sustantivas adecuadas, la actualizacin
 www.FreeLibros.me
I AllHHJftlA INKMMATICA: UN E>TOQt~E fHACTIOO____________________________ oA>

de la base <le conocimiento con los nuevos sistemas analizados y el soporte legal que
implica en caso de litigio.

K 5 )

Q Ls s s l K ^

Figura 1.2. Ejemplo d e aplicacin de sistema experto a la auditora

TcM C heck

F.sta prctica, cada vez en menor uso. consiste en introducir en la aplicacin que
el auditado utilice un conjunto de valores cuyo resultado se conoce. Estos valores se
comparan con los que eventualmente proporcione la aplicacin.

Intee rad o rcs

Es decir, aquellas aplicaciones que interrelacionan todas las dem s para crear un
enlom o nico que utiliza la totalidad de la informacin obtenida a travs de tas
diferentes herram ientas creando un "sistema de auditora".

Varias de las aplicaciones mencionadas proporcionan medios de programacin o.

sin ser tan ambiciosos. la posibilidad de crear batches" de funcionamiento
automtico. Estos batches o conjuntos de instrucciones pueden operar conjuntamente
brindando la posibilidad d e realizar operaciones complejas de forma directa y cmoda.

Si tomamos en consideracin el proceso completo de auditora financiera -desde

las normas y procedim ientos establecidos para antes del propio inicio de la auditora
como la propuesta, contrato, clculo de costes hasta el informe y recomendaciones
finales pasando naturalmente por los procedimientos de ejecucin de la auditora,
incluyendo el sistema experto, el acceso directo a archivos informticos, las pruebas
analticas y adicionales o puntuales que el auditor debe llevar a cabo, y las integramos
 www.FreeLibros.me
onm CAPtTVLO I IA INFORMATICACOMO HEBRAMtl STA Dtl- AtPtTOR USANCIEKO 19

en un sistema que automatice tanto las actualizaciones pertinentes en base a los

cambios introducidos com o la emisin y ordenacin de papeles de trabajo
justificativos de los procedimientos aplicados-, tendremos un sistem a o metodologa
de integracin que sita en un solo entonto las diverjas fases, docuntentos. resultados,
actualizaciones, etc. de una auditora. A todo este proceso ex a lo que denominaramos
un integrado? que aun cuando no abunda, se viene percibiendo su necesidad.

Figura I. . P roctuy completo d e la auditora financiera

1.7.3. Evolucin

El propio (.'anadian Instituto o f Chartercd Accountants. que se ha preocupado

muy especialmente por esta problemtica, define un cam ino hacia la plena institucin
de un sistema de auditora informatizado. En un planteamiento al que llanta la
Hiptesis de Evolucin ha distinguido diferentes etapas o niveles que a continuacin
transcribimos literalmente por su representatividad c importancia:

Las firmas de auditora m is avanzadas han cubieno las d o s primeras etapas y

actualmente algunas intentan adentrarse en la tercera. Las otras slo consisten en
"buenos deseos para el futuro, pero que si las seguimos sucintamente ventos que nos
conducen a que la auditora se convierte en una herram ienta para la construccin de
realidades polticas y econmicas" donde la auditora y consultara se entrelazan.
 www.FreeLibros.me

Hiptesis de oollicin

Alcance A _______ Alcance B ____ A lcance C

Aumento de la Creacin de Mejora de la calidad
compctitividad riqueza d e vida

Nivel 5 5 B5 1 5
Nuevos conceptos y Kl valor aadido se La auditoria adopta La auditora se
paradigmas basados convierte en el I "el carcter d e un j c o n v ie n e n una
en la TI | objetivo de toda servicio de h e o ^ ^ n a para la
I auditora consultora y js ^ ^ H i n d e
anlisis continuado' J M s polticas
____________________________
Nivel 4 A4 w
Gestin estratgica l.os auditores 84 A
La integracin fM cjor comprensin
basada en la TI adoptan un nuevo tas h e rr a m ie n u ^ V 1de todas las partes
concepto de su I auditoria p o j^ K T la implicadas de los
propia actividad c liiic riw 'ia ^ H r | beneficios de una

Nivel 3
l ______
[ 3
_ Iaudito
B3 M r
j auditora
C3
Nuevos producto* I j s herramientas >D c i ^ H l o de una Se acaba el
dependientes de la del auditor se ^ f lo g n in a d c cxpcctation gap
| equiparan en Vgp-'-- '
sofisticacin al Jlr rramisnta
sistem a de los i Tudkoffe

Nivel 2
| d ientes c o m o l f
EFT J____
82 |C 2
A umento de la A m p li3 j4 H e la I Aumento Menos argumentos
calidad ." i o t v | cuantitativo y en cuanto al papel
cualitativo de los del auditor
j f S F I *U-.cubrmiciUt
Nivel I Bl ci
Reduccin de ' Reduccin de horas Incremento en la Reduccin de
costos de auditora | recuperacin de trabajo
I Icostos administrativo

Figura 1.4. hit ensillad del efecto d e la e volar i

1.7.4. Grado de utilizacin

Asalta de inmediato la idea d e por qu. visto lo expuesto, el grado de utilizacin

estas poMbilidudes por los auditores es bajo y e n muchos casos incipiente.
 www.FreeLibros.me
i si I . , I l l M i * r n ; l : , 1. .Mi) 10 KKAS1HMA !>! AH)HK HNANt URO . I

Se lu n efectuado d iv e r lu d io s y parece desprenden que algunas de las

rezones pueden ser:

Costo econmico

Falta de convencimiento en cuanto a la disminucin d e costos. N o se ve con

claridad que la inversin necesaria se vea compensada por la eficiencia que se a lea n .

Parece innegable que los costos tanto del hardware com o del software han
disminuido extraordinariamente en los ltimos artos y que la eventual inversin en un
sistema para inormatizacin de la auditora no es en absoluto significativo. Cualquier
somero estudio demuestra que su rentabilidad porcentual es siempre sumamente
elevada.

Com plejidad tcnica

Cierto temor reverencial a una nueva tcnica que mirada desde el exterior parece
sumamente compleja y algo mgico que de por s ahuyenta. Esta idea puede traer
como corolarios otras consideraciones negativas como que se cree que:

Se depende de los tcnicos.

No se puede revisar el trabajo de los tcnicos
Problemas de comunicacin entre el tcnico y el auditor.
Costo de k tcnicos.

La introduccin y ampliacin de las posibilidades del PC que con sistemas

operativos sumamente fciles de usar pueden realizar trabajos hasta hace pocos aos
reservados a las grandes instalaciones, sim plifica enormemente y pone al alcance de
cualquier auditor medianamente familiarizado con la informtica una importantsima
gama de labores. Todas las que hemos venido exponiendo.

Falta de entrenam iento y experiencia

Es innegable que la utilizacin de tas tcnicas de auditoria asistidas por

computador requieren un mnimo d e entrenam iento y conocimiento. La gran
diferencia es que estos mnimos son perfectamente asequibles como ya hemos descrito
y consiguen que el auditor retenga el control del proceso de auditora

Segn Klen. el auditor ha de estar en posesin com o mnimo de las siguientes

cualidades:
 www.FreeLibros.me
22 AlTXTORtA INFORMTICA UNKNTOQCEPKCTKO

- Ser experto auditor (financiero).

- Knlender el diseAo y m odo de operar del S.l.
- Tener conocim ientos bsico* d e tcnicas y lenguajes d e programacin.
- Estar familiarizado con los sistemas operativos.
- Serle factible poder identificar problem as con los formatos y estructuras de
base de datos.
- Ser capaz de tender un puente con el profesional de la TL
- Saber cundo pedir apoyo d e un especialista.

No cabe duda de que en el entramado multidisciplinar que constituye el acervo de

conocimientos d e un auditor, este aspecto viene a ampliar su "program a". Es un
nueva faceta que viene a enriquecer su perfil. Si nos atenemos a las estadsticas
disponibles en EE.UU.. el auditor viene adquiriendo estos nuevo-, conocimientos en un
70% de los casos por medio de entrenam iento en la propia empresa. en un 22% en
seminarios y conferencias al efecto y en el 8% en el entorno acadmico. Mientras la
Academia no desarrolle m s sus servicios n o cabe duda de que la pequefta y mediara
empresa de auditora se enfrenta al nuevo reto de resolver su reciclaje.

O tras incluyendo la preocupacin del cliente en cuanto a la seguridad de dalos.

1.8. CON CLUSION ES

El objeto de la auditora financiera ha cambiado. Incorpora la TL Esto trae

consigo el cam bio de los "libros" a analizar e igualm ente la necesidad de aplicar
nuevos procedimientos que utilizan herramientas informticas.

En la prctica, al auditor se le presenta una disyuntiva: o se adapta a la nueva

situacin abordando el carro de la evolucin hacia metas sumamente halagelas, para
lo que ha de adoptar una actitud receptiva hacia las nuevas tecnologas, o
indefectiblemente ser una vctima d e la evolucin que no quiso >n o supo afrontar.

1.9. C U ES TIO N ES DE REPASO

1. Cules son los elem entos fundamentales del concepto de auditora?

2. Cuntas clases diferentes de auditora existen?

3. Qu sector ex uno de los principales usuarios d e las auditoras?

,-Qu ventaias aporta el computador rcsoccto al trabaio manual?

 www.FreeLibros.me
CArtTVtO I LA INtORMTICA COMO HtXKAMIfXTA Df1.AtDtTO IINAXCIIKO i

5. Qu significan U t sig lu CAAT?

6. Fj i qu afecta a los auditores la introduccin de Ixi TI en los sillo n as de

informacin?

7. Qu diferencias hay entre auditoria y consultorio?

8. Cules son las ventajas de la informtica como herramienta d e la auditoria

financiera?

9. Qu pueden aportar los sistemas expertos a la auditoria informtica?

10. Cules son las razones de la baja utilizacin de las TI como herramienta de
la auditora financiera?
 www.FreeLibros.me

C A P T U L O 2

C O N T R O L IN T ER N O
Y A U D ITO R A IN FO R M TICA

Gloria Snchez Valriberas

2.1. INTRODUCCIN

Tradkionalm cntc en materia 1c control interno se adoptaba un enfoque bastante

restringido limitado a k * controle" contables internos. En Unto se relacionaba con la
informacin financiera, el control interno era un tem a que in tern ab a principalm ente al
personal financiero de la organizacin y. por supuesto, al auditor externo. El concepto
de control interno de mucha gente no inclua muchas d e las actividades operativas
claves destinadas a prevenir lo* riesgos efectivos y potenciales a los que se enfrentan
las organizaciones. Al producirse la quiebn. de numerosas cajas de ahorro y otras
organizaciones result evidente que no habla suficiente conciencia de la necesidad de
kis controles para evitar que los problemas surgieran y crecieran.

Durante el ultimo decenio la prensa ha informado sobre muchos escndalos

relativos a errores en el otorgamiento de crditos con la garanta de inmuebles
inexistentes o extremadamente sobrevalorados. la manipulacin de informacin
founcicra, operaciones burstiles realizadas con informacin privilegiada, y muchos
otros conocidos fallos de los controles que han afectado a empresas d e diferentes
sectores. En E spato se han dado pasos importantes como consecuencia de nuestra
incorporacin y adaptacin a Europa.

Adems de la mayor atencin que prestan las autoridades al problema, se

observan importantes cambios en las empresas. Dichos cam bios someten a una gran
 www.FreeLibros.me
16 AlIMTOKlAIVFOKMATlCA UNIMOQUEFKCTKO

tensin a lo controles meemos existente*. La mayora d e las organizaciones han

acom etido vanas iniciativas en tal sentido, tales como:

La reestructuracin d e los procesos empresariales (BP3 -Busiine.it Process

Re-engineering).
I j gestin de la calidad total (TQ.M -Total Quality Management).
El rcdim ensionamicnto por reduccin y/o por aumento del tamaflo hasta el
nivel correcto.
La contratacin externa (outsourcmg).
La descentralizacin.

El mundo en general est cambiando cada vez m is rpidarw nte, sometiendo a las
empresas a la accin de muchas fuerzas extem as tales como la creciente necesidad de
acceder a los mercados mundiales, la consolidacin industrial. U intensificacin d e la
competencia, y las nuevas tecnologas.

Las tendencias externas que influyen sobre las empresas son. entre otras, las
siguientes:

La glohalizacir).
La diversiftcacin de actividades.
l- i eliminacin de ramas de negocio no rentables o antiguis.
La introduccin de nuevos productos com o respuesta a la competencia.
L as fusiones y la formacin de alianzas estratgicas.

Ante la rapidez de los cambios, los directivos toman conciencia d e que para evitar
fallos de control significativos deben reevaluar y recstnictuiar sus sistemas de
controles internos. Deben actuar d e manera proactiva antes d e que surjan los
problemas, tomando medidas audaces para su propia tranquilidad, as como para
garantizar a los consejos de administracin, accionistas, comits y pblico que los
controles internos de La empresa estn adecuadamente disertados para hacer frente a
lo* retos del futuro y asegurar la integridad en el momento actual.

Un centro de informtica de una empresa del sector terciario suele tener una
importancia crucial por soportar los sistemas d e informacin Jel negocio, por el
volumen de recursos y presupuestos que maneja, etc. Por lo tanto, aumenta la
complejidad de las necesidades de control y auditora, surgiendo en las
organizaciones, com o medidas organizativas, las figuras de control interno y auditoria
informticos.

I-a auditora ha cam biado notablemente en los ltimos a ta s con el enorme

impacto que han venido obrando las tcnicas informticas en la fx m a de procesar la
informacin para la gerencia. La necesidad d e adquirir y mantener conocim ientos
actualizados de los sistemas informticos se vuelve cada vez ms x u cian te. si bien los
 www.FreeLibros.me
CArtTVLO 2.COMKOt. IXTOtNO Y AUDOORU tNHJWMTKA 27

aspecto* bsicos de U profesin no han variado. Los. auditores informticos aportan

conocimientos especializados, as como mi familiaridad con la tecnologa informtica.
Se siguen tratando las mismas cuestiones d e control en la auditora, pero los
especialistas e n auditora informtica de sistemas basados en computadores prestan
ana ayuda valiosa a la Organizacin y a los otros auditores en todo lo relativo a los
controles sobre dichos sistemas.

En muchas organizaciones, e l auditor ha dejado de centrarse en la evaluacin y la

comprobacin de los resultados de procesos, desplazando su atencin a la evaluacin
de riesgos y la comprobacin de controles. Muchos de k controles se incorporan en
programas informticos o se realizan por parte d e la funcin informtica de la
organizacin, representado por el Control Interno Informtico. El enfoque centrado en
cootroies normalmente exige conocimientos informticos a nivel de la tecnologa
utilizada en el rea o la organizacin que se examina.

2.2. LAS FUNCIONES DE C O N TR O L IN TERN O Y AUDITORA

INFORM TICOS

2.2.1. Control Interno Informtico

El Control Interno Informtico controla diariamente que todas las actividades de

sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y
no normas fijados por la Direccin d e la Organizacin y/o la Direccin de Informtica,
as como los requerimientos legales.

La misin del Control Interno Informtico e s asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.

Control Interno Informtico suele ser un rgano s ia ff de la Direccin del

Departamento de Informtica y est dotado de las personas y medios materiales
|n i) u i M u i k n d los cometidos que w le encomienden.

Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realizan cumpliendo los procedim ientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.

Asesorar sobre el conocimiento de las normas.

 www.FreeLibros.me
AtDmXtU INtOKSIMICA l'S DK>QIT. rttACTlCO

Colaborar y apoyar el trabajo de Auditoria Informtica, asf c o n de I

auditoras externas al Grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro

d e los grados adecuados del servicio informtica, lo cual no debe considerarse
como que la implantacin de los mecanismos de medida y la responsabilidad
del logro de esos ni se les se ubique exclusivamente en la funcin de Control
Interno, sino que cada responsable d e objetivos y recursos e s responsable de
esos niveles, asf com o d e la im plantacin d e los medios de medida adecuados.

Realizar en los diferentes sistemas (centrales, departamentales, redes locales.

PC s. etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las
diferentes actividades operativas sobre:

El cumplimiento d e procedim iento, normas y controles dictados. Merece

resaltarse la vigilancia sobre el control d e cam bios y versiones del softvt-are.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
softvk'art y del servicio informtica.
Controles en las redes de comunicac iones.
Controle* sobre el softHvirr de base.
Controles en los sistemas mkroinfoirmticos.
I-i seguridad informtica (su responsabilidad puede estar asignada a control
intento o bien puede asignrsele la responsabilidad d e control dual de la
misma cuando est encargada a otro rgano):
- Usuarios, responsables y perfiles de uso de archivos y bases d e dalos.
- Norm as de seguridad.
- Control de informacin clasificada.
- Control dual de la seguridad informtica.
U cencias y relaciones contractuales con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.

2.2.2. Auditora Informtica

La Auditoria Informtica e s el proceso d e recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los dalos, lleva a cabo eficazmente los fines de la organizacin y utiliza
 www.FreeLibros.me
CAPmio fnwx interno y auditoria imowmtica t*

eficientemente los recursos. De este modo la auditora informtica sustenta y

confirma la consecucin de los objetivos tradicionales d e la auditora:

Objetivos de proteccin d e activos e integridad de datos.

Objetivos de gestin que abarcan, no solamente los de proteccin de activos,

sino tambin los de eficacia y eficiencia.

El auditor evala y comprueba en determinados momento* del tiem po los

controles y procedim ientos informativos ms complejos, desarrollando y aplicando
tcnica* mecanizadas de auditora, incluyendo el uso del softw are. En muchos casos,
ya no e s posible verificar manualmente los procedimientos informatizados que
resumen, calculan y clasifican datos, por k) que *e deber emplear softw are de
auditora y otras tcnicas asistidas por computador.

El auditor es responsable de revisar e informar a la Direccin de la Organizacin

sobre el diseo y el funcionamiento d e los controles implantados y sobre la fiabilidad
de la informacin suministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor

informtico:

Participar en las revisiones durante y despus del diseo, realizacin,

implantacin y explotacin d e aplicaciones informativas, a s como en las fases
anlogas de realizacin de cambios importantes.

Revisar y juzgar los controles implantados e n los sistemas informativos para

verificar su adecuacin a las rdenes e instrucciones de la Direccin,
requisitos legales, proteccin de confidencialidad y cobertura ante errores y
fraudes.

Revisar y juzgar el nivel d e eficacia, utilidad, fiabilidad y seguridad d e los

equipse informacin.

2.2.3. Control interno y auditoria informticos: campos

anlogos

La evolucin de ambas funciones ha sido espectacular durante la ultima dcada.

Muchos controles internos fueron una vez auditores. De hecho, muchos de los
artuales responsables de Control Interno Informtico recibieron formacin en
seguridad informtica tras su paso por la formacin en auditora. Numerosos auditores
se pasan al campo de Control Interno Informtico debido a la similitud d e los
objetivos profesionales de control y auditora, cam pos anlogos que propician una
transicin natural.
 www.FreeLibros.me
10 Al WTtmU SXXmATX A l~X fcNWXyr PHACTKO____________________________ c .tM

Aunque amba* figuras tienen objetivos comunes. existen diferencia* qec

conviene matizar:

SIM IL IT U D E S j Personal interno

< Conocimientos especializados en Tecnologa de la Informacin 1
Verificacin del cumplimiento de controle* interno*, normativa
y procedimiento* establecido* por la Direccin d e Informtica y I
______ __________I __ la Direccin General para los sistema* de informacin 1
I
D IF E R E N C IA S Anlisi* de los controle* en el | Anlisis de un momento 1
I dia a dia informtico determinado i
1 Informa a la Direccin del ' Informa a la Direccin Gene-1
I Departamento de informtica [ ral de la Organizacin
Slo personal interno Personal interno y/o extem o
| El alcance de sus funcione* e s Tiene cobertura sobre lodo*
nicamente vbre el Departa lo* componente* de lo*
mento d e Informtica sistema* de informacin de I
__________1 la Organizacin

2.3. SISTEM A DE C O N TR O L INTERNO INFORM TICO

2.3.1. Definicin y tipos de controles internos

Se puede definir el control interno como "cualquier actividad o accin realizada

manual y/o automticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento d e un sistema para conseguir sus objetivo*".

Lo* controles cuando se discAen. desarrollen e implanten han de ser al menos

completos, sim ples, fiables, revisable*. adecuado* y rentables. Respecto a esto ltimo
habr que analizar el coste-riesgo de su implantacin.

Lo* controles miemos que *c utilizan en el entorno informtico continan

evolucionando hoy en dia a medida que los sistema* informtico* se vuelven
complejos. Lo* progresos que *e producen en la tecnologa de sopones fsico* y de
software) han modificado d e manera significativa los procedim ientos que *
empleaban tradicionalmenle pora controlar los procesos de aplicaciones y para
gestionar los sistemas de informacin.

Para asegurar la integridad, disponibilidad y eficacia de kxs sistema* se requieren

complejo* mecanismos de control, la mayora de los cuales son automticos. Resulta
interesante observar. *m embargo, que hasta en los sistemas servidor/cliente
avanzado*, aunque algunos controles son completamente automtico*, otros son
 www.FreeLibros.me
K m ____________________ CAPfTVXO2 CONTKOl XWJWO Y AUPtTOrtlADaOttStATlCA II

completamente manuales. y mucho* dependen de una combinacin de elemento* de

software y de procedimiento.

Histricamente, lo* objetivo* de lo* controles informtico* se lun clasificado en

lis guente* categoras:

Controles preventivos-, para tratar de evitar el hecho, coma un softw are de

seguridad que im pida los acceso no autorizados al sistema

Controles detectivov. cuando fallan los preventivo* piara tratar de conocer

cuanto ante* el evento. Por ejemplo, el registro d e in te n t d e acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.
<*c.

Controles torre d iv o i: facilitan la vuelta a la normalidad cuando se han

producido incidencias. Por ejemplo, la recuperacin d e un u c h iv o daAado a
partir de las copias de seguridad.

Como el concepto de controles se origin en la profesin de auditora, resulta

importante conocer la relacin que existe entre los mtodos de control, los objetivo*
de control y los objetivo* de auditora. Se trata de un tema difcil por el hecho de que.
histricamente, cada mtodo d e control ha estado a*ociado unvocamente con un
objetivo de control (por ejemplo, la seguridad de archivos de dalos se consegua
sencillamente manteniendo la sala d e computadores cerrada con llave!.

Sin embargo, a medida que los sistema* informtico se tian vuelto ms

complejo*, los controles informticos han evolucionado hasta convenirse e n procesos
integrados en los que se atenan las diferencia* entre las categoras tradicionales de
cootroies informticos.

Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la
diferencia entre seguridad de los programas, d e los datos y objetives de control del
software del sistema. porque el mismo grupo d e mtodo* de control satisface casi
H u lm w u lo* tres objetivo de control.

La relacin que existe entre los mtodos de control y los objetivos de control
puede demostrarse mediante el siguiente ejemplo, en el que un miimo conjunto de
mtodo* de control se utiliza para satisfacer objetivos de control tanto de
mantenimiento como de seguridad de los programas:

Objetivo de Control de mantenim iento: asegurar que las modificaciones de los

procedim ientos programados estn adecuadamente disecadas, probadas,
aprobadas e implantada*.
 www.FreeLibros.me
H AUtXTOTMA INFORMTICA L'NENHOQUE CT1CO____________________________ c

Objetivo J e Control de seguridad de programas: garantizar que no se poeden

efectuar cambios no autorizados en los procedim ientos programados.

2.3.2. Implantacin de un sistema de controles internos

informticos

Los controles pueden implantarse a vahos niveles diferentes. La evaluacin de

los controles de la Tecnologa de la Informacin exige analizar diversos elemente
interdependientes. Por ello es importante llegar a conocer bien la configuracin del
sistema, con el objeto de identificar lo* elementos, productos y herramientas qae
existen para saber dnde pueden implantarse los controles, as como para identifica:
posibles riesgos.

Para llegar a conocer la configuracin del sistema e s necesario documentar k>s

detalles de la red. as como los distintos niveles d e control y elementos relacionados:

Entorno de red. esquema d e la red. descripcin d e la configuracin hardware

de comunicaciones, descripcin del softw are que se utiliza com o acceso a las
telecomunicaciones, control de red. situacin general d e los computadores de
entornos de base que soportan aplicaciones crticas y consideraciones relativas
a la seguridad de la red.

Configuracin d e l computador b ase: configuracin del soporte fsico, entorno

del sistem a operativo, softw are con particiones, entornos (pruebas y real),
bibliotecas d e programas y conjunto d e datos.

Entorno de aplicaciones: procesos de transacciones, sistemas de gestin de

bases de datos y entornos de procesos distribuidos.

Productos y herramientas: softw are para desarrollo de programas, softw are de

gestin de bibliotecas y para operaciones automticas.

Seguridad del computador base: identificar y verificar usuarios, control de ac

ceso, registro e informacin, integridad del sistema, controles de supervisin,
etc.

Para la implantacin de un sistema de controles internos informticos habr que

definir:

Gestin de sistemas de informacin: polticas, pautas y normas tcnicas que

sirvan de base para el diseo y la implantacin de los sistemas d e informacin y d e los
controles correspondientes.
 www.FreeLibros.me
cm u C A W itO ! CONTIMX. IVTMtNO Y At'DfTOOl BTtMSlAnCA 1)

- Administracin de sistemas: controle* sobre la actividad d e los centros de

datos y otras funcione* d e apoyo al sistema, incluyendo la administracin de
las redes.

- Seguridad: incluye las tres d ase de controles fundamentales implantados en

el softw are del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.

- Gestin del cam bio: separacin d e las pruebas y la produccin a nivel de

softw are y controles de procedim ientos pora la migracin d e programas
softw are aprohados y probados.

La implantacin d e una poltica y cultura sobre la seguridad requiere que sea

ita liu d a por fases y est respaldada por la Direccin. Cada funcin juega un papel
nportante en las distintas etapas:

Direccin de Negocio o Direccin d e Sistemas de Informacin (S.I.): Han de

defieir la poltica y/o directrices para los sistemas d e informacin en base a las
exigencias del negocio, que podrn ser internas o externas.

trrcctn J* Informtica-. Ha le definir I nornia* * fim rin iu m im ln iVI

m o m o informtico y de cada una de las funciones de Informtica mediante la
creacin y publicacin de procedimientos, estndares, metodologa y normas,
aplicables a todas las reas de Informtica as com o a los usuarios, que establezcan el
Bureo de funcionamiento.

Control Interno Informtico: Ha d e definir kx* diferentes controles peridicos a

realizar en cada una de las funciones informticas, d e acuerdo al n o e l d e riesgo de
cada una de ellas, y ser disertados conforme a lo- objetivos d e negocio y dentro del
marco legal aplicable. stos se plasmarn en los oportunos procedim ientos de control
Memo y podrn ser preventivos o d e deteccin. Realizar peridicamente la revisin
de los controles establecidos d e Control Interno Informtico informando de las
 www.FreeLibros.me
M AI'IMIIIHU INHIKMAIKA C'NKNKXjCE PRACTICO

desviaciones a la Direccin le Informtica y sugiriendo cuantos cambios ere

convenientes en los controles, asi como transmitir* constantemente a toda la
organizacin de Informtica la cultura y polticas del riesgo informtico.

DtRWXTN POLTICAS
V
DIRECTRICES [ fo i/n cA \
<______>

i
ESTNOARKS
1-ROC.TXHMIE.VTOi
I NORMAS Y
METOOOIXXSS
coMnconACts
Y SEGUIMKNTO
* Dft CONTROLES
1 | CVLTVtU ]
IMPLANTAR
r NtOCCZMMIECTOS
De CONTROL.

Auditor in srm o /tx ttm o informtico: Ha de revisar la* diferentes controles

internos definidos en cada una de las funciones informticas y el cumplimiento de
normativa interna y externa, d e acuerdo al nivel d e riesgo, conforme a los objetivos
definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la
Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de
controles recomendarn acciones que minimicen los riesgos qtx pueden originarse.

l-a creacin de un sistema de control informtico e s un responsabilidad de la

Gerencia y un punto dextacable de la poltica en el entorno informtico.

A continuacin se indican algunos controles internos (no lodos los que deberan
definirse) para sistemas de informacin, agrupados por secciones funcionales, y que
serian los que Control Interno Informtico y Auditora Informtica deberan verificar
para determinar su cumplimiento y validez:

I. C ontro les generales organizativos

Polticas: debern servir d e base para la planificacin, control y evaluacin por

la Direccin de las actividades del Departamento de Informtica.
 www.FreeLibros.me
CArtrut o ; txivmot intvhno y a ic htohia im o h m a tic a >5

Planificacin:

- Plan Estratgico d r Informacin, realizado por lo rganos de la Alta

Direccin de la Empresa donde se definen los procesos corporativo y se
considera el uso de la diversa. tecnologas de informacin as com o las
amenazas y oportunidades d e su uso o d e su ausencia.

- Plan Informtico, realizado por el D epanam ento de Informtica, determina

los caminos precisos pura cubrir las necesidades de la Empresa
plasmndolas en proyectos informticos.

- Plan C en tra l de Seguridad (fsica y lgica), que garantice la

confidencialidad, integridad y disponibilidad de la informacin.

- Plan de emergencia ante desastres, que garantice la disponibilidad de los

sistemas ante eventos.

Estndares: que regulen la adquisicin de recursos, el diserto, desarrollo y

modificacin y explotacin de sistemas.

Procedim ientos: que describan la form a y las responsabilidades de ejecutoria

pora regular las relaciones entre el Departamento Je Informtica y los
departamentos usuarios.

Organizar el Departamento de Informtica en un nivel suficientemente

superior de estructura organizativa como para asegurar su independencia de
los departam entos usuarios.

Descripcin de las funciones y responsabilidades dentro del Departamento con

una clara separacin de las mismas.

Polticas de personal: seleccin, plan de formacin, plan d e vacaciones y

evaluacin y promocin.

Asegurar que la Direccin revisa lodos los informes de control y resuelve las
excepciones que ocurran.

Asegurar que existe una pollica de clasificacin de la informacin para saber

dentro de la O rganizacin qu personas estn autorizadas y a qu informacin.

Designar oficialmente la figura de Control Interno Informtico y d e Auditoria

Informtica (estas dos figuras se nombrarn internamente en base al tam ato
del Departamento de Informtica).
 www.FreeLibros.me
AMXTOHU INKXtMAWCA-17 h-MOQUE PH-<CTlCO olAH

2. C ontroles de d esarrollo. adquisicin y m a n ten im ien to de sistem as de

informacin

Para que permitan alca ruar la eficacia del sistema, economa y eficiencia,
integridad de los dalos, proteccin d e los recursos y cumplimiento con las leyes y
regulaciones.

Metodologa del ciclo de vida del desarrollo de sistemas: su em pleo podr

garantizar a la alta Direccin que se alcanzarn los objetivos definidos para el
sistema. stos son algunos controles que deben existir en la metodologa:

- La alta Direccin debe publicar una normativa sobre e l uso de metodologa

de ciclo de vida del desarrollo de sistemas y revisar sta peridicamente.
- La metodologa debe establecer los papeles y responsabilidades de las
distintas reas del Departamento de Informtica y de los usuarios, as como
la composicin y responsabilidades del equipo del proyecto.
- Las especificaciones del nuevo sistema deben ser definidas por tos usuarios
y quedar escritas y aprobadas antes de que comience el proceso de
desarrollo.
- Debe establecerse un estudio tecnolgico de viabilidad en el cual se
formulen form as alternativas d e alcanzar los objetivos del proyecto
acompaadas de un anlisis coste-beneficio -d e cada alternativa-.
- Cuando se seleccione una alternativa debe realizarse el plan director del
proyecto. En dicho plan deber existir una metodologa de control de
costes.
- Procedimientos para la definicin y documentacin de especificaciones de:
diserto, de entrada, de salida, d e archivos, de procesos, de programas, de
controles de segundad, d e pistas de auditora, etc.
- Plan de validacin, verificacin y pruebas.
- Estndares de prueba d e programas, de prueba de sistemas.
- Plan de conversin: prueba de aceptacin final.
- Los procedimientos de adquisicin de software debern seguir las polticas
de adquisicin de la Organizacin y dichos productos debieran ser
probados y revisados antes de pagar por ellos y ponerlos en uso.
- La contratacin de programas de servicios de programacin a medida ha de
estar justificada mediante una peticin escrita de un director d e proyecto.
- Debern prepararse manuales de operacin y mantenimiento como parte de
todo proyecto de desarrollo o modificacin de sistemas de informacin, as
com o manuales d e usuario.

Explotacin y mantenimiento: el establecimiento de controles asegurar que

los datos se tratan de forma congruente y exacta y que el contenido de
 www.FreeLibros.me
CAffTVIO i C O S n O L IVTT.RNOY Al'DTTORlA IMORMATKA 7

sistemas slo w i modificado mediante autorizacin adecuada. foto* m

algunos de los controles que se deben implantar:

- Procedimientos de control de explotacin.

- Sistema de contabilidad para asignar a usuarios los costes asociados con la
explotacin de un sistema de informacin.
- Procedim ientos para realizar un seguimiento y control de los cambios de
un sistema de informacin.

3. Controle d e explotacin de sistem as de inform acin

Planificacin y Gestin d e recursos: definir el presupuesto operativo del

Departamento. Plan de adquisicin d e equipos y gestin de la capacidad de los
equipos.

Controles para usar, de manera efectiva los recursos en computadores:

- Calendario de carga de trabajo.

-- Programacin d e personal.
- Mantenimiento preventivo del material.
- G estin de problem as y cambios.
- Procedim ientos de facturacin a usuario.
- Sistema de gestin de la biblioteca de soportes.

Procedim ientos de seleccin del softw are del sistema, d e instalacin, de

mantenimiento, de seguridad y control de cambios.

Seguridad fsica y lgica:

Definir un grupo de seguridad de la informacin, siendo una de sus funciones

la administracin y gestin del softw are de seguridad, revisar peridicamente
los informes de violaciones y actividad de segundad para identificar y resolver
incidentes.
- Controles fsicos pora asegurar que el acceso a las instalaciones del
Departamento de Informtica queda restringido a las personas autorizadas.
- Las personas extem as a la Organizacin debern ser acompaadas por un
miembro de la plantilla cuando tengan que entrar en las instalaciones.
- Instalacin de medidas de proteccin contra el fuego.
- Formacin y concienciacin en procedimientos de seguridad y evacuacin del
edificio.
- Control de acceso restringido a los computadores mediante la asignacin de
un identificados de usuario con palabra clave personal e intransferible.
 www.FreeLibros.me
8 Al'lXTORU IXH3BMATK' tN KNKIQIIE PECnCO

- Normas que regulen el acceso a los recursos nformtic js .

- Existencia de un plan de contingencias para el respaldo de recursos de
computado* crticos y para la recuperacin d e los servicias del Departamento
Informtico despus de una interrupcin imprevista de ios mismos.

4. C ontroles en aplicaciones

Cada aplicacin debe llevar controles incorporados p a n garantizar la entrada,

actualizacin, validez y mantenimiento completos y exactos de los datos. Las
cuestiones ms im ponanies en el control de los dalos son:

Control de entrada d e datos: procedimientos de cotverein y d e entrad*,

validacin y correccin de dalos.

Controles de tratamientos de datos para asegurar q x no se dan de aki.

modifican o borran dalos no autorizados para garanti:ar la integridad de lo*
mismos mediante procesos no autorizados.

Controle* de salidas d e dalos: sobre el cuadre y reconciliacin d e salidas,

procedimientos de distribucin de salidas, de gestin de errores en las salid.

5. C ontroles especficos de d e r la s tecnologas

Controles en Sistemas d e Gestin de Bates de Dalos:

- El software de gestin de bases d e datos para prever el acceso a. b

estructuracin de. y el control sobre los dalos com parlos, deber instalarse jr
mantenerse de m odo tal que asegure la integridad del softw are, las bases de
dalos y las instrucciones d e control que definen el enlomo
- Q ue csin definidas las icspunsabilisiado sobre la plan ftcacin. organizacin
dotacin y control de los activos d e dalos, es decir, un administrador de datos.
- Q ue existen procedimientos para la descripcin y k cam bios d e datos as
como para el mantenimiento del diccionario de dalos.
- Controles sobre el acceso a datos y de concurrencia.
- Controles para minimizar fallos, recuperar el entorno de las bases de datos
hasta el ponto de la cada y minimizar el tiempo necesario para U
recuperacin.
- Controles para asegurar la integridad d e los dalos: programas de utilidad pan
comprobar los enlaces fTsicos -p un tero s- asociados a los datos, registros de
 www.FreeLibros.me
,____________________ CAWnUjQ ?-COOTMOt. IXTHtNO Y AlPCTOKlA INIOM ATICA

control para mantener los balances transitnos de transacciones pora su

posterior cuadre con totales generados por el usuario o por otros sistemas.

Controles en informtica distribuida y redes:

Planes adecuados de implantacin, conversin y pruebas de aceptacin para la

red.
Existencia de un grupo de control de red.
Controles pora asegurar la compatibilidad de conjunto d e datos entre
aplicaciones cuando la red e s distribuida.
Procedim ientos que definan las medidas y controles de seguridad a ser usados
en la red de informtica en conexin con la distribucin del contenido de bases
de dato entre los departamentos que usan la red.
Q ue se identifican todos los conjuntos de dalos sensible de la red y que se
han determinado las especificaciones para su seguridad.
Existencia de inventario de todos los activo de la red.
Procedim ientos de respaldo del hardware y del softw are de la red.
Existencia de mantenimiento preventivo de todos los activos.
Que existen controles que verifican que todos los mensajes de salida se
validan de forma rutinaria para asegurar que contienen direcciones de destino
vlidas.
Controles de seguridad lgica: control de acceso a la red. establec miento de
perfiles de usuario.
Procedim ientos de cifrado de informacin sensible que se transmite a travs
de la red.
Procedim ientos automticos para resolver cierres del sistema.
M onitori/acin para medir la eficiencia d e la red.
Disertar el trazado fsico y las medidas de segundad de las lineas de
comunicacin local dentro de la organizacin.
Detectar la correcta o mala recepcin d e mensajes.
Identificar los mensajes por una clave individual d e usuario, por terminal, y
|M el iiiiiciu <lc XOKACU del mcnjc.
Revisar los contratos de mantenimiento y el tiempo medio d e servicio
acordados con el proveedor con objeto de obtener una cifra de control
consume.
Determinar si el equipo muhiplexor/concentrador/proccsador frontal remoto
tiene lgica redundante y poder de respaldo con realimcntacin automtica
para el caso de que falle.
Asegurarse de que haya procedim ientos de recuperacin y reinicio.
Asegurarse de que existan pistas de auditora que puedan usarse en la
reconstruccin d e los archivos de datos y d e las transacciones de los diversos
 www.FreeLibros.me
AKUTOatA INIOHMTICA UN ESTOQUE HtmCO____________________________ o m u

terminales. Debe cxiMir la capacidad de rastrear los Calos entre la terminal y

el usuario.
- Considerar circuitos de conmutacin que usen tulas alternativas p in
diferentes paquetes de informacin provenientes del misino mensaje; esto
ofrece una forma de seguridad en caso d e que alguien itfercepte los mensajes

Controles sobre computadores personales y redes de rea local:

- Polticas de adquisicin y utilizacin.

- Normativas y procedimientos d e desarrollo y adquisicin de softw are de
aplicaciones.
- Procedim ientos de control del softw are contratado bajo licencia.
- Controles de acceso a redes, mediante palabra clave, a ravs de computadores
personales.
- Revisiones peridicas del uso d e los computadores penonalcs.
- Polticas que contemplen la seleccin, adquisicin e instalacin de redes de
rea local.
Procedim ientos de seguridad fsica y lgica.
- Departamento que realice la gestin y soporte tcnico de la red. Controles
para evitar modificar la configuracin d e una red. Recoger inform adle
detallada sobre los M inis existentes: Arquitectura (CFU's. Discos. Memori*.
Streamers, Terminales, etc.). Conectividad (LAN. m ini lo ko st, etc.), software
(sistema operativo, utilidades, lenguaje, aplicaciones. etc.). Servicios
soportados.
- Inventario actualizado de todas las aplicaciones d e la Kritidad.
- Poltica referente a la organizacin y utilizacin de los discos duros de 1
equipos, as com o para la nomenclatura d e los archivos que contienen, y
verificar que contiene al menos: obligatoriedad de etiquetar el disco duro con
el nmero de serie del equipo, creacin de un subdirectorio por usuario en d
que se alm acenarn todos sus archivos privados, as com o creacin de un
subdirectorio pblico que contendr todas las aplicaciones de uso comn pan
los distintos usuarios.
- Implantar herramientas de gestin de la red con el fin d e valorar su
rendim iento, planificacin y control.
- Procedim ientos de control de los filt-tra n tfe r que se red izan y de controles de
acceso para los equipos con posibilidades de comuni.'acin. Polticas que
obliguen a la desconexin de los equipos d e lis lneas de comunicacin
cuando no se est haciendo uso d e ellas.
- Adoptar los procedimientos de control y gestin adecalos para la integridad,
privacidad, confidencialidad y seguridad de la informacin contenida en redes
de rea local.
 www.FreeLibros.me

Cuando exista conexin PC-Host. comprobar que opera b a p lo controles

necesario* para evitar la carga/extraccin d e dato de form a noautorizada.
Contrato* de mantenimiento (tanto preventivo com o correctivoo defectivo).
Cuando en Las accione de mantenimiento c requiera la accin de tercero o la
salida de los equipo d e lo lmite de la oficina. se debern establecer
procedimiento para evitar la divulgacin d e informacin confidencial o
sensible.
Mantener un registro documental de la acciones de nunteninvento realizadas,
incluyendo la descripcin del problema y la ohicin dada al mismo.
I-os computadores debern estar conectado a equipo d e continuidad (UPS',
grupo, e tc ).
Proteccin contra incendios, inundaciones o electricidad esttica.
Control de acceso fsico a lo recurso micronormticos: .laves de PC s.
reas restringida. Ubicacin de impresoras (propia y d e red). Prevencin
de robo de dispositivos. A utorizacin para desplazamienxK de equipo.
Acceso fsico fuera de horario normal.
Control de acceso fsico a los dato y aplicaciones: almacenamiento de
dixquetes con copias d e hackup u otra informacin o aplicacin,
procedimientos d e destruccin de datos e informes confidenciales,
identificacin de disquctcVcintas. inventario completo le disquetes
almacenado, almacenamiento de documentacin.
En lo computadores en que se procesen aplicaciones o dalo nsiblex insular
protectores de oscilacin d e lnea elctrica y sistema de alimentacin
ininterrumpida.
Implantar en la red local producto de seguridad a como herramientas y
utilidades de seguridad.
Adecuada identificacin de usuarios en cuanto a las iguieae* operaciones:
altas, baja y modificaciones, cambio de posword. explota.'in del log del
sistema.
Controlar las conexione remotas in/out (CAL): Mdems. Gateway*. Mapper
Procedim ientos para la instalacin o modificacin d e softwire y establecer
que la direccin es consciente del riesgo de virus informticos y otros softw are
maliciosos, a s com o de fraude por modificaciones no autorizadas de softw are
y daftov
Controles pora evitar la introduccin de un sistema operativo a travs de
disquete que pudiera vulnerar el sistema de seguridad establecdo.
 www.FreeLibros.me
1 AUDITORA INFORMATICA UN KNKKjtlE WtCTKO

2.4. CON CLUSION ES

La importancia alcanzada por el uso (Se la informtica durante lo ltimos artos ha

ido espectacular. Tras este fenmeno se encuentra el deseo d e beneficiarse de lo
c uatro grandes logros que esta tecnologa ha aportado:

Racionalizacin de costos.
Mejora de la capacidad de tom a de decisiones, haciendo stas ms rpidas y
de menor riesgo, al contar, de manera casi inmediata, con la informacin
precita. Mejora de la calidad d e los servicios debido al incremento de la
capacidad pora adaptarse dinmicamente al mercado.
Nacimiento de servicios a d ie n tes basado e n la nueva tecnologa sin cuyo uto
seran imposibles d e ofrecer.

La informtica no e s algo neutro en la empresa, sin o que tiene un ctocio

estructurante que. aftadido a su carcter cada vez ms intensivo, a la variedad creciente
de las aplicaciones y a la de los medios distribuidos, la hacen estratgica Todo ello ha
permitido mejorar, de manera sustancial, los resultados econmicos al tiempo que se
han disparado los costes d e las inversiones informticas.

La informtica n o slo ha dejado de ser una sim ple herram ienta p o n

transformarse en un modo de estructuracin de la empresa, sino que la informacin es
uno de los actisos ms importantes. Las aplicaciones d e un funcionamiento anormal,
aunque sea temporal, de la informtica tendrn repercusiones cada vez ms grases
para la empresa, podiendo incluso poner en peligro su supervivencia ante la enorme
dependencia de los sistemas informticos. La integracin, en particular gracias a las
redes, hace el problema todava ms grase: las consecuencias de una anomala pueden
propasarse al exterior de la empresa e incluso alcanzar al usuario final. N o hay que
ocultar los problem as con el pretexto de tranquilizarse, sino que conviene prepararse
para aportar soluciones aun cuando stas sean parciales al principio.

Es responsabilidad de la Direccin plantear una estrategia de inversiones en

recursos informticos as com o implantar sistemas de controles internos de manera
que se garanticen unos grados de eficiencia y seguridad suficientes de los acusos
informticos. Com o consecuencia, aumenta la complejidad d e las necesidades de
control y auditora surgiendo en las organizaciones como medidas preventivas,
defectivas y correctivas las figuras d e Control Interno y Auditora Informticos.

Es preciso supervisar continuam ente los controles internos informticos para

asegurarse de que el proceso funciona segn lo previsto. Esto e s muy importante,
porque a medida que cambian los factores internos y externos, controles que una vez
resultaron idneos y efectivos pueden dejar de ser adecuados y de dar a la Direccin la
razonable segundad que ofrecan antes.
 www.FreeLibros.me
too CArtnilI>:: CtVVTHOt. LVrWNO Y AUOTTOHU INFORMATICA O

L funciones de Control Interno y Auditoria Informticos prestan un servicio de

vilo aadido al ayudar a las organizaciones y a mis directivos a cumplir sus
obligaciones relativas al control interno mediante d proceso de recoger, agrupar y
evaluar evidencias para determinar as un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
Organizacin y utiliza eficientem ente los recursos.

2.5. LEC TUR A S RECOMENDADAS

CPP Auditing. Auerhach Publications

ht/g e rald . Jerry. Controles internos para sistem as de computacin. Ed. Limusa
Wiley.

Martin. James. Security. Accuracy a n d Pri\xtcy m Computer System. Ed.

Preatice Hall.

Seguridad integral en las organizaciones. Ed. Trillas.

Instituto A uditores Internos d e Espaa. Control interno, auditoria v segundad

informtica.

2.6. CUESTIO N ES DE REPASO

1. Qu cambios en las empresas provocan tensin en el control interno

existente?

2. Cules son las funciones del control interno informtico?

3. Cules son los objetivos d e la Auditora Informtica?

4. Cules son las semejanzas y diferencias entre Control Interno y Auditora

Informtica?

5. Ponga ejemplos de controles conectivos e n diversas reas informticas.

6. Cules son los principales controles en el rea d e desarrollo?

7. Qu procesos definira para controlar la informtica distribuida y las redes?

8. Qu controles se deberan establecer en las aplicaciones?

 www.FreeLibros.me
44 AVWtOKlA ISOKMATK'A l y EWOQIT.PRACTICO_____________________________o

9. Cmo justificara ante un directivo de empresa la inversin necesaria en

control > auditora infocm iika?

10. Describa la informtica como m odo d e estructuracin de las empresas.

 www.FreeLibros.me

CA PITULO 3

M E T O D O L O G A S
DE C O N T R O L IN TER N O ,
SEGURIDAD Y A U D ITO R A IN FO R M TIC A

Jos M ara Genzdlez Zubieta

3.1. INTRODUCCIN A LA S M ETOD OLOG IA S

Segn el Diccionario de la le n g u a de la R eal Academia Espaole. M TODO es

d "modo de decir o hacer con orden una c o n " . Asimismo define el diccionario la
palabra METODOLOGA como "conjunto de mtodos que se liguen en una
investigacin cientfica o en una exposicin doctrinal". Esto significa que cualquier
proceso cientfico debe estar sujeto a una disciplina de proceso definida con
anterioridad que llamaremos METODOLOGA

La Informtica ha sido tradicionalmente una materia com pteji en lodos tus

aspectos, por lo que se hace necesaria la utilizacin de metodologa n cada doctrina
que b componen, desde su diserto de ingeniera hasta el desarrollo del software, y
cmo no. la auditora de I<m sistemas d e informacin.

Las metodologas usadas por un profesional dicen mucho de su forma de entender

trabajo, y estn directamente relacionadas con su experiencia profesional
acumulada como parte del comportamiento humano de acierto /error".

Asimismo una metodologa e s necesaria para que un equipo de profesionales

alcance un resultado homogneo tal como si lo hiciera uno solo, por lo que resulta
Habitual el uso de metodologas en las empresas audiioras/consultora.' profesionales,
desarrolladas por los ms expertos, pora conseguir resultados homogneos en equipos
de trabajo heterogneos.
 www.FreeLibros.me
<* aupctok Ia infohmtka . un ckxji 'f nU cnco_________________________ i m

La proliferacin de metodologas en el mundo de la auditoria y el contri

informtico* se pueden observar en k primeros artos d e la dcada de los ochcnu,
paralelamente al nacimiento y comercializacin d e determinadas hcrramxnui
metodolgicas (como el softw are de anlisis d e riesgos). P e el uso de mtodos *
auditoria es casi paralelo al nacim iento de la informtica, en la que existen mucha
disciplinas c ayo uso de metodologas constituye una practica habitual. Una de ellis a
la seguridad de los sistemas de informacin.

Aunque de forma sim plista se trata d e identificar la seguridad informtica a U

seguridad lgica de los sistemas, nada est ms lejos de h realidad hoy ea 6a,
extendindose sus races a todos los aspectos que suponen riesgos para la informtica

ste y no otro, debe ser el campo de actuacin d e un auditor informtica 6

finales del siglo XX. en uno de los grandes sm bolos del desvTollo tecnolgico de U
poca de la humanidad que nos ha tocado vivir.

Si definimos la "SEGURIDAD DE l.O S SISTEMAS DE INFORMACIN"

como la doctrina que trata de lo s riesgos informticos o creados por la informtica
entonces la auditoria e s una de las figuras involucradas en este proceso d e proteccin j
preservacin de la informacin y d e sus medios d e proceso.

Por tanto, el nivel de seguridad informtica en una cu idad e s un objetivo i

esaluar y est directamente relacionado con la calidad y eficicia de un conjunto de
acciones y medidas destinadas a proteger y preservar la informacin de la entidad j
sus medios de proceso.

Resumiendo, la informtica crea unos riesgos informticos de los que hay que
proteger y preservar a la entidad con un entramado d e contramcdidas, y la calidad y la
eficacia de las mismas es el objetivo a evaluar para poder identificar asi sus puntos
dbiles y mejorarlos. sta es una de las funciones de los aud iu res informticos. Por
tanto, debemos profundizar ms en esc entramado de contrunedidas para ver qu
popel tienen las metodologas y los auditores en el mismo. Para explicar este aspecto
direm os que cualquier contramedida nace de la composicin de varios factores
expresados en el grfico valnr" A r U figura 3.1.

Todos los factores de la pirmide intervienen en la composicin de una

contramedida.
 www.FreeLibros.me

Figura i . I. Factores que componen uno contramedula

l-A N O RM A TIV A debe definir de form a clara y precita lodo lo que debe
existir y ser cumplido, lano desde el punto de vista conceptual, como
prctico, desde lo general a lo particular. Debe inspirarse en estndares,
polticas, marco jurdico, polticas y normas de empresa, experiencia y
prctica profesional. D esarrollando la normativa, debe alcanzarse el resto del
grfico sa lo r. Se puede dar el caso en que una normativa y su carcter
disciplinario sea el nico control de un riesgo, pero no es frecuente.

I.A O R G A N IZ A C I N la integran personas con funciones especficas y con

actuaciones concretas, procedimientos definidos metodolgicamente y
aprobados por la direccin d e la empresa, liste e s el aspecto ms importante.
<U<tn sin t. i u i es posible. Se pueden establecer controles sin alguno de
los dems aspectos, pero nunca sin personas, ya que son estas las que realizan
los procedim ientos y desarrollan los Planes (Plan de Seguridad. Plan de
contingencias, auditoras, etc.).

LAS M E T O D O L O G A S son necesarias para desarrollar cualquier proyecto

que nos propongamos de manera ordenada y eficaz.

LOS O B JE T IV O S DE C O N T R O L son lo s objetivo* a cumplir en el control

de procesos. Este concepto e s el ms importante despus de LA
ORGANIZACIN", y solamente de un planteamiento co n ecto de los mismos
saldrn uno procedimientos eficaces y realistas.
 www.FreeLibros.me
4 Al'DTTORlA INFORMATICA UN BNTOQtiE P*M~TKO____________________________ w w

I.O S PR O C E D IM IE N T O S DE C O N T R O L sor los procedimientos

operativos de las distintas reas de la empresa, obtenidos con una metodologa
apropiada, para la consecucin de uno o varios objetivo* d e control y . por
tanto, deben de estar documentados y aprobados por la Direccin. La
tendencia habitual de los informticos e s la de dar ms peso a la herramienta
que al "eomrol o contramedidn", pero no debeiiKtt olvidar que UNA
HERRAMIENTA NUNCA ES UNA SOLUCIN SINO UNA AYUDA
PARA CONSEGUIR UN CO N TRO L M EJOR". Sin la existencia de estos
procedim ientos, las herramientas de control son solamente una ancdota.

Dentro de la T E C N O L O G IA DE SE G U R ID A D e i todos los elementos,

ya sean h a rd w are o softw are, que ayudan a controlar un riesgo informtico.
Dentro de este coocepto estn los cifradores, auicntificadores. equipos
tolerante* al fallo", las herram ientas d e control, etc.

LAS H E R R A M IE N TA S D E C O N T R O L *on ekmento* softw are que

permiten definir uno o vario* procedimientos d e cortrol para cumplir una
normativa y un objetivo d e control.

Todos estos factores estn relacionados entre sf. as com o la calidad de cada uno
con la de lo* dems. C uando se evala el nivel de Seguridad d e Sistem as e n un
institucin, se estn evaluando lodos estos factores (p irm id e) y se plantea un P lan de
S eguridad nuevo que mejoee todo* los factores, aunque conforme vayamos realizando
los distinto* proyectos del plan, no irn mejorando todos por igual. Al finalizar el pUa
se lu b r conseguido una situacin nueva en la que el nivel d e control sea superior a)
anterior.

Llamaremos PLAN DE SEGURIDAD a una estrategia planificada de acciones y

producto* que lleven a un sistema de informacin y su* centro* de proceso d e una
situacin inicial determinada (y a mejorar) a una situacin mejorada.

En la figura 3.2 se expone la tendencia actual en la organizacin de la seguridad

de sistemas en la empresa. Por una pane un comit que estara formado por el director
de la estrategia y de I poHiivuv Y pul srtm jwitc csniUut interno y auditoria
informticos. I-a funcin d e control interno se ve involucrada en la realizacin de los
procedimiento* de control y e s una labor de din a dfa. L funcin d e auditora
informtica est centrada en la evaluacin d e los distintos aspectos que designe su
PLAN AUDITOR, con una* caractersticas de trabajo que son las visita* concreta* al
centro, con objetivos concretos y, tras term inar su trabajo. la presentacin del informe
de resultados. Por tanto, las caractersticas de su funcin son totalm ente distintas.
Lgicamente tambin sus mtodos de trabajo.
 www.FreeLibros.me
CAffTWO V MBTflOXXa\S Dt OtVTKOt. IMVKVO. SU* HIPAD Y Al'PfTOtllA 9

Figura S.2. Organizacin interna de la segu n d a d informtica

Queda, pues, por decir que ambas funciones deben ser independientes d e la
informtica. dado que por la disciplina laboral la labor de la dos funciones quedara
mediatizada y comprometida. F.to e s lo que se llama "segregacin de funciones"
c ttrt stas y la informtica.

3.2. M ETOD OLOG IA S DE EVALUACIN DE SISTEM AS

3.2.1. Conceptos fundamentales

En el mundo de la seguridad d e sistemas se utilizan todas las metodologas

necesarias para realizar un plan de seguridad adems de las de auditora informtica.

Las dos metodologas de evaluacin de sistemas por antonomasia son las de

ANLISIS DE RIESGOS v las de AUDITORA INFORMTICA, con dos enfoques
dntintos. La auditora informtica slo identifica el nivel de exposicin" por la falta
de controles, mientras el anlisis de riesgos facilita la "evaluacin" de k riesgos y
recomienda acciones en base al costo-beneficio d e las mismas.

Introduzcamos una serie de definiciones para profundizar en e s u s metodologas.

AMENAZA: una(s) persooa(s) o cosis) vistis) como posible fuente de

peligro o catstrofe. Ejemplos: inundacin, incendio, robo de datos, sabotaje,
agujeros publicados, falta de procedimientos de em ergencia, divulgacin de
 www.FreeLibros.me
UDCTOk Ia INKXtMTKTA L N PffOQCE PRCTICO

datos. implicaciones con la ley. aplicaciones mal disertadas. gasu

incontrolado*, etc.

VULNERABILIDAD: La situacin creada, por la falta de uno o vario

controles, con la que la amenaza pudiera acaecer y as afectar al entone
informtico. Ejemplos: falta d e control de acceso lgico, falta de control de
versiones, inexistencia d e un control de sopones magnticos, falta de
separacin de entorno* en e l sistema, falta d e cifrado en I
telecomunicaciones, etc.

RIESGO: La probabilidad de que una amenaza llegue a acaecer por usa

vulnerabilidad. Ejemplo: los datos estadsticos de cada evento de una base de
datos de incidentes.

EXPOSICIN O IMPACTO: La evaluacin del efecto del riesgo. Ejemplo:

e* frecuente evaluar el im pacto en trminos econmico*, aunque no siempre I
es. com o vidas humanas, imagen d e la empresa, honor, defensa nacional, etc.

Las amenazas reales se presentan de form a compleja y son difciles de predecir

Ejemplo: por varias causas se rompen las dos entradas d e agua, inundan las lnea
telefnicas (pues existe un poro en el cable), hay un cortocircuito y se quema d
transformador de la central local. En c ao casos la probabilidad resultante es muj
difcil de calcular.

Las metodologas de anlisis de riesgos se utilizan desde los afta* setenta, en b

industria del seguro basndose en grandes volmenes de datos estadstico* agrupado
en tablas a d uana* Se emplearon en la informtica en los ochenta, y adolecen dd
problema de que los registros estadsticos d e incidentes son escasos y . por u n to , d
rigor cientfico de ky* clculos probabiltfko* e s pobre. Aunque existen bases de
incidentes en varios pases, estos dalos no son muy fiables por varios motivos: la
tendencia a la ocultacin d e los afectados, la localizacin geogrfica, las distintas
mentalidades, la informtica cambiante, el hecho de que los riesgo* *e presentan en u*
periodo de tiempo solamente (ventana d e criticidad). etc.

Todos los riesgos que se presentan podemos:

- EVITARLOS (por ejemplo: no construir un centro donde hay peligro

constante de inundaciones).
- TRANSFERIRLOS (por ejemplo: uso d e un centro d e clculo contratado).
- REDUCIRLOS (por ejemplo: sistem a de deteccin y extincin de incendios).
- ASUMIRLOS- Que e* lo que se hace si no se controla el riesgo en absoluto.
 www.FreeLibros.me
am CAPtTVLQ3 VaTTOOOLOCtAS Df.COyTHOl- IVTTJtMX XX-HIPAD YAUDfTOHX* ti

Para lo tres primeros, e acta si se establecen controle o contramedida. Todas

la m etodologa exileme* en segundad de sistemas van encam inada' a establecer y
mejorar un entramado de contram edidat que garanticen que la prohabtfcdad de que la
m ena/* te materialicen en hechos (por falta de control) tea lo m i baja posible o al
menos quede reducida d e una forma razonable en costo-beneficio.

3.2.2. Tipos de metodologas

Toda las metodologas existentes desarrollada y utilizada en U auditora y el

control informtico, e pueden agrupar en do grandes familia. stas ion:

Cuantitativa: Basada en un modelo matemtico numrico que ayuda a la

realizacin del trabajo.
Cualitativa: Basada en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para eleccionar en base a la experiencia acumulada.

X 12 .I. M etodologas cuan titativ as

Disertadas para producir una lista de riesgos que pueden compararte entre si con
facilidad por tener asignado uno valores numrico. Esto valores en el caso de
metodologa de anlisis de riesgos o de planes de contingencia1- to n dato de
probabilidad de ocurrencia (riesgo) d e un evento que se debe extraer de un registro de
incidencias donde el nm ero de incidencia tienda al infinito o sea suficientemente
grande. Esto no pasa en la prctica, y te aproxim a ese valor d e 'orma subjetiva
retundo as rigor cientfico al clculo. Pero dado que el clculo te hace para ayudar a
elegir el mtodo entre varias contram edidat podram os aceptarlo.

Hay vario coeficientes que conviene defin ir

- A -L E . (A nnualiztd Loss Ltpeniacy): multiplicar la prdida nxim a posible

de cada bien/recurso por la ame n a /a con probabilidad ms alta
Reduccin del A.L.E. (Annualized Lots Exprctancy): Es el cociente entre el
COSI* anuallzado de la insulacHfci y e l iitanu oimiento de U ncdido contra I
valor total del bien/recurso que se est protegiendo, en tanto per ciento.
- Retom o de la inversin (R.O.I.): A.L.E. original menos A.I..E. reducido
(como resultado de la medida), dividido por el coste anualizado de la medida

Todo esto coeficientes y otro disertado por los autores d e la metodologas

ton osado para el juego de sim ulacin que permite elegir entre vanas contra medida
ta el an!t de riesgos.
 www.FreeLibros.me
ALDtTtttU ISTOOtUCA US t>KXjCT. mACHOO____________________________ M

Por lano, vemos con claridad dos grandes inconveniertes que presentan eus
metodologas: por una pane la debilidad de los dalos de la probabilidad de ocurre*
por los pocos registros > la poca significacin de los mismos a nivel mundial, y por
otra la imposibilidad o dificultad d e evaluar econmicamente lodos los impactos que
pueden acaecer frente a la ventaja d e poder usar un modrlo matemtico p a n d
anlisis.

3.2.2.2. M etodologas cualitatisas/xubjefivas

Basadas en mtodos estadsticos y lgica borrosa (hum ara, no matemtica. f* z j

togic). Precisan de la im vlucractn de un profesional experimentado. Pero requiera
menos recursos humanos/tiempo que las metodologas cuantiutivas.

La tendencia de uso en la realidad es la mezcla de ambts. En la figura 3.3 k

observa un cuadro comparatisi.

3.2.3. Metodologas ms comunes

Las metodologas ms comunes de evaluacin de sistemas que podemoi

encontrar son de anlisis de riesgos o de diagnsticos d e segundad, las d e plan de
contingencias, y las de auditoria de controles generales.
 www.FreeLibros.me
ca H tvix i . mnoootooiAX pe cnvm ot intckso . sKit.mtM v m ix io r u

U J . I . Mdodalocia. de a n lisis de riesgos

Estn desarrolladas pora la identificacin de la falta de controles y el

oubtecim iento de un plan de contramedidas. Existen dos tipos: LAS
CUANTTTATIVAS y L A S CUALITATIVAS, d e las que existen gran cantidad de
n etas clases y slo citaremos algunas d e ellas.

H esquema bsico de una metodologa de anlisis d e riesgos ex. en esencia, el

representado en la figura 3.4.

En base a unos cuestionarios se identifican vulnerabilidades y riesgos y se evala

d impacto para m is tarde identificar las contramedidas y el coste, l-a siguiente etapa
n la m is importante, pues mediante un juego de simulacin (que llamaremos "Q U
PASA SI...?") analizam os el efecto de las distintas contramedidas en la disminucin
de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de
segundad) que compondr el informe final de la evaluacin.

O forma genrica las metodologas existentes se diferencian en:

Si son cuantitativas o cualitativas, o sea si para el "Q u pasa sL .T ' utilizan

un modelo matem tico o algn sistema cercano a la eleccin subjetiva.
Aunque, bien pensado, al aproxim ar las probabilidades por esperanzas
matemticas subjetivamente, las metodologas cuantitativas, aunque utilicen
aparatos matemticos en sus simulaciones, tienen un gran componente
subjetivo.
Y adems se diferencian en el propio sistema d e sim ulacin.

En el INFO SEC92 proyecto S 20I4 se identificaron 66 metodologas de las

n ales, por limitaciones de tiempo, se analizaron slo 12 con sus respectivos paquetes.
 www.FreeLibros.me
i* AUPfTCmiA n\XmMAtK~A LN fcXKJQft' mACTKP____________________________ u.

y u i el informe le este trabajo acab siendo un contraste d e U s (icn u c io n e t d e d ic ta

paquete* segn lo* fabricante* y la opinin de la* consultore* del equipo. Eoi
mtodo* analizado* eran: A N A U Z Y . BDSS. BIS RISK ASSESOR. BUDDY
SYSTEM. COBRA. CRAM M . DD1S MARION AP*. MELISA. RISAN. RISKPAC.
RISK WATCH.

Despus de e*tas metodologas han nacido mucha* otras como, por ejemplo, U
MACERfT. desarrollada por b administracin espartla. Citarem os algunas a modo
de ejemplo:

Figura J.S. Diagrama / w ln tra b ilitla d

 www.FreeLibros.me

Figura 3.6. Cuestionario p a ra i atorar la seguridad

 www.FreeLibros.me

M A RIO N

Mtodo documentado en do* libros de los cuales el ms actual es La SecuriU des

reseaux-M ethodes et Techniques de J.M . Lamer y Leroux. J. Toorty. Tiene dos
productos: MARION AP+. para sistemas individuales, y MARION RSX pora sistemas
distribuidos y conectividad.

Es un mtodo cuantitativo y se basa en la encuesta anual de miembros del

C .L .U .S.l.F. (base de incidentes francesa). N o contempla probabilidades, sieo
esperanzas matemticas que son aproxim aciones numricas (valores subjetivos).

La MARION AP* utiliza cuestionarios y parmetros correlacionadlos enfocados a

la representacin grfica de las distintas soluciones de contramedidas (fgura 3.5). en
cada uno de los factores (27 factores en seis categoras). Las categoras son: seguridad
informtica general, factores socioeconmicos, concienciacin sobre la segundad de
softw are y materiales, seguridad en explotacin y seguridad de desarrollo.

Figura 3.7. Valores d e ponderacin para diferentes sectores

 www.FreeLibros.me
CaHTI'M) VMHOOOUXUAS Of. CXXSTUfK. INTERNO. SEGURIDAD AtPfTOKU 57

En la figura 3.6 se puede se r un cuestionario al que hay que responder s con un

4. no con un cero, y i no aplicable, para luego aplicarle uno valore* de ponderacin
segn los sectores de la figura 3.7 de negocio de la empresa donde st est pasando la
metodologa. El cuestionario d e la figura 3.6 correspondera al factor 101.

El anlisis de riesgos k> hace obre diez irea s problemtica con otros
cuestionario. Estas reas son riesgos materiales, sabotajes fsicos, averas,
comunicaciones, errores de desarrollo, errores d e explotacin, fraude, robo de
informacin, robo de software, problem as de personal. Sirve para evaluar el impacto
figura 3.8).

Figura 3.8. Definicin cualitativa de prdidas

 www.FreeLibros.me
M AUXTtmlA INTOHMATKA LiNenfoque HtACTKO____________________________ en i

La* prdidas posibles n o deben sobrepasar nunca e. valor del "RIESGO

M XIMO ADMISIBLE", vaio extrado de los valores dados por un cUud*o dd
Banco de Francia donde figuran 5 0 rabos para distintas reas sectoriales ya
mencionadas en la figura 3.7. El diagrama de la figura 3.S se llama de radar, y b
metodologia M ELISA usa uno sim ilar. Esta metodologa e s d e las m is antiguas ;
difciles de entender y manejar.

R1SCKPAC

Todas las metodologas que se desarrollan en la actualidad estn pensadas para sa

aplicacin en herramientas. La primera de esta familia la desarroll PROMU:
ANALYSIS CORPORATION, y la primera instalacin en cliente data d e 1984.
Segn DATAPRO es el softw are ms vendido.

Su enfoque es metodologa cualitativa/subjetiva. Sus resillados ion exportables i

procesadores de texto, bases de datos, hoja electrnica o sistemas grficos. Est
estructurada en los tres niveles FntonHVProccsador/Aplicacione* con 26 categoras de
riesgo en cada nivel. Tiene un qu posa si...?" con un nivel 4c riesgo de evaluacin
subjetiva del 1 al 5 y ofrece una lista de contramedidas o recomendaciones bsicas
para ayuda al informe final o plan de acciones.

CRAMM

Se desarroll entre 1985 y 1987 por BIS y CCTA (C E N T tA L COM PUTER &
TELECOMUNICATION AGENCY RISK A NALISIS & MANAGEMENT
METMOD. Inglaterra). Implantado e n ms de 750 o rganiracbnes en Europa, sobre
todo de la administracin pblica. Es una metodologa cualitativa y permite hacer
anlisis Qu pasa si...?".

PR IM A (PR E V E N C IO N DE R IE SG O S IN F O R M T IC O S CON
MKTOIKM-OGA A BIE RT A )

Es un compendio de metodologas espartlas desarrolladas entre lo* artos 1990 y

la actualidad con un enfoque subjetivo. Sus caractersticas escoriales son:

- Cubrir las necesidades de los profesionales que desarrollan cada uno de los
proyectos necesarios de un plan de segundad.
- Fcilmente adaptable a cualquier tipo de herramienta.
- Posee cuestionarios de preguntas para la identificacin de debilidades o faltas
de controles.
 www.FreeLibros.me
CArtnu-Q i Mirmixxnctvs i* twfntot inttkno . u o :hipad y audctohia

- Posee listas de ayuda para los usuarios menos experimentados de debilidades,

riesgo y contramedidas (sistema d e ayuda)
- Pem ute fcilmente la generacin de informe fin al .
- Las Lista de ayuda" (figura 3.10) y los cuestionarios son abierto, y por
tanto e s potable introducir informacin nueva o cambiar la existente. De ah( la
expresin Abierta de u nombre.
- Tiene un "qu pasa cualitativo, y capacidad d e aprendizaje al poseer
una base de conocimiento o registro de incidentes que van variando las
esperanza matemticas de partida y adaptndose a los entornos d e trabajo.

En las figuras 3.9 y 3.10 se expone b metodologa de anlisis d e riesgo PRIMA.

Con la misma filosofa abierta existen del mismo autor, en b actualidad, las
siguientes metodologas:

- Anlisis de riesgos.
- Plan de contingencias informtica y d e recuperacin del negocio.
- P b n de restauracin interno informtico.
- Clasificacin de b informacin.
- Definicin y desarrollo de procedim ientos de control informticos.
- P b n de cifrado.
- Auditora informtica.
- Definicin y desarrollo d e control de acceso lgico. Entornos distribuidos y
single sig-on.
 www.FreeLibros.me

Figura i. O. M ita d e ayuda d e la metodologa PRIMA

3 .2 J .2 . P lan de contingencias

El auditor debe conocer perfectamente lo* conceptos de un plan de contingencia*

para poder auditorio. Hay varias forma* d e llamarlo, pero conviene no confundir Un
concepto* que kc manejan alrededor de lo* nombre*. El plan d e contingencia* y de
recuperacin del negocio c* lo mismo, pero no asi el plan de restauracin interno. ste
va enfocado hacia la restauracin del C.P.D .. pero sobre evento* que suceden dentro
del enlom o (cadas del sistema, roturas leves, etc.), y cuya duracin no afecta
gravemente a la continuidad del negocio.

Tambin *e manejan a vece* los concepto* de plan de contingencias informtica y

plan, de contingencia* corporativo, cuyos conceptos son slo de alcance. El
corporativo cubre no slo la informtica, sino lodos kw departamento* d e una entidad,
y puede incluir tambin el informativo com o un departam ento ms. Frecuentemente
se realiza el informtico.

DEFINICIN. El Plan d e Contingencias es una estrategia planificada constituida

por: un conjunto de recu n o s de respaldo, una organizacin de emergencia y unos
procedim ientos de actuacin encaminada a conseguir una restauracin progresiva y
gil de los scrvicioei de negocio afectados por una paralizacin total o parcial de la
capacidad operativa de la empresa.

Esa estrategia, materializada en un manual, es el resultado de lodo un proceso de

anlisis y definiciones que es lo que da lugar a las metodologas. Esto es. las metodo
logas que existen versan sobre el proceso necesario para obtener dicho plan.
 www.FreeLibros.me
CAHn lo MtiotxicociiAS uc cffvntiM.ivrm.so. seoirida y aho*tokIa - t i

Es muy importante tener en cuenta que el concepto a considerar e* la continui-

tti. el negocio- : estudiar todo lo que puede paralizar la actividad y producir prdidas
Todo k> que no considere este criterio no ser nunca un plan de contingencias.

FASES D E U N P IA N . L as fases d e un plan son la* siguientes:

FASE I. A NLISIS Y DISEO. Se estudia la problemtica. las necesidades de

recursos, las alternativas de respaldo, y se analiza el coste/beneficio d e las misma,
f.ua es la fase m is importante, pudiendo llegarse al final de la misma incluso a la
conclusin de que no ex viable o e s muy costoso su seguim iento. En la form a de
desarrollar esta fase, se diferencian las dos familias metodolgica*. stas son las de
-RISK AN ALISIS" y las de BUSINESS IM P A C T .

Las de Risk Anlisis se basan en el estudio de los posibles riesgos desde el punto
de sista de probabilidad de que los mismos sucedan. Aunque los registros de
acidentes. al igual que ocurra en las metodologas de anlisis d e riesgos, son escasos
y poco fiables, aun as es m is fcil encontrar este tipo de metodologas que las
segundas.

Las de Bussines Impact. se basan en el estudio del im pacto (prdida econmica o

de imagen) que ocasiona la falta de algn recurvo de los que soporta la actividad del
negocio. Estas metodologas son m is escasas, pero tienen grandes ventajas como e s el
mejor entendim iento del proceso o el menor em pleo de tiempo de trabajo por ir m is
directas al problema.

Las tareas de esta fase e n las metodologas de Risk Anlisis son las siguientes:

1. Identificacin d e amenazas.
2. Anlisis de la probabilidad de materializacin de la amenaza.
3. Seleccin de amenazas.
4. Identificacin de entornos amenazados.
5. Identificacin de servicios afectados.
6. Estimacin del im pacto econmico por paralizacin de cada servicio.
7. ScIcccMta de Io scrvicio a cubrir.
8. Seleccin final del mbito del Plan.
9. Identificacin de alternativas para lo* entornos.
10. Seleccin de alternativas.
11. DiscAo de estrategias de respaldo.
12. Seleccin de las estrategias de respaldo.
 www.FreeLibros.me
t a u x to k U intohm tw a un exkm x'e wtcnco

La laucas pora 1 de Business Impaci son las siguientes:

1. Identificacin de servicios finales.

2. Anlisis del impacto. En estas metodologas se evalan los d a to s econmicos
y de imagen y otros aspectos no econmicos, lo que 1 da una ve Maja en ks
casos en los que intervienen otros valores que no sean los econmicos.
3. Seleccin de servicios crticos.
4. Determinacin de recursos de soporte.
I 5: Identificacin de alternativas pora entornos.
6. Seleccin de alternativas.
7. Diserto de estrategias globales de respaldo.
8. Seleccin de la estrategia global de respaldo.

Com o puede verse, el enfoque de esta segunda es ms prctico y xe va mis

directo a las necesidades reales de la entidad sin tener que justificar con datos de
probabilidades que aportan poco por la pobreza de los datos. stas se basan en hech
ciertos, que se analizan y se justifican econmicamente. Permiten, por tanto, hacer
estudios costo/beneficio que justifican las inversiones con m> rigor que los estudios
de probabilidad que se obtienen con los anlisis de riesgos.

Hay un factor importante a determinar en esta fase que e s el Time Fronte o

tiempo que la empresa puede asumir con paralizacin d e la attividad operativo -Jes
de incurrir e n prdidas significativas. Este factor marcir las estrategias de
recuperacin y se extraer del anlisis del impacto.

FASE II: DESARROLLO DEL PLAN. Esta fase y la tercera son similares es
todas las metodologas. En ella se desarrolla la estrategia seleccionada implantndose
hasta el final todas las acciones previstas. Se definen las distintas organizaciones de
emergencia y se desarrollan los procedim ientos de actuacin generando as li
documentacin del plan.

Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de U

situacin normal a la a h e m a tira debe concluirse con la reconstruccin de la situacite
inicial antes de la contingencia y esto es lo que no todas las metodologas incluyen.

FASE III: PRUEBAS Y MANTENIMIENTO. En esla fase se definen 1

prueHm. us caracrerfsric y sus ciclos, y se realiza la p rim e n prueba como
comprobacin de todo el trabajo realizado, a s com o mental izar al personal implicada

A sim ismo se define la estrategia d e mantenimiento, la organizacin destinada i

ello y la normativa y procedimientos necesarios pora llevarlo a cabo

IIERRAMIEWTAS. En este caso, com o en todas las metodologas la herramiecu

es una ancdota y lo importante es tener y usar la mctocblogfa apropiada pan
 www.FreeLibros.me
cmivios M m iootuciv. Dt covntoi. ishjlno. stguuuad v audito*! . >i

dturrollar m is larde la hcnam icnta que *c necesite. fcJ esquema de una herramienta
dete tener al menos los uguicntes puntos:

- base de datos relacionar

- mdulo de entrada de datos
- mdulo de consultas
- proceso de textos
generador de informes
- a)vdas on-lme
- hoja de clculo
- gestor de proyectos
- generador de grficos

Existen en el mercado producios que cubren estas metodologas, en menor

cantidad que los de anlisis de riesgos y enfocados sobre todo a anlis de nesgo* con
ditos de poca significacin cientfica. Hoy en da la mayora le tos equipos
profesionales desarrollan su softw are al oom ten/o de lo trabajos tras definir la
netodologa

Es importante para terminar este punto decir que una prctica hatitual e s realizar
la fase I y contratar un servicio de back-up sin desarrollar las fases II y III. Esto no
M o constituye un error conceptual, sino que en realidad slo se tiene un estudio y un
contrato de servicios pero no un PLAN DE CONTINGENCIAS.

3.3. LAS M ETO D O LO G A S DE A UDITORIA INFORMTICA

Las nicas metodologas que podemos encontrar en la auditora informtica son

do familias distintas: las auditoras de CONTROLES GENERALES como produelo
estndar de la auditores profesionales, oue son una homologacin de las mismas a
rfl internacional, y las METODOLOGIAS de los auditores internos.

El objetivo de las auditoras de controles generales es "dar una pintn sobre la

natiilnlod de lus datus del computador para la auditora financiera". El rebultado
externo es un escueto informe com o parte del informe de auditora, dende *e destacan
lat vulnerabilidades encontradas. Estn basadas en pequefo* cuestionarios estndares
que dan como resultado informes muy generalistas.

Tienen apaados para definir pruebas" y anotar sus resultados. sta es una
caracterstica clara de la diferencia con las metodologas de evaluacin d e la
consultara como la* de anlisis de riesgos que n o tim e n estos apenados, aunque
urribin tratan de identificar vulnerabilidades o falta d e controle; Esto es. la
ratizaon de pruebas e* consustancial a la auditora, dado que tarto el trabajo de
conlitara como el anlisis de riesgos espera siempre la colaboracin del analizado, y
 www.FreeLibros.me
W M W IW lA INHM*TlfA IX tMOQCt *CnC O ____________________________ a i

por el contrario la auditoria debe demostrar con pruebas toda, u n afirmaciones. y pa

e llo siempre debe contener el apartado de las pruebas. Llegando al extrem o de que
hay auditoras que se basan slo en pruebas como la "auditora d e integridad- .

fcsta\ metodologas estn muy desprestigiada*, pero n o porque sean malas en i

mismas, sino porque dependen mucho de la experiencia de k a profesionales que la
usan y existe una prctica de utilizarlas profesionales sin n in g n experiencia.

Ninguna de estas metodologas usa ayudas de contramedida*. llegndose a U

aberracin de que se utilizan metodologas de anlisis de riesgos para hacer auditorias.

Todas estas anomalas nacen de la dificultad que tiene un profesional sa

experiencia que asume la funcin auditora y busca una frmula fcil que le perrina
empezar su trabajo rpidamente. Esto ex una utopa El auditor informtico necesita
una larga experiencia tutelada y una gran formacin tanto audtora como mformbea.
Y esta formacin debe ser adquirida mediante el estudio y la prctica tutelada.

Llegamos al punto en el que e s necesario decir que la netodologa d e aud*r

Memo debe ser disertada y desarrollada por el propio ajditor. y sta ser b
significacin de su grado de experiencia y habilidad.

Por u n to , entre la* dos metodologas de evaluacin de sistemas (anlisis de

riesgo* y auditoria) existen sim ilitudes y grandes diferencias. Ambas tienen ppelo
de trabajo obtenidos del trabajo de cam po tras el plan d< entrevistas, pero Vos
cuestionarios son totalmente distintos. Los d e la figura 3.6 son de anlisis de nesgas y
se trata de preguntas dirigidas a la identificacin de la f a lu d e controles. Se vea
dirigidas a consultores por la planificacin d e los tiempo* y por ser preguntas mis
concretas.

En el punto 3.7 se expone un ejemplo real d e una metodotiga de auditor interno

necesaria para revisar cualquier aplicacin. Com o se ve en el ejemplo esU formad
por recomendaciones de plan d e trabajo y de lodo el proceso que debe se g ar
Tambin define el objetivo d e la misma, que habr que d escrib lo en el me mor indura
de apertura al auditado. Asim ismo lo describe en forma de o estio n ario s genricos,
con una orientacin de los controles a revisar.

En este caso del auditor interno informtico le servir de ua pora confecciona

el programa real de trabajo d e la auditoria. El auditor deber hacer los cuestionarios
ms detallados si as lo estima oportuno y definir c u an u s pm tbas estime oportunas
Asimismo, si cuando empieza una auditoria el auditor d e te ru va* alternativas a
revisar, su deber es seguirla* cambiando el plan de trabajo. Per tanto, el concepto de
las metodologas de anlisis d e riesgos de "tiempos medid**" e s m is bien p m
consultores profesionales que para auditores interno*, listos, aunque deben planificar
 www.FreeLibros.me
CAPfTVlLO y MfcTOPOKXiiAS UBCOSTHOC IXIUtNO. SIGIHIDADY AUDITORIA 6

mu tiempos. en principio no deben constituir nunca su factor pn n cijal. dado que mi

funcin es la de vigilancia, y sta se cum ple si el auditado se viente vigilado.

FJ auditor interno debe crear vuv metodologas necesarias ara auditar los
taiinto* aspectos o reas que defna en el plan auditor que veremos en el siguiente
puno.

Tambin es interesante aclarar que hay herramientas software de ayuda a la

wditora de cuentas que aunque se les llame herramientas de auditora, slo lo son
pira los auditores de cuentas, y esto n o es auditora informtica sino ayuda a la
auditora de cuentas.

Es decir, que no es lo mismo ser una informtica de los auditores que ser auditor
informtico. La auditora financiera e s un dictam en ta b re fo t atado* de cuentas. Y
la auditora informtica e s una auditora en si misma, y si el auditer informtico no
certifica la integridad de los datos informticos que usan los auditores financieros,
stos no deben usar los sistemas d e informacin para sus dictmenes. Tal es la
iaporuncia de la existencia de los auditores informticos, que ton b s garantes d e la
veracidad de los informes de los auditores financieros que trabajan con los datos d e los
sistemas de informacin.

FJ esquema metodolgico del auditor est definido por el plan auditor que vemos
a continuacin.

3.4. EL PLAN A UD ITOR INFORM TICO

Es el esquema metodolgico m is importante del auditor informtico. En este

documento se debe describir lodo sobre esta funcin y el trabajo que rcali/a en la
entxll Debe estar en sintonia con el plan auditor del resto d e las auditores de la
entidad.

Las partes de un plan auditor informtico deben ser al menos las siguientes:

- Funciones. Ubicacin de la figura en el organigrama de li empresa. Debe

existir una clara segregacin de funciones con la Informiiica y d e control
interno informtico, y ste debe ser auditado tambin. Deben describirse las
funciones de forma precisa, y la organizacin interna del dipanam ento, con
todos sus recunos.

- Procedim ientos pora las distintas tareas d e las auditoras. Entre ellos estn el
procedim iento de apertura, el de entrega y discusin de debilidades. entrega de
informe preliminar, cierre de auditora, redaccin de informe final, etc.
 www.FreeLibros.me
IA AVPfTORlAINro*MTCA INtNroOlTiHtAcnOO

- T ipos d r a u d ito ras que realiza. M etodologas y cuestionarios de las mismas.

Ejemplo: revisin de la aplicacin d e facturacin, revisin de la LOPD.
revisin de seguridad fsica, revisin de control interno, etc. Existen res tipos
de auditoras segn su alcance: b Full o completa de una ir e a (por ejemplo:
control interno, informtica, lim itada a un aspecto: por ejemplo: un
aplicacin, la seguridad lgica, el softw are d e base. etc.), la Corrective Action
Revicw (CAR) que e s la contprohacin d e acciones correctivas de auditoras
anteriores.

- Sistem a de evaluacin y los distintos aspectos que evala. Independiente

mente de que exista un plan d e acciones en el informe final, debe hacerse el
esfuerzo de definir varios aspectos a evaluar como nivel d e gestin
econmica, gestin d e recursos humanos, cumplimiento de normas, etc., as
como realizar una evaluacin global de resumen pora toda la auditora. En
nuestro pas esta evaluacin suele hacerse en tres niveles que son "Bien".
"Regular", o "M al", significando la visin de grado, d e gravedad. lista
evaluacin final nos servir para definir la fecha d e repeticin d e la misma
auditora e n el futuro segn el nivel de exposicin que se le haya dado a este
tipo de auditora en cuestin.

CICLO DE AUDITORIAS___________

Figura J. 11. M tW de exposicin para definir la frecuencia d e la auditora

- Nivel d e exposicin. C o n ejemplo podemos ver la figura 3 .1 1. El nivel de

exposicin e s en este caso un nmero del uno al de/ definido subjetivamente
y que me permite en base a la evaluacin final d e la ltima auditora realizada
sobre ese tema definir la fecha d e la repeticin d e la misma auditora. Este
nmero no conviene confundirlo con ninguno de los parmetros utilizados en
el anlisis de riesgo que est enfocado a probabilidad de ocurrencia. En este
caso el valor del nivel de exposicin significa la suma de factores como
impacto, peso del rea, situacin de control en el rea. O sea se puede incluso
 www.FreeLibros.me
CaHTIIO V METUOOtOGlAS PCCOWTiM. KIO N O SUGWXM YAl'PtTOfttV 7

rebajar el nivel de un rea auditada porque est muy bien y n o merece la pena
revivarla tan a menudo.
- li s t a de distribucin de informe*.
- Seguim iento de b u accione c o rre d o ra s .
- l i a n qu in q u e n al. Todas la reas a auditar deben corresponderse con
cuestionarios metodolgico* y deben repartiese en cuatro o cinco aAos de
trabajo. Ksta planificacin, adem s de las repeticiones y aadido de las
auditoras no programadas que se estimen oportunas, deber componer
anualm ente el plan de trabajo anual.
- l i a n de tra b a jo an u al. Deben estimarse tiem pos de manera racional y
componer un calendario que una v e / term inado nos d< un resultado de horas
de trabajo previstas y. por tanto, de lo* recu n o s que se necesitarn.

Debemos hacer notar que e s interesante tener una herramienta programada con
metodologa abierta que permita confeccionar los cuestin ario* de las distintas
auditorias y cubrir fcilmente los hitos y fases de los programas de trabajo una vez
definida la metodologa completa. B a o te poede hacer sin dificultad con cualquier
herramienta potente de las que existen en la actualidad.

Las metodologas de auditoria informtica son del tipo cualitativiVsubjetivo

Pedemos decir que son las subjetivas por excelencia. Pir tanto, estn basadas en
profesionales de gran nivel d e experiencia y formacin, capaces de dictar
recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad
y formacin continuada Slo asi esta funcin se consolidar en las entidades, e sto es.
por el "respeto profesional a los que ejercen la funcin.

3.5. C O N TR O L INTERNO INFORM TICO. S US M TOD OS Y

PROCEDIM IENTOS. LAS HERRAM IENTAS D E C O N TR O L

3.5.1 La funcin de control

Hoy en da la tendencia generalizada e s contemplar, al lado d e la figura del

auditor informtico, la de control interno informtico. Tal e s e l cavo de la
orgwzacin internacional I.S.A .C.A . (Information System s Audit and Control
AMOCiaticn) que con anterioridad se llam The EDP Auditor* Association Inc.

Aunque hay una cierta polmica profesional con esta funcin y no cxitfe una
aceptacin tan clara com o la funcin de auditora informtica, parece razonable y sin
tencin de crear doctrina definirla como existe en general en muchas mutina-
ckrules.
 www.FreeLibros.me
ai o i iohia informtica un i j toq iir okh

La funcin de Control Informtico Independenle debera ser en primer lugtr

independiente del departam ento controlado. Ya que "por segregacin de funciones U
informtica no debera controlarte a s misma". Partiendo d e la base de un concepto
en el que la seguridad de sistemas abarca un campo mucho mayor de lo que es b
seguridad lgica, podram os decir que:

- El rea informtica monta kxs procesos informticos seguros.

- El Control interno monta los controles.
- La Auditora Informtica evala el grado d e control.

Por tanto, podram os decir que existen claras diferencias entre las funciones de
conirol informtico y las de auditora informtica.

1.a A ud ito ra Inform tica

- Tiene la funcin de vigilancia y evaluacin mediante dictmenes, y todas sus

metodologas van encaminadas a esta funcin.
- Tiene sus propios objetivos distintos a los auditores de cuentas, aunque nece
sarios para que stos puedan utilizar la informacin de sus sistemas pora sus
evaluaciones financieras y operativas. Evalan eficiencia, c osto y seguridad ea
su ms amplia visin. eslo es todos los riesgos informativos, ya sean 1
clsicos (confidencialidad, integridad y disponibilidad, o los costos y los
jurdicos, dado que ya no hay una clara separacin e n la mayora de los casos.
- O peran segn el plan auditor.
- Utilizan metodologas de evaluacin del tipo cualitativo con la caracterstica
de las pruebas de auditora.
- Establecen planes quinquenales como ciclos completos.
- Sistemas de evaluacin d e repeticin de la auditora por nivel d e exposicio
del rea auditada y el resultado de la ltima auditora de esta rea.
- La funcin de soporte informtico de todos los auditores (opcionalmcntc),
aunque dejando claro que n o se debe pensar con esto que la auditori
informtica consiste en esto solamente.

C ontrol In tern o Inform tico

- Tiene funciones propias (administracin de la seguridad lgica, etc.).

- Funciones de control dual con otros departamentos.
- Funcin normativa y del cumplimiento del marco jurdico.
 www.FreeLibros.me
I l w CAPtnni) Mt.TCXXMOC.lAS OCCOMTOOl IVTEKNO. tt-tXKlDAO YAfDCTOKU W

- O peran segn proced miemos de control en lo* que se ven involucrados y que
luego se desarrollarn.
- Al igual que en la auditora y d e forma opcional pueden ser el soporte
informtico de control interno no informtico.

Podemos pasar ya a proponer las funcione de control interno ms comunes:

- Definicin de propietarios y perfiles segn "Clasificacin d e 1 Informacin

(utilizando metodologa).
- Administracin delegada en Control Dual (dos personas intevienen en una
accin corno medida de control) d e la seguridad lgica.
- Responsable del desarrollo y actualizacin del Plan de Contingencias.
M anuales de procedimientos y Plan de Seguridad.
- Promover c i a n de Seguridad Informtica al Com it de Segur dad.
- Dictar Normas de Seguridad Informtica.
- Definir los Procedim ientos de Control.
- Control del E ntorno de Desarrollo.
- Control de Soportes Magnticos segn la Clasificacin de la Informacin.
Control de Soportes Fsicos (listados, etc.).
- Control de Informacin Com prometida o Sensible.
- Control de M icromformtica y Usuarios.
- Control de Calidad de Software.
- Control de Calidad del Servicio Informtico.
- Control de Costes.
- Responsable del Departamento (gestin d e recursos humanas y tcnicos).
Control de Licencias y Relaciones Contractuales con terceros.
- Control y Manejo de Claves de cifrado.
- Relaciones externas con entidades relacionadas con la Segundad de la
Informacin.
- Definicin de Requerim ientos de Seguridad en Proy ectos Nuevos.
- Vigilancia del Cum plimiento d e las Normas y Controles.
- Control de Cambios y Versiones.
Control de Paso de Aplicaciones a Explotacin.
- Control de Medidas de Segundad Fsica o corporativa en la Inarmtica.
- Responsable de D atos Personales (LOPD y Cdigo Penal).
- O tros controles que te le designen.
- O tras funciones que se le designen.

Todas estas funciones son un poco ambiciosas para d esan c larla s desde el
instante inicial de la implantacin d e esta figura, pero no debemos perder el objetivo
de que el control informtico es el componente de la actuacin segura" entre los
wuiros, la nfonntica y control interno, todos ellos auditado? por auditora
nformtica-
 www.FreeLibros.me
70 AUIim Ul>IK IUTIC*:W tW O0ltW (TK O

Para o b ren e l entramado de contramcdida* o contrito, compuesto pe la

factores que veamos en la figura 3.1. deberemos ir abortando proyecto usafe
distintas metodologas, u l como se observa en la figura 3 .1 2 .que irn confomuedoj
mejorando el nm ero de controles.

Figura 3.12. Obtencin de tos controle

Este plan de proyectos lo llamaremos "Plan de Segundad Informtica". Dos de

estos proyectos de vital importancia son la X lasificacin de la Informacin" y los
"Procedimientos de Control- . F.l punto B) de la figura corresponde al prim ero y el Cl
al segundo, y sus metodologas se ven a continuacin.

3.5.2. Metodologas de clasificacin de la informacin y de

obtencin de los procedimientos de control

Clasificacin d r la inform acin

N o es frecuente encontrar metodologas d e o t e tipo, pero U metodologa PRIMA

tiene do* mdulos que desarrollan estos dos aspecto y que vemes a continuacin.

Contemplando la figura 3.12 podran* preguntam os si e s suficiente con un

anlisis de riesgos para obtener un plan de contramedidas q te nos llevar a una
situacin de control com o se desea, I-a respuesta e s no. dado qe todas las entidades
de informacin u proteger no tienen el mismo grado de importancia, y cl anlisis de
riesgos metodolgicamente n o permite aplicar una difercnciacrfn de contramedidas
segn e l activo o recurvo que protege, sino por la probabilidad del riesgo analizado.
 www.FreeLibros.me
CaHTU-O MhTOOOUXiKS t fONTItOt IXTIVO. St-CIHIPAP Y AlfHTrWlA TI

Tiene que ver otro concepto, como el que se baraja en la cb silicaci n de la

informacin Esto e s "SI IDENTIFICAMOS DISTINTOS NIVELES DE
CON!R AMKDIDAS PARA DISTINTAS ENTIDADES DE INFORMACIN CON
DISTINTO NIVEL DF. CRIT1CIDAD. ESTAREMOS OPTIMIZANDO LA
EFICIENCIA DE LA S CONTRA MEDIDAS Y REDUCIENDO LOS C O STO S DE
LAS MISMAS".

Por ejemplo, si en vez de cifrar la red d e comunicaciones por igual tomo* capaces
de diferenciar por qu linea* va U informacin que clasificam os com o Restringida a
lo propietario* de la misma. podremos cifrar solamente estas lneas pora protegerla
un necesidad d e hacerlo para todas, y de esa manera dism inuiremos el costo de b
ccotramcdida "cifrado".

Tradicionalmcnte el concepto de informacin clasificada se aplic a lo

documentos de papel, aunque los criterios y jerarquas nunca han sido m is de dos
ttecwto 'f aV C o r la tecnologa de U informacin, el concepto ha cambiado, e
incluso se ha perdido el control en entornos sensibles. Nace pues el concepto de
ENTIDAD DE INFORMACIN como el objetivo a proteger en el entorno
informtico. y que la clasificacin de b informacin nos ayudar a proteger
especializando las contramedidas segn el nivel de confidencialidad o importancia que
tengan

Esta metodologa es del tipo cualitativo/subjetivo, y como el resto de la

metodologa PRIM A tiene listas de ayuda con el concepto abierto, esto es. que el
profesional puede afYadir en b herramienta niveles o jerarquas, colindares y objetivos
a cumplir por nivel, y ayudas de contramedidas.

Ejemplos de Entidades de Informacin son: una pantalla, un listado, un arefuvo

de datos, un archivo en un "strcamer". una microficha d e saldos, los sueldos de los
directivo*, los datos de tipo "salud" en un archivo de personal, una transacin. un JO ..
un editor, etc.

O sea los factores a considerar son los requerimientos legislativos, la sensibilidad

a la divulgacin (confidencialidad). a la modificacin (integridad), y a b destruccin.

Las jerarquas suelen ser cuatro, y segn se trate d e ptica de preservacin o de

proteccin, los cuatro grupos seran: Vital-Crtica-Valuada-No sensible o bien
Altamente conlidencial-Confidcncial-Rcstringida-No sensible.

PRIMA, aunque permite definida a voluntad, bsicamente define:

* Estratgica (informacin muy restringida, muy confidencial, vital para la

subsistencia de la empresa).

Restringida (a los propietarios d e la informacin).

 www.FreeLibros.me

De uvo interno (a todo* los empicados).

De uso general (sin restriccin.

Los pasos de la metodologa to a los siguientes:

1. IDENTIFICACIN DF. I.A INFORMACIN.

2. INVENTARIO DE ENTIDADES DE INFORMACIN RESIDENTES Y

OPERATIVAS. Inventario d e programas, archivos de datos, estructura de
datos. topones de informacin, etc.

3. IDENTIFICACIN DE PROPIETARIOS. Son k que necesitan para w

trabajo. usan o custodian la informacin.

4. DEFINICIN DE JERARQUAS DE INFORMACIN. Suelen ver cuatm

porque e s difcil distinguir entre m is niveles.

5. DEFINICIN DF. LA M ATRIZ DE CLASIFICACIN. Fisto consitte

definir las polticas, cstindares objetivos de control y contra medidas por upo
y jerarquas de informacin.

6 CONFECCIN DE LA M ATRIZ DF. CLASIFICACIN. En la figura 3.IJ

te observa un ejemplo de m atnz de clasificacin e n la que se relaciona cali
entidad de informacin con ta i elementos que se correlacionan, como w i
transaccin, archivos, soportes, propietarios, y jerarqua. En esta fase *
cumplimenta toda la matriz, asignindole a cada entidad un nivel de jerarqc
lo que la asocia a una serie de hitos a cumplir segn el punto anterior, pan
cuyo cumplimiento deberemos desarrollar acciones concretas en el pumo
siguiente.

7. REALIZACIN DEL PLAN DE ACCIONES. Se confecciona el pa

detallado de acciones. Por ejemplo, se reforma una aplicacin de nmina
para que un empleado utilice el programa d e subidas de salario y su supcrviwr
lo apruebe.

8. IMPLANTACIN Y MANTENIMIENTO. Se implanta el plan de acciones j

se mantiene actualizado.

Y as se completa esta metodologa.

 www.FreeLibros.me
mw CAWIVL03 METIXXXOOKNWO>NTRtX-IVN<) SfcGCIDAPY AUPfTOHU-.

Obtencin de los procedim ientos de co n tro l

Otra metodologa necesaria p o n la obtencin de kw controle* expresados en la

figura 3.1, es "la Obtencin Je los Procedim ientos de Control". Es frecuente
eaconirar manuales de procedimientos en todas las reas d e la empresa que explican
Ib funciones y cmo se realizan las distintas tareas diariamente, siendo stos
aeceunos para que los auditores realicen sus revisiones operativas, evaluando si los
procedimientos son correctos y estn aprobados y sobre todo (i se cumplen

Pero podramos preguntamos si desde el punto de v isu de control informtico es

suficiente y cmo se podran mejorar.

La respuesta nos la da la metodologa que se expone a continuacin, que nos dar

otro plan de acciones que tal com o trata de expresar la figura 3.12. contribuir
wmJedose a los distintos proyectos d e un plan d e seguridad para mejorar el
cainmado de contramedidas.

Metodologa

Fase /. Definicin J e Objetivos de Control.

Se compone de tres larcas

Tarta I. A nlisis de la empresa. Se estudian los procesos, organigramas y

funciones.
 www.FreeLibros.me
71 iM'IXTOKlA INKttMATK'A I N I,\H1QII. HtCfKX)

Tarea 2. Recopilacin de exlindares. Se estudian tixlas las fuentes de

informacin necesarias para conseguir definir en la siguiente fase ka
o b j iv de control a cum plir (por ejemplo. ISO. ITSEC. CISA. etc.).

Tarea.3. Definicin de los Objetivos d e Control.

Fase II. Definicin de los Controles.

Tarea I. Definicin de los Controles. Con los objetivos de control definido,

analizamos los procesos y vamos definiendo los distintos controle qoe
se necesiten.

Tarca 2. Definicin de Necesidades Tecnolgicas hardware y herramientas de

control).

Tarca 3. Definicin de los Procedim ientos de Control. Se desarrollan ku

distintos procedim ientos que se generan en las reas usuaria,
informtica, control informtico y control n o informtico.

Tarca 4. Definicin d e las necesidades d e recursos humanos.

Fase III. Implantacin de lo s controles.

Una vez definidos los controles, las herramientas d e control y los recurra
humanos necesarios, no resta m is que implantarlos e n form a de acciones especficas.

Terminado el proceso de implantacin de acciones habr que documentar kn

procedim ientos nuevos y revisar los afectados de cambio. Los procedimiento
resultantes sern:

- Procedim ientos propios de control de la actividad informtica (control interra

informtico).
- Procedim ientos de distintas reas usuarias d e la informtica, mejorados.
- Procedim ientos de reas informticas, mejorados.
- Procedim ientos de control dual entre control interno informtica y el rea
informtica, los usuarios informticos, y el rea de control no informtico.
 www.FreeLibros.me
a m u u i i Mnotxmxitvs i>i ( osinfK isim vo su.i muso y m'ditiihIa n

3.5.3. Las herramientas de control

Ya hemos hablado de (oda* las capas de la figura 3.1. excepto d:l ltimo subs-
(rato de U pirm ide, esto es. las herramientas d e control. En la tecnologa d e la seguri
dad informtica que se ve envuelta en los controles, existe tecnologa hardware (como
los cifradores) y software. Las herramientas d e control son elemento* software que
por sus caractersticas funcionales permiten vertebrar un control de una manera ms
actual y ms automatizada. Pero no olvdenlos que la herram ienta en < misma no es
tuda. Ya hemos visto en el punto anterior que el control se define en todo un proceso
metodolgico, y en un punto del mismo se analiza si existe una herramienta que
automatice o mejore el control para ms tarde definir todo el control con la
herramienta incluida, y al final documentar los procedim ientos de las distintas reas
involucradas para que stas: los cumplan y sean auditados. O sea. comprar una
herramienta sin ms y ver qu podemos hacer con ella es. un error profesional grave,
que no conduce a nada, comparable a trabajar sin mtodo c improvisando en cualquier
disciplina informtica.

Las herramientas de control (software) ms comunes son:

- Seguridad lgica del sistema.

- Seguridad lgica complem entaria al sistema (desarrollado a metida).
- Seguridad lgica para entornos distribuidos.
- Control de acceso fsico. Control de presencia.
- Control de copias.
- Gestin de sopones magnticos.
- Gestin y control d e impresin y envo de listados por red.
- Control d e proyectos.
- Control de versiones.
- Control y gestin de incidencias.
- Control de cambios.
- Etc.

Todas estas herramientas estn inmersas en controles nacidos de unos objetivos

de luviliul y que icyuU iii la sluotin J e la distinta reo* nvclucrada. Pbr
ejemplo, si el objetivo de control es "separacin de entornos cntte desarrollo y
produccin", habr un procedimiento en desarrollo de paso de aplicaciones a
explotacin" y otro en explotacin de paso a explotacin de plicacionc* de
desarrollo". Soportado todo por una herramienta de control de acceso lgico que en
un proceso de clasificacin ha definido distintos perfiles e n desarrollo > explotacin, y
tras implantarlo en la herramienta, im pide acceder a uno y a otros al e n o ro o que no es
el suyo. Por tanto, para pasar una aplicacin de uno a otro cuando est terminada, se
aecesita un procedimiento en el que intervengan las d o s reas y un control informtico
que acula de llave. Esto que parece dificultoso, no lo es en la prciica.
 www.FreeLibros.me
AttXtO&lA IMOHVIATICA. tN bXKXXJE PRACTICO

Slo a modo de ejemplo pongamos k tt objetivos de control en el acceso lgico il

igual que deberam os ir haciendo en cada una d e las herramientas d e control anta
enumeradas.

O b je t o s de control de acceso lgico

Segregacin de funciones entre los usuarios del sistema: productores de

software, jefes de proyecto (si existe un proceso metodolgico asi), tcnico*
de sistemas, operadores de explotacin, operadores de telecomunicaciones,
gm pos de usuarios de aplicaciones (con perfiles definidos por la Clasificadla
de la informacin), administrador de la seguridad lgica (en control dual al sa
de alto riesgo), auditora, y tantos como se designen.

Integridad de los "log" c imposibilidad de desactivarlos por ningn perfil pun

poder revisarlos. Fcilmente legibles c interpretables por control informtico.

Gestin centralizada de la seguridad o al menos nica (por control infor

mtico).

Contrasefta tnica (a ser posible) para los distintos Sistemas de la red. Y b

autentificacin de entrad* una sola vez. Y una vez dentro, controlar lo
derechos de uso.

lu contrasea y archivos con perfiles y derechos inaccesibles a todos, incluso

a los administradores de seguridad

El sistema debe rechazar a los usuarios que no usan la clave o los derechos de
uso correctamente, inhabilitando y avisando a control, que tomara las medidas
oportunas.

Separacin de entornos. Significa que los distintos usuarios pueden hacer

solamente lo qu y cmo se ha autorizado que hagan para su funcin. Habr
tantos entornos como se precisen y el control tendr que estar en situacio
normal como en emergencia y no entorpecer la operatoria.

El log. o los log'*, de actividad no podrn desactivarse a voluntad, y si se dud

de su integridad o carencia, resolver con un terminal externo controlado.

El sistema debe obligar al usuario a cambiar la con ir aserta, de forma que slo
la conozca l. que es la nica garanta de autenticidad de sus actos.
 www.FreeLibros.me
CAPtTULO y MtTOOOUWM DECOSTKOCI upricmU r>

Es frecuente encontrar mecanismos d e o u to logout. que expulsan del Mema a

la term inal que permanece inactiva ms de un tiem po determinado, que son
ayudas adicionales a la segundad.

Muchos de estos objetivos se pueden sacar de los propios estndares (ISO. Libro
Naranja. ITSEC. etc.).

Este ejemplo nos puede servir para introducir otra metodologa del compendio
PRIMA, utilizada p a n la implantacin del control sobre los "Entornos distribuidos'',
verdadero reto de nuestros das.

Todo estaba controlado en los grandes sistemas en su nivel C2/E2 (no es mucho,
pero suficiente para el nivel comercial, segn los fabricantes). Y llega la proliferacin
de los entornos distribuidos... el caos. Est controlada la seguridad lgica en la
actualidad? Cada responsable de seguridad debe planterselo! Se cum ple el marco
jurdico sin seguridad lgica?

Se podra implantar el control de acceso lgico, sistema a sistema con los propios
software de seguridad de cada uno de ellos, con un enorme esfuerzo de recursos
humano* y complicada operativa. Podemos resolver mejor el problema adquiriendo c
instalando un softw are de control d e entornos distribuidos. Pero qu hacer... cmo
ibordar el problem a? Ver mucho* productos y escoger uno? Ser lo mejor para el
fatsro? Cmo k> estn haciendo los dems?

La forma m is apropiada de resolver este problema, hasta donde se pueda, es

utilizar un mtodo prctico que paso a desarrollar.

ANLISIS DE PL A T A FO R M A S. Se trata de inventariar las mltiples

plataformas actuales y futuras (M V S. UNIX. A IX3.2.5.. TANDEN GUARDIAN D30.
etc. que m is tarde nos servirn para saber qu productos del mercado nos pueden ser
vibdo*. tanto los productos actuales como los futuros planes que tengan los
fabricantes.

C A T LOG O DK R E Q U E R IM IE N T O S PR E V IO S DF. IM PLA N TA C I N .

Desde el primer momento nace esta herramienta (control del proyecto), que inventara
lo que no se va a conseguir (limitaciones), as com o lo necesario para la implantacin,
inventariado como acciones y proyecto*, calendarizados. y su duracin para su
seguimiento y desarrollo.

A NLISIS D E A PL IC A C IO N E S . Se traa de inventariar las necesidades de

desarrollar INTERFACES con los distintos software d e seguridad de las aplicaciones
y base* de dalos. Estos desarrollo* deberan entrar en el catlogo de R.P.I. como
proyectos a desarrollar. Por ejemplo: DB2. O racle 7.1.6. SAP R/3.2.2, Clicckpoint
 www.FreeLibros.me

Firew all-I. OFFICE 2.6. o la propia d e Recursos Humanos, ele. Es importante b

conexin a Recursos Humanos para que se delecten automticamente la* afteraciooM
en los empleados (alias, bajas, cambios). Tambin en este pumo conviene ver si d
productiVmscrfaces sopona el tiem po real, o el proceso batch. o su* posibilidades de
registros de actividad.

IN V E N T A R IO D E FU N CIO N A LID A D ES Y P R O PIE T A R IO S . En este

punto trataremos todo cl esquema d e funcionalidades de la seguridad lgica actual. Es
el momento de crear unas jerarquas d e estndares a cumplir (clasificacin de U
informacin) y tratar d e definir en ese momento los controles que se deberan tener, ya
sea de usuario* de las aplicaciones com o d e los usuarios d e los uitem a* y el uso de Us
herramientas.

Este punto es importante para ver xi con cl nuevo esquema de control al q<x
vamos perdemos objetivos de control o nos salen acciones nuevas para cl catlogo de
R .P .I.S .

Es importante inventariar tambin en este punto la situacin de la adm inistradla

de la seguridad lgica en los distintos entornos y las caractersticas d e las contrasellan,
i como la operativa tanto de los usuarios de los distintos sistemas como de las
distintas administraciones de seguridad y cl control de log o reporting.

T odo este inventario nos servir para haccr un anlisis de mejora* y prdidas o
lim itaciones en los nuevos escenarios con lo* software d e control de los entornos
distribuido*, segn convenga para elegir el mejor en costo/beneficio.

A D M IN IST R A C I N D E LA SE G U R ID A D . Se analizarn, d e las distintas

opciones del mercado, la* caractersticas de cada producto.

Figura 3. 4. Herramientas d e control d e los entornos distribuidos

 www.FreeLibros.me
CAPtrn.o y m ktoooiogIas d e covtku. ly rm so . sFjGtmiDADv a I tx to k u r

No olvidemos que se tra u d e conseguir que el escenario de los entornos

dsaibutdos se pueda controlar como si d e un computador con un s>lo control de
acceso (vase la figura 3.14) *e tratara. E incluso mejorando el nivel ce control si se
puede. Esto har necesario un conjunto d e softw are a instalar en cala plataforma,
mudo a una serie de interfaces en las plataformas que lo necesiten y que a los
rtelos nos har observar la seguridad lgica total como un todo.

En este punto nos interesa ver las siguientes funcionalidad i objetivos de

centro! requeridos al nuevo sistema de control de acceso:

- Permite el producto establecer un conjunto de reglas de control aplicables a

todos los recursos del sistema?
- Permite el producto al administrador de seguridad establecer un perfil de
privilegios de acceso piara un usuario o un grupo d e usuarios?
- Permite el producto al administrador de seguridad asignar diferentes
administradores?
- Permite el producto al administrador de seguridad asignar a estos
administradores la posibilidad de gestionar privilegios de acceso para grupos y
recursos definidos (por ejemplo, sistemas y aplicaciones)?
- Permite a un administrador pedir acceso para el mismo, tanto como para
cualquier usuario de su rea de responsabilidad?
- Impide el producto que un administrador se provea l mismo de sus propias
peticiones?

Hay que recapitular todos los objetivos d e control que se estn Jemandando al
conjunto de entornos, en lo referente a la administracin d e la seguridid. y saber con
precisin cul de las soluciones a analizar cumple mejor los requerimientos.

Es importante pensar en la conexin automtica con la informacin del estado de

los recursos humanos que componen el conjunto de usuarios >ara formatear
^compatibilidades por segregacin de funciones marcadas por la clarificacin de la
informacin y por tener actualizadas las bajas/altas y perodos d e ausencia del parque
de usuarios.

Son muchos otros los aspectos que deben exigirse, como son que se pueda
soportar ms de un perfil en un usuario, o que se puedan definir perfiles d e todo un
departamento o puesto de trabajo, asignaciones temporales de los Aackup d e cada
empleado para perodos de ausencia del titular, que el perfil d e un ingeniero no pueda
acceder a una aplicacin crtica, que se sincronicen passv-nrd en todos los entornos,
etc. En resumen, tantos cuantos objetivos de control se le exijan.

SIN G LE SIG N O N . Este concepto podemos definirlo como: "Cue e s necesario

solamente un past*x>rtl y un User ID. para un usuario, para acctder y usar su
 www.FreeLibros.me
10 AUDITORIA IMOKMAUCA UNfcSHOqUE PRACTICO____________________________ c u

informacin y mis recursos, de lodos los sistemas com o si <Jc un solo enlomo k
iraiara". Evidentemente a este concepto habra que aadir todos los conceptos w
vinos en un control de acceso lgico (time-oul. salvapanialU t. log. d e .).

Adems podramos enumerar algunos de Ion requerimientos que se le pMkn a a

plataforma dentro de este apartado:

- Sobre qu sopona el producto el single Mg-on. W indows 3.1. W indows NT.

W indows 2000. Unix workstalion. terminal 3270. un usuario reino<o entranfe
a travs de un servidor de acceso remoto?
- El producto faculta al usuario de un recurso a acceder va single sif-ct
mientras otros usuarios acceden al mismo recurso directamente?
- El producto cncripta las transacciones del single sig-on entre la ti-or/utatitoj
el servidor de seguridad?

FA C IL ID A D D E USO Y R E P O R T IN G . En este punto se valora la "interfaz*

usuario" y la calidad de la misma (si tiene interfaz, grfica, si tiene help mcniis. u m
para el usuario como para el administrador, si tiene mensajes de error, si easeA d
perfil de un determinado usuario al administrador, mensajes en las modificackna
com o are you sure?~, mensajes a travs de las aplicaciones, etc.).

A sim ismo se evala el nivel d e reponing para k administradores y auditara

As como:

- El producto ofrece un repon de todas las plataformas y aplicaciones a la* qu

los usuarios tienen acceso, as como un repon de todos los usuarios que tiene
acceso a una plataforma o aplicacin?
- U n repon de todas las demandas que un administrador ha hecho, o en ua
focha diada, o durante un perodo d e tiempo, o a un centro de costo, o de toda
las inactividades, o de todos los usuarios activos y privilegios de acceso de u
centro de costo, o d e demandas pendientes en orden d e antigedad de U
demanda, o un repon d e actividad, de las aplicaciones y sistemas (pa
ejemplo, el nmero de demandas aceptadas, pendientes y rechazadas por cadi
sisM ni)?
- Un log de violaciones?

En cualquier caso todo registro debe tener garantizada su integridad incluso p>n
los administradores, no pudiendo desactivarse a voluntad, dado que quien quiera haca
algo no permitido", lo primero que har es asegurarse de que no quede constancia dd
hecho.

SEG U R ID A D E S . En este punto se trata d e ver aspectos de seguridad clsico

del propio producto, como que el administrador no vea las passM-ord de los usuariok
una longitud de p a ss* v rd mnima, que el producto requiera un ID y p a ssn vrd de
 www.FreeLibros.me
I1.M. CAPtn'LO V METOOOtX)GlA.S Of. CONUtOL IXTUtXO. StCt'RtDAD Y AClXTOXlA-. 1

tag jo d mnima para d acceso ni propio producto, el administrador pueda paralizar a

en uwurio determinado, dual control en I* funciones de riesgo (esto es. con un user
ID es necesario una f i n t pasiv-ord > una second passw ord com o acceso dual de dos
adninistradores fsicos), cifrado de p a u w o rd . privacidad en la propagacin de
fcu n ord en todo momento, acceso a lo* auditores para poder ver la ID databa.se. un
registro de rechazos e intentos infructuosos, la posibilidad d e recovery y backup
incrementa]) de todo el sistem a d e segundad, la posibilidad del mirroring de la
dMibase de seguridad para los plae* de contingencias de conmutacin en tiempo cero
ai centro alternativo, etc.

Tambin facilidades especiales tales com o que %c pueda restringir el acceso a un

curso local a un usuario.

Hemos de hacer notar que las limitaciones que vayamos encontrando para lodo*
tos producto*, tendremos que resolverlas con exclusiones o procedim ientos que
estarn en el catlogo de R .P .I.'s, verdadero artfice d e la metodologa que nos
eNigar a resolver la* acciones antes de implantar el producto, y que ser un control
del proyecto durante su desarrollo.

A D QU ISICI N, IN ST A LA C I N E IM PL A N T A C I N . FO R M A C I N .
MANUALES DE PR O C E D IM IE N T O S D E C O N T R O L . T ras los pasos anteriores.
DO queda ms que comprar el producto e instalarlo, as c o n implantar el nuevo
esquema de seguridad lgica. Y tras eslo. dar la form acin apropiada a los implicados
jr desarrollar los procedim ientos d e control, que generarn procedimientos operativos
p n Ion usuarios de aplicaciones, los usuarios informativos, y lo* administradores de
seguridad lgica.

Todo este com plejo proceso e s vital hacerlo de modo ordenado y usando un
mtodo que permita en lodo momento saber qu se quiere y qu se "puede
conseguir con los producto* existentes de control de enlomo*, tratando de suplir con
procedimientos de control los huecos que no podamos cubrir con tecnologa. Aun as.
el reto que tenemos por delante e s importante, porque las soluciones que ofrecen los
(abocantes van muy detrs frente a la proliferacin de entornos y aplicaciones nuevos.
y M o una uclitud rcr.poivuible do cMandxriziurin r n u n solucione* propietarias de
segaidad. har que lo* fabricantes d e soluciones para entornos distribuido* tengan
producios de seguridad cada vez mejores, y que en vez de "adaptar el nivel de
seguridad lgica a los productos, sean los productos los que resuelvan las situaciones
suevas de seguridad lgica .
 www.FreeLibros.me
C AUDITORA INFORMATICA tN liMOqt'fc PRACTICO

3.6. CONCLUSION ES

Son mucha* pues la metodologas que se pueden encontrar en el mundo de li

auditora informtica y control interno. Muchas hemos visto en este captulo. Pao
como resumen se podra decir que la metodologa es el fruto del nivel profesional *
cada uno y de su visin de cmo conseguir un mejor resultado en el nivel de co ic
de cada entidad, aunque el nivel de control resultante debe ser similar.

Pero en realidad todas ellas son herramientas de trabajo mejores o peores q x

ayudan a conseguir mejores resultados. Slo resta anim ar a los profesionales que lea
este libro a trabajar con las nicas herramientas verdaderas de la auditora y el coced
"LA ACTITUD y LA APTITUD", con una actitud vigilante y una formaci
continuada.

3.7. EJEM PLO DE M ETO D O LO G A DE AUDITORA DE UNA

APLICACIN

Metodologa de trabajo

Revisin de controles so b re aplicaciones

Objetivo

Determinar que los sistemas producen informaciones exactas y completas ea d

momento oportuno. Esta rea es tal se* la ms importante e n el trabajo de auditora
informativas.

Programa de la revisin

1. Identificar el rea a revisar (por ejemplo, a partir del calendario de revisiones

notificar al responsable del rea y prepararse utilizando papeles d e traba/ de
auditoras anteriores.

2. Identificar las informaciones necesarias para la auditora y para las pruebas.

3. Obtener informaciones generales sobre el sistema. En esta etapa, se defina

los objetivos y el alcance de la auditora, y se identifican los uuurios
especficos que estaran afectados por la auditora (plan de entrevistas).
 www.FreeLibros.me
CArtTtl-O y MhTOOOI.OGlAS DF.CVXST RQ1 lNT1J(NO. SfltitmftAD V M.CHTOfclA. 8)

4. Obtener un conocimiento detallado de la aplicacin/sistema. Se p isan las

entrevistas con los usuarios y el personal im plicado en el sistema a revisar, se
examina la documentacin de usuarios, de desarrollo y de operacin, y se
identifican los aspectos m is importantes del sistema (entrada, tratamiento,
o lida de datos, etc.), la periodicidad d e procesos, las prognm as fuentes,
caractersticas y estructuras d e archivos de datos, as como pistas de auditoria.

J. Identificar los puntos de control crticos en el sistema. Utilizando

organigramas de (lujos de informaciones, identificar los puntos de control
crticos en entrevistas con los usuarios con el apoyo de la documentacin
sobre el sistema. El auditor tiene que identificar los peligros y los riesgos que
podran surgir en cada punto. Los puntos d e control crticos son aquellos
donde el riesgo e s ms grave, e s decir, donde la necesidad d e un control es
m is importante. A menudo, son necesarios controles en los p u o s de interfaz
entre procedim ientos manuales y automticos.

6. Diseo y elaboracin de los procedimientos de la auditora.

7. Ejecucin de pruebas en los puntos crticos de control. Se polra incluir la

determinacin de las necesidades de herram ientas informativas de ayuda a la
auditora no informtica. Se revisa el cumplimiento de los procedimientos
para verificar el cumplimiento de los estndares y los procedimientos
formales, as com o los procesos descritos por los organigramas Je flujos. As
se verifican los controles internos del cumplimiento de a) plavcs. polticas,
procedimientos, estndares, b) del trabajo de la organizacii. c ) requeri
mientos legales, d) principios generales de contabilidad y e) prcticas
generales de informtica.

Se hacen revisiones substantivas y pruebas, com o resultado de a revisin del

cumplimiento de procedimientos. Si las conclusiones d e li revisin de
cumplimentacin fuesen generalmente positivas, se podran lim itar las
revisiones substantivas. Dentro de este punto del programa Je la revisin
podramos analizar si existen los siguientes controles:

Cmiroles de preparacin de datos

Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y

iprobir los datos de entrada en la forma de un manual d e usuario. Verificar que los
unanos entienden y siguen estos procedim ientos.

Revisar que se d la formacin del "uso del term inal" necesaria a kx usuarios.

Revisar los documentos fuente u otros documentos p ira determinar si son

Tambin revisar cdigos de identificacin de transare ones y otros
 www.FreeLibros.me
M AUOITOttUlNHMtMATK^tNKKWqtieWtCTICO

campos de uso frecuentes para determinar si son codificados previamente p a

minimizar errores en los procesos d e preparacin, entrada y conversin d e datos.

Cuando sea necesario, verificar que todos los datos de entrada en un visten
pasan por validacin y registro ante de su tratamiento.

Determinar si lo* usuarios preparan totales de control de los datos d e entrada pa

terminales. Comprobar la existencia de una reconciliacin de los totales de entnA
I con totales de salida.

Com probar la existencia y seguimiento de calendarios d e entrada d e datos y

distribucin de informes (listados).

Determinar si el archivo y retencin de documentos fuente y otros formularios dt

entrada es lgica y accesible, y cum ple las normas y requerimientos legales.

Revisar los procedimientos de correccin de errores.

Comprobar la existencia de perodos de retencin para documentos fuente j

sopones magnticos.

Controles J e entrada d e datos

Establecer los procedimientos de entrada y control de datos que explican la

revisiones necesarias de entradas y salidas, con fecha lmite, criterios de validacin
datos de entrada: cdigos, mensajes y deteccin d e errores; la correccin de errores)
la reentrada de datos.

Para sistemas interactivos, verificar el uso de mtodos preventivos para evitar h

entrada incorrecta de datos funciones de ayuda a la pantalla, formatos fijos, el uso de
meniis y mensajes para el operador.

Para sistemas interactivos, determinar la grabacin de datos de entrada con fedi

y hora actual, a s com o con una identificacin del usuario/terminal y ubicacin.

Revisar logs de acceso por lneas de telecomunicaciones pora determior

posibles accesos y entradas no autorizados.

Revisar los programas para determinar si contienen procesos internos dr

validacin de dalos (por ejemplo, chequeos de dgitos, test razonables, totales 4c
batch. nmero de cuentas, etc.). Evaluar su exactitud.
 www.FreeLibros.me
C A rtn to ,v M noootoclA S de co.vtk<x. Lvim so. sio i'w o a u v a lu x to ria %>

Comparar, validar, apuntar y rccatcular cam pos o elementos de d ito s crtico* por
nttodos manuales o automticos.

Para sistemas interactivos determinar que los dalos se verifican en el momento de

w entrada en el sistema.

Comprobar que los usuarios revisan regularmente lis tablas internas del sistema
pa validar sus contenidos.

Revisar funciones matemticas que redondean clculos para ser si tienen

aplicaciones negativas.

Determinar que existen pistas de auditora adecuadas en el diccionario de datos.

Unwjfkar la interTclacin entre los programas y los datos para dejar la posibilidad de
Kguir la pioa de datos dentro de programas y sistemas en los errores.

Revivar los procedimientos de correccin de errores.

Identificar con los usuarios cualquier cdigo de errores crticos que deberan
parecer en momentos especficos pero que nunca surgen. Se han desactivado los
cdigos o mensajes de error?

Centrles de tratamiento y actualizacin de dalos

Ver si hay establecidos controles internos automatizados de proceso. Ules como

ratinas de validacin, en el momento de la actualizacin de lo* archivos de
transaccin, referencia y maestros.

Identificacin de transacciones por el uso d e nmeros de botch, cdigos de

transaccin y oros indicadores.

Revisin del log de transacciones para identificar problem as encontrado* por el

operador y las medidas seguida*.

Restriccin de la posibilidad de pasar por encim a de procesos de validacin.

Aceptacin por los usuarios finales d e todas las transacciones y clculo* de la

aplicacin.

Revisar los totales de control de entrada de dato*.

 www.FreeLibros.me
W> AUXTOlA INFORMTICA l'N f.NtOQl'E PRACTICO__________________________ Cl\

Verificar que exiu en to ta l d e control para confirmar la buena interfaz entre jeto
O programas.

Com probar que existen v alid aci n entre totales d e control, m a nual j
automtico, e n punios de ta interfaz entre procesos manuales y automatizados.

Verificar que lo* lo g 's de actividad de sistemas son revisados por la

responsables, para investigar accesos y manipulaciones n o autorizados.

Ver los controles sobre la entrada de datos.

Controles de salida de datoi

Determinar si los usuarios comparan te*ales de control de los datos de entrada cco
totales de control de dalos d e salida.

Determinar si el control de datos revisa los informes de salida (lisiados) pwi

delectar errores evidentes tales com o campos de datos que fallan, valores se
razonables o formatos incorrectos.

Verificar que se hace una identificacin adecuada sobre los informes, pee
ejemplo, nombre y nmero de informe, fecha de salida, nombre d e rea/departamento,
etc.

Com parar la lista de distribucin de informes con tos usuarios que los reciben et
realidad. Hay personas que reciben el informe y que no deberan recibirlo?

Verificar que los informes que pasan d e aplicabilidad se destruyen, y que no

pasan sim plemente a la basura, sin seguridad de destruccin.

Revisar la justificacin de informes, que existe una peticin escrita para cada un
y que se utilizan realmente, asf como que est autorizada la peticin.

Verificar la existencia de periodos de retencin de informes y su suficiencia.

Revisar los procedim ientos de correccin de los dalos de salida.

Controles de documentacin

Verificar que dentro de las actividades de desarrollo y mantenimiento de

aplicaciones se produce la documentacin de sistemas, programas, operaciones y
funciones, y procedim ientos d e usuario.
 www.FreeLibros.me
CAHniLO i METODOljOGlAS DE COVTHOL IVTTJtM)- StXVtKIPADY Al'DfTOBlA 7

Existencia de una persona especfica encargada d e la documentacin y que

mantiene un archivo de documento* ya distribuidos y a quines.

Comprobar que los jefes de rea se informen de fallas de documentacin

adecuada para sus empleados.

Destruccin de toda la documentacin de antiguos sistemas.

Que no se acepten nuevas aplicaciones por los usuarios sin una documentacin
completa.

Actualizacin de la documentacin al mismo tiempo que los cam bios y

modificaciones en los sistemas.

La existencia de documentacin de sistemas, d e programas, d e operacin y de

osario para cada aplicacin ya implantada.

Controles de baekup y rearranque

Existencia de procedimientos de baekup y rearranque documentados y

ceoprohados para cada aplicacin en uso actualmente. (N o confundir con el plan de
aaungenctav)

Procedimientos escritos para la transferencia de materiales y documentos de

bctup entre el C.P.D . principal y el sitio d e baekup (centro alternativo).
Mantenimiento de un inventario de estos materiales.

Existencia de un plan de contingencia.

Identificacin de aplicaciones y archivos d e datos critico para el plan de

coangencia.

Revisar los contratos del plan de contingencia y baekup pora determinar mi

adecoactn y actualizacin.

Pruebas de aplicaciones crticas en el entorno d e baekup. con los materiales del

pUn de contingencia (soportes magnticos, documentacin, personal, etc.).

Exterminacin de qu se revisa, si cada aplicacin d e un sistema es crtica y si

debera incluirse en el plan de contingencia.
 www.FreeLibros.me
M AUPfTORiA INFORMATICA un bxtoqw . PRACTICO

Grabacin de todas las transacciones ejecutadas por tcicproceso. cada da; pan
facilitar la reconstruccin de archivos actualizados durante el da en caso del fallo dd
sistema.

Existencia de procesos manuales pora sistemas crticos en el caso del fallo de-
contingencia.

Actualizacin del plan de contingencia cuando e s necesario: pruebas anuales.

Controles sobre program as d e auditoria

Distribucin de polticas y procedim ientos escritos a auditores y responsable! de

reas sobre la adquisicin, desarrollo y uso de softw are de auditoria.

Uso de softw are de auditora nicamente por personas autorizadas.

Participacin del auditor en la adquisicin, modificacin/adaptacin, instalaos

de paquetes de software de auditora.

Participacin del auditor en la planificacin, diseo, desarrollo e implantackb de

software de auditora desarrollado internamente.

Formacin apropiada para los auditores que manejan software de auditora.

Participacin del auditor en todas las modificaciones y adaptaciones del tofraat

de auditora, ya sea externo o de desarrollo propio. Actualizacin de k
documentacin d e software.

Verificacin de que lo s programas de utilidad se utilizan correctamente (cusid

no se puede utilizar el softw are de auditora).

Revisin de tablas de contraseas pora aurgurar que no se guinia

identificaciones y contraseas d e personas que han causado baja.

Controles de la satisfaccin de los usuarios

Disponibilidad de polticas y procedimientos sobre el acceso y uso de k

informacin.

Resultados fiables, completos, puntuales y exactos de las aplicaciones (imcgnAd

ddalos).
 www.FreeLibros.me
m i CAPtntO: .NOmXX)MXUSOf.C<y>TtOI. INTERNO. SEGURIDADY AUtMIOKU W

Utilidad de la informacin de salida de la aplicacin en la loma de decisin por

los Marios.

Comprensin por los usuarios de los informes e informaciones de salida de las

aplicaciones.

Satisfaccin de los usuarios con la informacin que produce la aplicacin.

Revisin de los controles de recepcin, archivo, proteccin y acceso de datos

guardados sobre lodo tipo de soporte.

Participacin activa de los usuarios en la elaboracin d e requerimientos de

sanos, especificaciones de diserto de programas y revisin de resultados de pruebas.

Controles por el usuario en la transferencia d e informaciones por intercambio de

documento.

Resolucin fcil de problemas, errores, irregularidades y omisiones por buenos

contactos entre usuarios y el personal del C.P.D.

Revisiones regulares de procesos que podran mejorarte por automatizacin de

aspectos particulares o reforramientos de procesos manuales

Evaluacin de la revisin y/o resultados d e pruebas. En esta etapa se identifican

y se evalan los puntos fuertes y dbiles de los procedim ientos y prcticas de control
interno en relacin con su adecuacin, eficiencia y efectividad. Cuando se identifique
uta debilidad, se determinar su causa.

Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser

wftciente. relevante, fiable, disponible, comprobable y til.

Preparacin del informe. Recomendaciones.

U fm e previo

Para mantener una relacin buena con el rea revisada, se emite un informe
previo de los puntos principales de la revisin. Esto da a los responsables del rea
revisada la posibilidad de contribuir a la elaboracin del informe final y permitir una
ttejor aceptacin por parte de ellos.
 www.FreeLibros.me
I AUDITORA INFORMATICA: t'N EXTOQCh *.'llCO

Informe fin a l de la revisin

Se emite el informe final despus de una reunin con los responsables del ira
implicados en la revisin. El contenido del informe debera describir lo puntos *
control interno de la manera siguiente:

- Opinin global (conclusin).

- Problcma(s) especifico^).
- Explicacin de la violacin de los controles internos, planes organizacionala
estndares y normas.
- Descripcin de los riesgos, exposicin o prdidas que resultaran de la:
violaciones.

Cuando sea posible, se identificar el impacto d e coda problema en trminxl

econmicos. Se da una solucin especfica y prctica para cada debilidad. Se
identificarn los personas que se responsabilizarn de cada aspecto de las soluciona
Las recomendaciones son razonables, verificables. interesantes econmicamente j
tienen en cuenta el tamao de la organizacin.

El informe debe tener un tono constructivo. Si e s apropiado se anotan los puaw

fuertes.

Para su distribucin, se preparar un resumen del informe.

Despus de la revisin del informe final con los responsables del rea revisada k
distribuir a las otras personas autorizadas.

El rea auditada tiene la posibilidad de aceptar o rechazar cada punto de co nu d

Todos los puntos rechazados se explicarn por escrito. El rea acepta los resges
im plcitos de la debilidad encontrada por el auditor.

Se hace un seguim iento de la implantacin de las recomendaciones p w

asegurarse de que el trabajo de revisin produce resultados concretos.
 www.FreeLibros.me
(A nnuo y MFtQOOUXilAS D t COVIKOL INTIW.NO. SfeCtllMDAO YAl/DTTOKfA. <1

3.8. LEC TUR A S RECOM ENDADAS

Jim A. Schweitzer. M anaging Inform ation Security (Administrative. Electronic,

and Legal Measures io Project Business Information). Buttcrvorths. ISBN
0-409-90195-4.
J. M. l-anvctc. La Seguridad Informtica (Metodologa). Ediciones Arcadia.
ISBN 84-86299-13-6.
J. M. Lamere. La securit des petits et moyens systmes informatiques. Dunod
informatique. ISBN 2-04-018721-9.
i. M. Lamere. Y. l-eroux, J. Orly. La securit des rescata (Methode* et techniques).
Dunod informatique. ISBN 2-01-018886-X.

3.9. CUESTION ES DE REPASO

1. Qu diferencias y sim ilitu d existen entre las metodologas cualitativas y

las cuantitativas? Qu ventajas y qu inconvenientes tienen?

2. Cules son los componentes de una contra medida o control ipirim ide de la
seguridad)? Qu papel desempean las herramientas de control? Cules
son las herramientas de control m is frecuentes?

3. Qu tipos de metodologas de Plan d e Contingencias existen? En qu se

diferencian? Qu e s un Plan de Contingencias?

4. Qu metodologas de auditora informtica existen? Pata qu se usa cada

una?

5. Qu es el nivel de exposicin y para qu sirve?

6. Qu diferencias existen entre las figuras de auditora infonrtica y control

interno informtico? Cules son las funciones ms im portan! de ste?

7. Cules son las dos metodologas ms importantes para control interno

informtico? Para qu sirve cada una?

8. Qu papel tienen las herramientas de control en los controles?

9. Cules son los objetivos de control en el acceso lgico?

10. Qu e s el Single Sign O n? Por qu es necesario un software especial para

el control de acceso en los entornos distribuidos?
 www.FreeLibros.me

CAPTULO 4

E L IN F O R M E DE A U D ITO RA

J o s <le la P ea S nc h ez

11. INTRODUCCIN
El tema de cmc captulo es el In fo rm e d e A u d ito ria In fo rm tic a, que a su vez
a ti objetivo de la Auditora Informtica

Para comprender sta, en (uncin del Informe que realiza un. digamos, experto o
pcrr.o -al que llamaremos Auditor Informtico-, conviene explicar sonoram ente el
otexto en el que se desenvuelve hoy su prctica.

La sociedad actual, est en fa.se tecnolgica; apenas guarda recucro prctico de

Menores etapas evolutivas (la artesanal, por ejemplo): ms an. las va olvidando a
atente velocidad, generacin tras generacin.

El dominio de la tecnologa como motor d e cam bio social acelerado y como

cauli/ador de cambios tecnolgicos que se superponen, se hace rabiosamente evidente
tn las llamadas Tecnologas d e Informacin y Com unicaciones d t uso en las
jc ac io n cs. (Tras el mainframe y los term inales tontos, surgieron los PC's y las
tefes, el EDI, los entornos distribuidos, las arquitecturas clientcAcrviJor. las redes
TCPilP -intranet*, extrais, redes privadas virtuales...-, los accesos remotos y
taviks mediante porttiles y telfonos mviles, y. finalmente -p o r ahora-, se nos
proponen term inales domsticos vinculados con el equipo de televisir y terminales
cwritontos de trabajo conectados a servidores dominantes descentralizados... Y todo
ua perodo no superior a treinta y cinco aos!)

Est claro: las tecnologas de la informacin, al tiempo que dominan de modo

iapirabtc las relaciones humanas (personales, familiares, mercantiles.
tctiMcionalcs...). tienen un ciclo de vida cada vez ms corto.
 www.FreeLibros.me 1

M AtTOTOWU INFORMTICA NrxroQUfcFKcnCO____________________________ m

Sea com o fuere, una <Je las consecuencia Je lo dicho consiste en la d if ia ilu li:
asim ilacin rpida y equilibrada en la empresa de lo enlomo tecnolgico y
organizacin (referido el primero a la Tecnologa. de Informacin y Comunicaciones
y el segundo a lo mercantil).

En este emido. el Auditor Informtico, en tanto que experto, k) tiene erais

(menos. sin embargo, que el Auditor de Cuenta), al tener que ene irx
profestonalm cntc y en e l paisaje que estoy presentando, plagado de necesidades di
reciclaje y formacin, el llamado "desfase e n tre las expectativa. d e los usuario;
los Inform es de a u d ito ra" . 1j cosa y a no son com o eran, y algo habr que haca
para encontrar un punto de equilibrio razonable entre el desfase mencionado y U
contabilidad de lo usuarios e n el Informe (y en el Auditor Informtico).

La complejidad de los sistemas de informacin crece con sus prestacin j

caractersticas (conectividad. portabilidad...); la necesidad de utilizarlos que tienen U
organizaciones -pblicas y privadas- en todos sus mbitos, alcanza hoy un valer
estratgico de competitividad y supervivencia... Podemos afirmar que nunca aata
hemos sido tan dependientes de los sistemas d e informacin. Y nunca antes herna
necesitado tanto a expertos eficientes (no infalibles) en Auditora Informtica.

Conviene mencionar, al respecto d e la prctica de la Auditora (Informtica),;

siempre en funcin del Informe de Auditora, la existencia del fraude y del error, sota
todo si son significativos, as como la valoracin de las garantas que aportan los
informe de los auditores informticos a los usuarios, incluyendo gobiernos y
organizaciones nacionales e internacionales.

La Informtica es muy joven; por tanto, la Auditora Informtica lo es ms ( a

Espaa, por cierto. Je modo superlativo). No est todo sin hacer, pero s queda
muchos cabos por alar, y en esto el tiempo no es neutral.

En este captulo (y en este contexto) vamos a tratar de fijar la prctica de la Aa-

ditora Informtica en funcin, com o queda dicho, del Informe. Paraello . repasaremos
someramente aspectos previos fundamentales, com o son las n o rm as, el concepto de
evidencia en auditora, las Irreg u larid a d es, los p a p d e s d e tr a b a jo o documentacka
para, finalmente, encarar el In fo rm e, sus componentes, caractersticas y tendencia
detectada.' Intentaremos, tam b an , ofrecer algunas conclusiones de inters, sin perder
de vista en todo caso que en el mundo auditor de hoy todo ejercicio de prediccin es.
en principio, una temeridad.
 www.FreeLibros.me
CAi-nvi o * u . lstor-vh; ce At o n o n u *s

42. LAS NORMAS

En 1996 la U nin Europea public el L ib ro V erde d e la A uditora, dedicado al

papel, la posicin y la responsabilidad del auditor legal. Su conlcrdo afecta a la
Aoliloria Informtica.

En principio, el Libro acepta las Norma* Internacionales IFA C p a n su adaptacin

adecuada a la Unin Europea: por tanto, se transmitirn a travs de las Directivas
correspondientes a Espaa pora que se transformen en legislacin positiva.

En lo referente al Tratam iento Automatizado de Datos de Carcter Personal

-incluso disponiendo de una I-ey orgnica-, el asunto se resolver por k mismos
ices, con la trasposicin de la actual Directiva de proteccin de datos personales y.
qaui. de otra, en forma de propuesta todava, relacionada con los servicios de
tecomonicacione* apoyados en tecnologa digital y especialmente Red Digital de
Servicios Integrados.

Otra fuente de Norm as Internacionales es ISACF. y a m is especfica de Auditora

Wermiiica. Nuestro pas est representado e n ISACA por la Organizacin de
Aaditora Informtica, en lento take off.

Hoy por hoy. la normativa espaola oficial que afecta, en mayor o nervor medida,
i b Auditora Informtica, es la siguiente:

ICAC: Norm as Tcnicas de Auditora: punto 2.4.10. Estudio y Evaluacin del

Sistema de Control Interno.

AGENCIA DE PROTECCIN DE DATOS: Instruccin relativa a la

prestacin de servicios sobre solvencia patrimonial y crditos. Norm a cuaita:
Forma de Comprobacin.

Del artculo 9 de la LORTAD se desprende el desarrollo reglamentario de medi

t e Meneas y organizativas alusivas a la seguridad en lo que concierne a integridad y
onMcnclalKlad de tos datos personales automatizados. Todava no ha do publicado
Od itghmento. pero sera de esperar que se incluyera en su texto a lg in a referencia
ttjecfica sobre Auditora Informtica.

Trabon conviene resear que dentro de la Unin Europea, la FEE tiene en

arcia el Proyecto EDIFICAS.EUROPE. dentro del UN/EDIFACT. en el que Espaa
1 representada por el IACJCE. que se estructura en cuatro grupos de trabajo:
Masajes, A uditora (G uias de Auditora de entornos d e EDI). Promocin y Asuntos
Enerles.
 www.FreeLibros.me 'I

S6 AUDITORIA INFORMTICA: CN FMPQCfc M U CO ____________________________ c u

La Auditora Informtica no est muy desarrollada y. por aadidura, se cncoetni

en un punto crucial para la definicin del modelo en que deber implantarse j
practicarse en la Unin Europea y, por tanto. Esparta, va directivas UE/Iegislaci
positiva y normas profesionales.

Maticemos este aspecto: hay dos tendencias legislativas y de prctica e

disciplinas: la anglosajona, basada en la Conunon I mw . con pocas leyes j
jurisprudencia relevante: y la latina, basada en el Derecho Romano, d e Icgislai
| muy detallada.

1.a tensin entre estos dos modelos, esto es. entre el intervencionismo m u
latino y el mnimo intervencionismo anglosajn, es ya insostenible. Uno de los da
deber prevalecer, si es que realm ente nos encaminamos a la sociedad global.

Justo es reconocer que los parmetros del cambio tecnolgico parecen hacer rct
prctico el modelo anglosajn: no en vano, en Estados Unidos, tanto la Auditoei
como la Informtica (y I Comunicaciones), tienen un desarrollo muy experimental)
y. sobre todo, a dapta tivo. l.os parmetros de velocidad y tiem po hacen aconsejable
un esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas de
origen profesional.

Si la globalizacin antes mencionada es un hecho incuestionable, el sabio uto de

los llamados principios generalmente aceptados har posible la adaptacin suficiente
a la realidad de cada poca.

En este sentido, no podemos olvidar que los organismos de armoni/jck*.

normalizacin, homologacin, acreditacin y certificacin tendrn que funcionar a a
ritm o ms acorde coa las necesidades cambiantes. El conjunto ISO-CEN-AF.NOR;
los vinculados con seguridad. ITSEC/1TSEM Europa. TCSEC USA y Contras
Criterio UE/N ortcamrica. necesitan ir ms rpido, ya que su lentitud cal
provocando, en un mundo tan acelerado, la aparicin d e multitud d e organizado!
privadas, consorcios y asociaciones que con muy buena voluntad y ptim o sentido de
la conveniencia enercantil. pretenden unificar normas y proinocionar estndares.

Por ltimo, conviene que se clarifique el panorama normativo, de prcticas;

responsabilidades en k> que concierne a los problem as planteados por los servia
profesionales m ultidiscip lin ares, >a que el Informe de Auditora Informtica k
compone de tres trminos: In fo rm tic a, A u d ito ra e Inform e.
 www.FreeLibros.me
A rtm p t fi. IXfORMt. LfcAlDnOUlA 11

4.3. LA EVIDENCIA

En c*lc epgrafe parece saludable revertir algunos a Minios previo*, referidos a la

redxcin del Informe. Irau d o s en otros captulo* de esta obra, puesto que el referido
(sfanne su consecuencia.

Por tanto, tratemos de recordar en q u i consiste la evidencia en Auditoria

hormtica. as como las pruebas que la avalan, sin olvidar la im portatela relativa y el
riesgo probable, inherente y de control.

La certeza absoluta no siempre existe, segn el punto de vista de los auditores; los
smrios piensan lo contrario. N o obstante lo dicho, el desarrollo del control interno,
incteso del especficamente informtico, est en efervescencia, gracias al em puje de
b Informes USA/Treadway (1987). UK/Cadbury (1992) y Francia/Yienot (1995). y
ca lugar destacado el USA/COSO (1992). traducido al espa/iol fo r Coopers &
Lybrand y el Instituto de Auditores Internos de Esparta.

Pero volvamos a la evidencia, porque ella es la base razonable d : la opinin del

Auditor Informtico. e o e s. el Informe de Auditoria Informtica.

La evidencia tiene una serie d e calificativos; a saber:

- La evidencia relevante, que tiene una relacin lgica con los objetivos de la
auditoria.

- La evidencia fiable, que es vlida y objetiva, aunque con nivel d e confianza.

- La evidencia suficiente, que e s de tipo cuantitativo para soportar la opinin

profesional del auditor.

- La evidencia ad ec u ad a , que es d e tipo cualitativo par afectar a las

conclusiones del auditor.

En principio, tu prueba:, mui de cum p lim ien to o RUstflniivw.

Aunque ya tratado en otro captulo, conviene recordar el escolla prctico de la

Importancia relativa o materialidad, as como el riesgo probable.

La opinin deber estar basada en evidencias justificativas, ex decir, desprovistas

de prejuicios, si es preciso con evidencia adicional.
 www.FreeLibros.me

4.4. LAS IRREGULARIDADES

Las irregularidades, o sea, los fraudes y li errores, cspcciilm cntc la existencia de

los primeros, preocupa u n to que aparece con nfasis en el y a ciudo Libro Verde de U
UE. Ij Direccin General XV (Comercio Interior) y el MARC (Maastricht) cvJb
claramente sensibilizados a] respecto.

Recordemos antes de proseguir, que en los organismos y U s empresas, la

Direccin tiene la responsabilidad principal y primaria de la deteccin de
irregularidades, fraudes y errores; la responsabilidad del auditor se centra
planificar, llevar a cabo y evaluar su trabajo para obtener una ex pecutisa razonable de
su deteccin.

Es. pues, indudablemente necesario disertar pruebas antifraude. que lgicamente

incrcmcnurn el coste de la auditora, previo anlisis 4c riesgos (amenaza*,
importancia relativa...).

La auditora de cuentas se est judicializando -cam in o que seguir la Auditora

Informtica, prctica importada de F-stados U nidos-, ya que aparece en el v iga*
Cdigo Penal (delitos societarios y otros puntos) con especial nfasis en los
administradores. No olvidemos, al respecto, la obligatoriedad d e suscribir plizas de
seguro de responsabilidad civil para auditores independ entes, individuales j
sociedades.

Por prudencia y rectitud, convendr aclarar al m ximo -d e ser posible- si d

Informe de Auditora e s propiamente d e auditora y n o d e consultora o asesora
informtica, o de otra materia afn o prxima.

Aunque siempre debe prevalecer el deber de secreto pofcsonal del auditcr.

conviene recordar que en el caso d e detectar fraude durante el proceso de auditoria
procede actuar en consecuencia, con U debida prudencia que aconseja episodio tat
delicado y conflictivo, sobre todo si afecta a los administradores de la organiza;ifa
objeto de auditora. Ante un caso as. conviene consultar a la Comisin Deontotgica
Profesional, al asesor jurdico, y leer detenidamente las normas profesionales, d
Cdigo Penal y otras disposiciones; incluso hacer lo propio ron las d e organismos
oficiales u le s com o el Banco d e Esparta, la Direccin G rocral de Seguro, la
Comisin Nacional del Mercado de Valores, el organismo regulador del med*>
ambiente.... que pudieran e s u r afectados, no debera desestimarse. El asunto podra,
incluso, terminar en los Tribunales de justicia.

4.5. LA D OCUM ENTACIN

En el argot de auditora se conoce como papeles de trabajo la "toulidad de to

documentos preparados o recibidos por el auditor, de manera que. en conjunto.
 www.FreeLibros.me
CAWTVIQ4 II INMMtMI. IX. AULHKMtU V

constituyen un compendio de la informacin utilizada y d e las pruebas efectuadas en

a ejecucin de su trabajo, junto con la decisiones que ha debido tomar para llegar a
tasarse su opinin".

El Informe d e Auditora, si se precisa que sea profesional, tee que estar basado
ea la docum entacin o papeles d e tra b a jo , como utilidad inmediata, previa
Wper*win.

La documentacin, adems de fuente de kno%v ho w del Auditor Informtico para

Wbijos posteriores asi como para poder realizar su gestin interna de calidad, es
fuente en algunos casos en los que la corporacin profesional puede realizar un control
de cabdad, o hacerlo algn organismo oficial. Los papeles de trabajo pueden llegar a
tener valor en los Tribunalcs d e justicia.

Por otra pane, no debemos omitir la caracterstica registra! del Informe, tanto en
m pane cronolgica como e n la organizativa, con procedimientos d e archivo,
bsqueda. custodia y conservacin de su documentacin, cumpliendo toda la
oorBativa vigente, legal y profesional, com o mnimo exigible.

Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
experto* independenle*, as com o de los auditores internos, se reseOen o no en el
kforme de Auditora Informtica, formarn pane de la documentacin.

Adems, se incluirn:

- El contrato cliente/auditor informtico y/o la caita propuesta del auditor

informtico.
- Las declaraciones de la Direccin.
- Los contratos, o equivalentes, que afecten al sistema d e informacin, as como
d informe de la asesora jurdica del cliente sobre sus asuntos actuales y
previsibles.
- El informe sobre tercero vinculados.
- Conocimiento de la actividad del cliente.

4.6. EL INFORME

Se ha realizado una visin rpoda de los aspectos previos para tenerlos muy
presenles al redactar el Informe de Auditora Informtica, esto ex. la comunicacin del
Aadnor Informtico al cliente, formal y . quiz, solemne, tanto del alcance de la
sdcra: (objetivos, perodo d e cobertura, naturaleza y extensin del trabajo
Balizado) corno de los resultados y conclusiones.
 www.FreeLibros.me

E s momento adecuado de separar lo significativo d e lo no significativa

debidamente evaluados por su importancia > vinculacin con el factor riesgo, tara
eminentemente d e carcter profesional y tico, segn el leal saber y entender dd
Auditor Informtico.

Aunque no existe un formato vinculante, sf existen esquemas recomendados cea

los requisitos mnimos aconsejables respecto a estructura y contenido.

Tam bin e s cuestin previa decidir si e l informe es largo o. por el contraria,

corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien mi*
concretos, com o el Inform e d e d e b ilid ad es del c o n tro l in te rn o , incluso de hechos
aspectos: todo ello teniendo en cuenta tanto la legislacin vigente como el contra
con el cliente.

En m i modesta opinin, los trm inos cliente o proveedor/interno o extern,

tpicos de la Gestin de la Calidad, resultan ms apropiados que informtico/audita
informtico/usuario, ya que este ltimo trmino tiene una lamentable connotacife
peyorativa.

En lo referente a su redaccin, e l Informe deber ser claro, adecuado, suficiente)

comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomend
ble.

L os puntos esenciales, genricos y mnimos del Informe de Auditofa

Informtica, son los siguientes:

/. Identificacin de l Informe

El ttulo del Informe deber identificarse con objeto de distinguirlo de

informes.

2. Identificacin de l Clleme

Deber identificarse a los destinatarios y a las personas que efecten el encargo.

3. Identificac in de la entidad auditada

Identificacin de la entidad objeto de la Auditora Informtica.

 www.FreeLibros.me
MM CAPTULO: U. tNFORMEP i AUMTOKA 101

4. Obptivot de la Auditoria Informtica

Declaracin de los objetivos de la auditora para identifica- su propsito,

eftalando los objetivo* incumplidos.

J. Normativa aplicada y excepciones

Identificacin de las normas legales y profesionales utilizada-. as como las

excepciones significativas de uso y el posible im pacto en los resultado* de la auditora.

6. Alcance de la Auditora

Concretar la naturaleza y extensin del trabajo realizado: rea organizativa,

perodo de auditora, sistemas de informacin... sealando lim itadores al alcance y
restricciones del auditado.

7. Conclusiones: Inform e corto d e opinin

Lgicamente, se ha llegado a los resultados y . sobre lodo, a la esencia del

ctimcn. la opinin y los pdnafos de salvedades y nfasis, si procede.

El Informe debe contener uno d e los siguientes tipos de opinin: favorable o sin
faltedades, con sa h ed a d e* . desfav o rab le o ad v ersa, y d enegada.

7.1. O pinin favorable. La opinin calificada com o favorable, n salvedades o

limpia, deber manifestarse d e forma clara y precisa, y e s el resultado de un
trabajo realizado sin lim itaciones de alcance y sin inceniduntire. de acuerdo
con la normativa legal y profesional.

Es indudable que entre el informe de recomendaciones al cliente, que

incluye lo referente a debilidades de control interno en sentido amplio, y las
salvedades, cw sic o vvk existo una rana de p a n scnsibiM ad. u n e s asi
que tendr que clarificarse al mxim o, pues una salvedad a la opinin deber
ser realmente significativa; concretando: ni pasarse, ni n o llegar, dicho en
lenguaje coloquial: en puridad es un punto d e no retomo.

7.2. O pinin con salvedades. Se reitera lo dicho en la o p in n favorable al

respecto d e las salvedades cuando sean significativas en relacin con los
objetivos de auditora, describindose con precisin la naturaleza y razones.

Podrn ser stas, segn las circunstancias, las siguientes:

 www.FreeLibros.me
>1. PIlOWlMMOK.MAIK S l S I SKX^ t IK.VC1KO _

Limitaciones al alcance del trabajo realizado: esto es. restricciones p<x

pane del auditado, etc.
Inccnidumbres cuyo resultado no permita una previsin razonable.
Irregularidades significativas.
Incumplimiento de la normativa legal y profesional.

7.3. O pinin desfavorable. La opinin desfavorable o adversa es aplicable en el

caso de:

Identificacin de irregularidades
Incumplimiento d e la normativa legal y profesional, que afecten
significativamente a los objetivos de auditoria informtica estipulados,
incluso con ncenidum brts; todo ello en la evaluacin de conjunto y
reseflando detalladamente las razones correspondientes.

7.4. O pinin denegad a. La denegacin de opinin puede tener su origen en:

Las limitaciones al alcance d e auditoria.

Inccnidumhrcs significativas de un modo tal que impidan al auditor
form arse una opinin.
Irregularidades.
El incumplimiento de normativa legal y profesional.

7.5. R esum en. El siempre difcil tema de la opinin, estrella del Informe de
Auditoria Informtica, joven como informtica y ms todava com o audkorfi
informtica: por tanto, puede decirse que m is que cambiante, muame.
Debido a ello, y adem s con la normativa legal y proesionjl
descom pasadas, la tica se conviene casi en la nica fuente de orientacko
para reducir el desfase entre las expectativas del usuario en general y d
informe de los auditores.

No olvidemos que existe la ingeniera financiera y la contabilidad creativo:

tampoco que las entidades que pueden ser auditadas suelen estar sometidas i
cam bios, corno, por ejemplo, la implantacin de aseguram iento y gestin de
la calidad -v a SO JOOO. va EFQM (modelo europeo)-, rtingenieria t
procesos y otras transformaciones significativas (adaptaciones al Milenio >
al Euro).

S. Resultados: Informe largo y otros informes

Parece ser que. de acuerdo con la teora de ciclos, el informe largo va a colocar i
informe corto en su debido sitio, o sea. com o resumen del informe largo (quiz
 www.FreeLibros.me
CAHniLO IJ.IKKXMEDf.AUPmiftU 101

obsoleto?). Los usuarios, no hay duda, desean saber m is y desean transparencia corno
1 aadido.

Es indudable que el lim te lo marcan los papeles d e trabajo o documentacin d e la

AoJflor Informtica, pero existen aspectos a tener en cuenta:

El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditoria.

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la

Auditora Informtica, tal como el de D ebilidades d e C o n tro l In te rn o o los informes
especules y/o complementarios que exigen algunos organismos gubernamentales,
como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de
Valores y la Direccin General de Seguros, entre otros y por ahora.

9. Informes previos

No es una prctica recomendable, aunque s usual en algunos casos, ya que el

Informe de Auditora Informtica es. por principio, un in fo rm e d e c o n ju n to.

Sin embargo, en el caso de deteccin d e irregularidades significativas, tanto

errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la
normativa legal y profesional, independientemente del nivel jerrquico afectado dentro
de la estructura de la entidad. Recordemos al respecto el delito societario y la
(espoosabilidad civil del Auditor (Informtico).

10. Fecha del Informe

El tiempo no e s neutral: la fecha del Informe e s importante, no slo por la

cwantificacin de honorarios y d cumplimiento con el cliente, sino pora conocer la
magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y
conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est
reatiuado u n Info rm e de A udito ra In fo rm tica com o h e rram ien ta d e apoyo a la
Auditora de C uentas. En casos conflictivos pueden ser relevantes aspectos tales
como los hechos posteriores al fin del perodo de auditora, hechos anteriores y
poucriores al trabajo de campo...
 www.FreeLibros.me

/ i . Identificacin y firm a del Auditor

E tte avpecto formal del informe e s esencial tamo si ex individual como ti fontu
parte de una sociedad de auditoria, que deber corresponder a un socio o s e o
legalm ente asi considerado.

12. Distribucin d e l Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informtico. deber!

definirse quin o quines podrn hacer uso del Informe, a s com o los usos concretos
que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.

4.7. CON CLUSION ES

Qu ex el informe de auditora informtica y qu le diferencia de otro tipo de

informes (consultara, asesora, servicios profesionales...) de informtica?

Resulta bsico, antes de redactar el informe de auditora, que el asunto est muy
claro, no slo por las expectativas ya citadas, sino porque cada trmino tiene un
contenido usual muy concreto: la etiqueta auditora es. en esencia, un juicio d e valor u
opinin con justificacin.

Por tanto, habida cuenta que tiene base objetiva -so b re todo con independencia
en sentido am plio-, e s eminentemente una opinin profesional subjetiva.

Adems, com o se aplican criterio en trminos de probabilidad, hay que evitar b

predisposicin a algn posible tipo d e manipulacin, debido a la libertad d e eleccin
de pruebas: n o se debe elegir una serie d e ellas que d la imagen buscada (prejuicio)
como consecuencia de la acumulacin de sesgos a d hoc.

E sta insistencia en clarificar e s quiz excesiva, pero resulta importante emitir el

Informe de auditoria informtica d e acuerdo con la aplicacin de la Auditoria
Informtica con criterios ticamente profesionales y desextimar ios procedim ientos de
Auditora Informtica creativa" sorteando la posible contaminacin con b
contabilidad creativa".

En el precitado Libre V erde d e Auditora Legal d e la Unin Europea y

recordando la Directiva O ctava d e Derecho de Sociedades. se seAala que el auditor
debe ser independiente, pero slo la FEE seAala que puede serio de una manera
objetiva.

Es ilustrativo res isar textualmente el punto 4 .9 del famoso Libro Verde:

 www.FreeLibros.me
CArtnax) n . inhkmk dh auditoria ios

"En aftos recientes. se ha manifestado preocupacin obre las amenazas que se

ciernen sobre la independencia de los auditores. Varias encuestas indican el hecho de
que las empresas estn cada vez ms preparadas a desafiar a los auditores, comprar
encajones, buscar asesoram iento legal sobre las opiniones de los auditores y a cambiar
de auditores. Algunos informes concluyen que. dadas las presiones competitivas, sera
idealista asumir que lodos los auditores actan en todo momento sin pensar e n el
riesgo de perder clientes. Se han manifestado criticas de que el profesionalismo se ha
disminuido en favor de una actitud m s d e negocio "

En fin. que como indicio del estado del a n e. este prrafo resulta bastante
aleccionador.

Navegando entre definiciones y definiciones, encuentro muy explicativa la de

1SACF. que dice asf:

"La auditoria de sistemas de informacin se define como cualquier auditoria que

abarca la revisin y evaluacin de todos los aspectos (o alguna seccin/rea) de los
sistemas automatizado de procesam iento de la informacin, incluyendo
prccedimientos relacionados no automticos y las irucrrelacioncs entre ellos.''

Creo que precisa lo suficiente sobre el sistema informtico, el manual y sus

conexiones para delimitar los objetivos d e cobertura de un informe de auditoria
informtica que. ponderados con los objetivos CO SO de la Actividad de Tecnologas
de la Informacin (plane* estratgicos, informacin fiable, adecuada y disponible, y
sistemas de informacin disponibles), clarifican en form a razonable las zonas
fronterizas con otros lemas afines, p or ahora.

En mi opinin. Maastricht est acelerando el asunto; tanto es as que si Maastricht

no existiera habra que inventarlo, aunque el trm ino auditora tiene connotaciones no
deseables. Espero que el MARC (Maastricht Accounting and Auditing Research
Center) sea un factor positivo en la auditora de los sistemas d e informacin y. por
tanto, en los informes y su normativa Icgalfyrofcsional correspondiente.

4.8. LEC TUR A S RECOM ENDADAS

Emilio del Peso N avarro. Miguel Angel Ramos Gonzlez. Carlos Manuel Fernndez
Snchez y Mara los Ignoto Azausue. M anual <fe <fcftmie y peritajes
m fom dtxis. E JtcM act f h t t J e Sanios, S .A . M x A f.

Agustn Lpez Casuso. Norm ai de Auditora: Cm o Interpretaras para su

Apikocin. Editorial IACJCE. Madrid. 1995.
 www.FreeLibros.me
10 Al'DtTOttlA INFORMTICA UN KXKXXE WCTICO___________________________ cn.M.

Luis Muflo* Sabate Tcnica Probatoria: Estudio sobre la t Dificultades d e la Prueba

en e l Proceso. Editorial Praxis. S.A. Barcelona. 1993.4* edicin.

Mar> C. Bromake Los informes d e auditoria y t u tcnica de redaccin. Editorial

Deusto. S.A . Bilbao. 1989.

Revista SIC. Seguridad en Inform tica v Comunicaciones. Ediciones Coda. S.L

Madrid.

4.9. C U ES TIO N ES DE REPASO

1. Qu diferencia existe entre ev idencia suficiente y evidencia adecuada?

2. Qu diferencia existe entre prueba de cumplimiento y prueba sustantivo?

3. Las normas IPAC son vinculantes en Espafta?

4. Las normas ISA CF son vinculantes en Espaa?

5. Qu diferencia existe entre opinin desfavorable y op nin denegada?

6. Qu significa importancia relativa?, y materialidad?

7. Qu significado tiene la responsabilidad civil del auditor informtica emisor

del informe de auditoria informtica y firmante del miao?

8. Cul es la utilidad del documento denominado Declaraciones de U

Direccin?

9. Qu diferencia existe entre experto informtica y auditor informtico?

10. Qu diferencia existe entre auditor interno y auditor externo?

 www.FreeLibros.me

C A PTU LO 5

O R G A N IZ A C I N D EL D EP A R T A M E N T O
D E A U D ITO R A IN FO R M TIC A

R a fa e l R u a n o D iez

5.1. A N TE CE D EN TES
F.I concepto de auditara informtica ha estado siempre ligado al d e auditora en
{corral y al de auditora interna en particular, y itc ha estado unido desde tiempo
histricos al de contabilidad, control, veracidad de operaciones, ele. En tiempo de los
egipcio ya se hablaba de contabilidad y de control de los registro* y de las
aeraciones. Aun algunos historiadores fijan el nacimiento de la escritura como
consecuencia de la necesidad de registrar y controlar operaciones (Dale l-lesher. SO
Yeart o f P ro g re m Hago esta referencia histrica a fin de explicar la evolucin de la
corta pero intensa historia de la auditora informtica, y para que posteriormente nos
tin a de referencia al objeto de entender las diferentes tendencias que existen en la
actualidad.

Si analizamos el nacim iento y la existencia d e la auditora informtica desde un

peato de vista empresarial, tendremos que empezar analizando el contexto organi
zativo y ambiental en el que se mueve.

Empezaremos diciendo que tanto dentro del contexto estratgico como del
operativo de las organizaciones actuales, los sistemas de informacin y la arquitectura
i?ue los soporta desempean un importante papel como uno de los soportes bsicos
pea la gestin y el control del negocio, siendo as uno de los requerimientos bsicos
de cualquier organizacin. E sto da lugar a los sistemas de informacin de una
aganizacin.

Es evidente que pora que dichos sistemas cumplan sus objetivos debe existir una
tuicin de gestin de dichos sistemas, de los recursos que los manejan y d e las
 www.FreeLibros.me
B AUMIORM IMIWM.MK .S > N I NKXX I' IH< K1>

mvcfMoocs que se ponen a disposicin de dichos recursos para que el funcionamiento

y los resultados sean los esperados. Esto e s lo que llamamos el Departamento de
Sistemas de Informacin.

Finalmente, y en funcin de lo anterior, aunque no como algo no enteramente

aceptado an. debe existir una funcin d e control de la gestin de los .sistemas y dd
departamento de sistemas d e informacin. A esta funcin la llamamos auditoria
informtica.

El concepto de la funcin de auditoria informtica, en algunos casos llamada

funcin de control informtico y e n los menos, llamada y conocida por ambos
trminos, arranca en su corta historia, cuando e n los a/los cincuenta las organizaciones
empezaron a desarrollar aplicaciones informticas. En ese momento. La auditoria
trataba con sistemas manuales. Posteriormente, en funcin de que las organizaciones
empezaron con sistemas cada vez ms complejos, se hizo necesario que pane del
trabajo de auditoria empezara a tratar con sistemas que utilizaban sistemas
informticos.

En ese momento, los equipos de auditoria, tanto extem os como internos,

empezaron a ser mixtos, con involucracin de auditores informticos ju n to coa
auditores financieros. En ese momento se comenzaron a utilizar dos tipos de enfoque
diferentes que en algunos casos convergan:

Trabajos en los que el equipo de auditora informtica trabajaba bajo ua

programa de trabajo propio, aunque entroncando sus objetivos con los de la
auditora financiera; ste era el caso de trabajos en los que se revisabas
controles generales de la instalacin y controles especficos de las aplicaciones
bajo conceptos de riesgo pero siempre unido al hecho d e que el equipo dt
auditora financiera utilizara este trahajo para sus conclusiones generales
sobre el componente financiero determinado.

Revisiones en las que la auditora informtica consista en la extraccin de

informacin para el equipo de auditora financiera. En este caso el equipo o
funcin de auditora interna era un exponente de la necesidad de las
organizaciones y departam entos d e auditora d e utilizar expertos tu
informtica para proveer al personal de dicho departam ento de informacifa
extrada del sistem a informtico cuando la informacin a auditar estaba
empezando a ser voluminosa y se estaba perdiendo la pista de cmo se habla
creado.

Esta situacin convive hoy e n da con conceptos ms actuales y novedosos de lo

que es la funcin y de lo que son los objetivos d e la auditora informtica.

E n mi opinin, y e s alg o que vamos a desarrollar a continuacin, la tendencia

futura de la auditora informtica radicar en los siguientes principios;
 www.FreeLibros.me
cu. uk CArtUILO 5:0OVMACl0f> PEI-DEPARTAMENTOPE ACPtTORUlNKjRMATlCA 10

1. Todo* lo a u d ito r tendrn que tener conocimientos informticos que les

permitan trabajar en el cada vez ms lluctuante entorno de las tecnologas de
la informacin dentro de las organizaciones empresariales, culturales y
sociales.

2. Este aspecto no eliminar la necesidad de especialistas en auditora

informtica; antes al contrario, los especialistas necesitarn cada vez. ms,
unos conocimientos muy especficos, que al igual que sucede en el entorno de
los sistemas de informacin, les permitan ser expertos en las diferentes ramas
de la tecnologa informtica: comunicaciones, redes, ofimiica. comercio
electrnico, seguridad, gestin de bases de datos, etc.

3. El auditor informtica dejar d e ser un profesional procedente de otra rea,

con su consiguiente reciclado, para pasar a ser un profesional formado y
titulado en auditoria informtica que tendr a su alcance diferentes medios de
formacin, externa fundamentalm ente, y que tendr que formar una red de
conocimientos compartidos con oros profesionales, tanto en su organizacin
como con profesionales de otras organizaciones.

El futuro de la auditora informtica estar en la capacidad de cubrir

adecuadamente, en cuanto a experiencia y especializacin. todas las reas de los
sistemas informticos y de informacin de una empresa y en saber de forma propta o
ooa ayuda mierna y extem a, adecuarse a los cambios que sucedan en la Tecnologa de
b Informacin. Para adecuarse a estos cambios, el auditor informtico, tendr que
autgenerar su propia filosofa de gestin del cambio.

5.2. CLASES Y TIPO S DE AUDITORA INFORM TICA

Como he tratado de mencionar anteriormente, existe una gran confusin sobre lo

que es auditora informtica y la relacin que tiene con otras ramas organizativas de
bs empresas y organizaciones. Aun hoy en da. si preguntsemos a diferentes agentes
empresariales y sociales, nos contestaran con diferentes respuestas sobre lo que es y
no es auditora informtica.

Voy a tratar de resum ir tas diferentes acepciones d e auditora informtica que

existen en nuestro pas:

Auditora informtica com o soporte a la auditora tradicional, financiera, etc.

Auditora informtica con el concepto anterior, pero aadiendo la funcin de

auditora de la funcin de gestin del entorno informtico.
 www.FreeLibros.me
I AKMTOKlA INWMTK'A UN hSWgtltl ntACTKU

Auditora informtica como (uncin independien!:, enfocada hacia li

obtencin de la situacin actual de un enlom o de infom acio c informtico a
aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.
Las acepciones anteriores desde un punto d e v is u interno y externo.
Auditora como funcin de control dentro de un de partimento d e sistemas.

A nte esta situacin djenme expresar cul es mi visin sobre lo que es y debe ler
la funcin de auditora informtica.

5.3. FUNCIN DE AUDITORA INFORM TICA

5.3.1. Definicin

Est claro a n a s alturas que la auditora, revisin, diagrstico y control de k*

sistemas de informacin y de los sistemas informativos que soportan stos deben * t
realizados por personas con experiencia en ambas disciplinas, informtica y auditora
(en principio llamemos a nuestro amigo el Auditor Informtico General: A IG). A oto
yo le aAado que adems nuestro amigo debe completar su formacin coa
conocimientos de gestin del cam bio y de gestin empresarial.

Cm o definimos entonces a nuestro amigo AIG ? Para tn ta r de definir su perfil

la definicin ms exacta es quiz que e s un profesional dedicado al anlisis de
sistemas de informacin e informticos que est especializado en alguna de las
mltiples ramas de la auditora informtica, que tiene conocimientos generales de k*
mbitos en los que. sta se mueve, que tiene conocimientos empresariales generales, y
que adems:

Posee las caractersticas necesarias para actuar como contultor con su auditado,
dndole ideas de cm o enfocar la construccin d e k * cirrenlos de control y de
gestin que le sean propios.

Y que puede actuar com o consejero con la organizacin en la que est

d c u rro tk n d o *u labor. Un entorno informtico bi<n controlad, puede x i un entorno
ineficiente si no e s consistente con los objetivos de la organizacin.

El eterno problema que se ha suscitado durante mucho tiempo e s si el auditor

informtico, al no existir tal formacin acadmica en nuestro pas, cenia que ser un
auditor convertido en informtica, o por el contraro un inforntico reciclado como
auditor informtico. En mi larga experiencia, he visto de todo, personal d e desarrollo
o de explotacin convenidos en auditores informtico en men*s de un mes. auditores
financieros reciclados, prim ero como extractores de infirmacin, mediante la
form acin en el adecuado softw are d e interrogacin d e archivos, y posteriormente
convertidos en auditores de la funcin informtica.
 www.FreeLibros.me
m u CArtTtl-OS ORGANIZACIN Dtl. DtPARTAMb.VlUIX. AUDITORA PiKMtSlAlKA III

En ambos casos, los xitos y los fracasos se acumulaban por igual. Qu hacer en
estos casos? Cul debe ser el perfil co rred o d e un auditor informtico? lista e s mi
visin y opinin del perfil del futuro auditor informtico y consecuentemente d e las
funciones que la funcin de auditora informtica debe tener.

5.3.2. Perfiles profesionales de la funcin de Auditora

Informtica

A tenor de lo que hemos dicho hasta ahora, se ve claram ente que el auditor
informtico debe ser una persona con un alto grado d e calificacin tcnica y al mismo
tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy
n (a. De esta forma, dentro de la funcin d e auditora informtica, se deben
contemplar las siguientes caractersticas para mantener un perfil profesional adecuado
y actualizado:

I. La persona o personas que integren esta funcin deben contemplar en su

form acin bsica una m ezcla de conocimientos de auditora fin an cien y de
informtica general. Estos ltimos deben contemplar conocimientos bsicos
en cuanto o:

Desarrollo informtico; gestin d e proyectos y del ciclo de vida de un

proyedo de desarrollo.
Gestin del departam ento de sistemas.
Anlisis de riesgos en un entorno informtico.
Sistema operativo (este aspecto depender de varios fadores, pero
principalm ente de si va a trabajar en un entorno nico -auditor interno- o.
por el contrario, va a tener posibilidades de trabajar en varios entornos
como auditor extemo).
Telecomunicaciones.
Gestin de bases de datos.
Redes locales.
Seguridad fsica.
Operaciones y planificacin informtica: efectividad de las operaciones y
del rendim iento de los sistemas.
Gestin de la seguridad d e los sistemas y de la continuidad empresarial a
travs de planes de contingencia de la informacin.
Gestin de problem as y de cambios en entornos informticos.
Administracin de datos.
 www.FreeLibros.me
11: AUOtTOUlA IMOHMTICA W ENFOQUEfttACTlCO___________________________ > iw

Ofimtica.
Com ercio electrnico.
Kncripljcin de datos.

2. A o l e s conocimiento* bsico* se les deber aftadir una evpeciali/acin a

funcin de la importancia econmica que distinto* componentes financiera
puedan tener en un entorno empresarial. Asi. en un eito m o financiero poeta
tener mucha importancia las comunicaciones, y veri necesario que atguiea
dentro de la funcin de auditora informtica tenga cita especializacin. pno
esto mismo puede no ser vlido pora un entorno productivo en el que las
transacciones i:D I pueden ser m is importante*.

3. Uno de k>\ problemas que ms han incidido en la escasa presencia de

auditores informticos en nuestro pas, es quizs la a veces escasa relacife
entre el trabajo de auditora informtica y Uu conclusiones con el enton
empresarial donde se ubicaba la "entidad auditada", lista sensacin de que hs
normas van por sitios diferentes de por donde va c negocio ha sido fn
muchas veces de la escasa comunicacin cnue el auditado (objetiva
empresariales) y el auditor (objetivos de control). C<mo quiera que la cruii
realidad no* est demostrando en la actualidad cada vez ms la necesidad de
cada vez mayor control en lo* sistemas de informacin, se hace necesario pan
el auditor informtico conocer tcnicas de gestin empresarial, y sobre todo de
gestin del cambio, ya que las recomendaciones y soluciones que se aponen
deben estar en la lnea de la bsqueda ptim a d e la mejor solucin pora ta
objetivos empresariales que se persiguen y con lo* recxrxo* que se tienen.

4. El auditor informtico debe tener siempre el concepto de Calidad Total

Com o pone de un colectivo empresarial, bien sea permanentemente como
auditor interno o puntualm ente como auditor extem o, el concepto de calidad
total har que sus conclusiones y trabajo sea reconocido como un clemetto
valioso dentro de la organizacin y que los resultadas sean aceptados en so
totalidad. Esta aplicacin organizativa debe hacer qur la propia imagen dd
auditor informtico sea ms reconocida de form a positiva por la organizacin.

5.3.3. Funciones a desarrollar por la funcin de Auditora

Informtica

Se han suscitado mltiples controversias sobre las funcione* a desarrollar en

cuanto al trabajo de Auditora Informtica que se debe realizar. Cul e s el objetivo di
una Auditora Informtica? Qu *e debe revisar, analizar o diagnosticar?
 www.FreeLibros.me
mm CAPtnXO 5 OROANI/ACTN DO. DEPARTA-MIXTODtt At'DfTOItlA IXTOfcMAUCA 111

Puede la funcin de Auditora Informtica aportar slo lo que le piden o debe

formar pone de un ente organizativo total, lo que le exige una actitud de contribucin
total al entorno empresarial en el que est realizando su trabajo? En definitiva, qu
aspectos debe revisar el auditof informtico? Debe revisar la seguridad, el control
interno, la efectividad, la gestin del cam bio y la integridad de la informacin.

Si analizamos la realidad ms actual, direm os que la funcin Auditora

Informtica debe mantener en la medida de lo posible lo* objetivos de revisin que le
demande la organizacin, pero como esto e s muy general, vamos a precisar algo ms
lo que sera un entorno ideal que tiene que ser auditado.

Supongamos una organizacin que produce componentes tecnolgicos de audio y

rdeo tanto en formato primario como en producto semiterminado y terminado. Esta
organizacin mantiene sus programas y resultados de investigacin bajo control
informtico. Adems tiene las caractersticas propias de cualquier empresa productora
y comercial en cuanto a sistemas de informacin. Mantiene en Internet un sistema de
informacin de sus productos con la posibilidad de que usuarios d e la Red puedan
hacer consultas sobre diferentes caractersticas de lo* productos. Gasta anualmente un
uno por ciento de su facturacin en sus sistemas de informacin y un diez por ciento
ca investigacin.

Cules seran los objetivos d e revisin de la Auditora Informtica en este

ejemplo? Desde luego parece que la Auditora Informtica debera enfocarse hacia
aspectos de seguridad, de comercio electrnico y d e control interno en general,
adiendo en funcin de lo expuesto en cuanto al gasto anual que debera realizarse
c u revisin de la efectividad del departamento.

Esto nos indica que solamente con un ejemplo sim ple vemos que la Auditora
Informtica abarca cam pos de revisin ms all de los que tradicin al mente se han
mantenido: esto es. la revisin del control interno informtico d e los servicios
cntralo y de las aplicaciones.

FJ mundo complejo de las empresas en el que nos movemos, con industrias

essergentes y con una tendencia globalizadora en los negocio*, hace muy necesario
que los sistema* de control interno sean lo ms efectivos posibles, pero tambin
conceptos ms amplios, com o el riesgo de la informacin, la continuidad de las
operaciones. la gestin del centro de informacin o la efectividad y actualizacin de
1 inversiones realizadas son necesaria* para poder mantener el nivel competitivo que
el mundo empresarial demanda a sus sistemas d e informacin.

Es as que entonces la funcin d e Auditora Informtica debe realizar un amplio

ablico de actividades objetivas, algunas de la* cuales enumero a continuacin:
 www.FreeLibros.me
11 AlWTOKlA INWMTtCAUMf.TOQC'E WtCnCO otim

Verificacin del control interno, tanto de las aplicaciones como de kn

sistemas informticos, c en tral y perifricos.
Anlisis de la gestin de los sistemas de informacin desde un punto de vista
de riesgo de seguridad, d e gestin y de efectividad de la gestin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de las aplicaciones. Esta funcin, que la vienen desempeando los
auditores informticos, estn empezando ya a desarrollarla los auditores
financieros.
Auditora del riesgo operativo de los circuitos de informacin.
A nlisis de la gestin de los riesgos de la informacin y de la segundad
implcita.
Verificacin del nivel d e continuidad d e las operaciones (a realizar
conjuntam ente con los auditores financieros).
Anlisis del Estado del Arte tecnolgico d e la instalacin revisada y de I
consecuencias empresariales que un desfase tecnolgico pueda acarrear.
Diagnstico sobre el grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la organizacin.

El papel de la auditora informtica se convierte de esta manera en algo ms que

la clsica definicin del auditor informtico:

"... el auditor informtico e s responsable para establecer los objetivos de control

que reduzcan o eliminen la exposicin al riesgo d e control interno. Despus de que
los objetivos de la auditora se hayan establecido, el auditor debe revisar los controles
y evaluar los resultados de su revisin para determinar las reas que requieran
correcciones o mejoras."

Aun a riesgo de ser criticado por muchos d e m is compaeros, creo que el papel
del auditor informtico tiene que dejar de ser el d e un profesional cuya nica meta
empresarial sea analizar el grado d e implantacin y cumplimiento del control interno
Las organizaciones estn inviniendo mucho dinero en sistemas de informacin, cada
vez son ms dependientes de ellos y no pueden permitirse el lujo de tener buenos
profesionales, que estaban mediatizados por esquemas que eran vlidos hace unos
artos pero que en estos momentos no lo son a tenor de las necesidades empresariales.
El concepto de control interno e s importantsimo, pero adems d e verificar dicho
control, el auditor interno tiene la obligacin de convenirse un poco en consultor y en
ayuda del auditado, dndole ideas de cmo establecer procedim ientos de seguridad,
control interno, efectividad y eficacia y medicin del riesgo empresarial.
 www.FreeLibros.me
CAPTULO5: ORGANIZACION DftL DBPAHTAMF.VTOPC Al'DITORlA INFORMATICA 11S

5.4. ORGANIZACIN DE LA FUNCIN DE AUDITORA

INFORMTICA

Segn lo que hemos comentado hasta ahora, la funcin de auditera informtica

ha pasado de ser una funcin meramente de ayuda al auditor financiero a ser una
fcacin que desarrolla un trabajo y lo seguir haciendo en el futuro, m h acorde con la
importancia que para las organizaciones tienen los sistemas informtico y de
informacin que son su objeto de estudio y anlisis, t i auditor informitico pasa a ser
sxli'.or y consultor del ente em presarial, en el que va a ser analista, auditor y asesor en
naterias de:

Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de riesgo

00 solamente de los sistemas informticos objeto de su estudio, sino d : las relaciones

e implicaciones operativas que dichos sistemas tienen en el contexto enpresarial.

Con esta amplitud de miras, cm o ve va a organizar la funcin dentro de la

empresa? Est claro que en este caso estam os hablando de una funn intenta de
a aitora informtica.

La concepcin tpica que he visto e n las empresas espaolas hasta ahora, es la de

que la funcin de auditora informtica est entroncada dentro de lo que es la funcin
de auditora interna con rango d e subdepartamento. E sta concepcii se basa en el
aacimicMo histrico de la auditora informtica y en la dificultad de separar el
elemento informtico de lo que e s la auditora operativa y financiera, al igual que lo es
sepirar la operativa de una empresa de los sistemas d e informacin que los soportan.

Si volvemos a mi aseveracin anterior sobre el papel que debe desempear el

auditor informtico dentro de un contexto em presarial, la organizacin tipo d e la
mJitoria informtica, debe contemplar en mi opinin los siguientes priicipsos:

Su localizacin puede estar ligada a la localizacin de la auditora interna

operativa y financiera, pero con independencia de objetivos (aw q u e haya una
coordinacin lgica entre ambos departam entos), de planes de form acin y de
presupuestos.
 www.FreeLibros.me
IJft MIKUttl.V IMOftMVnfA IV tN K H jll ITM IIK l

La organizacin operativa tipo debe ver la J e un grupo independiente del de

auditoria interna, con una accesibilidad total a los sistemas informtico* y de
informacin, e idealm ente dependiendo de la misma persona en la empreu
que la auditora interna, que debera set el director general o consejero
delegado. Cualquier otra dependencia puede dar al traxte con la imagen del
auditor informtico y consecuentemente con la aceptacin de su trabajo y de
su conclusiones.

l-i dependencia, en todo caso, debe ser del mximo responsable operativo de U
organizacin, nunca del departam ento de organizacin o del de sistemas (abundan b t
casos en que esta dependencia existe), ni del departam ento financiero yA>
administrativo.

I.a gestin de la funcin, en la medida de que exista la experiencia, debe ser

llevada a cabo por personal que haya o est trabajando en auditora informtica.

Los recursos humanos con los que debe contar el departam ento deben contemplar
una m e/cla equilibrada entre personas con formacin en auditora y organizacin y
personas con perfil informtico. N o obstante, este perfil genrico debe ser tratado con
un amplio programa de formacin en donde se especifiquen no slo lo* objetivos de b
funcin, sino tambin de la persona.

Este personal debe contemplar entre su titulacin la de CISA como u

elemento bsico para comenzar su carrera corno auditor informtico.

La organizacin interna tipo de la funcin podra s e r

- Jefe del departamento. Desarrolla el plan operativo del departamento. U$

descripciones de los puestos de trabajo del personal a su cargo, las
planificaciones de actuacin a un afto. lo* mtodos de gestin del cambio
en su funcin y los pw>gramas de formacin individualizados, as con
gestiona los programas d e trabajo y los trabajos en s, los cambios en lo
mtodo* de trahajo y evala la capacidad d e las personas a su cargo.

- Gerente o supervisor de auditora informtica. Trabaja estrechamente coa

el Jefe del departam ento en las tarcas operativas diarias. Ayuda en la
evaluacin del riesgo d e cada uno de lo* trabajo*, realiza lo* programas de
trabajo, dirige y supervisa directamente a las personas en cada uno de los
trabajos de los que es responsable. Realiza la formacin sobre el trabajo.
Es responsable junto con su jefe d e la obtencin del mejor resultado del
trabajo para el auditado, entroncando tos conceptos de valor aadido y
gestin del cam bio dentro de su trabajo. Es el que ms "vende" la funcin
con el auditado.
 www.FreeLibros.me
CAPtTVI O -VOUGAXKAOON i I. tAKTASU.VTODT-AlOtTOKA INFORMTICA 111

- Auditor informtico. Son responsable* para la ejecucin directa del

trabajo. Deben tener una especializacifl genrica, pero tambin una
especfica, segn se com ent anteriormente. Su trabajo consistir en la
obtencin de informacin, realizacin de pruebas, documentacin del
trabajo, evaluacin y diagnstico de resultados.

El tamao slo se puede precisar en funcin de los objetivos de la funcin.

pero en mi opinin, para una organizacin tipo, el abanico de
responsabilidades debera cu b rir

- Especialista en el entorno informtico a auditar y en gestin de bases de

datos.
- Especialista en comunicaciones y/o redes.
Responsable de gestin d e riesgo operativo y aplicaciones.
- Responsable de la auditora de sistemas d e informacin, tanto en
explotacin com o en desarrollo.
- En su caso, especialista para la elaboracin de programas de trabajo
conjuntos con la Auditora l-inanciera.

5.5. CUESTIO N ES DE REPASO

1. Cules son las lneas de evolucin d e la Auditora Informtica?

2. Qu diferentes acepciones existen d e la Auditora Informtica?

3. Cul e s el perfil del auditor informtico general?

4. Qu formacin debe poseer el auditor informtico?

5. Cules son las funciones d e la Auditora Informtica?

6. Qu aspectos pueden hacer ms compleja, en la actualidad, la funcin de

Auditora Informtica?

7. Cul debe ser la localizacin de la funcin d e Auditora Informtica en la

empresa?

8. Cules son las tareas del Jefe del Departamento de Auditora Informtica?

9. Qu tam ao debe tener el Departamento de Auditora Informtica?

10. Defina un plan de form acin para que un informtico pueda desempear sin
problemas la funcin de auditor.
 www.FreeLibros.me

CA PTU LO 6

E L M A R C O J U R D IC O D E LA
A U D ITO R A IN FO R M TIC A

E m ilio d e l P eso N a v a rro

6.1. INTRODUCCIN

Los efectos de la incorporacin a nuestra Sociedad en un principio de la

bformtica. posteriormente de la Telemtica y en la actualidad d e lo que se viene
denominando Nuevas Tecnologas d e la Informacin y las Com unicaciones, han
tramformado sta y el futuro que se vislumbra e s que el cambio ha de ser an mayor.

La transformacin ha operado en todos los rdenes de la vida tanto pblicos

romo privados, profesionales y particulares. La forma de vida ha cambiado
bcalmcnie y no hemos hecho m is que empezar.

Conceptos tan arraigados com o el de trabajo tenemos que empezar a

conumplarloc <! otra nunc ra . c inclino In form i de S w lin w t. n ii im ocio, tambin
ha quedado afectado.

Estas nuevas tecnologas han incidido en el Derecho desde dos perspectivas:

L* Contemplar estas nuevas tecnologa', com o una herramienta del operador

jurdico de forma parecida a como ayudan a otros profesionales: arquitectos,
mdicos, etc., lo que da lugar a la Informtica Jurdica.

2* Estudiar y analizar estas nuevas tecnologas como un objeto ms del

Derecho, lo que hace emerger una ram a nueva del mismo: el Derecho
 www.FreeLibros.me
I AUIMTOHUINHOtIMTtCA: UN BffOQlT. fUACTlCO

Informtico o Derecho d e 1 Nuevas Tecnologas de la Informacin y la

Comunicaciones.

Esta dicotoma la volveremos a ver despus cuando estudiemos la contratacife

e n la que nos encontraremos con un tipo de contratacin, la electrnica o por raedm
electrnicos, y con otro, la informtica.

La Informtica Jurdica la podemos contemplar desde tres categoras diferentes1:

1. La Informtica Jurdica de Gestin que se presenta com o un efics

instrumento en la tramitacin d e los procedim ientos judiciales, en b
administracin de los despachos de abogados, procuradores, notaras, etc.

2. l-a Informtica Jurdica Documental que ex la utilizacin d e la Informtica

pora facilitar el alm acenamiento de enormes volmenes de datos relativas i
Legislacin. Jurisprudencia y Doctrina, con el fin de permitir posteriormeaie
el acceso a la misma de una form a fcil, rpida y vegura.

3. La Informtica Jurdica Dccisional. por ltimo, e s la utilizacin de U

Informtica como un instrumento para ayudar a la toma de decisiones. Tal e>
el caso de los jueces ante las sentencias. Est basada, principalmente, a
tcnicas de la denominada "inteligencia artificial'* con el em pleo de sistema
expertos y herramientas similares.

E l Derecho Informtico, a diferencia d e la Informtica Jurdica, es aquella pine

del Derecho que regula el mundo informtico evitando que se convierta en una jungi
donde siempre sale ganando el ms fuerte. Fruto del mismo son: la proteccin de
datos personales, la proteccin jurdica d e los programas de computador, los dcliu
informticos, el documento electrnico, el comercio electrnico, y la contratacifa
electrnica e informtica entre otras materias.

El auditor informtico, si quiere realizar bien mi labor y a la vez evitar situaciones

desagradables y un tanto peligrosas, est obligado a conocer esta rama del Dercct.
pues es la que regula el objeto de su trabajo. Desconocer las normas que regulan li
proteccin de los datos personales, la piratera de los programas d e computador. 1
obligaciones contractuales, los delitos informticos, las responsabilidades civiles y
penales en que puede incurrir puede tener consecuencias graves si. como es fcil que
ocurra, dichas circunstancias se prevenan en el enlom o en que trabaja.

' Pan a fc fmmaciAn EMILIO DEL PESO NAVARRO y MIGUEL NGEL RAMOS
GONZAt.KZ y ruruurf 4* U mformacin la LIMITAD i >u implmtcmtft u
n w irtW i D lu de Swmov M*d> d 1994. [>** !0 / 11
 www.FreeLibros.me
**H_______________ CAPfTlK) (x Fl- MARCO)llnto~0 PC U\ AUDtTOftlA INK?RMATK~A 121

Si examinamos dichas norma* claram ente veremos que todas e l l a versan sobre
indeterminado bien jurdico: la informacin.

La informacin ha sido un bien valioso en todas las pocas, pero en ninguna

haba alcanzado la importancia que tiene en el momento actual en el qur fcilmente se
convierte en conocimiento.

En el pasado no exista la posibilidad, com o ocurre ahora, de convertir

informaciones parciales y dispersas en informaciones en masa y organinda.

La aplicacin conjunta de la Informtica y las Telecomunicaciones, lo que se ha

venido en denominar Telemtica, en la prctica ha hecho desaparecer los factores
boapo y espacio.

Para DAVARA RODRGUEZ': ~lxi informacin t i un bien <fte tiene unas

caractersticas determinadas y determinantes es. n o cabe duda, un h ttn econmico,
pero diftrtnte a los dems b itn ts econmicos existentes en un mercado tradicional".
Jatica lo anterior en las siguientes afirmaciones:

1* Se trata de un bien que no se agota con el consumo.

2* Es un bien que puede ser utilizado por numerosas personas a li vez.
3* Es la base del desarrollo de la nueva sociedad.
4' Es el vehculo que circula por las autopistas d e la informacin.

Para definir este conjunto de circunstancias en el que nos movemos se ha acuado

d trmino Sociedad de la informacin.

La informacin puede ser muy variada, como veremos a continuacin, y no toda

da wele tener el mismo valor.

LA PROTECCI N OE D A TO S DE C A R C TER PERSONAL

Q oiifvulsi 18.4 Oc nucMia Cutntit uviOii emplaza al legislador a lln liar el uso de
U informtica para garantizar el honor, la intimidad personal y familiar de sus
ciudadanos y el legtimo ejercicio de sus derechos.

Froto de este mandato constitucional fue la promulgacin de la Ley Orgnica

VI992 de 29 de octubre de Regulacin del Tratamiento Automatizado ce los Datos de
arfctcr personal (L O R T A D ). Se trata de una ley d e las que en el Derecho

! MIGUEL NGEL DAVARA RODRIGUEZ. Dr la, aittpftn dr a injtinwvW a U m w k t

Wtul toiaudi.Vrcftonx.
 www.FreeLibros.me
i AUommlAiKtraMTiCA w enfoque reA cnco

Com parado se vienen denominando leyes de proteccin de datos, aunque en realidad I

su objeto no sea la proteccin de tos datos sino la proteccin d e la intimidad v \ I
p t i m u d a d de fas personas titulares c eso ciatos.

En la Exposicin de Motivos de la Ley se hace una interesante distincin entre b

que el legislador entiende por intimidad y por p rim eidad.

Con independencia de que muchos autores hasta ahora no hacan distincin cent
I intimidad y el anglicismo privacidad se empieza a hacer corresponder aqulla eco k
derechos defendidos en los tres primeros puntos del articulo 18 de la Constitucin, y U
prim eidad. entendida como el derecho a la autodeterminacin informativa, con t
punto 4.

I .a Ley Orgnica 15/1999. de 13 d e enero (LOPD) de Proteccin de Dato

Carcter Personal, deroga la LORTAD. T anto la I.ORTAD como la LOPD se inspira
en los siguientes principios:

P rincipio de finalidad . Antes d e la creacin d e un archivo de datos de carcter

personal' ha de conocerse el fin del mismo (ort. 4.1).

Este principio, a su ver. engloba otros dos: el principio de pertinencia y el de

utilizacin abusiva.

P rincipio de p ertinen cia (a r t. 4.1). Los datos deben ser pertinentes, es do*
estar relacionados con el fin perseguido al crearse el archivo.

P rinc ipio d e utilizacin ab u siv a (a r t. 4.2). l.os datos recogidos no deben w

utilizados para otro (in distinto a aquel para el que fueron recatados.

P rincipio de exactitu d (a r t. 4 J y 4.4). El responsable del archivo debe poner tot

medios necesarios para comprobar la exactitud de los datos registrados y asegurar a
puesta al da.

P rincipio de dere ch o al olvido (a rt. 4.5). Los datos debern desaparecer dd

archivo una vez se haya cumplido el tin para el que fueron recatados.

P rincipio del consentim iento (a r t. 6). El tratamiento automatizado de los <w

requerir el consentimiento del afectado, salvo que la Ley disponga otra coa
contemplndose algunas excepciones y teniendo el carcter de revocable.

' t)UM de caricwr pcrvxuJ wn cualquier inforatKin coKnucnie a penoou ftwcu. tretutam
o ideniiticabiet tan ) i LOPD y RctoInciAn Agtncu Prctttofe de Diiw)
(-.1 artlcato 1.4 el Rcfluncntu urffct 041 defin ifccmdo que o "Toda Mfontar*
niwniu. uOaWfnv. trafica. otennffica. acstica o Je cuat'^uier upo smscepttbh Je recofuia. re%un
rsaraiwriuo o tr&wmu/m concernientea unapertonafinca identificada o identificte*
 www.FreeLibros.me
CAPtTVLOft H. MARCOlURlIMCOMI I.A At'DITtmU tSHWMAWC'A l}<

Principio de los da to s n p n ia lm c n lt protegido (a rt. 7). Se debe garantizar de

forma especial el tratamiento automatizado d e los d ito s d e carcter personal cuando
ellos se refieran a ideologa, afiliacin sindical, religin o creencias del afectado, asi
cee kis referentes a su origen racial, salud, vida sexual o a la comisin de
fracciones penales o administrativas.

Principio de seguridad (a rt. 9). El responsable deber adoptar las medidas

oecesaras de ndole fsica, organizativa o lgica con objeto de poder garantizar la
seguridad de los datos de los archivos.

Principio de acceso individual (a r t. 14). Cualquier persona tendr derecho a

Hber si sus datos son tratados de forma automatizada y a tener una copia d e los
mismos En el caso de que stos sean inexactos o se hubiesen conseguido de forma
ilegal tiene derecho a que sean corregidos o destruidos.

Principio de publicidad (a r t. 38l. Es preciso que exista un archivo pblico en el

que figuren los disertos de los archivos d e datos de carcter personal, tanto los de
ttularidad pblica como privada.

De estos principios se derivan los siguientes derechos: derecho de oposicin (art.

30). derecho de impugnacin de valoraciones (art. 13). derecho d e consulta al Registro
General de Proteccin de Datos (art. 14). derecho d e acceso (art. 15). derecho de
rectificacin y cancelacin (art. 16). derecho slc tutela (art. 18) y derecho de
iaJetnnizacin (art. 19.

Como rgano garante de estos derechos en la Ley figura la Agencia d e Proteccin

de Datos, ente de derecho pblico con personalidad jurdica propia y plena capacidad
pfcfaca y privada que acta con plena independencia slc las Administraciones Pblicas
ca el ejercicio de sus funciones. El Estatuto de la A gencia de Proteccin de Datos fue
aprobado por Real Decreto 428/1993 de 26 d e marzo y declarado subsistente por la
oposicin transitoria tercera de la LOPD.

Al frente de la A gencia figura un Direcior y consta de los siguientes rganos:

Cornejo Consultivo. Registro General. Inspeccin y Secretara General.

Las potestades de la Agencia son las siguientes:

Potestad reguladora. Segn el artculo 5 del Estatuto colabora con los rganos
competentes en el desarrollo normativo as como en la aplicacin de la Ley.

Potestad inspectora. Segn el artculo 40 d e la Ley corresponde a la Agencia la

h iptcrin de los archivos comprendidos en el mbito d e sta.

Potestad sanclonadora. La A gencia puede im poner multas de hasta cien m illo

nes de pesetas para los casos ms graves por las infracciones cometidas en el sector
 www.FreeLibros.me
12 At DHORlA LNKHLMAUCA: UN EXIOQO. PRACTICO

privado. Las san ci n correspondientes al sector pblico sern la cttablccid.it m b

legislacin sobre el rgim en disciplinario de las Administraciones Pblicas.

Potestad in m o v iliz a d o s. El Director de la Agencia. sgn el artculo 49. en ta

supuestos constitutivos de infraccin muy grave podr, mediinte resolucin motivad*
inmovilizar los archivos automatizados.

La Ley fue desarrollada por un Reglamento aproKado por Real Dccrm

1332/1994 de 20 de junio, y el artculo 9 fue desarrollado p<r RD 994/1999. de II de
junio que aprob el Reglamento d e Medidas de Seguridad, ambos declara**
subsistentes por la Disposicin Transitoria Tercera de la LOPD.

6.3. LA PRO TEC CI N JURDICA D E LOS PPOGRAMAS DE

COM PUTAD OR

Antes de hablar de su proteccin jurdica consideramos importante explicar qa

se entiende por programas de computador y cul es su lugar entre las diferentes clases
de bienes jurdicos dignos de proteccin en nuestro ordenamiento jurdico.

En una primera aproximacin, un programa de computdor se puede considenr

com o el conjunto de m ateriales elaborados conceptual mente para la solucin de a
problema de tratamiento automatizado de dalos.

El T exto Refundido de la Ley de la Propiedad Intelectual, aprobado por Rei

D ecreto Legislativo 1/1996 d e 12 de abril, en su artculo 96.1 lo define como:
secuencia de instrucciones o indicaciones destinadas a er utilizadas directa
indirectamente en un sistema informtico, para realizar u /u funcin o una tarea *
para obtener un resultado determinado, cualquiera que fu e ra su fo rm a de expresin
fijacin.

A las m ism os efectos, la expresin program as de ctm putador comprender

tambin su documentacin preparatoria. La documentacin tcnica y los mamio!n
d e uso de un programa gozarn de la misma proteccin que a te Ttulo dispensa a la
program as de computador".

Entre la categora d e los bienes, lo* programas de computador preseras

peculiaridades que los diferencian de los bienes con una entidad material y
susceptibles por tanto de una aprehensin fsica, Nuestro Cdigo Civil divide k
bienes en corporales e incorporales.

U n programa de computador, como una creacin de la mente que es. no puede kt

incluido en ninguna de estas dos categoras, por lo que hay qtK acudir a una nueva q *
e s la que se ha creado para este tipo de bienes, la d e los bienes inmateriales.
 www.FreeLibros.me
m w ___________ CAPITULO6; >1,MARCOWKjt>KY>IMiIA AliPITOttlAPTOttMATKA 115

Un b*en inmaterial es:

- Fruto o creacin de la mente.

- Para que se haga perceptible para el mundo exterior es necesario plasmarlo en
un soporte.
- Puede ser disfrutado sim ultneamente por una pluralidad de personas.

Por todo ello la apropiacin en los bienes inmateriales, por si sola, no es

sificientc para garantizar su goce exclusivo, a diferencia de lo que ocurre con los
Nenes materiales.

Si queremos que el titular de un bien inmaterial disfrute en exclisiva del mismo

es preciso, desde el punto de vi.su jurdico, que el Derecho prohba a todos los dems
la utilizacin o la explotacin del mismo y otorgue al titular un derecho en exclusiva.

Un programa de computador, corno se desprende de lo expuesto, es un bien

inmxenal y en funcin de tal hemos de procurar su proteccin jurdica.

La proteccin jurdica de los programas de computador, en priicipio. se puede

instrumentar utilizando las siguientes instituciones jurdicas conocida.: estipulaciones
ccocractualcs. secreto comercial, derecho de patentes, derecho de marcas y derecho de

Como fcilmente se desprende las cuatro primeras tienen una eficacia limitada,
aeodo ms amplia la ltima, por lo que es ste el sistema elegido p o ' considerarlo, a
pesar de las dificultades que presenta, el m s idneo. No obstante, li proteccin que
ti derecho otorga a los programas de computador es compatible con U proteccin que
se le pudiera otorgar por otra va.

La proteccin de los programas d e computador est regulada en el Texto

Refundido de la Ley de la Propiedad Intelectual (a partir d e ahora TRFI).

El articulo 10 del TRPI al referirse al objeto d e la propiedad intelectual dice:

"Son objeto de propiedad intelectual todas las creaciones origi,tales literarias,
artticas o cientficas expresadas p o r cualquier m edio o soparle tangible o
intangible. actualm ente conocido o que se invente en el f u t u r o y al enumerar las
obras comprendidas incluye entre ellas los programas de computador.

El TRPI regula la proteccin de los programas de computador e n el T tulo VII del

Libro I (arts. 93 a 104).

El artculo 95 seala que e l derecho d e autor sobre los programas de

conpniador se regir po r los preceptos del presente Titulo y. en lo que n o est
especficamente
 www.FreeLibros.me
I AtTHTOftlA IVHHtSTK~A t.N KNHXAt PK-ACTKX)

previsto en e l mismo, p or las disposiciones que resulten aplicables d e la presente

Les".

El autor por el voto hecho de crear una obra tiene una serie de derechos que k
dividen en: morales y patrimoniales o d e explotacin.

Los derechos morales, enumerados en el artculo 14. son irrcnunciabks e

inalienables.

Por contra los derechos patrimoniales o d e explotacin pueden ser transferid

libremente. Segn el artculo 17 "corresponde a l autor e l ejercicio exclusivo de los
derechos de explotacin de su obra en cualquier fo rm a y. en especial, los derechos t
reproduccin, distribucin, comunicacin pblica y transformacin, que n o podri*
ser realizados sin su autorizacin, salvo en los casos previstos e n la presente Ley~.

El artculo 100 fija unos lm ites a los derechos de explotacin en funcin de las
peculiaridades propias de los programas de computador principalm ente referidos a U
copia de seguridad y la ntcroperabilidad.

Por reproduccin, segn el articulo 18. "se entiende la fijacin de la obra en mi

m edio que perm ita su comunicacin y la obtencin d e copias d e toda o parte d t ella".

Distribucin, segn el artculo 19 e s "la puesta a disposicin del pblico del

original o copias de la obra mediante su venta, alquiler o prstamo o de cualquier
otra form a ".

Segn el artculo 20.1: S e entender po r comunicacin pblica todo acto por d

cual una pluralidad de personas p ueda tener acceso a la obra sin previa dislribuc*
de ejemplares a cada una d e ellas.

La transformacin de la obra, a tenor del artculo 21.1 "comprende su traduccin

adaptacin y cualquier otra modificacin en su fo rm a d e la que se derive una obra
diferente.

En principio el titular exclusivo de los derechos de explotacin ex el propio auto

(ait. 17).

A la titularidad de los derechos sobre los programas de computador dedica d

TRPI el artculo 97 presentndose los siguientes canos:

/. Ser considerado autor del programa d e computador la persona o grupo t

personas naturales que lo hayan creado, o la persona jurdica que sea
contemplada com o titular d e los derechos de autor en los casos
expresamente previstos p o r esta Ley.
 www.FreeLibros.me
IU1H_______________ CArtn'LO 6 M. MARCOJl'RllCO DI: l-A AUI>fTt)HAtMOKAIAIKA I ?T

2. Cuando se ira it d e una obra colectiva tendr la consideracin de autor, sa h v

pacto en contrario, la persona natural o jurdica ifue la edite o d iw lg u e bajo
su nombre.

i. Los derechos de autor sobre un program a d e computador que sea resultado

unitario de a colaboracin entre varios autores sern propiedad comn y
correspondern a todos stas en la proporcin que determinen.

4. Cuando un trabajador asalariado cree un program a de computador, en el

ejercicio de las funciones que le han su fo confiadas o siguiendo tas
instrucciones de su empresario, la titularidad d e os derechos d e explotacin
correspondientes a l program a de computador a s i creado, tanto e l programa
fuente como e l program a objeto, correspondern, exclusivamente, al
empresario, salvo pacto en contrario. ~

CuncJ<> exista una relacin mercantil se estar a lo pactado en el contrato.

1 .a titularidad de los derechos habr d e demostrarse por alguno d e los medios de

prueba admitidos en derecho. El articulo 6.1 dice: ~Se presum ir autor. sa !\o prueba
tn contrario, a quien aparezca como ta l en la obra mediante su nombre, firm a o signo
que lo identifique."

1.a inscripcin de un programa de computador en el Registro de la Propiedad

Istelectual no es constitutiva de derechos, sino sim plemente declarativo de los
derechos de propiedad intelectual sobre aqul, no constituyendo una prueba
indestructible sobre la titularidad de una obra determinada, sino que constituye una
nueva presuncin de dicha titularidad.

Las infracciones del derecho de autor pueden ser perseguidas por la va civil y la
va penal.

El Ttulo 1 del Libro III e s ti dedicado a tas acciones y procedimientos para la

fn tK c ijn d t lo derecho reconocido en la Ley.

Como medidas de proteccin figuran:

- Cese de la actividad ilcita (art. 139).

- Indemnizacin de los d a to s materiales y morales causados (art. 140).
- Medidas cautelares (art*. 141.142 y 143).
 www.FreeLibros.me
i AUtxnmlA m o r -ma u c a i ..n i -v h x x i inm co

El articulo 102 M i referido a la infraccin de los derechos respecto a la

programas de computador:

~a) Quienes pongan en circulacin na o ms copias de un programa t

computador conociendo o pudiendo presumir su naturaleza ilegtima.

b) Quienes tengan con fin es comerciales una o ms copias de un programa Jt

computador, conociendo o pudiendo presum ir su n a tu ra le s ilegitima. i

c ) Quienes pongan en circulacin o tengan con fin es comerciales <uahfma

instrumento cuyo nico uso sea facilita r la supresin o neutralizacin m
autorizadas de cualquier dispositivo trem en utilizado para proteger m
programa de computador. ~

En la va penal las infracciones del derecho estn tipificada* en los artculos 2T4
271 y 272 del Cdigo Penal* podiendo llegar las penas d e prisin a cuatro aftas y bt
multa a veinticuatro meses p a n lo casos ms grave.

6.4. LAS BA SES DE D A TO S Y LA MULTIMEDIA

Una base de datos, com o dice DA VARA RODRGUEZ, a quien seguiremos a

este apartado, e s un depsito comn d e documentacin, til para diferentes usuarios;
distintas aplicaciones, que permite la recuperacin de la informacin adecuada par ti
resolucin de un problema planteado en una consulta.

JAMES MARTIN define la base d e datos como una coleccin de duot

interrelacionados almacenados en conjunto sin redundancias perjudiciales
innecesarias; su finalidad es la d e servir a una aplicacin o ms, d e la mejor minen
posible: los datos se almacenan de modo que resulten independientes de los programa
que los usan: se emplean mtodos bien determinados para incluir datos nuevos y pan
modificar o extraer los datos almacenados. Dicese que un sistema comprende un
coleccin de bases de datos cuando sta son totalmente independientes desde el puae
de vista estructural.

Una base de datos se compone de un contenido y de una estructura de ese

contenido.

El contenido de una base de datos puede s e r textos, grficos, sonidos, imgenes

fja se im genes en movimiento.

En lenguaje informtico a esto se le suele denominar media, a la que iks

referirem os especficamente ms adelante.

4Ley OrtfeK* I (VI995de 23de nonctritot

 www.FreeLibros.me
HM_______________CArtTVtO6 O. MARCOil'RlMCO DE LA AUDITORIA IXKM>MATKA I

Lgicamente cada uno de e*to* contenidos tendr un titular de los derechos de

tor sofcre los mismos.

Pero oon independencia de esto, que es importante > que habr de tenerse en
ctenu a la hora de crear una base de dalos, lo que aqui tratamos d e buscar e s la
proteccin jurdica de esa estructura para la que ha sid o necesaria una obra de
creatividad al seleccionar, clasificar y ordenar sus respectivos contenidos. En
definitiva %e trata de una obra de creatividad intelectual y. por tanto, objeto de
proteccin Hay veces, sin embargo, que no se trata de una creatividad intelectual, y
so obstante su valor econmico es grande.

Las primeras bases estn protegidas por el derecho de autor y las segundas por un
dered su gen tris al que se refiere la Directiva de la Unin Europea 96/9/C E del
Parlamento Europeo y del Consejo d e 11 d e marzo d e 1996.

Es importante analizar la funcin d e los diferentes autores que participan en la

atarin. desarrollo y explotacin de una base de datos, sus relaciones contractuales y
la proteccin jurdica d e la titularidad d e las bases d e dalos.'

En un principio en una base de datos participan: el creador o promotor, el

dstribuidor y el usuario.

Creador o promotor es toda aquella persona fsica o jurdica que partiendo de una
idea selecciona, clasifica y ordena un determinado tipo de informacin creando una
ta e de dalos, la mantiene y la actualiza.

Distribuidor es asimism o toda persona ffsica o jurdica que comercializa el

producto

Por ltimo, usuario es toda persona fsica o jurdica que utiliza y consulta la base.

Entre m a d o r o promotor y distribuidor existe una relacin contractual en la que

d primero se compromete a la creacin, mantenimiento y actualizacin de la base y el
Kgaado a mi comercializacin, aunque en algn caso podra llegar a su distribucin
pioiiu

Los contratos entre el distribuidor y el usuario suelen ser de los denominados de

adhesin, en las que el primero fija las condiciones y el segundo sim plemente se
adhiere a ellas.

Pan urvfar d Kmi \ t r IORGF. PEZ MAN Hau, r Dato, JurU k* Cm ix CSIC.
 www.FreeLibros.me
IX ALDrTORAINFORMATICA UNISTOOUBmACTlCO___________________________ t u

La proteccin jurdica en nuestro ordcoim iento jurdico viene dada por el viyen*
Texto Refundido de la l-cv d e la Propiedad Intelectual de 12 de abril de 1996 y por U
Directiva de la Unin Europea, incorporad al ordenamiento jurdico espato) por b
Ley 5/1998 de 6 de marzo.

En definitiva lo que te protege en una base de dato* no ex simplemente d

alm acenamiento de obra*. su ordenacin y recuperacin, u n o que e* todo d
procedim iento de creacin y el resultado final de la misma, en cuanto a su contenida
anlisis, almacenamiento, clasificacin, (eleccin, y ordenacin que caracteriza a li
base de datos en si.

Com o hemos dicho anteriormente, en lenguaje informtica se denomina media a

las diferente* clases de archivo* que se pueden utilizar en un *i*tema:

Siguiendo a MILL stos pueden ser los siguientes:

a) A rchivos de textos. stos contienen la descripcin numrica de la

informacin redactada mediante signo* alfanumrico*.

b) A rchivos grficos. Contienen la descripcin numrica de un diseto.

c) Archivos de sonidos. Contienen la descripcin numrica de una onda

sonora.

d) Archivos de im genes fija*. Contienen la descripcin numrica de una

imagen formada por pixele* ordenado* en columna* y filas.

e) Archivos de im genes en movim iento. Contienen la descripcin numrica

de im genes en movim iento y se llaman corrientemente vdeos.

Estos archivo se pueden procesar sim ultneamente y alm acenar en el miuao

soporte. Esta combinacin d e archivos permite producir creaciones multimedia.

Multimedia se puede definir com o la combinacin de todo tipo d e sedales de vot

dato*, imgene* y escritura. E* un concepto global que abarcar una gran diversidad
de servicias.

Entre la* obras multimedia encontramos:

a) Videojuegos. Se suele tratar de obras creadas como multimedia y no suelen

incorporar elem entos de obras ajenas.
b) Educacin y entretenim iento. Programa* de emeAan/a y de entrenamiento
C) t'tiuiainmeni. Productos que enseAan al usuario mientras juega.
d) Revistas.
 www.FreeLibros.me
CAPTULO 6: LL MARCOJURIDICO DF. LA AUDITORIA IVUW.MATKA I <I

C) Publicidad.
0 Simuladores.

I j obra multimedia Mielen ser producto de un equipo, se tr.ua d e obras colecti

vas y su titularidad sud e tenerla una persona jurdica.

En gran nmero de casos una obra multimedia ser una obra derivada, pues se
trabajar sobre una obra ya existente de la que se debern tener los derechos
cecrtjpondicntcs salvo que se trate de obras d e dominio pblico.

Para la creacin de obras multimedia se suelen utilizar las llamadas herramientas,

por ejemplo: lenguajes de autor. De estas herramienta. se deber tener licencia para
so uso.

Igualmente se suelen utilizar grficos, fotografas, etc. que existen e n archivos

atados al efecto y tambin habr de contratarse su utilizacin.

Puede suceder tambin que se incluyan obras de vdeo con interpretacin de

anistas. con los que habr que contratar la necesaria autorizacin.

En resumen, el m undo de la multimedia es un sector en gran auge que como todo

1o noeso plantea problem as en las relaciones entre los intervinientes que el derecho
efeer resolver en aquello que an no est contemplado en el ordenamiento jurdico.

8.5. LOS D ELITOS INFORM TICOS

Fraude puede ser definido como engaflo, accin contraria a la verdad o a la

rwwud. La definicin de delito puede ser ms compleja.

Muchos estudiosos del Derecho Penal han intentado form ular una nocin de
ehio que sirviese para lodos los tiempos y en todos los pases. Hslo no ha sido
posible dada la ntima conexin que existe entre la vida social y la jurdica de cada
pseblo y cada siglo, aqulla condiciona a sta.

Segn el ilustre penalista CUELLO CALN los den tem o s integrantes del delito

a) El delito es un acto humano, es una accin (accin u omisin).

b) Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro
un inters jurdicam ente protegido.
c) Debe corresponder a un tipo legal (figura de delito), definido por la ley, ha
de ser un acto tpko.
 www.FreeLibros.me
! >.' Al'tHTORlA INWM.\Tlt'A l Nt-NKMJI I rWACtlt O

d) El acto ha de ser culpable, imputable a dolo (intencin) o a culpa

(negligencia), y una accin es imputable cuando puede ponerse a cargo de
una determinada persona.
e) 1.a ejecucin u omisin del acto debe estar sancionada con una pena.

Por tanto, un delito es: una accin antijurdica realizada por un ser hunum,
tipificado, culpable y sancionado con una pena.

Se podra definir el delito informtico com o toda accin (accin u omiue)

culpable realizada por un ser humano, que cause un perjuicio a personas sin que
necesariamente se beneficie el autor o que. por el contraro, produzca un beneficio
ilcito a su auux aunque n o perjudique de forma directa o indirecta a la vctima
tipificado por la ley. que se realiza en el enlom o informtico y est sancionado coa
una pena.

Contemplado el delito informtico en un .sentido amplio se pueden formar vario*

grande grupos de figuras delictivas claram ente diferenciadas:

a) Delitos contra la intimidad.

b) Delitos contra el patrimonio.
c) Falsedades documentales.

El Cdigo Penal vigente, al que nos referiremos a partir de ahora, fue aprobado
por la Ley Orgnica KVI995 de 23 de noviembre.

Delitos co n tra la intim idad

El T itulo X. Delitos contra la intimidad, el derecho a la propia imagen y U

inviolabilidad del domicilio, dedica su Captulo Prim ero, que comprende los artculos
197 al 200. al descubrimiento y revelacin d e secretos.

Este captulo, aparte de otras materias, viene a regular, en sede penal. I

infncrum r* jii te convelan en el Ambito de la U y Orgnica 5/1992. de 29 de octutcc,
LORTAD.

El artculo 197. en su punto I. contempla la figura d e quien para descubrir los

secretos o vulnerar la intimidad de otro se apodera de measajes d e correo electrnico o
cualesquiera otros documentos. Aqu entendemos que. a tenor de lo que dispone el
artculo 26 de la Ley. se encuentra comprendido cualquier tipo de documento
electrnico.

En el mismo punto tambin se comprende la interceptacin de Us

comunicaciones, la utilizacin de artificios tcnicos de escucha, transmisin,
grabacin o reproduccin del sonido o de la imagen o de cualquier otra scftal de
 www.FreeLibros.me
Ilm i_______________ CArtUVO 6. bl. MARCOIL'RlDtCOPC AlOtTORA INXKMAT1CA I

comunicacin. Pensamos que entre lo anterior se encuentra el pinchado de redes

nformtkas. Es im portante advenir que en c a e punto no se hable para nada de datos
de carcter per-axial ni de datos automatizados, a los que se refiere el m ism o articulo
t e punto siguiente, sino a secretos y a vulneracin de la intimidad e n general.

El punto 2 del artculo se refiere especficamente a datos d e carcter personal

pero abarcando no slo com o actualmente hace la LORTAD. los archivos
form ticos, electrnicos o telemticos, sino tambin los archivos convencionales.

'L as m ism as penas se impondrn a quien, sin estar autorizado, te apodere.

Mttice o modifique, en perjuicio d e tercero, datos reservados d e carcter personal o
faliar de otro que se hallen registrados en archivos o sopones informticos,
dectrnicos o telemticos, o en cualquier otro tipo d e archivo o registro pblico o
priwtdo. Iguales penas se im pondrn a quien sin estar autorizado acceda por
cualquier medio a los mismos y a quien los aliere o utilice en perjuicio del titular de
(m datos o de un tercero. "

En los puntos siguientes del artculo las penas se agravan si los datos se difunden,
revean o ceden. Asimismo se sanciona a quien conociendo su origen ilcito y sin
hsfcer tomado parte en el descubrimiento los difunda, revele o ceda.

El hecho de que quien cometa el delito sea el encargado o el responsable del

archivo agrava la pena.

Existen unas circunstancias agravantes que se dan en funcin de:

a) El c a r ic ia de los datos: ideologa, religin, creencias, salud, origen racial y

vida sexual.
b) Las circunstancias de la vctima: menor de edad o incapaz.

13 hecho de que se persiga un fin lucrativo igualm ente eleva la pena

La condicin de autoridad o funcionario pblico agrava las penas dada la

situacin de pnvilegio e n que acta <ari. 198).

Delitos c ontra el patrim onio

Los delitos contra el patrimonio y contra el orden socioeconmico figuran en el

Ttulo XIII.
 www.FreeLibros.me
I.M AUDITORIA IsaOftMVTKA: UX E.VPOQ1T PKCUCO

Es importante, en el dom inio en que nos n w e m o s . lo que se dice en el artictk

239. al tratar de la llaves falsas, al considerar llaves las taijeta*. magntica o
perforadas, y los mandos o instrumentos de apertura a distancia.

Asi las tarjetas magnticas sustradas a sus propietarios se considerarn Iluso

falsas, lis importante esta consideracin en relacin con el artculo 238 en que pan
calificar un delito de robo con fuer/a en las cosas es necesario que concurra algn de
varias circunstancias entre las que se encuentra el uso d e lia s falsas.

Entre los delitos contra el patrimonio se encuentran: la estafa informtica. I

defraudaciones, los daos informticos y la propiedad intelectual.

E stafas Inform ticas (a r t. 248.2)

La estafa se puede definir'' como el petjuicio patrimonial realizado con nimo de

lucro mediante cngaAo.

El engaito e s elemento necesario de este delito. Consiste, segn CUELLO

CALN, en aprovecharse del erre provocado o mantenido por el agente en la p e n o
engatada.

Hasta la entrada en vigor del nuevo Cdigo Penal ha sido difcil recondurir
determinados fraudes informticos hacia la figura de la estafa debido a la inexistcnc
del elemento de engaito a una persona.

E l punto 2 del artculo 248 dice: Tambin se consideran reos d e estafa los tfiu.
con nim o de tuero, y valindose d e alguna manipulacin informtica o artificio
semejante consigan la transferencia n o consentida d e cualquier activo patrimonial rn
perjuicio d e tercero."

D efraudaciones (a r t. 256)

Se considera defraudacin el uso, sin consentimiento de su titular, de cualquier

equipo terminal de telecomunicacin.

*F.UOENK) CUELLO CALN.

Barixlon*. 1972. p%. 914.
Otrnhu/Vnul // iPanrEipreial \ W n tepmol BokK
 www.FreeLibros.me
L_________________ CAPtn'IOft n . MARCOlURlDHt) IM-. I.A AUOfTOKlA INfOftMTICA 1)5

I Dien inform ticos (a rt. 264.2)

Segn el articulo 264.2 se sanciona "al que p o r cualquier medio destruya, atiere.
' utilice o de cualquier otro m odo daAe los datos, program as o documentos
dKtrfaicos ajenos contenidos en redes, sopones o sistemas informticos".

Entre esa* situaciones se pueden incluir tos famoso* u r o s informtico*, bombas

tnicas y h a d e n .

Propiedad intelectual (art*. 270, 271 y 272)

lo* delito* relativos a la propiedad intelectual c industrial, al mercado y a los

cocBumidorc* *c contemplan en el Captulo IX.

"Articulo 270. Ser castigado con la pena de prisin de seis meses a dos aos o
i t mvka de seis a veinticuatro meses quien, con nim o d e lucro y en perjuicio de
uretra reproduzca, plagie, distribuya o comunique pblicamente, en todo o en parte,
wa obra literaria, artstica o cientfica, o su transformacin, interpretacin o
ejecucin artstica fijada en cualquier tipo d e soporte o comunicada a travs de
cualquier medio, sin la autorizacin de los titulares de los correspondientes derechos
epropiedad intelectual o de sus cesionarios.

Ui misma pena se impondr a quien intencionadamenle importe, exporte o

almacene ejemplares de dichas obras o producciones o ejecuciones sin la referida

Ser castigada tambin con la misma pena la fabricacin, puesta en circulacin

) tenencia de cualquier m edio especficamente destinado a fa c ilita r la supresin no
orizada o la neutralizacin de cualquier disposit-o tcnico que se haya utilizado
para proteger program as de computador.

Es interesante advertir que no slo *c sanciona la fabricacin o puesta en

circuicin. sino la sim ple tenencia de un dispositivo para saltarse las llave* lgicas o
1 famosas mochilas".

Se elevan la* penas si el beneficio obtenido c* cuantioso o el darto causado es

gnve. y adems se inhabilita al autor del delito para el ejercicio d e la profesin
itbckxud* con el delito com etido (art. 271).

Estos artculo* son. en sede penal, la respuesta a esa lacra de nuestro tiempo que
es b piratera informtica.
 www.FreeLibros.me
I AtDfTOKlA IMOftUnCA: U \ fc.NFOQlt PHACTK~Q___________________________ t u

Esta resulta muy daAina para el desarrollo informtico, pero entendemos que tk
con la am ena/a de una sancin penal n o se soluciona el problema. Es necesaria m
labor educativa, pues hasta que no hayamos convencido al infractor de que cumio
est copiando ilcgalmcnte un programa de computador ex com o si estuviese rotado
la cartera a otra persona, difcilmente se hallar solucin. Insistimos: resulta vital ea
labor educativa.

D elitos de falsedades

Las falsedades se contemplan en el T itulo XVIII del Cdigo. La asimilacin qee I

hace el artculo 387 de las tarjetas de dbito y de crdito a la moneda es irnj I
im portante de cara a la defensa de stas frente al ataque criminal de que estn scenij
objeto.

En el artculo 3S6 se sanciona su falsificacin y puesta en circulacin.

A la falsificacin de los documentos pblicos oficiales y mercantiles y de le#

despachos transmitidos por los servicios d e telecomunicacin se dedica la Seccin 1*
del Captulo II de este Ttulo (aiu . 390 a 395 y 400). Com o decamos al principio d
artculo 26 del Cdigo, al considerar documento todo soporte material que exprese o
incorpore datos con eficacia probatoria o cualquier tipo de relevancia jurdica percitc
que cualquier artculo del Cdigo que se refiera a un documento pueda ser aplicad) i
ste aunque sea electrnico.

6.6. LOS C O N TR A TO S INFORM TICOS

El contrato informtico, segn DAVARA RODRGUEZ1 e s aquel cuyo objeto

es un bien o un servicio informtico - o a m b os- o que una de las prestaciones de lar
parte tenga p o r objeto ese bien o servicio informtico. ~

N o exiMe un ntonerus clausus d e los contratos informticos y pueden seguir

multiplicndose, lo que viene sucediendo en funcin de los avances tcnicos y de
mayor utilizacin por la sociedad.

Los contratos informtico* se suelen dividir en tres grandes grupos: hardware,

software y servicios.

Entendemos que esto divisin no responde ya a la realidad, y para una mayor

clarificacin del problema y una mayor homogeneidad esta clasificacin se debe
ampliar del siguiente modo:

MIGUEL ANGEL DAVARA RODRGUEZ Ow V liformto. Aruva*. Pw*>lou. I99J.

t*t 2H
 www.FreeLibros.me
CAWTVhO liL MARCO IlIRlMCO Oti LA AUDTORAIXKMIMT1CA 137

1. Contratacin del hardware.

2. Contratacin del software.
3. Contratacin de datos.
4. Contratacin de servicio*.
5. Contratos complejos.

Hnvu el presente, el tercer grupo dedicado a los servicios venia siendo una
opcoe de cajn de sastre donde iban a parar todo* los contratos que no se referan
etpeoficamente al hardware o al software. Asf contemplbamos en ese grupo la
cocKrcialiiKtn de los datos y una serie de contratos de cierta complejidad que
comprendan en s mismos aspectos de hardware. de software y de servicios.

Contratacin del hardware

El objeto de la contratacin en esta clase de contratos es el hardware, o sea, la

pira fsica del computador y de sus equipos auxiliares.

Este tipo de contratos no suelen presentar problemas especficos. Los contratos

nis usuales son los siguientes:

a) Compraventa
b) Arrendamiento.
c) Arrendamiento financiero (leasing)
d) Mantenimiento.

Ccatratacin del software

Ya nos hemos referido a esta categora de bienes anteriormente y a sus especiales

peculiaridades. Los contratos ms com entes son los siguientes:

Desarrollo de software

Se trata del caso en que una persona fsica, un colectivo o una empresa crean un
teft**re especfico, a medida para otro. E l tipo de contrato puede ser: arrendamiento
de servicio o de obra, mercantil o laboral.

Ucencia de uso

Ei el contrato en virtud del cual el titular de los derechos de explotacin de un

projranu de computador autoriza a o tro a utilizar el programa, conservando el cedente
 www.FreeLibros.me
IU MlHTOftlA INKIWIMK'A I VHSHJtJtl. fHACTKO

la propiedad del mismo. Esta autori*tkm, salvo pacto e n contrario, se entiende de

carcter no exclu vo e intransfcriMc.

Adaptacin de un software producto

Se trata le la contratacin de una licencia de uso d e un producto estndar q* j

habr que adaptar a las necesidades del usuario.

M antenimiento

El contrato de mantenimiento, en principio, tiene por objeto corregir cualquo

error detectado en los programas fuera del periodo de garanta. Se consideran vina
tipos de mantenimiento: correctivo, d e adaptacin, perfectivo y preventivo.

Garanta de acceso a l cdigo fuente

Es aquel que tiene por objeto garantizar al usuario el acceso a un programa foeMt
en el caso de que desaparezca la empresa titular d e los derechos de propoeda]
intelectual. Consiste e n el depsito del programa fuente en un fedatario pblico, qx
k> custodia, por si en el futuro es preciso acceder al mismo.

C o ntratacin de datos

El valor de la informacin en esa sociedad del saber a la que nos referamos aetej
aumenta cada da. La comercializacin de las bases de dalos e s ya muy importante, y
la apertura de esav autopistas d e la informacin, d e las que tanto se escribe, har erees
cxponencialm ente esc mercado.

I-os principales contratos son los siguientes:

Distribucin de la informacin

El contrato d e distribucin, segn PEZ MA* consiste en le

comercializacin d e la base d e datos, durante un cierto perodo de tiempo a cambio
de un precio, lo que origina la obligacin p o r p<irte d e l titular de la base d e aportar
los datos que deben hacerse accesibles a los futuros usuarios, en una fo rm a adecuado
para su tratamiento p o r el equipo informtico del distribuidor, y ceder a este ltimo.

' JORGE PEZ MA$. BasesdedatefurUiem. Cmdoc CSIC. MiilnJ. 1994. pig. ISfe
 www.FreeLibros.me
CAPtTtLO fcL StAKCORHItHCO D IA AI;HT<ilA INIOKMT1CA IW

t* eiclusiva o compartidos con otros distribuidores, los derechos de explotacin que

prt\ramente haya adquirido po r cesin o transmisin d e los autores d e las obras ",

Suministro de informacin

Mediante este contrato el usuario puede acceder, siempre que k> precise, a Us
toses de datos del distribuidor.

Compra

Es un contrato por el que el titular propietario de una base d e datos vende a otro
ni copia de sta con b posibilidad de que el adquirentc. a su vez. pueda no slo
siria uno mezclarla con otras propias para despus comerciar con ellas. Todo ello,
por wpuesto, respetando lo dispuesto en la Ley 5/1992.

Cesin

Es un caso parecido al a m enor salvo que slo se permite el uso por el cesionario
de la base sin que se le permita la transmisin posterior.

Conpra de etiquetas

En este caso no se permite al comprador la reproduccin d e las etiquetas y s su

empleo para envos por correo.

Contratacin de servicios

Los contratos de servicios informticos ms importantes son los siguientes:

- Consultara informtica.
- Auditoria informtica.
- Formacin.
- Seguridad informtica.
- Contratacin de personal informtica.
- Instalacin.
- Comunicaciones.
- Seguros.
- Responsabilidad civil.
 www.FreeLibros.me

C ontrato* complejo*

Lo* contratos complejos son aquello* que contemplan lo* m'tem as inforraidet
como un todo incorporando al objeto del mismo, tanto el hardware como el to/ruarj
alguno* servicios determinados. Lo* m i* usuales son lo* siguiente*: i)

Contratacin global o parcial d e te n i d o s informticos (outsourcing)

Se trata de la subcontratackSn de lodo o de parte del trabajo informtico media.,

un contrato con una e m p ro a externa que se integra en la estrategia de la empraa;
bu*ca disertar una solucin a los problema* existente*.

Contrato de respaldo (back-up)

Su finalidad es asegurar el mantenimiento de la actividad empresarial en el ciso

de que circunstancias prevista* pero inevitable* impidan que siga funcionando d
sistema informtico.

Contrato de l!a\e en m ano (tum-key-packagc)

n esta d a se de contratos el proveedor se comprom ete a entregar el siuen*

creado donde el cliente le indique y asume la responsabilidad total de disrio,
realizacin, prueba*, integracin y adaptacin al enlom o informtico del ctenle uro
lgico com o fsico.

Contrato de suministro de energa informtica

Com o se tala GETE-ALONSO y CALERA* es: aquel mediante el que una pont
- e l sum inistrador- poseedor d e una unidad central q u e permanece en sus lcala
pone a disposicin d e l usuario la misma, lo que le permite e l acceso a lo t 'softxare',
a cambio de un precio ".

* MARIA DEL CARMIN GETE-ALONSO > CALERA. La (oainiiaeto tn mafrita

La !<> ntm JOOS. NUdJ. nu>o 1992. plg 10
 www.FreeLibros.me

8.7. EL INTERCAMBIO E LEC TR N IC O DE D A TO S

En la poca en que vivim os todas las organizaciones, tanto privad** como

pfttkas. deben mejorar su productividad examinando los diferentes factores que
pueden influir en los resultados.

Entre estos fa c to r se encuentran algunos de especial importancia como la

ftduccin de coste, la agilizacin administrativa y la eliminacin de errores. E tfo se
foede mejorar eliminando intermediarios entre el origen y el destino de ios data*.

Como fruto de esta necesidad d e comunicarse con rapidez y seguridad en el

mando actual nace el Intercambio Electrnico d e D atos conocido intemacionalm cnte
por sus siglas en ingls EDI (Electronic D ata Interehange) que e s un sistema
informtico que permite las transacciones comerciales y administrativas directas a
travs del computador sin necesidad d e realizar ningn trmite. Significa ahorro de
betapo y de papel.

Podemos definir el EDI com o el intercambio de datos en un formato normalizado

ire los sistemas informtico de quienes participan en transacciones comerciales o
faiafotrativas.

Un menta de este tipo ha de cum plir tres requisitos bsicos:

- El intercambio se ha de realizar por medios electrnicos.

- El formato tiene que estar formalizado.
- La conexin ha de ser de computador a computador.

En un sistema EDI son las aplicaciones informticas de las empresas o de las

Administraciones Pblicas las que "dialogan" entre si sin necesidad de intervencin
besana.

Significa, y esto e s lo que nos interesa, el reemplazo del papel como elemento
nnuncial de la vinculacin y comunicacin ncgocial por un soporte informtico.

Las razones que se pueden esgrimir para la im plantacin del EDI son:

- Precisin.
- Velocidad.
- Ahorro.
- Beneficios tangibles.
- Satisfaccin del diente.
 www.FreeLibros.me
u : iM'WTOKlA INFORMATICA: UN F.VFOQtlEF*CTKt>

FJ F.DI e s aplicable en el comercio, la industria, el trasp o rte > las diertski

Administraciones Pblicas.

La aceptacin legal del EDI es un tema de suma importm eia, sin dixla detris de
la organizacin del mismo subyace un entendim iento entre la* partes que in te rn e n
que estn dispuestas a aceptar una serie de obligaciones y de renunciar a cim a
derechos a efectos del buen funcionamiento del sistema.

listo derechos y obligaciones se plasman en los correspondientes contratos: d

contrato de intercambio d e informacin y el contrato con las compartas ic
comunicaciones.

6.8. LA TR A N SFER EN C IA ELEC TR N IC A DE FONDOS

Una Transferencia Electrnica de Fondos (a partir de ahora THF> puede significa;

muchas cosas. Si consideramos un concepto am plio de la mi-.ma puede abarcar iota
tipo de envos de fondos que se realicen por medios electrnicos.

Se puede definir como la transferencia d e fondos que de forma automtica a

ejecutada inmediata y sim ultneamente a la orden dada por e l titular d e la coca
bancaria por medio de un sistema electrnico.

Podemos considerar que existen cuatro tipos principalci d e T E F que han id

apareciendo en el tiempo, co n sisen y son operativos en la actuilidad:

- Transferencias entre entidades financieras.

- Transferencias entre otras organizaciones y las entidades financieras.
H! usuario colabora y . mediante las tarjetas de plstico y los cajera
automticos, obtiene una serie de servicios bancarios.
- Se potencia el sistema con term inales en lo s puntos c venta y el banco en
casa.

Por su gran trascendencia social nos referirem os a continuacin al fenmeno de

las tarjetas de plstico.

Las tarjetas de plstico o tarjetas com o medio d e pago, por ahora fas
denominaremos as. con su continuo y ascendente desarrollo, se estn conviniendo en
un medio de pago cada vez ms im portante en el trfico mercaitil sustituyendo poco
poco al dinero papel y el cheque.

La Unin Europea siempre sensible a aquellos problemas que puedan tena

alguna trascendencia de cara a la creacin del mercado tilico y asimismo a la
constitucin de la Europa de los ciudadanos, ha dedicado una Comunicacin, d a
 www.FreeLibros.me
CAP<niL06 H. .UAKCOJVKlDICO DE LA AUWTOKlA IStOHMTKA IO

Rccccxndacioncs y una Directiva a los sistemas de pago electrnico, su

aomufancin e intcropcrabilidad.

Aunque existen notas comunes entre los diversos tipos de tarjetas. la

fereo: acin entre ellas viene dada por su contenido contractual (derechos y
Mipciones) con independencia de la denominacin que les otorgue la entidad
cstsora.

Tarjetas propiam ente de crdito

Son aquellas que. com o su nombre indica, proporcionan un crdito al titular de la

Tarjetas de dbito

Emitidas por Entidades de Crdito, permiten a sus usuarios realizar compras en

los establecimientos comerciales y a la vez. ofrecen una gama de operaciones
tacanas. En principio no estn limitadas a un solo establecimiento comercial
vinculudo necesariamente la tarjeta a una cuenta corriente bancaria.

Estos dos tipos de tarjetas nos permiten utilizar los cajeros automticos y los
terminales puntos de venta.

El Cdigo Europeo de Buena Conducta en materia d e pago electrnico contenido

ea la Recomendacin de 8 de diciem bre d e 1987 respecto a los contratos dice:

'a l Los contratos celebrados entre los emisores o su representante y los

prestadores o los consumidores revestirn la form a escrita y debern ser
objeto de una peticin previa. Definirn con precisin las condiciones
genrate y etpeeifieos J e t acuerdo.

b) Se redactarn en la/s lengua/s oficiales d e l Estado miembro en <fue se haya

celebrado.

c) Cualquier tari faetn del baremo de cargas se fija r con transparencia te

niendo en cuenta tas cargas y riesgos reales y n o supondr ningn obstculo
a la Ubre competencia.

d) Todas las condiciones, siempre que sean conforme a la Ley. sern

libremente negociables y se establecern claram ente en e l contrato.
 www.FreeLibros.me

e t I jis condiciones especificas d e rescisin d e l contrato se precisarn y cok*

mearn a las partes d e la celebracin del contrato."

E n sntesis !o que se hosca en esta Recomendacin transparencia, y que didas a

las condiciones en que se establecen estos contratos, la pane ms fuerte no u lp I
beneficiada.

En el mundo empresarial la implantacin de esta* nuevas tecnologas por paite de

las Entidades Financieras ha favorecido una evolucin histrica en el concepto de I
que era la tesorera en las empresas, que ha pasado d e ser una tesorera porametfc
administrativa a ser una tesorera de gestin que puede y debe generar beneficios por
s misma.

El conocimiento inmediato d e posiciones y operaciones y la transferencia ca

instantnea permite reducir provisiones y al mismo tiempo situar el dinero en el lupr
donde ms produzca.

6.9. LA C O N TR A TA C I N ELEC TRN IC A

En una primera aproximacin al tem a por contratacin electrnica o contraucia

por medios electrnicos se puede entender todo intercambio electrnico de d<M o
documentos cuyo objeto sea la contratacin.

Sin embargo, en todos ellos no se pactan las clusulas del contrato en el milite
momento del intercambio electrnico. As vemos en los epgrafes anteriores que un
el intercambio electrnico de datos (EDI) como la transferencia electrnica de forado*
(TEF) son el resultado de un macrocontrato anterior realizado por el siuesu
tradicional en el que las partes han fijado los trm inos del mismo y e n el que m urta
veces lo que hacen es renunciar a una serie de posibles derechos.

En este epgrafe nos referiremos a otro tipo de contratacin electrnica: aqaellt

en la que el contrato se establece en el momento de la transaccin electrnica sin que
se tu y a |a.I a Iu nuda m xcvuiaincm c con anterioridad.

M. SCHAUS" dice que en la form acin del contrato estas nuevas tecnologa
influyen desde tres pticas diferentes:

- Desde el grado de inmediatez.

 www.FreeLibros.me
CArtnilOfc EL MARCOJURDICODE LA AUttTORlA INFORMTICA MS

- Desde la calidad del dilogo.

- Desc la seguridad.

Desde ri grado de inm ediatez

En nuestro derecho existe disparidad d e criterios entre el Cdigo Civil y el de

Comercio a la hora de determinar en qu momento se perfecciona el contrato.

El articulo 1262 del Cdigo Civil dice: "El consentimiento se manifiesta p o r e l

m a rn o de la oferta y de la aceptacin sobre la cosa v la causa q u e han de constituir
rl contrato, l a aceptacin hecha p o r c a n a no obliga a l que hizo la o ):n a sino desde
fK lleg a su conocimiento. E l contrato, en ta l caso, se presum e celebrado en el
Ufxr en qve se hizo la ofena. ~

Por su pane en el artculo 54 del Cdigo de Com ercio selala: "L01 contratos que
u ctlrbren por correspondencia quedarn perfeccionados cuando Us contratantes
hieren aceptado su propuesta. "

Desde la calidad del dilogo

Entre los diferentes procedimientos existentes hoy da el que m a y x se asemeja a

na dilogo es la videoconferencia. E n ella lo interlocutores pueden preciar no slo
d contenido del mensaje, sino tambin la entonacin, gestos y silencios

El telfono ofrece idnticas posibilidades excepto que los iivcriocutores no

{don verse.

Desde la seguridad

Desde el punto de vista jurdico el concepto d e seguridad se refiere a la

Beatificacin de la identidad del usuario y a las huellas que deja la transaccin y que
fuedee ser utilizadas como prueba.

Vemos que del grado del cumplimiento de estos tres aspectos, admitiendo que se
d n en la contratacin electrnica, depende en gran pone su inclusin como una nueva
forma de contratacin, con sus peculiaridades, pero dentro de u iu ortodoxia
costra: tual.

A fin de comprobar si existe un acuerdo de voluntades cMre las partes

tratantes a los efectos del art. 1261 del Cdigo Civil es importarte clasificar los
 www.FreeLibros.me

diferente), tipos de contratacin electrnica que se pueden presen lar e n funcin de

cmo acta la parte contratante emisora y la pane contraame receptora. Pm
sim plificar consideraremos que ambas parles actan d e la misma form a, aunque ro
supondra ningn problema que esto no fuese asf.

Sin desear ser exhaustivos consideramos que se pueden presentar los siguientes
casos:

a) Com unicacin entre dos computadores personales.

b) Com unicacin entre varios computadores personales a travs d e un Centro
de Compensacin.
c) Com unicacin entre dos sistemas informticos.
d) Com unicacin entre varios sistemas informticos mediante un Centro de
Compensacin.
e) Comunicacin entre dos Sistemas Expertos.

I x casos b) y d) sim plemente los apuntamos para dejar constancia de sa

existencia.

En los casos a) y b) el computador se lim ita a transferir una informacin qse

contiene una expresin de voluntad contractual.

En principio, salvo que existan problem as de autentificacin a los que n a

referiremos ms adelante, entendemos que esta voluntad transmitida forma parte de ur
negocio jurdico vlido.

El problema se complica en los casos c) y d) cuando los que estn ea

comunicacin son dos sistemas informticos (computadores) y lo que se transmite r
se lim ita a ser slo una informacin que incorpora una voluntad contractual, sino que
sta puede, venir alterada por una serie de aspectos que incorpora el propio sistema
informtico.

Problemas que se nos pueden presentar en la contratacin electrnica son:

identidad de los contratantes, extensin o no de este tipo de contratacin a todos los
contratos, cundo y dnde se concluye el contrato?, a u ten tica ci n , factor tiempo y
confidencialidad.

Los avances tecnolgicos y la adaptacin del Derecho a estas nuevas situaciocw

deben superar los obstculos que la generalizacin de una forma de contratacin
presenta.
 www.FreeLibros.me

6.10. EL D OCUM EN TO ELECTRN ICO

E< com ente identificar documento con soporte papel y escritura, pero esto no
skmffc es as,

P j/a ROUANET M O SC A RD " un documento es: "Un objeto normalm ente

a trito en el que. p or u n to , se plasm a a lgo mediante letras u otros signos trazados o
impresos sobre e l papel u otra superficie, pero que e.xcepcionalmente puede n o ser
escrito: y e t un objeto en e l que puede representarse un hecho natural o un acuerdo
de wiiuntades (hecho w luntario. arte o negocio) o se r e l resultado de una actividad o
de un procedimiento."

PRIETO CASTRO define el documento como el objeto o materia en que consta

por escrito una declaracin de voluntad o de conocimiento o cualquier expresin del
pensamiento, segn resulta de los preceptos de la legislacin positiva.

Los conceptos anteriores tienen e n comn que hablan de un escrito, aunque el

pnmero admite la exccpcionalidad d e que no lo sea.

Escribir, segn el Diccionario d e la le n g u a Espaola, es: Representar lar

palabras o las ideas con letras u otros signos trazados en papel u o tra superficie.

Por tanto, el documento no ha d e ser siempre papel, sino que puede ser otro
objeto o materia y la representacin de las palabras o las ideas puede hacerse por otros
signos distintos de las letras.

Dichos signos pueden ser la codificacin binaria y la superficie distinta del papel
puede ser un soporte informtico.

De todo ello podemos deducir que el documento electrnico pertenece a la

categora de los documentos e n sentido jurdico.

El problema para una aceptacin generalizada d e este tipo de documento puede

M v en la ncccsidod de la sefuridud <lc que la traduccin d*l l-inguaj a mquina i un
lenguaje natural sea la correcta y no en la propia esencia del documento.

Coincidimos con DAVARA RODRGUEZ cuando dice que el problema de la

firma que conlleva, en muchos casos, la autenticacin del documento, puede ser. sin
Ada, el caballo de batalla para una total aceptacin a efectos probatorios d e este tipo
de documentos.

JAVIER ROCANETI MOSCARD VaheprobatoripnxnatM i v m m iqfiuiwilia.

 www.FreeLibros.me

Un documento escrito c sti compuesto de datos y de impresin en un soporte,

impresin comprende, la mayora de la* veces, la representacin d e un hecho y h
firma.

La firma suele tener tres funciones: idcnliftcaliva. declarativa y probatoria.

Esto significa que sirve para identificar quin e s el autor fcl documento, declare
que el autor de la firma asume el contenido del m ism o y permitir verificar si el ana
de la firma e s efectivamente aquel que ha sido identificado c u n o tal en el cato de h
propia firma.

Notas im portantes de la firma son la habitualidad y ser autgrafa u olgraf*

puesta de puo y letra por el firmante.

Hasta el presente, ste ha sido uno de los principales sistemas de autentificacita,

aunque no es el nico; pero en el futuro tendr que ser sustituido en nmeros
ocasiones. I.os avances tecnolgicos estn obligando a que la firma manuscrita wa
sustituida por otro sistema, en este caso electrnico.

Una firma digital o electrnica es una seal digital representada por una cabra
de bits. Este tipo de firma ha de ser secreta, fcil d e producir y de reconocer y difcil
de falsificar.

En el caso de la firma manuscrita el fedatario pblico d a k de la autenticidad dd

documento. El em pleo de la firma digital obliga a la aparicin de una nueva figura: d
fedatario electrnico, liste ha de ser capaz de verificar la autenticidad de lot
documentos que circulan a travs d e las lineas de comunicaciones.

En cualquier caso los avances tecnolgicos que se estn pr xluciendo quizs en w

futuro cercano hagan aconsejable darle un carcter autnom o a este tipo de prueba coi
todos los problem as que esto pueda conllevar.

6.11. L EC TU R A S RECOM ENDADAS

Das ara Rodrguez, Miguel ngel. D erecho Informtico. A ramadi. Pamplona. 1993.

Pez M arti. Jorge. Bases de D atos ju rd ic a . Cinoc. CSIC. Madrid. 1994.

Peso N avarro. Emilio del y Ramos Gonzlez. Miguel ngel. Confidencialidad y

seguridad de la informacin: la IXRTAD y sus im plicacitnes socioeconmicas.
Daz de Santos. Madrid. 1994,
 www.FreeLibros.me
CH*_______________ CAPflVLQ6:O.MAItCO)tldD>COI)HI.A AUDrTOtU*P<TOKMAHCA l-W

Ptso Navarro, Emilio <lel: Ramos Gonzlez, Miguel ngel; Fernndez Snchez.
Carlos Manuel e Ignoto Azaustre, Mara Jos. M anual d e Dictmenes y peritajes
informticos D a /d e Sanios Madrid. 1995.

ftv> Navarro. Emilio del y Ramos Gonzlez. Miguel ngel. LO R IA D : Reglamento

Je Seguridad. Daz de Sanios. Madrid. 1999.

Pe Navarro, Emilio del. La Ley de Proteccin de Datos. L a nuevo LORTAD. Daz

de Sanios. Madrid. 2000.

6.12. CUESTIO N ES DE REPASO

1. Cul e s la diferencia entre Informtica Jurdica y Derecho Informtico?

2. Cules son los principios de la LOPD?

3. Cules son los derechos patrimoniales en el derecho de autor?

4. Qu es U multimedia?

5. Qu es una estafa informtica?

6. Realice una clasificacin de las contratos informticos.

7. Qu e l EDI?

8. Cul e s la diferencia entre una tarjeta d e crdito y una de dbito?

9. Cul e s la diferencia entre contratacin informtica y contratacin

electrnica?

10. Qu es un documento electrnico?

 www.FreeLibros.me

CA PTU LO 7

D E O N T O L O G A D E L A U D ITO R
________ IN F O R M T IC O Y C D IG O S T IC O S
Jorge Pez Mu

7.1. INTRODUCCIN

En el denominado "nuevo orden mundial". caracterizado por unas directrices

cmicas, en permanente cambio, estrechamente vinculada a lo* continuo* avances
tecnolgico*, tratar tema* relacionado* con la dcoruotogfa. la tica o la moral, implica
necesariamente hacer un alto en el camino, dejar al lado las mltiple* y a menudo
abnjrdat motivaciones econmico-profesionales y. sin las premuras derivadas del
ritmo de vida que aparentemente esta sociedad impone, reposadamente, con sosiego,
ajercrw e en el mundo interno subjetivo de la conciencia para observar la concepcin
himiBiuica que. com o persona*, sta pone d e manifiesto com o mximo exponente de
b propia y autntica identidad.

Una vez realizada dicha prospeccin interna se estar en condicione* de. dada la
sriiueca naturaleza social del hombre, poder ati*bar en el mundo extem o, donde ste
realiza *u convivencia, observando lo* valores morales imperantes, representativo* del
p ulo de evolucin social de la comunidad que lo* ha asumido como propias.

La primera observacin debera inducir a reflexionar obce lo* aspectos ms

(Mimo* ligados a la vida interior de cada cual (creencias, sentimientos, finalidad
Ideolgica, proyecto de vida. ele.), que globalmcntc considerados han de poner de
aanifiesto la propia e intrnseca realidad individualizada, e s decir, la genuina
identidad personal.
 www.FreeLibros.me
I AUDrTCHUAtNKHtMTICA: l~NMWOQU . PBAtTICO

Esta identidad. inherente a toda persona, debera estar sustentada en l

principios morales socialmcntc acusados y preservado a lo largo de los tiemp*
principios que. provenientes del espritu y susceptibles, en virtud del libre albedro, de
servir o no de gua a la conducta exteriormente manifestida de los individuas,
permiten diferenciar a stos del resto d e seres vivos, que caiecen de esa lib e rt de
conciencia.

Si bien la moral individual est enraizada en forma rica y personalizad, b

necesidad de relacionarse y convivir unos individuos con otros en comunidad exije
una cierta adaptacin de las diferentes concepciones morales individuales a utas
determinadas normas ticas, socialmente asumidas por los miembros integrantes de b
comunidad, que facilitan una convivencia pacfica y cnriquecedora comn.

Estas normas sociales, reflejo de la idiosincrasia de las diferentes comunidades,

ponen de manifiesto los usos y costumbres que regulan mcdi.icainentc las rclackocs
entre las personas y grupos que las conforman, considerndose, sin precisar w
normalizacin positiva, implcitamente aceptadas por todos, representativas de te
principios sociales bsteos reguladores de dichas relaciones (buena fe, conest
respeto, solidaridad, etc.).

Conviene, en este punto d e la reflexin, resaltar el hecha de que los pri napas
morales, en contraposicin con los preceptos normativos materiales, deben so
asumidos individual y colectivamente com o propios en feema voluntaria y coi
independencia de que se haya, o no. establecido expresamente la obligacin nuterul
de cumplirlos, ayudando a configurar una concepcin tica interna de lo que est bie
y lo que est mal que constituye la porte fundamental del patrimonio espiritual de ht
personas y grupos integrantes de la sociedad que los aceptan c a n o suyos.

E s precisamente esa caracterstica de voluntariedad, de ntimo convencimiento de

su idoneidad, generada por una previa sensibilizacin pcrsociU y colectiva sobre
validez para el cumplimiento de lo* fine* Ideolgicos de los individuos y sociedad
que k>s asumen, lo que configura a los principios morales c o n fuente primordial del
derecho positivo y eje genuino y autntico de la evolucin social de la humanidad.

Junto a estas normas ticas inmateriales, coexisten otras positivas que regulan, es
forma coactiva, los deberes y derechos de los ciudadanos integrado* en cadi
colectividad. Esta* normas positivas, elaboradas en virtud d d "contrato social" que
los ciudadanos implcitamente suscriben con sus gobernantes, se establecen cono
reguladores de aquellos aspectos que se considera deben esta- clara y expresa torra:
estipulados, a fin de determinar los prin d p io s legales que. de Migado cumpl mica,
regulan los deberes y derechos que rigen en la sociedad y que. por ende, pueden ser
imperativamente exigible* a cada uno de sus miembros.
 www.FreeLibros.me
ca <t i ,u ) t dkin -to mx J a o i auixtow intohm Au c o y ccxgos Eticos t

U complejidad de las relaciones colectivas, la proleccin de 1 ms dbiles

contra los abusos de los ms fu en es y la necesidad d e establecer unas normas de
comportamiento precisas que. conocidas por todos, sirvan de cauce idneo para la
otoctn efectiva d e los posibles conflictos personales qoc puedan generarse en el seno
de la comunidad, ha fundamentado el establecimiento y legitim idad de dichos
principios legales, si bien se exige d e estos que estn imbuidos por los principios
morales, colectivamente asumidos, y que respeten los derechos humanos
inKmacionalmcntc reconocidos como conformadores del derecho mundial.

Ante esta dicotoma de normas morales y materiales, k cdigos deontolgicos

presentan un cien o punto de acercamiento y encuentro entre ambas.

Estos cdigos toman, de las normas morales, su faceta intrnsecamente tica, y

reflejan el sentir mayoritaro de los profesionales a los que san dirigidos, de lo que se
considera como un adecuado comportamiento tico-profesional, sirviendo de
reprobacin moral d e aquellas conductas contrarias a lo regulado e n los mismos.

Debe tenerse en cuenta que lodo cdigo d eontolgko. entendido co m o conjunto

de preceptos que establecen los deberes exigibles a aquellos profesionales que
ejerciten una determinada actividad, tiene como finalidad id eo l g ico la de incidir en
m comportamientos profesionales estimulando que stos se ajusten a determinados
prKiptos morales que deben serv irles de gua.

El hecho de que los cdigos deontolgicos deban ser elaborados por los propios
profesionales en el marco de los colegios, asociaciones o agrupaciones que los
representen, y asumidos en forma generalizada como form a de autorregulacin tica
de va actividad, permite que stos incidan en algunos aspectos -inaplicables al resto de
odadaaos. ya que fuera de su especfico campo d e aplicacin seran ineficaces e
imperantes . sobre los que. en beneficio de la propia comunidad, establecen unas
dettiminadas pautas 1c conduca, a ftn Ve evitar concuWai. por simple
desconocimiento o apata tico intelectual, derechos de terceras personas.

Los principios contenidos en los cdigos deontolgicos exigen asimismo, por su

opecificidad moral, que k propios profesionales coadyuven a su difusin mostrando
u comportamiento conforme a los mismos como medio de sensibilizacin y mejora
del prestigio y calidad de su ofido.

A este respecto los auditores han de ser conscientes, dada su alta especializacin
ea un campo habitualmente desconocido por amplios sectores sociales, de la
ctobpcfi que moral mente deben asumir respecto a advertir a la sociedad sobre los
n o jos y dependencias que la informtica puede provocar y sobre las medidas que
deben adoptarse para prevenirlos, debiendo servir los cdigos deontolgicos de
 www.FreeLibros.me
m auditoria in kwmuca : un kwwh^ ie K cn co

ejemplo y cauce idneo para transmitir. al resto de la sociedad, sin singulares y

especficas percepciones, inquietudes y autolimitaciones.

Debe tenerse muy presente que si bien los sistemas informticos, sometidas a
auditoras, son un mero instrumento al servicio d e la poltica empresarial, el estudio de
su estructura, y an ms el acceso a la informacin alm acenada en su seno, perra* i
l< auditores obtener una visin y conocimiento tanto de la situacin global como de
determinadas facetas de la empresa o sus empleados, e n ciertos casos superior a las de
los propios auditados, razn por la cual el sometimiento d e los primeros a unos, a
apariencia innecesariamente rgidos y detallados principios dcontolgicos propios de
su oficio, resulta de obligada instauracin en favor de los segundos, aun cuando estos
ltimos desconozcan tan siquiera la existencia de los mismos y se sorprendan de
determinadas actitudes de los auditores acordes con ellos.

Los cdigos dcontolgicos toman asimismo, de las normas materiales, las faceos
reguladores de determinados comportamientos interpersonales com o salvaguardia de
derechos individuales y colectivos susceptibles de proteccin institucional, sirviendo
de cauce para coartar, en los m bitos profesionales correspondientes, aquellas
conducta contrarias a lo regulado en sus preceptos mediante la imposicin de
sanciones, contempladas stas desde una perspectiva disciplinaria merameme
profesional.

Conviene en todo caso matizar el alcance coercitivo d e las normas deontotgicas.

Ya se ha indicado anteriormente que toda persona debe ccftir su conducta a im

propias normas morales internas, consustanciales a su identidad, y aceptar la
imposicin de unas normas coactivas externas, impuestas como medio de proteccite
de la sociedad en la que se encuentra integrada.

Sin embargo, e s u s ltimas normas no pueden regular, con total exhaustividad. d

com plejo mundo de relaciones interpersonales y an menos profundizar en aspectt
puntuales que slo afectan a un reducido grupo de individuos o actividades, so pena de
constituir un corpus jurdico conformado por un nmero tan elevado de preceptos que,
por su gigantismo, resultara del todo punto inasumiMe por la sociedad y. por ende,
intil e inaplicable.

L os cdigos dcontolgicos. por el contraro, al restringir su m bito subjetivo a

determinados grupos de personas, los profesionales de reas concretas, y acotar su
mbito temtico a sus especficos campos de actividad, permiten, sin causar p erjuk
ni discrim inacin al resto de integrantes d e la comunidad, establecer, para el ejercicio
de determinadas actividades, unos mnimos estndares de comportamiento tico y
tcnico configurad ores, a tenor del estado d e la ciencia, de la moral colectiva dd
grupo al que van dirigidos.
 www.FreeLibros.me
r.
mu____ CAPftVlO DtxmOUXUA DEL AUTHTO IKIOfcMATICO Y CCTOOS lricos 155

Hay que tener presente que. mediante el ejercicio profesional, se pone de

narifiesto una de las facetas de la personalidad que ms incide en la valoracin social
4c la actividad desarrollada por las personas a travs de la realizacin de su trabajo.

Ciertamente existe un numeroso conjunto de precepto* incluidos en normas

m etales provenientes del Derecho Constitucional. Civil, Laboral. Mercantil, etc..
regulan una grao variedad de actos relacionados con la actividad profesional, pero
os all de dichos preceptos, y com o fundamento d e los mismos, debe existir una
*acnl profesional" que sirva de gua pora determinar cundo un determinado
comportamiento profesional es bueno o n u lo (morulmente admisible y beneficioso o
ram ente inadmisible y perjudicial).

La coercibilidad de los cdigos dcontolgicos debe, por u n to , constreirse a la

posicin de medidas disciplinarias, correctoras de comportamientos contrarios a lo
tipulado en los mismos, que pongan de manifiesto el rechazo, por el colectivo
profesional correspondiente, de aquellas conductas profesionales indignas.

E a n medidas suelen estar constituidas por apercibimientos, reprensiones

((Nicas o privadas y. en los casos de grave o reiterado incumplimiento, exclusiones
telferajes o definitivas del infractor, del gm po profesional que las ha asumido como
probas.

Con esta perspectiva se hace preciso, en el momento actual, ir planteando, de

forma crtica, la necesidad de sensibilizar a los auditores informticos, integrados en
ta sector profesional dotado de una cierta autonoma y coo unas caractersticas muy
particulares, de la conveniencia de reflexionar sobre la dualidad d e facetas
alegradoras de su comportamiento profesional (comportamiento tcnico cualificado y
cempwtamiento tico) a fin de elim inar el error d e creer que su actividad debe
vibrarse nicamente en funcin de unos mnimos estndares tcnicos de calidad y
fiabilidad obviando los condicionantes ticos que. en caso de conflicto con
ooodicionantes tcnicos o de cualquier otra ndole (cientficos, econmicos,
procrccioculcs. empresariales, etc.), deben ser considerados co m o prevalentes.

Antes de entrar en una aproxim acin d e los diferentes principios deontolgicos

q x normalmente ve asocian a la actividad de los auditores, no est d e ms recalcar
qec en tanto en cuanto stos no estn plenamente asumidos, com o configuradores de
la dimensin tica de su profesin, sera preferible apelar a los comportamientos
Bonles individuales, como medio d e ir incidiendo en la sedimentacin de
caxepciooes humansticas en el entorno profesional en que se desenvuelven, a
pretender imponer unilateralm ente, a travs de agrupaciones, sociedades o colegios
profesiceoies. dichos principios.
 www.FreeLibros.me

7.2. PRINCIPIOS D E O N TO L G IC O S A PLIC A BLES A LOS

A UD ITORES INFORM TICOS

1.0* principio deontolgicos aplicables a lo auditores deben ncccsariamo*

estar en consonancia con los del resto d e profesionales y especialmente con 1 4
aquellos cuya actividad presente mayores concomitancias con la d e la auditoria, ru b
por la cual, en equivalencia con los principio deontolgicos adoptado por difertou
colegios y asociaciones profesionales d e nuestro entorno socio-cultural, y sin ncrodt
exhaustividad. se pueden indicar com o bsicos, en un orden meramente alfabftkoy
ajeno, por tanto, a cualquier ponderacin d e importancia, los siguientes:

7.2.1. Principio de beneficio del auditado

FJ auditor deber ver cm o se puede conseguir la mxima eficacia y rentabibM

de los medios informticos de la empresa auditada, estando obligado a pro co *
recomendaciones acerca del reforzam iento del sistema y el estudio de las solucxaa
m s idneas segn los problemas detectado en el sistema informtico de esta ltm .
siempre y cuando las soluciones que se adopten n o violen la ley ni los principia
ticos de las normas deontolgicas.

F.n ningn caso est justificado que realice su trabajo el prisma del fnopc
beneficio, sino que por el contrario su actividad debe estar en todo momento orientadi
a lograr el mximo provecho de su cliente.

Cualquier actitud que anteponga intereses personales del auditor a los dd

auditado deber considerarse com o no tica, ya que limitar necesariamente la aptitud
del primero para prestar al segundo toda la ayuda que. a tenor d e su capacitaos,
puede y debe aportarle.

Para garantizar tanto el beneficio del auditado com o la necesaria independeec

del auditor, este ltimo deber evitar estar ligado e n cualquier form a, a intereses de
determinadas marcas, productos o equipos compatibles con los de su cliente, debiente
eludir hacer comparaciones, entre el sistema o equipos del auditado con los de otro*
fabricantes, cuando las mismas slo se realicen coa la intencin d e influir en I
decisiones de su cliente y provocar un cam bio hacia esos otros sistemas o productos
bien por intereses econmicos particulares del auditor o bien por el mayor
conocimiento que tenga de ellos o desee tener.

La adaptacin del auditor al sistema del auditado debe implicar una cicru
sim biosis con el mismo, a fin d e adquirir un conocim iento pormenorizado de %m
caractersticas intrnsecas.
 www.FreeLibros.me
c * r fn :io r i)i :on' h >ixx;U m i . auditor informtico y cotcos ftnros i >t

A partir de la adquisicin de dicho conocimiento, y con el grado de

independencia indicado anteriormente. estar en condiciones d e indicar, si lo
considerase pertinente en forma globali/ada o en forma particularizada, las ventajas y
desventaja), que el sistem a ofrece respecto a otros sistemas o marcas, debiendo obtener
de dicha comparacin una serie de conclusiones que permitan mejorar la calidad y
prestaciones del sistema auditado.

nicamente en los casos en que el auditor dedujese la imposibilidad de que el

siuema pudiera acomodarse a las exigencias propias d e su cometido o considerase
excesivamente onerosos los cam bios a introducir para obtener una suficiente fiabilidad
acorto y medio plazo, ste podra proponer un cam bio cualitaiivamente significativo
de determinados elementos o del propio sistem a informtico globalmenie
oootempiado.

Una vez estudiado el sistema informtico a auditar, el auditor deber establecer

tes requisitos mnimos, aconsejables y ptim os para su adecuacin a la finalidad para
la que ha sido diseado, determinando en cada caso su adaptabilidad, fiabilidad,
limitaciones, posibles mejoras y costes d e las mismas, con objeto d e presentar al
auditado una serie de opciones de actuacin en funcin de dichos parmetros a fin de
q x ste pueda valorar las relaciones coste-eficacia-calidad-adaptabilidad de las
diferentes opciones, facilitndole un abanico de posibilidades d e establecer una
poltica a corto, medio y largo plazo acorde con sus recursos y necesidades reales.

El auditor deber lgicamente abstenerse de recomendar actuaciones innecesa-

riameme onerosas, dainas o que generen riesgos injustificados para el auditado, c
igualmente de proponer modificaciones carentes de base cientfica contrastada,
ineficientemente probadas, o de imprevisible futuro.

Una de las cuestiones m s controvertidas, respecto de la aplicacin de este

principio, es la referente a facilitar el derecho d e las organizaciones auditadas a la libre
eleccin del auditor, lo que implica el deber moral de evitar generar dependencias de
los primeros respecto de los segundos, aunque dicho condicionante perjudique
determinadas expectativas econmicas de estos ltimos.

Igualmente, si el auditado decidiera encomendar posteriores auditorias a otros

profesionales, stos deberan poder tener acceso a los informes d e los trabajos
anteriormente realizados sobre el sistema del auditado siempre y cuando con ello no se
txbcraseo derechos de terceros protegidos con el secreto profesional que el auditor
debe en todo momento guardar.
 www.FreeLibros.me
15 AUDfTOHMIVKHtStATICA: IX F.NHX**: PttACTICO__________________________ t u

7.2.2. Principio de calidad

H1 auditor deber prestar sus serv icios a tenor de las posibilidades de la ciencia y
medios a mi alcance con absoluta libertad respecto a la utilizacin d e dichos meoi
y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de .su labee.

E n los casos en que la precariedad d e medios puestos a su disposicin impriano

dificulten seriamente la realizacin de la auditoria, deber negarse a realizarla tata
que se le garantice un mnimo d e condiciones tcnicas que no comprometan la calidad
de mis servicios o dictmenes.

Cuando durante la ejecucin d e la auditoria, el auditor considerase conven*

recabar el informe de otros tcnicos ms cualificados sobre aljn aspecto o incidencia
que superase su capacitacin profesional para analizarlo es idneas condiciono,
deber rem itir el mismo a un especialista en la materia o re:abar m dictamen pan
reforzar la calidad y fiabilidad global de la auditora.

7.2.3. Principio de capacidad

n i auditor debe estar plenamente capacitado para 1a rea i/aci n de la auditora

encomendada, mxime teniendo en cuenta que. en la mayora de los casos, dada n
espccializacin. a los auditados en algunos casos les puede ser extremadamente difcil
verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.

Hay que tener muy presente que el auditor, al igual cue otros determinado
profesionales (mdicos, abogados, educadores, etc.), puede incidir en la toma de
decisiones de la mayora de sus d ie n tes con un elevado grade de autonoma, dada la
dificultad prctica d e los mismos de contrastar su capacidad profesional y d
desequilibrio de conocimientos tcnicos existentes entre el auditor y los auditados.

Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditoria evitando que una sobrecstimaco
personal pudiera provocar el incumplimiento parcial o total d : la misma, aun en los
casos en que dicho incumplimiento no pueda ser d eted ad o ;o r las personas que le
contraten dadas sus carencias cognitivas tcnicas al respecto.

Conviene indicar que en los casos d e producirse, por el contrario, una

subestimacin de su capacidad profesional, esta circunstancia podra afectar
negativamente en la confianza del auditado sobre el resultado final de la auditoria,
dejndole una innecesaria impresin d e inseguridad sobre las propuestas o decisiones
 www.FreeLibros.me
CAffTVt-O T: DIOVTOIjOGI\DtL Al'MTOK IMOXMT1CO YCCHGOS CUCOS IW

A efecto Se garantizar, en la medida d e lo posible, la pertinencia de mi*

ccoocitniciKos. el auditor deber procurar que stos evolucionen, al unisono con el
deorrollo de las tecnologas de la informacin, en una forma dinmica, evitando una
pcmiciosa eMaticidad tcnico-intelectual que. en este cam po de la ciencia, origina tina
d& tka reduccin de las garantas d e seguridad y una obsolescencia d e mtodos y
tcnicas que pueden inhabilitarle para el ejercicio de su profesin.

Conviene por ltimo llamar la atencin sobre la casustica d e la acreditacin de la

capacitacin de los auditores con la p reg u n u clsica, adaptada a las circunstancias de
ata profesin, de quin audiia a los auditores?

Es deseable que .se fortalezca la certificacin profesional de la aptitud de los

acdiuxcs para realizar unos trabajos de ndole tan compleja.

Esta certificacin que deber tener un plazo de validez acorde con la evolucin de
lu nuevas tecnologas de la informacin, debera estar avalada y garantizada por la
metodologa empleada para acreditar dicha espccializacin. la independencia de las
entidades certificadoras, y la solvencia profesional, objetivamente contrastada, de los
frjanos. necesariamente colegiados, que en las mismas se creen con la finalidad de
(preciar la form acin y molificacin profesional de los solicitantes de la misma.

72.4. Principio de cautela

El auditor debe en todo momento ser consciente de que sus recomendaciones

deten estar basadas en la experiencia contrastada que se le supone tiene adquirid*,
evxuxlo que. por un exceso de vanidad, el auditado se embarque en proyectos de
futuro fundamentados en sim ples intuiciones sobre la posible evolucin de las nuevas
tecnologas de la informacin.

Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas
tecnologas de la informacin c informar al auditado de su previsible evolucin, no es
menos cierto que debe evitar la tentacin d e creer que. gracias a xas conocimientos,
piede aventurar, con un casi absoluto grado de certeza, los futuros avances
tccaoSgicos y transmitir, como medio d e demostrar su cualificada espccializacin.
dias previsiones como hechos incontestables incitando al auditado a iniciar ilusorios
cbsuficicncementc garantizados proyectos d e futuro.

Debe, por tamo, el auditor actuar con un cien o grado de humildad, evitando dar la
infresin de estar al corriente de una informacin privilegiada sobre el estado real de
t> evolucin de los proyectos sobre nuevas tecnologas y ponderar las dudas que le
j i n en el transcurso de la auditoria a fin de poner d e manifiesto tas diferentes
 www.FreeLibros.me
[MI AUDITORIAISK>RMTKA:IINIl.NIoqi'fc PRACTICO

posibles lneas de actuacin en funcin de previsiones reales y porcentaje* de riop

calculado* d e las mismas, debidamente fundamentada*.

7.2.5. Principio de comportamiento profesional

H1 auditor, tanto en sus relaciones con el auditado com o con terceras pervx*
deber, en todo momento, actuar conforme a las normas, implcitas o explcitas, de
dignidad de la profesin y de correccin en el trato personal.

Para ello deber cuidar la moderacin en la exposicin d e sus juicios u opinima

evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo
momento, transmitir una imagen de precisin y exactitud en sus comentarios qie
avalen tu comportamiento profesional e infundan una mayor seguridad y c o n fu sa i
sus clientes.

El comportamiento profesional exige del auditor una seguridad en <u

conocimientos tcnicos y una clara percepcin de su* carencias, debiendo eludir I I
injerencias no solicitadas por l. de profesionales de otras reas, en lemas rclaciorudn I
o que puedan incidir en el resultado d e la auditoria y. cuando precisase d d '
asesoram iento de otros expertos, acudir a ellos, dejando en dicho supuesto conuaadi I
de esa circunstancia y reflejando e n forma diferenciada, en sus informes y dictimcao,
las opiniones y conclusiones propias y las emitidas por los mismos.

El auditor debe asim ismo guardar un escrupuloso respeto por la poltoa

empresarial del auditado, aunque sta difiera ostensiblemente de las del resto dd
sector en las que desarrolla su actividad, evitar comentarios extemporneos sobre b
misma en tanto no estn relacionados o afecten al objeto de la auditora y analt u
pormenonzadamente la* innovaciones concretas puestas en marcha por el audtalo i
fin de determinar sus especificas ventajas y riesgos, eludiendo evaluarlas nicameetci
tenor de los estndares medios del resto de empresas de su sector.

Igualm ente debe evitar realizar actos que sim ulen aplicaciones de tratamiento
ficticios, encubran comportamientos no profesionales o den publicidad a metodoJojs
propias o ajenas insuficientemente contrastadas y garantizadas.

7.2.6. Principio de concentracin en el trabajo

En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo smete

sus posibilidades de concentracin y precisin en cada una de las tareas a d
encomendadas, ya que la saturacin y dispersin de trabajos suele a menudo, si no est
 www.FreeLibros.me
tu ._______CAPfflH O ?: ttBOVTOtjOGtAPUL AUDITOR IXPOKMXTICOYCOIGOS TICOS 1*1

deilamcoic controlada, provocar la conclusin de los mismos sin las debidas

pnetas de seguridad.

A C'te efecto, el auditor deber sopesar las posibles consecuencias de una

cumulacin excesiva de trabajos a fin d e no asumir aquellos que objetivamente no
tof. tiempo de realizar con las debidas garantas de calidad, debiendo rechazar o
posponer los que en dichas circunstancias se le ofre/can.

Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada

en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de
trabajos previos en otros posteriores elaborados com o colofn de nuevas auditoras.

Por el contraro, s es admisible el que. una vez analizados e n profundidad los

aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten
las rmunas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya
que este modo de actuar permite detectar posibles omisiones en el estudio, completar
les trabajos sobre el objeto de la auditora incompletamente ejecutado y cubrir las
previsiones detectadas por medio de esta comparacin.

Este comportamiento profesional permitir al auditor dedicar a su cliente la

ttayor parte de lo* recursos posibles obtenidos d e sus conocimientos y experiencias
prevu* con una completa atencin durante la ejecucin de la auditora n injerencias
o d etenciones originadas por prestaciones ajenas a la misma.

72.7. Principio de confianza

El auditor deber facilitar c incrementar la confianza del auditado en base a una

actuacin de transparencia en su actividad profesional sin alardes cen:ffico-tcnicos
qoe. por su incomprensin, puedan restar credibilidad a los resultados obtenidos y a
la directrices aconsejadas de actuacin.

Ee principio requiere asimismo, por paite del auditor, el mantener una confianza
ea las indicaciones del auditado aceptndolas sin reservas como vlid as a no ser que
observe datos que la* contradigan y previa confirmacin personal de la inequvoca
veracidad de lo* mismos.

Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin
de diilojo sm ambigedades que permita aclarar las dudas que. a '.o largo d e la
auditora, pedieran surgir sobre cualesquiera aspecto* que pudieran resultar
eoflictivo*. todo ello con la garanta del secreto profesional que debe regir en su
 www.FreeLibros.me
IfcJ M DHOKlA inh w m Ai k a un e\to q c e PRCIKO

El auditor deber, en consonancia con esta forma d e actuar, adecuar su lenguije

al nivel de comprensin del auditado, descendiendo y detallando cuanto haga falta c*
mi explicacin debiendo solicitar, cuando lo considere necesario, la presencia de
alguno de los colaboradores de confianza de su cliente que pudiera aprtei*
determinados aspectos tcnicos cuando precise informarle sobre cuestione* de cm
especial complejidad cientfica.

7.2.8. Principio de criterio propio

El auditor durante la ejecucin de I auditora deber actuar con criterio propo jr

no permitir que ste est subordinado al d e otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.

En los casos en que aprecie divergencias de criterio con dichos profesional

sobre aspectos puntuales de su trabajo, deber reflejar dichas divergencias de jas
plenamente d e manifiesto su propio criterio e indicando, cuando aqul est sustentado
en metodologas o experiencias que difieran d e tas corrientes profesional
mayoritaramctitc asumidas, dicha circunstancia.

Lo defensa a ultranza del propio criterio no es bice para respetar las critica
adversas de terceros, aunque el auditor debe evitar que. si una vez. analizadas concinta
discrepando de tas mismas, stas puedan seguir influyendo en su trabajo, ya que li
libertad de criterio impone al auditor la obligacin tica de actuar en todo momento es
la forma que l considere personalm ente ms beneficiosa para e l auditado, aun cuan)
terceras personas le inciten a desarrollar lineas diferentes de actuacin.

Este principio exige asimism o del auditor una actitud cuasibcligcrante en k

casos en que llegue al convencimiento de que la actividad que se le solicita,
presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad
ajena a la auditora, en cuyo caso deber negarse a prestar su asistencia poniendo de
m anifiesto el porqu de dicha negativa.

De igual forma cuando el auditor observe que. de form a reiterada, el auditado *

niega, sin justificacin alguna, a adoptar sus propuestas, deber plantearse U
continuidad de sus servicios en funcin de las razones y causas que considere puedia
justificar dicho proceder.

7.2.9. Principio de discrecin

El auditor deber en todo momento mantener una cierta discrecin en b

divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto
durante la ejecucin de la auditora.
 www.FreeLibros.me
CApm.nu ? DtovmtxKilA mu. A turro intokmatkt v coijos fenoos im

Este cuidado deber extremarse cuando la divulgacin d e dichos d ito s pudiera

afectar a derechos relacionados coo la intimidad o profesionalidad de las personas
ceudas por los mismos o a intereses empresariales, y mantenerte tinto durante la
realizacin le la auditoria como tras su finalizacin.

7.2.10. Principio de economa

El auditor deber proteger, en la medida d e sus conocimiento, tos derechos

eMtfmfo de) audiiado evitando enerar gastos innecesarios en el ejercicio d e su
actividad.

En cumplimiento de este principio deber procurar evitar d ilaci n innecesarias

en la realizacin de la auditora. E sta economa de tiem pos permitir al auditado
reducir los plazos de actuacin tendentes a solventar los problemas detectados o a la
adecuacin a los nuevos mtodos propuestos aportando un determinado valor aadido
i) trabajo del auditor.

De igual form a, el auditor deber tener en cuenta la economa d e medios

sute rales o humanos, eludiendo utilizar aquellos que no se precisen. k>que redundar
a reducciones de gastos no justificados.

Conviene, e n virtud de este principio, delimitar en la forma m is concreta posible

ab Uifu) el alcance y lm ites de la auditora a efectos de evitar tener que realizar
estudios sobre aspectos colaterales no significativos, que detraen tiempo y medios para
w anlisis, y emitir informes sobre temas circunstanciales o ajeno a la finalidad
perseguid*.

El auditor deber rechazar las ampliaciones del trabajo en m archa aun a peticin
del editado, sobre asuntos no directamente relacionados con la auditora, dejando que
de ellos se encarguen los profesionales a d hoc. y evitar entrar :n discusiones,
comentarios, visitas de cortesas, etc. que no estn justificadas con la ejecucin de la

En las recomendaciones y conclusiones realizadas en base a su trabajo deber

asmino eludir, incitar o proponer actuaciones que puedan generar gastos
incccsanos o desproporcionados.

7.2.11. Principio de formacin continuada

Este principio, intimamente ligado al principio d e capacidad y vinculado a la

ceotinua evolucin de las tecnologas de la informacin y la-, metodologas
relacionadas con las mismas, impone a tos auditores el deber y la responsabilidad de
 www.FreeLibros.me
IM M tUTOftU IVKIftVUHCA l'N I.M<XJll ntACTlCO

mantener una permanente actualizacin Je sus conocimientos y mtodo a f e dt

adecuarlos a las necesidades le la demanda y a Las exigencias le la competencia de h
oferta.

La progresiva especializacin de sus clientes exige asimismo d e k atxtecn^

para poder mantener el grado de confan/a que se precita p a n dejar en sus marte* d
anlisis de las prestaciones de los sistemas informticos, un continuo piar dt
form acin personal que implique un seguimiento del desarrollo y oportunidades de la
nuevas tecnologas de la informacin para poder incorporar dichas innovaciones, um
vez consolidadas, a los sistemas le sus clientes, evitando de esta forma a
obsolescencia.

7.2.12. Principio de fortalecimiento y respeto de la profesin

l-J defensa de los auditados pasa por el fortalecim iento de la profesin de b

auditores informticos, lo que exige un respeto por el ejercicio. globjJmette
considerado. Je la actividad desarrollada por los mismos y un comportamiento ac<*e
con los requisitos exigibles para el idneo cumplimiento de la finalidad de fai
auditoras.

En consonancia con e l principio de defensa de la profcsii de los auditores, to a

debern cuidar del reconocimiento del valor de su trabajo y de la correcta valonad*
le la importancia de los resultados obtenidos con el mismo.

En cuanto a la remuneracin por su actividad profesional sta debera esta

acorde con la preparacin del auditor y con el valor aadido q u ; aporta al auditado ca
su trabajo, siendo rechazable el establecimiento de ac lerdos que impliques
remuneraciones al auditor manifiestamente desproporcionada* tanto por insuficiente
como por abusivas, ya que a largo plazo, tanto las unas com o lis otras redundan e* ta
debilitamiento del reconocimiento y aprecio d e la profesin.

El auditor deber, por tanto, en prestigio de su profesin, evitar competir

deslealm ente con sus compaeros rebajando sus precios a lm ites impropios dd
trabajo a realizar con la finalidad de eliminar competidores y reducir la competencia
profesional, e igualm ente evitar abusar de su especializac.n para impooer un
remuneracin com o contrapartida a su actividad profesin^ que manifiestamente
exceda del valor objetivo de su trabajo.

Com o integrante de un grupo profesional, deber promover el respeto mutuo y b

no confrontacin entre compaeros. Este respeto no est rertio. sin embargo, coa b
denuncia de comportamientos indebidos, parasitarios o dolos. en los casos en qsr
stos le hayan quedado patentes, y a que estas denuncias dehen contemplarse eo d
marco de la defensa te la propia profesin como forma de elevar su reconocimiento
 www.FreeLibros.me
_______ CAHU I O 7. tHXATOLOPA PCI- AtlDTTO* IXOftMATKO YCODKXK ETICO* M

En sus relaciones profesionales deber exigir asim ismo u m reciprocidad en el

eocnpxumicnto (ico de sus colegas y facilitar b u relaciones de confraternidad y
ano apoyo cuando asi se lo soliciten. Este mutuo apoyo no debe entender* en
iiagn caso como conuaprestacin gratuita de asesoramiento, sino com o cauce de
elaboracin en temas puntuales que precisen d e una cierta especializacin o
coacratacio de opiniones.

7.2.13. Principio de independencia

Este principio, muy relacionado con e l principio d e criterio propio, obliga al

adtfcc, tanto si acta com o profesional externo o con dependencia laboral respecto a
b empresa en la que deba realizar la auditoria informtica, a exigir una total
teoen-.ia e independencia en su trabajo, condicin sta imprescindible para
permtete aduar libremente segn su leal saber y entender.

La independencia del auditor constituye, en su esencia, la garanta de que los

ereses del auditado sern asumidos con objetividad; en consecuencia el correcto
tercio profesional de los auditores e s antagnico con la realizacin de su actividad
tejo cualesquiera condicione que no permitan garantizarla.

Esta independencia implica asimism o el rechazo de criterios con los que no est
ptaamerte de acuerdo, debiendo reflejar en su informe final tan slo aquellos que
CMMdcre pertinentes, evitando incluir en el mismo aquellos otros con los que disienta
oque sea impelido a ello.

El auditor igualmente deber preservar mi derecho y obligacin de decir y poner

de manifiesto todo aquello que segn su ciencia y conciencia considere necesario, y
ib o te n de adoptar mtodos o recomendar lneas de actuacin que. segn su
etettiei. pudieran producir peijuicios al auditado, aunque ste asi se lo solicite.

A efectos de salvaguardar su independencia funcional, deber eludir establecer

dependencias con firmas que la lim iten a fin de evitar que. aun subjetivamente, pueda
fm hcine una reduccin de su libertad de actuacin profesional.

Conviene, sin embargo, diferenciar esta independencia en su trabajo de la

oigeiKu de utilizar el resultado del mismo, lo que obviamente entra en el campo
oompetencial de la potestad de actuacin del auditado, el cual puede seguir o ignorar,
por las razone* que estime convenientes, sus informes, recomendaciones,
ariettackots o consejos sin que ello suponga merma alguna en la independencia del
 www.FreeLibros.me
Iftfc Al'DtTORlA IMORMATICA HX tM OQt'f WtCTKO

7.2.14. Principio de informacin suficiente

Este principio de prim ordial nteres para el auditado. obliga al auditor a ser
plenamente consciente de mi obligacin d e aportar, en form a pormenori/julamente
clara, precisa e inteligible pora el auditado, informacin tanto sobre todos y cada uno
de los puntos relacionados con la auditora que puedan tener algn inters para L
como sobre las conclusione* a las que ha llegado, c igualmente informarle sobre b
actividad desarrollada durante la misma que ha servido de base para llegar a d ic ta
conclusiones.

Dicha informacin deber estar constituida por aquella que el auditor considere
conveniente o beneficiosa para los intereses o seguridad de su d ie n te y estar ei
consonancia con la utilidad que pueda tener, e n el presente o en el futuro, para d
mismo. Junio a dicha informacin deber asimism o facilitar cualquier otra que le s a
requerida por el auditado, aunque la considere intranscendente o poco significatisi
siempre y cuando sta tenga una relacin directa y no meramente circunstancial con d
objeto de la auditora y no afecte a datos nominativos cuyo deber de secreto le se
exigibte.

En dichas informaciones deber evitar aportar datos intrascendentes para ui

cliente (datos que slo afecten a su propia imagen comercial o profesional del audilce
-autopropaganda-, dalos comerciales n o pertinentes, etc.), que slo persigjo
incrementar el volumen del informe o justificar la ausencia de determinad
precisiones de singular importancia medanle la aportacin de otras de menor inters jr
de ms fcil elaboracin pora el auditor.

El auditor deber asimism o comprometerse con sus conclusiones, debiente

indicar en ellas los defectos observados en el sistem a informtico, las lnea de
actuacin que recomienda y las dudas que respecto a las mismas se le plantea*
indicando en este ltimo caso si la causa excepcional que las produce se denva de uu
insuficiencia de datos sobre el propio sistema, de una falta de conocimientos tcnica
del propio auditor que le impide decidirse, con una mnima garanta de fiabilklid.
sobre la conveniencia de inclinarse preferentemente por alguna de ellas, o de una
inccrtidumbrc sobre posibles evoluciones a medio o largo plazo d e los avances
tecnolgicos.

Ciertam ente el auditor debe ser consciente de que la exp]citacin de sus dula
afectar a la confianza del auditado, pero en cualquier caso es preferible transmitir o a
informacin veraz, entendida sta como la que e s exigiblc a lodo huen profesional a
el ejercicio de su actividad a tenor de sus conocimientos, que trasmitir, como opiiuii
experta, una informacin de la que no pueda garantizar personalm ente su exactitud

1
 www.FreeLibros.me
Ui_______ CArtIVIXH:DC<A'TOtOOUDfXAt'DaOIWXMTICX)YCOKOSfeTKX>S l7

fcs impon ante asim ismo que la informacin trasmitida al aud iu d o ponga de
manifiesto una pnidcncia y senado de la responsabilidad, caractersticas estas que
tuca deben esta reidas con los principios de suficiencia informativa y d e veracidad,
vitando recrear los aspectos negativos o los errores humanos detectados que deben
quedar reflejados con un cieno tacto profesional.

El auditor debe evitar hacer rccacr la totalidad de inadaptaciones del sistema

totee algunos elementos singulares (personales o materiales), ignorando aquellos otros
que pudieran tener incidencia en los fallos o anomalas detectadas, por simple
ccerwdidad en la elaboracin de sus informes, y huir del e re tism o tn cuanto a la
expticiiacin de los m todos utilizados siendo inadmisible que se aproveche para ello
de la buena fe del auditado.

I-a Ubor informativa del auditor deber, por tanto, estar basada en la suficiencia,
coom fa y mximo aprovechamiento de la misma por pone de su cliente, debiendo
io&ar junto a sus juicios d e valor, la metodologa que le ha llevado i establecerlos
pan. de esta form a, facilitar el que. e n futuras auditorias, puedan apovccharsc los
cooodmkntos extrados de la as realizada, eludiendo m onopolio Tcticos y
dependencias generadas por oscurantism o en la trasmisin de la informacin.

7.2.15. Principio de integridad moral

Este principio, inherentemente ligado a la dignidad de persona, obl ga al auditor a

ser honesto, leal y diligente en el desempeo d e su misin, a ajustarse a las normas
morales, de justicia y probidad, y a evitar panicipor. voluntara o inconscientemente,
en cualesquiera actos de corrupcin personal o de terceras personas.

El auditor no deber, bajo ninguna circunstancia, aprovechar los conocimientos

adquiridos durante la auditora pora utilizarlos en contra del auditado o d e terceras
personas relacionadas c on el mismo.

Dorante la realizacin de la auditora, el auditor deber emplear la mxima

diligencia, dedicacin y precisin, utilizando para ello todo su saber y ctender.

7.2.16. Principio de legalidad

En todo momento el auditor deber evitar utilizar sus cono;imientos para

balitar, a los auditados o a terceras personas, la contravencin de la legalidad vigente.

Eo ningn caso consentir ni colaborar en la desactivacin o eliminacin de

positivos de seguridad ni intentar obtener los cdigos o claves de acceso a sectores
rearingidos de informacin generados para proteger los derechos, obligaciones o
Mereses de terceros (derecho a la intimidad, secreto profesional, propiedad
iMekctual. etc.).
 www.FreeLibros.me
iw auditora isKxmA'nCA: un ENFOQtt Htcnco________________________eum

De igual forma los auditores debern abstenerse de intervenir lincas de

comunicacin o controlar actividades que puedan generar vulneracin de derecho)
personales o empresariales dignos de proteccin.

La primaca de esta obligacin exige del auditor un comportamiento acuso de

oposicin a todo intento, por parte del auditado o d e terceras personas, tendee i
infringir cualquier precepto integrado en el derecho positivo.

7.2.17. Principio de libre competencia

La actual economa de mercado exige que el ejercicio de la profesin se reala

en el marco de la libre competencia, siendo rechazables, x ir tanto, las prfctk
colusorias tendentes a im pedir o lim itar la legtim a competencia de otros profesional
y las prcticas abusivas consistentes en el aprovechamiento ea beneficio propio, y ea
contra de los intereses de los auditados, de posiciones predominantes.

En la comercializacin de los servicio de auditora informtica deben eviune

u n to los comportamientos parasitarios como los meramente desleales, entendidos lo<
primeros com o aprovechamientos indebidos del trabajo y reputacin de otros a
beneficio propio, y los segundos c o n intentos d e confundir a los demandantes de
dichos servicios mediante ambigedades, insinuaciones o puMualizacioncs que sb
tengan por objetivo enmascarar la calidad y fiabilidad de la oferta.

7.2.18. Principio de no discriminacin

El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar

inducir, participar o aceptar situaciones discriminatorias de ningn tipo, defecado
ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de
las caractersticas personales, sociales o econmicas de sus d ie tte s.

Deber evitar cualquier tipo de condicionantes personalizados y actuar en lodw

las casos con sim ilar diligencia con independencia d e los beneficias obtenidos del
auditado, de las sim patas personales que tenga hacia ste o de cualquier otn
circunstancia.

Su actuacin deber asim ismo mantener una igualdad de rato profesional eco li
totalidad de personas con las que en virtud de su trabajo tenga que relacionarse evo
independencia de categora, esu tu s empresarial o profesional, etc.

I
 www.FreeLibros.me
IX)7: OtONTOLOOtA DCL AlDtTOR INFORMATICOYCOPOOS ICTICOS tW

7.2.19. Principio de no injerencia

El auditor, dada la incidencia que puede derivarte de su tarca deber evitar

gerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer
comntanos que pudieran interpretarse com o despreciativos de la m i na o provocar
oa cieno desprestigio de su cualificacin profesional, a no ser que. por necesidades de
la auditora, tuviera que explicitar determinadas nidoneidades que pueran afectar a
las conclusiones o el resultado de su dictamen.

Deber igualmente evitar aprovechar los datos obtenidos d e la auditora para

entrar en competencia desleal con profesionales relacionados con ella de oras reas
del conocimiento. Esa injerencia es mayormente reprobable en los casca en los que se
ircida en aquellos campos de actividad para los que el auditor no se encuentre
plenamente capacitado.

7.2.20. Principio de precisin

Este principio estrechamente relacionado con el principio de cald ad exige del

auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo
poble. de la viabilidad de sus propuestas, debiendo ampliar el estudio del sistema
informtico cuanto considere necesario, sin agobios de plazos (coa la excepcin de lo
ya indicado anteriormente respecto al principio de economa) siempre que se cuente
ooo U aquiescencia del auditado, hasta obtener dicho convencimiento.

En la exposicin de sus conclusiones deber ser suficientemente crtico, no

efediendo poner de manifiesto aquellos aspectos concretos que coitsidcae puedan tener
ura cierta incidencia en la calidad y fiabilidad de la auditora, ni quedndose en
(tonalidades o indefiniciones que por su amplitud o ambigedad slo pretendan
cubrir al auditor de los riesgos derivados d e toda concrecin en detrimento d e los
derechos e intereses del auditado.

Ex exigible asimism o del auditor que indique com o evaluado nicamente aquello
qoe directamente, o por medio de sus colaboradores, haya comprobado u observado de
i fenna exhaustiva, eludiendo indicar como propias y contrastadas las observaciones
! parciales o incompletas o las recabadas de terceras personas.

72.21. Principio de publicidad adecuada

La oferta y promocin de los servicios d e auditora debern en iodo momento

ajotarse a las caractersticas, condiciones y finalidad perseguidas. sieado contrara a
 www.FreeLibros.me
I AUDITORIA INFORMTICA UN llXHXftlt PRCTICO___________________________ >M

U etica profesional la difusin de publicidad falsa o engaosa que tenga como objcvo
confundir a los potenciales usuarios d e dichos servicios.

1.a defensa del prestigio d e la profesin obliga asimism o a los aminoro

informticos a evitar las campaas publicitarias que, por su contenido, pueda
desvirtuar la realidad de sus servicios, enmascaren los lim ites de los misad,
oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no impcoafcle,
consecucin.

7.2.22. Principio de responsabilidad

El auditor deber, conto elemento intrnseco d e todo comportamiento profcHorul.

responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar cccno
cortapisa de injerencias cxtraprofeaonales.

Si bien este principio aparentemente puede resultar especialmente gravoso a

auditoras de gran complejidad, que por otra parte son las h a b itu a l
encomendadas a los auditares informticos, es preciso tenerlo presente a fin de pote
garantizar su responsabilidad en los caso* e n que. debido a errores humanos durante b
ejecucin de la a uditora se produzcan daos a su cliente que le pudieran sor
imputados.

Por ello e s conveniente impulsar la ormalizacin y suscripcin de seguro, i

adaptados a las peculiares caractersticas de su actividad, que cubrui h
responsabilidad civil de los auditores con una suficiente cobertura a fin d e acrece
la confianza y solvencia de su actuacin profesional.

Obviamente las compaas aseguradoras podrn introducir determinados mWuta

correctores del coste de suscripcin de las correspondientes plizas a tenor de Ib
garantas que los auditores puedan aportar (certificaciones profesionales, aos de
experiencia, etc.), lo que avalara una ms racional estructuracin de la oferta

La responsabilidad del auditor conlleva la obligacin d e resarcimiento de 1

daos o perjuicios que pudieran derivarse d e una actuacin negligente o culposa i
bien debera probarse la conexin causa-efecto originaria del dao, siendo aco n se j
estipular a priori un tope mximo de responsabilidad sobre los posibles daos accede
con la remuneracin acordada como contraprestacin por la realizacin de la auditorit

7.2.23. Principio de secreto profesional

La confidencia y la confianza son caractersticas esenciales de las relaci n ese

el auditor y el auditado c imponen al primero la obligacin d e guardar en secretla
 www.FreeLibros.me
c a Mt x i o ? nwxvrotocU uta. Atorro imohv t k o v cooas Eneos m

hectos e informaciones que conozca en e l ejercicio de su actividad profesional.

ScCamente por im perativo legal podr decaer esa obligacin.

F-vte principio, inherente al ejercicio de la profesin del auditor, estipulado en

beneficio de la seguridad del auditado, obliga al primero a no difundir a terceras
penon ningn dato que haya visto, odo, o deducido durante el desarrollo de su
trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos
coctrKtuaies que pretendieran excluir dicha obligacin.

El mantenimiento del secreto profesional sobre la informacin obtenida durante

k auditoria ve extiende a aquellas personas que. bajo la potestad organizadora del
mux. colaboren con l en cualesquiera de las activ idades relacionadas con la misma.

Si se produjese una dejacin, por parte de las personas que dependen del auditor.
U obligacin de mantener vecreto vobre los datos obtenidos d e la auditoria, recaer
tf r e ellos la correspondiente obligacin de resarcimiento por los dallos materiales o
erales causados com o consecuencia de la misma, obligacin que compartirn
nUiriamente con el auditor en virtud de la responsabilidad in eligendo o in vigilando
p e ta c asume por los actos de sus colaboradores.

Este deber de secreto im pone asimism o al auditor el establecimiento de las

afeis y mecanismos de seguridad pertinentes para garantizar al auditado que la
crmacio documentada, obtenida a lo largo de la auditoria, va a quedar alm acenada
m etttenov o sopones que im pidan la accesibilidad a la misma por terceras persona*
I autorizadas. El auditor tan slo deber permitir el acceso y conocimiento d e la
ama a los profesionales que. bajo su dependencia organizativa, estn igualmente
jos al deber de mantener el secreto profesional y en la medida en que. por las
aeccsidxJct de informacin de los mismos, sea preciso.

No debe considerarse, por el contrario, como vulneracin del secreto profesional,

k tnesnuun de datos confidenciales del auditado a otros profesionales cuando eMa
cunsxKia se origine por expresa peticin del mismo; la conservacin d e los
formes durante un plazo prudencial, siempre y cuando se cuente con las medidas de
pridad adecuadas; la difusin, con una finalidad cientfica, o meramente
wlgativa. de los problemas detectados en la auditoria y las soluciones a los mismos
previamente se disgregan los dato de forma tal que no puedan asociarse en ningn
oso los mismos a persona o empresas determinadas; ni. por ltimo, la revelacin del
creto por imperativo legal siguiendo los cauces correspondientes, debindose, aun
as. mantener al mximo la cautela que impooc dicho levantamiento del secreto.

En los casos en que el auditor acte por cuenta ajena en el marco contractual
oblecido con la empresa por m edio d e la cual presta sus servicios al auditado, la
tacwusn de la informacin recogida durante la auditora a su empresa deber
 www.FreeLibros.me
i n Atron! jxyoRMncA: f x lixrogw practico

circunscribirte nicamente a los d a o s administrativos reguladores d e su actividad

<precio de la auditoria, gastos g e nerados tiempo empleado, medios de la empresa
utilizados, ele.), excluyendo de d k l u informacin los datos tcnicos observados en d
sistema informtico o lo* relacionados con cualesquiera otros aspectos, a no ser que d
auditado consienta fehacientemente en que dichos datos sean entregados a l*
responvahles de la empresa que. en este caso, quedarn a su vez obligados a mantener
el secreto profesional sobre los mismos.

7.2.24. Principio de servicio pblico

La aplicacin de este principio debe incitar al auditor a hacer lo que est ea n

m ano y sin perjuicio de los intereses de su cliente, para evitar danos sociales como los
que pueden producirse en los casos en que. durante la ejecucin de la audrtcri
descubra elementos de software dainos (virus informticos) que puedan propagare i
otros sistemas informticos diferentes del auditado. F.n estos supuestos el atxbur
deber advertir, necesariamente en forma genrica, sobre la existencia de dichos vira
a fin de que se adopten las medidas sociales informativas pertinentes para a
prevencin, pero deber asim ismo cuidar escrupulosamente no dar indicio* qoe
permitan descubrir la procedencia de su informacin.

F.I auditor deber asim ismo tener presente la ponderacin entre sus criterios nea
personales y los criterios ticos subyacentes en la sociedad en la que presta
servicios, debiendo poner de manifiesto sus opciones personales cuando entren a
contradiccin con la tica social que el auditado pueda presumir que mi
implcitamente aceptada por el auditor.

F.ste principio de adaptabilidad u oposicin constructiva tanto a los principa

ticos sociales, asumidos como vlidos por la comunidad, como a las costuatm
dimanantes de los mismos, facilita la necesaria y permanente crtica social sote
dichos principios y costumbres, permitiendo su adaptacin a las nuevas necesidades y
perspectivas abiertas con el progreso tecnolgico regional o mundial.

La consideracin del ejercicio profesional de los auditores como servicio p M a

globalmente considerado, exige igualmente una continua elevacin del arte de te
ciencia en el cam po d e la auditoria informtica, lo que nicamente puede lograrse ea
la participacin activa de los profesionales de dicho sector en la definicin de I*
caractersticas y exigencias de su actividad profesional y. por ende, en la cUboraafc
de los cdigos deontolgicos reguladores del ejercicio responsable de dicha activi*
 www.FreeLibros.me
<M'IHH ) ~ DtOMtXCXiKDtl. At IMtOlt IMOKMVtltO VUHIMIS fTXTIS JJ

7.2.25. Principio de veracidad

El auditor en sus c om unicacin con el auditado deber tener siempre presente

U obligacin de asegurar la veracidad de sus manifestaciones con los lmites
infoestos por los deberes de respeto, correccin y secreto profesional.

El principio de veracidad no debe, sin embargo, considerarse como constreido a

expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino
tfx implica, con el grado de subjetividad que esto conlleva, poner d e manifiesto
aquello que. a tenor de sus conocimientos y d e lo considerado com o "buena prctica
profesional", tenga el suficiente grado d e fiabilidad com o para ser considerado
comnmente com o veraz mientras n o se aponen dalos o pruebas que demuestren lo
contrano.

Es conveniente tener presentes los criterios expuestos por nurstro Tribunal

Constitucional al respecto, generalmente asociado con la actividad de kx profesionales
de U comunicacin, que indican que la obligacin de veracidad impone un especfico
deber de diligencia que se puede y debe exigir al profesional en la transmisin d e la
nfcrtnacin sobre hechos que deben haber sido necesariamente contrastados con datos
efejetivos. excluyendo por tanto d e dicha calificacin de veracidad a aquella
formacin basada en conductas negligentes" del profesional y an m s a aquella
r proveniente "de quien comunique como hechos simples rumores o . peor an.
raer invenciones o insinuaciones insidiosas", considerando como admisible y
presuntamente veraz "la informacin rectamente obtenida y difundida, aun cuando su
Mal exactitud sea controvertible" (STC d e 21 d e enero de 1988). ya que. como la
citada sentencia indica, "las afirmaciones errneas son inevitables en m debate libre,
de tal forma que de imponerse la verdad como condicin para reconocim iento del
derecho protegido por el artculo 2 0 .l.d ) de la Constitucin (a c o m u ik ar y recibir
formacin veraz) la nica garanta de la seguridad jurdica sera el teicio ".

Lo* criterios del Tribunal Constitucional sobre el alcance d e la obligacin de

veracidad han sido reiterados animismo e n sucesivas sentencias en las que se expresa
que informacin veraz, en el sentido del artculo 20. l.d ) significi informacin
cemprotvida segn los cnones de la profesionalidad informativa, excluyendo
venciones, rumores o meras insidias", y que una cosa e s efectuar tn a evaluacin
pencoal. por desfavorable que sea. de una conducta y otra m uy dixinta es emitir
expresiones, afirmaciones o calificativos claramente vejatorios desvinculados de esa
formacin. y que resultan proferidos, gratuitamente, sin justificacin alguna" (STC
l(6l990 de 6 de junio); que el derecho a la informacin no puede restringirse a la
coeaunicjcin objetiva y asptica d e los hechos, sino que incluye tambin la
vestigacio de la causacin de hechos, la valoracin probabilstica de rstas hiptesis
y la formulacin de conjeturas sobre esa posible causacin" (STC 171/1990 de 12 de
wriembre); que la descripcin de hechos y opiniones que ordinariameite se produce
b t informaciones determina que la veracidad despliegue sus efectos legitim adores
 www.FreeLibros.me
174 AtOCTUKA INtOKMTICA UN t.MOQt'H HtCIlCO

en relacin con los hechos, pero no respecto d e las opiniones que los acoinpafett
valoraciones que de los mismos se hagan, puesto que U* opiniones, cro en
personales o juicios de salo r no son susceptibles de verificacin, y ello determina qoe
el mbito de proteccin del derecho d e informacin quede delimitado, respecto de cw
elementos salorativos, por la ausencia de expresiones injuriosas que rcvdua
innecesarias para el juicio critico" (ST C 172/1990 de 12 de noviembre; y que Ti
regla constitucional de la veracidad de la informacin no >a dirigida tanto a h
exigencia de la total exactitud en la informacin cuanto i negar la garanta
proteccin constitucional a quienes, defraudando el derecho de todos a m ito
informacin veraz, actan co n menosprecio d e la veracidad o falsedad de I
comunicado, comportndose d e manera negligente o irresponsible (STC 4(VI992de
30 de marzo.

As pues, la aplicacin de este principio exige que el aud tor, en el marco de n

obligacin de informar al auditado sobre el trabajo realizado, comunique a este ditas
sus conclusiones, diferenciando los hechos consulados de las opiniones, propuesta y
valoraciones personales, debiendo actuar en la comprobacin de los primeros y ea b
fundamentacin de las restantes con una suficiente diligencia profesional pm
garantizar el cumplimiento d e su obligacin de informar sera/ircnte.

7.3. CON CLUSION ES

FJ auditor informtico debe ser plenamente consciente de <ue su coenportanaen

profesional presen la dos facetas. ntimamente ligadas, que configuran el rgim en de n
responsabilidad frente a terceros.

La primera corresponde a la aplicacin de sus conocimientos tcnicos coa b

finalidad de determinar, en base a los mismos, las condiciones de seguridad, fiabilidad
y calidad de kw medios, elementos o productos que conforman el sistema informtico
auditado y recomendar las medidas que estime convenienies para su mejora o
adaptacin a los objetivos pora los que ha sido disertado o que. > tenor de la coyurxsn
actual y previsible a medio plazo, constituyan sus perspectivas de futuro.

La segunda debe poner d e manifiesto la aplicacin de los fundamenten

humansticos que como persona y com o profesional le son ticamente exigibes par,
en funcin de los mismos, coadyuvar al desarrollo integral de la sociedad en la
prestacin de sus servicios y d e b cual ha tomado, para la formacin de un
conocimientos y desarrollo de su propia personalidad, las ideas integradas en d
patrimonio cultural comn aportado por sus antecesores.

lis. po r tanto, inexcusable tener presente dicha dualidad de facetas a efectos de no

ignorar ninguna de ellas so pretexto d e que condicionamientos contractuales, jurdicos,
sociales o m orales, le obliguen a excluir de su comportamiento profesional alguna de
 www.FreeLibros.me
CaKTV'LO 1: IXOSTOtOCU DU. AtUXTOK IVFCKtM\TKX>YCOMOOS ETICOS 173

eflas debiendo tener siempre presente, que si bien la aplicacin de mi* conocim ientos
tcnicos ayuda al desarrollo tecnolgico d e la sociedad, la aplicacin de su
faldamentos humansticos ayuda a la configuracin de la conciencia moral d e la
ni uni. sirviendo com o elemento de form acin d e los usos y costumbres que
cwuituyen una de las fuentes del derecho regulador de la convivencia entre las
peruxu* que la integran.

En los casos de producirse algn conflicto entre ambas facetas, la ponderacin de

t e derechos en juego deber dar primaca a los valores morales sobre los materiales,
ja que el fundamento intim o d e las personas descansa en k primeros como
oacaestacin de su propio (ttm vital, y que asimism o su transposicin al entorno
social debe im poner su prevalcncia sobre los segundos, evitando que el desarrollo
tecnolgico pueda desvirtuar el desarrollo social que es. en suma, el mximo
expooentc del grado de evolucin de la humanidad.

Como colofn a esos planteamientos cabe reflejar, como ejemplos representativos

de la Normalizacin y aplicacin de cdigos de deontologia profesional, el "Cdigo de
tica profesional" de la ISACF (Information Systems Audit and Control Foundation)
para orientar la conducta de los auditores informticos miembros d e dicha asociacin,
y d 'C digo de Conducta" de T he British Com puter Society, que establece los
estndares profesionales de competencia, conducta y tica d e la prctica informtica
ea el Reino Unido.

La ISACF propone el siguiente Cdigo de tica Profesional para orientar a la

coolucta profesional, personal de los miembros d e la Information System s Audit and
Cauro! Association y/o de los poseedores del Certified Information System s Auditor
*OSA).

"Los Auditores Certificados de Sistemas de Informacin debern:

1. Apoyar el establecimiento y cumplimiento de normas, procedim ientos y

controles de las auditoras de sistemas de informacin.

2. Cumplir con las Normas de Auditora de Sistemas d e Informacin, segn las

adopte la Information System s Audit and Control Foundation.

3. Actuar en inters de sus empleadores, accionistas, clientes y pblico en

general en forma diligente, leal y honesta, y no contribuir a sabiendas en
actividades ilcitas o incorrectas,
 www.FreeLibros.me
176 AUDITORIA IVHWMTK'A UN HMHiqCfc PKAtUCt

4. M antener la confidencialidad de la informacin obtenida en el curso de m

deberes. La informacin no deber ser utilizada en beneficio propia *
divulgada a terceros no legitim ados.

5. Cumplir con mis deberes en forma independeme y objetiva y evitar todi

actividad que comprometa o parezca comprom eter su independencia.

6. M antener su capacidad en los campos relacionados con la auditoria y la

Memas de informacin mediante la participacin en actividades de
capacitacin profesional.

7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre d

cual basar sus conclusiones y recomendaciones.

8. Informar a las partes involucradas del resultado de los tarcas de auditoria q*

se hayan realizado.

9. Apoyar la entrega de conocimientos a la gerencia, clientes y al pblico a

general pora mejorar su comprensin d e la auditoria y los sistemai de
informacin.

10. M antener altos estndares d e conducta y carcter tanto en las actividads

profesionales como en las privadas."

The Bntish Com puter Society por su pane establece un Cdigo de Condu
cuyos principios se esquematizan a continuacin.

1. Conduela Profesional: La conducta de los miembros de la Axociacifc

m antendr la dignidad, reputacin y alta evaluacin social de la profesin.

2. Integridad profesional: Ningn miembro intentar, e n form a desleal, realiza

actos en detrimento d e la reputacin, inters o perspectivas de r
miembros, y actuar, en todo momento, en forma ntegra con la Asociacin
sus miembros y los miembros d e otras profesiones con los que pxdi
relacionarse en su ejercicio profesional.

3. Inters Pblico: Todo miembro en cumplimiento y/o exoneracin de a

responsabilidad para con sus empleadores o clientes cuidar adecuadamertc
los intereses pblicos y los derechos de terceras personas y. en particular, x
asegurar de que los derechos de propiedad intelectual de terceros no se vea
perjudicados por sus actos.
 www.FreeLibros.me
CAKtn t o ; n o M iiiix iU m i. m m i im < v ik y c rto m o s m ro s 177

4. Fidelidad: Los miembro^ cumplirn sin obligaciones con sus empleadores o

clientes con una completa fidelidad pora con los mismos. Asimismo
evitarn divulgar la informacin confidencial relacionada con dichas
personas.

5. Competencia Tcnica: Todo miembro deber ofertar nicamente aquellos

servicios para los que se considere competente e informar a sus
empleadores o clientes sobre el nivel d e preparacin y capacitacin que l
posee cuando sus servicios hayan sido solicitados.

6. Imparcialidad: Los miembros, cuando trabajen para un determinado cliente,

debern informarle fehacientemente y por escrito sobre aquellos intereses
que tengan y que puedan perjudicar o incidir en la imparcialidad de su
dictamen u originar conflictos d e inters entre ambos.

7.4. LECTURAS RECOM ENDADAS

(tasara Rodrigue/. Miguel ngel. Derecho informtico. Edit- Aranzadi. Pamplona.

1993.

Ptso Navarro. Emilio del. Deoruologfa y seguridad en e l m undo informtico. Res isla
Base informtica, n * 15. junio. 1991.

Pe Navarro. Emilio del y Ramos Gonzlez. Miguel ngel: Confidencialidad y

teguridad de la informacin: La LO fiTAD y tus implicaciones socioeconmicas.
Ediciooes Dfaz de Santos. Madrid. 1994.

Ramos Gonzlez. Miguel ngel. Contribucin a la mejora d e las tcnicas de

auditoria Informtica mediante la aplicacin d e m todos y herramientas de
Ingeniera del Conocimiento. Tesis docioral. Facultad de Informtica de la
Universidad Politcnica de Madrid, septiembre. 1990.

Vzquez. Jess Marta y Barroso. Porfirio. Deontologa d e la informtica (Esquemas).

Instituto de Sociologa Aplicada. Madrid. 1993.

7.5. CUESTIONES DE REPASO

1. Principios deoniolgicos aplicables a los auditores informativos.

2. Principio de calidad.

3. Principio de criterio propio.

 www.FreeLibros.me
I AUPtTORlA INFORMTICA: L~XENFOQCE PRACTICO

4. Qu significa d principio d e economa?

5. Importancia de la formacin continua del auditor informtico.

6. G rado de independencia del auditor informtico.

7. Qu es el prncipto de legalidad?

| 8. Responsabilidad del auditor informtico.

9. A qu obliga el secreto profesional?

10. Facetas que configuran el rgim en de responsabilidad frente a terceros.

 www.FreeLibros.me

CA PTULO 8

LA A U D ITO R A FSIC A

fa b r itl Desmonto Basilio

8.1. INTRODUCCIN
Lo fsico en Informtica. hasta ahora, ha tenido una im portancia relativa: n o en
loo Je ha visto siempre como algo que soporta lo que. en realidad, es la Informtica,
y que ocupa un lugar en la mesa.

La UCP (enorme), la pantalla, el teclado, la impresora. cables... y . adems, el

rata con su alfombrilla que im piden extender libros y papeles sobre un espacio que.
incomprensiblemente. por grande que sea. no existe.

Pero lo fsico en Informtica n o se reduce nicamente a lo expuesto. esto es: dar

m soporte tangible, un continente o vehculo a lo etreo del software, verdadera
cseacia informtica. T odo cuanto rodea o se incluye en el computado-, tambin este
Btuno. sen lo fsico como tal. as como otros conceptos o virtualidades que. de una u
etn forma, influyen o toman su razn de ser en el Hntomo Fsico d :l computador
como generalidad o en el del CPD com o Unidad Fsica Informtica.

Si se ha dicho que lo fsico e s algo tangible que proporciona un cortincnte. medio

o vefcxulo y que. adem*. acoge al CPD dentro de su entorno, una vez conseguido y
establecido debera dejar de preocupar. El paso siguiente es asegurar d e que va a
seguir dando servicio siempre que se le necesite y de una manera segura ya que. como
ta toda actividad, se mezcla lo fsico con lo funcional y con lo humano.

La Auditora es el medio que va a proporcionar la evidencia o no de la Seguridad

finca en el mbito en el que se va a desarrollar la labor profesional. Es por tanto.
asumir que la Auditora Fsica no se debe lim itar a compraba! la existencia
 www.FreeLibros.me " 1
112 AUDITORIAtNromAnCAr t.X RNIOOCE PRACTICO___________________________ t u

de lo* medios fsicos, sino tambin su funcionalidad. racionalidad y seguridad, patita

esta ltima que puede resumir o incluir a las anteriores y llevar a un subttulo de eat
capitulo que prolongue el ya establecido de Auditoria Fsica con el d e Auditoria J t la
Seguridad Fsica.

8.2. LA SEGURIDAD FfSICA

No eu n muy claras las fronteras que delimitan, si es que lo hacen, los domina
y responsabilidades de los tres tipos de seguridad que a los usuarios de la Informa
deben interesar: seguridad lgica, seguridad fsica y seguridad de las ComunicacKoa.
Quiz fuera m is prctico aunarlas y obtener una seguridad integral, aunque hay qte
reconocer las diferencias que, evidentemente, existen entre sofi. hard. hard-sofi, her
que soporta al sofi y so fi que mueve al hard.

La seguridad fsica garantiza la integridad de los activos humanos, lgKO j

materiales de un CPD. Si se entiende la contingencia o proximidad de un d a io cas
la definicin de Riesgo de Fallo, local o general, tres serian las medidas a prepanr
para ser utilizadas en relacin con la cronologa del fallo:

8.2.1. Antes

Obtener y mantener un Nivel adecuado de Seguridad Fisica sobre los activos.

El Nivel adecuado de Seguridad Fsica, o grado de seguridad, e s un conjunto e

accione utilizadas para evitar el Fallo o . en su caso, aminorar las consecuencias qce
de l se puedan derivar.

Es un concepto general aplicable a cualquier actividad, no slo informtica, ea la

que las personas hagan uso particular o profesional de entornos fsicos.

Ubicacin del edificio.

Ubicacin del CPD dentro del edificio.
Compartirne ntacin.
Elementos de construccin.
Potencia elctrica.
Sistemas contra incendios.
Control de accesos.
Seleccin de personal.
Seguridad de los medios.
Medidas de proteccin.
Duplicacin de medios.
 www.FreeLibros.me

12-2. Durante

Ejecutar un PUn <le Contingencia adecuado

En general, desastre e s cualquier evento que. cuando ocurre, tiene la capacidad de

aiemimpir el normal procedo de una empresa.

La probabilidad de que ocurra un d esabre e s muy baja, aunque. si se diera, el

iapKto podra ser tan grande que resultara fatal para la organizacin. Com o, por otra
pire, ao es corriente que un negocio responda por s mismo ante un acontecim iento
ccrao el que se comenta, se deduce la necesidad de contar con los medios necesarios
pwa afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de
Desastres que. junto con el Centro Alternativo de Proceso de Datos, constituye el Plan
te Contingencia que coordina las necesidades del negocio y las operaciones de
recuperacin del mismo.

El Plan de Contingencia inexcusablemente debe:

Realizar un Anlisis de Riesgos d e Sistemas Crticos que determine la

Tolerancia de los Sistemas.

Establecer un Perodo Crtico de Recuperacin en el cual los procesos deben

ser reanudados antes de sufrir prdidas significativas o irrecuperables.

Realizar un A nlisis de Aplicaciones Crticas por el que se establecern las

Prioridades de Proceso.

Determinar las Prioridades de Proceso, por das del arto, que indiquen cules
son las Aplicaciones y Sistemas Crticos en el momento de ocurrir el devastre
y el orden de proceso correcto.

Establecer Objetivos de Recuperacin que determinen el perodo d e tiempo

(horas, das, semanas) entre la declaracin de Desastre y el momento en que el
Centro A lternativo puede procesar las Aplicaciones Crticas.

Designar, entre los distintos tipos existentes, un Centro Alternativo de Procedo

de Datos.

Asegurar la Capacidad de las Comunicaciones y

Asegurar la Capacidad de los S e n icios de Back up.

 www.FreeLibros.me
m AIlHTOUlA IMOttMATKA: l'V l'MOQtl, PKACllCO

8.2.3. Despus

Los Contratos de Seguros vienen a compensar, en mayor o menor

prdidas, gasto o responsabilidades que se pueden derivar para el CPD ora
detectado y corregido el Fallo.

De entre la gama de seguros existentes, se pueden sealar:

Centros de proceso y equipamiento: Se contrata cobertura sobre da fio fsico

el CPD y el equipo contenido en l.

Reconstruccin de medios software: Cubre el dafto producido sobre medw

soft tanto los que son propiedad del tomador del seguro como aquellos que
constituyen su responsabilidad.

G astos extra: Cubre lo s gastos extra que se derivan de la continuidad de la

operaciones tras un desastre o dao en el CPD. Es suficiente para coinpenur
los costos de ejecucin del Plan de Contingencia.

Interruf/cin d e l negocio: Cubre las prdidas de beneficios netos causadas p*

las cadas d e los medios informticos o por la suspensin de las operaciones.

Documentos y registros valiosos: Se contraa para obtener una compcnsxi

en valor metlico real por la prdida o dao fsico sobre documentos y
registros valiosos no amparados por el seguro de Reconstruccin de Medios
Software.

Errores y omisiones: Proporciona proteccin legal ante la responsabilidad en

que pudiera incurrir un profesional que cometiera u n acto, en o r u omisin que
ocasione una prdida financiera a un cliente.

Cobertura de fidelidad: Cubre las prdidas derivadas d e actos deshonestos o

fraudulentos cometidos por empleados.

Transporte de medios: Proporciona cobertura ante prdidas o d a to s a tos

medios transportados.

Contratos con proveedores y d e mantenim iento: Proveedores o fabricantes que

aseguren la existencia de repuestos y consumibles, as como garantas de
fabricacin.
 www.FreeLibros.me
Ca HTUX>K LA AlCTOIlUt<aCA I

Contratos de mantenimiento que garanticen la asistencia tcnica a los equipos e

instalaciones una vez extinguidas las garantas de fabricacin.

N o son realm ente Seguros, ya que:

Los primeros se ubicaran en Nivel adecuado de Seguridad Fsica (el antes).

Los segundos pueden localizarse tanto en el Nivel adecuado (el ante) como
e n el Plan (el d u ran te ).

N o obstante, dada su forma y su control administrativo, se les puede considerar

como Seguros.

8.3. REAS DE LA SEGURIDAD FSICA

Se ha expuesto, hasta el momento, un estudio de las tres medidas a preparar para

icr utilizadas segn el momento del Fallo: n e sg o de que se produzca, si se es t
produciendo y cuando ha pasado. T odo ello partiendo, como primer paso, d e la
tocacin del edificio y las circunstancias externas e internas que le afectan.

Nada se ha dicho del edificio en s mismo: sera capaz el Auditor Informtico de

revisar la construccin y el estado actual de su infraestructura con sus defectos, vicios
y posibles enferm edades? Ms an: es cap o / d e diagnosticar en este tema?
Evalentemente. com o tal auditor, carece de la capacidad y preparacin necesarias pora
(o. Por tanto, debe considerarse al edificio como la primera de las reas a tener en
cuenta en una Auditora Fsica y prever para ella el auxilio de Peritos independientes
que den respuestas a las preguntas a plantear durante la Fase 2 del Procedim iento de
Ac&ora Adquisicin d e Informacin G eneral y certificaciones que puedan ser
ischi idas como pruebas, en uno o en otro sentido, en la Fase 9 Informe Final tras la
Discusin con los Responsables si hubiera lugar.

Las reas en las que el Auditor ha d e interesarse personalmente, una vez que la
pine del edificio ha sido encargada al juicio del Perito, tendrn relacin directa con el
hecho informtico, siempre considerando el aspecto fsico d e la seguridad, y que sern
Ufes como:

Organigrama de la em presa

ir l ve conocern las dependencias orgnicas, funcionales y jerrquicas de los

imcntos y de los distintos cargos y em pleos del personal podiendo analizar, con
 www.FreeLibros.me
I At'DITOttlA IKHOKMAUCA: t~KEXIOQtt PRACTKX)

ayuda de documentacin histrica. I apropiadas Separacin <!e Funciones y RotaoJi

en el Trabajo.

Da la primera y ms amplia visin de conjunto del Centio de Proceso.

A uditora in te rn a

Departamento independiente o subordinado al de Auditora Financiera, si use,

y colaborador de ste e n cualquier caso, debe guardar las auditoras pasad, la
Normas, Procedimientos y Planes que sobre la Seguridad Fsica y su Auditor 4>
emitido y distribuido la Autoridad competente dentro de la Enpresa.

A dm inistracin de la seg u rid ad

a
Vista desde una perspectiva general que ampare las funciones, dcpcadcnci,
cargos y responsabilidades d e los distintos componentes:

Director o Responsable de la Seguridad Integral.

Responsable de la Seguridad Informtica.
Administradores d e Redes.
Administradores d e Bases d e Datos.
Responsables de la Seguridad activa y pasiva del Entorno fsico.

N orm as. Procedim ientos y Planes que. desde su propia responsabilidad hqa
emitido, distribuido y controlado el departamento.

C e ntro de proceso de da to s e instalaciones

Entorno en el que se encuentra incluso el CP D como elemento fsico y eo t qae

debe realizar su funcin informtica.

Las instalaciones son elem entos accesorios que deben ayudar a la realizante fc
la mencionada funcin informtica y. a la sez. proporcionar seguridad a las per*,
al soft y a los materiales.

Sala del Host.

Sala de Operadores.
Sala de Impresoras.
Cm ara Acorazada.
Oficinas.
 www.FreeLibros.me

Almacenes.
Sala de aporamenta elctrica.
Sala de Aire Acondicionado.
rea de descanso y servicios...

Equipos y comunicaciones

Son los elementos principales del CPD: Host. terminales, computadores

penotulev. equipos de alm acenamiento masivo de datos, impresoras, medios y
aterras de telecomunicaciones...

El Auditor debe inspeccionar su ubicacin dentro del CPD as com o el Control de

Acceso a los mismos com o elementos restringidos.

Computadores personales

Especialmente cuando estin en red. son elementos muy potentes e indiscretos que
peeden acceder a prcticamente cualquier lugar donde se encuentren los Datos (prim er
objetivo de toda seguridad). por lo que merecern especial atencin tanto desde el
p ulo de vista de acceso a los mismos com o a la adquisicin de copias (hard .v so fu no
aitoruadas. Es especialmente delicada su conexin a los medios de telecomu
nicaciones.

Seguridad fsica del personal

Accesos y salidas seguras as como medios y rutas de evacuacin, extincin de

Bctojos y medios utilizados para ello (agua en lugares con conducciones y aparatos
elctricos, gases asfixiantes...). sistemas de bloqueo d e puertas y ventanas, zonas de
descanso y de servicios...

Normas y Polticas emitidas y distribuidas por la Direccin referentes al uso de

lu ftttibciones por el personal.

14. DEFINICIN D E AUDITORIA FISICA

La Auditora Fsica, interna o externa, no e s sino una auditora parcial, por lo que
difiere de la auditora general m is que en el Alcance d e la misma.
 www.FreeLibros.me
IM AliPnOUlA IMOWMTKA UN NFOQtt PVAC~TK~Q

Riesgo -------C o n tro l------ Pruebas

8.5. F U EN TES DE LA AUDITORA FSICA

Ya se ha comentado, brevemente en kw prrafos anteriores. cules pueden jo

a lg n de las Fuentes donde la Auditora va a encontrar la informacin necesaria p
organizar y desarrollar la Fase 4 del Procedim iento o Ciclo de Vida de la AodiKra
"Plan de Auditora" que le llevar a realizar las pertinentes FYuehas de C'umpliroeru
y Sustantivas.

Un CPD. en esencia, sigue un modelo organizativo m is o menos estndar. * a q x

debido a diferentes causas, como puede ser el tipo de empresa a la que pcncnect,
situacin econmica, disponibilidades d e espacio, actitud de la Direccin, etc. hace*
que. en realidad, los C'PD's difieran bastante los unos d e los otros.

Se sealan a continuacin algunas Fuentes que deben estar accesibles en tote

Centro de Proceso de Datos.

Polticas. Norm as y Planes sobre Seguridad emitidos y distribuidos tanto por

la Direccin de la empresa en trminos generales co n o por el Departamento
de Seguridad siguiendo un enfoque ms detallado.

A uditorias anteriores, generales y parciales, referentes a la Seguridad Fsica

a cualquier otro tipo de auditora que. d e una u otra manera, est relacieaadi
con la Seguridad Fsica.

Contratos de Seguros, d e Proveedores y de Mantenimiento.

Entrevistas con el personal de segundad, personal informtico y de otnt

actividades, responsables de seguridad de otras empresas dentro del ediftnoj
V la vgurid ad p i y r j l del m itm o. penconal contratado para la Unifica j
mantenimiento de locales, etc.

Actas e Informes d e tcnicos y consultores. Peritos que diagnostiques d

estado fsico del edificio, electricistas, fontaneros, tcnicos d d ais
acondicionado, especialistas en electrnica que infornen sobre la calidad y
estado de operatividad de los sistemas d e seguridad y alarma, agencias de
seguridad que proporcionan a los Vigilantes jurados, bomberos, etc.

Plan de Contingencia y valoracin de las Pruebas.

 www.FreeLibros.me

Informes sobre accesos y visitas. Fjtistencia <le un sistema d e control de

entradas y salidas diferenciando entre reas Pcrimetral. Interna ) Restringida.

Informes sobre prueh** de evacuacin ante diferentes tipo de amenaza:

incendio, catstrofe natural, terrorismo, etc.

Informes sobre evacuacin?* reales.

Polticas de Personal. Revisin de antecedentes personales y labrale*,

procedimientos de cancelacin de contratos y despidos, rotacin en el trabajo,
planificacin y distribucin de tareas, contratos fijos y temporal;*.

Inventarios de Sopones (papel y magnticas): cintotcca. back-up.

procedimientos de archivo, controles d e salida y recuperacin de soportes,
control de copias, etc.

16- OBJETIVOS DE LA AUDITORA FSICA

Ms arriba, en reas de la Seguridad Fsica prrafo Com putadores Personales, se

dx qoe los Datos son el primer objetivo de toda seguridad. Bien entendido que
hac referencia a toda seguridad informtica, la Segundad Fsica es ms am plia y
aloraa otros conceptos entre los que puede haber alguno que supere en importancia a
ks propios datos.

Sin otro nimo ms que el mero orden basado en una lgica "de fie ra adentro".
?Kdn indicados estos Objetivos como sigue:

Edificio.
Instalaciones.
Equipamiento y telecomunicaciones.
Datos.
Personas.

17. TCNICAS Y HERRAM IENTAS D EL AUDITOR

Como se ver, no se diferencian de las tcnicas y herramientas ts ic a s de toda

toerfa y. como en ellas, su fin e s obtener la Evidencia fsica.
 www.FreeLibros.me
KO At'DTORlA INFORMTICA LX rxrOQlT PHACDCO

Tcnicas:

O b se n w i n J e las instalaciones, sistema*, cumplimiento de Nctmu j-

Procedim ientos, ctc. no ik> como espectador sino u m bin co n KMr,;
comprobando por si mismo el perfecto funcionamiento y utilizacin de ta"
conceptos anteriores.

Revisin analtica de:

- Documentacin sobre construccin y preim ulacionos.

- Documentacin sobre secundad fsica.
- Polticas y Normas de Actividad de Sala.
- Norm as y Procedim ientos sobre seguridad fsica d e los dalos.
- Contratos de Seguros y de Mantenimiento.

Entrevistar con directivos y personal, fijo o temporal, que no d la *cr.saci4t

de interrogatorio pai vencer el natural recelo que el auditor suele despertara
los empleados.

Consultas a tcnicos y peritos que formen pane de la plaatilU o

independientes contratados.

H erram ien ta s:

C uaderno J e cam po / grabadora J e audio

Mquina fotogrfic a /c m a ra de video

Su uso debe ser discreto y siempre con el consentimiento del personal si ste m
quedar identificado en cualquiera de las mquinas.

8.8. RESPONSABILIDADES DE LO S AUD ITORES

El Auditor Informtico, en especial el Interno, no debe desarrollar su activid

como una mera funcin policial dando la im presin a los usuarios informticos y 4
resto de em pleados de que se encuentran permanentemente vigilados. Esto crej ix
ambiente tenso y desagradable que en nada favorece ni a las relaciones personales*
al buen desarrollo del trabajo.

El auditor debe esforzarse ms en dar una imagen de colaborador que a to a

ayudar que en la de fiscalizador o caza-infractores. Para ello e s necesario que n la
Normas y Procedimientos emitidos por la Direccin figuren las funciones j
responsabilidades de los auditores y que anrfws sean distribuidas y conocidas por lo
la plantilla de la empresa.
 www.FreeLibros.me
CAPfTfLO: LA AL DfTORlA HSICA ll

Dentro del cam po de responsabilidades de los auditores, las referentes a

Segcridad Fsica, quedan establecidas las siguientes para cada tipo de auditor:

Aaditor inform tico in terno

Revisar los controles relativos a Seguridad Fsica.

Revisar el cumplimiento de los Procedim ientos.
Evaluar Riesgos.
Participar sin perder independencia en:
- Seleccin, adquisicin c implantacin d e equipos y materiales.
- Planes de Seguridad y d e Contingencia, seguim iento, actualizacin,
mantenimiento y pruebas de los mismos.
Revisin del cumplimiento de las Polticas y Normas sobre Seguridad Fsica
asi como de las funciones de los distintos Responsables y Administradores de
Seguridad.
Efectuar auditorias programadas e imprevistas.
Emitir informes y efectuar el seguimiento de las recomendaciones.

Aaditor inform tica externo

Revisar las funciones de los auditores internos.

Mamas responsabilidades que los auditores internos.
Revisar los Ptanes de Seguridad y Contingencia. Efectuar Pruebas.
Emitir informes y recomendaciones.

U FASES DE LA AUDITORA FSICA

Siguiendo la Metodologa EDPAA y sin perjuicio de alguna peque Aa diferencia,

fe que nada en el orden o el m bito d e las fases, el Ciclo d e Vida quedara:

Fase 1: Alcance de la Auditora

Fase 2: Adquisicin d e Informacin General
Fase 3: Administracin y Planificacin
Fue 4: Plan de Auditoria
Fase S: Resultado de las Pruebas
Fase 6: Conclusiones y Comentarios
Fase 7: Borrador del Informe
Fase 8: Discusin con los Responsables de rea
Fase 9: Informe Final
 www.FreeLibros.me
m AtpmmU nhmimiica un k m o q u p* chcu

Informe
Anexo al Informe
Carpeta de Evidencias

1-aselO: Seguimiento de las Modificaciones acordadas.

8.10. DESARROLLO DE LA S FAS ES DE LA AUDITORA

FSICA

Resulta clara la prctica identidad entre el Ciclo de V ida de la Auditoria Roa

con cualquier otro de una auditoria diferente.

Con la intencin de ofrecer algo prctico dentro d e tanta teora, se expone i

continuacin el desarrollo de la Fase 2 Adquisicin de Infom un um rclcicntc a un P
de Contingencia, siguiendo la tcnica del check-list para un n x jo r ctik-ndim kaio
los conceptos.

La lista ex. naturalm ente, orientatisa y en ningn caso se puede oonudem

completa.

Auditora del plan de contingencia

Fase 2 A dquisicin d e Inform acin

A cuerdo de Empresa para e l Plan d e Contingencia

Hay algn acuerdo oral o escrito por paite de la Direccin?

Ha em itido y distribuido la empresa Polticas o Normas dirigidas al Plan de

Contingencia?

Qu persona o departam ento tiene la responsabilidad del Plan?

Estn las responsabilidades de Planeamiento bien definidas, difundidu j

entendidas por todo el personal?

Se mantiene una estrategia corporativa en el Plan? Todos los depanametm

deben cooperar en el Plan desde su propia especialidad o responsabilidad.
 www.FreeLibros.me
CAHniX) LAAtDCTOItlArtSICA l>

Incluyen los presupuestos empresariales fondos destinados l desarrollo y

mantenimiento del Plan de Contingencia?

cutrdo Je un Proceso A licnw /iro

Est el Acuerdo obligado e impuesto legalm ente cuando * produce un

desastre?

Es compatible el equipamiento del Proceso de Datos en el C crtro Alternativo

con el e quipamiento en el CPD?

Proporciona el Centro Alternativo suficiente capacidad?

Cundo fue la ltima ve* que se prob el Centro Alternativo?

Cules fueron tos objetivos y el alcance de la prueba?

Cules fueron los resultados d e la prueba?, quedaron tos resultados bien

documentados?

Han sido implementadas acciones correctivas o estn previstas para una

futura implementacifl?

Est prevista una prxima prueba de uso del Centro Alternativo?

Utiliza la empresa algn equipamiento de proceso que pueda no estar

soportado por el Centro Alternativo?

Prtteccin Je Dalos

Tiene la empresa un Centro Externo para el almacenamiento de los back-up?

Se ha realizado alguna vez una auditora de las cintas y disccs almacenados

en el Centro Back-up Externo?

: * Cul es el Procedim iento de A cceso al Centro Extem o para li obtencin de

i Jos back-up en el caso de un desastre?

Cul es el Procedim iento de Transporte de los back-up desde el Centro

Externo al Centro de Proceso Alternativo?
 www.FreeLibros.me

C ul e s la estrategia para la Restauracin de programas?. serie ihm

nadas las aplicaciones simultneamente o en fases basadas en prioridad?

Ha .sido asignada prioridad de restauracin a cada aplicacin?

Han sido identificados todos los archivos crticos? I

Se han creado los back-up de los archivos crticos segn una base m tttial

Existe un mnimo de tres ciclos de copias d e bck-up en el Centro Euera?

Existen copias actualizadas de los Informes del Sistema de Gestin de Cu

almacenadas en el Centro Back-up Extemo?

M anual d e l 'tan de Contingencia !

Cm o est estructurado el Plan?

Ex fcil de seguir el Plan en el caso de un desastre?

Indica el Plan quin es el responsable de desarrollar tarcas especficas?

Cm o se activa el Plan ante un desasir?

Cmo e siin contenidos estos procedimientos de activacin en fai

procedimientos de emergencia normales d e la empresa?

Han sido probados estos procedimientos en un test d e desastre simulado?

Contiene el Plan procedim ientos que fijen los daos en las etapas iniciales*
las Operaciones de Recuperacin?

Incluye el Plan procedimientos para trasladar el proceso desde el Can

Alternativo al Centro Resiaurado o Nuevo?

Contiene el Plan lisiados del Inventario del proceso de datos y hard de coa
nicaciones, software, formularios preimpresos y stock de popel y accesorios?

Estn actualizados los listines telefnicos del personal d e Recuperacin a

como empleados del Proceso de D atas, alta direccin, usuarios finales y
vendedores y suministradores?
 www.FreeLibros.me
m u CAPtnu> l a Att>wolA Hsic* m

Cmo est mantenido d Plan?

Quin es el responsable de actualizar el Plan?

Se mantiene el Log d e distribucin del Plan?

Cundo fue actualizado el Plan por ltima vez?

Existe una copia del Plan en el Centro Externo de Back-ttp?

8.11. LEC TUR A S RECOM ENDADAS

Thxnai. A. J. y Douglas. I. ). Auditora Informtica. Paraninfo. Madrid. 1987.

Contingtncy Ptanning. Auerbach Publisherx.

8.12. C UESTIONES DE REPASO

1. Diferencie entre seguridad lgica, seguridad fsica y seguridad de las

comunicaciones, poniendo varios ejemplos de cada tipo.

2. Explique el concepto de "nivel adecuado de seguridad fsica.

3. Cmo definira lo que constituye un "desastre"?

4. Qu tipos de seguros existen?

5. Qu medios d e extincin de fuego conoce?

6. Por qu e s importante la existencia de un sistema de control de entradas y

salidas?

7- Qu tcnicas cree que son las ms adecuadas para la auditora fsica?

8. Cules suelen ser las responsabilidades del auditor inforntico interno

respecto a la auditora fsica?

9. Qu aspectos considera ms im portantes a la hora de auditar el plan de

contingencia desde el punto de vista d e la auditora ffsica?

10. Qu riesgo* habra que controlar en el centro de proceso alternativo?

 www.FreeLibros.me

CA PTULO 9

A U D ITO R A DK LA O FIM TIC A

M a n tel G mez Vaz

9.1. INTRODUCCIN
El trmino ofimtica, comnmente utilizado en diferente* mbitos profesionales,
so apvecc definido, sin embargo, en el diccionario de la Real Academia Espartla de
b Lengua. Aunque el objetivo de este captulo no consiste en determinar el concepto
de ofimtica ni en profundizar sobre el mismo, resulta imprescindible disponer de una
deakin que sirv a de punto de partida para el desarrollo del tema que nos ocupa. A
Jo efectos, partiremos de la definicin realizada por Schill. entendiendo ofimtica
am o el sistema informatizado que genera, procesa, almacena, recupera, com unica y
presenta dos relacionados con el funcionamiento de la oficina.

El concepto de ofim itica nace a comienzos de la posada dcadi y las primeras

{tocaciones se desarrollan sobre los computadores centrales de las organizaciones.
Ataque las oficinas siempre han sido consideradas como pioneras en la utilizacin de
herramientas informticas para el desarrollo de sus actividades; desde comienzos de
les noventa se ha producido un espectacular crecim iento en la demanda d e sistemas
(Amlicos que todava contina acrecentndose. Ejemplos de ello son: las
apbcarne* especficas para la gestin de tareas, como hoja} d e clculo o
procesadores de textos: herram ientas para la gestin de documentos, como control de
expedientes o sistemas de almacenamiento ptico de informacin: agenda* y bases de
do* personales; sistemas de trabajo en grupo como el correo electrnico o el control
de flujos de trabajos: etc.

Ij evolucin sufrida en el entorno m kroinform iico ha condicionado el

desarrollo de los sistemas ofimticos actuales. El aumento de la potencia de clculo,
b alta calidad de los productos y la reduccin de costes d e k s computadores
 www.FreeLibros.me
i Ainnrau isroM\Tic,i un e *h x ?w rnXrnco___________________________ e m

personales y las estaciones <le trabajo, ha desplazado el desarrollo d e aplicaciones

ofinticas a plataformas mieroinformticas y redes de rea local. Hoy en da. partee
incuestionable que los productos desarrollados en plataformas microinfonnUai
ofrecen unas prestaciones y una relacin coste/beneficio muy superior a las soluciono
sobre computadores centralizados. Este desarrollo de sistemas ofimticos h>
mantenido dos paradigmas fundamentales: el escritorio virtual y el trabajo cooperato
(CSCW. Contpuiftl Supported C ooperis* Work).

Podemos aproxim ar el concepto de escritorio virtual como un nico pand

representado por la pantalla del computador, que sustituya la mesa de tratap
tradicional, y donde *c encuentren disponibles todas las herramientas necesarias pao
desarrollar las actividades del oficinista. La interfaz debe parecer natural al usuario y
debe ser fcil de aprender y utilizar. Las d ise a s aplicaciones, adems de realizar las
tareas para las que han sido diseadas de un modo eficaz y eficiente, deben integrare
perfectamente entre s.

El CSCW podra considerarse como una extensin del concepto de integracin de

aplicaciones. De acuerdo con Kracmer, podram os definirlo com o una multiplicidad
de aclividades coordinadas, desarrolladas por un conjunto d e participantes y
soportadas por un sistema informtico. Por consiguiente, el enlom o ofinitiro.
adems de posibilitar la realizacin del trabajo personal de cada empleado, debe
permitir intercambiar la informacin necesaria en los d ise rto s procesos de la
organizacin, a s como posibles interacciones con otras organizaciones.

La prctica totalidad d e los paquetes ofimticos presentes en el mercado h

desarrollado siguiendo el paradigma del escritorio virtual alcanzando un grado de
desarrollo aceptable incluso facilitando la integracin con otros producios de
diferentes fabricantes. Asimismo, durante los ltimos artos se ha incrementado la
oferta de aplicaciones CSCW . debido principalm ente al desarrollo espectacular sufrido
en las comunicaciones. Este tipo de aplicaciones han incrementado s
funcionalidades y estn avanzando en la implantacin de estndares para la
integracin entre sistemas ofimticos d e distintas organizaciones.

9.2. C O N TR O L ES D E AUDITORA

La mayora de los problemas que se producen en la informatizacin de oficinal

no difieren su vtanc talm ente de los encontrados en otros mbitos de la organiz*.-i&
Sin embargo, existen dos caractersticas peculiares d e los entornos ofimticos: la
distribucin de las aplicaciones por los diferentes departamentos d e la organizacin et
lugar de encontrarse en una nica ubicacin centralizada: y el traslado de la
responsabilidad sobre ciertos controles de los sistemas d e informacin a usuarios
 www.FreeLibros.me
CATfTVtO AUDtTOftlAIX lAOMMMKA 199

fiMks no dedicados profesionalm ente a la informtica. que pueden no comprender de

m ndo adecuado la importancia de los mismos y la forma d e realizarlos.

Como consecuencia de los dos factores enunciados, se ha generado una

peeNemhca propia en este lipo d e emomos: adquisiciones poco planificadas:
desarrollos ineficaces e ineficientes, incluso ea procesos crticos p a el correcto
(unciocamcnto de la organizacin; falta de conciencia de los usuarios acerca de la
eguridad de la informacin; utilizacin de copias ilegales de aplicaciones;
procedimientos de copias de seguridad deficientes; escasa formacin del personal;
t w u u de documentacin suficiente; etc.

Considerando los problem as expuestos y dejando al margen los conceptos

desarrollados en el captulo correspondiente a la auditora de redes para evitar
sebjumientos. hemos elaborado una relacin de controles de auditoria bsicos. Los
(trotes seleccionados, sin conformar una relacin exhaustiva, han sido descritos de
Ul modo que puedan ser de aplicacin a cualquier organizacin, a d atn d o lo s a las
canctcrfsticas de la misma. En algunos entornos ser necesario algn control
adicional que no se encuentre entre los propuestos y en otros entornos alguno de los
(entrles puede no resultar adecuado.

Los controles, que se presentan agrupados siguiendo criterios relacionados con

aspeaos de economa, eficacia y eficiencia; seguridad y condicionantes legales, son lo
suficientemente generales para servir de base en la elaboracin del guin de trabajo de
lt labor del equipo auditor.

9.2.1. Economa, eficacia y eficiencia

D eterm inar si el inve n tario ofim tico refleja con ex actitu d lo equipos y
aplicaciones existentes en la organizacin.

A causa del bajo coste de muchos componentes, resulta difcil mantener un

registro fiable de todas la* compras que realiza la organizacin. Con frecuencia
ilgunos departamentos sortean los procedim ientos de autorizaciones d e compra
establecidos dentro de la organizacin, por ejemplo, utilizando factu r* de adquisicin
de material no inventariable.

Un inventario poco fiable puede repercutir en el balance d e a organizacin,

posibilitando que no se detecten sustracciones d e equipamiento informtico o de
hcetKias de programas contratadas. Hemos seleccionado este control en primer lugar,
y qee la fiabilidad del inventario resultar indispensable para auditar otros controles
presentados posteriormente.
 www.FreeLibros.me
no AimWHKUlMOHMTICA fNrMOQUEHtCnCO

El equipo auditor comprobar que se han definido mecanismos para garanta

que todo* lo* equipos adquirido en la organizacin w n d c b td an crtc inventariado!

Despus, constatar la conciliacin realizada en la ltin a auditora financien

entre el inventario oficial y las adquisiciones efectuadas. Ms tarde, revisando Kdu
las dependencias, almacenes y archivos, elaborar una relacin exhaustiva de k*
equipo informticos y de las aplicaciones y archivos que residen en los mismo Ea
esta relacin debe quedar reflejada tambin la versin correspondiente a cada uxu de
I las aplicaciones instaladas.

Finalm ente, identificar las diferencias reales entre la rebein elaborada por d
equipo auditor y el inventaro oficial para proceder a la subsanacin d e tas errores
detectados.

D eterm ina r v e v alu a r el p ro ced im ien to d e adquisiciones d e equipos j

aplicaciones.

Una poltica de adquisiciones descentralizada en la que cada departamento se

encargue de realizar sus compras, ofrece ventajas en cuanto a fexibilidad y capacidid
de reaccin de los mismos, pero podra acarrear significativa! prdidas econmicas
para el conjunto de la organizacin.

El equipo auditor comprobar que en el procedimiento de adquisicin se valona

aspectos relativos a la necesidad real de los equipos solicitados y a la integracin de
dichos equipos con el sistema existente. En el caso de c o n tra de paquetes o de
contratacin de desarrollos externos, determinar si las prestaciones ofrecidas pe* d
producto solicitado se ajustan a las actividades que se pretenden desarrollar con l; s
las plataformas en las que van a ser instaladas las aplicaciones tienen suficiente
capacidad pora soportarlas de un m odo eficiente: si los nuevos productos pueden
configurarse, en c ato de necesidad, pora obtener suficientes pistas de auditora que
permitan efectuar un seguimiento de las anomalas producidas durante su ejecucin; y
la experiencia y solvencia del proveedor.

P u litn d o . dl inventario actualizado, analizar lo-. proccdincoiot

pora la adquisicin de los productos seguidos en los diversos departamentos de b
organizacin y determinar la existencia d e equipos y aplicaciones similares. En caso
de que los diversos departam entos de la compaa realicen pedidos sobre equipos y
complementos de manera independiente, estudiar si se est desaprovechando U
posibilidad de negociar descuentos mediante la aplicacin de una poltica centralizad!
de compras. Del mismo modo, considerar otros mecanismos que pudieran reducir k
costes de la organizacin com o podra ser la negociacin centralizada de compra de
licencias de aplicaciones.
 www.FreeLibros.me
c u m __________________________________ CATfTVlX) AtlDnOHlADgLAOtlMATK'A 3>l

D eterm inar y e v alu a r la p oltica d e m a n ten im ien to definid i en la Or e a

lizacin.

Los procedim ientos dcscentraliz-idos han pfopicixlo que. en ocasiones, los

eqoipos adquiridos no sean incluidos ni en el inventario ni en los contratos de
manienimicnto. Incluso podra llegar a suceder que el personal d e ki organizacin
encargado del mantenimiento no dispusiera d e los conocimientos recesarios para
levarlo a cabo.

El equipo auditor examinar la utilizacin de las garantas de los productos

adquiridos. comprobando que no se realizan pagos innecesarios por asistencias de
eqpos y aplicaciones que se encuentren en garanta. Para ello, deber verificar que
le usuarios finales conocen el estado de las garantas de cada uno de los productos
(fie uilizan y los mecanismos para hacerlas efectivas.

Por lo que respecta a productos cuya garanta haya caducado, determinar cules
disponen de contratos de mantenimiento vigentes con empresas e x tenu s y cules son
aquellos en los que la responsabilidad del mantenimiento recae en la propia
organizacin. En las contrataciones de mantenimiento con empresas externas,
verificar si se han incluido e n el contrato aspectos com o el tieirpo mximo de
respuesta, recambios y mano de obra, mantenimiento preventivo, etc. Tambin
comprobar que el personal, tanto interno com o externo, asignado en tareas de
mantenimiento tiene suficientes conocimientos de las plataformas que debe mantener,
y que recibe la form acin adecuada sobre los nuevos productos instalados en la
organizacin.

En relacin con la gestin de incidencias producidas, el equipo auditor

ccmpeobar la existencia d e un registro de las mismas, los procedimientos
establecidos para asignar recursos para solucionarlas, los guiones preparados para
solventar las incidencias ms frecuentes y el seguimiento d e las mismas hasta su
radiacin. Tam bin valorar si el tiempo em pleado para atender las solicitudes y
resolver las incidencias producidas puede llegar a afectar al funcionamiento de la
organizacin.

E valuar la calidad de las aplicaciones del e n to rn o ofim tico d esarro llad a p o r

personal de la pro p ia organizacin.

La utilizacin de herram ientas clim ticas por los usuarios finales aa propiciado el
desarrollo de aplicaciones, en muchos casos sin las debidas garantas de fiabilidad,
covo real funcionamiento puede repercutir significativamente en la actividad de la
organizacin cuando se trate de aplicaciones que gestionen procesos ctico s. Por otra
pane, tambin es comn que los desarrollos en estos entornos n o luyan seguido los
controles de calidad y seguridad suficientes, posibilitando que algn programador
haya introducido "puertas traseras", bombas lgicas o cualquier otro mecanismo que
putera perturbar el buen funcionamiento de la aplicacin desarrollada
 www.FreeLibros.me
XC AtPnOItlN IMORMA1KA: L~NKNKXJCE PBAtHOO

El equipo auditor determinar la existencia d e un departamento responsable de

controlar el desarrollo de aplicaciones d e toda la orgam zaoa. y que se han cfm tk
procedim ientos generales de peticin, autorizacin, asignacin de prioridad*
programacin y entrega de aplicaciones, o bien si los departamentos han desarrollad
aplicaciones de uso interno, bajo sus propios criterios, sin cortrol de un depam nea
responsable. En el caso de desarrollos realizados por p:rsonal de los peopo
departamentos, el equipo auditor tendr que determinar si la metodologa empcate y
los test de pruebas se ajustan a lo dispuesto en la organizacin.

A l igual que en el caso de las aplicaciones adquiridas o desarrolladas fuera deti

organizacin, comprobar que las aplicaciones desarrolladas internamente puedes
configurarse para obtener las suficientes pistas de auditoria q je permitan efectuar
seguim iento de las anomalas producidas durante su ejecucin. Asimismo, verificad
que los desarrollos se realizan sobre un entorno de desarrollo, evitando opa*
directamente sobre los datos reales d e explotacin.

Tambin e s tarea del equipo auditor examinar el repone de incidencias de 1

aplicaciones, as com o las reclam aciones manifestadas por los clientes y u s u r
como indicios para detectar aquellas aplicaciones que podran rstar funcionando de u
m odo anmalo.

Kv a lu a r la correccin del p ro ced im ien to existente p a ra la realizacin de le

cam bios d e versiones y a plicaciones.

Los cambios de aplicaciones o de versiones pueden prodicir situaciones de ika

de integracin y de incompatibilidad entre los nuevos productos instalados y ka
existentes con anterioridad. Prcticamente la totalidad d e las nuevas versiones n t
capaces de manejar los formatos utilizados por versiones anteriores, pero no sieiapct
ocurre en sentido contrario.

E l equipo auditor determinar la existencia de procedimientos formal roen*

establecidos para la autorizacin, aprobacin, adquisicin de nuevas aplicaciones y
cambios de versiones. Asimismo, comprobar que las aplicaciones instaladas y Im
i~mhrw A t v m m m bis segiiirfn trwtnv los trmites exigid) en el procedimxato
establecido.

Tam bin se ocupar d e determinar si se han analizado los problemas de

integracin y las incompatibilidades que pueden plantear los nuevos productos
previamente a su implantacin; si se ha establecido algn plan para la formacin de
los usuarios finales que vayan a utilizar estos nuevos producs; y si los encargados de
mantenerlos han adquirido los conocimientos suficientes para cue los cam bios que va
a producirse no impacten negativamente en el funcionamiento de la organizacin.
 www.FreeLibros.me
ItVLO AlPtTOKA l>F. t-AOFlMATKA

D eterm ina r si los u suario s cu en ta n con suficiente form acin y la

docum entacin de apoyo necesaria p a ra d e sa rro lla r tu s ta re a s de un m odo eficaz
y eficiente.

Un conocimiento deficiente d e las funcionalidades de las aplicaciones por parte

& los usuarios finales o de los encargados del mantenimiento, picdc ocasionar
prdida de eficacia y eficiencia en la utilizacin d e las mismas. N o debemos olvidar
que carecer de los conocimientos necesarios puede ser debido tanto a qoc los usuarios
to han sido formados como a que no han aprovechado debidamente los cursos de
formacin recibidos.

FJ equipo auditor determinar la exiMencia de un plan de formacin para

garantizar que todo el personal conoce los productos que tiene que utilizar, incluyendo
bs nuevas aplicaciones y las versiones instaladas. Tambin comprobar que tras la
b o d n de los cursos, se aplica algn mecanismo para determinar el
aprovechamiento conseguido por los alumnos, y si se entrega a los usuarios
documentacin bsica de la operativa del producio. o si pueden acceder a ella
fcilmente en caso de necesidad.

Igualmente, comprobar que los empleados utilizan las posibilidaJes que ofrece
el producto y no sim ulan procedim ientos utilizados en versiones previas o en
afcacioncs utilizadas con anterioridad. Asimismo, evaluar los mecanismos y
rcalos establecidos para solucionar las dudas y problem as planteados determinando
a la responsabilidad de solucionarlos corresponde a un equipo de soxirte com n a
toda la organizacin, o bien, recae sobre el propio departamento.

D eterm inar si el sistem a existente se a ju sta a las necesidades reales d e ln

trpnizacin.

La exigencia de equipos obsoletos o infrautilizados puede ocasionar situaciones

qce, por nu la distribucin de los equipos a las necesidades de la organizacin,
irpcreuun en el correcto funcionamiento d e la misma.

El equipo auditor valorar el uso que se realiza de los equipos existentes,

elaborando una relacin de aquellos computadores que n o se encuentren operativos.
Asimismo, revisar las actividades que se ejecutan en cada equipo, determinando
apello* puestos de trabajo que. por las u rca s que desempean, necesitan ser
atomatizados o precisan actualizar los equipos existentes: as como lucilos puestos
qoe, debido a su escasa actividad, se encuentran sobredimensionados.

A la vista de los resultados obtenidos, elaborar una relacin con

ecsendacioocs sobre descatalogacin de productos obsoletos, redistribuciones y
adquisiciones de nuevos equipos y aplicaciones.
 www.FreeLibros.me
X MIPtTWtlA INKXtMTKA CN*t-NWXJt1*: MlCTtOO___________________________ IUIU

9.2.2. Seguridad

D eterm inar d existen K iian liiH su firicn trs p a ra p ro teg e r lov acceso no
autorizados a la inform acin reserv ad a d e la e m p resa y la in tegridad de b
misma.

Las aplicaciones ofim ineas gestionan informacin reservada com o agendas de

contactos, informes sobre temas confidenciales, estadsticas obtenidas coa
informacin extrada de la base de datos corporativa, etc. Los accesos no autorizad
o las inconsistencias en este tipo d e informacin pueden comprom eter el boa
funcionamiento de la organizacin.

A l margen de los requerimientos que. en un futuro, disponga el reglamento de

seguridad en desarrollo del articulo 9 de la Ley Orgnica 5/1992. d e regulacin dd
tratamiento automatizado de datos de carcter personal, pendiente d e aprobacin, h
organizacin ha de establecer las polticas y procedimientos de seguridad necesario*
pora garantizar la confidencialidad, integridad y disponibilidad d e la informacia
almacenada.

Las funcionalidades en materia de segundad de las aplicaciones climticas y loa

sistema operativos de los computadores personales se han incremntalo
significativamente en h ltimos artos, ofreciendo un nivel de seguridad aceptable.
No obstante, garantizar el cumplimiento de algunas de las medidas de seguridad
expuestas a continuacin exigir recurrir a la adquisicin d e paquetes adicionales y.
sobre todo, la adopcin de medidas organizativas.

FJ equipo auditor examinar la documentacin en materia d e seguridad existente

en la organizacin y comprobar que han sido definidos, al menos, procedimientos de
d a sifica d n de la informacin, control d e acceso, identificacin y autenticacin,
gestin de sopones, gestin d e incidencias y controles de auditoria. Coa
posterioridad, pasar a comprobar si las medidas de seguridad definidas se encuentras
realm ente operativas.

En primer lugar, determinar si el procedim iento J e lanificacin de U

informacin establecido ha sido elaborado atendiendo a la sensibilidad e importancia
d e la misma, y comprobar que toda la informacin se ha clasificado en funcin de loa
criterios establecidos.

Tras verificar que las fundones, obligaciones y responsabilidades, e n materia de

seguridad, de cada puesto de trabajo estn claram ente definidas y documentadas,
comprobar que se han adoptado las medidas necesarias para que todo el personal
conozca tanto aquellas que afecten al desempeo d e su actividad como las
responsabilidades en que pudiera incurrir en caso d e incumplirlas.
 www.FreeLibros.me
rA HTtLO AUOrTORlA IXi LA o i m h c a a

Examinando la relacin actualizada d e usuarios del sistema y de derechos de

ioeo establecidos, comprobar que cada usuario tiene autorizacin para acceder
incamemc a aquellos datos y recursos informticos que precisa para el desarrollo de
u t funciones.

El equipo auditor deber comprobar si se han establecido procedim ientos de

identificacin y autenticacin para el acceso al sistema. Cuando el mecanismo de
Mtnticacin se base en contraseas, determinar si el procedimiento d e creacin,
nacenamiento. distribucin y modificacin de las mismas garantiza su
confidencialidad. Tam bin, determinar si los usuarios desconectan sus puestos de
tatujo al finalizar la jom ada, y si existe algn mecanismo que produzca la
escooexin automtica de un usuario tras un periodo de inactividad determinado, o
lien, que precise introducir una contrasea para poder reanudar el trabajo.

En ningn caso olvidar verificar el cumplimiento de los procedim ientos

estiblecidos para solicitar nuevos accesos o modificaciones sobre los derechos
definidos para un usuario, y que. exclusivamente, e l personal autorizado se ocupar de
cooceder. alterar o anular los derechos de acceso sobre los datos y recursos
rfocmiticos.

El equipo auditor analizar el procedimiento d e notificacin y gestin de

incidcncias definido en la autorizacin, determinando cules son las incidencias
registradas, el momento en que se producen, la persona que realiza la notificacin, a
quta le son comunicadas, el responsable asignado para revisarla y corregirla, los
eectos producidos y las actuaciones que ha provocado.

Finalmente, comprobar que lodos los sopones informticos permiten identificar

b informacin que contienen, son inventariados y se alm acenan en un lugar con
icceso restringido nicamente al personal autorizado. Igualm ente, verificar que la
uU a de sopones informticos fuera d e la organizacin es debidamente autorizada.

Determ inar si el procedim ien to d e generacin d e las copias d e resp ald o es

fuble y garantiza la recuperacin d e la inform acin e n caso d e necesidad.

La informacin generada por el sistema debe estar disponible en todo momento.

U no disponibilidad de datos, especialmente de aquellos procedim ientos crticos para
b organizacin, adems de las consabidas prdidas econmicas, podra llevar, en el
urtmo. a la paralizacin del departamento.

12 equipo auditor examinar el procedimiento de copias de seguridad seguido en

borginizacin. verificando la suficiencia de la periodicidad, la correcta asignacin de
mpontabilidadex y el adecuado alm acenamiento de los soportes.
 www.FreeLibros.me
g DITORU ISKHtMATK V UN IVKXX'f HtCTICP

bit primer lugar, comprobar que la responsabilidad de realizar las copias de

seguridad est asignada y que cada responsable realiza copias d e la informacin que k
encuentra bajo su responsabilidad, de tal forma que lodos los datos ica
salvaguardados. A continuacin, verificar la existencia de un inventario de 'a
soportes que contienen las copias d e seguridad y de la informacin salvaguardada.

Posteriormente, determinar si la seguridad im pkm entada para garantizar h

confidencialidad e integridad d e las copias de salvaguarda ofrece ginota
I equivalentes a las definidas p ira la informacin que contienen, tanto en los sopona
que ve mantienen en los locales de la empresa como en aquellos que se trasladan a ata
ubicacin externa.

l-inalmcnie. controlar la eficacia del procedim iento definido para la recuperado

de las copias de seguridad, determinando si los soportes contienen la informacin qse
est previsto que contengan, y si es posible la recuperacin de la misma, d e fo rro 9a
el resultado final sea un fiel reflejo de la situacin anterior.

D eterm in a r si est g a ra n tiz ad o el fu n cionam iento ininterrum pido de

aquella s aplicaciones cuy a c ad a p o d ra su p o n e r p rd id a s d e in tegridad de b
inform acin y aplicaciones.

E n las organizaciones se desarrollan procesos en los que una cada de tenst

podra ocasionar prdidas de integridad de la informacin y aplicaciones ituncpju,
en ocasiones irrecuperables.

El equipo auditor determinar la existencia de sistemas de alimentante

ininterrumpida, y si stos cubren el funcionamiento de aquellos equipos en ios que k
ejecutan procesos cuya intemipcn podra ocasionar graves repercusiones.

A simismo, debe ocuparse de sim ilar una cada de tensin, verificar si los equpa
de alimentacin ininterrumpida entran en funcionamiento y comprobar si el tiempo de
actividad proporcionado por el sistema d e alimentacin ininterrum pida e s sufwieaie.
para la finalizacin de los procesos crticos y la desconexin del sistema.

D eterm inar el g rad o d e exposicin an te la posibilidad d e in tru si n de virus.

Los costes derivados de la intrusin de virus informticos se han multiplicado a

k * ltimos artos: prdida de la informacin y em pleo de recursos y tiempo pm
restablecer el sistema, llegando en algunos casos a la paralizacin temporal dd
departamento.

El equipo auditor analizar la proteccin establecida en cada uno de los piona

del sistema por los que podran introducirse virus: disqueteras. mdem, accesm a
 www.FreeLibros.me
CAPiiVLO Atom m iAi. ia o u m m ic a xi?

les. etc.: y revisar la normativa para la instalacin y actualizacin peridica de

prodo:tos antivirus, prestando especial atencin a aquellos casos en que la
formacin manejada puede ser crtica para el funcionamiento de la organizacin.

Asimismo, analizar la configuracin d e los equipos y la iMtalacin de

ffogramas que permitan detectar la existencia d e virus, evitar su ir tm i n en el
Ksicrru y elim inar aquellos que se hayan introducido.

En caso de que detectara algn virus en alguno de los equipos, el equipo auditor
itfc*mar inmediatamente al responsable autorizado sugiriendo las medidas que
estime pertinentes pora evitar la propagacin del mismo.

9.2.3. N orm ativa v ig en te

D eterm inar si en el e n to rn o o fim itico se p ro d u cen situaciones q u e p uedan

apo n er infracciones a lo dispuesto en la ijt y O rg n ica 51/1999. de proteccin de
latos de ca r c te r pe rso nal (I.OPD ).

La I.OPD establece una serie de principios y derechos de los ciudadanos en

dacin con sus datos de carcter personal incluidos en archivos automatizados.

Adems, aquellos afectados que sufran daAo o lesin en sus bienes o derechos
coco consecuencia del incumplimiento de k> dispuesto en la LOPD. purden reclamar
h correspondiente indemnizacin ante los T ribunales d e Justicia.

El equipo auditor deber comprobar la existencia d e un inventar) d e archivos

qoe manejan datos de carcter personal y constatar que este inventario contiene todos
bs archivos gestionados en los entornos ofimticos. Aunque en la mayora d e los
casos estos entornos gestionan archivos que se constituyen com o meramente auxiliares
* otros existentes en la organizacin, en algn supuesto podran tratarse datos
personales que no se encontraran incluidos en ninguno de los archivas o bases de
*os corporativas. La tarea del equipo auditor consistir en determinar que los
chivos que gestionan datos personales en entornos ofimticos se encuentran bajo
oirol y que han sido notificados al Registro General de la Agencia d e Proteccin de
Dmos.

Los controles para verificar que los archivos existentes cumplen los preceptos
otibiecidos en la LOPD no pueden excluirse de los procedim ientos generales para
lodi la organizacin, excediendo, por consiguiente, del alcance del presente capitulo.
 www.FreeLibros.me
y * AtlMTOKtAINIOHMTK'A UN fc-OQt-'E HtACTKO___________________________ CU*

Basic recordar que el equipo auditor deber comprobar la adecuacin y valida*

los proced miemos establecido* en la organizacin pora garantizar el cumplimiento*
los principios (calidad de los datos, informacin en la recogida, consentimiento dri
afectado para el tratamiento y la cesin, seguridad de datos, deber de secreto, ele.);
derechos (acceso, rectificacin y cancelacin) recogidos en la mencionada Ley.

D eterm ina r si en el e n to rn o ofim tico se p ro d u cen situaciones q u e potda

suponer infracciones a lo disp u esto en el Real D ecreto le g isla tiv o 1/19%, i t U
I de a b ril, sobre la prop ied a d intelectual.

La mayorfa de las copias ilegales utilizadas en las organizaciones corresponde!

aplicaciones m kroinftxm ticas. en especial a aplicaciones ofim ticas. Este hetto
puede provocar que aquellos afectados que sufran algn tipo de d a to o perjuicio ccot
consecuencia del incumplimiento d e lo dispuesto en el Real Decreto Legislativo sobit
la propiedad intelectual, presenten reclamaciones ante lo s Tribunales de Justicia
puedan derivar incluso causas crim inales.

El equipo auditor deber elaborar una relacin exhaustiva de las aplicackoa,

residentes en equipos ofimtico s. que precisen licencia para su utilizacin. bu
relacin se contrastar con el inventaro d e la organizacin para verificar <pe
coinciden, y. en caso contrario, deber averiguar cules son las copias ilegalmetft
utilizadas.

FJ equipo auditor se ocupar d e verificar la definicin y aplicacin de medri*

con carcter preventivo, tales como: la existencia de un rgimen disciplinario if* ta
conocido por todos los empleados, la inhabilitacin d e las disqueteras y otros pucm
de entrada y salida, y las limitaciones en el acceso a redes externas a la organizante.

Igualm ente, verificar las medidas defectivas existentes u le s como: la asignad*

de responsables que se ocupen de efectuar exploraciones peridicas d e las aplicacin
contenidas en cada computador y d e analizar los niveles d e utilizacin de la
aplicaciones compartidas en la red.

Finalm ente, comprobar la definicin de medidas correctivas tales cocnoc h

eliminacin de las copias ilegales que se localicen: los procedim ientos pora detereior
el modo de intrusin y. en consecuencia, definir medidas para evitar que esta sitwci*
se repita: y adoptar las acciones disciplinarias pertinentes.

9.3. CONCLUSION ES

La mayora de las aplicaciones de auditora en entornos ofimticos no difiot

sustancial mente de las actuaciones necesarias para auditar sistemas centralizados Fi
ambos casos, la experiencia profesional del auditor supone el elemento fndame!
 www.FreeLibros.me
ctH__________________________________ CAPtTVlO AUDTKXtlA DE LA (X1MTICA 30V
pus U seleccin de los controles objeto de verificacin y la adecuacin de los mismos
1 sistema a auditar, teniendo presente en lodo momento que la evolucin sufrida por
tos enlomo ofimticos exigir conocimientos especficos y tcnicas novedosas.

La presentacin de los controles muestra una secuencia e n las actuaciones a

(alizar en la auditora. Com o paso previo al inicio de la auditora propiamente dicha,
el equipo audito debe comprender en profundidad el funcionamiento del sistema y del
so que se hace del mismo, ari como analizar los riesgos a los que est expuesto. Para
cada uno de los aspectos a revisar, debe comprobar la definicin d e controles
preventivos, defectivos y correctivos. A cto seguido, debe verificar si los controles
defendos son realm ente aplicados por los usuarios durante el desarrollo de sus
wividades. Finalm ente, deber emitir una valoracin acerca de la suficiencia y
adecuacin de los controles definidos c implantados para la prevencin de los riesgos
a k que se encuentra sometido el sistema.

Dorante la exposicin de los controles, nos hemos referido con frecuencia a

| documentos, procedim ientos y polticas de actuacin definidas e im plantadas en la
organizacin; sin embargo, e s un hecho habitual que algunos d e ellos n o hayan sido
definidos. Es labor del auditor, adems de constatar tales deficiencias en su informe,
pwxipur en la elaboracin de los mismos. Es decir, el auditor debe ocuparse de
detectar las deficiencias presentes en el funcionamiento de la organizacin, pero,
adems. debe contribuir con su experiencia y conocimientos en la elaboracin de los
procedimientos y recomendaciones que permitan subsanarlas.

Como consideracin final, recomendar que la auditora o fim itica no debe

tta'-msc de un modo independiente. Nos parece ms adecuada la integracin d e los
esetroles ofimticos dentro de un plan de auditora de mayor alcance, principalm ente
per activos de eficacia y eficiencia en la preparacin y desarrollo de la misma.

9.4. LECTURAS RECOM ENDADAS

Itocus, A J Douglxs, I. J. Auditora informtica. Paraninfo. 1987.

Roa Weber EDP auditing. Conceptual foundations a n d practice. McGravv Hill.

1988.

tremer, K. L.. King. J. L. Compute r-B ased systems fo r Cooperalive Work and
H Groap Dectsions M oking. ACM Comp. Survcys, so l. 20. n.* 2. junio 1988. pp.
; 115-146.

B l a c tte c h PuNicactions. ED P Auditing. 1993. Captulos 74-01-01. 74-01-05. 74-

>01744)1-30.74-01-65. 74-01-71 y 75-01-15.

, Alexander. Cooperative office systems: Concepts. Prentice Hall. 1995.

 www.FreeLibros.me

9.5. C UES TIO N ES DE REPASO

I- Qu elementos d e un sistema informtico se contemplan dentro de k

ofi m tica?

2. Explique el paradigma de escritorio virtual.

3. Qu distingue la auditora de ofim tica de la ce otros entornos tafo-

m ticos?

4. Analice la repercusiones que poede tener en un empresa un inventan

poco fiable bajo las perspectivas de la economa, la eficacia y la eficiencia.

5. Cmo debera ser un procedim iento para la realizacin d e cambio it

versiones de paquetes ofim ticos?

6. Calcule el coste real de un computador personal p a n una empresa deagt et

cuenta el hardware, software, mantenimiento, formacin, d e .).

7. Qu mecanismos de seguridad d e los que conoce se pueden aplicar a k*

computadores personales?

8. Escrba un procedim iento para la utilizacin de equipos ofimitico* q*

pueda ser entendido por usuarios finales.

9. Analice las principales "vacunas'' existentes en el mercado contra virus <pe

afecten a computadores personales.

10. Qu consideraciones al entorno ofimtico se encueitran en la LOPD?

 www.FreeLibros.me

CAPTULO 10

A U D ITO R A DK LA D IR E C C I N
Juan M iguel Ramos Eseobout

10.1. INTRODUCCIN
S*mpre se ha dicho que una organizacin e s un reflejo de las caractersticas de
direccin. Los modo* y maneras de actuar de aqulla c u n influenciados por la
fibwfa y la personalidad de la segunda.
Obviamente, los departamentos informticos no son una excepcin. Aunque
fuede argumentarse con razn, que. a su vez. estos departamentos estn integrados en
crpeuacioncs mayores y que. por tanto, son destinatarios de un sinfn de estmulos
de las mismas, qu duda cabe de que. dado el mbitq tecnolgico tan particular de la
Somtica, la principal influencia que dichos departam entos reciben viene inducida
desde la propia direccin de informtica. F.n cualquier caso, e s e n lo que se centra este
aplalo: en la auditora de la Direccin entendida como gestin (en el resio del
ciftaiSo se intercambiarn los dos trm inos) de la Informtica.
Las enormes sumas que las empresas dedican a las tecnologas de la informacin
cu un crecimiento del que no se vislumbra el final y la absoluta dependencia de las
sumas al uso correcto de dicha tecnologa lu cen muy necesaria una evaluacin
independiente de la funcin que la gestiona. Rilo constituye, de hecho, la razn
piKipal de este libro. La direccin de informtica no debe quedar fuera: e s una pieza
cinc del engranaje.
Sin entrar en discusiones profundas sobre el alcance y significado detrs del
voto dirigir (no es el objetivo de este libro y existen multitud d e plumas ms
preparadas que la ma para disertar adecuadamente sobre este apartado), de una
 www.FreeLibros.me "1
211 AUDITORA INFORMTICA- UN KSKIQt'E WtCnCO vm

manera general, se podra decir que algunas de las actividades hisicas Je todo pw a
de direccin son:

Planificar
Organizar
Coordinar
Controlar

10.2. PLANIFICAR

En grandes lneas, se trata de prever la utilizacin d e las tecnologas de b

informacin en la empresa. Existen varios tipos de planes informticos. El priaripl
y origen de todos los dems, lo constituye el Plan Estratgico d e Sistemas 6c
Informacin.

10.2.1. Plan Estratgico de Sistemas de Informacin

Es el marco bsico d e actuacin de los Sistemas de Informacin en la empeca

Debe asegurar el alineamiento de los mismos con los objetivos de la propia empresa.

Desgraciadamente, la transformacin de los objetivos de la empresa en objetiva

informticos no es siempre una tarea fcil. Mucho se ha escrito sobre el contenido)
las ventajas e inconvenientes d e las diversas metodologas de realizacin de este 6po
de planes. N o se trata en estos breves apuntes de terciar en dicha polmica. El leda
encontrar abundante bibliografa sobre la materia. E l auditor deber evaluar si lia
metodologas se estn utilizando y/o pueden ser d e utilidad para su empresa.

Estrictamente hablando, estos planes n o son responsabilidad exclusiva de b

Direccin de Informtica. Su aprobacin final probablemente incumbe a cor
estamentos de la empresa: Comit d e Informtica (ver ms abajo) e incluso en ltia
trmino de la Direccin General. Sin embargo, la Direccin de Informtica debe ser d
permanente impulsor de una planificacin d e Sistemas de Informacin adecuadi y i
tiempo.

Aunque se suele definir la vigencia de un plan estratgico como de 3 a 5 aAos,de

hecho tal plazo es muy dependiente del entorno en el que se mueve la empresa. Kij
muchos factores que influyen: la cultura de la propia empresa, el sector de actividad
e s decir, si la empresa se encuentra en un sector en el que el uso adecuado de h
tecnologa informtica es un factor estratgico - e l sector financiero, por ejemplo . Ix
acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el ao& r
deber evaluar si los plazos en uso en su empresa son los adecuados.
 www.FreeLibros.me

En cualquier caso, independientemente de la metodologa, 1 plazo y la

roones concretas, lle v ad a cabo, debe existir un proceso, con participacin activa
te los usuarios, que regularmente elabore planes estratgicos de Sistemas de
kfcmucin a largo plazo, cualquiera que vea ese largo, y el auditor deber evaluar su
tocacin.

C w de auditora

El auditor deber examinar el proceso de planificacin de sistemas de

fcrmxia y evaluar si razonablemente se cumplen los objetivos pora el mismo.
Etttc otros aspectos, deber evaluar si:

Durante el proceso de planificacin se presta adecuada atencin al plan

estratgico de la empresa, se establecen mecanismos d e sincronizacin entre
sus grandes hitos y los proyectos informticos asociados y se tienen en cuenta
aspectos como cambios organizativos, entorno legislativo, evolucin
tecnolgica, organizacin informtica, recurvo*, etc., y sus impactos estn
adecuadamente recogidos en el Plan Estratgico de Sistemas de Informacin.
Igualmente, el auditor deber evaluar si se presta adecuada consideracin a
nuevas tecnologas informticas, siempre desde el punto de vista d e su
contribucin a los fines de la empresa y n o com o experimentacin
tecnolgica.

Las tareas y actividades presentes en el Plan tienen la correspondiente y

akcuada asignacin de recursos para poder llevarlas a cabo. Asim ismo, si
tienen plazos de consecucin realistas en funcin d e la situacin actual de la
empresa, de la organizacin informtica, del estado de la tecnologa, etc.

Entre las acciones a realizar, se pueden d e scrib ir

Lectura de actas de sesiones del Comit de Informtica dedicadas a la

planificacin estratgica.
Identificacin y lectura de los documentos intermedios prescritos por la
metodologa de planificacin.
Lectura y comprensin detallada del Plan e identificacin de las
conudc raciones incluidas en el mismo sobre los objetivos empresariales.
' cambios organizativos, evolucin tecnolgica, plazos y niveles de recursos,
etc.
Realizacin de entrevistas al D irector d e Informtica y a otros miembros del
Comit de Informtica participantes e n el proceso de elaboracin del Plan
Estratgico Igualm ente, realizacin de entrevistas a representantes d e los
usuarios con el fin de evaluar su grado d e participacin y sintona con el
contenido del Plan.
 www.FreeLibros.me
' AKUTOKlA IMOMTK~A UN tM o q c ii H u m e o

Identificacin y comprensin de lo* mecanismos existentes d e seguimiento;

actualizacin del Plan y de su relacin con la evolucin de la empresa.

10.2.2. Otros planes relacionados

Com o se ha comentado ms arriba, normalmente, deben existir otros plua i

informticos, todos d io s nacidos al amparo del Plan Estratgico. Entre otros, le* ttk
habituales suelen s e r

Plan operativo anual

Plan de direccin tecnolgica
Plan de arquitectura de la informacin
Plan de recuperacin ante desastres

Algunos de ellos (Plan tecnolgico. Plan d e arquitectura) aparecen a vera

integrados en el propio Plan Estratgico. En este capitulo, se tratarn slo dos de e*
planes, los ms comunes y que. adems, siempre tienen vida propia: Plan operativo y
Plan de recuperacin.

Plan ope ra tivo anual

El Plan operativo se establece al comienzo de cada ejercicio y e s el que marca la

pautas a seguir durante e l mismo. Debe estar, obviamente, alineado con d Ra
Estratgico. Asimismo, debe estar precedido d e una recogida d e necesidades de Va
usuarios.

El Plan operativo de Sistemas de Informacin describe las actividades a reatar

durante el siguiente ejercicio natural. Entre otros aspectos, debe sealar los aiien u
de informacin a desarrollar, los cambios tecnolgicos previstos, los recursos y I
plazos necesarios. e(c.

El auditor deber evaluar la existencia del Plan y n i nivel de calidad Debed

estudiar su alineamiento con el Plan Estratgico, su grado de atencin a I*
necesidades de los usuarios, sus previsiones d e los recursos necesarios pora llevar * -
cabo el Plan. etc. IV b e ri analizar si los plazos descritos son realistas teniendo a
cuenta, entre otras cosas, las experiencias anteriores en la empresa, etc.
 www.FreeLibros.me
>IO ALDITtmlA Dfc 1.ADHtfcCqN II?

Han de recuperacin an te desastres

Una instalacin informtica puede v e n e afectada por desabres de variada

W unlc/a: incendio, inundacin, fallo d e algn componente crtico de hardware, robo,
ubotaje. acto de terrorismo, etc., que tengan como consecuencia inmediata la
disponibilidad de un servicio informtico adecuado. La Direccin debe prever esta
potabilidad y. por tanto, planificar para hacerle frente.

En otro captulo de este libro se cubren los aspectos relativos a la auditora d e un

Plan de recuperacin ante desastres. Sin embargo, se quiere sealar aqu que dicho
Flu es responsabilidad directa de la Direccin y no del responsable d e la seguridad

10.3. ORGANIZAR Y COORDINAR

El proceso de organizar sirve para estructurar los recursos, los flujos de

(formacin y los controles que permitan alcanzar los objetivos marcados durante la
(Unificacin.

10.3.1. Comit de Informtica

Una de las acusaciones m is comnmente lanzadas contra la informtica y los

nformticos es la falta de comunicacin y entendim iento que se establece entre el
departamento de informtica en la empresa y el resto de la misma. El Comit de
Momifica es el primer lugar de encuentro dentro d e la empresa de los informticos y
m usuarios: es el lugar en el que se debaten los grandes asuntos de la informtica que
tfectan a toda la empresa y permite a los usuarios conocer las necesidades del
coajunto de la organizacin - n o slo las d e su rea- y participar en la fijacin de
prioridades. Se evitan as acusaciones de favoritismo entre unas reas y otras, en
csanoo al trato recibido de informtica, y. en definitiva. se atiende a la mejor
Bfcacio de los recursos informticos. tradicMnalmente escasos.

Si toen estrictamente el nombramiento, la fijacin d e funciones, etc. del Comit

4c Informtica no son responsabilidades directas de la Direccin de Informtica, sino
de la Direccin General fundamentalm ente, la Direccin de Informtica se ha de
ftovertir en el principal impulsor de la existencia d e dicho Comit.

Aunque no existe regla fija, e l Comit debera estar formado por pocas personas y
fMidido por el director ms snior, dentro de la empresa, responsable en ltimo
iriao de las tecnologas de la informacin. El D irector de informtica debera
k o m como secretario del Comit y las grandes reas usuarias deberan estar
ftptxttadas al nivel de sus directores ms snior. Asimismo, el director de
Aitoria lr:cm a debera ser miembro del Com it. O tras personas de la organizacin
 www.FreeLibros.me

tambin pueden integrarse en el Comit conto miembros temporales cuando se tra

asuntos de su incumbencia o de su especialidad.

Se ha escrito mucho sobre las funciones que debe realizar un Coecit 4

Informtica y parece existir un cien o consenso en. al menos, los siguientes aspectoci

Aprobacin del Plan Estratgico d e Sistemas de Informacin.

Aprobacin de las grandes inversiones en tecnologa de la informacin. !
Fijacin d e prioridades entre los grandes proyectos informticos. ^
Vehculo de discusin entre la Informtica y sus usuarios. ^
Vigila y realiza el seguimiento d e la actividad del Departamento de
Informtica.

G ua de a u d ito ra

A l tratarse del mximo rgano decisorio sobre el papel de las tecnologa de k

informacin e n la empresa, ninguna auditora de la Direccin de Informtica deberlt
soslayar su revisin, lil auditor deber asegurar que el Com it d e Informtica existe j
cumple su papel adecuadamente.

Para ello, deber conocer, en primer lugar, las funciones encomendadas 4

Comit. En este punto, difieren los accione* concretas que el auditor debed
emprender ya que dependern, en gran manera, del grado de Normalizacin impera*
en la empresa. En unos casos, existir una normativa interna explicando los objetivo, j
responsabilidades, componentes, etc. del Comit y en otros no existir nada de eso y '
no habr ms que reuniones aperidicas del mismo.

Entre las acciones a realizar, figuran:

Lectura de la normativa interna, si la hubiera, para conocer las funciones qx

debera cumplir el Cocnill d* Informtica.
Entrevistas a miembros destacados del Comit con el fin d e conocer 1*
funciones que en la prctica realiza dicho Comit.
Entrevistas a los representantes de los usuarios, miembros del Comit, pin
conocer si entienden y estn de acuerdo con su papel en el mismo.

Una vez establecida la existencia del Comit de Informtica, habr que evahur U
adecuacin de las funciones que realiza. Para ello, el auditor, mediante un conjunto de
entrevistas, lecturas de documentacin interna del Comit, etc., deber establecer a
juicio sobre la validez, adecuacin, etc. de las actuaciones del Comit. Uno de kt
 www.FreeLibros.me

ispectos. furxlamenules que deber revivar ev el que hace referencia a la presencia y

pxticipacin efectiva de las reas usuarias.

Entre las acciooes a realizar, figuran:

Lectura de las actas del Com it y entrevistas a los miembros del mismo, con
especial incidencia en los representantes d e los usuarios para comprobar que:

El Comit cumple efectivamente con las funciones enunciadas ms am ba.

Los acuerdos son tomados correctamente y lo puntos de vista de los

representantes de los usuarios son tenidos en cuenta.

10.3.2. Posicin del Departamento de Informtica en la

empresa

El secundo aspecto importante a tener en cuenta a la hora de evala el papel de

li informtica en la empresa, e s la ubicacin del Departamento de Informtica en la
euriKtura organizativa general de la misma. El Departamento debera estar
nficientemente alto en la jerarqua y contar con masa critica suficiente para disponer
de M ondad c independencia frente a los departam entos usuarios.

Tradicionalmcntc. la informatizacin en las empresas comenz por el

epiumcnio financiero o de administracin y. por tanto, el esquema tradicional era
caconirar al departamento de informtica integrado dentro del financiero o
idninistrativo. Hoy en da. la informtica d a soporte a un conjunto mucho mayor de
k m empresariales y. por ello, cada vez e s ms habitual encontrar a departam entos de
afcrmtica dependiendo directamente de Direccin G eneral. Incluso, en las grandes
pnizacioncs. el Director de Informtica es miembro de derecho del Comit de
Direccin u rgano semejante. Siempre que el departam ento de informtica est
Migrado en algn departam ento usuario, pueden surgir dudas razonables sobre su
ecMJnmidad a la hora de atender las peticiones del resto de departamentos de la
espesa

Usa vez ms. estrictamente hablando, la posicin del Departamento de

fcfccmlicj no incumbe su Direccin sino a otros estam entos empresariales.
(Rtiblemente, la Direccin General. Sin embargo, se trac a colacin en este captulo.
prqoe el auditor debe evaluar si las necesidades de los diferentes departam entos de la
a p e s * son tratadas equitativamente por Informtica y no existe un sesgo demasiado
lito hacia en departamento de la misma. Si esto ltimo ocurriera, una de las primeras
para ello puede ser la ubicacin incorrecta de dicho Departamento.
 www.FreeLibros.me
H AUEHTOWAIVFOHMAIKTA IV h.\K>QCK HlCtKX)

G ua de a u d ito ra ^

El auditor deber revisar el emplazam iento organizativo del Ocpirumcao di

Informtica y evaluar su independencia frente a departam entos usuarios. Para a
proceso, ser muy til realizar entrevistas con el D irector de Informtica y direetsm
de algunos departamentos usuario* pora conocer su percepcin sobre el grado dt
independencia y atencin del Departamento de Informtica.

10.3.3. Descripcin de funciones y responsabilidades del

Departamento de Informtica. Segregacin de
funciones

E s necesario que las grandes unidades organizativas dentro del De partimento dt

Informtica tengan sus funciones descritas y sus responsabilidades claran*
delimitadas y documentadas. Igualm ente, e s necesario que este conocimimo x
extienda a todo el personal perteneciente a Informtica: todos ellos deben conocer a
funciones y responsabilidades en relacin con los sistemas de informacin. Y x>
ello e s una labor que compete, en gran medida, a la Direccin de Informtico.

Por otro lado, e s de todo punto ciencia! para tener un entorno controlado qae
exisla una divisin de funciones y responsabilidades. La filosofa bsica que d*
orientar e*ta separacin de papeles es impedir que un so lo individuo pueda traslow
un proceso crtico. Adems, se debera asegurar que el personal de Informtica act
nicamente dentro de la descripcin de las funciones existente pora su puesto de
trabajo concreto.

En particular, se debera asegurar la segregacin entre las funciones de de<arrcU)

de sistemas de informacin, la d e produccin o explotacin y los depanamentm de
usuarios. Adems, la funcin d e administracin de la seguridad debera a a
claram ente separada de la de produccin.

A seguram iento de la C alidad

I-i calidad de los servicios ofrecidos por el Departamento de Informtica deSt

estar asegurada mediante el establecimiento de una funcin organizativa de
Aseguramiento de la Calidad. Cada vez ms hoy en da. se asiste, en te
(vgM i/aticm ts M /armt-JS ryvfw rorudxr. a h jfitric n fn d e e s a n K 'a <ie cocad
de calidad de los servicios informticos, a imagen y semejanza de las organizara*
en c\ mundo industrial. E sta funcin de control l u d e sct independiente de la actividad
diaria del departam ento y ha de depender directamente de la Direccin de Informtica.
 www.FreeLibros.me

Es muy im prtame que n u funcin, de relativa nueva aparicin c i el mundo de

1 organizaciones informticas, tenga el total respaldo de la Direccin y vea percibido
i por el resto del Depariamemo.

Cu de auditora

No es propsito de este captulo describir las funciones de un dcMrtamcnm de

informtica. Ello se describe en otros captulos de este libro, adems d e que existe una
pisim a bibliografa sobre la materia. El aspecto fundamental que queremos
resaltar aqu e s que el auditor deber comprobar que las descripciones estn
documentadas y son actuales y que Uv unidades organizativas informticas las
comprenden y desarrollan su labor de acuerdo a las mtsmav.

Entre las tareas que el auditor podr realizar, figuran:

Examen del organigrama del Departamento d e Informtica e identificacin de

las grandes unidades organizativas.

Revisin de la documentacin existente pora conocer la descripcin de las

funcionen y responsabilidades.

Realizacin de entrevistas a los directores de cada una de las grandes unidades

organizativas para determinar su conocimiento d e las responsabilidades de su
unidad y que stas responden a las descripciones existentes en la
documentacin correspondiente.

Examen de las descripciones de lav funciones para evaluar si existe adecuada

segregacin de funciones, incluyendo la separacin entre desarrollo de
sistemas de informacin, produccin y departam entos usuarios. Igualm ente,
ser menester evaluar la independencia d e la funcin de segundad.

Observacin de las actividades del personal del Departamento pora analizar,

en la prctica, las funciones realizadas, la segregacin entre las mismas y el
grado de cumplimiento con la documentacin analizada.

Aseguramiento de la C alidad

Ei auditor deber evaluar la independencia de la funcin frente al retto de reas

eperatisas del Departamento de Informtica, su dotacin de recursos humanos, la
experiencia de los mismos, la existencia de mtodos y procedimientos formales de
 www.FreeLibros.me

actuacin, las posibilidades reales de realizar mi trabajo, el contenido de lo* nonto

elaborados por la funcin, etc.

Entre las acciones a llevar a cabo, se pueden considerar

Conocimiento de la posicin de la Funcin en el organigrama dd

Departamento de Informtica.

Anlisis del grado d e cumplimiento de las actividades del Departamento es

relacin con las polticas, estndares y procedim ientos existentes tasto
generales del Departamento com o especficos de sus funciones organizatim
De particular im portancia e s el grado de cumplimiento de la metodoioga dd
ciclo de vida de los sistemas de informacin, d e los procedimientos qoc
gobiernan la explotacin del computador y de la investigacin de la calidad de
los datos que se envan a los usuarios.

Revisin de algunos informes emitidos por la Funcin con el fin de evaluir

su estructura y contenido son adecuados. Analizar la existencia d e acciones de
seguimiento basadas en dichos informes.

10.3.4. Estndares de funcionamiento y procedimientos.

Descripcin de los puestos de trabajo

Deben existir estndares de funcionamiento y procedimientos que gobiernen li

actividad del Departamento de Informtica por un ludo, y sus relaciones con k
departam entos usuarios por otro. Estos estndares son el vehculo ideal p*i
transmitir al personal de Informtica la filosofa, mentalidad y actitud hacia bs
controles necesarios con la finalidad de crear y mantener un entorno controlado para U
vida de los sistemas de informacin d e la e m p reo .

De particular importancia son los aspectos relacionados con la adquisicin de

quipos o material pun el Deprtamenlo. con el d ix fu y el cMniulIsVinodificaciOnd;
sistemas de informacin y con la produccin o explotacin.

Adems, dichos estndares y procedimientos deberan estar documentados,

actualizados y ser comunicados adecuadamente a todos los departam entos afectados.
La Direccin de Informtica debe promover la adopcin de estndares y
procedim ientos y dar ejemplo de su uso.

Por otro lado, deben existir documentadas descripciones d e los puestos de trabajo
dentro de Informtica delimitando claramente la autoridad y responsabilidad en cada
 www.FreeLibros.me
CAiiwt.u :o M ixnmlA m-1 a ntuFcrirtN ::i

caso. Las descripciones deberan incluir los conocimiento tcnicos y/o experiencia
secciono* para cada puesto de trabajo.

Guia de aud ito ra

U auditor deber evaluar la existencia d e estndares de funcionamiento y

procedimiento y descripciones de puesto* d e trabajo adecuados y actualizado*.

Entre las acciones a realizar, se pueden c ita r

Evaluacin del proceso por el que los estndares, procedimientos y puestos de

trabajo son desarrollado, aprobados, distribuidos y actualizados.
Revisin de los estndares y procedimientos existentes para evaluar si
transmiten y promueven una filosofa adecuada de control. Evaluacin de su
adecuacin, grado de actualizacin, y nivel d e cobertura d e las actividades
informticas y de las relaciones con los departam entos usuarios.
Revisin de las descripciones de los puestos de trabajo para evaluar si reflejan
las actividades realizadas en la prctica.

10.3.5. Gestin de recursos humanos: seleccin, evaluacin

del desempeo, formacin, promocin, finalizacin

La gestin de los recursos humanos e s uno de los elementos crticos en la es-

reciura general informtica. La calidad de los recursos humanos influye directamente
ca localidad de los sistemas de informacin producidos, mantenidos y operados por el
Departamento de Informtica. Adems, parte d e los recursos humanos necesarios en
ni instalacin informtica son grandes expertos tcnicos. Seleccionarlos, mante-
trios y motivarlos adecuadamente puede ser crucial pora la buena marcha de la
tfamltica y su papel en la empresa.

Geia de a uditoria

Entre otro aspectos, el auditor deber evaluar que:

La seleccin de personal se basa en criterios objetivos y tiene en cuenta la

formacin, experiencia y niveles de responsabilidad anteriores.

El rendim iento de cada empleado se evala regularmente en base a estndares

establecidos y responsabilidades especficas del puesto d e trabajo.
 www.FreeLibros.me
AUWTOHA INFORMTICA- UN ENFOQUE PKCTICO___________________________ m

Existen procesos para determinar las necesidades de formacin de loa

empicados en bate a su experiencia, puesto de trabajo, responsabibdad y
desarrollo futuro personal y tecnolgico de la instalacin. Se p lanilla
cobertura ordenada de estas necesidades y se lleva a la prctica.

Existen procesos para la promocin del personal que tienen en cuenta n

desempeo profesional.

Existen controles que tienden a asegurar que el cam bio de puesto de trabajo y
la finalizacin de los contratos laborales no afectan a los controles internos y 1
la seguridad informtica.

Adems, el auditor deber evaluar que todos los aspectos anteriores estn en lnea
las polticas y procedimientos de la empresa.

Entre las acciones a realizar, se pueden citar:

Conocimiento y evaluacin d e los procesos utilizados para cubrir vacante* ea

el D epartamento d e Informtica, bien sea por promocin interna, bvjoeda
directa de pervonal extem o, utilizacin de empresas de seleccin de personal o
de trabajo temporal.

Anlisis de las cifras de rotacin de personal, niveles de absentismo laboral y

estadsticas de proyectos term inados fuera de presupuesto y de plazo. Si kt
nmeros son anormales (muy altos), podran constituir una seal de falta de
liderazgo por parte de la Direccin de Informtica y/o d e motivacin por pane
del personal.

Realizacin de entrevistas a personal del Departamento para dctcrnurur a

conocimiento de las responsabilidades asociadas a su puesto d e trabajo y de
los estndares de rendim iento, y analizar si los resultados de sus cviluackoes
de desempeo han sido comunicadas de una manera acorde coe ta
procedimientos establecidos.

Revisin del calendario d e cursos, descripciones de los mismos, mtodos y

tcnicas de enseanza, para determinar que los cursos son consistentes coa los
conocimientos, experiencia, responsabilidades, etc. asignadas al persona! y
con la estrategia tecnolgica marcada para los sistemas de informacin de U
empresa.

Revisin de los procedimientos para la finalizacin de contratos. Evaluar i

dichos procedimientos prevn que los idcnhficadorcs de usuario, passwoedsy
prevn otros dispositivos necesarios para tener acceso a los locales y sistema
 www.FreeLibros.me

I informtico* son cancelados, devuelto*, ele., con efectividad inmediata tras la

> finalizacin del contrato de un empleado.

W.3.6. C om unicacin

Es necesario que exista una comunicacin efectiva y eficiente entre la Direccin

fc hform itica y el resto del personal del Departamento. Entre lo* aspecto* que c*
hpcrur.te comunicar se encuentran: actitud positiva hacia lo* controles, integridad,
(ta. cumplimiento de la normativa interna -en tre otra*, la d e seguridad informtica-,
tanpronuso con la calidad, etc.

Ca de auditora

El auditor deber evaluar las caractersticas de la comunicacin entre la Direccin

7 el personal de Informtica. Para e llo se podr servir de tareas formale* como la*
facntas hasta ahora y de otras, por ejemplo, a travs de entrevistas informales con el
penonal del Departamento

10.3.7. Gestin econmica

Eue apartado de la* responsabilidad?* d e la Direccin de Informtica tiene varas

Ktus: presupueMacin. adquisicin de bienes y servicios y medida y reparto de

113.7.1. P m u p u estac i n

Como todo departam ento d< la empresa. el d e Informtica debe tener un

presupuesto econmico, normalmente en base anual. Los criterios sobre cules deben
ser l* componentes del mismo varan grandemente. Un ejemplo tpico son lo* coste*
de b s comunicaciones: en uno* casos es el propio Departamento quien corre con ellos
j, es otros casos, puede ocurrir que la poltica de la empresa indique que sean pagados
por los departamentos usuario*. En otro ejemplo, tambin puede ocurrir que los
reinales (pantallas e im presoras) sean costeados por los usuarios en vez de serlo por
bfonniica. Sea cual sea la poltica .seguida en la empresa, el Departamento de
hfonnitica debe seguirla para elaborar su presupuesto anual.

No vamos a entrar aqu en los diversos mtodos existentes de presupoestacin.

pero d auditor deber juzgar si son apropiados. Lo que sf debera d a e en todo
proceso de presupuestacin de un Departamento de Informtica es una previa peticin
fc necesidades a los departam entos usuarios. Adicionalm ente. el Departamento tendr
 www.FreeLibros.me
ili AIIDWOKiA IMOHMTICA US ENFOQth HtCTXX)

sus propias necesidades: cam bio o ampliacin del computador o d e los dita*,
instalacin de un robot manejador d e cartuchos, de una unidad de comunicaciones, etc.
que te debern integrar e n el presupuesto. L o ms lgico e s elaborar al mismo tiesyo
el presupuesto econmico y el Plan operativo anual.

C u ta d e a u d ito ra

El auditor deber constatar la existencia de un presupuesto econmico, de

proceso para elaborarlo -q u e incluya consideraciones de los usuarios- y aprobarte, j
que dicho proceso est en lnea con las polticas y procedimientos d e la empresa y cc*
los planes estratgico y operativo del propio Departamento.

10.3.7.2. A dquisicin de b ienes y serv icios

Los procedimientos que el Departamento de Informtica siga para adquinr b

bienes y servicios descritos en su plan operativo anual y/o que se demuestra
necesarios a lo largo del ejercicio han de estar documentados y alineados c o kx
procedimientos de compras del resto d e la empresa. Aqu, la variedad es infinita, coa
lo que es im posible dar reglas fijas.

G ua d e audito ra

U na auditora de esta rea n o debe diferenciarse d e una auditora tradicional dd

proceso de compras de cualquier otra rea de la empresa, con lo que el auditoc dehal
seguir bsicamente las directrices y programas de trabajo de auditora elaborados p a
este proceso.

I 0 J . 7 J . M edida y re p a rto de costes

La Direccin d* Informtica Aeb* en lodo momento gestionar loa ota

asociados con la utilizacin de los recursos informticos: humanos y tecnolgicos. Y
ello, obviamente, exige medirlos.

Un aspecto muy relacionado es el reparto d e los costes del Departamento erot

los usuarios. Esta medida no est im plantada en (odas las empresas y . adems, ticte
sus ventajas e inconvenientes que. tambtn. se encuentran fuera del alcance de eflt
libro. Normalm ente, la existencia o ausencia d e un sistema de este upo suele ettr
muy asociada a la propta cultura d e la empresa. En cualquier caso, es cierto que,*
estar presente, se da en general, con mayor frecuencia, e n grandes organizaciones coi
 www.FreeLibros.me
caWuujO lo AUPrrowU tx: i a d ire c o n m
pede* centros de proceso de dalo* centralizados. Es raro encontrar un sistema de
pino de costes en centros informticos de departamentos.
I

Coa de audito ria

El reparto de costes suele ser un tem a delicado. En realidad, el asunto espinoso

tx e ser el llamado precio de transferencia, o te a el coste interno que el Departamento
de Informtica repercute a los departam entos usuarios por los servicios que les presta.

El auditor deber evaluar la conveniencia d e que exista o no un sistema de reparto

de cotes informticos y de que ste sea justo, incluya los conceptos adecuados y de
que d precio de transferencia aplicado est en lnea o por debajo del disponible en el
aerado.

Entre las acciones a llesar a cabo, se pueden m encionar

Realizacin de entrevistas a la direccin d e los departam entos usuarios para

evaluar su grado de comprensin de los componentes de coste utilizados en la
frmula de c k u lo del precio de transferencia.

Anlisis de los componentes y criterios con los que est calculado el precio de
transferencia para esaluar su ecuanimidad y consistencia, y acudir al mercado
externo y a o fe ru s de centros de proceso d e datos independientes para
compararlas con dichos costes internos.

Conocimiento de los diversos sistemas existentes en el Departamento para

recoger y registrar la actividad del mismo (consum o de recursos d e mquina,
nmero de lincas im presas, horas de programacin, de help-detk. etc.), para
procesarla y obtener la informacin de costes y para presentarla de una manera
apropiada.

10.3.8. Seguros

La Direccin de Informtica debe tomar las medidas necesarias con el fin de tener
sufickete cobertura de seguro* para los sistemas informticos. Aqu se incluyen no
(k> las coberturas ms tradicionales com o la de lo* equipos (el hardware) o la de
ii& elidid de los empleados, sino tambin otro tipo de coberturas normalmente ms
itccitdis a la repentina interrupcin del serv icio informtico por causa de algn
desutrc Estas coberturas amparan riesgos tales como la posible prdida de negocio
denv*t de dicha interrupcin, los costes asociados al hecho d e tener que ofrecer
tenido informtico desde un lugar alternativo por no estar disponible el sitio primario
 www.FreeLibros.me
:6 AtlOtTOttlA INFORMTICA UNI .S I W I . 1HACUCO

los costes asociados a la regeneracin de datos por prdida o inutilizacin de los a

originales. etc.

G ua de a u d ito ra

El auditor deber estudiar las plizas de seguros y evaluar la cobertura existente,

analizando si la empresa est suficientemente cubierta o existen huecos en dkh
cobertura. Por ejemplo, algunas plizas slo cubren el reeniffazo del equipo, pero k
los otros costes mencionados, etc.

10.4. C O N TR O LAR

1.a tarca de dirigir no puede considerarse completa sin esia faceta que forma pwc
indisoluble de tal responsabilidad.

10.4.1. Control y seguimiento

Un aspecto comn a lodo lo que se ha dicho hasta el m onento e s la obligacin de

la Direccin de controlar y efectuar un seguimiento permaneno: d e la distinta actividad
del Departamento. Se ha de v igilar el desarrollo de los planes estratgico y operativo
y de los proyectos que los desarrollan, la ejecucin del presupuesto, la evolucin de b
caera de peticiones de usuario pendientes, la evolucin de los costes, los planes de
formacin, la evolucin de la carga del computador y de los otros recursos (espacio ca
disco, comunicaciones, capacidad de las impresoras..., etc.

En esta labor, e s muy conveniente que existan csindare? d e rendim iento con k*
que comparar las diversas tareas. Son aplicables a las div e rs facetas de la actividad
del Departamento: consum o de recursos del equipo, desarrollo operaciones, etc.

G ua de a u d ito ra

Entre las acciones a realizar, se pueden mencionar:

Conocimiento y anlisis d e los procesos existentes e i el Departamento pm

llevar a cabo el seguimiento y control. Evaluacin de la periodicidad de k*
mismos. Analizar igualmente los procesos d e represupuestadn.
 www.FreeLibros.me
MMW_________________________________ CAWnjLO 10 AtOCTKtlA Dti LADIRECCIN r>
Revisin de planes. proyectos, presupuestos de aftos anteriores y del actual
para comprobar que son estudiados, que xc analizan las d e sv iaci n y que se
toman las medidas correctoras necesarias.

10.4.2. Cumplimiento de la normativa legal

La Direccin de Informtica debe controlar que la realizacin d e sus actividades

k lleva a cabo dentro del respeto a la normativa legal aplicable. En particular, se
coonderan fundamentales los relativos a la seguridad c higiene en el trabajo,
lormiva laboral y sindical, proteccin de datos personales, propiedad intelectual del
software, requisitos definidos en la cobertura d e seguros, contratos d e comercio
electrnico, transmisin de datos por lneas de comunicaciones, as com o normativa
eaitidi por rganos reguladores sectoriales.

Asimismo, deben existir procedimientos para vigilar y determinar permanen

temente la legislacin aplicable.

(ka de auditora

El auditor deber evaluar si la mencionada normativa aplicable se cumple.

Para ello, deber, en primer lugar, entrevistarse con la Asesora Jurdica d e la

eaptesj. la Direccin de Recursos Humanos y la Direccin de Informtica con el fin
de conocer dicha normativa.

A continuacin, evaluar el cumplimiento d e las normas, en particular e n los

afectos ms crticos mencionados ms arriba. Si el auditor no es un tcnico en los
dstiatos aspectos legales, deber buscar asesoram iento adecuado interno a la empresa
o externo.

10.5. RESUMEN

La auditoria de la D ireccin de Informtica es una tarca difcil. Sin embargo, la

ccotribucin que dicha Direccin d e Informtica realiza (o debe realizar) al ambiente
de control de las operaciones informticas de una empresa e s esencial. Desde un
pumo de vista de auditora, la calidad del marco d e controles impulsado c inspirado
per U Direccin de Informtica tiene una gran influencia sobre el probable
comportamiento de los sistemas de informacin. Por parte del auditor, son ms
ecesarias las capacidades, de evaluar la *ts o n que las capacidades tcnicas muy
profundas.
 www.FreeLibros.me
a auxtoe Ia informtica un ENFOQCF. PRACTICO

10.6. L EC TU R A S RECOM ENDADAS

FJ)P Auditing. Conceptual Foundation* a n d Practict. Ron W cbcr. McGraw-W,

I993.

Control O bftrtives fo r Information a n d R tla ttd Trchnology. Information Sysev

and Control Foundation. 1996.

Control Objecth'fs. F.DP Auditor Associaiion. 1992.

Systems Audtlotnliiy and Control. T he Institute o f Intemal Auditor Re*e*ck

Foundation. 1991.

10.7. C U ES TIO N ES DE REPASO

I. Descrbanse 1 actividades a realizar por un auditw para evaluar uo pbt

estratgico de u n c n u ' d e informacin.

2. Descrbanse las funciones d e un comit de informtica. Elabrete una lista

con las funciones empresariales que deberan estar representadas en dicto
comit. Qu objetivo tiene para los usuarios su presencia en el comit?

3. Descrbanse las ventajas d e tener procedimientos. Elabrese un guin de Ip

que podran ser procedimientos de: a) diseo de sistemas b) programacin.

4. Qu evidencias deber buscar el auditor para poder evaluar si to

necesidades de los usuarios son tenidas en cuenta adecuadamente?

5. Identifiqense las actividades incompatibles desde un punto de vina de

control en un departam ento de informtica. Raznese.

6. Qu ventajas de control aporta la existencia de la funcin de asegurarme

d e la calidad?

7. Descrbanse los objetivo* d e control a ser evaluados por el auditor en d

apartado de gestin d e recursos humanos.

8. Qu tareas debe realizar un auditor para evaluar d plan de formacin dd

departam ento de informtica? Cmo puede juzgar si dicho plan es acorde
con los objetivo* d e la empresa?
 www.FreeLibros.me
CAPm;u> io. auditoria t*.la direccin' a

9. Relacinense las actividades a realizar por un auditor para la evaluacin del

precio de transferencia d e reparto de costes entre el departam ento de
informtica y lo usuarios.

10. C uites son las reas legales cuyo cumplimiento es el m is importante de

auditar?
 www.FreeLibros.me

CAPTULO 11

A U D IT O R A D E LA EX PLO TA C I N

E'.oy Pea Ram oi

11.1. INTRODUCCIN

El nivel de competencia que existe, hoy en da. entre la* empresas les obliga a
tomar decisiones rpidas y acertadas. Es necesario, para ello, el funcionamiento
adecuado de los sistemas informticos (mediante la incorporacin d e las n u e \w
lecnoiotas) y su continua actualizacin. De esta forma, es decir, combinando esas
tealogiav con una adecuada organizacin y una gestin eficieni:. las empresas
podrn alcanzar sus objetivos de manera satisfactoria.

La auditoria informtica peridica e s uno de los instrumentos ms eficaces con

qoe cuentan las empresas para asegurar su existencia y superar a sus competidores. La
deteccin oportuna de las debilidades del sistema permite mejorarlo racionalizando los
Ramos.

En este artculo se pretende elaborar el esquema de un procedimiento (Figura

11 . 1) p a n llevar a cabo las auditorias de la explotacin de b s sistemas de
informacin' siguiendo la clasificacin de los controles que hace el Proyecto CobT.
 www.FreeLibros.me
2)2 AUPrroftlA FFORMATKTA: CN ENFOQIT. WtACTKX>___________________________ ctom

11.2. SISTEM AS DE INFORMACIN

En un sentido amplio se puede considerar un Sistema de liform acin (SI) con
un conjunto tic componentes que intcractan para que la empresa pueda alcanzar sus
objetivos satisfactoriamente (vase figura 11.2). Segn el Proyecto CobiT los
componentes o recursos de un SI son los siguientes:

Dimos. En general se considerarn datos tanto k*s estructurados como los no

estructurados, las imgenes, los sonidos, etc.
Aplicaciones. Se incluyen las aplicaciones manuales y lis informativas.
Tecnologa. El softw are y el hardware: los sistemas operativos; los sistemas
de gestin de bases de datos; los sistemas de red. etc.
Instalaciones. En ellas se ubican y se mantienen los sistemas de informacin.
 www.FreeLibros.me
CArtn.Lo 11 A tim o n u Dt. l a i* h x ) t acin ;

Personal. Los conocimientos especficos que ha d e tener el personal d e los

sistemas de informacin p ira planificarlos, orgam /arlos. administrarlos y
gestionarlo.

Figura 11.2. Sistem a d e Informacin

Esto* recursos de los sistemas d e informacin se han de utilizar, -inform e COSO

iCcwimiUcc o f Sponsoring O rgam /ations o f the Treadway Commission. Intemal
Control -Integrated Framework. 1992)-. d e forma que permitan la eficacia y la
(ftckncia de la empresa; que los datos financieros elaborados por su sistema de
informacin: muestren una im agen fiel d e la misma y que la empresa cumpla la
legislacin vigente. Por otra pane el sistema debe asegurar la confidencialidad de sus
ditos, aspecto este ltimo contemplado en la legislacin vigente

Para hacer el seguimiento y comprobar que el sistema d e informacin est

actuando como es preceptivo, ste habr d e disponer d e un control interno que
prevenga (os eventos no deseados o e n su defecto los detecte y los corrija.

Es conveniente recordar que el resultado de la auditora parcial de un sistema de

informacin no se puede extrapolar al conjunto del sistema, h l funcionamiento
aalecuado de alguno (o algunos) de los procesos y recursos que intervienen en otras
partes del Sistema (subsistemas) puede invalidar el sistem a d e informacin.

En el esquema que se ir desarrollando com o procedimiento para auditar la

upteacin del sistema, se adoptarn las normas de ISACA. asi como otras Normas
 www.FreeLibros.me

de Auditora de Sistemas de Informacin G eneralmente Acepiadas y AplicaNa

(NAS1GAA)'.

11.3. C A R TA DE EN CARG O

Las responsabilidades del trabajo de auditora deben quedar recogidas en ut

contrato o carta de encargo antes de com enzar su realizacin (la Norma Generad
nmero 12 de ISACA "Draft Standard * 12 se refiere a este aspecto slo en el caso de
la auditora interna; pero tambin es d e aplicacin a la a uditora externa, como qoei
de manifiesto en oros tipo d e auditoras). En ese documente debe quedar reflejado
de la forma m s clara posible, entre otros aspectos, cul ser el alcance del trabajo del
auditor.

11.4. PLANIFICACIN

Segn la Norma General nmero 6 de ISACA las auditorias de los sistemas de

informacin deben planificarse y supervisarse para tener la seguridad de que kn
objetivos de las mismas se alcanzan y se cumplen las NASIGAA.

En la planificacin d e la auditora vamos a considerar tres fases:

3.1. Planificacin estratgica.

3.2. Planificacin administrativa.
3.3. Planificacin tcnica.

11.4.1. Planificacin estratgica

Es una revisin global que permite conocer la empresa, el SI y su control interno

con la intencin de hacer una primera evaluacin de riesgos. Segn los resultados de
esa evaluacin se establecern los objetivos d e la auditora y ve podr determiiur so
alcance y las pruebas que hayan de aplicarse, asf como el momento d e realizarlas.
Para llevar a cabo esta tarca es necesario conocer entre otros aspectos los siguientes:

Las caractersticas de k equipos informticos.

El sistema o los sistemas operativos.
Caractersticas de los archivos o de las bases de datos.
l- i organizacin de la empresa.
La organizacin del servicio de explotacin.

' El rnnao Nomat de Aadioxta de Sitieros de Infcemacifa Gcneraliwtue AeepalM j

Aplicables iwnc I iwunu Mido pe PHocipk de Contabilidad Genenlmene Acepcadot (PCGA)cn ti
 www.FreeLibros.me
CAPfTXT-011: At'DITORlA Of l-A HXTtX>TA06y S

Las aplicaciones que el SI de la empresa ("auditario") que se est auditando o

que se vaya a auditar estn en explotacin.
El sector donde opera la empresa.
Informacin comercial.

La informacin puede obtenerse:

a) Mediante entrevistas y confirmaciones:

Con los responsables de explotacin.

Con los responsables del plan d e contingencias.
Con los usuarios.
Con los proveedores de softw are y hardware.

b) Inspeccionando la siguiente documentacin:

Informes y papeles de trabajo de auditoras anteriores.

Las normas y procedimientos d e la empresa relacionados con la
explotacin del sistem a d e informacin.
l.crs planes de contingencias.
Agenda de trabajo.
Instrucciones sobre el encendido y apagado de los equipos.
Contratos de mantenimiento con otras empresas.
Procedim ientos de emergencia.
Instrucciones sobre seguridad fsica y lgica.
Instrucciones sobre la separacin d e las bibliotecas de desarrollo y
produccin.
Una muestra representativa de las instrucciones operativas d e las
aplicaciones ms importantes donde se incluyan: focha, entradas, tiem po de
proceso, mensajes de errores, instrucciones para finalizar tareas errneas y
diarios de operaciones.

1M .I.I. Clasificacin de los controles

En la auditora informtica se ha distinguido, tradicionalm ente. entre controles

geaerales y controles de las aplicaciones.

*Auditar": Al <onoc uagdn Misino c<*i <1 que relenn* al wjeto de la auditoria fn
tiempo vtftoal. e <Ww. la pen<a fuoa o f iiU n t*tl c) miemi de u<mvKVo ha
a) asditado. ve etfi auditando o a a auditarse. I auk feupeoe. u h o eje* parescr. H ifrm.ro
'fJAirio" <omo susceptible de ta uuli/ado en ual^iieu de e tl Maaoonn
 www.FreeLibros.me
M AUDtTOKlA INFORMTICA US PtKXHIh HCMUCU

La Norma tcnica nmero 3 de AICPA (Am erican In m u te O Chaner Pubix

Accountants). Efectos de l proceso electrnico de datos en e l tu n d i y e\aluacin i d
control interno, publicada en 1974. distingue entre controles generales y controles de
las aplicaciones.

1.a AICPA public en 1984 la Norma nmero 4 8 (SA S - Stameni on Audttgf

Standard) L n efectos del proceso informtico en e l anlisis d e os Essaitu
Financieros. En ella se definen los controles generales como aquellos que cul
| relacionados con todas o con la mayora d e las actividades a n u b le s inlormatiudu,
que generalmente incluyen controles del desarrollo de las modificaciones y dd
mantenimiento de programas informticos y controles de la utdizactn y modilWacit
de lo* datos que se mantienen en archivos informticos.

En una lnea parecida se expresa el docum ento nmero I sobre E l estudio y

evaluacin d e l control interno en entornos informatizados, publicado por el REA
(Registro de Economistas Auditores) en enero de 1996. siendo de inters para d
auditor informtico tener en cuenta este documento y sobre toda sus anexos.

E l documento publicado por el REA dice: "los Controles Generales son una forte
del entorno general de control y son aquellos que afectan, en un centro de procew
electrnico de datos, a toda la informacin por igual y a la continuidad de este servicie
en la entidad. La debilidad o ausencia de calos con troles picdcn tener un mptKtt
significativo en la integridad y exactitud d e los datos. Tambin se con sideral
controles generales aquellos relacionados con la proteccin de los activos: U
informacin resultante, los elementos ffsicos del hardware y el softw are (programas j
sistemas operativos).

Los Controles de las Aplicaciones son aquellos relacionado con la captun,

entrada y registro de datos en un sistema informtica, as com o los relacionados con n
procesamiento, clculo y salida d e la informacin y tu distribucin".

a l C ontroles generales

L os controles generales se pueden clasificar en las siguientes categoras:

I . Controles Operativos y de Organizacin:

Segregacin de Funciones entre el Servicio de Informacin y los usuarios.

Existencia de A utorizacin general en lo que respecta a la ejecucin y * la
transacciones del Departamento (por ejemplo: prohibir al Servicio de
Informacin que inicie o autorice transacciones).
Segregacin de funciones en el seno del Servicio de Infirmacin
 www.FreeLibros.me
CA rtm jon AtPtroniA tt la ex ho tac i 6 n :.'7

2. Controles sobre el desarrollo de programas y vu documentacin:

Realizacin de revisiones, pruebas y aprobacin de k n nuevos sistemas.

Controles de la* modificaciones d e los programas.
Procedim ientos de documentacin.

3. Controles sobre los Program as y los Equipos:

Caractersticas pora delectar, de manera automtica, errores.

Hacer mantenimientos preventivos peridicos.
Procedim ientos p a n salir de los errores d e los equipos (hardware).
Control y autorizacin adecuada en la implementacin de sistemas y en las
modificaciones de los mismos.

4. Controles de acceso:

Sirven para delectar y lo prevenir errores accidentales o deliberados,

causados por el uso o la manipulacin inadecuada de los archivos de datos
y por el uso incorrecto o no autorizado de los programas.

5. Controles sobre los procedimientos y los datos:

Manuales escritos como soporte de los procedimientos y los sistemas de

aplicacin.
Controles de las conciliaciones entre los datos fuente y los datos
informticos.
Capacidad para rc-uaurar archivos perdidos, deteriorados o imorrectos.

k) Controles de las aplicaciones

Los controles de las aplicaciones estn relacionados con las propias aplicaciones
fotmacizadas. Ix*s controles bsicos de las aplicaciones son tres: captura, proceso y
lula

L Controles sobre la captura de datos:

Altas de movim ientos.

M odificaciones de movim ientos.
Consultas de movim ientos.
M antenimiento de los archivos.
 www.FreeLibros.me
:m AtDITOKlA INFORMATICA' l'S b.MO<Jti: rHACTK'O

2. Controles de proceso- Normalm ente se incluyen <n los programas. Se

disertan para detectar o prevenir los siguientes tipos de m ores:

Entrada de datos repetidos.

Procesamiento y actualizacin d e archivo o archivo; equivocados.
Entrada de dalos ilgicon.
Prdida o distorsin de datos durante el proceso.

3. Controles de salida y distribucin. L os Controles de salida se disertan pao

asegurarse de que c resudado del proceso es exactc y que los informe y
dem s salidas los reciben slo las personas que estn autorizadas.

En el Proyecto CobiT se establece una nueva clasificacin, donde se afirma qct

existen tres niveles e n las Tecnologas de la Informacin a li hora de considera b
gestin de sus recursos: actividades y/o tareas, procesos y dominios.

A ctM dades y tartas

Las actividades y las tareas son necesarias para alcanzar un resultad

cuantificabk. Las actividades suponen un concepto cclico, mientras que las tarcas
implican un concepto algo ms discreto.

Procesos

Los procesos se definen com o una serie d e actividades o tareas unidas por
interrupciones naturales.

Dominios

L os procesos se agrupan de forma natural dando lugar a los dominios, que se

cocifirmiin. grnrralm rne*. n a i u /ominioc de responsabilidad en las estructural
organizativas de las empresas y estn en lnea con el ciclo de gestin aplicable a los
procesos de las Tecnologas de la Informacin.

La G ua de Auditoria del Proyecto CobiT recoge 32 procesos de los Sistemas de

Informacin donde se sugieren los objetivos d e control. Eso* procesos eti>
agrupados en cuatro dominios.

Dominios y procesos de las tecnologas de la informacin

 www.FreeLibros.me
CAPtTVLO 11: AITXTOKIA DB LA BXPIOTMK

1. Planificacin y organizacin
I. I. Definir e l plan estratgico de las Tecnologas d e Informacin (TTIf.
1.2. Definir la arquitectura de la informacin.
1.3. Determ inar la direccin tecnolgica.
1.4. D efinir la organizacin y las relaciones.
1.5. Gestin de las inversiones.
1.6. Comunicar las tendencias a la direccin.
1.7. Gestin de recursos humanos.
1.8. Asegurarse del cumplimiento d e los requisitos externos.
1.9. Evaluacin de l riesgo.
1.10. Gestin de proyectos.
1.11. Gestin de la calidad.

2. Adquisicin e im plem entacin

2 .1. Identificar las soluciones automatizados.
2.2. A dquirir y mantener e l software.
2.3. A dquirir y mantener la arquitectura tecnolgica.
2.4. Desarrollar y m antener procedim ientos.
2.5. Instalar y acreditar lo s sistemas.
2.6. Gestin de los cambios.

3. Sum inistro y m antenim iento

3. I. Definir e l nivel de servicios.
3.2. Gestionar los servicios d e las terceras partes.
3.3. G estionar la capacidad y e l funcionamiento.
3.4. Asegurarse del servicio continuo.
3.5. Asegurarse de la seguridad d e los sistemas.
3.6. Identificar y localizar los costes.
3.7. Formacin terica y prctica d e los usuarios.
3.8. A sistir y asesorar a los clientes.
3.9. M anejo de la configuracin.
3.10. Gestin de los problemas y d e lo s incidentes.
3.11. Gestin de los datos.
3.12. Gestin de las instalaciones.
3.13. Gestin de la explotacin.

4. Monitorizacin
4.1. M onitorizar e l proceso.
4.2. Independencia.
 www.FreeLibros.me
MO Al DfTOHlMNKMtVUnCA ir\ RXPOQtT. mACTICO

1 1 .4. 1 . 2. E valuacin d e los controle interno

E funcin del auditor evaluar el nivel d e control interno; tambin e* Je a

responsabilidad juzgar i los procedim ientos establecido son los adecuada p n
salvaguardar el itema de informacin.

La naturaleza y la extensin de los controles que requieren los sistemas de

proceso de datos variarn d e acuerdo con la clase de sistemas en uto.

El informe CO SO define el CONTROL com o "las normas, los procedmiettoi

las prcticas y las estructuras organizativas disertadas para proporcionar segundad
razonable de que los objetivos de las empresas se alcanzarn y que los eventos no
deseados se prevern, se detectarn y se corregirn".

Para evaluar los controles es necesario buscar evidencia sobre:

La terminacin completa d e todos los proceso.

La separacin fsica y lgica de los programas fuentes y objetos y de la
bibliotecas de desarrollo, de pruebas y d e produccin.
La existencia de normas y procedimientos para pasar los programa de un
biblioteca a otra.
Las estadsticas de funcionamiento, donde al menos se incluya:
- Capacidad y utilizacin del equipo central y de los perifricos.
- Utilizacin de la memoria.
- Utilizacin de las telecomunicaciones.
Las normas del nivel d e servicios de los proveedores.
Los estndares de funcionamiento interno.
El mantenimiento y revisin de los d ian o s de explotacin (Oprration
La lealizacin del mantenimiento peridico d e todos los equipos.
La evidencia de la rotacin de los tum os d e los operadores y de las vacacin
tomadas.

Una forma de encontrar evidencia, como se comentaba en el punto 11.4.1. la. ei

nw A anlf wl*v*-. para llevarla r* h o v pau*<Vn laborar cutioi*rio <*
cuadro l l . l ) o listas de comprobacin (ch tck listt) con el objetivo de no olvidar
detalles im portantes4. Es conveniente que los cuestionarios y las listas de
comprobacin se elaboren d e tal manera que de las respuestas negativas se infiera
debilidad, posibilidad de riesgo.

* En U h.M.op,fu qot t t TKomttrnm I leetc* podr enmurar Intat i t con*n*acKa j

cuntKxuiKH Je control interno
 www.FreeLibros.me

Referencia: 3.13/CCI/1

Por Fha

r a ti : Nombre de U empresa
Ftdta de auditora : 31/12/952
Dominio : Suministro y mantenimiento
Pro : Gestita de la explotacin
Titula : Cuestionario de Control Interno

Controlo sobre la explotacin drl Serteto de lo- N/A Observadooe*

Si No
formacin

1. liuiaeo tio m u y procedimiento! escritos so

bre d fur*:icnanieiKo del Servicio de Wor-
an o ta?
2. El Strcio de Informacin, ert separado del
m u de tot departamento?
3. E* adecuada ia x p v ta cita de func*es en
tre el Servicio de Informacin y los departa
mentos de tas usuarios?
4. JE] personal de explotacin participa en fan-
o o a a de ann y desanoUo de aplicaciones?
J. kxiste uarajTama del funoceimierto del
Serv io de te/ormacita?
6. Se describen con dettiJe las funciones y rrv
ponsafcibdades del pencoal?
7. El personal de explotacin conoce perfetta
mente culle* seo tus funciones y sus respon
sabilidades?
8. Ea imposible que k operadores acredui a

bajo?
9. e rotan la asignaciones de tritajo de lo

10. Eaisaen nonras de c ta deben hacerse los

canteo de nano para que exista la segundad
de * e Us vhcvM ies contimi .jm e e -

Cuadroll.l(Contina)
 www.FreeLibros.me
U IXTORlA INTOKMATI

Referencia: 3.13/CCI/2

Pe Reta

BB

C'oniroles sobre 1* explotacin drl Servido de In

S No N/A Observadores
formacin

II. Efle personal con conocimientos y experiencia

vjfktcnlc que organ/a el trabajo pon que resulte lo
mis eficaz posible?

12. Exten procedimientos de salvaguarda, fuera de la

instalacin, en relacin con fichttW nunBw, era-
n u l a y programas, que permiun reconstruir las
cpcracKoe* que sean necesarias?

IX Se aprueha per penoeul autc*iado la solicitudes

de nuevas aplicaciones?

14. Existe pencnal cco autoridad srfcKcte que es ri qje

1$. t fcxisten pnxcdiincnkn adecuado pora mantener

la documentacin al da?

16. tienen manuales tolas las apbcacione'*

17. Hurten controles que garantices el uso adecuado

de discos y cintas

18. Existen procedimientos Jccuados para cokiw

y desconectar de los equipas remotos?

19. Se aprietan los programa* nuevos y k que se

revisan ames de ponerlos en funcxoamMMO?

20 Partkipin los departamentos de tucanos en la

o ahiacin de Im dalos de pnifNi

Cuadroll.l (continuacin)
 www.FreeLibros.me

Referencia: 3.13/CCI/3

: Nombre de la empresa
Ffctia dr auditoria

Controle obre la cptotad*n del Servicio<1 In N/A O M enactenn

SI N
formacin

21. Revivan y evalan k>departamento* de uvuano

lot multado* de b prueba finalev dando vu apro
bante aale de poner en funcaanamaemo las apixa

22. Al pooer en fvjncxumcrto njeva aptxacicoci o

x n x o n actualizadas. funcicean en paralelo Un
exivtmoev dnale an ciato tiempo

IX tSecompreehank resultados con daim reate?

21 Existe penonalre los cooiionlo y expeneo-

da adecuad que revisa coa periodicidad looxn-
poarom finco de lo*equipo* siguiendo lis ms-
mjatcoe de los (abocante*?

n a n . turaedad. etc. que recocnenda d (Encante

para el equipo, cintas. <c.?

* Exnten controle* apropiado* para que fc>las

penen auton/adas tengan acceso a k equipo,
castas. diKo. documentacin de programas, ete.f

7. Exitlen norrnas setre hora extn y *e controlan

lu cefrada y tafeis dd penonal fuera de s i hora
rio detrahaf>?

Cuadroll.l(continuacinI
 www.FreeLibros.me
144 AliWR)lUA INFORMATICA UN bNIQQtlt ntACHOO

1 1.4.1 J . E stablecim iento de objetivo*

En funcin de l i importancia de los riesgos que se hayan detectado, el t o t e

establecer los objetivo de la auditora, cuya determinacin concreta permitir dtfiai
con claridad el alcance de la misma.

Se considera que el riesgo es la presentacin negativa de un objetivo de audiurfi

Si la oracin negativa se transforma en oracin afirmativa, se tiene como resultado
objetivo de control. Veamos un ejemplo:

Una de las preguntas del cuestionario para la entrevista con el Dirette* k

Explotacin dice lo siguiente:

Tiene su empresa norm as est rilas d e cmo deben hacerse lo s trasposti it

programas en desarrollo a program as en explotacin?

Si la respuesta fuera negativa, se podra concluir que existe un riesgo por el htd
de que cada empleado podra hacer los trasvase* sin lomar las medidas d e scgur>ld
necesarias y porque el proceso de trasvase no ha dejado pistas de auditora para poda
rehacer los pasos que se han dado y poder comprobar que el trabajo se ha realizado de
manera correcta. Por el solo hecho de n o existir normas escritas no quiere decir que
los trasvases se realicen mal. No obstante es una posibilidad de riesgo por lo qw
debemos convertir este riesgo potencial e n objetivo de auditora.

La debilidad sera la siguicmc:

!/> empresa no tiene normas escritas de cm o deben hacerse los Iraspatoi it

program as tn desarrollo a program as en explotac in.

E l objetivo de control sera:

Com probar que la empresa tiene normas escritas d e cmo deben hacerse bu
traspasos de programas en desarrollo a program as en explotacin.

Para alcanzar ese objetivo habr que disertar una serie d e pruebas de
cumplimiento y sustantivan Cada una de esas pruebas es un procedimiento.

Los procedimientos podran ser:

a l Pruebas de cumplim iento

Si se confuira que realm ente no existen manuales, no se pueden hacer pruebas de

cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se estl
cumpliendo las normas establecidas. El procedim iento podra ser como sigue:
 www.FreeLibros.me
caH u io 11
: a u x io k Ia mi a kxw xhaoO n ;s

Comprobar fue tai normas para pasar un program a de desarrollo a explotacin

ion adecuadas y que la empresa tas est cumpliendo.

La inexistencia de manuales no implica, forzosamente, que los traspasos se llevan

* cabo inadecuadamente. Para confirmarlo, al no existir normas, se tendran que
realizar pruebas sustantivas.

b) Pruebas sustantivas

Revisar las aplicaciones - s i son pocas a p tica cim es se revisan todas; si son
muchas se elige una m uestra representativa- que se han pasado d e desarrollo a
explotacin y. revisar q ue antes de pasarlas han sido sometidas a un tote d e pruebas y
iat han i upe rodo utlisfitctortmente. Q ue esas pruebas cumplen los requisitos y
estndares d e l sector. Q ue e l traspaso h a sido autorizado p o r una persona con la
ufitienie autoridad.

As pues, elaborando un cuestionario que contemple todos los aspectos necesarios

para la buena explotacin del sistema de informacin y realizando las pruebas
oportunas se podrn establecer los objetivos de control de la auditora cuadro 1 1 . 1).

Para comprender y evaluar los riesgos no siempre e s suficiente con entrevistas,

inspecciones y confirmaciones: puede ser necesario realizar clculos y utilizar tcnicas
4e examen analtico.

La confirmacin consiste en corroborar la informacin -q u e existe en los

registros- con terceros, normalmente por escrito.

Los clculos consisten en la comprobacin d e la exactitud aritmtica d e k

registros de datos.

Las tcnicas de examen analtico consisten e n la comparacin de los im pones

registrados con las expectativas desarrolladas por el auditor al evaluar las
iMerrelaciones que razonablemente pueden esperarse entre las distintas partidas de la
formacin auditada.

Siempre que sea posible <y la naturaleza d e los datos lo permita) es conveniente
otiluar tcnicas de examen analtico (Norma Tcnica nmero 5 de ISACA sobre la
| mfaacMn del trabajo: "The Use o Risk Assesment in Auditing Ptarming").
 www.FreeLibros.me
AlOTTORlA INFORMATICA UN XTOQUISPRACTICO_______________

11.4.2. Planificacin Administrativa

La Planificacin Administrativa no se debera hacer hasta haber coocluid %

Planificacin Estratgica. En esta fase de la planificacin pueden surgir t
problemas por coincidir las fechas de trabajo del personal de b empresa aud&acri
otros clientes. A s en esta etapa deben quedar claros los siguieites aspectos:

Evidencia. En este punto se podr hacer una relacin con la d

disponible en la etapa anterior, documentacin que se utilizar indicando el k
donde se encuentra para que est a disposicin del equipo de aiditora.

Perumal. De qu personal se va a disponer, qu conocimientos y cxpcriencii

los ideales y si va a ser necesario o no contar con expcrtoi. tanto pcruxul de h I
empresa auditora com o expertos extemos.

Calendario. Establecer la fecha de comienzo y de finalizacin de la audiioriij

determinar dnde se va a realizar cada tarca: en las dependencias del clicMe o es l
oficinas del auditor.

Coordinacin y cooperacin. Es conveniente que el auditor mantenga tactm

rela cio n o con el "auditorio", que se establezca, entre ambos, n nivel de cooperante
sin que deje de cumplirse el principio de independencia ( K o m u Generales minero
1 .2 y 3 de ISACA) y que se defina con claridad el interlocutor del cliente.

11.4.3. Planificacin Tcnica

En esta ltim a fase se ha d e elaborar el programa de trabajo. En la fase de

Planificacin Estratgica se han establecido los objetivos de la auditora En la fa e de
Planificacin Administrativa se han asignado los recursos de personal, tiempo, etc. &
esta fase de Planificacin Tcnica se indican los mtodos, -e l mtodo de auditora q
se va a seguir, e s decir, si se va a seguir un mtodo que se hasc en los controles, o per
el contrano la auditora se basar en pruebas sustantivas-, ios procedimientos, bi
herramientas y las tcnicas que se utilizarn para alcanzar los objetivos d e la auditora

El programa de auditora debe set flexible y abierto, de tal forma que se pucdM u
introduciendo cambios a medida que se vaya conociendo mejor el sistema. 0
programa y el resto de los papeles de trabajo son propiedad del auditor. ste no tiene
la obligacin de mostrrselos a la empresa que se audita auditario). debiendo
custodiarlos durante el plazo que marque la ley.
 www.FreeLibros.me
11
CAyfrvijO . AtronoftlA o c l a explotacin

Dedicarle a la planificacin el tiempo necesario permite vitar prdidas

innecesarias de tiempo y de recursos. E. Perry (Planing EDP A udiu. pgina 7) dice
ijoe la ib uhbucin ideal del tiempo empleado en realizar una auditora sera: un tercio
en planificar, un tercio en realizar el trabajo de cam po y un tercia en hacer las
revisiones y en la elaboracin del informe o de lo informes.

Para elaborar el programa de trabajo se va a seguir la gua d i auditora del

proceso Gestin de la Explotacin |" 3 .I3 G estin d e la E x plottcn"]. Cienos
aspectos de la explotacin de un sistema de informacin pueden quetfcr al margen del
proceso 3.13. Esto es debido a la clasificacin que hace CobiT y que se ha comentado
iMeriormelnte. Seguro que aquellos otros aspectos que el lector eche d e menos
quedan recogidos en otros procesos. sta es, pues, una de las grandes ventajas que
frsenla la G ula CobiT. facilita la comunicacin en el sentido de que podemos
determinar con claridad el alcance d e la auditora.

11.5. REALIZACIN D EL T R A B A JO (PROCEDIMIENTOS)

Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han

Minificado para poder alcanzar los objetivos d e la auditora (Cuadro 11.2).

11.5.1.Objetivo general

Para el caso de la auditora de la explotacin hemos seguido las recomendaciones

qse se incluyen en la Gua del Proyecto CobiT. A s el objetivo genera' d e la auditora
cottustira en:

A ugurarse de que las /unciones que sirven d e apoyo a las Tecnologas d e la

hformacin se realizan con regularidad, d e fo rm a ordenada, y satisfacen los
requintos empresariales.

11.5.2.Objetivos especficos

Para alcanzar el objetivo general, se puede dividir esc objetivo en diversos

Objetivos especficos sobre los que se realizarn las pruebas oportunas para asegurarse
de que el objetivo general se alcanza. El esquema de trabajo, para cada uno de los
otptivos. es el siguiente:
 www.FreeLibros.me

Referencia: 3.13/1

Por M

Preparado I ~|
Auditarlo : Noentwc de U empfcv R e id o | II |
Fcdui d< auditora . JI/I2/XXXX
Dominio : Sum:antro y nuMMiimten
Prorao : OcMitfc. de la explotacin
Titulo : Programa de trabajo

Cuadro 11.2 (Contina)

 www.FreeLibros.me

Referencia: 3.13/2

Por Fetha

Preparado I l I j
Auditarlo : Nombre de U eiaptu Rentado |
Fecha de auditoria JI/I2/XXXX
Dominio : Sumaruuro y naanieniraaenio
Pncrvi : Getiidn de la explotacin
Titulo : Programa de trabajo _________________________________________

Cuadro1.2(continuacin)
www.FreeLibros.me

Cuadro11.2{continuacin)
 www.FreeLibros.me

Referencia: 3.13/4

Aatitarfo : Nombre de la etnpreta

Fk u de auditora :31/12/XXXX
Dcatoh : Suministro y nuatemirufn
Pi-ocmo : Getlido de laexpkrtacido
TOulo___________: Programa de trabado

Cuadro 11.2 (continuado*)

 www.FreeLibros.me
AiipmxtiA tsaotuTK~A u.v m o q o m titco _________________

Comprender las tareas, las actividades del proceso que se est auditando
-1
S i fuera necesario ampliaramos la t entrevistas tftte hemos realizado en b
fase de planificacin estratgica.

Determinar si son o no apropiados los controles que estn instalados.

Si fu e ra necesario ampliaramos las pruebas que hem os realizado en la fo t

de planificacin estratgica.

Hacer pruebas de cumplimiento para determinar si los controles que etifa

instalados funcioaan segn lo establecido, d e manera consistente y contimu.

E l o b je tiw de las pruebas d e cumplimiento consiste en analizar e l n n rl t

cumplim iento de lat norm as de control que tiene establecidas e l auditorio",
Se supone que esas normas d e control establecidas son eficientes y efectivas.

Hacer pruebas sustantivas para aquellos objetivos d e control cuyo buea

funcionamiento con las pruebas de cumplimiento no nos ha satisfecho.

E l ob je tn o de las pruebas sustantivas consiste en realizar las pruebas

necesarias sobre los dalos para que proporcionen la suficiente seguridad a la
direccin sobre si se ha alcanzado su objetivo empresarial.

Habr que realizar e l mximo nmero de pruebas sustantivas si:

N o existen instrumentos de medida de los controles.

Los instrumentos de medida que existen se considera que no son tos
adecuados.
Las pruebas de cumplimiento indican que los instrumentos d e medida de tos
controles no se han aplicado de manera consistente y continua.

F.l auditor debera haber realizado las suficientes pruebas sobre los resultados de
las distintas tareas y actividades <fc* la r*ptni.-u-in del *itema de informacin c o so
para, poder concluir si los objetivos d e control se han alcanzado o no. Con c u
informacin debe elaborar un informe y si procede hacer las recomendaciones
oportunas.
 www.FreeLibros.me
APtTVLOII AUPHORtADfcLAUftXlIAHV y

11.6. INFORMES

11.6.1. Tipos de informes

Un* vez realizada toda esta fases, el auditor e*t en condiciones de em itir un
informe en el que exprese u opinin. Los tipos de opiniones bsicas generalm ente
Keftadas en auditora, son cuatro: I. Si c concluye que el sitfem a es satisfactorio, el
sa&tor dara una opinin favorable. 2. Si el auditor considera que d sistema e s un
desastre, su opinin sera desfm vrable. 3. El sistema es vlido pero tiene algunos
fallos que no lo invalidan, opinin con sah-edades. 4 . Tam bin podra ocurrir que el
ao&tor no tenga suficientes elem entos d e juicio para poder opinar; en ese caso no
chinara: denegacin de opinin. A continuacin se muestra cm o podra redactarse
el prrafo de opinin en cada uno de los casos que hemos comentado jara el objetivo
{eneraI que se ha propuesto.

I. Favorable

En nuestra opinin d servicio d e explotacin y las funcione* que rven d e apoyo

a Us Tecnologa* de la Informacin se realizan con regularidad, d e forma ordenada y
satisfacen los requisitos empresariales.

1 Desfavorable

En nuestra opinin, dada la im portancia de lo* efecto* d e las salvedades

comentada en lo* punto* X. X I.... d e este informe, el servicio d e explotacin y las
fiuKioees que sirven de apoyo a las Tecnologas de la Informacin NO se realizan con
regularidad. NI de forma ordenada y NO satisfacen los requisitos empresariales.

3. Con salvedades

En nuestra opinin, excepto por los efectos de las salvedades que se comentan en
I punto X de este informe... (en una parte del informe se indicarn cules son las
salvedades y en este mismo documento o en documento aparte se harn las
recomendaciones oportunas para mejorar el sistema, para que en una siguiente
anditora no existan las salvedades comentadas) el servicio de cxlotacin y las
tacione que sirven de apoyo a las Tecnologa* de la Informacin se realizan con
regularidad, de forma ordenada y satisfacen los requisitos empresariales
 www.FreeLibros.me

4 . 1VncgiK n de opinin

En el caso de que las salvedades im pidan hacemos una opinin del senicio de
explotacin, ya sea por falla de informacin o por no haber tenido acceso a ella porta
motivos que fueren, pero siempre ajenas a nuestra voluntad, y no obstante, hita
intentado hacer pruebas alternativas, el auditor denegar su opinin.

11.6.2.Recomendaciones

Hn el caso de que el auditor durante la realizacin d e la auditora deteca

debilidades, ste debe comunicarlas al auditado con la m ayor prontitud posible. Ui
esquema, generalmente aceptado, de cmo presentar las debilidades es el siguiente:

Describir la debilidad.
Indicar el criterio o instrumento de medida que se ha utilizado.
Indicar los efectos que puede tener en el sistema de informacin.
Describir la recomendacin con la que esa debilidad se podra eliminar.

A continuacin se completan las caractersticas que debe tener un buen infern

de auditora siguiendo Us normas que para tal efecto ha em itido ISACA.

11.6.3. Normas para elaborar los informes

La elaboracin y el contenido de los informes de auditora deben ajustarse a Im

Normas de Auditora de Sistemas de Informacin Generalm ente Aceptadas y
Aplicables (NASIGAA). Entre otros motivos porque facilita la comparacin de Im
informes realizados por distintos auditores. Por tanto, siguiendo las normas nmeros 9
y 10 de "General Standards for Information Systems Auditing emitidas por ISACA
adems del prrafo de opinin antes indicado, el informe de auditora deber contener
o tra informacin adicional.

El informe es el instrumento que se utiliza para comunicar los objetivos de 1>

auditora, el alcance que vaya a tener, las debilidades que se detecten y Us
conclusiones a las que se lleguen. A la hora d e preparar el informe, el auditor debe
tener en cuenta las necesidades y caractersticas de los que se suponen sern wa
destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos
que se pretenden cumplir. Si. segn la opinin del auditor, alguno de c a o s objetivos
no se pudiera alcanzar, se debe indicar en el informe.

En el informe de auditora se deben mencionar cules son las NASIGAA que st

han seguido para realizar el trabajo de auditora. Tambin se deben indicar: las
 www.FreeLibros.me
CArtTIX 11: Al'DTTOHlA DK LA EXH-OTAOQS

acepciones en el seguimiento de extas normas le nicas, el motivo de ro seguirlas, y

cundo proceda, tambin je deben indicar k efectos potenciales que pudieran tee
ea los resoltados de la auditora.

En el informe de auditora se ha de mencionar el alcance d e la auditora, a s como

describir la naturaleza y la extensin del trabajo de auditora. En el p m f o de alcance
k deben indicar el reatyroceso. el perodo de auditora, el sistema, las plicacioncs y
k pnxesos auditados. Asimismo se indicarn las circunstancias que hayan lim itado
d alcance cuando, en opinin del auditor, no se hayan podido completar todas las
pruebas y procedimientos disertados, o cuando el "auditario" haya im puesto
mtrkcione* o limitaciones al trabajo de auditora.

S durante el trabajo se detectaran debilidades en el sistema de infermacin de la

estafad auditada, stas debern indicarse en el informe, as como sus causas, sus
efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades.

El auditor debe expresar en el informe su opinin sobre el iea o proceso

au&udo. No obstante, en funcin de lo objetivos de la auditora, esta jpinin puede
itr general y referirse a todas las reas o procesos en su conjunto.

El informe de auditora debe presentarse de una form a lgica y organizada. Debe

ccoicncr la informacin suficiente para que sea com prendido por el desnatano y ste
pjeda llevar a cabo las acciones pertinentes para introducir las correccicoes oportunas
que mejoren el sistema.

El informe se debe em itir en el momento ms adecuado para que permita que las
acooes que tenga que poner en prctica el auditano". tengan los mayores efectos
positivos posibles. Con anterioridad al informe, el auditor puede em itir, si lo
enmadera oportuno, recomendaciones destinadas a personas corcretas. Estas
recomendaciones no deberan alterar el contenido del informe.

En el informe se debe indicar la entidad que se audita y la fecha de em isin del

rim ne. tambin se deben indicar las restricciones que fuesen convenientes a la hora
de dittriboir el informe para que ste no llegue a manos indebidas.

11.7. LA D OCUM ENTACIN DE LA AUDITORA Y SU

ORGANIZACIN

11.7.1. Pap!es de trabajo

l a documentacin de la auditora de los sistemas d e informacin es el registro del

tn tap de auditora realizado y la evidencia que sirve de soporte a las debilidades
 www.FreeLibros.me
:v> AUtMUmlA IMOKMTKAUSiXTOQUIimACTtCO

encontrada y I conclusiones a las que ha llegado el auditor. Esos dneummi

genricamente. se denominan p p e lo de trabajo. Los papdes de trabajo te t a i
disertar > organizar segn las circunstancias y las necesidades del auditor. stos h il
ser completos, claros y concisos. T odo el trabajo de auditoria debe quedar reflej
en papeles de trabajo por los siguientes motivos:

Recogen la evidencia obtenida a lo largo del trabajo.

Ayudan al auditor en el desarrollo de su trabajo.
Ofrecen un soporte del trabajo realizado para. . poder miliario a
auditorias sucesivas.
Permiten que el trabajo pueda ser revisado por te rc era .

Para concluir la importancia que tienen los papeles de trabajo, digamos que tea
vez que el auditor ha finalizado su trabajo, los papeles d e trakajo son la nica pneta
que tiene el auditor de haber llevado a cabo un examen adecaado. Siempre exioe h
posibilidad de que el auditor tenga que demostrar la calidat de su anlisis ante ta
tribunal.

11.7.2. Archivos

Los papeles de trabajo que el auditor va elaborando se rueden organizar en t a

archivos principales: el archivo permanente o continuo de auditoria y el arctiro
corriente o de la auditoria en curso.

11.7.2.1. A rchivo pe rm a nen te

El archivo permanente contiene todos aquellos ppele? que tienen un interfi

continuo y una validez plurianual u le s como:

Caractersticas de los equipos y de las aplicaciones.

Manuales de los equipos y de las aplicaciones.
rV'-cripciAn del control interno.
O rganigram as de la empresa en general.
O rganigram as del Servicio d e Informacin y divisin ce funciones.
C uadro de planificacin plurianual de auditora.
Escrituras y contratos.
Consideraciones sobre el negocio.
Consideraciones sobre el sector.
Y en general toda aquella informacin que puede tener una importancia por
auditorias posteriores.
 www.FreeLibros.me
CArtTVU!! AHWrottlADf.lJULXHXnACION 257

11.7.2.2. Archivo trnenle

E ne archivo, a su vez. se suele dividir en archivo general y en archivo de reas o

de procesos.

11.7.2 2.1. Archivo general

Los documentos que se suelen archivar aqu son aquellos que no tienen cabida
especifica en alguna de las reas/procesos en que hemos dividido el trabajo de
M ora u le s como:

- 1 Informe del Auditor.

- La Carta de recomendaciones.
- Los Acontecimientos posteriores.
- El Cuadro de planificacin de la auditoria com ente.
- 1.a Correspondencia que se ha mantenido con la direccin d e la empresa.
- El tiempo que cada persona del equipo ha em pleado en caJa una de las
reas/procesos.

11.7.2.2.2. A re h iw p or reas/procesos

Se debe preparar un archivo para cada una de las reas o prtcesos en que
tajamos dividido el trabajo e incluir en cada archivo todos los doaim cntos que
tajamos necesitado para realizar el trabajo de esa rea/proceso concreto. Al menos
debern incluirse los siguientes documentos:

- Programa de auditora d e cada una d e las reas/procesos.

- Conclusiones del rea/proceso en cuestin.
- Conclusiones del procedimiento en cuestin.

11.8. C ONCLUSIONES

Podemos concluir diciendo que la labor del auditor informtico e esencial para
pnntizar la adecuacin de los sistemas informticos; pora ello el auditor debe realizar
a tratajo atenindose a las Normas d e Auditoria de Sistemas de Informacin
Generalmente A ceptadas y Aplicables com o requisito necesario que garantice la
ctidad del trabajo realizado y que la evidencia d e este trabajo quede documentada.
E* funcin de que la sociedad se va informatizando cada ve* ms. <s necesario ir
cbborando normas para que la audiencia de la auditoria -q u e es toda la sociedad-
t t p la seguridad de que. los si<temas funcionan, sus datos se mantienen con la
detala confidencialidad y los informes de los distintos auditores se pued.-n comparar.
 www.FreeLibros.me

11.9. L EC TU R A S RECOM ENDADAS

G eneral Standard* /o r Information System s Auditing. Information System s Audit aU

ControFoundation. Illinois, EE.U U.. 1987.

F.I estudio v evaluacin del control interno en entornos informatizados. Documeao

nmero 1 del REA (Registro de Economistas Auditores), enero 1996.

Resolucin de 19 de enero de 1991, del lim itato de Contabilidad y Auditora de

Cuentas por la que se publican las Normas Tcnicas d e Auditora.

F.DP Audit W oripapen. EDPAE Audii guide. EDP A uditori Foundation. Inc. Cari
Strcam. Illinois. EE.U U.. 1981.

Planning ED P Audi!. W illiam E. Perry. Audit Guide Serie. EDP Aixbton

l-oundation, Inc.. Altamonte Springx, Florida. EE-UU.. 1981.

Computer Audit. Control, a n d Securih. Roben R. Moeller. John W iley & Sons, b t
Nueva York. 1989.

Infonnation Systems Audit Process. S. Rao Vallabhaneni. T he A uditori Foundation

Inc. 2 'c d .. 1988.

CobT (Control Objeclh'es fo r Information a n d relates TechnologyK Informi!*

Systems Audit and Control Foundation. IL. EE.U U.. septiembre 1996.

11.10. C U ES TIO N ES DE REPASO

1. Cules son los componentes de un SI segn el Proyecto CobiT?

2. Cul es el fio de la can a de encargo?

3. C uites son las fase* de la planificacin de la auditora?

4. Qu categoras se pueden distinguir en los controles generales?

5. D efina "control". Cmo se evalan los controles?

6. Qu diferencias existen entre las pruebas sustantivas y las de cumpli

miento?

7. Cules son los tipos de informes de auditora?

 www.FreeLibros.me
M>______________________________ CAPTULO 11: AUDITORIA DE LA EXPLOTAClOft f
8. Cmo estructurara un informe d e auditoria?

9. Defina los tipo de archivos principales y contenido de cada uno.

10. Especifique algunos objetivos de contro) a revisar en la auditora de la

explotacin de k sistemas informticos.
 www.FreeLibros.me

C APTULO 12

A U D ITO R A D EL D ESA R R O LL O
J o U Antonio Rodero Rodero

12.1. INTRODUCCIN
La necesidad de que una organizacin cuente con procedim ieitos d e control
temo es aceptada ampliamente como garanta de una gestin eficaz orientada a la
cocnecucin de lo* objetivo* marcados. La funcin auditora e s precisamente la
m argada de comprobar la existencia de estos procedimiento* d e control y de verificar
so correcta definicin y aplicacin, determinando las deficiencias que existan al
respecto y lo* riesgo asociado* a estas carencias d e control.

Teniendo en cuenta que cada organizacin puede descomponerse funcionalmente

en distinto* departamento*, reas, unidades, etc., es necesario que los mecanismos de
control interno existan y se respeten en cada una d e las divisiones funcionales para que
Mas cumplan adecuadamente su cometido y hagan posible que la orginizacin en su
conjunto funcione de manera correcta.

Aplicando la divisin funcional al departam ento de informtica de cualquier

entidad, una de las reas que tradlclonalm cnic aparece e* la de desarrollo. Kua
funcin abarca todas las fases que se deben seguir desde que aparece la necesidad de
poner de un determinado sistema de informacin hasta que ste es construido e
implantado. Para delimitar el mbito de este captulo sobre auditora del desarrollo, se
entender que el desarrollo incluye todo el ciclo de vida del software excepto la
explotacin, el mantenimiento y la retirada de servicio d e las aplicaciones cuando sta
tenga lugar.

Si entiende por ingeniera del softw are "el establecimiento y u*o de principio*
de ingeniera robustos, orientados a obtener softw are econmico que sea fiable,
cumpla los requisitos prcv lamente establecidos y funcione de manera eficiente sobre
 www.FreeLibros.me
MO Ai:DITtHtM INKXtMTK~A: tfN t-NSOQUF. HUCTtCt)

mquinas reales" <Frt/. Baucr). la auditoria del desarrollo tratar de verificar h

existencia y aplicacin de procedimiento! de control adecuados que pernio#
garantizar que el desarrollo de sistemas de informacin se lia llevado a cabo sejia
estos principios de ingeniera, o por el contrario, determinar las deficiencias existeetes
e n este sentido.

F.I planteamiento de este captulo est orientado al desarrollo de sistemas de

informacin en el sentido tradicional, sin que se hayan tenido en cuenta la
peculiaridades del desarrollo de otro tipo de softw are como puedan ser sistemas
operativos, software de comunicaciones, softw are empotrado, etc. Tampoco se Va
tenido en cuenta la gestin d e la calidad en el desarrollo, pues hay un capftb
dedicado a tal efecto, ni conceptos generales de control interno y auditora que ya te
abordaron en la pane I del libro (por ejemplo, criterios pora la realizacin del informe,
recomendaciones en el trato con los auditados, necesidad de independencia dd
auditor, preparacin y realizacin d e las entrevistas, etc.).

12.2. IMPORTANCIA DE LA AUDITORA D EL DESARROLLO

Aunque cualquier departamento o rea de una organizacin es susceptible de sa

auditado, hay una serie de circunstancias que hacen especialmente importante al k ta
de desarrollo y. por tanto, tambin su auditora, frente a otras funciones o reas itero
del departamento de informtica:

1-os avances en tecnologas de los computadores han hecho que actualmente d

desafo ms im portante y el principal factor de xito d e la informtica sea la mejora de
la calidad del software.

El gasto destinado a softw are es cada vez superior al que se dedica a hard*art

A pesar de la juventud de la ciencia informtica, hace artos que se produjo la

denominada crisis del softw are". Incluye problem as asociados coa d
desarrollo y mantenimiento del softw are y afecta a un gran nmero de
organizaciones. En el rea del hardware no se ha dado una crisis equivalente

El softw are como produelo es muy difcil de validar. Un m ayor control en d

proceso de desarrollo incrementa la calidad del mismo y dism inuye los coda
d e mantenimiento

El ndice de fracasos en proyectos de desam lo e s demasiado alto, lo ral

denota la inexistencia o mal funcionamiento d e los controles en c u e procew
Los datos del Government Accounting Office Report (EE.UU.) sobre diverw
proyectos de software (valorados en 6.8 millones de dlares) son ilustrativos;

i
 www.FreeLibros.me
I:
CaHTU-O i AfPTTOHU Pfjl. OtSARHOlLO

Un 1.5 se us u l y como se entreg.

Un 3.0 % se us despus de algunos cambio*.
Un 19.5 % se us y luego se abandon o se rehizo.
U n 47 % se entreg pero nunca se us.
Un 29 % se pag pero nunca se entreg.

Las aplicaciones informticas, que son el producto principal obtenido al final

del desarrollo, pasan a ser la herramienta d e trabajo principal d e las reas
informatizadas, convinindote en un factor esencial para la gestin y U toma
de decisiones.

12.3. PLA N TEA M IEN TO Y M ETOD OLOG A

Para tratar la auditora del rea de desarrollo es necesario, en primer lugar, acotar
las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede
tuba variaciones de una organizacin a otra, las funciones que tradicionalmente se
asignan al rea de desarrollo son:

Planificacin del rea y pan ic ipacin, en la medida que corresponda, en la

elaboracin del plan estratgico d e informtica.

Desarrollo de nuevos sistemas. lsta es la funcin principal y la que da sentido

al rea de desarrollo. Incluir para cada uno de los sistemas, el anlisis,
diserto, construccin e implantacin. El mantenimiento se supondr funcin
de otra rea.

Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas,

etc. relacionados con el desarrollo y adopcin d e los mismos cuando se
considere oponuno para mantener un nivel d e vigencia adecuado a la
tecnologa del momento.

Establecimiento de un plan de formacin para el personal adscrito al rea.

Establecimiento de normas y controles para todas las actividades que se

realizan en el rea y comprobacin de su observancia.

Una vez conocidas las tareas que se realizan en el rea de desarrollo, se abordar
b auditora de la misma desglosndola en d o s grandes apaados, que ms u rd e se
nbdividirn con ms dculle:

- Auditora de la organizacin y gestin del rea d e desarrollo.

- Auditora de proycclos de desarrollo de sistemas de informacin.
 www.FreeLibros.me
4 ACOTTORIA INFORMTICA UN ESfOQtlF. HtCTICO

De cMos dos apartados se har ms nfasi-s en el g u id o por tratarse de b

funcin principal del rea, aunque ha de tenerse en cuenta que una buena organait
y gestin es imprescindible para que los proyectos tengan una calidad aceptable.

La metodologia que se aplicar ex la propuesta por la ISACA (Informi!ka

Systems Audit and Control A ssociatim i. que c a basada en la evaluacin de riesgo:
partiendo de lox riesgos potenciales a los que est sometida una actividad, en este caso I
el desarrollo de un sistema de informacin, xe determinan uni serie de objetivo de I
control que minimicen esos riesgos.

Para cada objetivo de control se especifican una o ms tcnicas de control

tambin denominadas sim plemente controles, que contribuyan a lograr d
cumplimiento d e dicho objetivo. A dem s, xe aportan una serie d e pruebas de
cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de
dichos controle. El esquema pora cada objetivo d e control es:

O B JE T IV O D E C O N T R O L X:
C-X -l: Tcnica de control i del objetivo de control x ...
Pruebas de cumplimiento d e C-X*l

C-X -m : Tcnica d e control m del objetivo de control x ..

Pruebas de cumplimiento de C-X-m

Una vez fijados los objetivos d e control, ser funcin del auditor determinar d
grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarn todos
los controles asociados al mismo, usando para e llo las pruebas de cumplimiento
propuestas Con cada prueha de cumplimiento se obtendr algina evidencia, bien sea
directa o indirecta, sobre la correccin d e los controles. Si una sim ple comprobacin
no ofrece ninguna evidencia, ser necesaria la realizacin de exmenes ms profundos.

En los controles en los que sea impracticable una revirin exhaustiva de los
>lrnu-nl<K rlr verificacin, bien porque lo recorto de auditora a n limitado', o
porque el nmero de elementos a inspeccionar sea muy clcvido. se examinar un
muestra representativa que permita inferir el estado de todo el ccnjunto.

El estudio global de todas las conclusiones, pruebas y evid:ncias obtenidas sobre

cada control permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de
control, asi com o cules son los puntos fuertes y dbiles del mismo. Con esta
informacin, y teniendo en cuenta las particularidades d e la organizacin en estudio,
se determinar cules son los riesgos no cubiertos, en qu iK dida lo son y qu
 www.FreeLibros.me
c a H u l o i aiim tohIa d h . ixaakkou-Q m

consecuencias se pueden derivar de esa situacin. Estas conclusiones. jum o con las
recomendaciones formuladas, sern las que se plasmen en el informe de auditoria.

En los apartados siguientes se agrupan los distintos objetivos d e control en varias

Kries. detallndose para cada uno de ellos sus controles asociados y pruebas de
cumplimiento. El esquema seguido es el siguiente:

- Organizacin y gestin del rea d e desarrollo (serie A. aptdo. 4)

- Proyectos de desarrollo de sistemas de informacin
Aprobacin, planificacin y gestin del proyecto (serie B. aptdo. S .l)
Anlisis
Anlisis d e requisitos (serie C. aptdo. 5.2.1)
Especificacin funcional (serie D. aptdo. 3.2.2)
DiseAo
Diserto tcnico (serie E, aptdo. 5.3.1)
Construccin
Desarrollo de componentes (serie F. aptdo. 5.4.1)
Desarrollo de procedim ientos de usuario (serie G . aptdo. 5.4.2)
Implantacin
Pruebas, implantacin y aceptacin (serie H. aptdo. 5.5.1)

12.4. AUDITORA DE LA ORGANIZACIN Y G ESTI N DEL

REA DE DESARROLLO

Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta
autonoma. para poderse llevar a efecto necesita apoyarse en el personal del rea y en
k procedimientos establecidos. La importancia de estos aspectos ha motivado que se
dedique un apartado exclusivo a la organizacin y gestin del rea de desarrollo. Se
consideran ocho objetivos de control (serie A):

O B JE TIV O D E C O N T R O L A!-. El rea de desarrollo debe tener unos cometidos

asignados dentro del departam ento y una organizacin que le permita el cumplimiento
de tos mismos.

C -A l- 1 : Deben establecerse de form a clara las funciones del rea d e desarrollo

dentro del departamento de informtica. Se debe comprobar que:

Existe el documento que contiene las funciones que son competencia del rea
de desarrollo, que est aprobado por la direccin d e informtica y que se
 www.FreeLibros.me
W AUWTMIl IWOHMTICA- US IMOQtli HUCTICO

C-AI-2: Debe especificarse el organigrama con la relacin d e puesto del rea, a l

como el personal adscrito y el puesto que ocupa cada persona. Debe existe a
procedim iento p a n la promocin de personal. Se debe comprobar que:

Existe un organigrama con la estructura d e organizacin del rea Para cafe

puesto debe describir la* funciones a desempear, los requisitos minitros di I
form acin y experiencia. y la dependencia jerrquica del mismo.

Existe un manual de organizacin que regula las relaciones entre puestos.

Existe la relacin de personal adscrito al rea, incluyendo el puesto ocupad)

por cada persona. Se deben cumplir los requisitos d e los puestos.

Estn establecidos los procedimientos de promocin de personal a puesta

superiores, teniendo siempre en cuenta la experiencia y formacin.

C -A I-J: El rea debe tener y difundir su propio plan a corto, medio y largo plazo,
que ser coherente con el plan d e sistemas, si ste existe. Se debe comprobar que:

El plan existe, es claro y realista.

1.a* recurso* actuales, m* los que est planificado que se incorporen al rtt,
son suficientes para su cumplimiento.

Se revisa y actualiza con periodicidad en funcin de la* nueva* situaciones.

Se difunde a todos los empleados para que se sientan partcipes del mismo, al
resto del departam ento y a los departam entos a hxs que Ies atae.

C-A I-4: El rea de desarrollo llevar su propio control presupuestario. Se debe

comprobar que:

Se hace un presupuesto por ejercicio, y se cumple.

El presupuesto est en consonancia con los objetivos a cumplir.

O B JE T IV O DF. C O N T R O L A 2 : El personal del rea de desarrollo debe coctar

con la formacin adecuada y e star motivado para la realizacin de su trabajo.

C-A 2-1: Deben existir procedimientos de contratacin objetivos. Se debe

comprobar que:
 www.FreeLibros.me
A pnvto I; At'IMIOKlA Dfl [AAHmH I O >7

Las o f e r ta de puestos del rea se difunden de forma suficiente fuera de la

organizacin > las .seleccin se hacen de form a objetiva.

Las pervo n seleccionadas cumplen los requisito del puesto al que acceden.

C-A2-2: Debe existir un plan de formacin que est e n consonancia con los o b
jetivos tecnolgicos que se tengan en el rea. Se debe comprobar que:

Se tiene aprobado un plan de form acin a cono, medio y largo plazo que sea
coherente con la poltica tecnolgica.

Incluye toda la informacin relevante para cada actividad form ativa: fechas,
horarios, lugar, ponentes, asistentes, m aterial, medios necesarios, etc.

Las a ctiv idad formaiivas se evalan por parte de los v is t e n ! y esta

evaluacin se tiene en cuenta a la hora de redefinir el plan de formacin.

Contempla la formacin de todos los empleados y tiene en cuenta el puesto que

El plan de trabajo del rea tiene en cuenta los tiempos de form acin.

C-A2-3: Debe existir un protocolo de recepcin/abandono para las personas que

te incorporan o dejan el rea. Se debe comprobar que:

E1 protocolo existe y se respeta para cada incorporacin/abandono.

Para la incorporacin, incluye al menos los estndarcs definidos, manual de

organizacin del rea. definicin de puestos, etc.

En los abandonos de personal se garantiza la proteccin del rea.

C-A2-4: Debe existir una biblioteca y una hemeroteca accesibles por el personal
del rea. Se debe comprobar que:

Estn disponibles un nmero suficiente d e libros, p u blicacin peridicas,

monogramas, etc. de reconocido prestigio y el personal tiene acceso a ellos.

C-A2-5: El personal debe estar motivado en la realizacin de su trabajo. Este

aspecto difcil de valorar y no puramente tcnico. Se debe comprobar que:

Existe algn mecanismo que permita a los empleados hacer sugerencias sobre
mejoras en la organizacin del rea.
 www.FreeLibros.me
.'M AUUnURlA M C K H A Tm UN NIOQIH: PKACTKO

N o existe una gran rotacin le personal y hay un buen ai

El rendimiento del personal no cae por debajo d e uno

el absentismo Uboral es sim ilar al del resto de la organizacin.

O B JE T IV O D E CO N T R O L A J: Si existe un (dan de sistemas, los proyectos qtt

se lleven a cabo se basarn en dicho plan y lo mantendrn actualizado.

C-A 3-1: I j realizacin de nuevos proyectos debe basarse en el plan de sitiera*

en cuanto a objetivos, marco genera) y horizonte temporal. Se debe comprobar que:

Las fechas de realizacin coinciden con las del plan d e sistemas.

La documentacin relativa a cada proyecto que hay en el plan de sistemas k

pone a disposicin del director de proyecto una vez comenzado el rasoe.
Esta informacin debe contener los objetivos, los requisitos generales y m
plan inicial.

C-A 3-2: El plan de sistemas debe actualizarse con la informacin que se geneni
lo largo de un proceso de desarrollo. Se debe comprobar que:

Los cambaos en los planes de los proyectos se comunican al responsable de

mantenimiento del plan de sistemas por las implicaciones que pudiera tener.

O B JE T IV O D E CO N T R O L A 4 : 1.a propuesta y aprobacin de nuevos proyecin

debe realizarse de forma reglada.

C -A 4-I: Debe existir un procedimiento para la propuesta d e realizacin de

nuevos proyectos. Se debe comprobar que:

Existe un mecanismo para registrar necesidades de desarrollo d e nueva

sistemas y en todo caso se aportan los siguientes datos: descripcin
necesidad, departam ento patrocinador, riesgos, marco temporal, coste d e la t
r ra liia r t . im lajM jiw pon. itapiarwVn Int piare* t if n rgnrin. r t f

Se respeta este mecanismo en todas las propuestas.

C -A 4-2: Debe existir un procedim iento de aprobacin d e nuevos proyectos qat

depender de que exista o no plan de sistemas. Si hay un plan de sistemas se debe
comprobar que:

Se pane de las pautas, prioridades y planificacin que ste marque para d

desarrollo de cada nuevo sistema.
 www.FreeLibros.me
imw_________________________________ CAOTvt-O i: A iononU d o . o&Amtotxo x

Si no existe plan de sistemas se debe comprobar que:

Hay un procedimiento pora estudiar la justificacin y llevar a cabo el estudio

de viabilidad de cada nuevo proyecto, incluyendo un anlisis coste/beneficio y
teniendo siempre com o alternativa la no realizacin del mismo.

Estn designadas a reas de la organizacin que tienen conpetencia para

aprobar formalmente la realizacin y prioridad de los nuevos proyectos, asi
como el cauce para reasignar prioridades si fuese necesario. La decisin,
afirmativa o negativa, se obtendr en un tiempo razonable y se comunicar a
los promotores.

O BJETIVO D E C O N T RO L AS: La asignacin de recursos a los proyectos debe

hacerse de forma reglada.

C-A5*l: Debe existir un procedimiento para asignar director y equipo de

desamlo a cada nuevo proyecto. Se debe comprobar que:

El procedimiento existe y se respeta.

Se tiene en cuenta a todas las personas disponible cuyo perfil tea adecuado a
los riesgos de cada proyecto y que tengan disponibilidad para participar.

Existe un protocolo pora solicitar al resto de las reas (sistemas,

comunicaciones, etc.) la participacin de personal en el proyecto, y se aplica
dicho protocolo.

C-A5-2: Debe existir un procedimiento para conseguir los recunos materiales

ecesarios para cada proyecto. Se debe comprobar que:

El procedimiento existe y se respeta.

O BJETIVO D E C O N T RO L A 6: El desarrollo de sistemas de informacin debe

hacerse aplicando principios de ingeniera del softw are ampliamente aceptados.

C-A6-I: Debe tenerse implantada una metodologa de desarrollo Je sistemas de

formacin soportada por herramienta de ayuda (CASE). Se debe conprobar que:

La metodologa cubre todas Ixs fases del desarrollo y e adaptadle a distintos

pos de proyecto.
 www.FreeLibros.me
AtltHTOfclA INFORMATICA: l? ENFOQUE PRACTICO

1.a metodologa y las tcnicas asociadas a la misma U n adaptadas al ei

tecnolgico y de organizacin del rea de desarrollo.

Se ha adquirido, homologado e implan Lado segn las normas del irta m I

herramienta CA SE que ve adapta a la metodologa elegida y que cumple a* 1
los requisitos mnimos cxigibles a una herramienta d e este tipo.

Se ha formado al personal sobre esta metodologa y su adaptacin, asi cano

sobre las tcnicas asociadas y la herramienta CASE.

Existe un procedim iento que permita determinar en qu proyectos el uso de li

herramienta CASE es ventajoso.

E sti claram ente especificado de qu forma el uso de la herramienta altera la

fases de desarrollo tradicionales.

La herramienta CASE es capaz de mantener el diccionario de datos.

La herramienta CASE mantiene los requisitos de confidencialidad necesario!

sobre la documentacin asociada al proyecio.

C-A 6-2: Debe existir un mecanismo de creacin y actualizacin de estndares,

as como estndares ya definidos para las actividades principales. Se prestar upecl
atencin a las herramientas y lenguajes de programacin no clsicas. Se debe compro
bar que:

El mecanismo para creacin d e nuevo estndares est documentado y a

conocido en el rea.

Hay un estndar para la realizacin del anlisis y diserto, c incluye las tcskat
y herramientas a usar. etc.

Hay un estndar de programacin para cada uno de los lenguija

hnnusln.irint Se prestar especial atencin a las herramientas denominad
RAD (Rapid Application DeveloprocM). ya que las secuencias posibles de
ejecucin son muy numerosas (normalmente se activan rutinas por eventos
i'ig g tr t (disparadores) y el orden no se puede prever a priori) y la validacin y
depuracin e s prcticamente imposible si no se estandariza la programacin.

Existen convenios sobre los aspectos m is importantes de la programacto:

m odularidad. nomenclatura (de funciones, variables, tablas, columnas. etc.X
formato de los comentarios, documentacin asociada, estilo de programacin.
 www.FreeLibros.me
CAPITULO I I AUDTTORlADW. OtiSAHROtlO 271

Hay un eslindar general para (oda la documentacin generada, incluyendo

documentacin tcnica (anlisis, diseo, documentacin de los programas,
cuadernos de carga, etc.), manuales de usuario, procedimientos de operacin.
ec.

Hay un estndar para la interfaz de usuario, incluyendo diserto de pantallas,

informes, etc.

Los estndares son conocidos por las personas que deben usarlos y se
respetan. Cuando se produce una modificacin, sta se difunde dentro del
rea.

C-A6-3: Los lenguajes, compiladores, herramientas CA SE, softw are de control

de versiones, etc. usados en el rea deben ser previamente homologados. Se debe
comprobar que:

Existe un mecanismo para la adquisicin y homologacin de cualquier nuevo

producto softw are usado en el desarrollo. Se deben evaluar al menos los
siguientes parmetros: productividad, portabilidad a otros entornos, transicin
desde los productos actuales, solvencia del proveedor, riesgo del cambio,
cumplimiento de los estndares del rea, compatibilidad con el entorno
tecnolgico (SO. protocolos de comunicaciones. SG BD. etc.), coste, etc.

Cuando se homologa un nuevo producto de desarrollo se form a al personal del

rea que lo vaya a manejar.

Se registra la informacin m is importante acerca de la configuracin de los

productos recin adquiridos.

Los productos homologados son suficientes para conseguir los objetivos

marcados.

Peridicamente se comprueba el nivel tecnolgico, piara ver si es coherente

con el plan de sistemas y si est en lnea con el d e otras organizaciones
similares.

C -A M : Debe practicarse la reutilizacin del softw are. Se debe comprobar que:

Existe un catlogo con todos los productos softw are susceptibles de ser
utilizados: libreras de funciones, clases si se utiliza programacin orientada
a objetos, programas tipo, componentes software, etc.

* El catlogo e s conocido y accesible por todos los miembros del rea, est
actualizado y tiene uno o varios ndices que faciliten la bsqueda.
 www.FreeLibros.me
At'IHTOtMA IMCKUTICA: tS ESTOQUE mACUCO

Existe un catlogo d e las aplicaciones disponible*, en el rea. tanto <Jt la

realizadas como de las adquiridas, con toda la informacin relevanle de la
mismas.

C -A 6-5: Debe existir un mtodo que permita catalogar y estimar los ticrcj o de
cada una de las fases de los proyectos. Se debe comprobar que:

El mtodo usado es correcto, est bien ajustado y documentado adec

damente.

Ia s desviaciones producidas en cada proyecto se usan para ajustar 1

parmetros de catalogacin y estimacin manteniendo un histrico de la
mismos.

C-A6-: Debe existir un registro de problemas que se producen en los proyedM "
del rea, incluyendo los fracasos de proyectos completos. Se debe comprobar que:

Existe un catlogo de problemas, incluyendo para cada uno de cllot b

solucin o soluciones encontradas, proyecto en el que sucedi, persona queto
resolvi, etc

El c atilogo es accesible para todos los miembros del rea. est actualizado y
tiene uno o varios ndices que faciliten la bsqueda.

Se registran y controlan todos los proyectos fracasados (aquellos qoe

comienzan y no llegan a su fin), asi com o los recursos invertidos en ta
mismos.

O B JE T IV O D E CO N T R O L A7: Las relaciones con el exterior del departametu

tienen que producirse de acuerdo a un procedim iento.

C-A 7-1: Deben mantenerse contactos con proveedores para recibir informacii
suficiente sobre productos que puedan ser de inters. Se debe comprobar que:

Se est en contacto con un nmero suficiente d e proveedores para recibir um

informacin objetiva y completa, y el tiem po invenido en estas tareas eo
excede lo razonable.

C-A7-2: Debe existir un protocolo para contratacin de servicios externos. Se

debe comprobar que:

Existe el protocolo, est aprobado y se hace uso d e l.

La seleccin del proveedor se hace de forma objetiva y evita situaciones de

monopolio por parle de un nico proveedor.
 www.FreeLibros.me

El protocolo incluye un contrato-tipo que prevea los riesgo* n s frecuentes

cuando se contraan servicios externos, y en todo s o incorpora
pe nal t/aciones en caso de incumplimiento de contrato por parte del proveedor.

El personal externo que intervendr en los proyectos cum plir, al menos, los
misinos requisitos que se exigen a lo* empleados del rea.

Una persona del rea supervisa el trabajo realizado, certificndolo antes del
pago.

Debe ser compatible con los estndares establecidos en el rea.

O B JE TIV O D E C O N T R O L A S : U organizacin del rea debe estar siempre

diptad* a las necesidades de cada momento.

C-A8-1: Ij organizacin debe revistarse d e forma regular. Se debe comprobar

que:

Existe el procedimiento de revisin, se aplica con una penodicitbd adecuada y

se adapta al dinamismo de la tecnologa informtica.

Cuando se reducen modificaciones se documentan, incluyendo la fecha de

actualizacin, y se difunden dentro del rea.

12.5. AUDITORA DE P R O Y EC TO S DE DESARROLLO DE S.l

Como se plante e n apartados anteriores, cada desarrollo de un nuevo sistema de

formacin ser un proyecto con entidad propia. El proyecto tendr nos objetivos
(urcados y afectar a determinadas unidades de la organizacin. Debe tener un
itspcetsable y ser gestionado con tcnicas que permitan conseguir los objetivos
aireados, teniendo en cuenta los recursos disponibles y las restccioces temporales
dd mismo. En esa gestin deben participar todas las partes de la organizacin a las
9 afecte el sistema.

La auditoria de cada proyecto de desarrollo tendr un plan dislint dependiendo

de los riesgos, la complejidad del mismo y los recursos disponibles para realizar la
Mditora. Esto obliga a que sean la pericia y experiencia del a td ito r las que
determinen las actividades del proyecto que se controlarn con mayor intensidad en
(nacin de los parmetros anteriores.
 www.FreeLibros.me
274 AUDITORA INFORMATICA UN EXKXjCE PRACTICO

En este apartado se definirn objetivos y tcnicas de control generales apiiath

a cualquier proyecto. El auditor decidir los objetivo ms importantes en fuad* 4
las caractersticas del proyecto y d e la fase a auditar.

Com o se puede observar en el esquema de agrupacin Je objetivos de com

propuesto en el apartado 3. dentro del desarrollo de sistemas d e informacin se la
propuesto cinco subdivisiones, entre las cuales se encuentran: anlisis, dudo,
construccin e implantacin. Estas fases, ampliamente aceptadas en ingemeri dd
software para el desarrollo, son en concreto las que propone la metodologa de
desarrollo de sistemas de informacin M trica versin 2.1.

Adems de estas fases, se ha aftadido una subdivisin que rontiene los objetivo*}
tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecta
La aprobacin del proyecto es un hecho previo al com ienzo d :l mismo, mientras qet
la gestin se aplica a lo largo de su desarrollo. La planificacin se realiza anta de
iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo.

Aunque los objetivos de control se han catalogado en funcin d e la fase dd

proyecto a la que se aplican, la auditora de un proyecto de desarrollo se puede haca
en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido d
mismo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente la
productos y documentos generados en cada fase del desarrolla sern k mismos a
ambos casos. L a nica diferencia e s que en el primer caso las conclusiones que vjii
aportando el auditor pueden afectar al desarrollo del proyecto, aunque noaca
participar en la lom a de decisiones del mismo.

12.5.1. Aprobacin, planificacin y gestin del proyecto

Se consideran en este apartado dos objetivos d e control (serie B):

O B JE T IV O D E C O N T R O L B l : El proyecto de desarro lo debe estar aprobada

definido y planificado form almente.

C -B l-1 : Debe existir una orden d e aprobacin del proyecto que defin
claram ente los objetivos, restricciones y las unidades afectad. Se debe comprotor
que.

Existe una orden d e aprobacin del proyecto refrendada por un rgai

competente. El estudio de viabilidad debe haber seguid el cauce establecido.

En el docum ento de aprobacin estn definidos d e o m clara y precisa 1

objetivos del mismo y las restricciones de lodo tipo que deben tenerse en
cuenta (tem porales, recursos tcnicos, recursos hum an , presupuesto, etc.).
 www.FreeLibros.me
CAtfTVU) I?: AUXTOKlA DEL MSMIKOIAO

Se han identificado las unidades d e la organizacin a las que afecta.

C-BI-2: Debe designarse un responsable o director del provelo. Se debe

probar que:

La designacin se ha llevado a cabo segn el procedimiento establecido.

Se le ha comunicado al director su nombram iento junto con toda la

informacin re Ies-ante del proyecto.

C-BI-3: El proyecto debe ser catalogado y, en funcin d e sus caractersticas, se

debe determinar el modelo de ciclo d e sid a que seguir. Se debe comprtfcar que:

Se ha catalogado y dimensionado el proyecto segn las norma* establecidas.

Se han esaluado los riesgos asociados al proyecto, especialmente cuando se

van a usar tecnologas no usadas hasta el momento.

Se ha elegido el ciclo de vida ms adecuado al tipo de proyecto de que se trata.

Se ha hecho uso de la informacin histrica que se dispene tanto para

dimensionar el proyecto y sus riesgos com o pora seleccionar el <iclo de vida.

Se prestar especial atencin si se elige un ciclo d e sida basado en

prototipado. En exte caso deben cumplirse los requisitos recsanos para
aplicarlo con xito (dificultad d e los usuarios para expresar Ws requisitos y
disponibilidad de una herramienta de construccin rpida de prototipos) y
debe existir un acuerdo con k usuarios sobre el alcance del prototipo y el
objetivo que se persigue con el mismo.

P-BI-4: Una vez determinado el ciclo d e vida a seguir, se debe elegir el equipo
to n co que realizar el proyecto y se determinar el plan del proyecto. Se debe
can probar que:

La designacin del director del proyecto y del equipo d e desarrollo se ha

llevado a cabo segn el procedim iento establecido.

Ix k participantes que pertenezcan a otras reas (sistemas, comunicaciones,

oftmtica. etc.) se ham solicitado segn el protocolo existente.

Si participa personal externo, los perfiles profesionales son aJccuados a las

funciones que s-an a realizar. El contrato cum ple el protocolo de contratacin.
 www.FreeLibros.me
;x. AiIMHWIA INIOKMAI1CA UN bXKXJl'E KAOKO

Se ha comunicado a todos los miembros del equipo de desarrollo lo objeto

del proyecto, la responsabilidad que tendrn en el mismo, las fechas en Usqi
participarn y la dedicacin (compleiV parcial).

fcl plan de proyecto realizado e s realista y utiliza la informacin histrica dek

que se disponga p a n realizar estimaciones.

O B JE T IV O D E C O S T R O L B 2: El proyecto se debe gestionar de forma que*

consigan los mejore* resultados posibles teniendo en cuenta las restricciones dt
tiempo y recursos. Los criterios usados vern coherentes con los objetivos de bi
unidades afectadas.

C -B2-1: Ixis responsables de las unidades o reas afectadas por el proyecto deba
participar en la gestin del proyecto. Se debe comprobar que:

Se lia constituido formalmente el com it de direccin del proyecto y ea fl

estn incluidos los responsables d e todas las unidades afectadas,

El comit tiene una periodicidad de reunin mnima, y en cualquier coi

siempre que lo exija el desarrollo del proyecio. debe tener competencia pira b
asignacin de recursos, la revisin de la marcha del proyecto y para modafor
el plan del proyecto en funcin d e las revisiones.

Las reuniones se hacen con u n orden del da previo y las decisiones tonuda
quedan documentadas en las actas d e dicho comit.

El nmero de reuniones y la duracin de las mismas no superan un lmite

razonable comparado con la envergadura del proyecto.

C-B2-2: Se debe establecer un mecanismo para la resolucin de los problen

que puedan plantearse a lo largo del proyecto. Se debe comprobar que:

Existen hojas de registro de problemas y que hay alguna pervona del proyecto
encargada de su recepcin, as com o un procedimiento conocido de
tramitacin.

Hay un mtodo para catalogar y dur prioridad a los problemas, as como pin
trasladarlos a la persona que los debe resolver, informando si e s necesario i
director del proyecto y al com it de direccin.

Se controla la solucin del problema y se deja constancia de la misma.

 www.FreeLibros.me
CAPITULO I.* AIMIORM DU. DIMIIIKIUQ IV

C-B2-3: Debe existir un control de cambio a lo largo del proyecto. Se debe

comprobar que:

Existe un mecanismo para registrar lo cambio que pudieran producir. ai

cocui para evaluar el im pacto de lo mismos.

La documentacin afectada se actualiza de form a adecuada y se lleva un

control d e versiones de cada producto, consignando la ltima fecha de
actualizacin.

Se remite la nueva verin d e los documento actualizado a lo*, participantes

en el proyecto.

C-B2-4: Cuando sea necesario reajustar el plan del proyecto, normalmente al

Saali/ar un mdulo o fase, debe hacerse d e forma adecuada. Se debe conprobar que:

Se respetan lo limite temporales y presupuestarios marcados al inicio del

proyecto. Si no e s as debe ser aprobado por el comit de direcciSn.

Se han tenido en cuenta lo riesgos del reajuste.

Se ha hecho uso de la informacin histrica que se dispone er el rea sobre

estimaciones.

Se notifica el cam bio a todas las persona que de una u otra forma participen
en el proyecto y se vean afectados.

Si existe un plan de sistemas, se actualizar en consecuencia.

C-B2-5: Debe hacerse un seguimiento de los tiem pos empleados mo por tarca
caro a lo largo del proyecto. Se debe comprobar que:

Existe un procedimiento que permita registrar lo tiempos que cada

participante del proyecto dedica al mismo y qu tarca realiza e n ese tiempo.

Las productividades que se obtienen para distintos empleados en las mismas

tareas son sim ilares y estn en consonancia con la informacin histrica.

C-B2-6: Se debe controlar que se siguen las etapa del ciclo de vida adoptado
(ara el proyecto y que se generan todo lo documentos asociados a a metodologa
x k Se debe comprobar que:
 www.FreeLibros.me
!7i AIWTORIa INFORMATICA: UN ENFOQUE PRCTICO________________________

Antes d e com enzar una nueva etapa ve ha documentado la c u p a previa y r |

revisado y aceptad, especial mente en tas fases de anlisis y diserto.

1.a documentacin cumple los estndares establecidas en el rea.

Se respeta el plan establecido y en caso contraro se toman las i

oportunas o se procede a la aprobacin de una modiflctcin del plan.

Se respeta el uso de recursos previamente establecido.

C-B2-7: Cuando termina el proyecto se debe cerrar to d i la documentacin (A

mismo, liberar los recursos empleados y hacer balance. Se d e le comprobar que:

L a documentacin del proyecto es completa y est catalogada perfcctant

para accesos posteriores.

Los recursos, tanto personales com o materiales, se ponen a disposicin dd

rea o departam ento del que provienen.

F.l com it de direccin y el director del proyecto hacen balance del proyecta,
estudiando los posible problem as y sus causas, los cam bios d e plan, etc
Toda esta informacin se registra en los archivos histricos sobre estimadora
y problemas.

l a nueva aplicacin se incorpora al catlogo de apliraciones existentes cm

toda la informacin relevante d e la misma.

12.5.2. Auditora de la fase de anlisis

La fase de anlisis pretende obtener un conjunto de especificaciones formales qoe

describan las necesidades d e informacin que deben ser cubiertas por el nuevo sisteou
de una forma independiente del entorno tcnico.

lista fase se divide en dos mdulos:

12.5.2.1. A nlisis de R equisito del Sistem a (AKS)

En este mdulo se identificarn los requisitos del nuevo sistema. Se incluir

tanto los requisitos funcionales como los n o funcionales, distinguiendo para cada cao
de ellos su importancia y prioridad.
 www.FreeLibros.me
HU________________________________ f ^ f t l l O 1} A io m itl* B t t PBMIMUO 27*

A p in ir del conocimiento del sistema actual y sus problemas asociados, junto con
lot requisitos que se exigirn al nuevo sistema, se determinarn las posibles
rio;iones, alternativas que satisfagan esos requisitos y de entre ellas se elegir la ms
tdecvula. Se consideran dos objetivos de control (serie C):

OBJETIVO D E C O N T R O L C l: Los u su anos y responsables d e las unidades a

I que afecta cl nes sistema establecern d e forma clara los requisitos del mismo.

C-CI-1: En el proyecto deben participar usuarios de todas las unidades a las que
tftete cl nuevo sistema. Esta participacin, que se har normalmente a travs de
revisus. tendr especial importancia en la definicin d e requisitos del sistema. Se
debe comprobar que:

Existe un documento aprobado por cl com it d e direccin en el que se

determina formalmente el grupo de usuarios que participar en el proyecto.

Los usuarios elegidos son suficientemente representativos de las distintas

funciones que se llevan a cabo en las unidades afectadas por cl nuevo sistema.

Se les ha comunicado a los usuarios mi participacin en el proyecto,

informndoles del m bito del mismo y de qu es lo q u e se espera d e ellos, asi
como la dedicacin estimada que les supondr esta tarea.

C-CI-2: Se debe realizar un plan detallado d e entrevistas con cl grupo de

arios del proyecto y con los responsables de las unidades afectadas que permita
cooocer cmo valoran el sistema actual y lo que esperan del n o e so sistema. Se debe
ooeprobar que:

Existe un plan consensuado con el comit d e direccin que detalla para cada
entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por
escrito, etc.) y un guin de lo* aspectos que en ella se tratarn.

Se entrevista a todos los integrantes en cl grupo de usuario y a todos los

responsables de las unidades afectadas.

Se remite el guin a los entrevistados con tiempo suficiente para que stos
puedan preparar la entrevista y la documentacin que deseen aportar a la
misma.

El guin incluye todas las cuestiones necesarias para obtener informacin

sobre las funciones que el entrevistado realiza en su unidad y los problemas
que necesita resolver.
 www.FreeLibros.me
;tn audito *! iskhiv U t k a u s ExroptT practico

Una vez documentadas las entrevistas, se contrastan la* cooclusiones de la

mismas con los entrevistado*.

C -C I-J: A partir de la informacin obtenida en lis entrevistas, se JAt

documentar el sistema actual asi como los problem as asocalo* al mismo. Se dek
obtener tambin un catlogo con los requisito* del nuevo sistema. Se debe compraba
que:

Se ha realizado un modelo fsico del sistema actual, intu y e n d o los objetivoy

funciones de cada unidad, as com o su* flujos de entrada y salida *
informacin.

Se Isan catalogado los problemas del sistema acu al as como que o la

problem as son reales.

Se han realizado el modelo lgico de datos y el modc'o lgico d e proceso 4d

sistem a actual, as como que stos son correctos y qe *e han llevado a cabo
con las tcnicas usadas en el rea.

Existe el catlogo de requisitos que estn justificado*.

Los requisitos son concretos y ctum ificablcs. de forma que pocdi

determinarse el grado de cumplimiento al final del prcyecto.

Cada requisito tiene una prioridad y est d a sificid o en funcional o m

funcional.

El catlogo de requisitos ha sido revisado y aprobado por el grupo de u s u r

y por el comit de direccin, constituyendo a partir d e este momento d
"contrato" entre stos y el equipo que desarrolla el proyecto.

C -C l-4 : Debe existir un procedimiento formal para registrar cambio* en 1

requisitos del sistema por parte de los usuarios. Se debe comfrohar que:

El procedimiento existe y est aprobado.

F.s coherente con el procedimiento de control del cam bio general p n d

proyecto.

O B JE T IV O D E C O N T R O L C2: En el proyecto de desarrollo se utilizar I,

alternativa ms favorable para conseguir que el sistema cumpla los requio-
establecidos.
 www.FreeLibros.me

C-C2-I: Dados los requisitos del nuevo sistema se deben definir las diferentes
iterativas de construccin con sus ventajas e inconvenientes. Se evaluarn las
ttenativa* y se seleccionar la ms adecuada. Se debe comprobar que:

Existe un docum ento en el que se describen las distintas alternativas.

Hay ms de una alternativa, y en caso contrario, que no existe realm ente otra
posible.

Cada alternativa est descrita desde un punto de vista lgico (al menos modelo
lgico de procesos) y es coherente con los requisitos establecidos.

Si existe en el m ercado al un producto que cumpla con unas mnimas garantas

los requisitos especificados, una d e las alternativas debe ser su compra.

Si no lo impiden las caractersticas del proyecto una de las alternativas debe

*er el desarrollo del sistema por p an e d e una empresa externa.

Se han evaluado las ventajas e inconvenientes d e cada alternativa de forma

objetiva (anlisis coste/beneficio por ejemplo), as com o los riesgos asociados.

El comit de direccin ha seleccionado una alternativa como la ms ventajosa

y es realm ente la mejoe pora la organizacin.

C-C2-2: La actualizacin del plan de proyecto seguir los criterios ya

amentado*.

ll.2 .2 . Especificacin Funcional del Sistem a (E FS)

Una vez conocido el sistema actual, los requisitos del nuevo sistema y la
iheraativa de desarrollo ms favorable, se elaborar una especificacin funcional
detallada del sistema que sea coherente con lo que se espera d e l.

La participacin de usuarios en este mdulo y la realizacin de entrevistas siguen

h piulas ya especificadas en el anlisis de requisitos del sistema, por lo que se pasa
por alto la comprobacin de estos aspectos. El grupo de usuarios y los responsables
de las unidades afectadas deben ser la principal fuente de informacin. Se considera
ta coico objetivo de control (serie D):
 www.FreeLibros.me
MXXTOkU INFORMTICA US MOQUE ATTKO

O B JE T IV O D E C O NTR O L D h El nuevo sistema debe especificarse de

completa desde el pomo d e vista funcional, contando esta especificacin
aprobacin de los usuarios.

C -D I-I: Se debe realizar un modelo lgico del nuevo sistema, incluye**

Modelo l.gico de Procesos (M LP) y Modelo Lgico de D atos (MLD). Ambos deba
ser consolidados para garantizar su coherencia. Se debe comprobar que:

Se ha partido d e los modelos realizados en el anlisis d e requisitos del sisteta

Existe el MLP. se ha realizado con la tcnica adecuada (nom ulsw *

diagramas de flujos de dalos) y e s co n ec to tcnicam ente. Describir qu debe
realizar el sistem a sin entrar en la forma en que lo har Los procem
manuales deben estar diferenciados. Los usuarios deben entender la
convenciones de sm bolos usadas.

En el diagrama de contexto estn reflejados lodos los agentes e tlen a,

incluidos otros sistemas con los que el sistema intercambia informacin. Pw
cada flujo de datos d e entrada o de salida debe estar documentad d
contenido, la frecuencia, suceso que lo origina, etc.

Existe el MLD. se ha realizado con la tcnica adecuada (normalmente modeb

entidad-relacin o diagramas de estructura d e dalos) y es corred)
tcnicamente. Debe estar normalizado al menos hasta la tercera forma nora

ix atributo y claves, a

El M LP y el M LD son coherentes entre if. La consolidacin se debe h a

usando tcnicas adecuadas (Historia d e la vida de las entidades, por ejemplo).

El M LP y el MLD han sido aprobados por los usuarios y por el coma de

direccin.

C -D l-2 : Debe existir el diccionario de datos o repositorio. Se debe compet*

Exixie el diccionario de dato, es correcto y se gestiona de fon

automatizada.

Se respetan en su gestin lodos los procedimientos d e control de cambios.

 www.FreeLibros.me
CArtniLO i; auimuhiI o desakhoujo aa
(M >l-3: Debe definirse la form a en que el nuevo sistema nteractuar con los
4H&MOS usuarios. sta e* la pane m s importante [ w a el usuario poique definir su
fcrau de trabajo con el sistema. Se debe comprobar que:

Se han descrito con suficiente detalle las pantallas a travs de las cuales el
usuario navegar por la aplicacin, incluyendo todos los campos
significativos, teclas de funcin disponible*, men*. botones, etc. Si hay
normas de diserto o estilo de pantallas en el rea, se verificar que se respetan.

Se han descrito con suficiente detalle los informes que se obtendrn del
sistema y los form ularios asociados, si stos existen. Si hay normas de diseo
o estilo de informes y formularios en el rea, se verificar que se respetan.

La interfaz de usuario se ha aprobado por el grupo de usuarios y por el comit

de direccin.

C-DI-4: La especificacin del nuevo sistema incluir los requisitas de seguridad,

rtniauento. copias de seguridad y recuperacin, etc. Se debe comprobar que:

Esta informacin se ha solicitado a los usuarios en las entrevistas

correspondientes a este mdulo y se ha documentado y contrastado.

Se han aAadido estos requisitos al catlogo d e requisitos y a realizado en el

ARS

C-DI-5: Se deben especificar las pruebas que el nuevo sistema debe superar para
Kr aceptado. Se debe comprobar que:

Se ha elaborado el plan de pruebas de aceptacin del sistema, que ste es

coherente con el catlogo de requisitos y con la especificacin funcional del
sistema y que e s aceptado por el grupo d e usuarios y por el comit de
direccin.

El plan de pruebas de aceptacin tiene en cuenta todos los recu n o s necesarios.

C-DI-6: La actualizacin del plan d e proyecto seguir los criterios ya

octtidos. detallndose en este pum o en mayor medida la entrega y transicin al
, aeso sistema.
 www.FreeLibros.me
tu ACDrTOttlA IXPOWMTK-AUXKXRXX.EPKCnCO

12.5.3. Auditoria de la fase de diseo

En la fase de diserto se elaborar el conjunto d e especificaciones fsicas del noo

sistema que servirn de base p>ara La construccin del mismo. Hay un nico mdulo:

12-5-3.1. Diseo Tcnico del Sistem a (DTSl

A partir de las especificaciones funcionales, y teniendo en cuenta el entcoo

tecnolgico, ve disertar la arquitectura del sistema y el esquema externo de datas. Se
considera un nico objetivo d e control tscric E):

O B JE T IV O D E C O N T R O L E l: Se debe definir una arquitectura fsica ptaad

sistema coherente con la especificacin funcional que se tenga y con el enioo
tecnolgico elegido.

C - E l- I: El entorno tecnolgico debe estar definido d e forma clara y set

conforme a los estndares del depana memo de informtica. Se debe comprobar que:

Estn perfectamente definidos lodos los den tem o s que configuran el entono
tecnolgico para el proyecto (servidores, computadores p ero r la,
perifrico, sistemas operativos, conexiones de red. protocolos de
comunicacin, sistemas gestores de bases de datos, compiladora,
herram ientas C A S E mttkU tware en caso de programacin cliente/servidor,
libreras, ele.).

Se dispone de los elementos seleccionados, estn dentro de los estndares dd

departamento de informtica y son capaces de responder a los requisitos
establecidos de so l inertes, tiempos de respuesta, seguridad, etc.

C-Kl-2: Se deben identificar todas las actividades fsicas a realizar por el stemi
y descomponer las mismas de forma modular. Se debe comprobar que:

Se han documentado todas las actividades fsicas que debe realizar el sistema.

El catlogo de actividades e s coherente con las funciones identificadas e s d

MLR del m dulo EFS.

Se han identificado las actividades que son comunes, as como las que ya
existan en las libreras generales del rea.

Existe el documento con el diserto de la estructura modular del sistema, se tu

realizado con una tcnica adecuada (Diagramas de estructura de cuadros por
ejemplo) y es correcto.
 www.FreeLibros.me
CAHWIUHI Animo*! DU DESMiHOU-O 5

El tamao J e los mdulos e s adecuado, el factor de acoplamiento entre ellos

es mnimo y la cohesin interna de cada mdulo es mxima.

Los mdulos se disean para poder ser usados por otras aplicaciones si fuera
necesario.

Los componentes o programas del nuevo sistem a se han definido con detalle a
partir del diserto modular, la definicin e s correcta y sigue los estndares del
rea. La descripcin de los componentes es suficiente para permitir su
programacin por porte de un programador sin conocimiento previo del
sistema. Se deben especificar los requisitos d e operacin de los componentes.

Se han detallado las interfaces d e dalos y control con olios mdulos y

sistemas, as com o la interfaz de usuario ya especificada en el mdulo EFS.

C-EI-3: Se debe disear la estructura fsica de datos adaptando las especi

ficaciones del sisiema al entorno tecnolgico. Se debe comprobar que:

FJ modelo fsico de datos est basado en el MLD obtenido en el mdulo EFS e

ocluye todas las entidades, relacione, claves, vistas, etc.

Tiene en cuenta el entorno tecnolgico y los requisitos de rendimiento pora los

whiacnes y frecuencias de acceso estimados.

Si incluye algn incumplimiento de las normas, est justificada.

C-EI-4: Se debe disear un plan de pruebas que permita la verificacin d e los

distintos componentes del sistema por separado, as como el funcionamiento d e los
utintos subsistemas y del sistema en conjunto. Se debe comprobar que:

Existe el plan de pruebas y contempla todos kxs recursos necesarios para

llevarlas a efecto.

Las personas que realizarn las pruebas de verificacin son distintas a las que
han desarrollado el sistema.

Es adecuado para validar cada uno d e los componentes del sistema,

incluyendo pruebas del tipo caja blanca para cada mdulo. T endrn en cuenta
lodas las posibles condiciones lgicas de ejecucin, adems de posibles fallos
del hardware o software de base.

Permite validar la integracin d e los distintos componentes y el sistema en

conjunto.
 www.FreeLibros.me
M. Al'DfTOKA INfORMTIC V I NINKX*1 l-KACl tCD

C-KI-5: 1.a actualizacin del plan d e proyecto seguir los criterio

comentados.

12.5.4. Auditora de la fase de construccin

En esta fase se programarn y probarn los distintos componentes y se posetta

en marcha todos los procedim ientos necesarios para que los usuarios puedan hataja
con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas ea U
fase de diseo. Hay dos mdulos.

I2 .5 A 1 . D esarrollo de los C o m ponentes del Sistem a (D C Sl

En este mdulo se realizarn los distintos componentes, se probarn une

individualm ente com o de forma integrada, y se desarrollarn los proccdimieMM de
operacin. Se com idera un nico objetivo de control (serie F):

O B JE T IV O D E C O N T R O L F l: Los componentes o mdulos deta

desarrollarse usando tcnicas de programacin correctas.

C -F l-1 : Se debe preparar adecuadamente el enlom o d e desarrollo y Je prueba,

as com o las procedimientos de operacin, antes de iniciar el desarrollo. Se debe
comprobar que:

Se han creado e iniciali/ado las bases de datos o archivos necesarios y qoe

cumplen las especificaciones realizadas en el mdulo d e diserto.

En ningn momento se trabaja con informacin que se encuentra a

explotacin.

Se han preparado los procedim ientos de copia de seguridad.

Se han preparado lo Jilo io . wmjiitailuio, liciiuiimciiIas. cts. cscsaiiin.

Estn disponibles los puestos de trabajo y el acceso a los equipos, redes, etc.

Estn disponibles todos tos elementos lgicos y fsicos para realizar h t

pruebas unitarias de los componentes y las pruebas d e integracin.

Estn documentados todos los procedimientos de operacin pora cuando d

sistema est en explotacin.
 www.FreeLibros.me

I C-Fl-2: Se debe programar, probar y documentar coda uno de los componentes

tarificados en el diserto del sistema. Se debe comprobar que:

Se han desarrollado todos los componentes o mdulos.

Se han seguido los estndares de programacin y documentacin del rea, el

cdigo e s estructurado, est bien sangrado y contiene contenanos suficientes.

Se ha probado cada componente y se ha generado el informe de prueha. Si los

resultados de las pruebas no son satisfactorios, se modifica e l cdigo y se
suelve a realizar la prueba. Si se detecta un fallo de especificacin o diserto,
el proyecto t e actualizar segn el procedim iento establecido para ello.

C-Kl-3: Deben realizarse las pruebas de integracin pora asegurar que las
iwrfaces. entre los componentes o mdulos funcionan correctamente. Se debe
aprobar que:

Las pruebas d e integracin se han llevado a cabo segn lo especificado en el

plan de pruebas realizado en el mdulo d e discfto.

Se han evaluado las pruebas y se han tomado las acciones correctoras

necesarias para solventar las incidencias encontradas, actualizndose el
proyecto en consecuencia.

No han participado los usuarios. En las pruebas de integracin slo debe

participar el equipo de desarrollo.

U&-L2. D esarrollo de los Procedim ientos d e U suario (DPI!)

Ea este mdulo se definen los procedim ientos y formacin necesarios pora que
b t arios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se
tnta de la instalacin, la conversin de datos y la operacin/explotacin. Se considera
n nico objetivo de control (serie O *

OBJETIVO D E C O N T R O L O I: Al trm ino del proyecto, los futuros usuarios

deben estar capacitados y disponer de todos los medios para hacer uso del sistema.

C-G l-1: El desarrollo de los componentes d e usuario debe estar planificado. Se

debe comprobar que:

En d plan del proyecto est incluido el plan para el desarrollo de los

procedimientos de usuario c incluye todas las actividades y recursos
 www.FreeLibros.me
tU AUWTOBlA INFORMTICA: UN USKXfrlE PRACTICO

Lo* procedim ientos se llevan a cabo despus de tener la c^pecfkac

funcional del sistema y ante* de la im plantacin del irismo.

C -G I-2 : Se deben especificar lo* perfiles d e usuario requeridos para el ma

sistema. Se debe comprobar que:

Estn definidos los distinto* perfile* de u s u r o requeridos pira k

im planucin y explotacin del nuevo sistema.

Para cada perfil se ha definido el rango de fechas y la dedicacin necesaria

C -G I-3 : Se deben desarrollar todos los procedimiento* le usuario coa arrtgiot

lo* estndares del rea. Se debe comprobar que:

Estn desarrollados todos los procedimientos d : usuario, recopUdei

formando el manual d e usuario, y son coherentes con las actividades descrit*
e nE F S.

Cada procedimiento describe claram ente qu realua. el perfil de uswrie

asociado, asi como lo* recursos que son necesarios (equipos. coouwuMei
perifricos especiales, espacio, etc.).

L os manuales de usuario y el resto de procedimiento cumplen los eslindara

del rea y llevan asociado su control d e versiones.

C -G l-4 : A partir de los perfiles actuales de los u su a ri . se deben definir i*

procesos de formacin o seleccin de personal necesarios. Se debe comprobar que:

La comparacin de perfiles de usuarios y recursos r e f e r id o s con los actuales

e s realista y los procedimientos que se derivan son adecuados y estin
aprobados por los responsables de Las unidades afectadas.

I-os procedimientos de formacin estn individualizados y se adaptan a caii

persona, y se le ha com unicado a cada usuario el plan d e form acin que
seguir.

Se han definido y preparado lo* recursos necesarios para im panir la formacifo

(aulas, medios audios isuales. material para los asistentes, tutoriales. etc.).

C -G I-5 : Se deben definir los recursos materiales necesarios para el trabajo de k*

usuarios con el nuevo sistema. Se debe comprobar que:
f www.FreeLibros.me
I m m _________________________________ CH tU O ItA WinOriA IIH. WMMIOUld 9

Se han determinado los recursos necesarios para cada usuario (consumibles,

perifricos especiales, espacio, etc.).

Se han comparado con los recu n o s existentes y se ha planificado el alquiler,

leasing, adquisicin, etc. de los recursos no disponibles dentro de plazo.

12.5.5. Auditora de la fase de implantacin

En esta fase se realizar la aceptacin del sistema por pane d e los usuarios,
temis de las actividades necesarias para la puesta en marcha. Hay un nico mdulo:

12^5.1. P ru e b as. Im plantacin y A ceptacin del Sistem a (PIA )

Se verificar en este mdulo que el sistema cumple con los requisitos

establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en
ofiocacin. Se consideran dos objetivos de control (serie H):

OB JE TIV O DF. C O N T R O L I I I : El sistema debe ser aceptado formalmente por

los usuarios antes de ser puesto en explotacin.

C -H l-1: Se deben realizar las pruebas del sistema que se especificaron en el

ferio del mismo. Se debe comprobar que:

Se prepara el entorno y los recursos necesarios para realizar las pruebas.

Las pruebas se realizan y permiten verificar si el sistema cum ple las

especificaciones funcionales y si interacta correctamente con el enlomo,
incluyendo interfaces con otros programas, recuperacin ante fallos, copias de
seguridad, tiempos de respuesta, etc.

Se han evaluado los resultados de las pruebas y se han tom ado las acciones
correctoras necesarias para solventar las incidencias encontradas,
actualizndose el proyecto en consecuencia.

10111-2: El plan de implantacin y aceptacin se debe revisar pora adaptarlo a

la situacin final del proyecto. Se debe comprobar que:

Se revisa el plan de implantacin original y se documenta adecuadamente.

Est incluida la instalacin d e todos los componentes desarrollados, as como

los elementos adicionales (libreras, utilidades, etc.).
 www.FreeLibros.me
0 At'IHTOKl IWQItMtnCA l.~XIWQOW! HtACTICO

Incluye la iniciali/acin de datos y la conversin u ex necesaria.

Especifica los recursos necesarios para cada actividad, as como que el crin
m arcado para las actividades es compatible.

Se ha tenido en cuenta la informacin histrica sobre estimaciones.

( ' I I 1-3: El sistema debe ser aceptado por los usuarios antes de ponme a
I explotacin. Se debe comprobar que:

Se sigue el plan de pruebas de aceptacin aprobado en La fase de aiUlis. qg

debe incluir la conversin de datos y la explotacin.

I-a ' pruebas de aceptacin son realizadas por los usuarios.

Se evalan los resultados de las pruebas y se han tomado las accin

correctoras necesarias para solventar las incidencias cncor-traJa,
actualizndose el proyecto en consecuencia.

El grupo de usuarios y el comit d e direccin firman su conformidad con la

pruebas de aceptacin.

O B JE T IV O D E C O N T R O L H2: El sittem a se poodr en exploucitia

formalmente y pasar a estar en mantcnimiento slo cuando haya sido aceptado y ca
preparado lodo el enlom o en el que se ejecutar.

C -H 2*l: Se deben instalar lodos los procedimientos d e explotacin. Se debe

comprobar que:

Se han instalado adems del sistema principal todos los proccdimicMM

auxiliares, por ejemplo copias, recuperacin, etc., tanto manuales como
automtico.

E\tn documentados de forma oorTccla.

l.<* usuarios han recibido la formacin necesaria y tienen en su poder toda U

documentacin necesaria, fundamentalmente manuales de usuario.

Se han elim inado procedimientos antiguos que sean incompatibles con di

nuevo sistema.
 www.FreeLibros.me
CArtTtK) I!: AlTHTORlA 11*1 Dt-SAKKOUX) NI

0112*2: Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin

de forma coordinada con ia retirada del antiguo, migrando los dalos si es necesario.
Se debe comprobar que:

Hay un perodo de funcionamiento en paralelo de los dos sistemas, hasta que

el nuevo sistema est funcionando con todas las garantas. Esta situacin no
debe prolongarse ms tiempo del necesario.

Si el sistema antiguo se va a mantener para obtener informacin se debe dejar

en explotacin en modo de slo consulta.

Los datos se conv ierten de acuerdo al procedimiento desarrollado y se verifica

la consistencia de la informacin entre el sistema nuevo y el antiguo.

0112*3: Debe firmarse el final de la implantacin por porte de los usuarios. Se

debe comprobar que:

Existe el documento y que ha sido firmado por el comit de direccin y por el

grupo de usuarios.

Contiene de forma explcita la aceptacin d e la implantacin correcta del

sistema.

C-H2-4: Se debe superv isar el trabajo de los usuarios con el nuevo sistema en las
piacras semanas para evitar situaciones d e abandono de uso del sistema. Se Jebe
aprobar que:

El ndice de utilizacin del sistema e s adecuado a los volmenes que se

esperaban para cada una de las reas afectadas por el nuevo sistema.

Se ha comprohado. al menos informalm ente, la im presin de los usuarios

respecio al nuevo sistema.

C-II2-5: Para tc m u iu i I proyecto te pondr *n marcha I infcaniuno Jo

uairm>ento Se debe comprobar que:

El mecanismo existe y est aprobado por el director del proyecto, por el

comit de direccin y por el rea de mantenimiento, si sta existiese.

Tiene en cuenta los tiempos de respuesta mxim os que se pueden permitir ante
situaciones de no funcionamiento.
 www.FreeLibros.me
X AUCtTORtA INIORMATICA UN 1-SatHK.ih HtCIKTI___________________________MU

El procedimiento a seguir ante cualquier problema o para el nuntenirrue

del Mema ser conocido por todos los usuarios. Incluir al menos la per*
de contacto, telfono, esquema de la informacin a ap o ru r. etc.

12.6. CON CLUSION ES

A pesar de ser una de las actividades principales d e la informtica, el desamt

I de software no ha conseguido alcanzar de forma general unos parmetros de calidad
aceptables. Este hecho, unido a la naturaleza especial del softw are y su dtfki
validacin, convierten al proceso de desarrollo y su estandarizacin en las claves p n
cambiar la situacin.

Todas las actividades que configuran el proceso d e desarrollo tienen la miuta

im portancia a la hora de realizar la auditoria, pues aunque se pueda pensar CfX la
actividad ms importante e s la programacin, se ha demostrado que los errores en la
actividades iniciales de los proyectos son ms costosos que los que se producen i
final de los mismos.

Por otra parle, no parece lgico que los procesos involucrados en el desarrollo de
software se estandaricen a lo largo d e un proyecto concreto. Es imprescindible que los
proyectos de desarrollo se lleven a cabo en el seno de una organizacin consolidad!
Por ello, la organizacin se convierte en otro elemento crtico a tener en cuenta por d
auditor.

Especial mencin merecen las nuevas herramientas y tcnicas (CASE,

programacin orientada a objetos, lenguajes de cuarta generacin. RAD. prototipad*
etc.), que al alterar en cierta medida el proceso tradicional de desarrollo de la
ingeniera del software, pasan a ser elementos esenciales a estudiar en un proceso Je
auditora.

En este captulo se han expuesto distintos objetivos d e control que de ningn

manera deben interpretarse como un modelo cerrado. El auditor aplicar los objetivos
y niveles de cumplimiento mnimos que considere adecuados en funcin del proyecto
y de las peculiaridades de cada organizacin.

12.7. L E C TU R A S RECOM ENDADAS

Computer Audit. Control an d Security. Moeller. R. John W iley & Sons. I989.

Tcnicas de la auditora informtica. Y annD errien. Ed. Marvombo. 1994.

 www.FreeLibros.me
CAHTVLOI2 AUMTOaUOM.MSAKIWM.tO 9f

Control interno. auditora v seguridad informtico. Coopers& Lybrand. 1996.

Auditoria en centros d e cmputo. David H. Li. Ed. Trillas. 1990.

12.8. C U ES TIO N ES DE REPASO

1. Qu fac to r contribuyen a la importancia de la auditoria d e desarrollo?

2. Qu aspectos se deben comprobar respecto a las funciones del rea de

desarrollo?

3. Comente la importancia, desde el punto de vista de la auditoria, de la

formacin que deben poseer km profesionales de desarrollo.

4. Qu procedimiento utilitaria para valorar la motivacin del personal de

desarrollo?

5. Qu repercusiones tiene la existencia de herramientas CA SE en el mbito

del desarrollo?

6. Describa diversos procedimientos d e Anlisis. Evaluacin y Seleccin de

herramientas de desarrollo que haya utilizado o conozca.

7. Qu riesgos entraa la subcontratacin del desarrollo?

S. Cmo afecta el modelo d e ciclo de vida que se adopte en un proyecto a la

auditora a realizar sobre el mismo?

9. Cree que la "trazabilidad" de los requisitos resulta importante en un

desarrollo informtico?

10. Exponga cm o debera ser la participacin del usuario a lo largo d e las

distintas fases de la metodologa Mtrica.
 www.FreeLibros.me

C A P T U L O 13

AUDITORA DEL MANTENIMIENTO

Juan Carlos Granja A h n r tz

13.1. INTRODUCCIN A LA AUDITORA INFORM TICA DEL

M ANTENIMIENTO D EL SO FTW AR E

Nunca se ha prestado demasiada atencin al estudio de la Auditoria Informtica

en c u i cu p a, ni se le ha dedicado el esfuerzo necesario que por su alto nivel d e cost
merece. En ocasiooes se ha hablado d e una etapa en la que slo se aperciban parte de
los problema* y apenas se empleaba un mnimo esfuerzo en aplicar tcnicas de
auditora con lo que vurgfa el efecto ICEBERG con el que algunos autores han
denominado al hectio de que slo se aprecia una pequea pane de la problemtica que
cacierra

Varias investigaciones y experiencias revelan que la etapa de mantenimiento

consume la mayor pane de los recursos empleados en un proyecto softw are. Por tanto,
etu eu pa debe ser especialmente considerada en los estudios de productividad y de la
A oilora Informtica. La manlenibilidad. factor crtico d e estudio en Auditora
Informtica del Mantenimiento, es el factor de calidad que engloba todas aquellas
caractersticas del softw are destinadas a hacer que el producto sea ms fcilmente
nan:enib!c y. en consecuencia, a conseguir una mayor productividad durante la etapa
de mantenimiento. En este captulo se propone un modelo em prico de estimacin de
oowes de mantenimiento centrado en este factor de calidad, asi como el mtodo para
su impie mentacin. Finalm ente se consideran algunos casos prcticos que refuerzan la
valide/ del modelo.
 www.FreeLibros.me
y AUXTO<AINroMATKA UN ESTOQUE PRACTICO

FJ control y evaluacin d e la M antcnibildad puede ser uno d e lo* factores

determinantes en el estudio de la Auditora Informtica en la Etapa de Mantenimiento
del Software.

Frecuentemente ve olvida que lo* eifuc o* d e auditara en la etapa de

M antenimiento ve plasman en la* primeras etapas d e desarrolle del softw are. En las
especificaciones del softw are y en la llamada Ingeniera de Requisitos, se plasman lo
primero* paso* de los aspectos que van a determinar el esfuerzo o no dificultad de
I mantenimiento del software.

Podemos decir que la M antenibilidad va a ser un factor determinante para U

Auditora Informtica del Mantenimiento del Softw are. Vam os a centrar el estudio de
este tema en todo lo que rodea la facilidad d e mantcnimicn:o del softw are y k
aspectos a auditar.

Es frecuente que las em presas de softw are busquen la m tim a productividad ea

el desarrollo de sus productos, dejando en un segundo lugar a la etapa de
mantenimiento. Esto constituye un lamentable error ya que. como muchos estudios
revelan, esta etapa es la que ms recursos consume (m s del 60% de los recursos
empleados en todo el proyecto) (CANN72. W IEN84. IIARR90I Todo ello nos lleva a
un profundo estudio de I tcnicas d e Auditora en esta etapa.

Si la productividad en la etapa de mantenimiento es baja puede suceder, adems

d e las evidentes implicaciones econmicas, que el equipo hurrano que desarroll d
producto tenga que dedicarse a tiem po com pleto a su mantenimiento.
Consecuentemente, si la empresa quiere abordar nuevos p rovaos tendr que incluir
un nuevo equipo en su plantilla. Esto im plica el desaprovechamiento, al menos parcial,
de la experiencia adquirida por el equipo anterior, que sera de gran valor en los
nuevo* proyectos. Por otro lado se requiere una labor de formacin del nuevo equipo
hasta adquirir el conocimiento necesario sobre los mtodos y herramientas utilizados
por la empresa de software.

La productividad en la etapa de mantenimiento est directamente relacionada con

la mantenibilidad del producto. La mantcnibildad es un factor de calidad que engloba
todas aquellas caractersticas del softw are destinadas a hacer qix el producto sea ms
fcilmente mantenible. Por tanto, va a ser un parmetro decisivo a la hora de auditar
esta etap a

Se propone un modelo de estimacin del costo d e mantenimiento que permite

aprovechar las experiencias en proyectos previos. Se tom a c o n o punto d e partida d
conocido modelo de estimacin de costes elaborado por B oclu (COCOMO). al que
se incorporan unos ndices que miden la mantcnibildad del p n x u c to y que afectan de
manera im portante al coste de mantenimiento.
 www.FreeLibros.me
m w ______________________________ CAFfTVLOn AUDITORIAOtXMAKIfcXlMtPaU vn
13.2. LIS TAS DE COM PROBACIN EN AUDITORA
IN FORM TICA DEL M ANTENIMIENTO

Siguiendo un enfoque clsico de la Auditora Informtica de) Mantenimiento. nos

encontramos con Las tcnica.' de utilizacin de diferentes tipos d e lis u s de
occnprohacin.

Cara a la revisin del softw are en la etapa de mantenimiento, podramos retallar

cinco grandes bloques o enfoques hacia los cuales poder orientar las preguntas:

1. Se han tenido en cuenta las implicaciones laterales asociadas can el cambio?

2. Se han tenido en cuenta los aspectos documentales en cuarto a evaluar y

aprobar la peticin de cambios?

3. Se ha documentado el cambio, una vez realizado y procolindose a dar

informacin a todos los que se ven im plicados en el proceso?

4. En cuanto a las revisiones tcnicas frmale, se han realizado las adecuadas?

5. Se ha hecho una revisin de aceptacin final para asegurar que toda la

arquitectura software, fue actualizada y probada y se procedi a los cambios
adecuadamente?

La utilizacin de grandes bloques com o los mencionados nos va a permitir

centrar nuestro esfuerzo de auditora informtica, si bien vemos que a problemtica
persiste en buscar aquellos aspectos que con el menor esfuerzo de auditora nos
permitan llegar a auditar y conseguir la mayor cantidad de informacin que sea
posible.

Surge as la necesidad de centrar el esfuerzo de auditora en un factor que pueda

ser determinante, tal com o e s la M antenibilidad en la etapa de Mantenimiento del
Software.

13.3. MODELIZACIN EN L A ETA P A DE MANTENIMIENTO

Podemos tomar com o referente el CO CO M O (COnstructive COs MOdel). que es

tn modelo de estimacin de costes de proyectos softw are creado por B x h m en 1981 a
partir de datos recogidos de 63 proyectos [BOEH81]. El importante nmero de
proyectos tratados y la esmerada elaboracin del modelo hacen que su validez perdure
 www.FreeLibros.me
>* UIMTOWAINKMXUTIC* 1 \ l-SKKJt I WtM IKT>

lu 'fa la actualidad. Este modelo ofrece frmulas empricas de estimacin de cosa

esfuerzos software.

Tras aplicar la versin inicial del modelo a una amplia variedad de cntonws x
comprob que no bastaba con un nico m odo de desarrollo. p>r lo que se plantean
tres modos (orgnico. semidelached y rm b td d ed ) en funcin d ; varas caracterstica:
tamao, necesidades de comunicacin, experiencia en proyecto similares, etc.

Por otro lado, se ofrecen tres versiones del modelo: bsico, intermedio j
detallado. 1:1 bsico es adecuado para estimaciones rpidas, aunque sin una gro
precisin. El intermedio considera IS atribuios del proyectc (Habilidad rtqucm k
tamao de la hase de dalos, restricciones de memoria, tiempo Je respuesta requerid},
etc. cuya valoracin acta com o factor multiplicador en I modelo. La versita
detallada considera las estimaciones en cada una d e las etapa* del ciclo de vid dd
proyecto.

La versin bsica del modelo ofrece las siguientes fm u las de clculo del
esfuerzo de desarro llo (medido en MM=month-man u hombre mes):

Modo orgnico M M, = 2.4 KS1w

Modo semidetached M M i 3.0 KS'
Modo embcdded MMI U 3.6 K S '30

Siendo KS = Estimacin del tamao del programa (en miles d e lincas).

Para la estimacin del esfuerzo d e m a n ten im ien to se necesita un nuevo

parmetro: el Trfico de Cam bio A nual (TCA), que consisi: en la proporcin de
instrucciones fuente que sufren algn cam bio durante un arto. bien sea por adicin o
por modificacin.

NLN Nmero d e lineas suevas

N L N _N m
NLM - Nmero d e lineas nodificadas
NLI
NLI = Nmero d e lineas nicial

As. el esfuerzo en la etapa de mantenimiento, segn el mcslelo COCOMO. viese

dado com o producto del esfuerzo de desarrollo y el trfico de cambio anual.

MM uant = TCA M M n t

13.4. M ODELO DE ESTIMACIN EN E L MANTENIMIENTO

La mantenibilidad es. sin duda, el factor de calidad d d softw are con mayor
influencia en la etapa de mantenimiento y. po tanto, elemento decisivo de referencia
en los estudios de Auditora Informtica del Mantenimiento. Un estudio realizado por
W , Itzfcld en Alemania, recogido por W allmtlller en (WALL91J presenta un ranking
 www.FreeLibros.me

de utilizacin de mtricas de calidad e n el cual las mtrica de manienibilidad se

encuentran en primer lugar, empleadas por un 67*11 d e los encuerados.

Boehm [BOEH79] reconoca la importancia de la mantenibilidad. L'no de n

estudios indicaba que el esfuerzo de mantenimiento d e un software de baja
ountcnibilidad puede estar en relacin d e 4 0 a I con respecto al esfuerzo de nuevos
desarrollos. Es decir, existe una relacin d e dependencia entre las caractersticas de
miiuenibilidad del software desarrollado y e l esfuerzo d e mantemmwnio. lo cual es
bulante evidente.

Por un to , para el clculo del coste estimado d : mantenimiento hemos de

considerar un factor que indique el grado d e mantcniblidad o facilidad de
oaMcnirmcnto del producto. Tomando como punto de partida la frm ula de
estimacin del esfuerzo de mantenimiento del modelo CO CO M O de Boehm. se va a
ocluir en ella dicho factor que denominam os ndice d e m antcnibilidud. y que va a
se funcin de algunas medidas del softw are desarrollado:

M M mani - T C A MM ms Imn i

Ivavt f (X i. X :....... X.

Este ndice va a mostrar el grado de mantcniblidad o facilidad de mantenimiento

del producto de form a que valores grandes expresan baja mantcm bilidtd mientras que
los valores bajos indican alta mantcniblidad. Al mismo tiempo va a ser un buen
indicador de la productividad en la e u p a de mantenimiento.

Asi pues, nuestro principal objetivo consiste en determinar qu fonna ha de tener

ene ndice. Dicho de otro modo, se trata de obtener la relacin que existe entre el
esfuerzo estimado de mantenimiento y aquellas caractersticas que hacen que el
producto sea ms o menos mantenible.

Dos son. pues, los pasos a seguir para la normalizacin del modelo:

a) Establecimiento de los mtricas d e mantenibilidad.

b) Obtencin de las funciones de mantcniblidad que relacionan la mtricas eu

Mecidas con el ndice d e mantenibilidad.

Previamente a abordar estos dos puntos y teniendo en cuenta las tres actividades
qjc conforman una accin de mantenimiento, el ndice de mantenibilidad se va a
descomponer a su vez en tres ndices: ndice de com prensibilkad. ndice de
na&ficabilidad e ndice de testeabilidad.
 www.FreeLibros.me
?0U AUDITORIA IXtOKMAnCA: UN ENKXjt'fc PRACTICO

13.4.1. Elementos de la mantenibilidad

Una accin de mantenimiento se puede descomponer en tres actividades:

Co m prensin del cambio a realizar

- M odificacin o realizacin del cambio.
- P ru e b a de coleccin del cambio realizado.

I Son tres tarcas claram ente diferenciadas que se realizan una tras otra, por lo <pc
el esfuerzo de mantenimiento se puede considerar com o suma de los tres esfuenot
comprensin, modificacin y prueba.

MM ma.ni - MM< MM m M M ,

As pues, vamos a tener tres ndices de mantenibilidad. I<-. Iu e l< que relacin
los parmetros del proyecto. TCA y MMDES con los tres componentes del esfuerzo
de mantenimiento: MM-. MMU y MMr

MM, * TCA M M , If
MM m = TCA M M i 1
M M , - T C A M M o u lr

Hn consecuencia, el ndice de mantenibilidad, IMANT vendr dado por la w m

de los tres ndices anteriores:

1
Iu v st Ic ly t Imamt =ndice d e mantenibilidad
l< ndice d e comprensibilidad
Iu - ndice d e modificabilidad
I: ndice de testcabilidad

El esfuerzo total de mantenimiento:

MMv,w - M M , MM m M M , = TCA M M , (le + I m+ Ir)

13.4.2. Mtricas de mantenibilidad

El modelo aqu propuesto, y que ha sido em pleado en los casos de estudio,

considera tres caractersticas, cada una de las cuales afecta de manera directa a ua
componente de la mantenibilidad:

X<-: M trica de comprenubtlidad: Nmero de lneas de comentario por cada 100

lneas de cdigo. La estrecha relacin entre la documentacin interna del cdigo (o
autodocumcntacin) y el esfuerzo d e comprensin e s evidente.
 www.FreeLibros.me

X: Mtrica de modificabilidttd'. N m ero de lineas sin d a l o constantes por cada

100 lneas de cdigo. I-a existencia d e un gran nmero de datos constante en el
c ijo implica un mayor esfuerzo para la modificacin.

X t: M trica de testeabiHdad'. Nmero de lincas de tratamiento de errores pof

caja 100 lneas de cdigo. La depuracin o testing del cdigo va a ser ms fcil si
existen procedim ientos de deteccin y manejo de errores.

Las tres caractersticas se han elegido d e manera que resulten fcilmente mediMes
> que tengan una gran influencia sobre la mantenibilidad. N o obstante, el modelo
puede aplicarse cualquiera que sea el conjunto d e mtricas escogido, siempre que
quede demostrada la dependencia entre dichas mtricas y el componente de
narxenibilidad correspondiente.

13.4.3. Funciones de mantenibilidad

Las funciones as i denominadas relacionan los ndices de mantenibilidad (Ir. lu c

Ir) con las mtricas recin contentadas (X<-. XMy Xt).

I< - F r ( X c )
I - F m (X m)
Ir - F ( X ,)

Para la obtencin de estas funciones se hace necesario el em pleo de un elemento

qoc resulta fundamental en toda estimacin: la informacin histrica. La experiencia
adquirida en proyectos anteriores adquiere un gran valor al emprender nuevos
proyectos. Por tanto, se ha de disponer d e mecanismos que permitan lomar varias
eedidas:

a) Del producto desarrollado

X ,: Mtrica de comprensibilidad
X: Mtrica de modificabilidid
XT : Mtrica de tesieabilidad

b) Del proceso de mantenimiento

MMr : Esfuerzo d e comprensin

MMU: Esfuerzo d e modificacin
MM t: Esfuerzo de prueba

Los ndices de mantenibilidad se obtienen a partir de los valores de esfuerzo

seducte la siguiente frmula:
 www.FreeLibros.me
*tf AlPmUtA PnOHM\T>CA: UN ENFOQUE PttACTlOO flM I

MMf l< * ndice de comprensibilidad

C " TCA * MM WS MSI* = Esfuerzo de comprensin en mantcnimimo
M I
TCA Trfico de cam bio anual
M M n > Esfuerao de desarrollo

I>cl mismo m odo se obtienen lu e l t. considerando el esfuerzo de modificacita

M M U y el esfuerzo de prueba M M , respectivamente.

T oda la informacin necesaria para la aplicacin del modelo, ya comenud,

puede incluirse en una tabla que denominamos Tabla H istrica (TH) con la siguicok
estructura:

Proyteto TCA MM,., \ MM, K x. MM. 1- x, MM, L

P TCA, MM,.. X. MM. l. x MM. 1. x MM. L
- ... ... ...
P. TCA. MM X.. MM . K. X MM. 1- x MM..

Tom ando la subtabla formada por las columnas X<- e 1* tenemos una nube de
puntos representable en un plano de dos dimensiones { (X o L i) I i- l. . n ) . Haciendo w
sencillo anlisis de regresin sobre este conjunto de puntos se puede obtener la cwv
que mejor se ajusta, as como el coeficiente d e determinacin o grado en que dada
funcin es representativa de dicho conjunto de puntos. A s obtendramos la funcifa

Del nusm o modo llegaramos a las funciones F y Fi a partir de los conjuntos de

puntos {(X w -lt<.>/i*l..n) y { < X > /li,)/i l..n } .

13.4.4. Mtodo de implementacin

En este apartado se describe el mtodo a seguir para im plementar el modelo en en

proyecto software. La figura 13.1 muestra los elementos y procesos que intervienen <a
el modelo.
 www.FreeLibros.me
CAPlni-o i>: auxtoria pki. m a m i > isbknto_ j

Figura l.i. I. Elementot y p rocesot que intervienen en e l m odelo de mantenim iento

Como sc observa en el esquema, hay tres procesos que utilizan tanto la

bfomtacin histrica Je la TH com o cierta informacin que sc solicita del proceso de
desarrollo.

13.4.4.1. Enfoque de a ju ste del modelo

Se trata de determinar la forma de las funciones le mantenibtlidad. Realizando

ue anlisis de regresin sobre cada conjunto de puntos {(X*,.!<,) / = l..n ). >
* 1 .* ) y ((X r .li ) / i= l ..n> recogidos de la TH . se podrn obtener respectivamente las
fcockmes o lneas de regresin F<. FM. y Hr que mejor representen a cada conjunto.

El mtodo de ajuste aqu empleado e s el conocido m todo d e aju ste por

niBinws cuad rad o s. Para el caso de la funcin de comprensibilidad. F< e* tal que la
aimi de los cuadrados de los errores es mnima, e s decir.

e j , es mnimo, siendo e0 * 11-, - F<<X< ,)l

 www.FreeLibros.me
W MOTTOHfA INKIKMTICA UNEMQQCILHtCIK'O______________________

13.4.4.2. E stim acin d d TCA

ste e s un proceso que ha d e basarse en la experiencia. Dos son los elcmoa |

h in c o s en todo proceso experim ental: la informacin histrica >el juicio de expenx

El mtodo aqu propuesto se sirve de estos dos elemento para obtener b

estimacin. Partimos de la existencia de un conjunto d e cu alid ad es atribuibles >
proyecto software. Este conjunto va a ser elaborado inicialmenle y revisado de foma
peridica por los expertos de forma que manifieste las caractersticas distintivas de leu
proyectos que componen la tabla d e datos histricos. Cada cualidad j va a tener i
peso p, que permite valorar unas cualidades ms que otras. Cada proyecto tendr slo
do s posibilidades con respecto a cada cualidad: poseerla o no poseerla. As. si la tab
histrica est compuesta por n proyectos, tendremos la siguiente informacin qx
representan sos en forma nutricia):

Informacin histrica

A M atriz de a rm elementos que indica las cualidades de cada proyecto qee

compone la tabla histrica (TH)

C C ,j ... C - Cualidad j para el proyecto i C lm

Dos valores posibles:
C-., C ... C ,_
A= I: El proyecto posee la cualidad
0: En otro caso
C , C ... c

T Matriz de n d elem entos que indica el trfico d e cam bio anual de cada proyecto
de la TH

T (TCA i . T CA j TC A .)1 TCA. = Trfico de cam bio anual de proyecto i

NOTA: El superndiee T indica "m atriz transpuesta".

Informacin d e l proyecto en estudio

C Matriz de Ixm elementos que indica las cualidades del proyecto en curso. La
extraccin de esta informacin requiere la intervencin de personal experto. Es en este
momento cuando se va a revisar el conjunto de cualidades. La modificacin de este
conjunto requiere la actualizacin de la tabla histrica revisando las cualidades de
todos los proyectos que la componen.
 www.FreeLibros.me
CaHTVI.O IX AfMTORlA 1)11. UAVB.MWFXTO 305

C (Ci, C ;..... C-,) c, Cualidad ) para el proyecto n curso

Dos valores posibles:
p , : El proyecto posee la cualidad
0 : En otro caso.

B Matriz de a t l elemento que indica el nmero d e coincktenciis que tiene el

proyecto en curvo con respecto a cada proyecto de la TH . e s decir, el nmero de
cualidades que tienen en comn.

B - A CT

NOTA: El sm bolo representa el producto de nutrices.

El TCA estimado viene dado por la siguiente expresin:

De esta forma, cada proyecto interviene en el clculo de la cMimacin en la

medida en que sus cualidades coinciden con las del proyecto en estudio

13.4.4.3. A plieabllldad del modelo

Una vez que se dispone de las funciones de mantenibilidad <FC. FM y FT) as

romo del TCA estimado, el coste estimado d e mantenimiento se oMiene slo con
aplicar la frm ula ya conocida:

MMuam - MM f M M MMT - TCA M M ,* , <lc lM Ir)

litado

le =F r(X c)
Im - F ^ X h)
l t - F H X t)

Por tanto, el proceso de desarrollo ha d e suministrar la siguiente informacin:

MM|s : Esfuerzo de desarrollo

Xf : Mtrica de comprensibilidad
XM : Mtrica de modificabilidad
X, : Mtrica de testcabilidad
 www.FreeLibros.me
X AtlPTTOKlA IS'KMtVtATHA UN(-NFOQIC PRACTICO

Con (oda t informacin recogida se podr aplicar la frmula y obtener U

estimacin del esfuerzo o coste de mantenimiento.

13.5. C A SO DE ESTUD IO

Se han estudiado tres proyectos con el fin de aplicar el modelo recin expuesto
Se trata de un proyecto para el desarrollo d e un paquete de gestin contable (P,) y des
d e gestin comercial (P ; y P<). El estudio se ha sim plificado considerando solamente
uno de los componentes de la mantenibilidad. a saber, la comprensibilidad. El estudio
de la modificabilidad y de la tcstcabilidad se hara de manera idntica.

Seguidamente se muestra la tabla histrica en la que intervienen los tro

proyectas citados. En ella, todos los datos han sid o medidos excepto el ndice de
comprensibilidad. IC. que se obtiene mediante la frmula:

1 MMf
f " T C A M M pes

Hemos de m encionar tambin que C | y C ; son las cualidades escogidas para

diferenciar los proyectos en base a su incidencia en el trfico de cam bio anual:

C i .- Proyecto de gestin contable

C : .- Proyecto de gestin comercial

Asignamos igual peso a ambas cualidades e igual a la unidad (p, a I. p . I)

Provecto C C- TCA M M a MSI, V

P. 1 0 0.23 48 14 6.6 0.60
P; 0 i 0.29 72 II 15.7 0.75
P, 0 i 0.30 24 IIS 3.8 0.53

El |Huyesto en cudto . P. tiene como finalidad el desarrollo d e un paquete de

gestin comercial. Su etapa de desarrollo ha concluido. El coste del desarrollo ha sido
de 57 Hombres x Mes y la mtrica de comprensibilidad. XV. tiene un valor de 17.

a l O btencin de la funcin d e co m p ren sib ilid ad (Fe)

Com o cabe esperar, segn aumenta el valor de la mtrica de comprensibilidad

(nmero de lincas de comentario), el Indice d e comprensibilidad (directamente
proporcional al esfuerzo de comprensin) va a disminuir. Por tanto, para el anlisis de
regresin del conjunto de pontos {(Xr. !< >} hay dos modelos bastante evidentes con
 www.FreeLibros.me
a HTUI U IV Al DnnRU DtiL SUV I -VIMII N IO X'T

t e cuales ensayar: e l modelo lineal de pendiente negativa y el modelo exponencial

egMivo.

De los dos modelos, el exponencial negativo e s el ms adecuado y a que.

(analmente. la mejora de comprensin que supone una nueva lnea de comentario va
a ser mayor cuanto menor sea la concentracin d e lineas de comentario en el
programa. Esto se comprende perfectamente yndonos a los lmites, e s cfccir. viendo lo
<pc sucede si se aade una lnea de comentario en:

a) Un programa sin ninguna documentacin interna

b) Un programa con una documentacin interna perfecta.

Es evidente fie la c o m p re si n en el caso (a) va a verse mejorada en una cuanta

macho mayor que en el caso (b).

Empleando el mtodo de ajuste por mnimos cuadrados, tenemos qe se inua de:

Por mi sencillez, vamos a considerar en primer lugar el caso k ajuste a una

tincin lineal:

m im m ir (l (i - ( + *>Xt l ))

Derivando parcialmente esta expresin respecto de a c igualando a 0 . y por otro

lado, derivando parcialmente respecto de b c igualando a 0. se obtiene el siguiente
fiema de ecuaciones (en el que sim plificamos la notacin n o incluyetelo los lmites
de los amatorios que siempre son i= l hasta n>:

Consideremos ahora la funcin exponencial:

 www.FreeLibros.me
W* Al 1X1OKIA INFORMTICK i'N fXFOQl F W^TTICO

Aplicando logaritm os obtenemos:

Lnl( l - L n a * b X Cj

Por tanto, volvemos a tener una funcin lineal donde la variable independiente e
X< y la variable dependiente e s Ln I,. Haciendo el cam bio de variable l* Ict
as como a * Ln a obtenernos el siguiente sistema a resolver:

l Cl - a N + b X Cl

I x tlr . ,- .X x * > > S x J l |

Los datos requeridos ve muestran en la siguiente tabla:

Provecto Mr IV s Ln l<- XV X c l'c

Pi 14 0.60 -0.51 196 -7.14
P I II 0.75 -0.29 121 -3.19
P. 15 0.53 -0.63 225 -9.45
Sumas ,4 0 I 1.88 1.43 542 -19.78

Sustituyendo y resolviendo el sistema de ecuaciones resultante, obtenemos tos

valores:

a - 1.86
b = -0.08

Por tamo, la funcin de comprensibilidad (Fe) obtenida tiene la forma:

lr-F H X < -)> l.8 6 e w ,x<

b) O btencin del trfic o d e cam b io an u al estim ado (TCA)

Vamos a construir las matrices A. T . C y B de acuerdo al procedimiento y*

expuesto:
 www.FreeLibros.me
CAHTV1.0I3: AlTHTOKlA Mi. MANH-MMIKVTO W

Aplicando la frmula de clculo de TCA tenemos:

B B 2

c) Aplicacin del m odelo al proyecto P 4 p a ra d clculo del c o rte d e com prensin

estintado e n la etap a d e m a nten im ien to (M M . )

M M r - TCA MMW3 L

MM, - 0.30 57 1.86 e**" - 8.16 Hombres x Mes

Como ya te ha comentado, en el caso de estudio se ha considerado slo un

oponente de la mantenibilidad. Para los r o s dos componente, el xocedim iento
kt idntico. El coste o c su cr/t estimado de mantenimiento se obtendra como Mima
de los tres costes, comprensin (MM< ). modificacin (M M m) y prueba (MMr).

13.6. CONCLUSION ES

Como hemos podido comprobar, mediante el estudio de la mattembilidad y

editando la utilizacin en el proyecto software de las tcnicas que pem itan asegurar
iws niveles de mantenibilidad. podremos fijar el cam po de actuacin ce la Auditora
Informtica en el Mantenimiento.

13.7. LEC TUR A S RECOM ENDADAS

La publicacin peridica The Journal o f Information System s A u tft an d Control

tewctaon de la ISACA.

La Obra de W ebcr R. f'DP A udlling. Conceptual Fuuntluitimt u n f / m l i t c . 2*

ed.. editada por McCraw-Hill. Sydney. 1988.

Por ltimo podram os mencionar por el campo de mi utilizacin la obra de

Bu:itt) R. Hurord C . y Simpson R.K. d e la Iniernal A udit in the Public Sector.
Httx-ada por ICSA cop en 1993.
 www.FreeLibros.me

13.8. C U ES TIO N ES DE REPASO

1. Exponga 1 razone* que hacen d e la auditora del nanienim iento un ir a

especialmente crtica.

2. Desarrolle una lista de comprobacin que rcccja los aspectos tafa

importantes a la hora de evaluar la gestin de cambio.

3. Qu ventajas apoda una herramienta de gestin de configuracin a la hori

de auditar el mantenimiento de sistemas informticos'.

4. Aplique las mtricas propuestas en este captulo a algn sistema reil.

calibrndolas fuera necesario a su entorno cspecfio).

5. Qu factores pueden influir en la m odifkabilidad de los programas?

6. Analice en la literatura existente diversas mtricas de complejidad y describ

su influencia en la mantenibilidad.

7. Existen herramientas especficas para la gestin de pruebas d e software,

analice su im pacto en la testcabilidad.

8. Cmo debera organizarse la gestin de incidencias de mantenimiento en un

departam ento de informtica desde el punto de vista d : la auditora?

9. La influencia de la documentacin en el mantenimiento de los sistemas

parece obvia, pero cm o medira la documentacin existente sobre un
sistema?

10. Compare otros modelos de estimacin que conozca con el propuesto en etc
captulo.
 www.FreeLibros.me

CA PTU LO 14

AUDITORIA DE BASES DE DATOS

M ario (. Piaitini Velthuis

14.1. INTRODUCCIN

U gran difusin de los Sistemas, de Gestin de Bases de Dalos (SGBD). junto

i b consagracin de ! datos como uno de los recursos fundamentales de las
(retas, ha hecho que los tenas relativos a su control interno y auditora cobren,
to d id . mayor inters.

Como ya r ha comentado, normalmente la auditora informtica se aplica de dos

ti distintas; por un lado, se auditan las principales reas del departam ento de
ea: explotacin, direccin, metodologa de desarrollo, sistema operativo,
aciones, bases de datos, etc.: y. por otro, se auditan las aplicaciones
t internamente, subcontratadas o adquiridas) que funcionan en la
a. L importancia <J<- la auditora del entorno de bae de dalos r*dka <n que t i
H palo de partida para poder realizar la auditora de las aplicaciones que utilizan esta

L METODOLOGAS PARA LA A UDITORA DE B A S ES DE

DATOS

I Asaque existen distintas metodologas que se aplican en auditora informtica

' e cada firma de auditores y cada empresa desarrolla la suya propia),
lo 3. se pueden agrupar en dos clases.
 www.FreeLibros.me

14.2.1. Metodologa tradicional

E n CMC tipo de metodologa el auditor revisa el entorno con la ayuda de una la

de control (chrckliu). que consta d e una serie de cuestiones a verificar. Por ejemplo:

SEM S4
Existe una metodologa de diserto d e BD?

El auditor deber, registrar el resultado de su investigacin: 5 . si la respuesta a

afirmativa, iV. en caso contrario, o N A (no aplicable).

Este tipo de tcnica suele ser aplicada a la auditoria de productos de bases de

datos, especificndose en la lista de control todos los aspectos a tener en cuenta. Asi.
por ejemplo, si el auditor se enfrenta a un entorno O racle 8. en la lista d e control x
recogern los parmetros de instalacin que ms riesgos comportan, sealando cul a
su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de ta
experto en el producto, puede comprobar por lo menos los aspectos ms impofuntet
de su instalacin.

14.2.2. Metodologa de evaluacin de riesgos

Este tipo de metodologa, conocida tambin por ritk orienied approach. es laqte
propone la ISACA. y empieza fijando los objetivos d e control que m in iriu n la
riesgos potenciales a los que c a sometido el enlom o. En T ourio y Fernndez 11991)
se seAalan los riesgos ms importantes que lleva consigo la utilizacin de una base &
datos y que se recogen en la figura 14.1.

Considerando estos riesgos, se podra definir por ejemplo el siguiente:

Objetivo de Control:

El SGBD deber preservar la confidencialidad de la base de datos.

Una vez establecidos los objetivos de control, se especifican las tcnica

especficas correspondientes a dichos objetivos:

T cnica de C ontrol:

Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios pa

controlar el acceso a la base de datos.
 www.FreeLibros.me
CArtTttO 14: AfPTTORlA Mi BAftSPH PATOS )l)

Figura 14.I. Riesgos debidos a la utilizacin de una base d e datos. TOURIO y

FERNND EZ (1991)

Un objetivo de control puede llevar asociada.% vara tcnicas ju c permiten

coiririo en su totalidad. Estas tcnicas pueden ser preventivas iccm o la arriba
neacionadaf de lee ti vas (como monitorzar los accesos a la BD) o correctivas (por
jonplo. una copia de respaldo -backup-).

En caso de que los controles existan, se disertan unas pruebas 'denominadas

nritcti de cumplim iento) que permiten verificar la consistencia de loa mismos, por
ejenplo:

Prottm de cum plim iento:

Listar los privilegios y perfiles existentes en el SGBD.

Si estas pruebas delectan inconsistencias en los controles, o bien, si los controles

to existen, se pasa a disear otro tipo de pruebas -denom inadas pruebat su sta n tiw i-
9* permitan dimensionar el im pacto de estas deficiencias:
 www.FreeLibros.me
>14 AtDfTQRlA INFORMTICA US EffOQUE WtACTKO

P ru e b a s tu t a n li n :

Com probar si la informacin tu sido corrompida comparndola con otra fueme.

revisando, los documentos de entrada de datos y las transacciones que se ha
ejecutado.

Una v e / valorados los resultados de las pruebas se obtienen unas conclm axa
que sern comentadas y discutidas con los responsables directos de las reas afectada
con el fin de corroborar los resultados. Por ltimo, el auditor deber emitir una serele
comentarios donde se describa la situacin, el riesgo existente y la deficiencia i :
solucionar, y. en su caso, sugerir la posible solucin.

Com o resultado de la auditora, se presentar un informe final en el que k

expongan las conclusiones ms importantes a las que se ha llegado, asi con d
alcance que ha tenido la auditora.

Esta ser la tcnica a utilizar para auditar el entorno general d e un sicnu de.
bases de datos, tanto en su desarrollo como durante la explotacin.

14.3. O B JE TIV O S DE C O N TR O L EN EL C IC LO DE VIDA DE

UNA BASE DE D A TO S

A continuacin expondremos algunos objetivos y tcnicas d e control a tener ea

cuenta a lo largo del ciclo d e vida d e una base de datos (vase la figura 14.2) qte
abarca desde el estudio previo hasta su explotacin: para e llo nos basaremos ea k
propuestos por la 1SACA a principios de esta dcada. M EN K liS (1990). y en los
recientemente publicados COBIT. ISACF (1996).

14.3.1. Estudio previo y plan de trabajo

En esta primera fase, es muy importante elaborar un estudio tecnolgico de

viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetive
del proyecto acom pasados de un anlisis coste-beneficio para cada una de la
opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo
el proyecto (no siempre est justificada la implantacin d e un sistema de bases de
datos) asf como la disyuntiva entre desarrollar y comprar (en la prctica, a veces e a
encontramos con que se ha desarrollado una aplicacin que ya exista en el mere ai),
cuya com pra hubiese supuesto un riesgo menor, asegurndonos incluso una mayar
calidad a un precio inferior).
 www.FreeLibros.me

Figura 14.2. Ciclo d t \ i d a d r una base d e datos

Desafortunadamente, en hastantes empresas este estudio de viabilidad no se lleva

a cabo con el rigor necesario. con lo que a medida que se van desarrollando, los

El auditor debe comprobar tambin que la aJU direccin revisa los informes de
tas estudios d e viabilidad y que es la que decide seguir adelante o no con el proyecto.
Bao es fundamental porque los tcnicos han d e tener en cuenta que si no existe una
dccidida voluntad d e la organizacin en su conjunto, impulsada por Ick directivos,
aumenta considerablemente el riesgo de fracasar en la implantacin del sistema.

En tas nuevos CO BIT se enfatiza la im portancia de llevar a cabo una gestin de

riesgos (valoracin, identificacin, medida, plan de accin y aceptacin), que es objeto
de atencin, afortunadamente, de un nmero cada da mayor de empresas.
 www.FreeLibros.me
.*16 AUDITOR!* tNKMWnCA: fX ENFOQtfc PRACTICO

En caso de que se decida llevar a cabo el proyecto es fundamental que k

establezca un plan director, debiendo el auditor verificar que efectivamente dicho piao
se em plea para el seguimiento y gestin del proyecto y que cumple con tai
procedimientos generales de gestin d e proyectos que tenga aprobados la
organizacin.

O tro aspecto muy importante e n esta fase e s la aprobacin de la euructura

orgim ea no slo del proy ecto en particular, sino tambin de la unidad que tendr la
I responsabilidad de la gestin y control d e la base de datos; recordemos que. para que
un entorno de base de datos funcione debidamente, esta unidad es imprescindible.

Se pueden establecer acerca d e este lema dos objetivos de control. MENKUS

(1990): D eben asignarse responsabilidades para la planificacin, organizacin,
dotacin de plantillas y control d e los a c th v s d e dalos d e la organizacin'
(administrador de datos) y "Debe asignarse la responsabilidad de la administracin
del entonto de la base de d atos" (administrador de la base de datos); sealando la
mayor parte de los autores que ambas funciones tienen que posicioaarse a un nivel ta
suficientemente alto en el organigrama para asegurar su independencia.

Figura U .S . Tareas del adm inistrador de dalos. B R ATNW AtTE <1985)

 www.FreeLibros.me

En las figurai. 14.3 y 14.4 se muestran algunas de las (unciones y responsabilida-

ir> lano del administrador de dalos com o del administrador de la base de datos.
Remiiimos al lector interesado en tratar con ms profundidad este lema, a
BRATHWAITE (1985). donde se analiza desde la perspectiva del control de dalos.

A la hora de detallar las responsabilidades de estas funciones hay que tener en

weata uno de los principios fundamentales del control interno: la separacin de
faseiones. Se recomienda una separacin de funciones entre:

El p e rw u l da daurrollD de litic m u y el de e<ploin<*Mfn

- Explotacin y control de dalos.
- Administracin de bases de datos y desarrollo.

Debera existir tambin una separacin de funciones entre el administrador de la

Kguridad y el administrador d e la base de datos. Esto no quiere decir que estas tareas
teegan forzosamente que desempearlos personas distintas (lo que no sera viable en
ochas pequeas y medianas em presas) pero si que e s un aspecto importante de
antro! a considerar, por lo que en caso d e que no pueda lograrse la separacin de
Ilaciones, debern establecerse controles compensatorios o alternativos: como, por
 www.FreeLibros.me
II AtDtWHtlA INKMMATK'A lX KNKWJi'h mfUCO

ejemplo, una ma>or atencin le la direccin y la comprobacin por pane de L p t

usuario del contenido y d e I salidas ms importantes producidas a (u n ir de la BD.

La situacin que el auditor encuentra normalmente e n las empresas es que al m

existir una descripcin detallada de los puestos de trabajo (que incluyan re<ftt
bilidades. conocim ientos, etc.), la separacin de funciones e s muy difcil de verificar.

14.3.2. Concepcin de la base de datos y seleccin del

equipo

lin esta fase se empieza a disertar la hase de da(os. por lo que deben utilizarse ln
modelos y las tcnicas definidos en la metodologa d e desarrollo de sistemas de U
empresa, vase Captulo 12.

1.a metodologa de diserto debera tambin emplearse para especificar lea

documentos fuentes, los mecanismos de control, las caractersticas de seguridad y la
pistas de auditora a incluir en el sistema, estos ltimos aspectos generalmente se
descuidan, lo que produce mayores costes y problem as cuando se quieren incorpora
una vez concluida la implcmen (acin de la base de datos y la programacin de I
aplicaciones.

F.l auditor debe, por tanto, en primer lugar, analizar la metodologa de diserto cea
el fin de determinar si e s o no aceptable, y luego comprobar su correcta utilizackn.
C om o mnimo una metodologa de diserto de BD debera contemplar dos fases de
diserto: lgico y fsico, aunque la mayora de las empleadas en la actualidad contempla
tres fases, adems de las dos anteriores, una fase previa d e diserto conceptual que seria
abordada en este momento del ciclo de vida d e la base d e datos; vase, por cjempV.
De M iguel. Piattini y Marcos (1999).

U n im ponantc aspecto a considerar, al que los CO BIT dedican un apaad)

especifico, es la definicin, de la arquitectura de la informacin, que contempla ctuiro
objetivos de control relativos a:

- Modelo de arquitectura d e informacin, y su actualizacin, que es necesaria

para mantener el modelo consistente con las necesidades de los usuarios y coa
el plan estratgico de tecnologas d e la informacin.
- D atos y diccionario de dalos corporativo.
- Esquema de clasificacin de datos en cuanto a su seguridad.
- Niveles de seguridad para cada anterior clasificacin d e datos.

En cuanto a la seleccin del equipo, en caso de que la empresa no disponga ya de

uno. deber realizarse utilizando un procedimiento riguroso; en el que se consideren.
 www.FreeLibros.me
CAPOVIO U ALWIOKlA i; HASt* 1H: DATOS U'l

por un lado. la* neceudades de la empresa (debidamente ponderadas) y. por otro, las
prestaciones que ofrecen lo distintos SG B D candidatos (puntuados de manera
oportuna), fin ISACF (1996) se destaca tambin que en este procedimiento se debe
tener en cuenta el im pacto que el nuevo softw are tiene en el sistema y en su seguridad.

14.3.3. Diseo y carga

En esta fase se llevarn a cabo los diseos lgico y fsico d e la base de datos, por
lo que el auditor tendr que examinar si estos disenos se han realizado correctamente:
determinando si la definicin de los datos contempla adems de su estructura, las
asociaciones y las restricciones oportunas, as com o las especificaciones de
afaiKcnamiento de datos y las cuestiones relativas a la segundad. El auditor tendr
que tomar una muestra de ciertos elementos (tabla*, vistas. ndices) y comprobar que
su definicin es completa, que ha sido aprobada por el usuario y que el administrador
de b base de datos particip en su establecimiento.

Es importante que la direccin del departam ento de informtica, lo s usuarios e

clino. en algunas ocasiones, la alta direccin, aprueben el diserto de los datos, al
igual que el de las aplicaciones.

Una v e / disertada la BD. se proceder a su carga, ya sea migrando datos d e un

soporte magntico o introducindolos manualm ente.

Las migraciones o conversiones d e sistemas, como el paso de un sistema de

archivos a uno de bases de datos, o de un tipo de SG B D (de jerrquico a rclacional).
cttraftan un riesgo muy importante, por lo que debern estar claramente planificadas
para evitar prdida de informacin y la transmisin al nuevo sistema de datos
errneos. Tambin se debern realizar pruebas en paralelo, verificando que la
decitin real de dar por term inada la prueba en paralelo se atena a los criterios
oaMccidos por la direccin y que se haya aplicado un control estricto de la
coleccin de errores detectados en esta fase.

Por lo que retpec I entrad manual d e dato, hay que etlablecer un conjunto
de controles que aseguren la integridad de los mismos. A este respecto, cabe destacar
<fx las declaraciones escritas de procedimientos de la organizacin referentes a la
ccaega de dalos a ser procesados deben asegurar que los dalos se autorizan, recopilan,
preparan, transmiten, y se comprueba su integridad de forma apropiada.

Tambin es aconsejable que los procedimientos y el diserto de los documentos

frentes minimicen los errores y las omisiones, as como el establecimiento d e unos
procedimientos de autorizacin de datos.
 www.FreeLibros.me
)31 AUDtTOlA INFORMATICA! UXjyKXH'limACTICO___________________________ e*m

Un aspecto muy importante ex el tratamiento de latos le entrad errneos, paa

lo jue deben cuidante, con atencin lo procedimientos d e introduccin de foreu
que no disminuyan los controles: a este respecto lo ideal es que los datos se validen j
corrijan tan cerca del punto de origen com o sea posible.

Com o sabemos, no toda la semntica de los datos puede siempre almacenarse a

el esquema de la base de datos, por lo que pone d e esta semntica se se obligada a
residir en los programas. Ser necesario, por tanto, comprobar que los programas
implemcntan de forma adecuada esta integrlad.

14.3.4. Explotacin y mantenimiento

Una vez realizadas las pruebas de aceptacin, con la partic pacin de los usuarios,
el sistema se pondr (mediante las correspondientes autorizaciones y siguiendo los
procedim ientos establecidos para ello) en explotacin.

En esta fase, se debe comprobar que se establecen los procelimenlos de

explotacin y mantenimiento que aseguren que los datos se trau n de forma con g ruo
y exacta y que el contenido le los sistemas slo se modifica nediante la autorizadla
adecuada.

En los nuevos COBFT se dedica un apartado com pleto a detallar los objetivos de
control para la gestin de datos, clasificndolos en un conjunto de apartados que se
muestran en la figura 14.5.

Seria conveniente tambin que el auditor pudiera llevai a cabo una auditoria
sobre el rendim iento del sistema de BD. comprobando si se lleva a cabo un proceso de
ajuste (tuning) y optimizacin adecuados que no slo consiste en el redisefto fsico o
lgico Je la BD . sino jue tambin abarca ciertos parmetros del SO c incluso la forma
en que acceden las transacciones a la BD. Recordemos que la funcin t
administracin de la ba te de datos debe se r la responsable d e monitorizar el
rendimiento v la integridad d e los sistemas de BD ", Moeller (1989).
 www.FreeLibros.me

da praporodn da dalos
da cxortrocin da documanlos fuanfa
acogida da dato da documantos fuanla
Moralo da aora* da documanlos fuanla
Raiancln da documanlo fuanla
da outorteocln da datos
VarMcocln d a axoctitud, complacln y aulortzocto
Mana>o da aoras da antroda da datos
Irtagrtdod dal procasamtanlo da dato
Edicin y vaildocln dal pcocasomiaclo da datos
Manajo da aoras da procasomianto da dato
Ratancln y monago da sondas
Distribucin da salidos
y batoncao da salidas
Manajo da aoras y ravtsin da scftdas
Maddos da saguridod para Informas da salidas
Protaccin da Informocln sanstbia
Profaccin da Informocln sansibla dapuasla
Gasiln da ofmocaoom Onlo
Parfodos da ratancln y trmino da otmocanamlanto
Stttamo da gastln da Wbtlotaco da madios
da gasftn da la bWlotaco da madios
Coplas da raspaldo y racuparoctn
Irabojo* da coplas da raspaldo
AJrrvocanamiano da raspaldo

Figura 14.5. Clasificacin de los objetivos de control para la gestin dr datos. ISACA
<1996)

14.3.5. Revisin post-implantacin

Aunque en bastantes organizaciones no se lleva a cabo, por falla de tiempo y

sern o s, se debera establecer el desarrollo de un plan poja efectuar um revisin port-
npimiacjn de todo sistema nuevo o modificado con el fin de evaluar ti:

- Se han conseguido l<w resultados esperados.

- Se satisfacen las necesidades d e los usuarios.
- Los cw tes y beneficios coinciden con los previstos.
 www.FreeLibros.me

14.3.6. Otros procesos auxiliares

A lo largo de lodo el ciclo de vida de la b a te d e dalos se deber control* b

form acin que precisan tanto usuarios informativos (administrador, analista*,
programadores, etc.) como n o informticos, ya que la formacin e s una de las clast
para m inim i/ar el riesgo en la im plantacin de una base de datos. Piattini (1990).

Esta form acin no se puede basar sim plemente en c u n o s sobre el producto qtx !
est instalando, sino que suele ser precisa una formacin d e ha ve que resefea
im prescindible cuando; *e posa de trabajar en un entorno de archivos orientad d
proceso a un entorno de bases d e datos, por lo que supooc de "cam bio filosfico: lo
mismo puede decirse si se cambia de tipo de SGBD (por ejemplo, d e relaciona! a
orientado a objetos.

Hay que tener en cuenta que usuarios poco formados constituyen uno de ka
peligro ms im portantes de un sistema. Esta formacin no debera lim itarse al irea
de las bases de datos, sino que tendra que ser complementada con form acin rebosa
a los conceptos de control y seguridad.

Adems el auditor tendr que revisar la documentacin que se produce a lo largo

de lodo el proceso, paya verificar si e s suficiente y si se ajusta a los estndares
establecidos por la metodologa adoptada en la empresa.

A este respecto resulta muy importante que se haya llevado a cabo m

aseguram iento de calidad: sase Captulo 16. lo ideal sera que en la propia empresa
existiera un grupo de calidad que se encargara, entre otras cosas, de asegurar la calidad
de los disertos de bases de dato*. Es cien o que existen pocas medidas" de calidad
para una base de datos; de todas maneras, hay ciertas tcnicas bastante difundidas qoc
se pueden aplicar a una base de datos com o e s la teora de la normalizacin.

14.4. AUDITORA Y C O N TR O L INTERNO EN UN ENTORNO

DE BA S ES DE D A TOS

Cuando el auditor, se encuentra el sistema en explotacin, deber estudiar ti

SGBD y su enlom o. Com o se se tala en Menlsus (1991). ~en e l desarrollo y
mantenimiento de sistemas informativos en entornos de B l). deberan considerarse el
control, la integridad y la seguridad d e los datos compartidos p o r mltiples usuarias
Esto debe abarcar a todos los componentes del e n lo m o de 8 0 . El gran problema de
las bases de dalos es que su enlom o cada vez e s ms complejo y no puede limitarse
slo al propio SGBD. En la figura 14.6 se muestra un posible enlom o d e hases de
datos en el que aparecen los elem entos ms usuales.
 www.FreeLibros.me

14.4.1. Sistema de Gestin de Bases de Datos (SGBD)

Entre lo* componentes del SGBD podemos destacar el nticlro (kem el). el
catlogo (componente fundamental para asegurar la seguridad de la baie de datos), las
blidadex para el administrado de la bo.se de datos (entre las que se suelen encontrar
algn* para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a
la confidencialidad): las que ve encargan de la recuperacin de la ED: rearranque,
ccpias de respaldo, archives diarios ilog). etc. y algunas funciones de auditora, as
amo los lenguajes de cuarta generacin (L4G) que incorpora el proptoSGBD.

En cuanto a las funciones de auditora que ofrece el propio tema, prcticamente

todos los producios del mercado permiten registrar ciertas operaciones realizadas
icfcrc la base de datos en un archive (o en un conjunto d e tablas) de pias de auditora
<ati\t trail). El propio Modelo de Referencia de Gestin d e Datos -IS O (I9 9 3 )-
cottidcrj las pistas de auditora como un elem ento esencial de un SGBD. sealando
que "W requinto pora la auditoria a que lo causa y e l efecto de lodos los cambios de
b base de datos sean \-eriftcables .
 www.FreeLibros.me
M4 AllXTOKlA LNK)RMATX~A t~NHNKXAfc PKAC1KX)

t i auditor deber revisar, por tanto, la utilizacin de todis la herramientas qae

ofrece el propio SGBD y la poltica y procedimiento que s*bre vu utilizacin hjji
definid el administrador para valorar siso n suficientes o si deben ser mejorados.

14.4.2. Software de auditoria

Son paquetes que pueden emplearse para facilitar la U bordel auditor, en cuarto i
la extraccin de dato de la b ise , el seguimiento de la transacciones, dato de procU.
etc. Hay tambin productos muy interesantes que permiten cutdrar datos de difettala
entornos permitiendo realizar una verdadera "auditora del dato.

14.4.3. Sistema de monitorizacin y ajuste (tvning)

Este tipo de tema complementan la facilidades ofrecidas por el propio

SGBD. ofreciendo mayor informacin pura optim izar el sistema. llegando a ser en
determinada ocasione verdadero iitemax expertos que proporcionan la estiuctun
ptima de la base de datos y de cien o s parmetro del SG B D y del SO.

La optim izacin de la base de dato, com o ya hemos se talado, e s fndame nul.

puesto que si achia en un entorno concurrente puede d eg rad are fcilmente el nivel de
servicio que haya podido establecerse con lo usuarios.

14.4.4. Sistema Operativo (SO)

El SO es una p ie /a clave del entorno, puesto que el SGBD se apoyar, en mayor

o menor medida (segn se trate de un SGBD independiente o dependiente) en Im
servicios que le ofrezca; el SO en cuanto a control d e m em oia. gestin de reas de
almacenamiento intermedio (buffen). manejo de errores, control d e confidencialidad,
mecanismos de interbloqueo. etc. Desafortunadamente, el avditor informtica tiene
seras dificultades para controlar d e manera rigurosa la interfaz entre el SGBD y d
SO. debido a que. en pane, constituye informacin reservada de los fabricantes de k
productos, adems de requerir unos conocimiento excepcionales que entran en el
cam po de la tcnica de sistemas, vase C aptulo 15.

14.4.5. Monitor de Transacciones

Algunos autores lo incluyen dentro del propio SG BD. pero actualmente, puede
considerarse un elemento ms del enlom o con responsabilidades d e confidencialidad y
rendim iento.
 www.FreeLibros.me

14.4.6. Protocolos y Sistemas Distribuidos

Cada v e / m is se t i accediendo a las bases d e date a travs d e rede*, con lo que

d riesgo de violacin de la confidencialidad c integridad se acenta. Tam bin las
bases de datos distribuidas pueden presentar graves riesgos d e segundad.

Moeller (I9S9> establece cinco objetivos de control a la hora de revisar la

distribucin de datos:

1. FJ sistema de proceso distribuido debe tener una funcin de administracin de

datos centralizada que establezca estndares generales para la distribucin de
datos a travs de las aplicaciones.

2. Deben establecerse unas funciones de administracin de datos y d e base de

datos fuertes, para que puedan controlar la distribucin de los datos.

3. Deben existir pistas de auditoria para todas las actividades realizadas por las
aplicaciones contra sus propias bases de datos y otras compartidas.

4. Deben existir controles softw are para prevenir interferencias de actualizacin

sobre las bases de datos en sistemas distribuidos.

5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el

diserto de entornos distribuidos.

Respecto a este ltimo punto, e s importante destacar cmo, por ejemplo, muy
pocas empresas han considerado rentable im plemcntar bases de datos realmente"
distribuidas: siendo bastante ms econmico y usual actualizar bases de datos
distribuidas mediante transferencia de archivos y procesos por lotes (batch), que
hacerlo en linea.

14.4.7. Paquete de seguridad

Existen en el mercado varios productos que permiten la implantacin efectiva de
um poltica de seguridad, puesto que centralizan el control de accesos, la definicin de
pmilegios. perfiles de usuario, etc. Un grave inconveniente de este tipo de software
e que a veces no se encuentra bien integrado con el SCiBD. podiendo resultar poco
til su implantacin si los usuarios pueden saltarse los controles a travs del propio
SGBD.
 www.FreeLibros.me
i At'DflOftlA IVyOfcMATlCA UN ENHOQO r*CHCO___________________________ i m

14.4.8. Diccionarios de datos

Esie lipo de Memas, que empezaron a implantarse en !< ao vlenla. tamb*

juegan un papel primordial en el entorno de k SGBD en cuanto a la integracita de
componentes y al cumplimiento de la seguridad de tos dalos, vase Piattia y
Daryanani <1995).

Los propios diccionario ve pueden auditar de manera anloga a la bates de

dalos (puesto que son hases de metadatos"). las diferencias entre unos y otros, reside*
principalm ente en que un fallo en una base de datos puede atentar contra la integridad
d e los datos y producir un mayor riesgo financiero, mientras que un fallo en ua
diccionario (o repositorios, suele llevai consigo una prdida de integridad de k
procesos: siendo ms peligrosos los fallos en lo s diccionarios puesto que puede*
introducir errores de form a repetitivo a lo largo del tiempo, que son m is difciles de
detectar. Perry (1991).

Para aspectos relacionados con las facilidades d e control y auditora de

diccionarios de dalos, remitimos, al lector a Narayan (1988).

14.4.9. Herramientas C A S E (Computer Aided

System/Software Engineering). IPSE (Integrated
Project Support Environments)

Desde la dcada pasada venimos asistiendo a una gran difusin de este tipo de
herramientas como soporte al diseo y concepcin de sistemas de informacin, vaie
Piattini y Daryanani (1995). Suelen llevar incorporado un diccionario de chJos
(enciclopedia o repositorios ms amplio que los mencionados anteriormente en los que
se almacenan adems de informacin sobre datos, programas, usuarios, etc., kx
diagramas, n utrices y grafos de ayuda al diseo. Constituyen una herramienta dase
para que el auditor pueda revisar el diseo d e la base de datos, comprobar si se ha
empleado correctamente la metodologia y asegurar un nivel mnimo d e calidad.

En Piattini y Ramos (1995) se expone cmo llevar a cabo la auditora de kn

entornos CA SE/IPSE.

14.4.10. Lenguajes de Cuarta Generacin (L4G)

independientes

Adems de las herram ientas que ofrezca el propio SGBD. el auditor se puede
encontrar con una amplia gama d e generadores d e aplicaciones, d e form as, de
 www.FreeLibros.me
CArtTU-O 14 ACOtTOSU I. IIA a Pfc PATOS :?

informe*. tic . que actan sobre la base de dalos y que. por lano. tirnbin son un
demento importante a considerar en el entorno del SGBD.

En Moeller (1991) se ofrecen sa n o s objetivo* de control para los L4G. entre los
que destacan los siguientes:

- El U G debe ser capaz d e operar en el entorno d e proceso de datos con

controles adecuados.

- I.as aplicaciones desarrolladas con L4G deben seguir los mismos

procedimientos de autorizacin y peticin que los proyectos d e desarrollo
convencionales.

- Las aplicaciones desarrolladas con L4G deben sacar vtntaja d e las

caractersticas incluidas en los mismos.

En efecto, uno de los peligros ms graves de los I.4G e s que 10 se apliquen

troles con el mismo rigor que a los programas desarrollados c o i lenguajes de
locera generacin. Esto puede deberse, en parte, a una inadecuada interfaz entre el
L4G y el paquete de seguridad y a la falla d e cdigo fuente en el sentido tradicional.
q*e hacen ms difcil de esta manera el control de cam bios en las aplicaciones.

Otros problemas asociados a los I.4G y con los que noj encontramos
frecuentemente, pueden ser su incficiencia y elevado consumo de recursos, las
tentaciones que. en ocasiones, imponen al programador, los cambios que pueden
suponer en la metodologa de desarrollo, etc. Respecto a este ltimo punto, muchos
U G utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios
la exposicin de sus necesidades. M oeller (1989). se fala que e l p n to tip o d e una
eptkactn desarrollado con IA G debe proporcionar suficiente detalle para
"emplazar los documentos escritos asociados a los procedim ientos convencionales
de la metodologa de desarrollo de sistemas".

El auditor deber estudiar los controles disponibles en los L4G tilizados en la

espreta. analizando con atencin si permiten construir procedimientos de control y
asditora dentro de las aplicaciones y. en caso negativo, recomendar >u construccin
wih/jrxlo lenguajes de tercera generacin.

14.4.11. Facilidades de usuario

Con la aparicin de interfaces grficas fciles de usar (con mens. ratn,

lianas, etc.) se ha desarrollado toda una serie de herramientas q je permiten al
wuario final acceder a tos datos sin tener que conocer la sintaxis de les lenguajes del
SGBD. El auditor deber investigar las medidas de seguridad qu< ofrecen estas
 www.FreeLibros.me
I Ai PmmM IMOUSIATKA US WtAOKt)

herramientas y bajo qu condiciones han sido instaladas; tas herramienta* de ctte upo
d e b ern proteger al usuario de sus propios errores".

I uin aplicaciones desarrolladas empleando facilidades de usuario deben segar la

mismos slidos principios d e control y tratamiento d e errores que el resto; Motila
<19B9) destaca tambin otros dos importantes objetivos d e control:

- l a documentacin de las aplicaciones desarrolladas por usuarios finales drtt

| ser suficiente pora que tanto sus usuarios principales como cualquier oec
puedan operar y mantenerlas.

- Los cambios de estas aplicaciones requieren la aprobacin de la direccia y

deben documentarse de forma completa.

Fn este apartado podemos incluir tambin las diferentes facilidades que ofrecen
algunos SGBD que pemiten su conexin con paquetes ofimticos (por ejemplo, hojas
de clculo), que pueden acceder a la base de datos c incluso actualizarla. En este caso
el auditor debe prestar especial atencin a los procedimientos de carga y descarga
(upotiding/d&nnloadingi de datos de la base a/desde k paquetes ofimticoa;
comprobando, por ejemplo, si se puede actualizar la base de dalos desde cualquiera dt
stos o si la descarga se realiza con datos correctamente actualizados (descarga de k*
datos correctos e n el momento correcto").

14.4.12. Herramientas de "minera de datos"

En los ltim os artos ha explosionado el fenmeno d e los alm acenes de dalos

d a ta ^ n rrh o u tn y las herram ientas para la explotacin o minera de datos
(datamining). Estas herramientas ofrecen soporte a la loma de decisiones sobre dato
de calidad integrados en el alm acn de datos. En el Capftulo 20 se revisa la auditoria
de los EIS/DSS. cuyos principios se pueden aplicar a las herramientas de minera';
debindose controlar la p oltk a d e refresco y carga d e los datos en el almacn a paiw
(V I W i ilf itlK o ju w in in l f n i i l m i . tf como la M iH n d de mecanitmcx
de rctroalim cntaan (feedback) que modifican las bases d e datos operacionales a
partir d e los datos del almacn:

14.4.13. Aplicaciones

El auditor deber controlar que las aplicaciones no atenan contra la integridad de

los datos de la base, vase C aptulo 19.
 www.FreeLibros.me
m u i_______________________________ CAPTULO M: AUPCTORA D BASES PC PATOS B>

14.5. T C N IC A S PARA EL C O N TR O L DE BA SES DE D A TOS

EN UN EN TORN O CO M PLEJO

Como hemos visto en el epgrafe anterior, existen muchos elementos del entorno
W SGBI) que influyen en la seguridad e integridad de los datos, en los que cada uno
se apoya en la operacin correcta y predecible de otros.. Com o se destaca en CLARK
et al. (1991). el efecto de todo esto e s debilitar la seguridad global del sistema.
rtxiendo la fia b ilidad e introduciendo un conjunto d e controles detcoordinados y
solapados, difciles de g e s t i o n a r esta situacin se acenta an m is si los diferentes
componentes provienen de distintos fabricantes que se adaptan a estndares muchas
teces contrapuestos.

La direccin de la empresa tiene, por u n to , una responsabilidad fundamental por

te que se refiere a la coordinacin de los distintos elementos y a la aplicacin
cusiente Je los controles de seguridad. Para llevar a cabo esta labor se deben fijar
dirimente las responsabilidades sobre los diferentes componentes, utilizar informes
de excepcin efectivos que permitan m oaitori/ar los controles, establecer
procedimientos adecuados, implantar una gestin rigurosa de la configuracin del
acema, etc.

Cuando el auditor se enfrenta a un enlom o de este tipo, puede emplear, entre

ceas, dos tcnicas de control:

14.5.1. Matrices de control

Estas matrices, como la que aparece en la figura 14.7. sirven para identificar los
conjuntos de datocs del SI junto con kw controles de seguridad o integridad
impkmentados sobre los mismos.

Figura 14.7. M atriz de control

Los controles se clasifican, como puede observarse, e n defectivos, preventivos y

conectivos.
 www.FreeLibros.me

14.5.2. Anlisis de los caminos de acceso

C on esta tcnica se documentan el flujo, alm acenamiento y procesamiento <k ta 1

datos en todas las fases por las que pasan desde el mixrro momento en qae x
introducen, identificando los componentes del sistema que atraviesan (tanto h a n tan
como softw are) y los controles asociados (ta se figura 14.8).

Figura 14.8. Anlisis Je ta s caminos d e acceso. CLAFK et al. !991)

Con este marco, el auditor puede identificar las debitididev que expongan los
datos a riesgos de integridad, confidencialidad y segundad, las distintas interfaces
entre componentes y la complecin de los controles.

En la prctica se suelen utilizar conjuntamente ambos cnicas, si bien 1 del

anlisis de caminos de acceso requiere unos mayores conocimientos tcnicos y te
emplea en sistemas ms complejos.

14.6. CONCLUSION ES

Com o seala BRATIIW AITE (198$). "la tecnologa de bases d e datos I*

afectado a l papel del auditor M e m o ms que a cualquier otro individuo. Se ha
convertido en extremadamente d ifcil auditar alredetior del computador- . Esto k
debe, como hemos visto, no slo a la complejidad de la propu tecnologa d e bases de
datos, sino tambin a que el entorno del SGBD ha ido creciendo de manen
 www.FreeLibros.me
CAPtTVLOI* AIDtTORlA Dfc BASES Ofc DATOS Vl

extraordinaria en los ltimos artos, por lo que requiere personal especializado

Iauditores informticos).

El gran nmero de componentes que forman dicho entorno y sus interfaces hacen
necesario que. antes de empezar una revisin d e control interno, el auditor deba
examinar el enlom o en el que opera el SGBD; que est compuesto, como hemos visto.
por d personal de la empresa (direccin, informticos y usuarios finales), hardware,
software, etc.

El auditor debe verificar que todos estos componentes trabajan conjunta y

coordinadamente para asegurar que k sistemas de bases d e datos continan
cvmplicndo los objetivos de la empresa y que se encuentran controlado de manera
efectiva

Pr otro lado, hemos visto cm o las consideraciones d e auditoria deberan

lu irse en las distintas fases del c id o de vida d e una base de datos, siendo muy
icfoetante que los auditores ponk ipcn cada vez ms en el proceso de desarrollo,
sminuyendo asi cierros costes y haciendo ms productiva" su labor (la direccin de
Im empresas no siempre " se" la labor de auditora y control com o realmente
productiva, asumindola, la mayora de las veces, com o un gasto necesario).

Por lo que respecta al futuro d e esta rea, con la aparicin de nuevos tipos de
bises de datos, como las activas, orientadas a objetos, temporales, multimedia,
ntkidiinensionalcs. etc., vase Piaitini y D i (2000). y la creciente distribucin de
bs datos (bases de datos federadas, multibases de datos. W eb. bases de dalos mviles,
etc.), aparecen nuevos riesgos de inters para el auditor com o, por ejemplo, en el rea
de seguridad, vase Castao e t al. (1995). o en las metodologas de desarrollo. No
olvidemos precisamente que uno de los objetivos de control que sertala la ISACF
(1996) es que la metodologa de desarrollo debe actualizarse, y en estos momentos
aslen pocas propuestas que abarquen las nuevas tecnologas de bases de datos.

En el futuro es previsible que los SGBD aumenten el nmero de mecanismos de

control y seguridad, operando de forma ms integrada con el resto de componentes.
Para ello, es fundamental el desarrollo y la implantacin de eslindares y marcos de
referencia como los propuestos por ISO y por el O M G (CORBA). que faciliten unas
icrfaces claramente definidas entre componentes del sistema d e informacin. Para
cooseguir este objetivo e s importante que las instituciones y personas encargadas de
definir estos estndares tomen conciencia de la importancia del control y la auditora e
npicmcntcn los mecanismos adecuados.

Desafortunadamente, como nos ensea la experiencia, los sistemas aumentan su

carcplejidad y alcance con mayor rapidez que los procedim ientos y tcnicas para
((rotarlos.
 www.FreeLibros.me
Mi AlCtTOHU INFORMTICA UN EgOQtt; TTICO

Por lmo. queremos destacar la importancia cada dia mayor de una discif*M
m is amplia que la de hases de dato: la de G euio de Recursos d e Informacin (o e*
win siglas inglesas. IRM . Information R e to u r e t M anagement), que nace precisan*
con la vocacin alegradora necesaria pora lograr convertir los datos en el activo mis
importante de las empresas: lo que lleva consigo que las medidas de control y
auditora pasen a un primer plano dentro de las actividades de las empresas.

14.7. L EC TU R A S RECOM ENDADAS

Brathwaite, K. S. (I995). D ata Administration: Selected Topics o f Data Control

Nueva York. E hU U. John W iley & Sons.

Castano. S.. Fugini. M .. M artella. G. y Samarau. P. (1995). Database Stxvnfy

Addison-Wesley. W okingham. Inglaterra

Clark. R. e t al. (ed.) ( 1991 ). The Security. A udit a n d Control o f Databases. Avebuty
Technical. Aldershot. Gran Bretaa.

De M iguel. A. y Piattini. M. (1999). Fundamentos y m odelos d e bases de datos. 2.'

Ed. Ra-Ma. M adrid

14.8. C U ES TIO N ES DE REPASO

1. Establezca objetivos de control relativos al diserto de una base d e datos.

2. Defina un procedimiento pora la adquisicin d e SGBD.

3. Cules son las diferencias ms importantes entre las funciones de un

administrador de datos y las de un administrador de bases de datos?

4. Po qu resulta tan crtico un diccionario de datos?

5. Qu controles establecera sobre la distribucin de listados extrados a partir de

la base de datos?

6. Objetivos de control sobre la formacin del personal relacionado con el SGBD

(usuarios finales, administradores, diseadores, etc.).

7. Analice el grado de ajuste existente entre lew paquetes de segundad le mercado

(TOP SECRET. RACF. etc.) y loa SGBD.
 www.FreeLibros.me
<vu CArtTfljQI4:AWWTOlA0t>aDEDATO5 >

8. Qu riesgo* adicionales im plica el hecho de distribuir las bases. Je datos?

9. Qu controles establecera para desarrollos que empleen lenguajes visuales que

acceden a bases de dalos?

10. Analice el opone que ofrecen las herram ien'as d e minera d e datos al auditor
informtico.
 www.FreeLibros.me

C APTULO 15

A U D ITO R A DE
T C N IC A DF. SISTEM A S

Julio A . Novoo Bermejo

15.1. M BITO DE TC N IC A DE SISTEM AS

Cuando se ta b la de Memas, por definicin, se trata de un conjunto de elementos
que cooperan en un todo armnico. En ocasiones e w i elementos se imbrican unos en
otros para integran mejor en el conjunto, de manera que a veces resulta difcil
identificar los componentes parcial.

ste es el caso de la Tcnica de Sistemas puesto que. segn se analice, podra

atarear prcticamente la totalidad del proceso informtico como quedar reducido a
una parcela muy precisa y con un desempeo muy restringido.

Para ilustrar el prim er supuesto valga com o ejemplo la titulacin que la primera
escuela especializada (INSTITUTO DE INFORMTICA. 1970) empez a otorgar a
quienes acababan los estudios u a s s u p o el quinto arto. TCN ICO !>!'. SISTEMAS.
Segn aquel plan de estudios. 1 TS abarcaba todo el mbito de la informtica,
existiendo adems tres especialidades que. si no me fallan los datos de que dispongo,
eran:

SISTEMAS FSICOS
INFORMTICA FUNDAMENTAL
INFORMTICA DE GESTIN

Segn esto, tan TS (Tctuco de Sistemas) era la persona especialista en Hardware

(Sistemas Fsicos) como el que se dedicaba al desarrollo de Lenguajes Formales o
 www.FreeLibros.me
iV> AUDITORA INFORMTICA: UN bNTOQtlk PRCTICO

A utmatas (Informtica Fundam cnul) como el que trabajaba Aplicaciones

(Informtica de Gestin).

N o obstante. U evolucin de la Informtica ha obligado a un grado tal de

especiali/acin que Com unicaciones, Sistemas Operativo, Seguridad y Bases de
Datos han necesitado expertos en reas muy concretas, dejando la figura de TS
relacionada exclusivamente con el Sistema Operativo, no sin habilitar -naturalmente-
especialistas en Com unicaciones. Seguridad y Bases de Datos (administradores de
esas actividades y/o entornos). F.sle grado de cspecialuacin ha sido necesario, sole*
lodo, en centros grandes en que las tareas se han hecho ms complejas y laboriosas, y
en consecuencia, no dcscmpeUWcs por una nica persona. Hn ocasiones la necesidad
de administrar con rigor determinadas instalaciones ha llegado incluso a crear
departamentos con las personas que colaboran, en la realizacin del trabajo
correspondiente a la funcin concreta.

F.l despegue de la M kroinform tica y las Redes generan unos nuevos entornos de
trabajo, en algunos casos nicos (empresas ms pequeas) y en otros mezclados cea
los convencionales, pero que requieren una preparacin y dedicacin especficas. Ea
este sentido omos hablar cada da (incluso en anuncios d e prensa) de TS dt
M kroinform tka o TS de Redes.

Parece pues que no es fcil determinar el mbito de la tarea de TS. pero nuestro
comprom iso con lo que queremos escribir nos obliga a acotar con claridad la materia
en cuestin para poder establecer despus las correspondientes actividades de control.

Tratando de utilizar el sentido com n y la praxis habitual determinaramos como

mbito de la tarea de T S la infraestructura informtica, e s decir el conjunto de
instalaciones, equipos de proceso y el llamado software de base. Vamos a puntualizar
lo que. segn mi criterio, debe incorporar cada uno de estos apartados.

nsuUtciones

Este apartado incluira salas de proceso, con sus sistemas de segundad y control,
as como elementos de cooexin y cableado, es decir los elementos base pan
acondicionar los componentes del apaado siguiente.

Equipos d t proceso

Aqu estaran los computadores (main. mini y micro), as com o sus perifricos
(pantallas, impresoras, unidades d e cinta...) y los dispositivos de conmutacin y
comunicaciones (routers. mdems, frads...)
 www.FreeLibros.me
CAPIVLO 15. AUmOttlAPti'nSCWCAl); SISTEMAS 1

Software d e Bat*

Sc compone dc lo t Sistemas O perativos. Compiladores. T rad u c to r e Intrprete*

de comandos y programas, jun to con los G estores dc Datos (o sistemas dc
administracin de Bases de Datos) y toda una serie de herram ientas y componentes
auxiliares e intermedios (herramientas dc desarrollo, facilidades de explotacin como
(b n ifkadores. paquetes de seguridad, middleware...

Si consideramos infraestructura todo cuanto hemos detallado, es decir, todo lo

necesario para que las Aplicaciones funcionen -p u es no olvidem os que son el objetiva
de nuestros sistem as-, estableceramos, segn mi criterio, el mbito de TS.

No obstante, dado que existen en esta publicacin captulos especficos dedicados

Auditora Fsica, dc la Explotacin, d c Bases dc Datos, de la Seguridad y d e las
Redes, intentaremos centram os en el apianado del Sistema Operativo y lax
Comunicaciones como aspectos no cubicaos en los apartados mencionados.

15.2. DEFINICIN DE LA FUNCIN

Parece que antes dc entrar en la Auditora d c Tcnica d e Sistemas, deberamos

definir primero la tarea a auditar como una aciividad informtica que requiere un
determinado desempeo profesional para cumplir unos objetivos precisos.

Siguiendo este esquema y buscando un enunciado sim ple podemos decir que
Tcnica dc Sistemas consiste en la actividad a desempear para instalar y mantener en
adecuado orden dc utilizacin la infraestructura informtica.

De acuerdo con lo ya comentado en el apartado anterior dc mbito, buscando un

compromiso formal para separar las Aplicaciones de todo lo necesario para que stas
ftncioocn correctamente y profundizando en esto diramos que el funcionamiento
erecto se caracterizara por:

Disponer de todo lo elementos n iw u r iiK

Por parte de los usuarios autorizados.
En el momento requerido.
Con el rendim iento adecuado.

15.3. EL NIVEL D E SERVICIO

No debemos perder dc vista que el cumplimiento d e taJes caractersticas

cwutituyc el objetivo de lo SI (Sistemas de Informacin) y que su consecucin se
 www.FreeLibros.me
AUDITORIA INHHtMAlICA l N KNKXJt * HtACHCO

expresa en trminos de nivel d e servicio. Toda nuestra actividad debera otar

fundamentada e n el logro de esc objetivo y. lano los procedimientos d e actuacin
como los correspondientes controles, deberan tener como fin ltim o dicha meta.

Entendemos por nivel de servicio una serie de parmetros cuya medicin es capiz
de determinar objetivamente el mayor o menor grado de eficacia del servicio prestada
No cabe duda de que la obtencin de dicho nivel se ve afectada por cuanto
incidencias, de cualquier tipo, im pacten en el normal desenvolvimiento de la actividad
del SI. As. paradas por instalacin de nuevos dispositivos, cambios d e versiones del
sistema operativo, puesta en servicio d e nuevas herram ientas, averas de mquin.
fallos de com ente o elementos d e acondicionamiento, arranque o modificacin de
enlaces de comunicaciones, inclusin de nuevos usuarios o cualquier tipo de probtana
con el hardware o el softw are puede degradar el servicio, con el consiguiente perjuicio
para la organizacin, que n o podr desarrollar sus funciones adecuadamente o en d
tiempo preciso, con el correspondiente im pacto econmico que esto supone y que.
generalm ente, resultar difcil de calcular, pero, en cualquier coso, importante.

Este apartado de nivel d e servicio, requiere un tratamiento especfico, toda vez

que en la bsqueda de la calidad se conviene en el aspecto clave de la gestin de la
configuracin. Bastara decir que sin los d ie n tes del SI n o tiene sentido el SI. Y lo
que tale* d ie n tes necesitan es la garanta de que el SI cumple su functo
adecuadamente, puesto que, cada vez ms, e s el fundamento de toda la actividad de lt
organizacin.

Digamos para terminar esta breve incursin en el concepto expuesto que la

garanta del funcionamiento global se obtiene primero consiguiendo la de cada uno de
sus elementos, lo que nos obliga a determinar los puntos crticos que afecten a la
actividad d d SI y a prever su fallo y planificar los controles y acciona
correspondientes para soslayarlo. Comprenderemos que es tan importante delectar U
anomala en un d em ento de hardware como la capacidad de subsanarla en tiempo til,
pora lo que deberemos disponer del correspondiente contrato de asistencia con un
proveedor que nos permita reducir, a lo previsto, el im pacto por tiempo d e inactividad
Debe aadirse que. con esta filosofa, se negocian con los usuarios y proveedores que
reciben el servicio o aportan actividades para su consecucin, acuerdos de nivel de
se rv id o (SLA: Service Leve! A greem tm ) que. por un lado aseguran a nuestros dientes
el grado de eficacia negociado y exigen a nuestro* proveedores la asistencia requerida
para conseguir lo anterior. Hay que entender que en estos trm inos, se habla
comnmente de disponibilidades por encim a del 9 9 ,9 1 (segn sectores y grado de
criticidad de lo* SI con relacin al im pacto en la organizacin) lo que nos llevara a no
tener interrupciones durante m is de 2 horas en total en un aflo para un servicio
estimado en 2.000 horas anuales. Vase que un total de 10 horas de parada en un ato
para ese mismo servicio supondra una disponibilidad del 99,5%.
 www.FreeLibros.me
CArtTVtOl AUPrrORlAPtTbOX'AW-SlSTtMAS i

La disponibilidad. siendo lundamciMal. no ex el nico parmetro a medir, toda ve/

no se (ra u de tener un sistema que responda durante un determinado nm ero de
tocas al aAo. sino que adems, debe hacerlo bien, liste ltimo aspecto slo puede
aprobarse mediante tiempos de respuesta que den una medida de la utilidad del
yco.

La satisfaccin de los usuarios e s fruto del resultado general del servicio y

depende tamo de la eficacia de las aplicaciones com o de la eficiencia del sistema.
Ene ltimo aspecto est bien representado por los parmetros d e disponibilidad y
tempo de respuesta, pero se completa con el anlisis de las incidencias originadas por
U infraestructura y las opiniones de los usuarios sobre el servicio e n la parte
Respondiente a ese mismo componente.

15.4. LOS PROCEDIM IENTOS

Toda tarea organizada debe estar descompuesta en una serie d e actividades o

acciones a realizar con unos procedim ientos especficos que garanticen su calidad (o
conecto funcionamiento).

De la orientacin que hemos dado hacia el servicio, se deduce la tarea de

ninrtlrjctti de los rec u n o s del SI (infraestructura) que debe optim izar los
parmetros antes mencionados, cuestin que ha de convenirse en el objetivo de
Mestrox procedimientos.

Podemos efectuar una clasificacin en:

1. Instalacin y puesta en servicio.

2. Mantenimiento y soporte.
3. Requisitos para otros componentes.
4. Resolucin de Incidencias.
. Seguridad y Control.
6. Informacin sobre la actividad

La clasificacin anterior sirve para cualquier elemento de infraestructura, pero

cono ejemplo, podemos pensar en el Sistema Operativo de una mquina.

15.4.1. Instalacin y puesta en servicio

Comprendera todas las actividades para conseguir el funcionamiento adecuado

del elemento en cuestin:
 www.FreeLibros.me
kU)ltORlA P.KMIMATK A UN I.MKXAt IKSCTKX)

Planificacin. Procedim iento general del suministrador adaptado a h

instalacin concreta.
Documentacin. Inventario de componentes del elemento y normas de
actualizacin.
Parametrzacin. Valore d e parmetros del sistema en funcin del resto de
elementos planificados (nmero y tipos de usuario,
aplicaciones...)
Pruebas. Verificaciones a realizar y sus resultados.

Debe partirse de los documentos existente* en la organizacin sobre normatna

general: estructura organizativa (especialm ente informtica), normativas de instalar*
(como, por ejemplo, direcciones IP a utilizar), metodologa general de proyectos y
dems informaciones que puedan y deban condicionar la instalacin.

15.4.2. Mantenimiento y soporte

Comprendera el conjunto de acciones necesarias para la puesta al da dd

elemento. as com o la asistencia d e terceros pora la consecucin de dicha puesta al da
y la asistencia a prestar a otros colectivos (desarrolladores. por ejemplo) para facilitar
informacin necesaria sobre el sistema y sus herramientas para su mejor utilizacido.

Planificacin. Control del perodo d e garanta y comienzo dei

mantenimiento del elemento.
Documentacin. Procedim iento pora contactar con el soporte.
Parametnzacin. Adaptacin de los parmetros del sistema en funcin de
nuevos requerimientos o com o resultado de nuevas versiones
o resolucin d e incidencias.
Pruebas. Verificaciones de los cam bios o adaptaciones realizadas.

15.4.3. Requisitos para otros componentes

Procedim iento de requerimientos o recomendaciones para el mejor

comportamiento de otros componentes del SI.

Planificacin. Considerar los requisitos cruzados de unos elementos c<

otros, por ejemplo: considerar el espacio en disco necesario
para una nueva instancia de una base de datos y. por ende. H
impacto en el subsistem a de discos y las consecuencias en
los boik-ups en cuanto a espacio requerido y tiempo
necesario, teniendo en cuenta las limitaciones que en
cualquiera de estos aspectos pudieran existir.
 www.FreeLibros.me

Documentacin. Procedim iento que determ iru los. efectos a considerar en

otros componentes.
Parametri/acin. Adaptacin de los parmetros del sistema en funcin de
nuevos requerimientos o como resultado de nuevas versiones
o resolucin de incidencias.
Pruebas. Verificaciones de los cambios o adaptaciones realizadas.

15.4.4. Resolucin de incidencias

Procedim iento para registrar, analizar, diagnosticar, calificar y seguir las inciden
cias que se produzcan en relacin con el elemento en cuestin con el objetivo de su
resolucin.

Registrar Supone abrir un form ulario en el medio habilitado <papel.

electrnico...) que permita recoger los datos que identifican
la anomala: momento en que se produjo, elementos y
servicios/usuarios afectados, dados producidos y/o que
pueden producirse, entonto del problem a y una descripcin
de lo acaecido (las opiniones de los observadores pueden
resultar de inters en algunos casos).

Analizar Supone buscar una relacin entre el efecto y sus posibles

causas, para lo que se cuenta, adems de los comentarios de
los observadores y a mencionados, con la experiencia del
tcnico que trata la incidencia y la informacin ya registrada
sobre otras incidencias producidas que pudieran estar
relacionadas o responder a la misma causa u otra parecida.

Diagnosticar Determinar de entre las causas posibles aquella que tuviera

ms probabilidad de resultar el origen del problema una vez
analizada la informacin disponible. En el caso hipottico
de no poder establecer una causa del fenmeno reportar al
soporte disponible para su diagnstico.

Calificar Es un dato importante en el enfoque d e la resolucin, pues

n o tiene el mismo tratamiento una anomala bloqueante que
afecta a todo un sistema que un e n o r que se produce de
forma muy espordica y cuyos efectos no son muy
problemticos.

Resolucin Para resolver definitivamente un problem a hace falta

conocer su causa y la forma d e evitar que se reproduzcan las
condicione* origen. En caso d e disponer d e la solucin, su
 www.FreeLibros.me
U : AirOCTOUlAINFORMATICA UN L-SHJQt't: fUM'TKIl

aplicacin deber atenerse a los criterios <lc nivd de

servicio, evaluando la problemtica creada por la falta de
solucin y la que pueda crear la resolucin, pora coorn*
las acciones que menos perjudiquen el servicio global ei
c u n o . Supngase el caso de un problema que slo puede
solucionarse medanle un parche" d e softw are que sto
puede instalarse parando una mquina que control! a
proceso crtico (im agnese cualquier ejemplo en: hospital,
banco, produccin d e fbrica...).

Seguimiento Es la accin continua y normalizada pora conseguir el

diagnstico d e una incidencia y la persecucin de h
resolucin.

15.4.5. Seguridad y control

Estos procedimientos adquieren una especial relevancia en el proceso de

evitacin de incidencias y. caso de producirse, e n su temprana deteccin.

La proteccin debe considerar tanto la posibilidad d e hechos fortuitos cono

malintencionados. Los prim eras se evitarn partiendo de un formacin adecuada y
competencia profesional ms la organizacin que establezca unos proced meteos
robustos que incluyan elementos de control. Los hechos malintencionados se
prevendrn mediante una poltica d e personal adecuada y unos procedimientos que
eviten concentracin de tareas y consideren la segregacin de funciones y ks
correspondientes controles.

E s necesario proteger los accesos a la informacin y funciones con criterio de

mnimos reservando funciones y accesos especiales a niveles d e responsabilidad
superiores con los controles adecuados.

Por poner ejemplos, direm os que el personal de desarrollo no debe tener acceso a
modificar parmetros del sistem a operativo y . de igual form a, los TS no deben poder
modificar programas.

Uno de los controles tpicos en cuanto a los programas objeto o compilados en

explotacin es el que comprueba que dichos objetos se corresponden con las versiones
fuente en vigor. Un control de este tipo tambin detecta aquellos objetos que no
disponen de su correspondiente programa fuente.

Los entornos de desarrollo y mantenimiento de programas deben dejar

informacin sobre las sentencias borradas, modificadas y aliad idas, as como los
autores de las modificaciones. Estas pistas d e auditora permiten realizar
investigaciones pora determinar el origen de un determ inado cambio.
 www.FreeLibros.me
C A rtm O 15 AtT>fTOlA PE r t OilCAPfc SISTEMAS W

Es imprtame que existan una see de normativas para realizar las funciones
aormfeicas. aunque es igual d e importante que Ules normas se cumplan.

15.4.6. Informacin sobre la actividad

Rirma parte de la esencia de cualquier actividad rendir cuentas al responsable

Kperioe del trabajo realizado. Disponer dc una informacin estructurado, d c acuerdo
coo los parmetros dc seguimiento ms acordes con los objetivos de devrmpefto. es
cuestin prim ordial para:

Conocer la evolucin de la actividad.

Comparar la realidad con objetivas y estndares
Mejorar la calidad dc la tarea.
Anticiparse a situaciones criticas analizando los tendencias.

Es uno dc los elementos bsicos del nis! dc servicio siempre que se objetiven
Trmetros para su seguim iento, e s decir, que seamos capaces de medir
coeportamientas del sistema que estn directamente ligados con la calidad del
vicio.

La informacin debe servir para gestionar y. por tanto, debe ser resumida y
exfresiva en cuanto a la reprcscnucin de la realidad, permitiendo profundizar si se
aquiete un anlisis ms fino de algn parmetro en aras d e localizar la causa d e un
m in ad o comportamiento o magnitud.

1iJS. LOS C O N TR O LES

Deberan determinar el comportamiento del sistema y presenir situaciones no

deseadas desde cualquier punto de visu :

Hardware Existen los componentes adquiridos (inventario)

listn correctamente instalados
Se mantienen adecuadamente
Dan el rendimiento requerido

Software Se dispone de las correspondientes licencias

E st correctamente in su lad o
Se mantiene adecuadamente (versiones oficialmente sopor
tadas)
 www.FreeLibros.me
U4 AtWTOItlA INKMtMTTCA t'N tMOQt'K m\CTK

Comunicaciones Existen componentes

Estn correctamente instalados

Conmutacin

Comunicaciones Existen lo contratos o servicios

Estn correctamente parametrizados

Se mantienen adecuadamente
Dan el ancho de banda y respuesta

Existen los procedim ientos

Se llevan a cabo
Se controlan las excepciones
Se toman medidas

Se dispone de procedim ientos de h aci-u p

Se realizan los back-ups correspondientes
Se guardan adecuadamente
Se comprueban por muestreo

Plan de Se dispone de un procedim iento

contingencia Estn contratados tos servicios necesarios
E st debidamente actualizado
Se realizan los ensayos peridicos

La Fundacin de Auditoria y Control d e Sistemas de Informacin (ISACF) que

otorga la certificacin ('ISA (Certified Information System Auditor dispone de un
publicacin interesante sobre los Objetivos de Control para la Informacin y U
Tecnologa relacionada (COBIT). A ll se relacionan los procesos de los Sistemas de
Informacin clasificados en dominios: Organizacin y Planificacin, Compras t
Implantacin. Puesta en Servicio y Soporte y. por ltimo. M om ton/acin. Esto
procesos engloban todas las actividades relacionadas con los Sistemas de Informacin
y. a su ve*. con factores como: Personas. Aplicaciones. Tecnologa. Explotacin y
Datos. Por otra parte tienen una conexin mayor o menor con siete Criterios de
Informacin:

1. Eficacia
2. Eficiencia
3. Confidencialidad
4. Integridad
5. Disponibilidad
6. legalidad
7. Fiabilidad.
 www.FreeLibros.me
A rtn .io i At mnmlA t* tecnica i sistemas us

La definicin del factor Tecnologia puede idem ifi carie eoo el mbito que estamos
aplicando a Tcnica de Sistemas, puesto que comprende:

Hardware.
Sistemas Operativos.
Gestore de Bases de Dalos.
Redes.
Multimedia.

Extrayendo los procesos relacionados con esta definicin Je Tecnologa

(tendram os, segn ISACA. los objetivos de control correspondientes al rea que no*
ocupa: Tcnica de Sistemas.

Veamo* los objetivo* de control en lo* que se involucra Tcnica de Sistemas.

Kgiln. el concepto anterior.

Definicin del plan estratgico tecnolgico

Pretende la satisfaccin de los requerimientos del negocio buscaido un balance

ptimo entre las oportunidades de la tecnologa de la informacin, dichos
requerimientos y su posterior cumplimiento. Permite un proceso de planificacin
etiratgica que. a intervalos regulare*, va cumpliendo las piane* a larjo plazo. E*to*
planes a largo plazo deben traducirse peridicamente en planes operativos con
cfcjetivos claros y concretos a corto plazo.

Toma en consideracin objetivos de negocio y necesidades de tecnologa de la

formacin, inventaro de soluciones tecnolgica* e infraestructura actual y estudios
de factibilidad.

Primando fundamentalmente el criterio de eficacia, concede tambin importancia

a b eficiencia.

Determinacin de la direccin tecnolgica

Se trata de obtener ventajas d e las tecnologas emergente*. Pietende crear y

nauener un plan de infraestructura tecnolgica, adecuando y haciende evolucionar la
capacidad de la infraestructura actual siguiendo los desarrollo* tecnolgicos, las
testriccione* del negocio y los planes d e adquisicin.

Como en el caso anterior, prima la eficacia sobre la eficiencia.

 www.FreeLibros.me
M6 Ai'DIKUtlA INKHWIK'A IW HNHOqWt ACTICO___________________________ t m

G estin de inversiones

Asegura la disposicin y el control de desembolsos d e recursos financieros por

medio de los correspondientes presupuestos operativos peridicos establecida j
convenientemente aprobados.

Tiene en c u en u alternativas d e financiacin, control sobre lo gastado j

justificacin de costes.

En este proceso tienen la misma importancia, eficacia y cfkietc,

considerndose, adems, la fiabilidad de lo adquirido.

A preciacin d e riesgos

Pretende el aseguram iento d e la obtencin de los objetivos d e TI (tecnologa de ti

informacin), previniendo las amenazas en la obtencin d e los servicios de TI
Permite a la organizacin identificar los riesgos, analizar su im pacto y tomar la
medidas de coste efectivo para mitigarlos.

Considera distintos tipos de riesgos (tecnologa, seguridad, continuidad...), loi

momentos de anlisis (peridicos o durante la implantacin d e nuevos sistema^
mbitos globales o especficos, informes de incidencias y el mantenimiento de
modelo de riesgo.

Estn involucrados los siete criterios, pero especialmente: confidencialidad,

integridad y disponibilidad.

G estin de proyectos

Supone m arcar prioridades p a n conseguir objetivo* en tiempo dentro de Vx

presupuestos. Permite a la organizacin identificar y priorizar proyectos en lnea cce
el plan operativo. Ms an. la organizacin debe adoptar y aplicar tcnicas seguras de
gestin de proyectos para cada proyecto emprendido.

E s preciso tener en cuenta el promotor del proyecto, lo s usuarios involucrados,

las incidencias y los hitos, la determinacin d e responsabilidades, el comit de
seguimiento, los presupuestos de costes y mano de obra, la calidad del plan y h
seguridad del plan para con los sistemas sensibles.

E n este cavo intervienen por igual los criterios de eficacia y eficiencia.

 www.FreeLibros.me
CaHUIjO IS ADOtWKlA I* X~NK'A Df. SlMhSllS W

likulificackin de soluciones auto m atizad o s

Se trata de asegurar la mejor aproximacin para satisfacer los requerimientos de

k* usuarios, facilitando un anlisis claro de las oportunas alternativas ajustadas a los
requisitos.

Se han de tomar en consideracin las restricciones internas y extem as (como

sistemas heredados), la direccin de la tecnologa, los estudios de factibilidad (costes,
beneficios, alternativas...). los requerimientos y la arquitectura de informacin.

Prevalece la eficacia, aunque la eficiencia debe considerarse tambin.

Adquisicin V m a ntenim iento de in fra e stru c tu ra tecnolgica

Este proceso provee las plataformas adecuadas para soportar las aplicaciones del
Kgocio. Permite definir consideraciones especficas de requerimientos funcionales y
petamos y una implantacin por fases con hitos claros.

Se deben considerar: la disponibilidad d e la tecnologa, la direccin de su

evolucin, las polticas de seguridad, el ajuste de los procedimientos a la instalacin y
U flexibilidad.

Es importante la integridad, pero han de prevalecer eficacia y eficiencia.

Desarrollo y m a nten im iento de p rocedim ientos relacio n ad o s con los SI (Sistem as

de Informacin)

Pretende asegurar el uso adecuado de las aplicaciones y d e la soluciones

tecnolgicas instaladas Supone una aproxim acin estructurada, al desarrollo del
euurio y a los manuales de procedimientos operai i vos. as como a requerimientos de
v icio y material de entrenamiento.

Tiene en consideracin tanto procedim ientos como controles de usuario y

procedimientos y controles operativos.

Prevaleciendo eficacia y eficiencia, tambin -e n segundo trm ino- intervienen

crios de integridad, legalidad y fiabilidad.
 www.FreeLibros.me
U> ALPITOHtA INKIHNIAIUA I X INKXJO IUMDO

Instalacin v certificacin d e sistema*

Verifica y confirma que la solucin encaja con el propsito perseguido, lo qoc

permite la realizacin de una correctamente formalizada instalacin, migracin y
conversin as como un plan de aceptacin.

Considera la aprobacin de la estructura, la documentacin, pruebas especfica,

entrenamiento, conversin y/o carga de datos y revisiones post-implantacin.

Busca la integridad y la disponibilidad, prevaleciendo la eficacia.

Gestin de cambios

Pretende m inim i/ar defunciones, alteraciones n o autorizadas y errore,

habilitando la gestin del sistema para el anlisis, la implantacin y el seguimiento de
los cambios solicitados y realizados en la infraestructura de TI existente.

Tiene en cuenta la identificacin de los cambios, la categorizacin. priorizacin y

procedim ientos de emergencia, el impacto, la autorizacin de los cambios, gestit
delegada y distribucin de softw are.

Son criterios prioritarios, adems d e eficacia y eficiencia, integridad y disponi

bilidad. mientras que la fiabilidad se considera en un segundo plano.

D efinicin de niveles d e servicio

Persigue un entendim iento generalizado sobre el nivel de servicio requerido

Permite el establecimiento d e acuerdos d e nivel de servicio que formalizan k
criterios de rendimiento con los que deben medirse cantidad y calidad del servicio.

Involucra definicin de responsabilidades, volmenes y tiempos d e respuesta,

dependencias, cargas, garantas de integridad y acuerdos de discrecin.

Intervienen los siete criterios, siendo primarios: eficacia y eficiencia.

(e-\tin de relacin** de servicios d e tercero s

Aseguran que los roles y responsabilidades de terceras partes estn definidos coa
claridad, son conformes con los requerimientos y continan satisfacindolo. Facilillo
 www.FreeLibros.me
CArtTVLO IS AUPUOWUIH- TfCNW'A I; SISTEMAS VI

medidas de control para revivir y monitorizar los contratos existentes y lo

procedimiento para su eficacia y cumplimiento de las polticas d e la organizacin.

Tiene que ver con los acuerdos de nivel de servicio. con los acuerdos de
discrecin. las polticas de la comparta, las leyes y regulaciones y los contratos de
e m o m in g .

Igual que el proceso anterior, requiere de todos los criterio y. en especial, de

eficacia y eficiencia.

Gestin d e rendim iento y capacidad

Asegura la existencia de la capacidad adecuada, su disponibilidad y uso ptimos

de acuerdo con los requerimientos establecidos. Permite controles pora gestionar la
pocidad y el rendim iento, que recopilan datos e informan para gestionar la carga, el
umarto de las aplicaciones y la gestin de recursos y peticiones.

Tiene en cuenta volmenes, tiempo de r e c u e sta y rendim ientos.

Busca el factor de disponibilidad, prevaleciendo siempre eficacia y eficiencia.

Aseguramiento de la con tinu idad del servicio

Dispone el servicio tal y como se requiere y contina facilitndolo cuando se

produce una incidencia. Permite el ejercicio regular de un plan de contingencia
estructurado (sim ulacros) facilitando distintas fases c hitos claro, alineando las TI con
los aspectos del negocio.

Considera la clasificacin critica, el plan documentado, los procedimientos

alternativos y las pruebas y ensayo temticos y regulares.

Se fuiKiamrnu i-n dis(mnihiliiUd > eficacia y. d e manera secundaria, en efi-

cteacia.

Aseguramiento de la se guridad d e los sistem as

Para salvaguardar la informacin contra usos no autorizados, revelacin de

iaformacin. modificacin, corrupcin o prdida, controla el acceso lgico al sistema,
a los datos y a los programas, restringiendo o s a los usuario autorizados.
 www.FreeLibros.me

Involucra autorizacin. autenticacin. perfiles e identificacin de usuaria,,

gestin de claves e informe de incidencias y seguimiento.

Aplica criterios de confidencialidad c integridad y, en segundo orden, ditpo-

bilidad. legalidad y fiabilidad.

Identificacin y re p a rto de costes

Asegurar la correcta atribucin de los costes d e los servicios de TI. Debe I

disponerse de un sistema de contabilidad de costes que garantice el registro de lo I
mismos, con el consiguiente clculo y distribucin d e detalle.

Considera los recursos a incluir, las polticas de reparto y los ratios de j

distribucin.

Utiliza criterios de eficiencia y fiabilidad.

G estin de la configuracin

Inventariar todos los componentes de los SI. previendo alteraciones no

autorizadas, verificando su existencia fsica y facilitando una base precisa pan
gestionar el cambio, los controles que identifican y registran todos los bienes y sa
localizacin fsica, a si com o un programa regular de verificacin que asegure s*
existencia.

Tiene en cuenta el registro de activos y su etiquetado.

Usa criterios de disponibilidad y fiabilidad, dando prioridad a la eficacia.

G estin de p roblem as e incidencias

Asegura que se conocen los problemas y las incidencias, que se investigan 1

causas y que se previene su repeticin, permitiendo un sistema que registre y persiga
i resolucin.

Determina la existencia de pistas d e auditoria suficientes sobre problemas y

soluciones, el tiempo de resolucin d e los problemas reportados, procedimientos de
escalado (paso de problema a otras instancias) c informes de incidencias.

Criterios prim arios: eficacia y eficiencia: secundarios: disponibilidad.

 www.FreeLibros.me
CAfn:U> IV AlIQtTOtA l*. IffMCA O SOTfcMAS 1

Monitori/acin dc los procesos

Persigue la consecucin dc k * objetivo* buscados por Ion procesos dc lo SI.

definiendo la gestin de informes relvame-* para la dircecin y d e indicadores dc
rendimiento de La implantacin del soporte de los sistemas, as como clarificando los
informes sobre una base regular y normalizada.

Son importantes los auto-controles, benchmarks, indicadores c lase dc medicin

de rendim ientos c informes dc gestin.

Intervienen los siete criterios, siendo primara la eficacia.

Seguridad Independiente

Para incrementar los niveles dc confidencialidad y el beneficio dc referencias dc

las mejores prcticas e s importante realizar auditoras independientes a intervalos
regulares.

I j mencionada auditora independiente con conceptos d c auditora proactiva. la

ejecucin dc los controles por personal cualificado y la clarificacin dc las
observaciones y las recomendaciones constituyen aspectos clave dc esta actividad.

Como en el caso anterior, intervienen los siete criterios, pero aqu, con prioridad
los dc eficacia y eficiencia.

15.6. AUDITORA DE LA FUNCIN

No vamos a repetir conceptos clsicos dc auditora, com o la necesidad dc

confeccionar un plan de la misma que incluya el anlisis de ejercicios anteriores
determinando objetivos precisos y estableciendo un conjunto de pruebas: sustantivas y
de cumplimiento que permitan obtener unas cooclusiones reflejadas en el informe
oonrs|Win<1irnte

Se trata pues dc aplicar las ideas anteriores, al segmento de actividad al que nos
estamos refiriendo: Tcnica de Sistemas.

El ltimo informe de auditora realizado debe servir para fijar un objetivo

ceocrcto: la comprobacin de que se han llevado a cabo las recomendaciones
eipecstas y se han corregido debilidades o puntos negros detectados con anterioridad.
El informe final deber reflejar, en este caso, la realidad contrastada, haciendo
ta ca p il en aquellos objetivos n o conseguidos las razones expuestas por los
 www.FreeLibros.me
i AUDITORA IXTORMTKA: UN ENFOQUEPRCTICO

responsables y unas nueva recomendaciones al respecto que pueden ratificar 1

planteamientos orijiirulcs o plantear alternativa* o nuevo objetivos para resolver la
debilidades encontradas (controles compensatorios).

Kn cuanto a lo procedimiento, y d e acuerdo con lo expuesto en el pido

anterior, debe comprobarse:

1. Que existen.
2. Que son consistente con lo objetivo d e control.
3. Que se ejecutan.

Comoquiera que el ejercicio de auditora supone coleccionar unos hecho*

observado para emitir un juicio ecunime, profesional e independiente, dicho hecha
deben estar contrastados, por lo que se realizan tas prochas sustantivas y de
cumplimiento cuyo resultado debe soportar las cooclusiones del informe de auditora.

N o podemos olvidar que es el informe de auditora -co m o resultado final dd

trabajo realizado- la base de las accione correctoras posteriores que debe promover b
direccin para soslayar cuantas debilidades y problemas pueda plantear el sistema en
mi funcionamiento, y consecuentemente, mejorarlo para que responda a Im
requerimientos que constituyen su razn de ser.

Una adecuada metodologa en el desarrollo d e la auditora es fundamental y

requiere de aspectos generales, tanto del campo de la auditora como de la
organizacin de lo Sistemas de Informacin, tanto com o de aspectos especfico que.
en el caso de T S son especialmente importantes, a tenor de la tecnificacin profunda
de la funcin y de la especificidad de los diferente entorno tecnolgico existentes.

Existe, adems, un problema aadido que se origina en la variedad y

multiplicidad de los entornos. Hoy en da es difcil encontrar entorno puros y. en la
realidad actual, existen distinta pones de los SI que se ubican en mquinas de tipo
mainframe. de tipo mini y micros que cada vez son menos micro, puesto que b
tecnologa evoluciona y desarrollos de unos entornos se aplican a otros; baste poner
com o ejemplo que la tecnologa d e discos del entorno microinform liico ha sido U
hxsc de los actuales desarrollos de sistemas array que construyen grande sistemas de
almacenamiento por agregacin d e elementos ms pequeos con el origen
mencionado, que. atiem. se beneficia de lo desam>llo de entornos mainframr 01
cuanto a rendim ientos: varias viax d e acceso, dispositivos cach, etc.

Resulta normal en una empresa de cierto tamao encontrar un entorno mainframt

que soporte una serie de funcionalidades, ju n to con entornos medios para otras y un
soporte micromformtico. articulado generalm ente alrededor de una red que completa
la infraestructura de sus sistemas centrales. Pero esto no e s todo, sino que se completa
 www.FreeLibros.me
CAitmtx) i ' Av imcmlA p. ifrviCA di stsu .s u s m i

-tambin usualmente con equipos en sus ceiros perifricos que integran tas
instalaciones con los correspondientes enlaces le comunicaciones > la electrnica
inherente.

En entornos heterogneos se requieren conocimientos especficas 1c cada sistema

operativo, gestor de base de datos, herramientas d e desarrollo, administracin,
seguridad y monitorizacin.

La funcin, e n estos casos, debe ser auditada desde dos perspectivas diferentes y
con equipos d e personas distintas:

Equipo de organizacin con conocim ientos generales que chequee aspectos

operativos, conso establecimiento y separacin d e entornos y los
procedim ientos inherentes a dicha separacin y a las funciones generales
com o resolucin de incidencias, planes de contingencia, niveles de servicio o
informes peridicos de Tcnica de Sistemas sobre el desarrollo de la tarea.

E quipas expertos en entornos especficos que sean capaces d e analizar los

parmetros claves del softw are de base en sus distintas concepciones: sistemas
operativos, gestores de bases de datos y herramientas varias.

La existencia de una red de comunicaciones incorpora un nuevo nivel de

complejidad, puesto que. para diferentes servicios, pueden existir distintas
infraestructuras que se solapan, por ejemplo: lneas de dalos para conectar
tcrminalcs/rcdcs a instalaciones centrales (computadores y/o redes) y otro conjunto de
enlaces pora inierconectar las diferentes ubicaciones de la organizacin y soportar el
servicio de correo electrnico.

Lo servicios a travs de redes pblicas m s abiertas y econmicas pero mucho

menos seguras generan una complejidad aadida que. desde el punto de vista del
control. hacen cada vez ms difcil su vigilancia, dado el elevado nivel tecnolgico de
las soluciones e n curso y su vocacin de apertura y flexibilidad que chocan
frootalmcntc. com o se puede comprender fcilmente y ya hemos dicho, con aspectos
de ( fu n d id y control necesario.

En grandes organizaciones e s relativamente sencillo urdir estrategias

organizativas que cumplan con los criterios bsicos d e control en cuanto a
establecimiento de procedimientos y segregacin de funciones para que. por ejemplo,
los programadores no puedan modificar los parmetros del sistema (operativo, gestor
de dalos...) y quienes puedan ejecutar programas en real no puedan modificarlos.

Pero a veces, bien porque se trata de organizaciones ms pequeas con menos

recursos tanto operativos como de control, com o d e grupos de servicio a determinados
objetivos parciales con elementos de proceso departamentales, se producen situaciones
donde la segregacin funcional no existe y surgen -e n consecuencia- amenazas y
 www.FreeLibros.me
JM Al'PrroaU ISTORMATKA: un ENFOQUE PRACTICO

debilidades que el auditor debe determinar para que mediante otro* medios pool*
compensarse dichas debilidades. bien a travs de oros controles ylo medidas (segure,
por ejemplo).

Puesto que en la presme obra se tratan especficamente aspectos que tienen qoe
ver con TS. vamos a profundizar un poco en el rea especfica del sistema operativo y
herramientas complciixmarias.

La separacin de entornos de traba o constituye un planteamiento undamctal

para aislar la produccin de los riesgos del desarrollo. Hay que tener en cuenta que.
llevadas las cosas al lm ite en el rea de produccin, se persigue la estabilidad de los
procesos, mientras que en desarrollo, se trata de comprobarla, lo que obligara a
intentar -en pruebas- buscar sus fallos y conseguir incidencias para prevenirlas. Ea
ocasiones, cabria incluso la existencia de otros entornos (en funcin de lat
organizaciones) como el de implantacin que -siendo una rplica del de produccin-
permitira com probar (en laboratorio) incidencias producidas en explotacin, probv
circunstancias especficas, sin necesidad de involucrar a las ejecuciones reales e
impartir entrenam iento (training) a nuevos usuarios o ante nuevas versiones de
aplicacin. Por otra parte, las mencionadas separaciones deben conllevar un conirct
sobre las conexiones entre los mismos y las restricciones de acceso de los distinto
perfiles (operadores que no pueden compilar programas, programadores que no
pueden acceder al entorno de produccin, etc.).

Los datos reales no deben ser accesibles ni utilizados para pruebas: slo en casos
especiales pora pruebas de volumen podran lomarse como punto de partida,
desvirtundose en su contenido para el traspaso al entorno correspondiente.

K1 softw are de base debe aportar herramientas para modificar programas y

controlar los cambios dejando pistas de auditoria, debiendo existir el correspondiente
procedimiento que contemple la segregacin funcional (aprobacin del carato,
realizacin, validacin y puesta en explotacin).

La consistencia de los programas ejecutables con las fuentes origen e s verificaNe

y garantiza que las aplicaciones en ejecucin coinciden con las desarrollada,
validadas, y que sirven de base para cualquier modificacin posterior.

Debe comprobarse la existencia d e todas las fuentes. La prdida de alguno deja a

la organizacin en precario frente a cualquier modificacin necesaria que afecte a la
funcionalidad que soporta el programa en cuestin.

Un control especial debe aplicarse con las utilidades d e uso restringido qee
permiten accesos directos a) ncleo del sistema operativo o a los datos. S e trata de
elementos sensibles cuyo uso debe estar especificado, toda vez. que -e n determinados
 www.FreeLibros.me
CArtn tt) iv AfiMTimtA pe tt-cxKA de sistem as j

casos- n<> dejan pid a de las modificaciones realizadas. Existen opiniones a favor de
deponer de estas funciones fuera del sistema, cargndolas nicamente cuando sean
recesaras y borrndolas despus, para evita que -p o r una debilidad d e segundad
alguien pudiera acceder a ellas. C on esto se trata de eliminar la omnipotencia de los
Tcnicos de Sistemas, que deben estar, tambin, sujetos a una normativa rigurosa.

H a de tenerse en cuenta el nisvl de actualizacin de los mdulos del SO (sistema

operativo) y si existen parches pendientes d e aplicar, dado que la no actualizacin
mencionada supondra el riesgo ante los errores que las actualizaciones corrigen.

La planificacin de acciones debe ser cuidadosa, documentada y con posibilidad

de alternativas y de marcha atrs ante cualquier eventualidad im prevista que no
permita el conecto funcionamiento del sistema. Ha de tener en consideracin los
tseles de servicio pactados y procurar el mnimo impacto en la explotacin del
sistema.

Deben existir planes de respaldo y continuidad en cuanto al softw are de sistemas,

as como el adecuado soporte interno/externo.

El seguimiento de la adecuada sintona del sistema y su rendimiento debe ser una

prctica habitual y continua, para lo cual, adems d e los datos objetivos sobre
parmetros y mediciones, existen herramienta* d e contraste que permiten evaluar su
funcionamiento.

Constituyen riesgos una dependencia inadecuada (del responsable del desarrollo,

por ejemplo. k> que supondra falta de segregacin funcional), los cam bios sin una
planificacin adecuada y la existencia de supem suarios con una concentracin de
poder que atente igualm ente contra la segregacin funcional, l-os controles deben
buscar supervisin, comprobar la restriccin de kw accesos y efectuar las revisiones
correspondientes.

El riesgo valorado debe estar en consonancia con la organizacin: no es el mismo

en un hospital o en un banco que en un fabricante d e sillas. Aunque la repercusin
para el negocio pueda ser la misma, no son iguales, ni la probabilidad de su
produccin ni la repercusin en otros factores (las personas, por ejemplo). En cienos
casos, como complem ento o como sustitucin por no justificarse determinadas
medidas en funcin de la complejidad y el riesgo en cuestin, puede estudiarse una
poltica de leguros:

SPS Seguro d e soportes d e datos

SPW Seguro d e software
SICO Seguro pura cobertura de contingencias
ISPB Seguro d e prdida de beneficios
 www.FreeLibros.me
ft Al'IMIOHlA INHJKMAItCA CN hMOQUfc HtCTSCO

Tambin conviene de*tacar la existencia Je herramientas que ay u d m en b

metodologa, recogiendo resultados d e observaciones, tabulndolos d e acuerdo coa
factores y parmetros d e riesgo para obtener un valor objetivo de los resultados,
construyendo, de forma semiautomtica el informe d e auditora. De igual forma cabe
utilizar tiles especficos pora sistemas concretos y revisar sus parmetros e histricos
-e n cuanto a pistas de auditora- que. en casos d e sistemas complejos, so#
especialmente recomendables.

15.7. CON SID ERACION ES SOBRE LA TEC N O L O G A Y SU

EVOLUCIN

Debemos prepararnos para el cambio de paradigma que se nos avecina, puesto

que la complejidad alcanzada por los sistemas distribuidos no compensa su
aparente eficiencia. Para justificar esta apreciacin baste con referir el alcance tcnico
de tos sistemas distribuidos que -p ara conseguir la consistencia en la informacin de
los diferentes nodos- se ha normalizado el cornil de doble fase para garantizar b
actualizacin, en tiempo real, de todos los computadores d e la red. En trminos
vulgares baste con decir que es necesario un enlace de comunicaciones fiable y
permanente para garantizar que en lodos los nodos queda actualizada la in/ormaaii
en e l m om ento y yo me pregunto qu diferencia existe entre este sistema y uno
centralizado clsico? Segn m opinin, la diferencia es inexistente toda vez que -en
ambos c asos- el funcionamiento correcto se basa en unas comunicaciones fiables mi
las cuales no funciona, adecuadamente ninguno d e los dos. y con las que amboi
permiten una operata correcta.

En el lm ite un sistema distribuido podra tener ciertas ventajas en los costes de

las comunicaciones siempre que parte de los accesos puedan ser locales y la diferenc
compense las actualizaciones distribuidas. Lo que sucede e s que es ms barato ere,
mantener y actualizar un sistema centralizado y . adems, si hay caldo en
comunicaciones en algn enlace, e l resto estn totalmente operativo*, mientras que a
e l caso distribuido, si cae un enlace, slo estn operativos k accesos locales y hasu
que no le restaura e l enlace cado, no funciona e l sistema para actualizaciones qm
deban replicarse.

Para soslayar estas dificultades, los sistemas distribuidos han urdido otras
estrategias, basadas e n replicadores de transacciones y permitiendo registros
pendientes de aciualizar que se ponen al da al levantarse la linea de comunicaciones
cada. Lo que sucede es que. para que este esquema d e replicacin (sin cornil de doNc
fase) funcione, obliga a mantener la actualizacin en un nico nodo, lo que supone b
nica opcin para mantener la consistencia de los dalos.
 www.FreeLibros.me
m w CAytTVLO 15: AUOTOlA I, TCNICA DtjSKTtMAS 7

Para colm o de males, la liberalizacin del sector de las telecomunicaciones y el

incremento de las redes y la mejora de calidad d e los enlaces, junto al incremento de
los costes de desarrollo y mantenimiento de los sistemas, especialmente de los
distribuidos, inclina definitivamente la balan/a en favor de los sistemas centralizados.

Resulta curioso que en el momento en que la microintorm tica ha adquirido el

espectacular desarrollo de hoy nos planteemos el retom o a los sistemas centralizados,
pero todo indica ese camino, ya que. adems de los razonamientos expuestos, la
realidad de k que se nos ofrece es incuestionable:

NetWork Com puter <NC. Com putadores ms simples gobernados por

elementos remotos que les suministran los programas a ejecutar.
Desarrollo de navegadores (Netscape y Explorer) com o entornos d e trabajo
universales.
Internet c o n paradigma d e conexin y protocolo de comunicacin (TCP/IP).

Este nuevo modelo .se convcnir en la base d e la evolucin de las aplicaciones,

los centros de proceso y los usuarios.

Las aplicaciones se desarrollarn para instalarse en entornos W eb y la pane

diente (a ejecutar en k terminales ms o menos inteligentes) en estndar Java,
derivados o similares.

Los centros de proceso se centralizarn y los se rv id o s se conectarn con

incrancLs. extrais y/o Internet, tomando una relevancia capital la proteccin de la
informacin y los accesos, sobre todo en el entorno de negocios: considrense los
esfuerzos para poner en marcha el estndar SET para securizar las transacciones va
Internet, cuestin que supone integrar en el proceso a las entidades financieras y de
crdito (es un paso ms adelante del tradicional EDI).

lo s usuarios sufrirn tambin cam bios radicales, puesto que los dos aspectos
anteriores son la bave para poder trabajar desde cualquier punco (a travs de las redes
Rbales mencionadas), tanto en oficinas como en centros de servicio o domicilios
particulares servirn de base para lodo trabajo que ve pueda realizar a travs d e un
computador, e s decir, aquel en el que nicamente se maneje informacin, y no
podemos olvidar que el sector de servicios (creciente en economas desarrolladas)
tiene un componente importantsimo de trabajo cuyo fundamento es la informacin.

Para justificar cuanto antecede y sin necesidad de ejercitar la imaginacin baste,

adems de considerar el desarrollo del (ekirabajo en otros pases, la experiencia, por
cjeaplo. de entidades financieras en tal asunto: bancos, aseguradoras...
 www.FreeLibros.me
.151 AUXIOKlA INKXRMMlCA UN K V K W t ACOCO

15.8. ALG UN AS REFERENCIAS

Desde el pum o de vista metodolgico y p ira ayudar en el proceso dc recopilante

y tabulacin de la informacin, as como en la redaccin de resultado*. LOGIC
CONTROL dispone dc un programa: AUDINFORM que funciona en enlom o PC.

Aunque cada fabricante d e equipo dispone de oferta complementarias en cun

a herramientas para administrar, controlar y nvonitorizar los sistemas, exiae*
especialistas que se han centrado en desarrollar paquetes que ayudan a normalizar toda
una serie de aspectos relacionados con la seguridad, el control y la monitori/acin de
los sistemas que se convienen en piezas bsicas para la articulacin de lo
procedim ientos dc que hem os hablado.

Tal e s el caso dc Com puter Associates, que con su sistema UNICENTER j

pretende integrar un conjumo de herramicmas com o el descrito, buscando, adems,
una homogeneidad funcional d c dichas herramientas en los distintos sistenai
operativos (como MVS de IBM. Unix, o NT dc Microsoft). Es ejemplo obligado ciar
CAExamine que. en un enlom o M VS. permite obtener en tiempo real una revisita
sobre seguridad, integridad y mecanismos de control, cuestin que -p o r otros m<dx-
rcsulta muy costosa.

Tambin existen compartas cuya cspecializacin consiste en la monitorizaciede

los sistemas, tratando alertas de sistemas operativos, bases de datos y apticacioeci
Tal es el caso de la lnea PATROL dc BMC Software y otras lneas com o TVO lJo
productos dc fabricante d e softw are de base como O racle A len (Oracle) o equipo
como AV/A lert (Dala General).

En el apaado dc las comunicaciones el sistema SNMP. para control de

elementos remotos (a travs dc agentes que reportan informacin a u n sistema ccntrali.
se ha convenido en un estndar, y productos com o Opcnvicw (HP) o Nctvicw (IBM),
gestionan la informacin dc este tipo d e agentes para permitir una administracin
centralizada dc elementos remotos d e red (redes W AN. estaciones dc trabajo o
cIchiciiUks d.>Ubufcn).

En el campo del contraste. COM PASS (sede en Barcelona) realiza en Espada

estudios dc instalaciones considerando distimos parmetros y comparndolos coe
otras organizaciones ( b ra p ra c tk ts ) y estndares, produciendo un anlisis y d
correspondiente diagnstico d e la instalacin.

En materia de seguros TELA IBRICA (comparta re-aseguradora) especializada

en sistemas electrnicos, constituye una referencia (al igual que las principales
compartas dc seguros: AGF-Fnix. La Estrella...) com o especialista en seguros de
 www.FreeLibros.me
Artlll O H AUDITORA t ifCNK'A IH SlVtl.SIVt IV)

pone* de dalos, software. inaiwem miento de actividad ante contingencia* y prdida

4c beneficio*.

Existen organizaciones independenles, como el Transaction P ro trtu n g C om et.

p e realizan pruebas de rendim ientos estndar y facilitan datos certifio do s e indepen-
Aentes del funcionamiento de los equipos. Tales datos se exprcsai en Tpro-C o
Tpm (transacciones por minuto de tipo C o D) que sirven para evala' la potencia de
ln mquinas y contrastar -c o n la requerida para cada usuario software- la validez, de
li entalacin. Los resultados del T. P. Council estn disponibles en Internet.

15.9. L EC TU R A S RECOM ENDADAS

COBT (Control Objetive* for Information and related Technology) d e ISACA

(Information Systems Audit and Control Association).

HotJhoot o f E D P AitdHtntt.

En general la mencionada ISACA constituye una fuente muy am plia ce informacin,

al ser su principal objetivo el control y la auditora d e lo SI. Su publicacin IS
AUDIT & CO NTRO L JOU RNAL publica en su nmero de 1997 (volumen III)
interesantes artculos como:

"Steps to auditing W indows N T .

"SAP R/3 and auditing lgica! access".

15.10. C UES TIO N ES DE REPASO

1. Qu mbito abarca actualmente la tcnica de sistemas?

2. Defina nivel d e servicio.

y Qu procedimientos deberan existir para la instalacin y puesta en servicio

de un equipo?

4. Enumere los principales aspecios a contemplar en la resolucin de

incidencias.

5. Con qu criterios auditara un plan de infraestructura tecnolgica?

recu la heterogeneidad d e los entornos a la auditora de tcnica de

 www.FreeLibros.me
mommU inh3matca ex ewfoqu: raAcrico m u

7. Por qu son p elig ro s algn** utilidades que permiten acceso directo a 1

datos o al ncleo del sistema operativo?

9. Analice el im pacto de la replicackta d e dalos en un colom o distribuido.

10. Establezca los principales criterios para evaluar herramientas de momio

rizacin de sistemas.
 www.FreeLibros.me

C A PTU LO 16

AUDITORA DE LA CALIDAD
Jos Luis Lucero Mantesa

16.1. PREMBULO
La calidad t u dejado de ser un tpico, y fo m u parte, es necesario que forme
pww. de los productos o servicios que comercializamos para nuestros clientes Esti
incorporada en nuestra form a de se r la vida. Cada vez exigimos m is que los
productos o servicios que no* suministran nuestros proveedores tengan el mayor grado
d calidad dentro de un precio razonable. El aforismo de El precio se olvida y la
calidad perdura" se hace cada vez ms patente.

El d iente e s el mejor auditor de la Calidad, l exige el nivel que est dispuesto a

pgjr por e lla pero no m is. Por tanto, debemos de cuantificar cul es el nivel de Cali
dad que nos exige para poder planificar la Calidad d e los productos semielaborados
<pe se generen a lo largo del proceso d e produccin del producto o servicio final.

Al analizar las necesidades de nuestros clientes, deberemos tener en cuenta tam

bin la previsible evolucin de sus necesidades y tendencias en cuanto a caractersti
cas. Deberemos tener en cuenta la evolucin tecnolgica del entorno de produccin de
nuestros productos para suministrarlos con el nivel tecnolgico adecuado. No debe
la olvidar tampoco el nivel de Calidad de nuestros competidores, debiendo elaborar
productos cuyas caractersticas y funcionalidades sean competitivas con las de nues
tro competidores, asi como su calidad.

La Calidad se ha convertido en el medio d e subsistir dentro de un mercado

competitivo, lo cual beneficia al consumidor final, e s decir, a nosotros. Es el pnm er
Mo lgico por el que las empresas prevalecen en el mercado, el segundo ser la
productividad que emplean para conseguir esa calidad.
 www.FreeLibros.me
VQ UTUrORM ISHHtMStKA I .NfXfOQLT, PRACTK.X)

l a Calidad ser el objetivo global a conseguir, y la Productividad no* vendr por

aadidura, nunca al revs.

16.2. DEFINICIONES PREVIAS

Vamos a citar algunas definiciones de varios autores que nos ayudarn a centnr
lo que se entiende por calidad:
I
J AI JURAN: Adecuacin al uso.
P.B. CROSBY: Cum plimiento de unas especificaciones.
W.E. DEA1ING: Un grado predecible de uniformidad y fiabilidad a bajo me
y adecuado, a las necesidades del mercado.
G.T AG U CIII: Prdida mnimas para la sociedad en la vida del producto.
FEIGENBAUM: Conjunto d e caractersticas del producto de marketing,
ingeniera, fabricacin y mantenimiento a travs del cual el prcxhicto en cao
satisface las expectativas del d ien te.
P. DRUCKER: Calidad es lo que el cliente est dispuesto a pagar en funcin
de lo q u e obtiene y valora.
AEC (Asociacin Espaola para la Calidad: Conjunto de propiedades y
caractersticas de un producto o servicio que le confiere su aptitud pan
satisfacer necesidades establecidas o implcitas.

Los Sistemas de Informacin cada vez estn ms presentes en nuestra actividad y

en las cosas que nos rodean y que usamos. Simplemente recordar que cuando samas i
un banco cualquier operacin que hacemos tiene detrs un Sistema de Informacin 4
hacem ot un seguro, al comprar en un supermercado o en unos grandes almacenes, al
pagar con nuestra tarjeta de crdito, en lodos tos casos hay un Sistema d e Informante
que est controlando y gestionando esas operaciones. Incluso al arrancar nuestro
coche hay un softw are que chequea los puntos vitales del mismo.

En este captulo vamos a centrar nuestro foco e n 1a Calidad del Software y

podemos recordar la definicin que encontram os en Pressman:

"Concordancia con lo* requisitos funcionales y de rendimiento explcitamente

establecidos, con los estndares de desarrollo explcitamente documentados y
con las caractersticas implcitas que se espera de todo software desarrollado
profesional mente."

En esta definicin podemos destacar qu se entiende por calidad, el cumplimiento

de los requerimientos que se han establecido (normalmente por el usuario o el cliente)
y las "caractersticas implcitas" que debe cumplir todo softw are hecho profesional-
mente aparte de su realizacin segn unos determinados estndares. Es decir, que
 www.FreeLibros.me
f A fflllO I*. AtPtTOKlA IX. LACA1JUAO V>

*iem\ de cumplir con la* especificaciones que no t u dado el d ie n te o el usuario,

rte cumplir con otras caractersticas que se dan por sobreentendido que estn dentro
del "saber hacer" de un buen profesional y que no estn especficamente explcitada.

En muchas ocasiones, esta circunstancia no se da. y algunos desarTolladores de

dolosa profesionalidad se parapetan tras la frase: "de eso n o se dieron
eyecificacioncs". para ocultar una falta de previsin o una carencia de habilidad para
Atener del usuario en Ixs entrevistas la informacin necesaria para com pletar y
cceplemcntar los requerimientos funcionales.

16.3. INTRODUCCIN

Al decidir acometer la realizacin de un producto softw are, deberemos hacer una

(lanificacin, y entre otros, habr que hacer un Plan d e Calidad especfico para ese
producto.

En el centro de produccin de softw are, deber haber un Plan General de Calidad

* el que estarn las especificaciones para poder definir cada uno de los Planes
Bpcdfkos de nuestros desarrollos en fu ndn d e k atributos de Calidad que
deseamos implementar en d software.

En este Plan se definen la actividades de Calidad que se tienen que realizar, en

<f* momentos tiene que intervenir la funcin de Aseguramiento de la Calidad, que a
dferencia del Control de Calidad intervendr proponiendo y supervisando los
procesos de calidad a realizar en la fase de generacin de los distinto componente,
herencia a estndares, y la intensidad de aplicacin d e la misma segn la crticidad
de los productos y el nivel de riesgos que se haya encontrado en la evaluacin del

Dentro de este captulo, como no podra ser menos, nos vamos a referir a una
Ke de norma que afectan a su contenido, y en algunos casos incorporaremos
ripeo de sus prrafos o apartados completos.

En el caso de los procesos de revisiones de calidad, tenemos la norma IEEE

S an tal 1028 for Software Rcvicws and Audils.

El objeto de esta norma e s definir los requerimientos para los procesos de

Rrifl y auditora. No est dentro d e su cometido el establecer cundo se necesita
catar un proceso d e revisin o d e auditora, quedando determinado este aspecto
la Calidad especficos d e cada
 www.FreeLibros.me
W AIHWICWU lsroVtST>C,A UNEXFOQll! PUAdlCO

lin dicha n o m u d a las siguientes definiciones:

16.3.1. R evisin

Hs una evaluacin del elem ento o elementos software o estado del proyecto que
investiga las discrepancias con los resultados planificados y las mecm
recomendadas. Esta evaluacin sigue un proceso formal (por ejemplo, proceso de
revisin de gestin, proceso de revisin tcnica, proceso de inspeccin de softw ,o
proceso de walkthrough).

16.3.2. E lem en to so ftw a re

Es un producto entregablc o un documento producido durante el proceso o

adquirido durante el desarrollo o mantenimiento del softw are. Algunos ejempta
pueden ser:

1. Documentos de Planificacin del proyecto (por ejemplo, planes del desairfle

del softw are y planes de verificacin y validacin del software).
2. Especificaciones de requerimientos y diserto del software.
3. Documentacin del esfuerzo de las pruebas.
4. Documentacin su m in istrare al cliente.
5. Cdigo fuente de los programas.
6. Representacin de las soluciones softw are impementadas en el firmware.
7. Informes (por ejemplo, revisiones, auditoras y estado del proyecto) y d*M
(por ejemplo, deteccin de defectos, pruebas).

1G.3. 3. A u d ito r ia
Es una evaluacin independiente de los procesos, los productos software, d
progreso del proyecto o el cmo se realii el trabajo, que investiga la coincidencia coa
los estndares, lineas gua, especificaciones y procedimientos basados en criteri
objetivos que incluyen k documentos que especifican:

1. I-a forma o contenido de k productos a producir.

2. Los procesos en los que los productos deben ser producidos.
3. Cm o debe ser medida la adherencia con los estndares o lneas gua.
 www.FreeLibros.me
t u __________________________________ CAftTVLO 16: At'PTTOUlA IX. U CALIDAD >65

Tambin incluimos otras definiciones segn la EEA 1.

16.3.4 Concepto de evaluacin segn la E E A 1

Es el proceso de recoleccin y anlisis, de informacin, y a partir de ella presentar

las recomendaciones que facilitarn la toma de decisiones, luis decisiones resultantes
de esta evaluacin o valoracin pueden dar lugar a:

Autorizacin para proceder con un proyecto.

Aprobacin para incluir en las listas a nuevos contratistas o sumhistradores.
Defensa de la aprobacin de un contratista.

16.3.5 Concepto de Auditora segn la E E A '

Es una herramienta de valoracin. Es un documento interpersonal d e examen y

u isis de evidencias objetivas. A los efectos del control de la calidad, una auditora
incluye vigilancia o inspeccin con el objeto de un control de calidad.

Debe reconocer que slo una muestra de la informacin disponible puede ser
examinada Que es importante que el tamafto d e la muestra de la auditora aporte la
confunda suficiente en las recomendaciones finales.

16.4. C A R AC TER STIC A S DE LA CALIDAD SEGN ISO 9126

Antes de detallar los Procesos de Calidad, vamos a describir lo* co n ponentes de

ma especificacin de calidad del softw are segn el modelo definido en la norma ISO
9126 y el modelo extendido ISO pora la Calidad del Software.

16.4.1. Caractersticas

Segn la citada norma ISO 9126. define las caractersticas de calidad como "Un
ccajunto de atribuios del producto software a travs de los cuales la calidad es descrita
y evaluada. Las caractersticas de calidad del software pueden ser pcecxadas a travs
de sshiplcs niveles de subcaractersticas.

Dicha norma define seis caractersticas:

Funcionalidad: Conjunto de atributos que se refieren a la ex iJen cia d e un

ccajunto de funciones y sus propiedades especificas. L as funciones son tales que
ampien unos requerimientos o satisfacen unas necesidades implcitas.

'Cirit to S c 4 n m Quility AuJ Je U ERA. (Kkcuonx Enjr.wnr.f Asmucxa).

 www.FreeLibros.me

Fiabilidad: Conjunto d e atributos que se refieren a la capacidad del so frw de

mantener su nivel de rendim iento hajo unas condiciones especificadas duran* m
perodo definido.

Utabilidad: Conjunto d e atributo que se refieren al esfuerzo necesario pan

usarlo, y sobre la valoracin individual de tal uso. por un conjunto de utiurio
definidos o implcitos.

Eficiencia: Conjunto de atributos que se refieren a las relaciones entre el nivd de

rendim iento del softw are y la cantidad de recursos utilizados bajo unas condiciona
predefinidas.

M anienibilidad: Conjunto d e atributos que se refieren I esfuerzo necesario pan

hacer modificaciones especificadas.

Portabilidad: Conjunto de atributos que se refieren a la habilidad del software

pora ser transferido desde un entorno a otro.

l- i norma incluye un anexo en el que desglosa en un conjunto de

subcaractersticas cada u iu de las caractersticas anteriormente citadas. F.ste aneio
puede considerarse informativo y no como parte oficial del estndar ISO 9126.

El prefijo sub nos hacc destacar un importante aspecto del modelo ISO 9126: U
calidad e s modelizada en form a jerrquica. En la figura adjunta se incluye un
representacin de este modelo jerrquico.
 www.FreeLibros.me

16.4.2. Modelo ISO Extendido

El modelo ISO Extendido incluye al modelo ISO 9126 adicionando doce

caracterstica* ms. segn ve expone en la figura adjunta.

La valoracin de esta caractersticas es til para que el usuario pueda definir los
requerimientos del producto utilizando solamente las caractersticas que emplee en la
prctica

Para algunos tipos de productos, hay determ inadas caractersticas que no son
tignificativas. y las restantes no garantizan que con ellas comprendan lodos los
requerimientos de los productos, por lo que en cada caso habr que completarlas con
otras definiciones ms especficas para esos productos o situaciones.

N o obstante el modelo nene el nivel de abstraccin suficiente com o para que sea
adaptable en la mayora de las situaciones, siendo, adems, independiente d e la
enologa.

Las caractersticas no pueden ver cuantificada* com o tales, y para cuantificarlas

i alguna form a, usaremos los Indicadores".

Para usar los indicadores, deberemos definir un "Protocolo'', d e forma que

mediante dicho protocolo podamos establecer la medida de la caracterstica repetibk.
Ee protocolo nos describir los posos que hay que dar para conseguir obtener esta
cedida de forma tal que en las mismas situaciones obtengamos idnticos resultados.
 www.FreeLibros.me
<6i AUXIOXU INIOHMTICV UXI.MOQCI HtAcnCU CIlka

Los indicadores que v : describen en d modelo ISO Extendido. sirven como puno
de partida, no queriendo decir que esa lista sea completa. En ella se pretendes
presentar ideas para poder definir las especificaciones de calidad, siendo mey
importante seleccionar los indicadores que mejor se ajusten a la situacin de nuestro
proyecto o producto.

El protocolo de medida tiene como objetivo el reproducir los resultados de las

mediciones de los indicadores. Segn se ha indicado anteriormente, al describir k
requer miemos de la calidad del softw are, se corre el peligro de una interpretacMi
subjetiva del significado de calidad. Es. por tanto, de gran importancia acordar de usa
forma clara cm o medir los indicadores d e forma que esta medida a reprodcele
con los mismos resultados.

Ejemplo':

Si deseamos medir el atributo Facilidad d e a p re n d iza je , que pdeme* definir

como el esfuerzo de los usuarios para aprender a manejar una aplicacin.

Podramos hacer una cuantificacin fcil, si pudiramos medir de una forma

objetiva un factor de Facilidad de aprendizaje d e 7 sobre 10. pero ste n o sera retr
descriptivo ni til.

Podemos buscar un indicador d e este atributo que estuviera presente en el

producto software. Este indicador debe estar acompaado del Protocolo d e mcdxii
que describa los pasos a dar para asegurar la repetitis idad d e la medida.

En este ejemplo hemos tomado como indicador el tiem p o m edio d e aprendizaje,

siendo el tiempo promedio que el usuario final de un determinado grupo necesata para
aprender a trabajar con el producto softw are, m is el tiem po necesario d e tutelaje.

El protocolo sera:

1. Seleccin de un grupo representativo de usuarios.

2. Preparacin de un curso para este grupo, diseado para este producto software,
o dar a este grupo la oportunidad de auto-enseanza del producto.
3. Definicin del tiempo del curso o d e la auto-cnscfanza. ms el tiempo de
tutelaje necesario para conseguir su manejo o pasar con xito un test.
4. Clculo del nmero medio de horas.

1 "Spesifyinf toftwvr quafaty ntrndrd ISO modcf R H J Van Z*i*l 1 PRJl

HcJnA (Soft* areQulily Juuiful)
 www.FreeLibros.me
m w ___________________________________c a K r i lo 16 AunirrwA o f ia c a u p a d m

Los valores obtenidos de las caractersticas se pueden representar en un diagrama

de Kivial segn se muestra en la figura, en el que en cada radio nos mostrara el valor
de una caracterstica.

El valor de los indicadores depende del propsito de la especificacin de calidad,

podiendo definirse diferentes valores. Es aconsejable usar una plantilla con estos
alores. A continuacin se expone un pequeo ejemplo de este tipo de plantilla'.

Peor: El peor lmite aceptable d e la escala, tal como un fallo total del sistema.

P lanificado: Valor esperado del indicador que se considera un xito.

R cord: Mximo valor terico o prctico d e un indicador, valor lmite pero no un

requerimiento esperado.

A ctual: Valor actual del indicador en el sistema que se est considerando a

efectos de posibles comparaciones.

I"T. GtfelAddivoe-Wnky
 www.FreeLibros.me
*> At IHTOtUA INTOKMTKA l'N tMOQUi PRACTICO

Com o experiencia prctica del uso del modelo ISO Extendido tenemos b
realizada por las compaas participante* en el proyecto QUINT (Quality in
Information Technology)* cuyo primer proyecto empez en 1991. siendo su objetivo
el desarrollar un modelo y una gua para las especificaciones de calidad del software,
participando todas las panes involucradas en la negociacin sobre los requerimientos.

FJ segundo proyecto QU IN T expandi los resultados del prim ero. En <1

participaron seis com paas bajo la direccin de los institutos d e investigacin SERC.
TN O/TPD y FPKJM.

ie.5. O B JE TIV O S DE LA S A UDITORAS DE CALIDAD

Una auditora de Calidad tiene como objetivo el mostrar la situacin real pan
aportar confianza y destacar las reas que pueden afectar adversamente esa confianza.

Hay varas razones para realizar una auditora:

Establecer el estado de un proyecto.

Verificar la capacidad de realizar o continuar un trahajo especfico.
Verificar qu elementos aplicables del programa o Plan de Aseguramiento de
la Calidad han sido desarrollados y documentados.
Verificar la adherencia de esos elementos con d programa o Plan de
Aseguramiento de la Calidad.

El propsito y la actividad de la auditoria es recoger, examinar y analizar b

informacin necesaria para tomar las decisiones de aprobacin.

La auditora debe tener capacidad para investigar la pericia tcnica, el desarrollo

del software o la capacidad del departamento de desarrollo, el esfuerzo disponible, el
soporte del mantenimiento o la efectividad de la gestin.

En las auditoras debe acordarse el dirigirse a criterios especficos tales como la

realizacin del cdigo software.

Cuando se identifiquen los puntos dbiles, los auditores debern tomar una
actitud positiva y utilizar sus conocimientos y experiencia para hacer recomendaciones
constructivas. En realidad, una funcin del auditor e s pactar la idoneidad de cualquier
accin correctiva propuesta. Este papel, si e s usado adecuadamente, es uno de los
vnculos ms valorados entre las pones.

4"QUIVT Htl prom m >h>are-taatawil''. Kluon Boirijf\m<hppcn. D n n M . Ihe

NcthTlwlv ISBN 90 26? ISO X 11992)
 www.FreeLibros.me
CAPfTVLO It. AUDITORA DE L< CALIDAD fJI

16.6. PROCESOS DE CALIDAD

En el enlom o econmico actual, la caracterstica ms impenante e s la

competitividad. lo que quiere decir que los precios a los que ofrezcamos nuestros
productos a nuestros clientes deben ser iguales o m s bajos que los de la competencia,
pero con una calidad ms alta. Para conseguirlo es necesario tener una estructura de
costes adecuada y disponer de una estrategia de Calidad que afecte a todfs las reas de
it entidad u organismo.

Para satisfacer los requisitos de calidad es necesario conocer las Necesidades del
Chente. stas vienen dadas por estos tres parmetros:

Calidad de los productos y servicios.

Plazo de entrega adecuado.
Coste dentro de los lim ites fijados.

El establecim iento de acuerdos de Nivel de Servicio y el cumplimiento de sus

Kqutnimentos le dar un determinado grado de satisfaccin, que Jetaremos saber
Kdsr sobre todo una vez. pasado el perodo de estabilizacin del producto entregado.

lina de las principales caractersticas de los procesos de calidad es It repetitiv id*d

e tos mismos. Todo proceso debe estar suficientemente definido ccmo para que
puU v:r repetido consiguiendo los mismos resultados cada vez que se realice el
sismo proceso. I j idea "Sigm a" est unida a la variabilidad de un proceso.

Una vez alcanzada esta repetitividad de los procesos y teniendo ekm entos para
ncds los atributos de los producios obtenidos, trataremos d e ir refinando el modelo
del proceso para reducir los defectos entregado (definiendo defecto ccmo cualquier
variacin de una caracterstica estableada que origina el incum plinicnto de las
xcesidadcs del cliente con la consiguiente insatisfaccin del mismo).

Como se ha indicado anteriormente, las revisiones y las auditoras pueden usarse

pr actividades de aseguram iento de la calidad, gestin de proyectos, gestin de la
ccaigvacin o funciones de control singulares.

Segn el estndar IEEE 1028. incluimos una tabla en la que se seiValan los
prcipales Procesos para conseguir Objetivos d e Calidad.
 www.FreeLibros.me
XJl AMMTORU INFORMATICA UNKXKXXJHfHACIKX)_______________________

Principal* Proceso pana c onseguir O bjetivos d e C alidad

Inspecciones. Waltilirougli

Tam bin en la figura siguiente se relie; la relacin entre proceros y prodixtoi

dentro de la actividad de Aseguramiento d e la Calidad.

Relacin entre Procesos S Q A con Productos y Proyectos

P R O D U C TO P R O Y EC TO
/' \
>

Pruebas Revisn Tcnica

Simulaciones Inspeccin Software Revisin

Pruebas formales Walkthrough de Gestin

Auditora
V y

AM BOS

El examen de los aspectos tcnicos y de gestin se realiza en varias fases duran*

el ciclo de vida del proyecto. E l resultado son controles para permitir mejorar les
mtodos y asegurar la calidad del software y la posibilidad d e conjugar bi
restricciones de tiempo y coste. La evaluacin de los elementos softw are se realizi
durante la generacin de esos elementos y a su trmino. Esto asegura que 1
elementos terminados expresan correctamente las especificaciones d e su "lnea base".
 www.FreeLibros.me
C A F Ia iO lt W D ITO M lltU CA U W D )

Cualquier proceso estndar licne uims condiciones como prerrequisiias: %tas son
*cccsjn*s. aunque no .son suficientes en si mismas para que el proceso quede
completado. Para las revisiones las auditoras las condiciones son:

P rtrrequW tos en los Procesos de Revisin

t i objetivo de una Revisin de un elemento softw are ex evaluar el software o el

nudo, del proyecto para identificar las discrepancias sobre los resultados planificados
y recomendar mejoras cuando sea apropiado.

En la figura de la pgina siguiente se reflejan los prerrequisitos del Proceso de

Revisin.

El objetivo de la auditora del Softw are es suministrar una evaluacin objetiva de

tos productos y los procesos para corroborar la conformidad con los estndares, las
lineas gua, las especificaciones y los procedim ientos. Los siguientes requerimientos
oo prerrequisitos para conseguir c a e objetivo:

1. O bjetivo de la auditora, criterios existentes (por ejem plo, contratista*,

requerimientos, planes, especificaciones, estndares) e n relacin con los
elementos softw are y los procesos que puedan ser evaluados.

2. El personal de auditora ex seleccionado para promover los objetivos del

grupo. Son independientes d e cualquier responsabilidad directa para los
productos y los procesos examinados y pueden prosenir de una organizacin
extema.

3. El personal de auditora debe tener la suficiente autoridad que k permita una

adecuada gestin con el fin de realizar la auditora.
 www.FreeLibros.me

En la figura de la pgina u guente vr incluye una descripcin esquemtica de!

procedimiento a utilizar pora pUnificar, preparar y realizar cualquier proceso de
revisin o de auditora, segn el estndar IIF.E 1028.
 www.FreeLibros.me

16.7. EL PROCESO DE AUDITORA D EL SOFTW ARE

I. Objetivo. Segn se ha indicado es proveer la confirmacin de U conformidad

de lo* producios y los proceso* para certificar la adherencia con los esundares. lneas
fsa. especificaciones y procedimiento*.
 www.FreeLibros.me
At/MTORlA INFOKMTKA UN llVKXHI mCIlCO

2. Resumen. 1j auditora es realizada le acuerdo coa los planes >procedimiento*

documentados. E l plan de auditora establece un procedimiento para dirigir la
auditora y para la acciones, de seguimiento sobre las rccumendactoaes de la
auditora.

Al realizar la auditora, el personal de la auditora evala tos elementos software

y los procesos para contrastarlos con los objetivos y criterios de la auditora, tale*
como contratos, requerimientos, planes, especificaciones o procedimientos, lneas j* u
y estndares.

Los resultados de la auditora son documentados y remitidos al director de b

organizacin auditada, a la entidad iniciadora d e la auditora, y a cualquier
organizacin extem a identificada en el plan de auditora. El informe incluye una b ta
de elementos no conformes u otros aspectos pora las posteriores revisiones y acciones
Cuando sea estipulado en el plan d e auditora, las recomendaciones son informad e
incluidas e n los resultados d e la auditora.

3. Responsabilidades especiales. Es responsabilidad del lder del equipo de

auditora el organizar y dirigir la auditora y la coordinacin d e la preparacin de tos
puntos del informe de auditora. El lder del equipo deber asegurar que el equipo de
auditora e sti preparado para llevar sta, y que los procedimientos y lo* distintos
puntos son realizados y reflejados en los informes de acuerdo con su alcance.

1.a entidad iniciadora de la auditora es responsable pora autorizar sta. La

direccin de la organizacin auditora asume la responsabilidad d e la auditora, y la
asignacin de k>* recursos necesarios para realizar dicha auditora.

Aquellos cuyo productos y procesos son auditados suministrarn todos los

materiales y recursos relevantes y corregirn o resolvern las deficiencias citadas pe*
el equipo de auditora.

4. Entrada. Se requieren las siguientes entradas para realizar la auditora:

1. El propsito y alcance de la auditora.

2. Criterios objetivos Je la auditora, tales com o contratos, requertmenlas,
planes, especificaciones, procedim ientos, lneas gua y estndares.
3. Los elementos software y tos procesos a auditar y cualquier anteccdenlc
pertinente.
4. Informacin complementaria respecto a la organizacin responsable de kn
productos y los procesos a auditar (por ejemplo, organigramas de la
organizacin).

5. Criterio de comienzo. La necesidad para que una auditora se inicie debe ser
por uno de tos siguientes sucesos:
 www.FreeLibros.me
CAPTULO 16 AliDTTORtA PC LACAUDA WT

1. Se ha alcanzado un hito especial del proyecto La auditora e s iniciada por

planes previo (por ejemplo, el plan de aseguram iento de calidad, el plan de
desarrollo del software).
2. Panes externas (por ejemplo, agencias reguladores o usuarios finales)
demandando una auditora en una fecha especfica o en un hilo del proyecto.
sta puede ser por la realizacin d e un requerimiento de un contrato o como
prerrequisto a un acuerdo contractual.
3. Un elemento de la organizacin local (por ejemplo, el director del proyecto, la
direccin funcional, ingeniera de sistemas, aseguram iento o control interno de
la calidad) ha requerido la auditora estableciendo una necesidad clara y
especfica.
4. Un hito especial del proyecto, fecha d e calendario, u otro criterio ha sido
alcanzado y dentro de la planificacin de la organizacin de auditora le
corresponde la iniciacin de una auditora.

6. P roctdim itnM s:

6.1. Planificacin. La organizacin de auditora debe desarrollar y documentar

en plan de auditora para cada auditora. Este plan deber apoyarse en e l alcance de la
Mfctora identificando lo siguiente:

1. El proceso del proyecto a examinar (suministrado como entrada) y el tiempo

d e observacin del equipo de auditora.
2. Lo* requerimientos del softw are a examinar (suministrado como entrada) y
su disponibilidad. Cuando se usa el muestreo. debe utilizarse una metodolo
ga estadstica vlida al respecto pora establecer los criterios d e seleccin y
el tamaAo de la muestra.
3. Los informes sern identificados (informes de resultado, y opcional mente el
informe de recomendaciones y definido su formato general). Si la* reco
mendaciones son requeridas o excluidas, debe ser indicado explcitamente.
4. Distribucin de informes.
5. Requerim ientos d e las actividades de seguimiento.
6. Requerimientos: actividades Recesaras, elementos y procedim ientos para
cubrir el alcance de la auditora.
7. Objetivos y criterios de auditora: proveen las bases para determinar las
coincidencias (suministradas como entrada).
8. Procedim ientos de auditora y lisias de comprobacin.
9. Personal de auditora: nmero requerido, perfiles, experiencia y respon
sabilidades.
10. Organizaciones involucradas en la auditora (por ejemplo, la organizacin
cuyos productos y procesos estn siendo auditados).
11. Fecha, hora, higar. agenda y la audiencia a quien se dirige la sesin de
introduccin (opcional).
 www.FreeLibros.me

El lder del equipa le auditora au g u ra r que su equipo est preparado e incluye

los miembros con la experiencia y pericia necesaria.

1 _a notificacin de la auditora a las organizaciones involucradas debe rca

con una anterioridad razonable, excepto en el caso de las auditoras no anunciadas La
notificacin deber ser hecha por escrito y deber incluir el alcance la idcntifkaota
d e los procesos y productos a auditar, asi com o la identificacin de los auditores.

6.2. Introduccin. Opcionalm ente es recomendable hacer una reunita

introduclora con la organizacin a auditar en el momento del arranque para cxaaniftx
las fases de la auditora. La reunin de introduccin encabezada por el lder dd
equipo de auditora, abordar lo siguiente:

1. Introduccin sobre los acuerdo existentes (por ejemplo, alcance de U

auditora, planificacin, contratos afectados).
2. Introduccin de la produccin y procesos a ser auditados.
3 Introduccin del proceso de auditora, su objetivos y sus salida.
4. Contribuciones esperadas de la organizacin auditada al proceso de audrtor
(nmero de persona a entrevistar, facilidades para reuniones, etc.).
5. Planificacin especifica d e la auditora.

6.3. P rep arac i n . Los siguiente puntos son requeridos pura la preparacin dd
equipo de auditora:

1. Entender la organizacin: e esencial para identificar las funcione y Ui

actividades realizadas por la organizacin auditada, a s como para identifioe
la responsabilidades funcionales.
2. Entender los productos y los procesos: e s prerrequisito para el equipo de
auditora conocer los proceso y los productos a auditar mediante lecturas c
informe.
3. Entender los objetivos y criterios de la auditora: es importante que el equip
de auditora est familiarizado con e l objetivo d e la auditora y los criterios
usados en ella.
4. Picpw scta paia el infueme de auditoria: e s impunarae seleccionar d
mecanismo administrativo de informacin que ser usado durante la auditora
para ir confeccionando el informe siguiendo el diseo determinado en el pUr
de auditora.
5. Detalle del plan de auditora: seleccionar el mtodo apropiado para cada paso
en el programa de auditora.

Adicional mente el lder del equipo d e auditora deber hacer los preparamos
necesarios para:
 www.FreeLibros.me
ca OTv l u i auihtoh U w . i a CALIDAD 1>V

1. Orientar a su equipo y formarlo si es necesario.

2. Preparar lo necesario para las entrevistas d e la auditora.
3. (reparar los materiales, documentos y herramientas necesarias segn los
procedimientos de auditora.
4. identificar los elementos software a auditar (por ejemplo, documentos,
archivos informticos, personal a entrevistar).
5. Planificar las entrevistas.

6.4. E xam en. Los elem entos que han sido seleccionados para auditarse debern
valorados en relacin con el objetivo y criterios d e la auditora. Las evidencias
debern ser examinadas con la profundidad necesaria para determinar si esos
elementos cumplen con los criterios especificados.

l a auditora ser la adecuada para conseguir:

1. Revivar los procedim ientos e instrucciones.

2. Examinar la estructura de descomposicin de los trabajos.
5. Examinar las evidencias de la implantacin y lo equilibrado del control.
4. Entrevistar al personal para averiguar el estado y el funcionamiento d e los
procesos y el estado de los productos.
5. Examinar cada documento.
6. Comprobar cada elemento.

6.5. Inform es. A continuacin del examen d e auditora, el equipo auditor deber
cutir un borrador del informe de auditora a la organizacin auditada pora su revisin
y comentarios.

El equipo auditor podr rehacer el informe de auditora ames de que se tenga el

multado formal del informe. Estas adaptaciones se harn de acuerdo con la revisin
del borrador del informe y resolvern cualquier mal entendido o ambigedad mientras
k mantiene la objetividad y exactitud. Esto tambin sirve para asegurar la fcil
utilizacin del informe dndole consistencia en los detalles c incluyendo cualquier
xva informacin verificada. 1.a prctica rccontendada es involucrar a los
Kprtseniantes de la organizacin auditada en la revisin de los resultados de la
loria.

Involucrando a la organizacin auditada se contribuye a mejorar la calidad del

iefotrae mediante la interaccin y la posible aportacin de cualquier evidencia
dkwoal.

El grupo de auditora organizar una conferencia posterior a la auditora para

to iu r con los tcnicos de la organizacin auditada las deficiencias, fallos y (si es
ipbcabie) las recomendaciones. Los comentarios y los puntos abordados por la
organizacin auditada, debern ser resueltos.
 www.FreeLibros.me
W) AIDCTOHU INHWMTK'A: tN KVPOQtT. PKACTKXI

hi informe final de la auditoria debe ser preparado, aprobtdo y distribuido pcc d

lder del equipo de auditora a las organizaciones especificadas en el plan d e auditori*

6.6. C rite rio d e term in aci n . Una auditora debe -ser considerada temutali
cuando:

1. Se ha examinado cada elemento dentro del alcance de la auditora.

2. Ix>s resultados han sido presentados a la organizacin auditada.
3. La respuesta al borrador de los resultad ha sido recibda y evaluada.
4. El resultado final ha sido formalmente presentado a la organizacin audiiadiy
a la entidad iniciadora.
5. F.l informe final ha sido preparado y enviado a los receptores designados d
plan de auditora.
6. El informe de recomendaciones, xi el plan lo requiere, ha sido preparai) y
enviado a los receptores designados en el plan de auditora.
7. Se han realizado todas las acciones de seguimiento incluidas en el alcance de
la auditora (o en el contrato).

6.7. Salidas. Com o un marco estndar para los informes, el informe borrador de
auditora y el informe final d e auditora, debern contener como mnimo, lo siguiente:

1. Identificacin d t la auditora. T tulo del informe, organizacin auditada,

organizacin auditiva y fecha d e la auditora.

2. Alcance. Alcance de la auditora, incluyendo U enumeracin de ka

estndares, especificaciones, prcticas y proccdimieitos que constituyen a
objetivo y el criterio contra el cual ser dirigida la auditora de los elemento
softw are y de los procesos a auditar.

3. Conclusiones. Un resumen e interpretacin de los resultados de la auditori!

incluyendo los puntos clave d e los aspectos no confom es.

4. Sinopsis. Un listado de to dos los elementos software auditados, los procesos y

los elem entos asociados.

5. Seguimiento. El tipo y el cronograma de las actividad:* de seguimiento de b

auditora.

Adicionalm ente, cuando lo estipule el plan d e audilori. las recomendaciones

debern enviarse a la organizacin auditada o a la entidad que inicie la auditora, l.as
recomendaciones irn en un informe separado de lo* resultado.

6.8 A u d ib ili d a d . L os materiales que documentan el proceso de auditora deben

ser mantenidos por la organizacin auditor durante un perodo estipulado despus de
la auditora c incluyendo lo siguiente:
 www.FreeLibros.me
CAffTVIjO 16. AllOtTOftlA DCLACAUPAD Ml

1. Todos los programas de trabajo. listas d e comprobacin, ele. con todos mis
comentarios.
2. El equipo de tcnicos.
3. Com entnos de las entrevistas as como d e las observaciones.
4. Evidencias de prueba* de conformidad.
5 Copias de los elem entos examinados con sus comntanos.
6. Informes borradores con las respuestas d e la organizacin auditada.
7. Memorndum del seguimiento si es necesario.

16.8. AUDITORA DE SISTEM AS DE CALIDAD DE SO FTW AR E

Kl propsito de la auditora de un Sistema de Calidad, o un programa de

evaluacin le la calidad, es suministrar una valoracin independiente sobre la
conformidad de un H an de Aseguramiento d e la Calidad del Software.

Especficamente el objetivo e s determinar, basndose en ev idencias observables y

verificables. que:

1. La documentacin del programa de calidad del softw are establecida por la

organizacin de desarrollo recoge como mnimo los elementos bsicos del
estndar ANS1/1EEE 730 u otro estndar apropiado.
2. La organizacin de desarrollo del softw are sigue el programa de calidad de
software por ellos documentado.

El Plan de Aseguramiento de la Calidad del Software debe incorporar lodos los

objetivos y los criterios de actuacin organizativos: estndares internos y
procedimientos; procesos requerid por la legislacin, contratos u Mras polticas;
conformidad con el estndar ANS1/1EEE 730 u otro estndar apropiado para el
aseguramiento de la calidad del software.

16.9. PROCESO DE ASEGURAM IEN TO DE LA CALIDAD

DESCRITO POR ISO 12207

Para realizar cualquier proceso d e auditora, e s im prescindible conocer la

actividad que se va auditar, por tanto, n o debe extraar al lector que vayamos
Kcreliando descripciones de los procesos de calidad y los de desarrollo a lo largo del
texto, en este caso k> que al respecto describe la norma ISO 12207.

La nonna ISO/IEC 12207 "Information icchnotogy - Software life eyele

processe*" 1995. no podrame dejar de citarla en este captulo, y a que es una
portante norma para el proceso de desarrollo del softw are y para los procesos de
calidad
 www.FreeLibros.me
m AlDUOUlA INKMtMXTKA: UNESTOQUE WACTKO

En la figura anterior se muestra la estructura de dicha n o rn a en la que vemos los

Proces* Primario del Ciclo de Vida, los de Soporte y los Organizativos. E l nmero
que figura antes de cada proceso corresponde al apartado donde se describe el mismo
e n la norma.

De ella vamos a describir dos de los procesos ms relacionado* con nuestro tema,
como son el Proceso de Aseguramiento d e la Calidad y el Proceso de Auditora, que
consideramos que contribuyen a completar una perspectiva ms amplia del tema que
nos ocupa.

El apartado 6.3 relativo a los Procesos de Aseguramiento de la Calidad dice:

l/y s Procesos de Aseguramiento d e la Calidad .sirven para suministrar la

seguridad de que durante el ciclo de vida del proyecto los productos y los procesos
estn de acuerdo con los requerimientos especificados y se adhieren a los planes
establecidos. Al ser imparcial, el aseguramiento d e la calidad necesita tener libeitad
organizativa y autoridad de las personas directamente responsables del desarrollo de
los productos softw are o los que realizan los procesos en el proyecto. B
aseguram iento d e la calidad puede ser interno o externo. Ccpendiendo de si la
evidencia de la calidad de los productos o los procesos se va a demostrar a la direccin
del suministrador o al cliente. El aseguram iento de la calidad puede hacer uso de los
resultados de otros procesos d e Soporte, tales como Verificacin. Validacin.
Revisiones Conjuntas. Auditoras y Resolucin de Problemas.

Este proceso de aseguram iento d e la calidad se compone de las cuatro actividades

que describimos a continuacin:
 www.FreeLibros.me
b M'mrOKlA DE IA CM.I1>M> W.>

16.9.1. Implementacin del proceso

Esta actividad tiene I siguiente* tafea*:

El proceso de aseguramiento de ln calidad debe establecerse adaptado al

proyecto. Los objetivo de este proceso d e aseguram iento de la calidad sern
asegurar que los productos software y los procesos utilizados para conseguir
esto* producto softw are cumplen con lo requerimiento* establecido y se
adaptan a los planes previstos.

Los procesos de aseguram iento d e la calidad deben ser coordinados con los
procesos indicados tic Verificacin. Validacin. Revisin Conjunta y
Auditoria.

El plan para dirigir lo* procesos, actividades y tarea* de aseguram iento de la

calidad debe ser desarrollado, documentado, implemcntado y mantenido
durante el tiempo de duracin del contrato. Este plan deber incluir lo
siguiente:

a) Estndares de calidad, metodologas, procedim ientos, y herramientas para

realizar las actividades de aseguram iento de la calidad (o sus referencias a
la documentacin oficial de la organizacin).
b) Procedim iento para la revisin y coordinacin del contrato.
c> Procedim ientos para identificar, recoger, cumplimentar, mantener y
acceder a lo registros de calidad.
d) Recursos, planes, y responsabilidades para dirigir las actividades de
aseguram iento de calidad.
e) Determinada* actividades y tareas de los procesos de soporte, tales como
Verificacin. Validacin. Revisiones Conjuntas. Auditorias y Resolucin
de Problemas.

1j s actividades y larcas planificadas de aseguram iento de la calidad deben

realizarse. Cuando son detectados problem as o no conformidades con los
requer miento* contractual, deben *cr documentados y ser* ir de enerada al
Proceso de Resolucin de Problemas. Deben prepararse y mantenerse los
registros de estas actividades y larcas, su realizacin, los problem as y su
resolucin.

Los registros de las actividades y u rea s de aseguramiento de la calidad deben

estar disponibles al cliente as como especificado en el contrato.

* Deber cerciorarse de que las personas responsables de asegurar la

concordancia con los requerimientos del contrato tienen la libertad
 www.FreeLibros.me
4 AtpfTiXIA INKMtMTlCA lN F.MOQtJfc mACTICO

organizativa, los recursos y la autoridad para permitir evaluaciones objetvate

iniciar, efectuar, resolver y verificar la resolucin de problemas.

16.9.2. Aseguramiento del producto

Esta actividad tiene las siguientes tarcas:

Deber asegurar que aquellos planes requeridos por el contrato Un

documentados, cumplen con el contrato, son mutuamente consistentes, y eslia
siendo ejecutados com o se requiere.

Deber asegurar que aquellos productos softw are y su documentacin

cumplen con el contrato y estn d e acuerdo con los planes.

En la preparacin para el i ministro de los productos software, deber*

asegurarse de que satisfacen completamente los requerimientos contractuales
y son aceptables para el diente.

16.9.3. Aseguramiento del proceso

Esta actividad tiene las siguientes tareas:

Deber asegurar los procesos del ciclo de vida del softw are (suministro,
desarrollo, operacin, mantenimientos y opone, incluyendo el aseguramiento
de la calidad) em pleados para que el proyecto est de acuerdo con el contrato
y se ajuste a los planes.

Deber asegurar que las prcticas intentas d e ingeniera de softw are, entorno
de desarrollo y libreras estn d e acuerdo con el contrato.

Deber asegurar que los requerimientos aplicables del contrato principal sen
pasados al subcontratista. y que los productos softw are del subcontratisu
satisfacen los requerimientos del contrato principal.

Deber asegurar que al cliente y a las otras parte se le aporta el soporte y la

cooperacin requeridos de acuerdo con el contrato, las negociaciones y los
planes.

D eber asegurar que los productos software y los procesos medidos estn de
acuerdo con los estndares y procedim ientos establecidos.
 www.FreeLibros.me
CaHTMjO 16: AUDITORIA Dt LACAUDA!) M

D eber asegurar que el personal tcnico asignado tiene el perfil y los

conocimientos necesarios para conseguir cumplir los requerimientos del
proyecto y que recibe la formacin que pudiera necesitar.

16.9.4. Aseguramiento de la calidad de los sistemas

Esta actividad tiene la siguiente tarea:

Las actividades adicionales d e gestin d e calidad debern asegurar su

concordancia con la clusula de ISO 9001 segn especifique el contrato.

16.10. PROCESO DE AUDITORA D ESC RITO POR ISO 12207

El proceso de auditada sirve pora determinar la adherencia con los reque

rimientos. lo s planes y el contrato cuando e s apropiado. Este proceso puede ser
trapicado por cualquiera de las dos partes, donde una de ellas (parte auditora) audita
los productos softw are o lav actividades de la otra parte (parte auditada).

Etfc proceso se compone de dos actividades:

16.10.1. Implementacin del proceso

Etfa actividad tiene las siguientes tareas:

Las auditoras deben realizarse en determinados hitos, segn lo especificado

en los planes del proyecto.

El personal auditor no debe tener ninguna responsabilidad directa en los

productos softw are ni en las actividades que auditan.

Todos los recursos requeridos para llevar la auditora deben ser pactados por
las partes, stos incluyen personal d e soporte, locales, hardware, software,
herramientas y elementos complementarios.

Las partes debern ponerse d e acuerdo en cada auditora sobre: agenda:

productos software (y resultados de las actividades) a revisar, alcance d e la
auditora y procedim ientos; y criterios de comienzo y de terminacin de la
auditora.

Los problemas detectados durante la auditora deben ser registrados y tratados

en el Proceso de Resolucin de Problemas.
 www.FreeLibros.me
M'DHOOlA INFORMATICA: l~S fcNTOQlT PKAfTKX___________________________ t m

Despus de completar la auditora, los resultado de sta deben set

docum enudos y entregados a la parte auditada, quien deber acusar recibo a U
parte auditora de cualquier problema detectado en la auditora y en la
resolucin de problem as planificada.

* Las partes debern p onerte de acuerdo sobre los resultados de la auditor y

sobre cualquier punto de accin, responsabilidades y criterios d e ciee.

16.10.2. Auditora

lista actividad tiene la siguiente u rea:

1.a auditora deber ser dirigida para asegurar que:

a) l.o \ productos softw are codificados ( u l como un elem erto softw are) reflejara
lo disertado en la documentacin.

b) 1-Os requerimientos de la revisin ele aceptacin y de prjeba* prescritos por la

documentacin son adecuados pora la aceptacin de los productos software.

c ) Los datos d e prueba cumplen con la especificacin.

d> Los productos softw are fueron sucesivamente probados y alcanzaron sta
especificaciones.

e ) Los informes de pruebas son correctos y las discrepancias entre los re su lu fo

conseguidos y lo esperado han sido resueltas.

0 l-a documentacin del usuario cumple con los estndares tal como se tu
especificado.

g) Las actividades han sid o llevadas de acuerdo con los requerimientos

aplicables, los planes y el contrato.

h) El coste y el cronograma se ajustan a los planes establecidos.

16.11. CON CLUSION ES

liem os pretendido hacer una semblanza d e los aspectos que consideramos ms

importantes para hacer una Auditora de Calidad, tratando de soportarlos en diversos
estndares y norm as que en la mayora de los casos hemos insertado traducindolos
directamente de las mismas para no adulterarlos con una posiMe subjetividad. Con
 www.FreeLibros.me
CMmiX ) Ifc AtPtKMtlA I. LACAUDA!) un

esto convide ramo* que nos puede permitir tener una visin inv amplia a travs le los
distintos enfoque* que ilan d ic h normas sobre las Auditoras de Calidad.

Aunque somos conscientes de que el abordar una auditora slo con este bagaje
no es suficiente. Un buen auditor en Tecnologas de la Informacin necesita tener una
pila experiencia en las distintas funcione de dicha actividad, estar muy al da en las
distintas metodologas, procesos y herramientas que se emplean, d e forma que le sea
fcil detectar los defectos en los planes, en los productos y en los procesos, as como
esur capacitado para poder proponer recomendaciones.

Reconocemos que no e s una tarea fcil, pero precisamente por e llo es altamente
gratificante el alcanzar un xito que satisfaga los intereses, en muchas ocasiones
contrapuesto*, de las partes involucradas, consiguiendo de la entidad auditada el
reconocimiento de la profesionalidad del auditor al conseguir detectar los problemas
existentes y proponer soluciones, y de la p an e que promovi la auditora el conseguir
que se pueda conocer e n dnde residan los problemas que no permitan alcanzar los
objetivos deseables.

Pero debemos recordar que esta actividad n o e s un arte, vino una tcnica, y como
tal debe seguirse un orden y un mtodo en el que nada se da por supuesto si n o existe
una evidencia objetiva que lo acredita. En ese conjunto de evidencias se apoyaran
nuestras conclusiones, y de nuestra experiencia y b u n v h m - saldrn las
recomendaciones a proponer.

16.12. L EC TU R A S RECOM ENDADAS

Cohn. L. Inspeciion Moderaiors llandbook. Maynard. M . A: Digital Equipment

Corporation. 1991.

Freedman D. P. y W cinberg G . M. H andbooi o f W atkihrougtu. Intpccrioni. and

Ttchnical Revicn't. 1990.

ttlE 1028 "Standard for Software Rcviews and Audits.

16.13. C UES TIO N ES DE REPASO

I. Elabore su propia definicin d e "calidad".

2. Qu caractersticas de la calidad define la norma ISO 9126?

 www.FreeLibros.me
** .\H>ITORlA INtORMATK'A I M M m jlll IKCTKO

Objetivos de las auditorias de la calidad.

Qu prerrequisitos se exigen a los tcn

revisin?

Resuma las principales fases del proceso de auditora software.

Cmo se incluyen los procesos de auditoria en la iKma ISQ/IKC 12207?

Diferencias entre aseguram iento del producto y ascguiamicnto del proceso.

Elementos a incluir en un plan para el aseguram iento de la calidad.

Qu conocimientos se requieren para poder llevar a cabo con xito una

auditoria de la calidad?

10. Cm o explicara a un director de informtica las sentabas de llevar a cabo

una auditora de la calidad?
 www.FreeLibros.me

CAPTULO 17

AUDITORA DE LA SEGURIDAD
M iguel ngel Hamos Gonzlez

17.1. INTRODUCCIN

Para muchos la segundad sigue siendo el rea principal a auditar, hasta el pumo
de que en algunas entidades se cre nicialm entc la funcin d e auditoria informtica
p in revisar la segundad, aunque devpos se hayan ido ampliando los objetivos.

Ya sabemos que puede haber seguridad sin auditoria, puede existir auditoria de
ras reas, y queda un espacio de encuentro: la auditoria de la seguridad (figura I7 J).
y cuya rea puede ser mayor o menor segn la entidad y el momento.

Figura 17.1. Encuentro entre seg u rid a d ) auditoria

Lo cierto es que cada da es mayor la im p o rta n cia d e la inform acin, especial-

meate relacionada con sistemas basados en el uso de tecnologas de la informacin y
rooBOcacioncs. por lo que el impacto d e los fallos, la accesos n o autonzados. la
 www.FreeLibros.me
m Aim in m u FSHUIMATKA UN hNWQt'F. PUAtUTO

revelacin de la informacin, y oirs incidencias. tienen un impacto mocho mayor que

hace unos artos: de ah la necesidad de protecciones adecuadas que se evaluarn o
recomendarn en la auditora de seguridad.

(Tambin es cierto que en muctios casos tan necesario o ms que la proteccin de

la informacin puede ser que las inversiones en sistema y tecnologas de b
informacin estn alineadas con las estrategias de la entidad, huyendo del enfoque de
la tecnologa por la tecnologa .1

I j s rea* que puede abarcar la Auditoria Informtica las recoga el autor de es

capitulo en su tesis doctoral en 1990, y en lneas generales vienen a coincidir coa Ib
expuestas en esta obra.

En realidad, debemos ir hablando m de A u d ito ra en Sistemas de

Inform acin que slo de Auditoria Informtica, y n o se tra(a de un juego de palabra
sino de una actualizacin acorde con e l nuevo enfoque y las reas que llega a cubrir, y
lejos ya de la denominacin e n ingls que seguim os viendo en muebos libros y
artculos actuales -algunos citados en la bibliografa EDP Audit. auditora en proceso
electrnico de dalos (Electronic Data Processing).

La nueva denominacin abarca globalmenie los sistemas de informacin: desde b

planificacin, el alineamiento con las estrategias de las entidades, hasta los sistemas de
informacin y el aprovechamiento de las tecnologas de la informacin aporun
ventajas competitivas a la entidad, la gestin de los recursos, c incluso la medida Je b
rentabilidad de todo ello, que e s quiz el nico ponto que personalmente teta
cuando se nos sugiere a la hora de establecer objetivos de la auditora.

Algunas entidades tienen detallados sus costes en la contabilidad analtica, pero

cmo cuantificar en algunas semanas las ventajas y los beneficios -algunos
intangibles y difcilmente cuantificables- si la propia entidad no ha podido hacerlo en
(oda su existencia?

Com o se indica en la figura 17.2. adaptada de la obra d e Emilio del Peso y el

propio Miguel A. Ramos Confulencialidad y Seguridad de la Informacin: L
l.ORTAH y %ut aplicaciones socioeconmicas, la a u d ito ra viene a se r el c ontrol del
c ontrol. (Recordemos que LORTAD significa Ley Orgnica de Regulacin del
Tratamiento Automatizado d e Datos d e carcter personal.)

V olviendo a la seguridad, aunque solemos oir varias expresiones como segundad

informtica, seguridad de los sistemas y tecnologas de la informacin, seguridad -o
p roteccin- de la inform aci n , puestos a elegir, y sin llegar a descartar ninguna, nos
quedaramos con la ltima, ya que los datos y la informacin son los activos ms
estratgicos y valiosos relacionados con los sistemas y d uso de las tecnologas de li
informacin.
 www.FreeLibros.me

Figura17.2.Auditoracom
ocontroldelcontrol
La expresin seguridad informtica, que e s la ms usada, puede llegar a
relacionarse, slo con 1 equipos y los entornos tcnicos, como si la informacin en
rm soporte* y ambientes no requiriera proteccin, cuando so* las propias
operaciones de la entidad, el negocio en entidades con nim o d e lucro, b que requiere
proteccin.

Si no existen suficientes y adecuadas medidas de proteccin se puede perder in

formacin vital, o al menos no estar disponible en el momento requeride (pensemos en
|rrficos de pacientes muy graves o en control de vuelos), las decisiones tomad*
|eden ser errneas, o se pueden incumplir contratos e incluso la propia legislacin, lo
<fx puede traducirse en grandes multas en el caso de infracciones gravrs. o lo que es
tin peor la inmovilizacin de los archivos prevista en la LORTAD.

Debe evaluar* en la auditora si los m odelos d e seg u rid ad estn n consonancia

cea las nuevas arquitecturas, las distintas plataformas y las posibiidade* de las
cwwanicaciones. porque no se puede auditar con conceptos, tcnicas o recomen -
daciones de hace algunos arios (que en realidad no son tantos).

F.n cuanto a Ij Justificacin d e la a u d ito ra, que no parece necesaia en una obra
de este tipo, slo decir que tanto la normativa com o la auditora son tecesanas: una
Minora no basada en polticas de la entidad auditada (adems de Us normas pora
alizar la auditora) sera subjetiva y hasta peligrosa (aunque en sistemas de
formacin es una situacin habitual, que no normal); y la existencia de normativa sin
auditora podra equivaler a la no-existencia de la Guardia Civil de Trfico, lo que
bcrcmcntara los accidentes e ira conviniendo la circulacin en catica y peligrosa.
 www.FreeLibros.me
w; AMXfOXIA ISKMtMATIC'A liX KVKXH l; WtM-TKO

La realidad e s que no se conocen dolos completos y fiables sobre el nivel de

proteccin de las entidades en Espaa respecto a sistemas d e informacin y vendr
bien algunas estadsticas

En definitiva, como deca un cliente: N o pasan ms cosas porque Dios a

bueno", y podemos aadir, que no conocemos la mayor parte de las que pasan, pxij
ya se ocupan las entidades afectadas de que no se difundan.

Volviendo al c ontro l, los grandes grupos de controles son los siguientes, adeab
de poderlos dividir en manuales y automticos, o en generales y d e aplicacin:

Controles directiv o s, que son los que establecen las bases, com o las poltica
o la creacin de comits relacionados o de funcione: d e administracin de
seguridad o auditora de sistemas de informacin interna.

Controles preventivos, antes del hecho, como la identificacin de utu

(seguridad fsica) o las contrasellas (seguridad lgica).

Controles d e deteccin, como determinadas revisiones de accesos producid

o la deteccin de incendios.

Controles correctiv o s, pora rectificar errores, negligencias o accuxa

intencionadas, com o la recuperacin de un archivo daado a partir de ua
copia.

Controles de recu p eraci n, que facilitan la vuelta a la normalidad despe* de

accidentes o contingencias, como puede ser un plan de continuidad adecuidx

Podemos hablar de O bjetivos d e C o n tro l respecto a la seguridad, que vienen

ser declaraciones sobre el resultado final deseado o propsito a ser alcanzado mediae
las protecciones y los procedimientos d e control, objetivos com o los recogidos b
publicacin C O B IT (Control Objectives for nformation and Related Technologic) A
ISACA (Information System s Audit and Control Association/Foundation).

Cada entidad ha de definir sus propios objetivos de control, en cuanto a seguriid

y otras reas, y crear y mantener un Sistema de Control Interno (funciones, procese*
actividades, dispositivos...) que puedan garantizar que se cumplen los objetivos de
control.

I x auditores somos, en cierto modo, los o jo s y od o s" d e la Direccin, qoc i

menudo no puede, o n o debe, o no sabe, cm o realizar las verificaciones o
evaluaciones. (En cuanto a tos ojos ligue existiendo en algunos sectores la fip n
clsica del veedor.)
 www.FreeLibros.me
capitulo i r. mixtoIa pfcla niGt'iunad m

En los informe* se recomendar la implantacin o refuerzo de controles, y en

ocasiones inclino que *e considere la supresin de algn control, si resilla redundante
o ya *o es necesario.

hl sistem a de c on trol in te rn o ha de basarse en las polticas, y s: implanta con

po)o de herramienta, si bien encontram os a menudo en las auditorias que lo que
tinie es ms bien la implantacin parcial de controles de acceso l g e o a travs de
piquetes o sistemas basada en el criterio d e los tcnicos, pero no sustentada en
aonnativa. o bien habiendo partido sta de los propios tcnicos, sin aprobaciones de
ro nivel.

La realidad e s que el control interno no e sti generalizado en Espaa fuera de los

prevesos que implican gastos, y especialmente pagos, pero existen otros riesgos u n
aportantes o ms que las prdidas monetarias directas, relacionados con la gestin
adercada de los recursos informticos o con la propia proteccin de h informacin,
que podran suponer responsabilidades y prdidas muy importantes p a n la entidad.

Cuando existe un sistema de control interno adecuado, los procesos de auditora,

especialmente si son peridicos, son revisiones necesarias pero mv rpidas, con
formes ms breves; si el sistema d e control interno es dbil, la auditera llevar ms
tiempo y esfuerzo, su coste ser mayor, y las garantas de que se pongan en marcha las
recomendaciones son mucho menores; e n ocasiones la situacin dista u n to de la ideal
como la del paciente que se somete a un chequeo despus de varios aoi sin control.

Finalmente, querem os indicar que por la lgica lim itacin de espacio no ha sido
ponble detallar ins los puntos, ni incluir listas, que en todo cato sin evtar referidas a
u g n entorno y sector concreto y. por tanto, sin tener pesos, pueden dar resultados
dudosos si quien las usa no sabe adaptarlas e interpretar sus resultados.

17.2. REAS QUE PUEDE CUBRIR LA AUD ITORA DE LA

SEGURIDAD

Se incluyen las que con carcter general pueden formar parte de Im objetivos de
uta revisin de la seguridad, si bien sta puede abarcar slo parte de e la s si as se ha
determinado de antemano.

En una auditora de otros aspectos - y . por tanto, en otros captulos de evta misma
otra- pueden tambin surgir revisiones solapadas con la seguridad: a*i. a la hora de
retur los desarrollos, normalmente se ver si se realizan en un enlomo seguro y
protegido, y lo mismo a la hora d e revisar la explotacin, o el rea de tcnica de
miemas. las redes. la informtica de usuario final, las bases de datos., y en general
cualquier rea, salvo que expresam ente se quiera pasar por alto ti seguridad y
 www.FreeLibros.me
U CXTOSIA IMmtMVnCA: UX m ACUCO

c on ce n tra re en M rm aspecto* com o pueden ser U gestin. costes, nivel de vemen,

cumplimiento de procedimiento* generales, calidad, o cualquier otro.

Volviendo a la rea*, las que te citan pueden ser objeto de la auditora de

seguridad, si bien en cada caso se habrn fijado lo objetivos que m is intereses, no
considerando o por lo menos n o con el mismo nfasis otros, si bien debiendo quedar
claro y por escrito cules son eso* objetivos, tanto cuando se trate d e una audrtori
interna como ex tem a, e n cuyo caso puede mediar un contrato o al menos c u
I propuesta y carta de aceptacin.

La re a s generales citadas, algunas d e las cuales se amplfan despus, son:

Lo que hemos denominado controle directivo, es decir, los fundamentos de

la segundad: polticas, planes, funciones, existencia y funcionamiento de
algn comit relacionado, objetivos de control, presupuesto, as como que
existen sistema y mtodos de evaluacin peridica de riesgos.

F.l desarrollo de las polticas: procedimientos, posibles estndares, norma y

guas, sin ser suficiente que existan estas ltimas.

Q ue pora los grupos anteriores se ha considerado el marco jurdico apIxaNe.

aspecto tratado en otros captulos de esta obra, as com o las regulaciones o loi
requerimientos aplicables a cada entidad: del Banco de Esparta en el caso de
las entidades financieras, del sector del seguro, los de la Comunidad
Autnoma correspondiente, tal vez d e mi Ayuntamiento, o de la casa raitru
las multinacionales o que formen paite d e un grupo. O tro aspecto es d
cumplimiento de lo* contrato*.

Amenazas fsicas extema: inundaciones, incendios, explosiones, corte de

lneas o d e suministros, terremotos, terrorismo, huelgas...

Control de accesos adecuado, tanto fsicos com o los denominados lgico,

para que cada UMiaro pueda acceder a los recurso* a que est autorizado y
realizar slo las funciones permitidas: lectura, variacin, ejecucin, borrado,
copia... y quedando las pistas necesarias para control y auditora, tacto de
accesos producidos al menos a lo recurso* ms crticos com o los intento en
determinado* casos.

Proteccin de datos: lo que fije la LOPD en cuanto a los datos d e carcter

personal bajo tratamiento automatizado, y otro* controles en cuanto a los dabx
en general. *egn la clasificacin que exista. la designacin de propietarios y
los nesgos a que estn sometidos.
 www.FreeLibros.me
CAHUH OIT AflHTORUllfe LA SMitRIDAD *S

Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso de

cifrado, protecciones ante virus, stas tambin en sistemas aislados aunque el
impacto ser menor que en una red

F.l entorno de Produccin, entendiendo com o tal Explotacin ms Tcnica de

Sistemas, y con especial nfasis en el cumplimiento de contrato en lo que se
refiera a protecciones, tanto respecto a terceros cuando se trata ce una entidad
que presta servicios, como el servicio recibido de otros, y d e forras especial en
el caso de la vubcontratacin total o outsourcinx.

El desarrollo de aplicaciones en un entorno seguro, y que se incorporen

controles en los productos desarrollados y que stos resulten auditaMcs.

La continuidad de las operaciones.

No se trata de reas no relacionadas, sino que casi to d a s tienen p u n to s d e enlace

y partes com unes: comunicaciones con control de accesos, cifrado con comunica
ciones y sopones, datos con sopones y con comunicaciones, explotacin con varias de
das, y asf en otros casos.

17.3. EVALUACIN DE RIESGOS

Se trata de identificar los riesgos, cuantificar su p ro b ab ilid ad t im p acto , y

nuli/ar medidas que los eliminen - lo que generalmente no es posible- o que
feminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.

Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
informacin alm acenada, procesada y transmitida, la criticidad d e las aplicaciones, la
tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y
el momento

Para ello los auditores disponemos de listas, que normalmente inclum os en hojas
c clculo, o bien usamos paquetes, y tal vez en el futuro sistemas exentos. El
problema sigue siendo la adaptacin d e los puntos a cada caso, y asignar el p eso que
puede tener cada uno de los puntos.

Desde la perspectiva de la auditora de la seguridad es necesario revisar si se han

considerado las am enazas, O bien evaluarlas si e s el objetivo, y de lodo tipo: errores y
negligencias en general, desastres naturales, fallos d e instalaciones, o Nen fraudes o
delitos, y que pueden traducirse en daos a: personas, datos, programas, redes,
instalaciones, u otros activos, y llegar a suponer un peor servicio a usuarios internos y
externos stos normalmente clientes, imagen degradada u otros difcilmente
 www.FreeLibros.me
*0 AimUHtU INHMtMnCA: l-S- EZiHJQCtl PRACTICO

cuantificables. c incluso prdida irreversible de datos. y tunta el fin de la actividad*

la entidad en los casos m is graves.

Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cafaa
d e proteccin se podr romper coo mayor probabilidad por les eslabones ms dta.
que sern k que preferentemente intentarn usar quienes quieran acceder de forma
autorizada.

Debemos pensar que las medidas deben considerarse com o inversin a

seguridad, aunque Cn algunos casos se nos ha dicho que n o e s fcil reflejarla ccm
activos contables ni saber cul es su ren ta b ilid ad ; poden** estar de acuerdo, pero
cul e* la rentabilidad d e blindar la puerta d e acceso a m es tro domicilio o U de
instalar un antinrobo cn nuestro automvil? K u rentabilidad ti podemos determiar
los dispositivos o controles han servido para evitar la agresin, y a veces h*M
constituido sim plemente una medida disuasorio. sobre todo en seguridad lgica, y m
llegaremos a conocer i efecto positivo.

En todo caso debemos transm itir a los auditados que. acems. la segundad ueot
un im pacto favorable en la imagen de las entidades (aunque esto *k> no web
justificar las inversiones), y tanto para clientes y posibles como para los emplala.
U nos y otros pueden sentirte ms protegidos, asi como sus activos.

La proteccin no ha d e basarse slo cn dispositivos y medios fsicos, sino a

formacin e informacin adecuada al personal, empezando p x la mentalizacio a la
directivos para que. en cascada, afecte a toos lo s niveles de la pirmide organizativa

El fac to r h um a no e s el principal a considerar, a l v o e i algunas situaciones de

proteccin fsica muy automatizados, ya que es muy crtico: a las personas no quera
colaborar de poco sirven los medios y dispositivos aunque s e caros y sofisticados.

Adems, es conveniente que haya clusulas adecuadas en lo s contratos, sean de

trabajo o de otro tipo, especialmente para quienes estn cn funciones ms criticas.

E s necesaria una separacin de funciones: e s peligroso que una misma penca

realice una transaccin, la autorice, y revise despus los x sultados (un diario de
operaciones, por ejemplo), porque podra planificar un fraude o encubrir cualqaa
anomala, y sobre todo equivocarse y no detectarse: per ello deben intenedr
funciones/personas diferentes y existir controles suficientes.

En un proceso de auditora, por tanto, se evaluarn todos estos aspectos y otra,

por ejemplo si la seguridad es realm ente una preocupacin co p o rativ a no es suficiesit
que exista presupuesto para ello: si las personas a diferentes niveles esk
mental izadas, pues es necesaria una cultura de la seguridad: y si hay un corar tft
 www.FreeLibros.me
CAPTULO 17 AUWTMl D t u a C t lllW O W

fije o apruebe los objetivos correspondientes y en qu medida v: alcan/an. qu modelo

de seguridad se quiere implantar o se ha implantado, qu polticas y procedim ientos
cuiten: mi idoneidad y grado de cumplimiento, as com o la forma en que se realiza el
desarrollo de aplicaciones, si el proceso se lleva a cabo igualmente en un enlomo
seguro con separacin de programas y separacin en cuanto a datos si los seguros
cubren los riesgos residuales, y si es t prevista la continuidad de las ofcraciones en el
caso de incidencias.

Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos,
pero ya hemos indicado que normalmente lo ms que conseguim os rs disminuir la
probabilidad de que algo se produzca o bien su impacto: con sistemas de deteccin, de
tincin, mediante revisiones peridicas, copiando archivos crticos exigiendo una
contrasea u otros controles segn los caso.

Algunos manuales hablan de tra n s fe rir los riesgos, por ejemplo contratando un
seguro pero debemos recordar que si se pterden los datos la entidid aseguradora
taara el importe estipulado - s i no puede acogerse a alguna cliusula e n letra
pequea- pero la entidad seguir sin recuperar los datos.

Otra posibilidad es a su m ir los riesgos, pero debe hacerse a un ni<el adecuado en

b entidad, y considerando que puede ser mucho mayor el coste de la nseguridad que
ti de la seguridad, lo que a veces slo sc sabe cuando ha ocurrido algo. Cul es el
nesgo mximo admisible que puede permitirse una entidad? Alguna vez se nos ha
hecho la pregunta, y depende de k> critica que sea para la entidad la informacin as
con disponer de ella, e incluso puede depender del momento: es un lema tan critico
qae no puede generalizarse.

Algunos de los riesgos se han podido asum ir de forma temporil, por estar en
proceso "de cambio las plataformas, las aplicaciones o las instalaciones, o por no
existir presupuesto ante las grandes inversiones necesarias: en todos los casos debe
constar por escrito que se asumen y quin lo hace, y ha de ser alguien con potestad
para hacerlo, ya que a m enudo son tcnicos intermedios quienes asumen la
responsabilidad sin poder hacerlo, o bien los directivo* sealan a los tcnicos cuando
comtc algo *in jsicrcr oMimir ninguna rcpoiv*ubli<JuU.

Si la entidad auditada est en medio de un proceso de im p an u ci n d e la

tegundad. la evaluacin se centrar en los objetivos, los planes, qu proyectos hay en
curso y los medios usados o previstos.

La evaluacin de riesgos puede ser global: todos los sistemas te informacin,

centros y plataformas, que puede equivaler a un chequeo mdico general de un
individuo, y que e s habitual la primera vez que se realiza, o bier cuando se ha
producido el nombramiento de algn responsable relacionado, o cuando una entidad
cotapra otra, pero puede producirse tambin una evaluacin parcial de riesgos, tanto
 www.FreeLibros.me
WK U IHHHtl.V ISHMtVIVnCA I V FNHXJt fcPRACTICO

por reas como por centros, departa memos, redes o aplicaciones, m como previ* a
proyecto, com o puede ser una aplicacin a iniciar.

A menudo en la auditora externa se (rata de saber si la entidad, a travs de

funciones com o administracin d e la seguridad, auditora interna, u otras a la
anteriores no existieran, ha evaluado de forma adecuada los riesgos, si los informa
han llegado a los destinatarios correspondientes y si se estn tomando las mci&da
pertinentes, asi como si el proceso se realiza con la frecuencia necesaria y no te
constituido un hecho aislado.

En estos casos se debe considerar la m etodologa que se sigue para evaluar la

riesgos m is que las h e rram ien ta , aunque sin dejar d e analizar estas, y si se h a
considerado lodos los riesgos -a l menos los ms im portantes- y si se han medido btak
ya que sobre lodo cuando la evaluacin se hace de forma interna por tcnicos del ir a
de sistemas de informacin, suelen m inim i/ar los riesgos porque llevan A
conviviendo con ellos o sim plemente los desconocen.

La seguridad no es. un tema meramente tcnico, aunque sean muy tcnica

algunas de Lav medidas que haya que implantar.

Es necesaria la designacin de p ro p ietario s d e los activos, sobre todo los ft*

(por delegacin de los titulares), y que son quienes pueden realizar la clasifican y
autorizar las reglas de acceso; un buen propietario se interesar por los riesgos que
puedan existir, por lo que promover o exigir la realizacin de auditoras y quer
conocer, en trminos no tcnicos, la sustancia d e los informes.

Al hablar de seguridad siempre se habla de sus tres dim ensiones clsicac

confidencialidad, integridad y disponibilidad de la informacin, y algunos controla
van ms dirigidas a tratar de garantizar alguna de estas caractersticas.

La c onfidencialidad: -e cumple cuando slo las personas autorizadas (en aa

sentido am plio podram os referimos tambin a sistemas) pueden conocer los daws o h
informacin correspondiente.

Podemos preguntam os qu ocurrira si un soporte magntico con los datos de lot

clientes o empleados de una entidad fuera cedido a terceros?, cul podra ser su us>
final?, habra una cadena de cesiones o ventas incontroladas d e esos datos?

La LORTAD y la LOPD han influido positivamente en concienciarnos respecto i

la confidencialidad.
 www.FreeLibros.me
CAPtTVLO IT: AUDITORIA DfcLA SIXAJtlDAD V*

La in te g rid ad : consiste en que slo los usuario* autorizados puedan variar

(modificar o borrar) los datos. Deben quedar pistas para control posterior y para
auditoria.

Pendemos que alguien introdujera variaciones de forma que pediram os la

informacin de determinadas deudas a cobrar (o que sin perderla tuviramos que
recurrir a la informacin en papel), o que modificara de form a aleatoria pane d e los
domicilios de algunos clientes.

Algunas de estas acciones se podran lardar en detectar, y tal vez las diferentes
copias de seguridad hechas a lo largo del tiempo estaran viciadas" (corruptas
decimos a veces), lo que hara difcil la reconstruccin.

La disponibilidad: se alcanza si las personas autorizadas pueden acceder a

tiempo a la informacin a la que estn autorizadas.

Kl disponer de la informacin despus del momento necesario puede equivaler a

U falu d e disponibilidad. O tro lema es disponer de la informacin a tiempo sin que
sta sea correcta, e incluso sin saberse, lo que puede originar la lom a d e decisiones,
errneas.

Ms grase an puede ser la ausencia d e disponibilidad absoluta por haberse

producido algn desastre. En esc caso, a medida que pasa el tiem po el im pacto ser
nayor, hasta llegar a suponer la falla de continuidad de la emidad como ha pasado en
michos de los casos producidos (m is de un 80% segn las estadsticas).

Debe existir adems auten ticid a d : que los dalos o informacin sran autnticos,
ntroductdos o comunicados por usuarios autnticos y con las autorizaciones
cetarias.

17.4. FASES DE LA AUD ITORA D E SEGURIDAD

Con carcter general pueden e*r:

* Concrecin de los objetivos y delimitacin del alcance y profundidad de la

auditoria, asi com o del periodo cubierto en su caso, por cjcmjAo revisin de
accesos del ltimo truncare; si no se especifica, los auditores debern citar en
el informe el perodo revisado, porque podra aparecer a lju iu anomala
anterior, incluso de hace mucho tiempo, y llegarse a considerar una debilidad
de la auditora.

Anlisis de posibles fuentes y recopilacin d e informacin: er el caso d e los

internos este proceso puede no existir.
 www.FreeLibros.me
no a u h to k Ia informtica , ux Exrowt. w tuco

Determinacin del plan de trabajo y de los recursos y plazos en caso

necesario, asi como de comunicacin a la entidad.

Adaptacin de cuestionario*, y a veccs consideracn de herramienas o

perfile* de especialistas necesarios, sobre todo en la auditora externa.

Realizacin de entrevistas y pruebas.

Anlisis de resultado* y valoracin de riesgos.

Presentacin y discusin del informe provisional.

Informe definitivo.

17.5. AUDITORA DE LA SEGURIDAD FSICA

Se evaluarn las protecciones fsica.* de datos, programas, instalaciones, equipo*,

rede* y soportes, y por supuesto habr que considerar a las personas: que t#
protegidas y existan medidas de evacuacin, alarmas, salidas alternativas, as cono
que no estn expuesta* a riesgos superiores a los considerado* admisible* en la eabdad
e incluso en el sector, por ejem plo por convenio o normativa especfica; y si twn
todos estos aspectos suelen ser comunes con las medidas generales de la entidad, ea
una auditora de sistemas de informacin nos preocupamos especialmente por quieao
estn en el rea o de los daftos que puedan afectar a los usuirios d e los sistemas ti
entra dentro d la auditora.

Las am enazas pueden ser muy diversas: sabotaje, vandalismo, terronute,

accidentes de distinto tipo, incendios, inundaciones, aserias importante,
derrumbamientos, explosione*, as com o otros que afectan a las persona* y pueda
impactar el funcionamiento de los centros, tales com o errorei. negligencias, huelga
epidemias o intoxicaciones.

(Hay algo ms que no recogemos en lo* informes, pero convencidos de que se

trata de una amenaza real si lo comentamos verbalmente a veces en la presentacia del
informe o en cursos a sabiendas de que produce comentarios: la lotera: si toca en n
rea un premio im portante, juegan todos el mismo nmero, y no existen sustituto* o no
hay una documentacin adecuada -pensem os en un grupo que mantiene uu
aplicacin- se puede originar un problema importante, y la. prevencin no es fcil
porque no se puede impedir el hecho.)

Desde la perspectiva de las p rotecciones fsicas algunc* aspecto* a convaJenr

son:
 www.FreeLibros.me
CA>fn;Loi7: AiipmxtlA p t la g.om iPA i

Ubicacin d d ccntro de procesos. de los servidores locales, y en general de

cualquier elemento a proteger, como puedan ser lo s propios term inales,
especialmente en zonas de paso, d e acceso pblico, o prxim os a ventanas en
planUu. bajas. Proteccin d e computadores porttiles, incluso fuera d e las
oficinas: aeropuertos, automviles, restaurantes...

Estructura, diserto, construccin y distribucin d e los edificios y de sus

plantas.

Riesgos a los que estn expuestos, tin to por agentes externos, casuales o no.
como por accesos fsicos no controlados.

Amenazas de fuego (materiales empleados): riesgos por agua: por accidentes

atmosfricos o por averas en las conducciones; problemas en el suministro
elctrico, u n to por cadas com o por perturbaciones.

Controles tanto preventivos com o de deteccin relacionados con los puntos

anteriores, asi como de acceso basndose en la clasificacin d e reas segn
usuarios, incluso segn da d e la semana y horario.

Adems del acceso, en determinados edificios o reas debe controlarse el

contenido de carteras, paquetes, bolsos o cajas, ya que podran contener
explosivos, as como lo que se quiere sacar del edificio, para evitar
sustituciones o sustraccin d e equipos, componentes, soportes magnticos,
documentacin u otros activos.

El control deber afectar a las visitas, proveedores, contratados, clientes... y en

caso ms estrictos igualm ente a los empleados; los ex empleados se debern
considerar visitas en todo caso.

Proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y

posible transporte, adems d e otras protecciones no fsicas, todo bajo un
sistema de inventario, as como proteccin de documentos impresos y de
cualquier tipo d e documentacin clasificada.

Es fcil y barato obtener copias magnticas peridicas de datos y de

programas frente al perjuicio que nos puede causar el no haberlo h edi: es
mucho ms difcil o caro, o n o es posible, obtener copias ooo igual valor de
otros objetos o activos com o obras de arte.

Todos los puntos anteriores pueden, adems, estar cubiertos por seguros.
 www.FreeLibros.me

17.6. A U D IT O R IA D E L A S E G U R ID A D L G IC A

Es necesario verificar que cada usuario slo pueda acceder a los recurso* a lo
que le autorice el propietario, aunque sea de forma genrica, segn su funcin, y coa
las posibilidades que el propietario haya fijado: lectura, modificacin, borrajo,
ejecucin... trasladando a los sistemas lo que representaramos en una m a tr 61
accesos en la que figuraran los sujeto: grupos d e usuarios o sistemas. Irn objeto* qct
puedan ser accedidos con mayor o menor granularidad: un ditca. una aplicacin, uta
base de datos, una librera de programas, un tipo de transaccin, un programa, un (90
de campo... y para completar la tripleta, las posibilidades que se le otorgan: lerttn.
modificacin, borrado, ejecucin...

Desde el punto de vista de la auditora e s necesario revisjr cmo se identifican y

sobre todo autentican los usuarios, cm o han sido autorizados y por quin, y qut
ocurre cuando se producen transgresiones o intentos: quin se entera y cundo y cju
se hace.

En cuanto a autenticacin, hasta tanto no se abaraten ms y generalicen b i

sistemas basados en la hi m trica. el mtodo ms usado es la co n trase a, cuya
caractersticas sern acordes con las normas y estndares d e a entidad, que podran
contemplar diferencias para segn qu sistemas e n funcin de la criticidad de lo*
recursos accedidos.

Algunos de los aspectos a evaluar respecto a las co n trase as pueden s e r

Quin asigna la contrasea: inicial y sucesivas.

l.ongitud mnima y composicin d e caracteres.

Vigencia, incluso puede haberlas de un solo uso o dependientes de oaa

funcin tiempo.

Control para no asignar las V ltimas.

Nmero de intentos que se permiten al usuario, e investigacin posterior dt

los fallidos: pueden ser errores del usuario o intentos d< suplantacin.

Si las contraseas estn cifradas y bajo qu sistema, y sobre todo que no

aparezcan en claro en las pantallas, listados, mensaje* d e comunicaciones o
corrientes de trabajos (J O . en algunos sistemas).

Proteccin o cam bio de las contraseas iniciales que llegan en los sistemas, y
que a menudo aparecen en los propios manuales.
 www.FreeLibros.me
CAPtnii.o i AUlHKHlUnEI-AtfcGtRIPAP W

Controles existentes p o n evitar y detectar caballos de Troya: en este contexto

se trata de un programa residente en un P C que emulando un terminal simule
el contenido de la pantalla que recoge la identificacin y contrasella del
usuario, grabe la contrasella y devuelva control al sistema verdadero despus
de algn mensaje sim ulado de error que normalmente no despenar las
sospechas del usuario.

I j no-cesin, y el uso individual y responsable de cada usuario, a partir de la

normativa.

Siempre se ha dicho que la contrasea h a de ser difcilmente rnaginable por

ajenos y fcilmente recordable por el propio usuario, y este ltimo aspccto se pooe en
peligro cuando un mismo usuario ha d e identifican ante distintos sistemas, para lo
(fte puede asignar una misma contrasea, lo que supone una vulnerabilidad si la
prc*eccin e s desigual, por ser habitual que en pequeos sistemas o aplicaciones
aisladas las contraseas no estn cifradas o lo estn bajo sistemas vulnerables; si opta
por asignar varias contraseas puede que necesite anotarlas.

La solucin ms adecuada por ahora puede consistir en u tili/:r sistem as de

identificacin nicos (u n g ir sign-on) que faciliten la administracin y el acceso,
permitindolo o no a segn qu usuarios/sistemas/funciones, o bien adaptar cualquier
eco tipo de solucin que. con garanlias suficientes, pueda propagar la contrasea entre
tatemas.

En la auditora debemos verificar que el proceso de altas de usuiriox .se realiza

tegsn la normativa en vigor, y que las autorizaciones requeridas son adecuadas, as
como la gestin posterior com o variaciones y bajas, y que los usuarios activos siguen
videntes, y si se revisa cules, son inactivos y por qu. por ejempto contrastando
peridicamente con la base de datos de em pleados y contratados. Debiera estar
previsto bloquear a un usuario que no accediera en un perodo determinado. 35 das?

Otra posible debilidad que debe considerarse en la auditora es si pueden crearse

tuariones de bloqueo porque slo exista un administrador, que puecc estar ausente
de forma no prevista, por ejemplo por haber sufrido un accidente, e im pedir la
creacin nuevos usuarios en un sistema de administracin centralizada v nica: en ms
de ca ocasin, segn de qu entorno se trate hemos recomendado la existencia de
gn usuario no asignado con perfil especial y contrasea protegida qu: pueda utilizar
aJpiieti con autoridad en caso de emergencia: todas sus operaciones debern quedar
registradas para control y auditora.
 www.FreeLibros.me
4M AtlCHTOUlA IXKKtMTICA I N l-NKKjt'F 1 ACUCO

17.7. AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE

APLICACIONES

T odos los desarrollos deben estar autorizados a distinto nivel sejo U

importancia del desarrollo a abordar, incluso autorizados por un comit si los costes
los riesgos superan unos umbrales: se revisar la participacin d e usuarios, y <fc k
auditores internos si la auditoria es externa, a qu libreras pueden acceder lo
desanolladores. si hay separacin suficiente d e entornos, la metodologa s e g u k i
ciclos de vida, gestin d e tos proyectos, consideraciones especiales respecto a
aplicaciones que traten datos clasificados o que tengan transacciones econmicas o de
riesgo especial, trm inos de los contratos y cumplimiento, seleccin y uso de
paquetes, realizacin de pruebas a distintos niveles y mantenimiento posterior, as
como desarrollos de usuarios finales.

El pase al entorno de explotacin real debe e s u r controlado, no descartndose la

revisin de p ro g ra m a s por pane de tcnicos independientes, o bien por audcm
preparados, a fin de determinar la ausencia de "caballos de Troya", bombas lgicas;
sim ilares, adem s de la calidad.

Otro aspecto e s U p roteccin d e los p ro g ra m a s, al menos desde at

perspectivas: de tos programas, que sean propiedad de la entidad, realizado* por d
personal propio o contratado su desarrollo a terceros, como el uso adecuado de
aquellos programas de los que se tenga licencia d e uso.

17.8. AUDITORA DE LA SEGURIDAD EN EL REA DE

PRODUCCIN

luis entidades han de cuidar especialmente las medida de proteccin cn el caso

de c o n tra ta ci n de servicios: desde el posible m arcado de datos, proceso, imprco
de etiquetas, distribucin, acciones comerciales, gestin de cobros, hasta d
outsourcing ms completo, sin descartar que cn el contrato se prevea la revisin por
tos auditores, intentos o externos, de las instalaciones de la entidad que provee d
ersieio

Tam bin debe revisarse la proteccin de u tilid ad es o programas especialmente

peligrosos, as como el control cn generacin y cambios posteriores de todo d
software de sistemas, y de form a especial el de control de accesos.

O tro aspecto a revisar e s el control de los formularios crticos.

La gestin de problem as y cam bios y la calidad son aspectos que tambin benea
que ver con la seguridad.
 www.FreeLibros.me

17.9. A U D IT O R A D E L A S E G U R ID A D D E L O S D A T O S

Es un pecio que puede entenderse dentro de la Produccin y las

Comunicaciones, pero que merece ser tratado de forma especfica. Decamos que los
dato* y la informacin pueden llegar a constituir el activo m is critico para la entidad,
huta el punto de que en muchas multinacionales la funcin genrica de adm inis
tracin d e seguridad tiene la denominacin de Data Security.

I-os datos, adems de alfanum ricos pueden consistir en im genes de planos, en

ros disertos u objetos, grficos, acsticos, y otros, y estar almacenados en medios y
soportes diversos.

La proteccin de los dalos puede tener varios enfoques respecto a las

caractersticas: la confidencialidad, disponibilidad e integridad. Puede haber datos
trlleos en cuan to a su c onfidencialidad, como datos mdicos u otros especialmente
sensibles para la LOPD (sobre religin, sexo, raza...), otros datos cuya criticidad viene
dada p o r la disponibilidad: si se pierden o n o se pueden utilizar a tiem po pueden
causar perjuicios graves y. en los casos ms extremos poner en peligro la continuidad
de la entidad, y finalmente otros datos crticos aten d ie n d o a su integridad,
especialmente cuando su prdida n o puede detectarse fcilmente o una vez detectada
do es fcil reconstruirlos.

Aunque los libros no suelen citarlo as. nos gusta hablar d e controles en k
diferentes puntos del ciclo de vida d e los d a to s, que e s lo que ha d e revisarse en la
auditoria:

Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede
incluir preparacin, autorizacin, incorporacin al sistema: por el cliente, por
empleados, o bien ser captado de otra form a, y debe revisarse cmo se
verifican los errores.

Proceso d e los datos: controles de validacin, integridad, alm acenamiento: que

existan copio oficente*, sincronizadas y protegidas.

Salida de resultados: controles en transmisiones, en impresin, en distribucin,

en servicios contratados de manipulacin y en el envi; conciliacin previa de
salidas con entradas, por personas d i feren tes. p a n dctcct.tr errores y posibles
intentos de fraude.

Retencin de la informacin y proteccin en funcin de su clasificacin:

destruccin de los diferentes sopones que la contengan cuando ya no sea
necesaria, o bien desmagnetizacin.
 www.FreeLibros.me

iiv necesaria la designacin d e p ro p ican o s, clasifcacin de los m *.

restriccin de su uso para pruebas, inclusin de m uescas para poder detectar mes o
autorizados, asi como aprovechar las posibilidades de proteccin, control y audftrfa
del Sistema de G estin de Bases d e Datos que se est utilizando.

En cuanto a la clasificacin de datos e informacin debe revisarse quin la ha

realizado y segn qu criterios y estndares: n o suele ser prctico que haya ms de
c uatro o cinco niveles. En ocasiones la denominacin sin clasificar se aplica tanto a ta
datos que no requieren proteccin -e n ocasiones incluso conviene divulgarlos- cmo a
los que estn pendientes de clasificar, por lo que e s necesario diferenciar las doi
situaciones. Tam bin e s conveniente que se distinga por c a te a ra s, asociadas a rea
funcionales o proyectos.

A quellos soportes que contengan datos o informacin de o s niveles ms critica

estarn especialmente protegidos, incluso cifrados. Entre esos supones pueden estar
magntico, papel, comunicaciones, correo electrnico, fax. e iacluso voz.

En algunas entidades tienen etiquetas o cartulas pora diferenciar soporto,

listado, y documentos cuyo contenido est especialmente clasificado, lo que ca
ocasiones puede llegar a alertar incluso a distancia a quienes no estn autorizados.

Respecto a c liente-serv id o r es necesario verificar los controles en varios puto*,

y no slo en uno central como en otros sistemas, y a veces en plataformas
heterogneas, con niveles y caractersticas de seguridad ruiy diferentes, y cea
posibilidad de transferencia de archivos o de captacin y exhortacin de datos que
pueden perder mis protecciones al pasar de una plataforma a otra.

En el caso del contenido de archivos y bases d e datos, las etiquetas tleburna

acompaarles incluso en extracciones parciales que variaran d: plataforma, lo que cu
la actualidad no est plenamente conseguido en todos los casos cuando en las mes
intervienen plataformas y sistemas que n o se entienden bie# entre s en cuan a
seguridad: aunque en este momento hay intentos d e cierta normalizacin y vaa
apareciendo herram ientas que van permitiendo la prtteccin en entornos
heterogneos.

T am bin pueden usarse bases de datos distribuidas, lo que puede aAadu

complejidad al sistema y a los controles a establecer.

La informacin del nivel ms alto de clasificacin normalmente se entregar (o

dejar ver) bajo controles estrictos, incluso anotando qu s t entreg o ensert. a
quines, cundo, y con la autorizacin d e quin si este extremo es necesario.
 www.FreeLibros.me
CArtTVLO Ir. AWtTOKlA PE L* iRGl/HlDAI) i?

(in la auditora, si entra en los objetivos, se analizar la desxuccin de la

informacin clasificada: tipo d e destructora, tamao de las partculas, y especialmente
5cde se alm acena hasta su destruccin, que suele ser un punto dbil.

Fji el caso de soportes magnticos stos habrn de sa destruidas,

desmagnetizados de forma adecuada, o sometidos a varas grabaciones o ferentes antes
de su nueva utilizacin.

En una ocasin hemos recomendado en una auditora que lis copias que
recibieran distintos directivos no fueran idnticas - s in afectar a su contenido
sustancial- a fin de poder detectar el origen de fugas o copias, que al parecer se
sospechaba que se venan produciendo.

En el caso de ser necesario el transpone de datos clasificados debe realizarse por

a iles seguros, y si e s en soporte magntico o por transmisin deben ir cifrados,
adems de la posibilidad de transportar soportes magnticos en compartimentos
errados y que la llave no est en poder de los transportistas o est protegida.

17.10. AUDITORA D E LA SEGURIDAD EN

COM UN ICACION ES Y REDES

Ea las polticas de la entidad debe reconocerse que los sistemas, roles y mensajes
tacsrutxlos y procesados son propiedad de la entidad y no deben usctsc pora otros
aes no autorizados, por seguridad y por productividad, tal vez salvo emergencias
oorcretas vi as se ha especificado, y ms bien para comunicaciones por voz.

En funcin de la clasificacin de los datos se habr previsto el uso de cifrado,

qoe en la auditora se evaluar o se Ikgar a recomendar, y se revisarn la generacin,
be|it<xl, comunicacin, almacenamiento y vigencia de las claves, especialmente de
1* maestras.

Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente.

Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn

cargar los programas autorizados, y slo podrn variar las c o n ju ra c io n e s y
aprtenles los tcnicos autorizados.

Debern existir protecciones de distinto tipo, y tanto preventivas como de

Seccin. ante posibles accesos sobre lodo externos, as como frente a virus por
fcres vas de infeccin, incluyendo el correo electrnico.
 www.FreeLibros.me
*n Avtxu w u iMoiMncA un BaogiiEntcnco

Se revirarn especialmente las redes cuando existan repercusiones ecoofieai

porque se trate de transferencia d e fondos o comercio electrnico.

A lgunos de los pu n to s complementarios a revisar son:

Tipos de redes y conexiones.

Informacin y programas transmitidos, y uso de cifrad'.

Tipos de transacciones.

Tipos de term inales y protecciones: fsicas, lgicas, llanada de retomo.

Proteccin de transmisiones por fax si el contenido est clasificado, si bita <t

preferible evitar el uso de este medio en esc caso.

Proteccin de conservaciones de voz en caso necesario

Transferencia de archivos y controles existentes.

Consideracin especial respecto a las conexiones externas a travs 4t

pasarelas Iftiu a w y ) y cncammadorcs (ro u ic n ). a s como qu ccoerota
existen.

Ante la generalizacin d e modalidades avanzadas d: proceso, empieza a

preocupar y a ser objeto de auditora aspectos como:

In te rn e t c In tra n e t: separacin de dominios c implantacin de medida

especiales, com o normas y cortafuegos (firewaU). y no slo en relacin con b
seguridad sino por accesos no justificados por la funcin desempead, cobo
a pginas de ocio o erticas, por lo que pueden suponer para la productividad

El c o rreo electrnico, tanto por privacidad (PGP. Prety G ood Privacy te coi
u o m lo mucho) y paro evitar viru com o paro que el uso del correo se*
adecuado y referido a la propia funcin, y no utilizado para fines particular,
com o se ha intentado hacer en muchas entidades y no siempre con xito, coa
otros recursos anteriores com o telfono, fax. fotocopiadoras. o el uso de lo
propios computadores.

O tro de los aspectos que preocupan es la p roteccin dt p ro g ra m a s, y tanto I)

prevencin del uso no autorizado de programas propiedad de la entidad o de
los que tengan licencia de uso. como la carga o transmisin de otros de lo sq x
no se tenga licencia o sim plemente para los que no exista autorizacin interna.
 www.FreeLibros.me
U w _________________________________ CAPTULO I? Al'IXTORI DfcLA StCtlMUAD 40

Tambin preocupa el co n tro l obre la pgina web: quin puede

modificarlo y desde dnde, porque ve han dado casos desagradables en alguna
entidad que im p id an muy negativamente en su im agen, y no tanto por los que
lo ven directamente, sino por la publicidad que en los medio* se puede dar a
extox hechos. Finalm ente preocupan tambin los riesgos que puedan existir en
el com ercio electrnico, aunque se estn empezando a itili/a r internas
fiables como SET (Sccure Electronic Transaction).

En relacin con todo ello, y para facilitar el control y la auditora, c necesario

que queden registrados los accesos realizados a redes exteriores y protegidos
esos registros, asi com o la fecha y hora y el usuario o terna, y el tipo de
informacin transferida y en qu sentido.

17.11. AUD ITORA DE LA C ON TINUIDAD DE LAS

OPERACION ES

Es uno de los puntos que nunca se deberan pasar por alto e n tn a auditora de
seguridad, por las consecuencias que puede tener el n o haberlo rev sad o o haberlo
hecho n la suficiente profundidad: no basta con ver un manual cuy ttulo sea Plan
de Contingencia o denominacin sim ilar, sino que es im prescindble conocer si
funcionara con los garantas necesarias y cubrira los requerimientos en un tiempo
inferior al fijado y. con una duracin suficiente.

Hablamos de P lan de C ontingencia o P lan d e C ontin u id ad , frente a otras

denominaciones que en principio descartamos com o Recuperacin de Desastres o Plan
de Desastres (s nos parece adecuada Plan de Recuperacin ante Desastres, pero las
ciencias a prever son tambin de otros niveles).

En la auditora e s necesario re v isar i existe tal plan, si completo y

tetualizado. si los diferentes procesos, reas y plataformas, o bien si existen planes
erentes segn entornos, evaluar en todo caso su idoneidad, as co m los resultados
de Im pruebas que se hayan realizado, y si permite garantizar razonablemente que en
caso necesario, y a travs de los medios alternativos, propios o contratados, podra
permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los
responsables del uso de las aplicaciones, que a veces son tambin los propietarios de
Im mismas pero podran no serlo.

Si las revisiones no nos aportan garantas suficientes debemos sugerir prueba

complementarias o hacerlo constar e n el informe, incluso indicarlo c r e l aportado de
Imitaciones.
 www.FreeLibros.me
i AUDTCmlA LNFCmMTKA: UN ENKXjO mCIl

Es necesario verifica/ que la solucin adoptada es adecuada: c enuo propio. ijcoa.

compartido o no... y que existe el oportuno contrato si hay participacin de oo
entidades aunque sean del mismo grupo o sector. No est de ms revisar si en d cate
de una incidencia que afectara a varias entidades geogrficamente prximas ta
solucin prevista dara el servicio previsto a la auditada.

Un punto fundamental en la revisin e s la existencia de copias actualizadas de

los rec ursos vitales en un lugar distante y en condiciones adecuadas tanto fsica
como de proteccin en cuanto a accesos: entre dichos recursos estarn; bases de daut I
y archivos, programas (mejor si existen tambin en versin fuente. JCL (JobControl *
I jn g u ag e ) o el equivalente en cada sistema, la documentacin necesaria, formulario! >
crticos y consumibles - o garantas de que se serviran a tiem po-, documeaoa. .
manuales tcnicos, direcciones y telfonos, los recursos de comunicado*
necesarios; datos y voz. y cualesquiera otros requeridos para funcionar con garaatias.

Otros aspectos que hemos encontrado cotivo d e b ilid ad es a veces son: que e<ta
copia del propio plan fuera de las instalaciones primarias, que est previsto ejecutar
determinado softw are en un equipo alternativo, con identificacin especfica diferett*
de la del equipo primario que e s el inkialm ente autorizado; y que se tenga copa
accesible del contrato, tanto para demostrar algo al proveedor como para verificar leu
trm inos pactados.

Dentro de la c riticid ad d e las aplicaciones se puede distinguir entre las mis

crticas, con im pacto muy alto en el negocio y sin alternativa, otras con alternativas, e
incluso diferenciando si con costes altos o inferiores, y aquellas cuya intcm ipcite.il
menos en un nmero de das fijado, no tiene casi incidencia, y habr que distinguir qu
tipos de consecuencias e impacto, en funcin del sector y entidad, y da del mes en qoe
ocurriera el incidente, y tal vez la hora en algunos casos.

Frente a lo que vena siendo la previsin de contingencias en estos artos posada,

centrndose slo en el host com o gran servidor, hoy en da. con la clara tendencia a
e n tornos d istrib u id o s, es necesario considerar tambin stos en la previsin de las
contingencias.

E s necesario en la auditora conocer las caractersticas del centro o sistema

alternativo, y debe revisarse si la capacidad de proceso, la de comunicacin y la de
almacenamiento del sistema alternativo son suficientes, as como las medidas de
proteccin.

Debe existir un manual completo y exhaustivo relacionado con la continuidad

el que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir que
se trata de una contingencia y d e qu tipo.
 www.FreeLibros.me
CArtIVIOIT At DItUKlA DKI.ASEGURIDAD 411

A pesar de la importancia del tema y de las consecuencias nefasta* que se pueden

derivar si no se han previsto las contingencias, e s un tema no exigido por ley en
Esparta. si bien parece sobradamente justificada su existencia para defender los
intereses de los accionistas, clientes, proveedores, empleados, o ciudadanos cn general
segn qu tipo de entidad sea: cn algn caso se ncu ha preguntado al incluirlo cn el
informe como una recomendacin, pero qu me obliga a tener el plan? Afortunada
mente ex un punto fcil de explicar y que la Alta Direccin suele entender y aceptar.

17.12. F U EN TES DE L A AUDITORA

Las fuentes estarn relacionadas con los objetivos, y entre ellas pueden estar.

Polticas, estndares, normas y procedimientos.

Planes de segundad.
Contratos, plizas de seguros.
Organigrama y descripcin de funciones.
Documentacin de aplicaciones.
Descripcin de dispositivos relacionados con la seguridad.
Manuales tcnicos de sistemas operativos o d e herramientas.
Inventarios: de sopones, de aplicaciones.
Topologa de redes.
Planos de instalaciones.
Registros: de problemas, de cambios, de visitas, de accesos lgicos
producidos.
Entrevistas a diferentes niveles.
Archivos.
Programas.
I j observacin: no figura en los manuales pero la consideramos importante.
Actas de reuniones relacionadas.
Documentacin de planes de continuidad y sus procbas.
Informes de suministradores o consultores.

A menudo los clientes nos ofrecen a los auditores externos tos interines de los
otemos o de otros externos anteriores, si bien nosotros en concreto preferim os
Miliarios cuando ya est en vas el borrador de nuestro informe para no vemos
fluidos.

17.13. EL PERFIL DEL AUDITOR

Kl perfil que se requiere para llevar a cabo auditoras de sistemas de informacin

aocst regulado, pero es evidente que son necesarias una form acin y sobre lodo una
p cricncia acordes con la funcin, c incluso con las reas a auditar: seguridad fsica.
Ktmas operativos concretos, determinados gestores de bases de datos o plataformas.
 www.FreeLibros.me
4i; AllXTOUlAISKWtMTMA UKSMXJI'I HtM lUO

c incluso lenguajes si hubiera que llegar a revisar programas, adems de n

imprescindible en el perfil otras caractersticas o circunstancias comunes, com
independencia respecto a los auditados, m adure/, capacidad de anlisis y de lntesa,
inters no meramente econmico. i

En el seno de la citada ISACA existe un certificado relacionado: O S A (Certed

Information Systems Auditor). <

A la hora de crear la funcin de auditoria interna de sistemas de informaciog

suele plantear m se forma a auditores y a expertos en otras reas: auditora de <eaui
normalmente, o si se form a a tcnicos del rea d e informtica, o si se coaenea i
auditores de otra entidad, ya experim entados: cada opcin tiene sus ventajas t
inconvenientes, entre los que pueden estar:

Lo* auditores de otras reas sern expertos en tcnicas generales con#

entrevista, y en redactar informes, pero desconocern las particularidades jr
riesgos de las tecnologas de la informacin.

Los informticos y expertos en reas relacionadas no sern expertos ea

tcnicas generales y en control (salvo que provengan de administracin de
seguridad), si bien puede ser ms fcil que aprendan estos aspectos qse
ensear --especialmente mantener al d a - a un auditor general respecto a
novedades tecnolgicas.

Quien venga de otra entidad puede no tener ni unos ireconveniente* ni otro, e

incluso puede conocer el sector; y hay una ventaja ms: no conoce a fas
personas que tendr que entrevistar, lo cual e s positivo, pero no siempre k
quieren incorporar recursos externos.

O tro aspecto es dnde u b ic a r la fu n ci n : encontramos con frecuencia que etfi

dentro del rea de Informtica o Sistemas de Informacin o Tecnologas: en definitiva
dentro del rea auditada por lo que no tiene la independencia necesaria. Es preferible
que est dentro de la auditora general o que sea una funcin staff de algtin directivo
por encim a de las rea* objeto de auditora.

Se incluye un cuadro (vase la figura 17.3) con algunas recomendaciones ea

cuanto a pautas de conducta.
 www.FreeLibros.me

Ser independeme* y objetivos | Actuar en beneficio propio por encima del |

imerr del e lele

Ser competentes en la materia (eguridad) Asumir encargos para lo* que no estn

Basi# sus informe* en verificaciones y Basarlos en uiposiciones

Verificar que se c* altan peridicamente Revisar la segundad dia a d(a o

nego* o bien evaluarlos administrarla (son funciooe* de otros)
Ccoorcr perfiles de usuarios ___ ___ Realizar gestin perfile* de u u u n w
Conocer criterios y prctica* sobre Gestin/asignacin contmeAas o conocerla*
camellas
Verificar que la aplicaciones se desarrollan y Realizar funcione* de anlisis o gestionar
mantienen segn normas y se incorporan
coMrote*
Rrvnar codificacin de programa* (guridad Codificar programa*
>calidad) y la* proetia* realizadas. o bien
P"**1*----------------------------------------------
Revisar la documentacin (jplicacionei. Realizar la documentacin

Verificar que siguen lo* procedimiento* Escnbr procedimiemos_________

Responcabtlizarse del contenido de sus
lEvabtar riesgos e informe*
Smentir los informes con pifvle* de trabajo
Aceptar presiones de sus jefe* 0 clientes y que
el informe no sea veraz
Garantizar que no se puedan rralizaritaher j
realizado delitos, fraudes o errore*
Enzarzarse en discusiones de diferencias de ]

Eitar al dia en cuanto a avances, riesgos. Auditar con tcnica*, mtodo* o

iModdoras

Figura 17.3. Pauta* d e conducta d e lo s auditores

17.14. TC N IC AS, M TO D O S Y HERRAM IENTAS

En cada proceso de auditora se fijan los objetivo*, m bito > profundidad, lo que
sn e para La planificacin y para la consideracin de las fuentes, segn lo s objetivos.
m con de las tcnicas, mtodos y herramientas ms adecuados. El factor sorpresa
pede llegar a ser necesario en las revisiones, segn lo que se quiera verificar.

Coeno mtodos y tcnicas podemos considerar los cuestionarios, las entrevistas,

b observacin, los mustreos, las CAAT (Computer Aidcd Auditing Tech iques), tas
 www.FreeLibros.me

utilidades y programas, lo paquetes especficos, las pruebas, la sim ulacin en parakb

con datos reales y programas de auditor o la revisin de programas.

17.15. CON SID ERACION ES R ES P E CTO AL INFORME

En I se harn constar los antecedentes y los objetivos, para que quienes lew d
informe puedan verificar que ha habido una comunicacin adecuada, as como qt
metodologa de evaluacin de riesgos y estndares se ha utilizado, y una breve
descripcin de los entornos revisados para que se pueda verificar que se han revisado
todas las plataformas y sistemas objeto d e la auditora.

Debe incluirse un resumen p a ra U D ireccin en trmino* no tcnicos.

Dependiendo de los casos ser preferible agrupar aspectos sim ilares: seguridad
fsica, seguridad lgica... o bien clasificar los puntos por centros o redes, espccsalmertt
en entidades grande* u existen responsables diferentes: en caso de duda ser un pumo
a com entar previamente con quienes van a recibir el informe, ya que con frecuencia
prefieren entregar, a cada uno la parte que ms le afecta, as como planificar y
controlar rea por rea o por departam entos la implantacin de medidas.

En c ad a p u n to que se incluya debe explicarse por qu es un incumplimiento o

una debilidad, as como alguna recomendacin, a veces abarcando varios puntos.

El informe ha de ser necesariamente revisado por lo* auditados, as como

discutido si es necesario antes d e em itir el definitivo.

En muchos casos, bien en el propio informe o en otro documento, se recogen las

respuestas de los auditados, sobre todo cuando la auditora es interna.

Ia entidad decide qu acciones tomar a partir del informe, y en el caso de t e

auditores internos stos suelen hacer tambin un seguimiento de las implantaciones.

Lo auditado r.i*mprc buscn un informe lo ms txnignu |* b Wc, nicmia-x que

los auditores no* proponemos llegar a un informe veraz y til: estos diferente* pumos
de vista a veces crean conflictos en el proceso de auditora y en la discusin del
informe.

En algunos casos los informes se han usado para comparar la seguridad de

diferentes delegaciones, sucursales, o empresa* de un mismo grupo, o bien filiales de
una multinacional, pero si los entornos no son homogneos las comparaciones pueden
no ser muy tiles y llegar a distorsionar.
 www.FreeLibros.me
CArtniio i r auottorI a de l a seoikpao <is

Con frecuencia quienes han pedido la auditora quieren conocer la calificacin

respecto a se guridad, adems de disponer de un informe complem entario o resumen
ca trminos no tcnicos; quieren saber si estn aprobados e n seguridad, as como los
riesgos ms destacados.

Es necesario, por tanto, diferenciar puntos m uy graves, graves, memorables... u

otra clasificacin, en definitiva establecer algunas m trica s d e se g u rid ad y clasificar
los puntos segn su im portancia y prioridad, que pueden ser reconsideradas por la
Direccin <fc la entidad a la hora de implantar las medidas, y en algunos casos se
puede llegar a entregar una lista provisional d e proyectos de implantacin.

En ocasiones, en e l caso de auditora externa, los clientes que no conocen los

Km:tev. habituales de la auditora sobreentienden que una v e / finalizada sta los
auditores daremos una asistencia m is propia de consultores, y que incluso llevaremos
* cabo implantaciones, redactaremos normas, o que al menos en los informes
especificaremos las soluciones: nombre de la herramienta que refuerza la seguridad en
mi entorno por ejem plo, cuando a m enudo esto requiere un estudio que se sale de los
faiites c incluso de la independencia propios de la auditora. Por ello, es importante
qoe se delimiten las responsabilidades y los productos a entregar que son objeto de
utu auditoria externa en el contrato o propuesta.

Alguno* de los pu ntos im p o rta n te s que pueslen llegar a estar en los informes
twpccto a seguridad, y sin que. se pueda generalizar porque depender de la entidad.
KCtor y circunstancias, pueden ser la ausencia de:

Copias d e activos crticos en cuanto a continuidad, en lugar diferente y

distante.

Cumplimiento de la legislacin aplicable asi como de las polticas y normas

internas: e n el caso de la legislacin incluso pueden producirse sanciones, y en
el caso concreto de la LO PI) la inmovilizacin de archivos com o hemos
indicado.

Diferenciacin de entornos de desarrollo y produccin, en cuanto a datos y

programas, y control de accesos.

Involucracin de la Alta Direccin, preferentemente a travs d e algn comit.

Motivacin de los empleados y directivos en relacin con la seguridad.

Evaluacin peridica y adecuada d e riesgos.

----------------------------------
 www.FreeLibros.me
41 AUDITORIA IMOKMTtCA: UN ENFOQUE PRACTICO________________________

Es. frecuente tambin que quienes han pedido la auditora quieran

despus, en qu medida se han resuelto los problemas, a partir de lax
tomad**, a travs de los informes de los auditores interno* o de quienes impla
medidas.

O tro deseo frecuente es querer conocer la evolucin d e la situacin en el ti

ya que aparecen nuevos riesgos, se reproducen oros, y algunos pueden vari
clasificacin en funcin del cam bio d e plataformas u oros.

Para elk> ex til mostrar en algin informe -principalmente los auditores irwroos-,
algunos cuadros que muestren la evolucin, que en algunos casos ha sido til pan
demostrar la rentabilidad de una funcin com o administracin d e la seguridad o
auditora interna o para evaluar la utilidad de un plan de seguridad.

17.16. C O N TR A TA C I N OE AUDITORA EX TERN A

Incluimos el epgrafe porque consideramos su utilidad en funcin de las

preguntas que a veces se nos hacen y d e los casos que hemos llegado a conocer: si so
se sigue un proceso d e seleccin adecuado de auditores externos no se puede
garantizar lo* resultados y se puede llegar al desencanto al recibir el informe, lo fte
puede suponer no llegar a conocer las posibilidades reales d e la auditora de sistemas
de informacin, sobre todo en un tema tan delicado com o la seguridad, o bien tescr
una visin pobre y desfigurada, como les ocurre a algunos a partir de experiencias
atpicas.

Algunas consideraciones pueden s e r

La entidad auditora h a de ser independiente de la auditada en el caso de una

auditora extem a: si e s ti ofreciendo oros servicios a la v e /, o pieasa
ofrecerlos en el futuro, o incluso a veces si ha sido proveedora en el pasado. a
menudo puede encontrar dificultades internas para entregar un informe veraz j
completo.

En ocasiones los propios auditores lo han llegado a comunicar, por tica.

I-a* persona* que vayan a realizar el trabajo han d e ser independientes y

competentes, segn el objetivo: sistemas operativos o plataformas concretas,
por lo que no e sti de ms examinar sus perfiles e incluso mantener alguna
entrevista, sin descartar preguntar por sorpresa en una reunin qu aspectos
revisaran y qu tcnicas usaran en el entorno que se les describa.

N o es tan comn pedir referencias de otros trabajos sim ilares com o en el cuo
de consultara pero se puede hacer, aunque para ello los auditores debieran
pedir permiso previo a sus dientes.
 www.FreeLibros.me
CAPfRIO IT AUWTOKU P t LAStGUHIHAO 417

La auditora ha de encargarte a un nivel suficiente, normalmente Direccin

General o Consejero Delegado, y a este nivel recibir lo informe*, porque ti
no a veces no se cuenta con el respaldo suficiente en las revisiones, y en todo
caso puede que si el informe n o ex favorable quede escoodido. y se ha perdido
el dinero y a veces la oportunidad.

Finalm ente, a ttulo de curiosidad, en una ocasin se nos pidi que no figurara
la palabra auditora cn el informe final, porque haba aversin por el trm ino,
por asociarse en la entidad a los auditores con los verdugos: n o es un caso
aislado y e s im propio.

Recordemos que puede ser necesario dar o mostrar a los audiurcs todo lo que
necesiten para realizar su trabajo, pero nada ms, e ineluse lo que se les
muestre o a lo que se les permita acceder puede ser coa restricciones: slo
parte de una base de datos, epgrafes de algunas actas, o sim plemente
mostrarles documentacin, que no pueden copiar o no pueden sacar de las
instalaciones del die n te: se puede exigir una clusula d e confidencialidad, y
raramente se les deben mostrar dalos reales confidencial d e clientes,
proveedores, empleados u otros, aunque se haga en la prctica to n frecuencia.

E n c ato de duda o de conflicto puede decidir un comit de auditora o el

propio de Direccin.

17.17. RELACIN DE AUDITORA CON ADMINISTRACIN DE

SEGURIDAD

Hemos encontrado en ms d e una ocasin que la misma persona tena las

fiincioow; de administracin de seguridad y auditora (informtica) ntcm a. lo cual
peede parecer bien a efectos de productividad, pero n o e s admisible respecto a
Kgregacin de funciones, siendo preferible, si la entidad no justifica q ie dos personas
cumplan en exclusiva ambas funciones, que se cubra slo una, o bien que la persona
(tabee otras funciones complementarias pero compatibles, como podran ser algunas
relacionadas con calidad.

En entidades grandes la funcin consta adems de corresponsales funcionales o

autonmicos.

La funcin de Administracin de Seguridad en parte ser nter ocutora en los

procesos de auditora de seguridad, si bien los auditores no podemos perder nuestra
tccesaria independencia, ya que debemos evaluar el desempeo d e la funcin de
idministracin de seguridad, desde si sus funciones to n adecuadas y estn respaldadas
 www.FreeLibros.me
41X AfPtTOWA IMORMM1CA l'N INKXJU! rKACllCO

por algn documento aprobado a un nivel suficiente, hasta fi cumplimiento de am

funciones y si no hay conflicto con otras.

La funcin d e auditoria de sistemas de informacin y la de administracifa di

seguridad pueden ser complementaria*, si bien sin perder su itdcpendcncia: se traud
funciones que contribuyen a una mayor y mejor proteccin, y resultan como a id q
protectores, com o se muestra e n la figura 17.4.

Figura 7.4. Funcione i de auditoria de S y auditora de seuridad como "amoi

protectores

Ambas funciones han d e mantener contactos per cos y prestarse cierta

atinenc ia tcnica.

Normalmente Administracin de seguridad habr d e inplantar las recomenda

ciones de los auditores una s e / fijadas las prioridades por la Direccin de la entidad.

Administracin de Seguridad puede depender del rea de Sistemas de Informa

cin. sobre todo si existe Auditora de SI interna, pero s pjede estar en peligro n
desempeo q u i/ sea preferible que tenga otra dependencia uperor. o al menos una
dependencia funcional de reas usuarias como puede ser de Direccin de Operaciones
o sim ilar, la existencia de un com it d e Seguridad d e la Informacin, o bien de una
funcin de Seguridad Corporativa puede resultar til.
 www.FreeLibros.me
CArtTlXO 17; AUPTTCXtlA PC LA SBCIHIPAP 419

En ocasiones los administradores de seguridad tienen casi exclusivamente una

funcin importante pero que slo form a una paite d e i cometido: la administracin
del paquete de control de accesos: RACF, T op Secrct. u otros, con frecuencia por
haber sido tcnicos de sistemas, y en ocasiones porque siguen sindolo, lo que
representa una gran vulnerabilidad y no siempre bien aceptada cuando la hemos
recogido en los informes d e auditoria.

Por otra porte, si la persona que oficialm ente administra la seguridad nicamente
incorpora usuarios y asigna contrasellas iniciales en uno de los sistemas, generalm ente
el ms importante, se trata de una labor necesaria pero en absoluto la nica, dndose a
veces una carencia de objetivos de seguridad, de modelos, d e planes de seguridad. as
como de seguimiento de transgresiones.

Otra situacin que se suele producir respecto al paquete de control de accesos, y a

veces coexistiendo con la sealada, es la que indicbamos: coincidencia de los roles de
administracin de seguridad y auditora interna en la misma persona, relativamente
comprensible porque son papeles que hay que asignar en los sistemas o paquete.
Hemos conocido situaciones de cierta tensin cuando los administradores han tenido
que crear usuarios con perfil de auditor -p o r ejemplo cuando stos asumen sus
facciones respecto al paquete- y quitarte ese perfil a s mismos.

Ambas funciones han de tener una dependencia jerrquica adecuada, una

descripcin de funciones idnea, y que las personas cuenten con formacin y
experiencia acordes y estn motivadas; cuando a alguien se le asigna una de estas
fsncioocs pora que no desaparezca del rea o incluso de la entidad, como
consecuencia de reorganizaciones o absorciones, difcilmente va a cumplir bien su
papel. Finalm ente, que am bas funciones, sin perder d e vista su cometido, quieran
colaborar para conseguir un boen nivel d e proteccin.

Volviendo brevemente a la formacin y experiencia, hemos encontrado

vulnerabilidades de distinta ndole e n individuos con un conocim iento tcnico de los
nemas muy profundo, y probablemente mayores vulnerabilidades cuando se d a el
caso contrario: aquellos que administran o revisan sin saber qu hacen, cmo lo hacen.
afecta en el rendim iento, o i w i recomemlaciottc o iii^iusiviotics icspccto a la
itguridad impactan gravemente en la productividad o crean situaciones de verdadero
bloqueo o de autntica burocracia.

17.18. CONCLUSION ES

Aunque an no se ha producido en Esparta el despegue de la auditora ni d e la

teguridad que esperam os desde hace artos, lo cierto e s que se han dado avances
 www.FreeLibros.me

significativos. y cabe esperar que siga e*ia tendencia y las en tid ad vayan enien-
diendo cada vez ms la utilidad de la proteccin de la informacin y de la auditora.

Tam bin es cierto que han surgido bastantes entidades suministradoras que lu
incluido la seguridad y la auditora entre sus posibles servicios, o simplemente h a
aceptado trabajos, en ambos casos sin disponer de expertos, lo que con frecuencia ta
supuesto un desencanto en la entidad auditada, y a veces resultados penosos, que so
benefician ni a la profesin ni a la auditora misma.

Por otra parte, y as lo hemos indicado en el captulo, los auditados finales, y mis
los responsables de las reas que sus colaboradores, siguen en muchos caso to
entender la esencia y utilidad de la auditora, y su obsesin e s evitarla y. cuando y
inevitable, a veces eludirla o al menos no resultar entrevistados: como que el proceso
no fuera con ellos (es del responsable hacia abajo, pero exclusiva, como nos dijo ui
Director de Sistemas de Informacin en una ocasin), o tal vez para poder alegar <pe
ellos no han facilitado la informacin que figura en el informe final.

En otras ocasiones han preparando a los entrevistados respecto a qu deben decir

y qu no en cuanto a riesgos o controles existentes, e incluso han hecho que todas Us
entrevistas se mantuvieran en su despacho y en su presencia, como nos pas en un
auditora de seguridad ciertamente delicada, por lo que los auditores a veces hemos de
ser algo psiclogo sin formacin para ello e interpretar k> que se nos dice, lo que se
nos quiere decir, y distinguir la versin oficial d e la realidad, interpretar silencios y
miradas, entrevistar a varias personas y llegar a evidencias por distintos medios.

Por otra parte, hemos podido verificar que la auditora, su filosofa, as como s
tcnicas y mtodos, interesan cada vez ms a los responsables de Sistemas de
Informacin, a veces para conocer cmo pueden evaluar los auditores sus reas, pero i
menudo saber cules pueden ser los riesgos y q u controles implantar.

1.0 que ellos mismos pueden realizar no se puede considerar una auditora, mb
por falta de independencia que por desconocimiento de las tcnicas, pero si pueden
constituir unos autodtagnsticos muy tiles, especialmente cuando se realizan coa
ayuda de listas o herramientas adaptadas o adaptables al entorno.

1.0* cam bios en la tecnologa influyen e n qu auditar y en cmo auditar. En

efecto, en los ltimos aos han ido apareciendo rea* nuevas, c o n las mencionada
de comercio electrnico, cliente-servidor, orientacin a objetos, entorne
multiplataforma. teletrabajo y ottitourcing. adems de otros sistemas operativo* o
nuevas versiones de los mismos, lo que viene a suponer novedad en los riesgo* y ea
Us medidas y la necesidad im periosa por parte de tas auditores d e estar muy al tanto:
como otros tcnicos relacionados con las tecnologas de la informacin tenemos U
servidumbre - o el placer y la oportunidad- de estar permanentemente informados.
 www.FreeLibros.me
C A ftni.o 11: AivnoKlA i. i,a se c ik id a d 4; 1

Aunque las implantaciones de la seguridad van siendo ms sofisticadas y

llegando a reas o aspectos casi desconocidos hace artos, esto no implica que estn
plenamente revuelto los ms bsicos: encontramos bastantes deficiencia en controles
fsicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden
encontrar.

Ms preocupante an es la inexistencia de controle* bsicos, como en relacin

con la segregacin de funciones, separacin de entornos o casi ausencia de normativa.

La auditora en nxtem as de informacin no est suficientemente implantada en la

mayora de las entidades espartlas, si bien supondra una mayor garanta de que las
cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos
puntos. Puede ser tambin una profesin con futuro cuando la auditora despegue.

Com o funcin aporta al auditor un conocimiento privilegiado del rea de

Sistemas de Informacin con una perspectiva muy amplia.

La forma de realizar el trabajo va variando y se est llegando a aplicar el control

por excepcin y la teleauditora.

En cuanto a nuevas reas, surge el auge del com ercio electrnico, el control de
pginas W EB : la revisin de quien autori/a. vara y controla los contenidos: en las
calidades por seguridad y productividad, y en tos hogares, aunque esto se sale d e la
aiditcra y queda en el control para evitar que los menores accedan a contenidos con
iolcacia o pornografa.

Por lo que se ha incluido en el captulo se presenta d e forma breve, como

responde a obra general que abarca los diferentes aspectos de la auditora, por lo
que hemos resumido el contenido del material de cursos propios tanto sobre Auditora
de la Segundad como sobre diferentes aspectos de la propia Seguridad.

17.19. LEC TU R A S RECOM ENDADAS

EDPAmhting. A l'E R BA CH , 1997.

ftjw Stcurily Management. AUERBACH. 1997.

bttapro R epons on Inform al ion Security. DATAPRO. McGraw-Hill. 1997.

BACA (Information Systems Audit and Control Association/Fosindation) COBIT:

Conirot O bjectives f o t Information an d Related Technology. Abril. 1996.

() Las tres primeras obras son d e actualizacin permanente.

 www.FreeLibros.me

17.20. C U ES TIO N ES DE REPASO

1. La seguridad de la informacin en Espaila: situacin se conocen realmera

lo* riesgos? Perspectivas.

2. E l perfil del auditor en segundad de sistema de infoonacin.

3 - Estndares para la auditora d e la seguridad.

4. La comunicacin a auditados y el factor sorpresa en auditoras de segurtdal

5. Qu debe hacer el auditor w se le pide que omita o vare algn punto o w

informe?

6. Auditora de la seguridad en las prximas dcadas: nuevos riesgos, tctuca

y herramientas.

7. Equilibrio entre seguridad, calidad y productividad.

8. Qu es m is crtico: datos, programas, penaras, comunicaciones,

instalaciones...?

9. Relaciones entre Administracin de Seguridad y Auditora de Sistemas de

Informacin interna y extema.

10. Clculo de la rentabilidad de la auditora de seguridad.

 www.FreeLibros.me

C A PTU LO 18

AUDITORA DE REDES
Jo s Ignacio Boixo Prcz-Holanda

18.1. TERM IN OLOGIA DE REDES. M ODELO OSI

Para poder auditar redes, lo prim ero y fundamental e s utilizar el mismo

vocabulario (m is bien jerga) que los expertos en comunicaciones que las manejan.
Debido a la constante evolucin en este campo, un primer punto d e referencia e s poder
referirse a un modelo comnmente aceptable. El modelo comn de referencia,
adoptado por ISO (International Standardt Organizaran) se denomina Modelo OSI
(Opcn Syitem Interconection). y consta d e estas siete capas:

Define el (omino de los datoque tg van a presentar a la aplicacin.

Establece los proceiiirsmo* Je aperturas y erres de vcun de

Comprad* la integridad de lo datos transmitidos (que no ha habido

Transforma los paquetes de informacin en tramas adaptada a lo

dUpomio fsicos sobre los cuales te realiza la transmisin.
Transforma la informacin en seAale ffuca* adaptada al medio de
 www.FreeLibros.me
t u Al'IHIUKlA IXKHWIKA IX I.NKXJO. fKAfiMX)

La potencia del modelo OSI prov iene de que cada capa no tiene que preocupo
de qu e s lo que hagan I capas superiores ni las inferiores: cada capa se comuna
con su igual en el interlocutor, con un protocolo de comunicaciones especfico. Eatrc
cada por de capa N y capa N -l c s ti perfectamente definido el paso de la informacita.
que se produce dentro de la misma mquina, con m todos clsicos de programan!
en kxal.

Para establecer una comunicacin, la informacin atraviesa descendentemente la |

pila formada por las siete capas, atraviesa el medio fsico y a<ciende a travs de las *
siete capas en la pila de destino. Por tanto, cada capa tiene ubos mtodos prefijad
para comunicarse con las inmediatamente inferior y superior.

IX* esta manera, se aslan los protocolos que se utilizan en unas capas con k
protocolos que se utilizan e n otras. Por ejemplo, e s posible innsm itir trfico TCPrtP
(capas superiores), a travs de Ethernet o Token-Ring indistintamente (captt
inferiores), gracias a esta independencia entre capas.

Este mtodo de especificar a qu capas correspond cada protocolo de

comunicaciones resulta muy til a efectos didcticos, pues rpidamente se tiene una
visin del alcance y utilidad del protocolo o elemento d e comunicaciones en cuestin.

Com o regla mnemnica para recordar fcilmente el orden de las siete capas OSI.
suele utilizarse la frase "Formemos Esta Red y Todos Seremos Pronto Amigof*
(Fsico. Enlace, Red. Transporte. Sesin. Presentacin y Aplicacin).

En los niveles inferiores, habitualmente hasta el nivel tres, rs donde se definen las
redes LAN (Local A rca Xetwork). MAN (Metropolitan Area Network) y WAN fWide
Arca Network). Las funcionalidades d e estos tres tipos de redes son similares,
variando fundamentalmente la distancia que son capaces de salvar entre el emisor y d
receptor (LAN: dentro de un edificio. MAN: dentro de >in cim pus o zona urbana.
WAN: cualquier distancia), siendo la velocidad inversamente proporcional a la
distancia.

I-a red LAN ms extendida. Ethernet, est basada en q ic cada emisor enva,
cuando desea, una trama al medio fsico, sabiendo que todos los destinatarios estn
permanentemente en escucha. Justo antes de enviar, el em isor c pone a la escucha, y
si no hay trfico, procede directamente al envo. Si al escichar detecta que cero
emisor est enviando, espera un tiempo aleatorio antes d e volverse a poner a la
escucha. Segn crece el trfico, se incremento la probabilidad de que dos emisores
hayan escuchado que el medio est libre y se pongan a transmitir simultneamente.
En ese caso, se habr producidos una colisin y las tram as :nviadas se destruirn
mutuamente, crendose una alteracin que es percibido fin can en le com o colisin de
tramas. Cada em isor procede entonces a dar la tram a como no enviada y a esperar n
 www.FreeLibros.me
C A rtu ro I AtUXTTft A OfcmOJCS *2i

tiempo aleatorio ante* de ponerte de nuevo a escuchar, exactamente igual que cuando
el nvedio estaba ocupado. I-s tecnologa de Ethernet (10 Mcgabits por segundo
Mbps). Fai Ethernet (100 Mbps) y G iga Ethernet ( 1.000 M bps) v batan cn el mismo
principio, incrementando sucesivamente la velocidad de transmisin La Ethernet fue
normalizada por el norteamericano Instilte o f Electric and Electronic Engincers con
el nombre IEEE 802.3.

El cable que fsicamente conecta a equipos Ethernet se denomina tegmento. En

ve/ de tender un nico cable que recorra todo lo t equipos del tegmento, ve suele
tender un cable por equipo y juntar todos los cables cn un concentrado- pasivo (lau ")
o activo (hub). Cada segmento admite un nm ero mximo de equipos, por lo que
los tegmentos han de ser conectados entre s mediante dispositivo que hagan que la
informacin pase del segmento origen al segmento de destino, pero confinando cn
cada segmento la informacin que no deba salir de l y as evitar anegar lo segmento
adyacente.

La l > N Token-Ring. desarrollada por IBM. est normalizada c o n o IEEE 802.5.

w ne velocidades d e 4 y 16 Mbps y una mejor utilizacin del canal cuando se
incrementa el trfico. La FDDI es otra IJVN. hatada cn inm tm isin a travs d e fibras
pica, a velocidades de centenas de Mbps, que te suele utilizar para inu-rconcctar
segmentos de LAN.

Para rede W AN, est m uy extendido el X.25. Se basa en fragmentar la

formacin cn paquetes, habitualmcnte de 128 caracteres. Estos paquetes se entregan
a un transportista habitualmente pblico que se encarga d e ir c n v ii dolos saltando
entre diversos nodos intermedios hacia el destino. En cada nodo te lleva una cuenta
| con el nodo inmediato (colateral), para saber que cada paquete te ha recibido
correctamente, o si hubo fallo, proceder a su retransmisin. Para su tnnsm isin. cada
piquete recibe una cabecera y una cola, y as queda convertida en una trama con
control de trfico y de errores entre cada pareja colateral de nodos. Mediante este
salto de nodo a nodo se puede establecer trfico a cualquier distancia a velocidades
Cficas de decenas de Kbps.

Cl Trame-Relay e s U cuiK n tc lo mism o qsic el X.2S. pero, aprovechando que la

fiabilidad entre nodo e muy alta, slo se comprueba que los pococies han sido
transportado sin errores cuando son recibidos en el destinatario: esto ahorra multitud
de comprobaciones c n los nodo intermedios, incrementando la v e lx id ad hasta cl
ordena de los cientos de Kbps.

El ATM (Asynchronus Transfer Modc/m odo de transferencia asincrono) utiliza

m concepto de alguna manera sim ilar a Framc Relay, con tram as de 53 caracteres
(cinco de cabecera y 48 de informacin a transportar), que se conmutan en nodos
 www.FreeLibros.me
auimio b Ia inform tic a un f.nfoqce Acuco

o p ecialm ente diseftados, con lgica prcticamente cubicada, a muy alta velocidad,
desde los cien .Mbps.

18.2. V ULNERABILIDADES EN REDES

Todos los sistemas de comunicacin, desde el punto de vista de auditora,

presentan en general una problemtica comn: La informacin transita por lugares
fsicamente alejados de las personas responsables. Esto presupone un compromiso en
la seguridad, ya que no existen procedim ientos fsicos para garantizar la inviolabilidad,
de la informacin.

En las redes de comunicaciones, por causas propias d e la tecnologa, pueden

producirse bsicamente tres tipos d e incidencias:

I* Alteracin de bits. Por error en los medios de transmisin, una trama puede
sufrir variacin en pane de su contenido. I-a form a ms habitual de detectar,
y corregir en su caso, este tipo de incidencias, e s su fijar la trama coa ai
Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita
corregir errores que afecten hasta unos pocos bits en el mejor d e los casos.

2* Ausencia de tramas. Por error en el medio, o en algn nodo, o po

sobrecarga, alguna trama puede desaparecer en el cam ino del emisor il
receptor. Se suele atajar este riesgo dando un nmero de secuencia a las
tramas.

3* Alteracin de Secuencia. El orden en el que se envan y se reciben las

tram as no coincide. Unas tram as han adelantado a otras. En el receptor,
mediante el nmero d e secuencia, se reconstruye el orden original.

Por causas dolosas, y teniendo en cuenta que e s fsicamente posible interceptar la

informacin, los tres mayores riesgos a atajar son:

I* Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo b

informacin que contenga.

T Suplantacin. U n tercero puede introducir un mensaje espurio que el

receptor cree proveniente del emisor legtimo.

3 M odificacin. Un tercero puede alterar el contenido de un mensaje.

Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en

redes MAN y W AN (cuando la informacin sale del edificio) e s la criptografa En
 www.FreeLibros.me
CAPtUILOIK Al'DtTORUPeREDCS 427

role* LAN suelen utilizarse ms bien medidas de control de acceso al edificio y al

obleado, ya que U criptografa es muy onerosa todas (a para redes locales.

Dada la proliferacin de equipos que precisan comunicacin de falos dentro de

los edificio*, e s muy habitual plantearse sistemas de cableado integral en vez de tender
u cable en cada ocasin. Esto es prcticamente un requisito en edificios con cierto
volumen de usuarios.

Los sistemas de cableado suelen dividirse segn su mbito. En cada plaa o

m u se tienden cables desde un armario distribuidor a cada uno Se b s potenciales
pacstos. Este cableado se denomina habitualrnente de planta". Estos armarios estn
conectados a ku v e /, entre s y con las salas de computadores, denominndose a estas
conexiones cableado "troncal". Desde las salas de computadores punen las lneas
hacia los transportistas de datos (Telefnicas o PTTs). saliendo tos cables al exterior
del edificio en lo que se denomina cableado de ruta".

El cableado de planta suele ser de cobre, por lo que e s propenso a escuchas

("pinchazos") que pueden no dejar rastro. El cableado troncal y el de ruta cada vez
ns frecuentemente se tienden mediante fibras pticas, que .son muy difciles de
bterceptar. debido a que no provocan radiacin electromagntica y a qae la conexin
fsica a una fibra ptica requiere una tecnologa delicada y compleja.

En el propio puesto Je trabajo poede haber peligros, com o grabar.'retransmitir la

imagen que se ve en la pantalla. tcclalos que guardan memoria del orden en que se
han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la
vhu.

Dentro Je las reJe* locales, el mayor peligro es que alguien instale una "escucha"
no auton/ada. A l viajar en claro la informacin dentro de la red local, es
imprescindible tener una organizacin que controle estrictamente I equipos de
acocha, bien sean stos fsicos (sn if f c O o lgicos ("traceadorts"). Ambos
ocuchadores. fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de
cierto tamao. Por tanto, e s furxlamcnial que esc uso legtim o est o>ntrota<k> y no
devenga en actividad espuria.

El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la

formacin, tiene unos efectos relativamente sim ilares a los Je pxlcr entrar, sin
ccctrol. en el sistema de alm acenamiento del computador.

Hay un punto especialmente critico en los canales de com unicacioies que son las
contraseas Je usuario. Mientras que en el sistema de almacenamiento las contraseas
cien guardarse cifradas, es inhabitual que los terminales u computadores personales
se capaces de cifrar la contraserta cuando se enva al computador central o al
servidor.
 www.FreeLibros.me

18.3. P R O TO C O LO S DE A L T O NIVEL

Com o protocolos <Ic alto nivel, los ms importante* por orden de aparicin en h
industria so: SNA. OSI. Netbios. IPX y TCP/1P.

System N tlw ork Architecture. Fue disertado por IBM a partir de los artos
al principio con una red estrictamente jerarquizado, y luego pasando a una trucan
m is distribuida, fundamentalmente con el tipo de sesin denominado LU 6.2.

El SNA se encuentra fundamentalmente en los computadores centrales

donde sigue gozando de un extraordinario vigor, especialmente para
con term inales no inteligentes de tipo 3270, y pora sesiones estableci
computadores centrales y componentes softw are IBM.

asi
Fue disertado por el antiguo Comit Consultivo Internacional de Telooo*>
Telgrafos -C C T IT -. actualmente Unin Internacional de Telecomunicaciones -flU
bsicamente compuesto por las compartas telefnicas nacionales (llamadas KIT). 8
disertaron todas las capas, desde los medios fsicos hasta las aplicaciones
trasferencia de archivos o terminal virtual. Donde ha tenido xito es en el pro
de Ked X.25 y en el correo elecudnisv X.400.

N etbios

Este protocolo fue el que se propuso, fundamentalmente por Microsoft, pa

comunicar entre s computadores personales en redes locales. Es una extemita a n
(net") del "Basic Input/Output System " del sistema operativo DOS. E*
orientado a la utilizacin en I.AN , siendo bastante gil y efectivo.
 www.FreeLibros.me

IPX

Ei el protocolo propietario d e Novell que. al alcanzar en su momento una

pttcin de predominio en el sistema operativo en red, ha gozado de gran difusin. Su
j serte est ligada a la de esc fabricante.
TCPilP

(Tramfer Control Protocol/Jntem et Prtnocol). Disertado originilmente en los

atenta, para sobrevivir incluso a ataques nucleares contra los EE.UU.. e
impjlsado desde los mbitos acadmicos, la enorme versatilidad d e este protocolo y
aceptacin generalizada le ha hecho el paradigma de protocolo abierto, siendo la
tase de interconexin de redes que forman la Internet. Es el protocolo que est
opoafixJose. por derecho propio, corno gran unificador de toda-, las redes de
ceancactoaes.

Lamentablemente. no existe una independencia d e fa c to entre las aplicaciones y

los protocolos de alto nivel. Es todava poco habitual que los clsicos programas de
eompuiador central IBM se usen con protocolo distinto d e SNA. Por su parte el
TCPiTP posee uru gran cantidad de aplicaciones, ampliamente difunds!, pero que no
pueden funcionar con otros protocolos.

Por ejemplo, la transmisin de archivos FT P (File Tram fer Proncol). el correo

dectrnico SM TP (Simple M ail Tra m fer Protocol) o el terminal v irtud Tclnet han de
cctct precisamente sobre una "pila" de protocolo TCP/1P. Se esablece as una
alim entacin donde las utilidades refuerzan al protocolo TCP/1P. que se suelve
cada vez ms atractivo para que los desabolladores escriban nuevas utilidades, a l
orientadas. Adems, precisamente por su apertura, el TCP/IP es el preferido por
organismos reguladores y grandes empresas, pues permiten evitar, a. ser abierto, la
dependencia de ningn fabricante en concreto.

Una solucin que est teniendo xito es "encapsulax" un protocolo sobre otro.
Arf. el Netbios puede ser transportaste sobre TCP/IP: la capa inferior. Netbcui. puede
ser sustituida por TCP/IP. quedando el Netbios "cncaptulado" sobre TCP/IP. Sin
embargo, han de tenerse muy en cuenta las vulnerabilidades q je se crean al
capsular. En el caso de Netbios sobre T CP/IP son vulnerabilidaJes serias, pues
facilitan el tomar control rem oto de recursos que se pens que slo <e accederan en
fecal. confiando, al menos en porte, en la proteccin fsica.

Al ser los sistemas de comunicaciones, procesos "sin historia", donde no se

almacenan permanentenvente datos de ningn tipo, los sistemas <Je recuperacin se ven
especialmente beneficiados por esta caracterstica. Si una sesin cae. una vez que se
 www.FreeLibros.me
* AUDITORA PiFORMATKA fX ENFOQIE PRACTICO

vuelve a establecer la sesin, el incidente queda solucionado. F.s responsabilidad del

aplicacin volver a remicializar si la interrupcin se produjo en mitad d e una umdid
de proceso.

Por ejem plo, si la intem ipcin de la sesin se ha producido a mitad de uta

transferencia de archivo, ver misin de la aplicacin, cuanlo la sesin se re.s-.ui, .
determinar si vuelve a comenzar la transmisin del archivo desde el principio o ti |
I rcutili/a la parte que ya se ha transmitido.

Si es una persona quien ha sufrido el incidente, cu an lo se reanude la scafe

deber volver a identificarse con su nombre de usuario y ontraserta. comprobad
hasta qu punto la aplicacin en la que estaba operando recogi los ltimos datos qae
introdujeron.

Esta restriccin fundamental, d e que los sistemas d e comunicaciones te

almacenan datos, permite una mayor facilidad a la hora de duplicar equipamiento
Dado que una vez cerrada la sesin no queda ninguna infoimacin a retener (sai -
obv iamente estadsticas y pistas de auditora), la sesin, a l reanudarse, puede utilizar b
misma o diferente rota. Si existen diversos nodos y diversos enlaces entre ellos, b !
cada de un nodo slo ha d e significar la interrupcin de las sesiones que per d
transiten, que se podrn reiniciar a travs de los resu m es iodos. Por ello, es m
norma generalmente aceptada, al menos en redes d e cierto lam ato . tener nodo j
enlaces replicados para prevenir situaciones d e contingencia.

Una vez ms. el protocolo TCP/1P demuestra en este caso su utilidad. Al haba
sido este protocolo disertado pora encontrar rulas remanentes, inclusive ame carta
masivas, est especialmente bien orientado para facilitar la reestructuracin de uru red
ante fallos de parte de sus componentes, sean stos lneas, n o Jos o cualquier otro tijo
de equipamiento. Cada vez m is se est orientando los e qiipos de red a manQ*
prioritariamente trfico TCP/IP y aadir facilidades de gestrin de sobrecargas, rx*
alternativas, tratamientos de contingencias y todo tipo de situiciones que aconteces a
una red en funcionamiento.

18.4. REDES A BIER TA S (TCP/IP)

Ame el auge que est tomando el protocolo TCP/IP. como una primen .
clasificacin de redes, se est adoptando la siguiente nomenclatura para las role
b a sa d en este protocolo:

Intranet: Es la red interna, privada y segura de um empresa, utilice o t "

medios de transporte de tercero.

1
 www.FreeLibros.me
CArtnitO I AUDITORIA PC RUX 4)1

Extranct: Es una re<l privada y segura, compartida por un conjunto de

empresas, aunque utilice medios de transporte ajenos e inseguro, como
pudiera ser Internet.

Internet: Es la red de redes, "m etared" a donde se conecta cualquier red que se
desee abrir al exterior, pblica c insegura, de alcance mundial, donde puede
comunicar cualquier pareja o conjunto d e interlocutores, dotada adem s de
todo tipo de servicios de valor aadido. Infovfa es la Internet que sopona
Telefnica, con peculiaridades fundamentalm ente comerciales.

El mayor peligro que representa u n acceso T CP/IP no autorizado viene

precisamente por la mayor virtud del TCP/IP: su amplia disponibilidad de utilidades.
tW i la estandarizacin de las utilidades TCP/IP, es muy razonable suponer que cada
a^uina con acceso T CP/IP tenga "puertos abiertos, que a su vez tienen direcciones
realizadas donde encontrar transmisores d e archivos, servidores de correo.
Kmtsalcs virtuales y todo tipo de servicios d e utilidad. Una ausencia d e proteccin
Bfuficj/a que un tercero puede utilizar estos servicios normalizados, d e comn
costeada en cualquier mquina, en beneficio propio.

Un dispositivo especficamente dedicado a la proteccin de una Intranet ante una

Eitraaet, y fundamentalmente ante Internet, es el cortafuegos (Firewall). sta es una
tyina dedicada en exclusiva a leer cada paquete que entra o sale de una red para
permit: vu paso o desecharlo directamente. Esta autorizacin o rechazo est basada
a usas tablas que identifican, para cada pareja de interlocutores (bien sea basado en el
tpo de interlocutor o inclusive en su identificacin individual) los tipos d e servicio*
que pueden ser establecidos. Para llevar a cabo su misin, existen diversas
figuraciones, donde se pueden incluir cncaminadores (routers). servidores de
proximidad (proxy). zonas desmilitarizadas, bastiones, y dems parafemalia. a veces
copiada de modelos militares.

Las polticas de proteccin en un cortafuegos suelen denominarse desde

paranoica.'' hasta promiscuas", pasando por todo tipo d e gamas intermedias. Dcese
de la poltica paranoica cuando est prohibido absolutamente todo, requirindose una
aM 'uA ii cspc^fii para cada servicio en concreto Mr cada par d e interlocutor
tercios. Dccsc de poltica promiscua cuando todo c u autorizado, identificndose
especficamente aquellos servicios concretos entre parejas concretas de interlocutores
que se prohben. Lo m is habitual e s autorizar especficamente servicios (por ejemplo,
arreo electrnico) para c ienos tipos genricos d e usuarios (por ejem plo, a todos).
ow>* servicios (por ejemplo, terminal vinual) a ciertos usuarios especficos (por
jtmpk>. servidor de term inales virtuales) y el resto no autorizarlo.
 www.FreeLibros.me

INTERNET

EXTRANET

Figura 18.I. Proteccin de una red Intranet

Para proteger la red interna "Intranet Sel exterior vuele utilizarse el esquena
expuesto en la figura 18 .1. o bien variaciones del mismo. Se pane de la base de qse U
informacin que viaja entre la Intranet y e l exterior ha d e atravesar la "zocu
desmilitarizada" (DM Z de sus siglas inglesas), pasando por dos cncaminadores. Uo
encaminadr protege las accesos desde el exterior hacia la zona desmilitarizad!
(cncaminador externo) y otro protege los accesos desde la zona desmilitarizada hacii
la Intranet (cncaminador interno). En la zona desmilitarizada se instalan aquclka
servicios a los que haya que acceder desde el exterior y desde el interior, en m i
mquina especialmente segura, denominada bastin, que debe ser dedicad!
exclusivamente a este fin.

Por ejemplo, un servidor proxy accede a un servidor Internet, recuperando U

informacin que haya solicitado un usuario interno, y almacenndola para que poeili
ser recuperada desde la Intranet. De esta manera ve evita una conexin directa dede
una mquina interna a un servidor Internet. Del mismo modo, el correo clectrexo
podra recibirse en un servidor instalado en la zona desmilitarizada y reexpedirse hac
el interior. El objetivo e s evitar establecer sesiones directas entre una m ta aa i
Intranet y una maquina externa Los encaminadores impedirn que se establezca
conexiones de este tipo, salvo aquellas que especficamente se determinen. 0
cncaminador extem o slo permitir que atraviese trfico autorizado entre el exterior y
el bastin, y el cncaminador interno har lo propio con el trfico entre el bastin y U
red interna.

Este esquema de proteccin puede ser sim plificado, a costa de disimeuir

funcionalidades y solidez, prescindiendo en primer lugar del cncaminador interno, y
en segundo lugar del bastin. A brir al exterior, sin proteccin, una red interna, quei
fuera de la buena prctica informtica.
 www.FreeLibros.me

El peligro m is clsico ex que un extrao se introduzca desde el exterior hacia U

red interna. Dado que las tcnicas para saltar los procedimientos de seguridad son
pibltcas y se puede acceder a ellas desde Internet, una primera preocupacin debiera
ser, peridica, controlada y preventivamente, intentar sallar los procedimientos de
segundad antes de que un extrao los ponga a prueba.

Para comprobar los controles de acceso desde el exterior, asi corno las
vulnerabilidades en la red interna, cortafuegos, servidores, etc. existen programas
especfico* ya comercializados, como por ejemplo SAFEsuite. Satn. Cops... que
facilitan esta tarca, comprobando la* vulnerabilidades ya cooocidai. Las nuevas
versiones de estos programas, que aparecen regularmente, incluyen comprobaciones
de las nuevas debilidades detectada*. Com o en el caso de los anti-vini*. *e deben
tener estos programa* actualizados a fecha reciente.

Un primer ataque es conseguir la identificacin de un usuario. Para ello pueden

tizarse tcnicas de indagacin, leyendo el trfico hasta encomiar nombres sJe
usuario y contraseas, poner a prueba la buena fe d e lo usuarios mandndoles un
mensaje del tipo soy su administrador, por favor, cam bie su contrastla a manzana "
o directamente intentar encontrar identificaciones habituales de usuirios ("prueba",
opel". master"...). o que ya vienen por dcfecio en muchos sistemas.

Aunque los archivos de contraseas estn cifrados, habitualnentc utilizando

como clave de cifrado de cada contrasea la propia contrasea, com o kxs mtodos de
cifra se conocen, existen programas que son capaces de probar miles de contraseas
usuales ya cifradas para ver si corresponden con alguna del archivo de contraseas
cifradas. Por ello es fundamental evitar que los archivos con las contraseas cifradas
caigan en manos de terceros.

En los sistemas distribuidos, se suele utilizar la tcnica de Vronfianza entre

nodos", de manera que si un usuario est autorizado para el nodo A. y solicita desde el
aodo A un servicio al nodo B. como el nodo B confa en que el nod> A ya ha hecho
la autenticacin del usuario, el nodo B admite la peticin del usuaria sin exigirle la
contrasea. Un intruso que sea cap o / de entrar en un nodo puede po: tanto entrar en
ledos los nodos que confien" en el nodo ya accedido.

Tambin aparece diversa "fauna maligna" como "gusanos", mensajes de correo

electrnico que se reproducen y acaban por colapsar la red: caballos de Troya",
programas aparentemente "inocuos" que llevan cdigo escondido: virus, que se
amocopian de un programa/documento "infectado" a otros programas/dorumentov
"limpios": puertas falsas", accesos que muchas veces se quedan de la etapa de
instalacin/depuracin de los sistemas.
 www.FreeLibros.me
4U AID1TOKK INFORMTICA: US h.VKXJDI. fKCnCO

18.5. AUD ITAND O LA GERENCIA DE COMUNICACIONES

Cada v m is las comunicaciones estn tomando un papel determinante cn d

tratamiento de datos, cumplindose cl lema el computador es la re d " .

N o siempre esta importancia queda adecuadamente reflejada dentro de b

estructura, organizativa de proceso de datos, especialmente cn organizaciones de tipo
"tradicional". donde la adaptacin a los cambios no se produce inmediatamente.
Mientras que comnmente el directivo informtico tiene am plios conocimiento* de
proceso de datos, no siempre sus habilidades y cualificaciones en tema* de
comunicaciones estn a la misma altura, por lo que cl nesgo de deficiente anclaje de li
gerencia de comunicaciones cn el esquema organizativo existe. Por *u parte, j*
informticos a cargo de la* comunicaciones suelen autoconsiderarse cxclusivameak
tcnicos, obviando considerar la* aplicaciones organizativas de su tarea.

Todo* estos factores convergen en que la auditora de comunicaciones no *iemf*t

se practique con la frecuencia y profundidad equivalentes a las de otras reas del
proceso de datos.

Por tanto, el primer punto de una auditora e s determinar que la funcia de

gestin de redes y comunicaciones est claramente definida, debiendo ser responnNe.
en general, d e las siguientes reas:

- Gestin de la red. inventario de equipamiento y normativa de concctividad.

- Monitorizacin de las comunicaciones, registro y resolucin de problema*.

- Revisin de costes y su asignacin d e proveedores y servicios de trantpone.

balanceo de trfico entre rutas y seleccin de equipamiento.

- Participacin activa cn la estrategia de proceso de dato*, fijacin de estndire*

a ser usados en el desarrollo d e aplicaciones y evaluacin de necesidades e
comunicaciones.

Com o objetivos del control, se debe m arcar la existencia de:

Una gerencia de comunicaciones con autoridad para establecer procedimientos

y norm ativa

Procedim ientos y registro* d e inventarios y cambios.

Funciones de vigilancia del uso de la red de comunicaciones, ajustes de

rendim iento, registro de incidencias y resolucin de problemas.
 www.FreeLibros.me

Procedim ientos para d seguimiento del coste de las comunicaciones y su

reparto a las personas o unidades apropiadas.

Procedim ientos para vigilar el uso de la red d e comunicaciones, realizar

ajustes para mejorar el rendim iento, y registrar y resolver cualquier problema.

Participacin activa de la gerencia de comunicaciones en el diserto de las

nuevas aplicaciones on Une para asegurar que se sigue la normativa de
comunicaciones.

lista de control

Comprobar que:

* G . 1. La gerencia de comunicaciones despache con el puesto directivo que en

el organigrama tenga autoridad suficiente para dirigir y controlar la
funcin.

* G.2. Haya coordinacin organizativa entre la comunicacin de datos y la de

voz. en casa de estar separadas estas dos funciones.

*GJ . Existan descripciones del puesto de trabajo, competencias.

requerimientos y responsabilidades para el personal involucrado en las
comunicaciones.

* G.4. Existan normas en comunicaciones al menos para las siguientes reas:

T ipos de equipamiento, como adaptadores LAN. que pueden ser

instalados en la red.

Procedim ientos de autorizacin para conectar nuevo equipamiento

en la red.

Planes y procedimientos d e autorizacin p a n la introduccin de

lineas y equipos fuera de las horas normales de operacin.

Procedim ientos para el uso de cualquier conexin digital con el

exterior, como linea de red telefnica conmutada o Internet.

Procedim ientos de autorizacin para el uso de exploradores fsicos

(sniffers) y lgicos (m ocadores).
 www.FreeLibros.me
6 AUDITORIA lsmWMATK~A UN ENTOqtE PKCTKX)

Concrol fsico d e los exploradores fsicos (sniffers). que deben war

guardado*.

Control d e qu mquinas tienen instalados exploradores lgica

(traceadores). y de que stos slo se pueden invocar por u su n a
autorizados.

G.5. Los contratos con transportistas d e informacin y otros proveedla

tienen definidas responsabilidades y obligaciones.

G.6. Existan planes de comunicaciones a largo plazo, incluyendo cstrakpa

de comunicaciones d e voz y datos.

G .7 . Existen, si fueren necesarios, planes para comunicaciones a a b

velocidad. com o fibra ptica. ATM. etc.

G . 8. Se planifican redes de cableado integral para cualquier nuevo edificioo

dependencia que vaya a utilizar la empresa.

G.9. El plan general de recuperacin de desastres considera el respaldo y

recuperacin de los sistemas d e comunicaciones.

G . 10. Las listas de inventaro cubren todo el equipamiento de comunicaciMCf

d e datos, incluyendo mdems, controladores, term inales, lneas y
equipos relacionados.

G .l 1. Se mantienen las diagramas de red que documentan las conexkaei

fsicas y lgicas entre las comunicaciones y otros equipos de proceso de
dalos.

G. 12. Se refleja correctamente, en el registro de inventario y en los diag n o u

de red. una muestra seleccionada d e equipos d e comunicaciones, de
dentro y de fuera d e la sala de computadores.

G .l3. Los procedim ientos de cambio para equipos d e comunicaciones, m

como para aadir nuevos term inales o cambios en direcciones, o
adecuados y consistentes con otros procedimientos de cambio en la
operaciones de proceso d e datos.

G. 14. Existe un procedim iento formal de prueba que cubre la introduccido de

cualquier nuevo equipo o cambios en la red de comunicaciones.
 www.FreeLibros.me
CAPTULO la AUPnom^DfcRfBfS 457

G.15. Para una seleccin de disersas altas o caminos en la red. e un perodo

rccicnte. los procedimientos formales d e control han sido cumplidos.

* G .I 6. Estn establecidos ratios de rendim iento que cubren ir is como la de

tiempos de respuesta en los term inales y tasas de errores.

G. 17. Se vigila la actividad dentro de los sistemas on lin t y sr realizan los

ajustes apropiados pora mejorar el rendimiento.

G .I 8. Existen procedimientos adecuados de identificacin, documentacin y

tom a de acciones correctivas ante cualquier fallo de comutcaciones.

G .I9 . La facturacin de los transportistas d e com unicacknes y otros

tendedores e s revisada regularmente y los cargos con discrepancias se
conforman adecuadamente.

* G.20. Existe un sistema comprensible de contabilidad y cargo en costes de

comunicaciones, incluyendo lneas, e quipos y term inales.

G .2 I. Los gestores de comunicaciones estn informados y participan en la

planificacin pre-im plementacin de los nuevos sistemas de
informacin que puedan tener m pacio en las comunicaciones.

* G 22 Las consideraciones d e planificacin de capacidad en comunicaciones

son tomadas en cuenta en el diseo c mplementacin de nuevas
aplicaciones.

11.6. AUDITANDO LA RED FSICA

En una primera divisin, se establecen distintos riesgos para >xs datos que
ceculan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
diurse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han
Joestudiadas los vulnerabilidades existentes.

Eb general, muchas veces se parte del supuesto de que si no existe acceso fsico
desde el extenor a la red interna de una empresa las comunicaciones inte t u s quedan a
alvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del
alee* han sido debidamente registrados, para c si lar estos accesos. Debe tambin
reprobarse que desde el interior del edificio no se intercepta fsicamente el cableado
ClMKteuo").
 www.FreeLibros.me
m_AVDIJOKl\ INKWMAIK A I N I.MOQt'l IHAITX l

En caso de dcvUre. bien ea total o parcial, h a de poder comprobarse cuil a b

parte del cableado que queda en condiciones d e funcionar y qu opentisidid pucdi
soportar. Ya que el rendido d e cables es una actividad irrealizable a muy corto pino,
los p la n de recuperacin de contingencias deben tener prevista la recuperacio a
comunicaciones.

Ha de tenerse en cuenta que la red fsica e s un punto claro de contacto entre U

gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, qtc
I es quien suele aportar clectncistav y personal profesional para el tendido finco t
cables y su mantenimiento.

Com o objetivos de control, se debe marcar la existencia de:

Areas controladas para los equipos d e comunicaciones, previniendo arf

accesos inadecuados.

Proteccin y tendido adecuado de cables y lineas de comunicaciones, paca

evitar accesos fsicos.

Controles de utilizacin de los equipos d e pruebas d e comunicaciones, sale#

para monitonzar la red y su trfico, que impidan su utilizacin inadecuada

Atencin especfica a la recuperacin de los sistemas de comunicacin de

datos en el plan de recuperacin d e desastres en sistemas de informacin.

Controles especficos en caso de que se utilicen lneas telefnicas nonrafa

con acceso a la red d e datos para prevenir accesos no autorizados al sistema o
a la red.

I.ista de control

Com probar que:

* F. I. FJ equipo de comunicaciones se mantiene en habitaciones cerrad coa

acceso limitado a personas autorizadas.

* F.2. La seguridad fsica de los equipos d e comunicaciones, tales con

controladores de comunicaciones, dentro de las salas de computadora
sea adecuada.
 www.FreeLibros.me
HA CAPfnftX) 18 AUDITOttU DfcRUX-S 4

* F.3. Slo personas con responsabilidad y conocimientos estn incluidas en la

lista de personas permanentemente autorizadas para entrar en las salas
de equipos de comunicaciones.

* F.4. Se toman medidas para separar las actividades de electricista* y

personal d e tendido y mantenimiento de tendido de lim as telefnicas,
as com o sus autorizaciones de acceso, de aqullas del personal bajo
control de la gerencia de comunicaciones.

* F.S. En las zonas adyacentes a las salas de comunicaciones, tudas las lneas
de comunicaciones fuera de la vista.

* F.6. Las lneas de comunicaciones, en las salas d e comunicaciones, armarios

distribuidores y terminaciones de los despachos, estarn etiquetadas con
un cdigo gestionado por la gerencia de comunicaciones, y no por su
descripcin fsica o mtodos sin coherencia.

* F.7. Existen procedimientos para la proteccin de cable y bocas de

conexin que dificulten el que sean interceptados o enneciados por
personas no autorizadas.

* F.S. Se revisa peridicamente la red de comunicaciones, buscando

intercepciones activas o pasivas.

* F.9. L os equipos de prueba d e comunicaciones usados p a n resolver los

problemas de comunicacin de datos deben tener propsitos y funciones
definidos.

*F.IO. Existen controles adecuados sobre los equipos de prueba de

comunicaciones usados para monitorizar lneas y fijar problemas
incluyendo:

Procedim iento restringiendo el uso de estos equipos a personal

autorizado.

Facilidades de traza y registro del trfico d e datos que posean lo*

equipos de monitorizacin.

Procedim ientos de aprobacin y registro ante las conexiones a lneas

de comunicaciones en la deteccin y correccin de problemas.

En el plan genera) d e recuperacin d e desastres para servicios de

informacin pre*ta adecuada atencin a la recuperacin y vuelta al
servicio de los sistemas de comunicacin de dato*.
 www.FreeLibros.me
AL'DtTORlA INFORMATICA- CX ENFOQUE PRCTICO___________________________ m

* F .I2. Existen planes d e contingencia para desastre* que slo afecten a Ut

comunicaciones, com o el fallo de una sala completa de comunicacioact

F . 13. l-as alternativas de respaldo de comunicaciones, bien sea con lis

mismas salas o con sala* d e respaldo, consideran la seguridad fftica de
estos lugares.

* F .I4. Las lneas telefnicas usadas para datos, cuyos nmeros no debee ter
pblicos, tienen dispositivos/procedim ientos d e seguridad tales ccoo
retrol lanuda, cdigos de conexin o interruptores para impedir accesx
no autorizados al sistema informtico.

18.7. A UD ITA ND O LA RED LGICA

Cada vez m is se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato comn que le* ute.
Ledo a la inversa, la red hace que un equipo pueda acceder legtim amente a cualquitt
otro, incluyendo al trfico que circule hacia cualquier equipo d e la red. Y todo cll
por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente runpit
dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y. por
tanto, al resto de los e quipos d e la instalacin.

Es necesario monitorzar la red. revisar tos errores o situaciones anmalas que ie

producen y tener establecidos l<xs procedim ientos para detectar y aislar equipos en
situacin anmala. En general, si se quiere que la informacin que viaja por la red do
pueda ser espiada, la nica solucin totalm ente efectiva a la encriptacin.

C om o objetivos d e control, se debe m arcar la existencia de:

Contraseas y otros procedim ientos para lim itar y detectar cualquier inientodt
acceso no autorizado a la red de comunicaciones.

Facilidades de control d e errores para detectar errores d e transmisin y

establecer las retransmisiones apropiadas.

Controles pora asegurar que las transmisiones van solamcnie a usur*

autorizados y que los mensajes no tienen por qu seguir siempre la misan
ruta.

Registro de la actividad de la red. para ayudar a reconstruir incidencias y

detectar accesos no autorizados.
 www.FreeLibros.me
CA ttnix) i AiiDcronlA o: m iots m

Tcnicas de cifrado de datos donde lu y a riesgos d e accesos impropio* a

transmisiones sensibles.

Controles adecuados que cubran la importacin o exportacin d e dalos a

trat* de puerta*, en cualquier punto d e la red. a otros sistemas informticos.

Luta de control

Comprobar que:

L.l. El softw are de comunicaciones, para permitir el acceso, exige cdigo de

usuario y contrasea.

L.2. Revisar el procedimiento de conexin de usuario y comprobar que:

L os usuarios no pueden acceder a ningn sistema, ni siquiera de

ayuda, antes de haberse identificado correctamente.

Se inhabilita al usuario que sea incapaz de dar la contrasea despus

de un nmero determinado d e intentos infructuosos.

Se obliga a cambiar la contrasea regularmente.

la s contraseas no son mostradas en pantalla cuando se teclean.

Durante el procedim iento d e identificacin, los usuarios son

informados de cundo fue su ltima conexin para ayudar a
identificar potenciales suplantaciones o accesos no autorizados.

L.3. Cualquier procedim iento del fabricante, mediante hardware o software.

que permita el libre acceso y que haya sido utilizado en la instalacin
original, ha de haber sido inhabilitado o cambiado.

L.4. Se toman estadsticas que incluyan ta tas d e errores y de retransmisin.

L.5. 1.0* protocolos utilizados, revisados coa el personal adecuado de

comunicaciones, disponen de procedimientos de control de errores con
la seguridad suficiente.
 www.FreeLibros.me
4*2 AUDITORIA PtKHIMAllCA: W l-NKXX1* PRCTICO__________________

L.6 . Lim mensajes lgicos transmitidos identifican el originante. U fedu, b j

hora y e l receptor.

L.7. El software de comunicaciones e>ccwa procedim ientos de control y |

conectivos ante mensajes duplicados, fuera de orden, perdidos, o
retrasados.

L. 8. l-a arquitectura de comunicaciones utiliza indistintamente cualquier reu

disponible de transmisin pora minimizar el im pacto de una escucha dt
datos sensibles en una ruta determinada.

L.9. Existen contretes para que los dalos sensibles slo puedan set impresa
en las im presoras designadas y vistos desde los term inales autorizado.

I. 10. Existen procedim ientos d e registro pora capturar y ayudar a rccoosmr

todas las actividades de las transacciones.

L. 11. Loa archivos de registro son revisados, si e s posible a travs de

herramientas automticas, diariamente, vigilando intentos irapropca de
acceso.

I - 12. Existen anlisis d e riesgos pora las aplicaciones de proceso de dito >
fin de identificar aquellas en las que el cifrado resulte apropiado.

L. 13. Si se utiliza cifrado:

Existen procedimientos de control sobre la generacin e intercambio

de claves.

Las claves d e cifrado son cambiadas regularmente.

El transporte de las claves d e cifrado desde donde se generan a ta

equipos que las utilizan sigue un procedimiento adecuado.

L .I4 . Si se utilizan canales de comunicacin uniendo d ise o s edificios de b

misma organizacin, y existen datos sensibles que circulen por ello*,
comprobar que estos canales se cifran automticamente, para evitar q x
una interceptacin sistemtica a un canal comprometa a todas Ib
aplicaciones.

L. 15. Si la organizacin tiene canales d e comunicacin con otras

organizaciones se analice la conveniencia d e cifrar estos canales.
 www.FreeLibros.me

* L .I6. Si se utiliza la transmisin de dMos sentibles a travs <k redes abiertas

como Interne!, comprobar que estos datos viajan cifrados

L .I7. Si en una red local existen computadores con ntdems. ve han rev iu d o
los controles de seguridad asociados para im pedir el acceso de equipos
forneos a la red local.

* L .I8. Existe una poltica de prohibicin d e introducir programas personales o

conectar equipos privados a la red local.

L .I 9 . Todas las "puertas traseras" y accesos no especficamente autorizados

estn bloqueados. En equipos activos de comunicaciones, como
puentes, encaminadorcs. conmutadores, etc., esto significa que los
accesos pora servicio remoto estn inhabilitados o tienen
procedimientos especficos de control.

L.20. Peridicamente se ejecutan, mediante los programas actualizados y

adecuados, ataques para descubrir vulnerabilidades, que los resultados
se documentan y se corrigen las deficiencias observadas Estos ataques
deben realizarse independientemente a:

Servidores, desde dentro del serv idor.

Servidores, desde la red interna.
Servidores W eb. especficamente.
Intranet, desde dentro de ella.
Cortafuegos, desde dentro d e ellos.
Accesos desde el exterior y/o Internet.

18.8. LEC TU R A S RECOM ENDADAS

Aadrcw S. Tanenbaum. R e d a de computadores. Prentice Hall. Es el ib ro de referen

cia. por antonomasia, en comunicaciones.

Virios. COAST. Computer Operations. A udii a n d Scurit Technology.

h1tp://www e s purdue.edu/coast Un actualizado compendio de conocimientos
sobre el tema, con hiperenlaces a k> ms significativo del sector.

Steven L. Tellccn. Intranet Organi&tion: Strategies fo r managing c tange. Intranet

Partners. http://www.intranetpartners.com/1ntranciOrg. Enfoque n u y orientado a
la prctica empresarial cotidiana.
 www.FreeLibros.me
U AVOtTOHU IVKXtVIMKTA l'S' EXKMJlt HtAtUCO

18.9. C U ES TIO N ES DE REPASO

1. Cules son lo* niveles del modelo O Sl?

2. Cules son las incidencias que pueden p ro d u cir en Us redes de

comunicaciones?

3. Cules son los mayores riesgos que ofrecen tas redes?

4. Existe el riesgo de que se intercepte un canal de comunicaciones?

5. Qu suele hacerse con las contrasellas de los usuarios?

6 . Cules son los protocolos ms importantes de alto nivel?

7. Diferencias cnire Internet. Intranet y E xtraa.

8. Qu es un "cortafuegos"?

9. Qu es un "gusano"?

10. Qu objetivos de control destacara en la auditora d e la gerencia de

comunicaciones?
 www.FreeLibros.me

CAPTULO 19

AUDITORA DE APLICACIONES
J o tf M ara M adurga Oteiza

19.1. INTRODUCCIN
Qu duda cabe que una meticulosa y exhaustiva auditora de una aplicacin
informtica de relevancia e n una empresa o entidad podra dar pie para poner en
funcionamiento la prctica totalidad de la extensa gama de tcnica y rica metodologa
de la auditora informtica.

Debo, por lano, aclarar de pan ida el alcance de este trabajo dentro del contexto
de la obra en que se integra: al contar con capitulo* especfico* dedicados a numerosos
pecio tcnicos y al resto de etapas de la vida de un sistema, incluso a su explotacin
j euntcninucnto. mi exposicin se iw a centrar en la fa se fin a l d e la vida d e la
aplicacin informtica, la de su funcionam iento ordinario, una vez superada la crtica
tupa de su implantacin, que habr cerrado el ciclo precedido por las de concepcin y
desarrollo.

Tambin he de confesar mi propsito d e que prim e la recopilacin de

experiencias recogidas en los trabajos de este tipo que he tenido ocasin de dirigir,
wbre el rigor de una recapitulacin de estndares de objetivo* de control, que pueden
tet localizados sin dificultad a trass d e numerosas fuentes. Dichas experiencia* *e
hin detensuelto en aplicaciones de gran envergadura y complejidad: utilizadas por un
considerable nmero de usuarios, con gran dispersin geogrfica, diversidad de
plataformas y compleja red de comunicaciones, lo que debiera haber permitido aflorar
juyor nmero de problema* a tener en cuenta y a los que dar solucin.

Asi pues, el objeto de este trabajo consiste en tratar de ayudar a planificar,

preparar y llevar a cabo auditorias de aplicaciones en funcionam iento en cuanto al
 www.FreeLibros.me
M AOfTOKlA INKXtMTICA US LMOQUK HtmTO

grado de cumplimiento de lo s objetivos para los que Uts mismas fueron creadas: n |
carcter general. stos estarn en U lnea de servir d e eficaces herramientas operativa
y de gestin que potencien la ms eficiente contribucin, por pane de la I
organizaciones usuarias de las aplicaciones, a la consecucin de los objetivos I
generales de la empresa, grupo o entidad a la que pertenecen.

19.2. PR OBLEM TICA DE LA AUDITORA DE UNA

APLICACIN INFORM TICA

Una aplicacin informtica o sistema d e informacin habitual mente persipe

como finalidad:

Registrar fielmente la informacin considerada d e inters en tom o a la*

operaciones llevadas a cabo por una determinada organizacin: magnitudes
fsicas o econmicas, fechas, descripciones, atributos o caractersticas,
identificacin de las personas fsicas yfo jurdicas que intervienen o guvtba
relacin con cada operacin, nombres, direcciones, etc.

Permitir la realizacin de cuantos proceso* d e clculo y edicin ve*

necesarios a partir d e la informacin registrada, podiendo, por unto,
alm acenar automticamente ms informacin que la de partida, aunque
siempre basada en aquella.

Facilitar, a quienes lo precisen, respuesta a consulta de todo tipo sobre b

informacin almacenada, disertadas en conienido y forma para dar cobertura a
las necesidades ms comunes constatadas.

Generar informes que sirvan de ayuda para cualquier finalidad de inters cu b

organizacin, presentando la informacin adecuada: *e aplican -sega
convenga- criterio d e seleccin, ordenacin, recuento y totalizacin per
agolpamiento*, clculo* de todo tipo, desde estadstico* comunes (media,
desviacin tpica, valores mnimo, mxim o, primero y ltimo, etc.), hasta tos
ms sofisticado* algoritmo*.

Si este planteamiento se consigue trasladar con rigor a una aplicacin informtica

y los usuarios la manejan con soltura y con profesionalidad. la organizacin a la que
pertenecen contar con un importante factor d e xito en el desarrollo de su actividad

Sin embargo, ni el rigor en la creacin de la aplicacin ni la profesionalidad en el

uso de la misma pueden ser garantizados. Adems la profesional idad no inmunizi
contra el cansancio y e l estrs. Asumido est tambin que de humano* es equivocarse,
cometer errores y om isiones involuntariamente. Y tampoco e s imposible que en en
 www.FreeLibros.me
CAH lU O H At btTOttU t. AltKACIONhS U l

mxncnto determinado un empleado descontento cometa errores intencionadamente o

tfte otro, en apuros econmicos, sucumba a la tentacin de intentar un fraude perfecto
i considera mnima la probabilidad de ser descubierto, tal y com o funciona el sistema
1 1 organizacin, que puede no estar dando muestras d e ejercer un control interno
OfUTOSO.

Y no son stas las nicas amenazas al normal cumplimiento de la finalidad de

locslra aplicacin:

La posibilidad de fallo en cualquiera de los elem entos que intervienen en el

proceso informtico: softw are mltiple perteneciente a diferentes firmas,
computador central y dispositivos perifricos, transmisin de datos
(servidores, mdems, lneas de comunicaciones, etc.) constituye otra fuente de
posibles riesgos.

La oooexin cada vez ms generalizada de las empresas a entornos abiertos

como la Internet multiplica los riesgos que amenazan la confidencialidad e
integridad de la informacin de nuestros sistemas. Y en este caso el nmero
de interesados en descubrir debilidades que les abran las puertas para enredar
y manipular la informacin a la que sean capaces de acceder no tiene lm ites.

Todat esas am enayis v cualquier otra que pueda se r identificada contra el

to m e n funcionam iento de nuestra aplicacin y la consecucin d e tu s objetivos, han
4tM o ser objeto de un anlisis minucioso ya desde la fa se de su concepcin. Para
a h ana de ellas se habrn debido estudiar las posibles medidas tendentes a eliminar
Im riesgos que entraan o. cuando menos, a reducir la probabilidad de su
I au tn ali/jcin hasta niveles razonablemente asumibles. siempre teniendo e n cuenta el
corto de tales medidas (que no cuesten ms las cintas que el manto, segn d dicho
polilla;).

Dichas medidas son fundamentalmente medidas de control interno que. con

a rk ttt general, consisten en los procedim ientos para verificar, evaluar y tratar de
pnnti/ar que "todo" funciona como se espera: de acuerdo con las polticas,
fceetric*. norma* y procedimicntoc Mecidos n lo diferente mbito* de
HpMabilidad.

En el terreno de una aplicacin informtica, el control interno se materializa

tntancntalm cnlc en controles de dos tipos:

Controles m anuales: a realizar normalmente por porte d e personal del rea

usuaria: actuaciones previstas para asegurar que -e n su c aso - se preparan,
autorizan y procesan todas las operaciones, se subsanan adecuadamente todos
los errores, son coherentes los resultados de salida respecto a referencias
disponibles sobre los dalos d e entrada, y las bases de datos que dan soporte a
la aplicacin mantienen en los niveles debidos diferentes indicadores de
 www.FreeLibros.me
44 Aturro!* ISIOHMTWA t'S PaOQt'H HtCUCO

medicin fe \u integridad y totalidad (nmero de registros en archivo yh

tablas, de relaciones o ndices, totales de magnitudes nume,
conciliaciones, etc.).

Controles autom ticos: incorporados a los programas de la aplicacin qee

sirvan de ayuda para tratar d e asegurar que la informacin se reguae j
mantenga completa y exacta, los procesos de todo tipo sobre la mi un* km
correctos y su utilizacin por p an e d e los usuarios respete los mbitos de
I confidencialidad establecidos y permita poner en prctica principios generala
de control interno com o el referente a la segregacin d* funcione*.

Controles que. segn su finalidad, se suelen clasificar en:

C ontroles preventivos: Tratan d e ayudar a evitar la produccin de error a

base de exigir el ajuste de los datos introducidos a patrones de formato y
estructura (dalo numrico, fecha vlida, etc.), pertinencia a una lista de
valores vlidos o a un archivo maestro, rango entre lm ites determinad,
incorporacin de dgitos d e control en datos clave (cdigos d e dentikaeia.
referencias de documentos, nomenclaturas, etc.) y, en general, cualquier
criterio que ayude a asegurar la correccin formal y verosimilitud d e los daM
(la exactitud slo puede garantizarla el usuario).

Son de gran utilidad las comprobaciones d e conjunto de datos, buscando n

compatibilidad, adecuacin y coherencia (por ejemplo, una cuenta de catj#
p u o k no ser compatible con un tipo de instalacin).

C ontroles defectivas: Tratan de descubrir a pasterfi errores que no h iji

sido posible evitar.

Controles correctivos: Tratan d e asegurar que se suhsanen todos los enera

identificados mediante controles Jetectivos.

Y que pueden ser utilizados:

En las transacciones de recogida o toma de dato*.

En todos los procesos le informacin que la aplicacir realiza.
En la generacin de informes y resultados d e salida

Pues bien, com o apuntbamos hace un momento, ya en c diserto le la aplicante

se debi hacer un estudio a conciencia para seleccionar de entre los posibles, y
teniendo en cuenta su costo frente a su previsible efectividad ontra el riesgo que trata
d e contrarrestar, los controles considerados idneos para cada situacin planteada et
los diferentes pasos de funcionamiento de la aplicacin.
 www.FreeLibros.me
CaUTILO I AUDITORIA D t AI1ICACIOSES *W

Este lu d io debi ser propuesto por los responsables del rea informtica
-contando siempre e n el diseo con la participacin de representantes d e la
organizacin usuaria-, m is a d o p o r personal d e auditora ruerna, y aprobado en
ltima instancia por la direccin de la organizacin usuaria, mxima responsable de la
aplicacin.

Es importante recalcar la conveniencia de la participacin d e Auditora interna

(con un carcter ms general que Auditora informtica) en la revisin <c los controles
dileados durante el desarrollo de la aplicacin. Sus recomendacitocs deben ser
consideradas -aunque la decisin final en caso de discrepancia debe radicar en la
organizacin usuaria-. Lo que est fuera de toda duda es que seria tremendamente
tais costoso, tener que incluir cualquier control una vez. finalizado el desarrollo, como
modificacin, porque se pusiera d e n unifiesto su necesidad como rebultado de una
auditora posterior a la mplementacin.

La participacin de Auditoria interna en el desarrollo de u n siitcava informtico

debe tener un alcance ms am plio que el referente al sistema informtico, ya que debe
contemplar no slo los riesgos relacionados con la aplicacin, sino iodos los que
fuedan afectar al proceso completo al que la misma sirve d e Herramienta, podiendo
proponer que la aplicacin registre informacin especfica. p istas de a u d ito ria" ,
pira facilitar a futura auditabilidad del proceso respecto a tales ricsjps. Lo mismo
cabe decir, en cuanto al requerimiento de pistas de auditora, pora facilitar las futuras
auditoras informticas de la aplicacin.

Despus de lo expuesto, podemos centrar la problemtica de la auditora de una

aplicacin: se trata de realizar una rev isin d e la eficacia del funcionam iento de los
controlrs diseados p a ra c ada u n o d e los pasos d e la m ism a frente a los riesgos
que, tra ta n de elim in a r o m inim izar, como medios para asegurir la fiabilidad
(totalidad y exactitud), seguridad, disponibilidad y confidencialidad d e la informacin
gestionada p or la aplicacin.

Ello obliga a replantearse nuevamente, y con carcter previo, si los propios

lingos tenidos en cuenta en mi momento son todos los posibles o s< detectan otros
noevos: unos y otros deben ser evaluados, analizada la probabilidad de su
materializacin y sus consecuencias previsibles, d e cara a reconsiderar si los controles
i=p(antdos. tal como estn actuando, superan con garantas de xito la exposicin a
amenazas percibida en la situacin actual.

Quede bien entendido que. por muy completa que resulte la revisin que hagamos
de una aplicacin informtica y de los controles que incorpora, no e s suficiente para
garantizar la seguridad de la misma: sta se consolida con la realizacin d e una
evaluacin de los controles generales y una revisin de los controle de la funcin
informtica, que estarn recogidos en el Plan de trabajos de auditora informtica.
 www.FreeLibros.me

19.3. HERRAM IENTAS DE USO MS COM N EN LA

AUD TO RA DE UNA APLICACIN

Antes le n a d i conviene hacer hincapi en que la trem enda evolucin de lit

tecnologas, en lodo lo referente a lo* sistemas d e informacin, obliga a un esfuma
considerable de formacin a todo el personal de auditora interna, y en particular a Im
especialistas en auditora informtica Este reto debe estar asumido por la direccin de
Auditora, que debe impulsar la respuesta adecuada al mismo, recogida en
ambicioso plan de form acin, que incluya la atencin a las nuevas tendencia* jr
preocupaciones.

Ello no es bice para que. dentro de la poltica de la empresa, se conicmfie b

posibilidad de contratar la realizacin de determinadas auditorias informticas noy
especializadas (outsourcing! o personal auditor que participe en trabajos; pero sxtapR
ser conveniente que b direccin de todos los trabajos sea conducida, y con suficime
conocimiento general aun en los temas ms especializados, por auditores de la propia
empresa.

Haremos un recorrido por las herramientas m s comnmente utilizada en la

auditora de la aplicacin informtica dentro del contexto que hemos delimitado <n la
introduccin.

En ocasiones se podrn combinar varias a la vez; por ejemplo se puede, en usa

entrevista con otro propsito, aprovechar b ocasin para realizar una prueba de
conformidad prevista, adems de observar la utilizacin de b aplicacin por d
entrevistado e incluso, si ste estuviera interesado, rellenar o com entar un* ctKuesta
que se le haba dirigido.

19.3.1. Entrevistas

De amplia utilizacin a k> largo d e todas b s etapas de b auditora, las entresn i

deben cumplir una serie de requisitos:

Las personas a entrevistar deben ser aquellas que ms puedan aportar al

propsito pretendido.

La entrevista debe ser preparada con rigor d e cara a sacar el mximo parti)
d c e lb .

Para ello es indispensable escribir el guin de temas y apaados a tratar (no tu

cuestionario cenado), para evitar que quede sin tratar algn asunto de iiKert;
 www.FreeLibros.me
caMt ii o m A im n m U t. AH.iCAriosr.s <si

tambin exige haber alcanzado el nivel de conocimientos sobre la aplicacin

ncccsano en esc momento para conducir con soltura la entrevista.

Ha de ser concertada con lo interlocutores con antelacin suficiente,

informndole del motivo y las materia a tratar en ella, la duracin
aproxim ada prevista y. en su cacto, solicitando la preparacin de la
documentacin o informacin que pueda ser necesario aponen durante la
misma: no debe faltar la invitacin a colaborar con cuantas sugerencia
estimen oportuno, no slo sobre el propio objeto de la entrevista sino tambin
con miras ms amplia en relacin con el proceso global desarrollado por la
organizacin y la aplicacin informtica que apoya el proceso.

Las jefaturas de las personas a entrevistar deben estar informadas d e las

actuaciones previstas; en general ser positivo que sea el propio jefe quien
comunique al interesado la necesidad d e participar en la auditora.

Durante el desarrollo de la entrevista, el auditar tomar las anotaciones

imprescindibles; lo ms prximo posible a la finalizacin d e la entrevista el
auditor debe repasar sus anotaciones, completando con detalles que pueda
recordar aquellas que pudieran haber quedado esbozadas, y reflexionando
sobre las posibles implicaciones de las novedades o singularidades que el
interlocutor haya podido aportar.

19.3.2. E n c u e s ta s

Pueden ser de utilidad tanto para ayudar a determinar e l alcance y objetivo de la

auditoria como para la materializacin de objetivos relacionados con el nivel de
utisfaccin de lo usuario.

Con U* lgicas salvedades, la mayor pane d e los requisitos enumeradas para la

eatrevisu son tambin de aplicacin para las encuestas.

En este caso, in embargo, s que hay que preparar un cuestin an o que pueda
ser contestado con la mayor rapidez a base de m arcar las respuestas entre las
posibles.

Conviene que todas las preguntas vayan seguidas de un espacio destinado a

observaciones, y no slo las que soliciten descripcin cuando la respuesta
haya podido ser Otros", caso de eleccin entre varias alternativas. Al final
del cuestionario hay que solicitar sugerencias u observaciones abiertas, mejor
en pgina exclusiva para ello, que pueda ser fotoeopiada por quienes necesiten
ms espacio para sus comentarios.
 www.FreeLibros.me
*K AUDITORIA INFORMTICA UN fcNFOQtT PRACTICO

Aunque no puede ni debe exigirse la identificacin personal del encuestado, ti

debe hacerse de la organizacin a la que pertenece (Cuidado con los rccueecos
de resultados de la encuesta por organizacin que pudieran quedar con un
nica respuesta: no deben ser obtenidos, lim itando, por tanto, la obtencin de
tales recuentos a la condicin de contar con ms de una respuesta en el
agolpamiento.) Sin embargo, s puede invitarse a que se identifique quien r
tenga ningn inconveniente en ello, lo que permitira contactos enrqucccdom
si la encuesta contestada plantea asuntos de inters.

19.3.3. O b s e rv a c i n del tra b a jo re alizad o p o r lo s u s u a rio s

Aunque por otros medios puede llegarse a comprobar que la aplicacin functotu
con garantas de exactitud y fiabilidad, e s conteniente observar cmo algn usuario
hace uso de aquellas transacciones ms significativas por su volumen o riesgo: pjee
ayudar a detectar que. aunque el resultado final sea bueno y . por tanto, los controle
establecidos sean efectivos, la eficiencia no est en el nivel ptim o: no ex infrecuerfie
que un auditor experimentado identifique mejoras en este tipo de observaciones: desde
carencias del usuario o vicios adquiridos que pueden denotar falta de form acia, hasta
mejoras d e diseo que puedan aumentar la agilidad y productividad en el uso de U
aplicacin: recomendaciones d e opciones o valores propuestos por defcctti
sim plificacin de pasos, etc.

Debe aprovecharse esta oportunidad para probar tambin la efectividad de kn

controles de las transacciones en cuestin, solicitando la simulacin de siiuacioees
previsibles de error para comprobar si la respuesta del sistema e s la esperada: interno
de duplicar una operacin real, d e cometer errores de diferentes tipos en la
introduccin de cada uno de los datos, etc.

19.3.4. P ru e b a s d e co n fo rm id ad

De uso general en todo el campo d e la auditora, son actuaciones orientadu

especficamente a comprobar que determinados procedimientos, normas o controles
internos, particularmente los que merecen confianza d e estar adecuada mera;
establecidos, se cumplen o funcionan d e acuerdo con lo previsto y esperado, segn lo
descrito en la documentacin o p otiunx

1.a comprobacin debe llevar a la evidencia a travs de la inspeccin de los

resultados producidos: registros, documentos, conciliaciones, etc. y/u ohservacta
directa del funcionamiento de un control ante pruebas especficas de su
comportamiento.
 www.FreeLibros.me
CAPTULO IV AUPITOKA DB AHJCACtOVES 45)

La evidencia de incumplimiento puede ser puesta d e manifiesto a travs de

informes de excepcin.

Los testimonios de incumplimiento n o implican evidencia pero, si porten de

varias personas, e s probable que la organizacin asuma com o vlidos dichos
testimonios y, por u n to , las consecuencias que d e los mismos pudieran
derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para tratar
de conseguir su confirmacin documental.

19.3.5. P ru e b a s s u b s ta n tiv a s o d e v alidacin

Orientadas a detectar la presencia o ausencia de errores o irregularidades en

pocesos. actividades, transacciones o controles internos integrados en ellos.

Tambin pertenecen al dominio general de la auditora.

Estn especialmente indicadas en situaciones en las que no hay evidencia de que

oinan controles internos relevantes, suficientes como para garantizar el correcto
funonainicnto del proceso o elemento considerado.

Todo tipo de error o incidencia imaginable puede ser objeto de investigacin

en c s u clase de pruebas. En el mbito d e la auditora d una aplicacin
informtica, irregularidades d e diversa ndole que pueden afectar a las
transacciones:

- Transacciones omitidas, no registradas en el sistema.

- Duplicadas, registradas ms d e una vez.
- Inexistentes indebidamente incluidas.
- Registradas sin contar con las autorizaciones establecidas.
- Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las
procedentes.
- Transacciones con informacin errnea, desde su origen o por alteracin
posterior, que no refleja 1 realidad. coi posibles coiuccuciKia.i en:

El montante o fechas de devengo incorrectas de derechos y obligaciones

de la empresa respecto a terceros.
La exactitud de las valoraciones co n u b lcs o la falta de conciliacin con
ellas de la contenida en la Aplicacin.
La exactitud de las mediciones fsicas, con posible desajuste respecto a
inventaras.
 www.FreeLibros.me
4SI AUlITtHtU ISnHtSItlCA IIN tiNtOQt'E PRACTICO

Infinidad de recursos pueden ser utilizados pora delectar indicios, en prnet

instancia de posibles errores; indicios cuya presencia deber lie* a
profundizar en la investigacin pora constatar la existencia real de anomalas.
Muchos de ellos se apoyan en la utilizacin del computador:

- A nlisis de ralios. as com o fluctuaciones y tendencias en magnitudes 4ce

miden aspectos relacionados con la actividad desarrollad* en los procesos.

- Conciliaciones con ponidas que a efectos d e control puedan llevarse en u

propia aplicacin o d e otros sistemas, como el econmico-financiero.

- Informes de excepcin producidos por la propia aplicacin pon idetcific* j

situaciones que interesa sean objeto d e revisin. A pae de los de
obtencin rutinaria previstos en el sistema, debiera disponerse de ros
especficos para la realizacin d e auditorias, planteados desde la etapi de
diserto para poder ejecutar a demanda.

O tros recursos clsicos utilizados para la deteccin de errores o sus indicios

son de ejecucin manual. Normalm ente se aplican sobre muestras, estadstkas
y no estadsticas.

- Para las primeras evidentemente son de aplicacin las tcnicas de muestreo

estadstico, que debern ser respetadas para el clculo del tamaflo de las
muestras y su seleccin en funcin del nivel de significacin y error
mximo con que interese trabajar en cada caso.

- Las muestras no estadsticas, dirigidas, basarn la seleccin en la bsqseda

de las operaciones con mayor probabilidad d e error y/o consecuencias ms
graves, previo anlisis d e las condiciones de la informacin disponible qse
permitan componer un indicador d e priorizacin. asignando puntuaciones
al cumplimiento de determinadas condiciones.

Ejemplos de estos recursos de ejecucin manual son; Arqueo, Inventar,

Inspeccin. Com probacin con los documentos soporte de la transaccifa
(factura, albarn. etc.) y Confirmacin de saldos por pan e d e terceros (dientes
y proveedores).

19.3.6. U:io d el c o m p u ta d o r

El uso de computadores constituye una de las herramientas ms valiosa en b

realizacin de la auditora de una aplicacin informtica. N os referimos tac
a los computadores personales, con los que el auditor informtico debe estar
 www.FreeLibros.me
(.APtTVLO I ACOtTOKA tlf. AMJCMKXSbS 4SS

familiarizado manejando con soltura la tcnicas de edicin de textos y

presentaciones. hoja de clculo, gestor de bases de datos, correo electrnico,
etc., com o al computador u computadores sobre los que se explota la
aplicacin objeto de la auditora.

Existen en el mercado infinidad de productos de softw are concebidos para

facilitar La tarea del auditor: Herramientas que permiten el acceso generalizado
a la informacin contenida en archivos y hases de datos de form a transparente
para el usuario y con independencia d e las caractersticas de organizacin y
modo de almacenamiento. Muchos de estos productos se presentan como
"herramientas de auditora", ya que incorporan facilidades tpicas de c ^ n
funcin com o pueden ser la generacin de muestras estadsticas, edicin de
circularzaciones. etc.

Sin restar n i valor a estos productos, y desde la ptica del auditor interno, se
pueden obtener resultados similares haciendo uso de herramientas disponibles
en la organizacin y no necesariamente disertadas pora funciones de auditora.
Contando con una herramienta de interrogacin, un lenguaje SQL IStruciured
Q u tiy l/xnguagf). se puede acceder a la informacin y seleccionar la que
interese: su proceso posterior a travs de un gestor de base de datos, tipo
ACCESS o sim ilar, ofrece un potencial d e tratamiento prcticamente
ilimitado.

Las pistas de auditora de que c u provista la aplicacin deben constituir un

poyo importante a la hora de utilizar el computador para delectar situaciones
o indicios de posible error. Lo mismo cabe decir de los informes de
excepcin, particularmente los diseados especficamente para propsitos de
auditora.

Tambin hay que considerar la posibilidad de utilizar la propia aplicacin,

aplicando juegos de ensayo o transacciones ficticias preparadas por los
auditores, para verificar la eficacia de los controles implantados. Este tipo de
pruebas no es siempre recomendable, sobre todo si no ha sido prevista tal
 www.FreeLibros.me
456 Al'PtTTHtU ISMmMTKA IN ENPOQtT; PttACUCO

19.4. E TA P A S DE LA AUDITORA DE UNA APLICACIN

INFORM TICA

19.4.1. Recogida de informacin y documentacin sobre

aplicacin

Ames de plantearnos el alcance d e los trabajos de auditoria sobre a p lic a r n

informticas necesitamos disponer de un conocimiento bsico di la aplicacin y de m
entorno. Realizamos un estudio preliminar en el que recogemos toda aquella
informacin que nos pueda ser til para determinar los puntos dbiles existentes y
aquellas funciones de la aplicacin que puedan entraar riesgos.

A travs de entrevista con personal de los equipos responsables de la aplicante,

tanto desde la organizacin usuaria com o de la de Sistemas d e informacin, se inicia
el proceso de recopilacin de informacin y documentacin que permitir profundiza
en su conocimiento hasta los niveles de exigencia necesarios para la realizacin dd
trabajo, y en una primera fase, hasta el nivel de aproxim acin sificieM e para estar ea
disposicin de establecer y consensuar los objetivos concretos de la auditoria.

El primer reto con el que nos encontramos es el d e identificar las personas mis
adecuadas, en cada uno de los mbitos d e organizacin, p a n poder transmitir al
responsable de la auditoria el conocimiento ms amplio posible de la aplicacin, ves
fortalezas, posibles debilidades, riesgos c inquietudes suscitadas en tom o a ella.

Identificadas dichas personas se intenta crear un ambiente d : colaboracin, con d

fin de que transmitan al equipo auditor su visin personal d e la situacin, apenando
cuantas sugerencias estimen d e inters, adems de suministrar h documentacin que
se les solicite y estn en disposicin de proporcionar.

Para cubrir esta etapa del trabajo de auditoria resulta til ccnfeccionar unas guias
que nos permitan seguir una determinada pauta en las primeras entrevistas y
contengan la relacin de documentos a solicitar lodos aquellos que ayuden a:

* A dquirir una primera visin global del stem a: Descripcin general de la

aplicacin, presentaciones que hayan podido realizarse de la aplicacin *
distintas finalidades a lo largo de su vida. Plan de Sistemas de la empresa. <n
lo que respecta a la aplicacin a auditar; en l debern figurar explcitamente
sus objetivos, planes y presupuestos. (U n documento de gran trascendencia
por su repercusin en la eficacia en el uso de la aplicacin e s el 'Manual de
usuario": Concebido como soporte a la formacin en d uso de la aplicacin
informtica, debe ser claro, com pleto y estar bien estructurado para facilitar su
 www.FreeLibros.me
C\HTVlO I AlDTTOtUA DEAPI ICAPONES 57

consulta Es fundamental que est actualizado al da y en mi opinin

im prescindible que los usuarios puedan acceder a l a travs Je la red.)

Conocer la organizacin y los procedim ientos de los servicios que utilizan la

aplicacin. Medame el examen de lista d e personas o dichos servicios,
organigrama de los mismos y dependencias funcionales entrr ellos, bases de la
organizacin y de la separacin de funciones, grado de participacin de los
usuarios en el desarrollo y en las pruebas de la aplicacin, medidas generales
de control (proteccin fsica, proteccin lgica), poltica de formacin y
sensibilizacin de los usuarios, grado d e satisfaccin d e los usuarios, etc.

Describir el enlom o en el que se desarrolla la aplicacin: ccoocer recursos de

computador central asignados, nmero de mini o micro computadores
asignados total o parcialmente a la aplicacin, cantidad de curaos perifricos
asignados, configuracin d e la red y d e las lneas d e com uikacioncs usadas,
etc.

F.nteixler el entorno de softw are bsico d e la aplicacin, identificando las

seguridades que ofrece y los riesgos inducidos.

Asimilar la arquitectura y caractersticas lgicas de la aplicacin, lis necesario

conocer los principales tratamientos y cm o estn estructurados lo dalos:
programas clave de la aplicacin, lenguaje y mtodo de programacin,
archivos maestros, bases d e datos y diccionario de datos, modo de captura, de
validacin y de tratamiento de los datos, informes (listados! generados por la
aplicacin, as como la periodicidad d e los diferentes tratamirntos.

Conocer las condiciones de explotacin d e la aplicacin y o s riesgos que se

pueden dar. Es decir, si la aplicacin la explotan directamente los usuarios o
depende de los servicios informativos, volumen d e c ap aras. volumen de
informacin almacenada en los archivos maestros, seguridaces de explotacin
(accesos, salvaguardias, etc.), planificacin y organizacin general d e la
explotacin, caractersticas generales: tiempos de respuesta, frecuencia y
naturalejui de l u incidencia*. duracin de lo proceso baich.

Conocer las condiciones de seguridad de que dispone la apicacin: controles

que incorpora, definicin de perfiles de acceso a los recursos y a la aplicacin,
existencia de pistas de auditora, grado d e automatizacin (mnima
intervencin humana), documentacin.

Disponer de informacin relativa a: Estadsticas de tiempos de explotacin

para cada proceso, de tiempos de respuesta de transacciones on line. de
tiempos de reproceso por fallos o errores, tiempes dedicados al
mantenimiento, informes d e gestin de los accesos, informes de seguimiento
 www.FreeLibros.me
1M AlTHTCXtlA IMOKMTICA t'S f.NTOQl'fc VACTICO

de los salidas, protecciones d e los recursos signados i la aplicacin, perfila

de acceso a los recursos de la aplicacin.

Resuda conveniente que el auditor solicite los documentos formalmente,

facilitando su relacin, y que stos le sean suministrados en s<f>ortc informtica en U
medidu de lo posible.

Hemos citado explcitamente slo unos cuantos docum eilos. por probenus de
espacio, relacionando los lugares comunes que deben a b rir . Adiciooilmeme
cualquier informe, comunicacin o acta de grupos de trabajo que pucdjn cstir
implicados en tareas de ingeniera d e procesos, crculos de calidad, raejea
permanente o cualquier otra iniciativa innovadora en e l rea de negocio a la que sirve
la aplicacin, sern de gran utilidad para el auditor en su cometido. Proceder en ate*
casos contactar con los responsables de tales proyectos, para potenciar las sinergia
que surgirn, enriqueciendo los resultados de todos.

19.4.2. Determinacin de los objetivos y alcance de la

auditora

El examen de los documentos recopilados y la revisin de los lemas tratados I

largo, de las entrevistas mantenidas, e s decir, las observaciones iras el c u m a
preliminar, la identificacin d e los punios dbiles y las u v io n e s crticas, debea
permitirle al auditor establecer su propuesta de objetivos de la auditora de b
aplicacin y un plan detallado del trabajo a realizar. E m ndenos que dedicando mis
recursos cuanlo mayor fuera la debilidad o ms graves las consecuencias de h
aincna/a que se somete a revisin.

Es de desear que los objetivos propuestos sean conseisuados con el equipo

responsable de la aplicacin en la organizacin usuaria.

Es preciso conseguir una gran claridad y precisin c i la definicin de lot

objetivos de la auditora y del trabajo y pruebas que se propote realizar. delitruod)
pcrteciamentc su alcance de manera que no ofrezcan dudas de interpretacin.

En la preparacin del plan de trabajo trataremos d e incluir.

1.a planificacin d e los tra b a jo s y el tiem p o a em plear, orden en que *

examinarn los diferentes aspectos, centros de trabajo en que se t u j
desarrollar las pruebas, cargas de tiempos y asignacin de los trabajos tnut
los diferentes colaboradores del equipo.

i
 www.FreeLibros.me
> CArtTl'LOt AUDITORA Pti AHJCAOOM3 4

l.a s h e rram ien ta s y m todos, entrevistas con los usuarios y lo* informticos,
servicios que se van a au d iu r. documentos que hay que obtener, etc.

E l p rogram a d e tra b a jo d etallad o , adaptado a las peculiaridades de cada

aplicacin, pero tratando de seguir un esquema tipo:

- Identificacin y clasificacin d e los objetivos principales de la auditora.

- Determinacin de subobjetivos para cada uno de los objetivos generales.
- Asociacin, a cada subobjetivo d e un conjunto de preguntas y trabajos a
realizar teniendo en cuenta las particularidades del entorno y de la
aplicacin a auditar.

- Desarrollo de ternas como:

Modos de captura y validacin.

Soportes de los datos a capturar
Controles sobre los datos de entrada.
Tratamiento de errores.
Controles sobre los tratamientos: secuencia de programas, valores
caractersticos, controles de versin, exactitud de los clculos, etc.
Controles de las salidas: clasificacin y verificacin de las salidas;
presentacin, distribucin, diseo y forma de los listados.
Pistas para control y auditora
Salvaguardias.

T ests de confirm acin, test* so b re los d a to s y los resultados. Aquellos que

consideramos necesarios para asegurar que los controles funcionan como se
han descrito y previsto, y que los controles internos son aplicados.

Ejemplos de objetivos de a u d ito rias de aplicaciones

A modo de ejemplo, sealaremos las lneas maestras (no serviran com o objetivos
mes por incumplimiento de los requisitos enunciados) de algunos objetivos que
fucilen establecerse en este tipo de auditoras de aplicaciones informticas:

L K m itir o pinin sob re el cum p lim ien to d e los objetivos, p lanes y

presupuestos contenidos e n el P lan d e Sistem as d e Inform acin so b re la
aplicacin a a u d ita r

1.1.Cum plimiento de los plazos previstos en cada una de las fases del
Proyecto: Estudio previo. Diserto. Programacin. Pruebas. Conversin
en su caso. Plan de formacin e Implantacin.
 www.FreeLibros.me
4<0 Al'DtKXtlA INKHtStTlCA fX ENHXy^ PUACTIOO

1.2. Cum plimiento d e los presupuestos previstos en cada una de la* h o

e num erad y para cada uno de los conceptos manejados: equipo,
software, contratacin exterior, personal propio, etc.

1.3. Cum plimiento de las previsiones de coste de funcionamiento normal de

la aplicacin y de su mantenimiento al nivel de desglose adecuado.

2. K valuar el n itH d e satisfaccin d e los u su a rias del sistem a, tanto d* b

linea o p erativa com o d e las organizaciones d e coordinacin y por*
respecto a la c o b e rtu ra ofrecida a sus necesidades de inform acin

2.1. Nivel de cobertura de funcionalidades imple m enudas respecto al tool

de las posibles y deseables en opinin de los usuarios, incluyendo en e
concepto de funcionalidad la posibilidad de obtencin de informes de
gestin y d e indicadores de seguimiento de las actis-idades de la
organizacin usuaria.

2.2. Nivel de satisfaccin con el modo de operar las diferewes

funcionalidades soportadas por la aplicacin, incluyendo los diseos de
pantallas e informes de salida, mensajes y ayudas: idcntificacifl de
mejoras posibles.

2.3. Nivel d e satisfaccin con la formacin recibida para el uso de la

aplicacin, utilidad del ".Manual de usuario" y funcionamiento de lot
canales establecidos para la resolucin de k>s problemas que surgen en
el uso del sistema (Lnea caliente?).

14. Nivel del satisfaccin con los tiempos de respuesta de la aplicacin y

con la dotacin de equipos informticos y sus prestaciones.

2-5. Nivel de satisfaccin con la herram ienta d e usuario para procesar

informacin de la aplicacin, en el caso de disponer de ella. (Caso de ao
estar operativo y haber indicios de su posible conveniencia, el objetivo
podra ser el estudio de la conveniencia o no de su implantacin.)

3. K m itir opinin sob re la ido n eid ad del vistema d e c o n tro l d e accesos de la

aplicacin

3.1. Evaluar la eficacia y seguridad del Sistema de control de acceso

diseado. (Controles referentes a la identificacin de usuario y palabra
de paso y posibles intentos reiterados d e acceso no autorizado.)
 www.FreeLibros.me
CAHtl'l O 19 At IMIOHlA Pfc AHICACIOSBS 61

3.2. Analizar si la asignacin de operaciones y funcionalidad; permitidas a

cada uno de los perfiles d e usuario diseados responde a criterios de
necesidad para el desempeo del trabajo y segregacin de funciones.

3.3. Comprobar que I asignaciones d e perfiles a usuarios icspondcn a los

puestos que ocupan y se evita la asignacin de perfiles a usuarios nicos
en cada centro opera! i so.

4. V erificar H g rad o de fiabilid ad d e la inform acin

4.1. Revisin de la eficacia d e los controles manuales y programados de

entrada, proceso y salida: seguimiento d e varias operaciones concretas
identificablcs a lo largo del ciclo com pleto de tratamiento.

4.2. Com probacin por muestreo de la exactitud de la informacin

almacenada en los archivos de la aplicacin con respecte a documentos
originales.

4.3. Pruebas de validez y consistencia d e dalos d e la aplicacin mediante

proceso informtico de la Base de datos real con herramientas de
usuario.

4.4. Pruebas de conciliacin d e magnitudes totalizadas en la aplicacin

durante varios perodos de tiempo frente a las disponibles, quiz
tambin a travs de utilizacin de herram ientas de usuario, en otros
sistemas con los que mantiene relacin (sistema co n tab e. almacenes,
com pras, etc.).

19.4.3. Planificacin de la auditora

La auditora de una aplicacin informtica, como toda auditora, debe ser objeto
de una planificacin cuidadosa. En este caso e s de crucial importancia acertar con el
comento ms adecuado para su realizacin:

- Por una parte no conviene que coincida con el perodo d e su implantacin,

especialmente crtico, en que los usuarios no dominan todava la aplicacin y
estn ms agobiados con la tarea diaria. En el perodo x x im o a la
implantacin, frecuentemente ve detectan y solucionan pequeiWs fallos en la
aplicacin, situacin que convendra est superada antes de iniciar el proceso
de auditora
 www.FreeLibros.me

- Por otra porte el retrato excesivo en el comienzo de la auditora puede alargar

el perodo de exposicin a nosgos superiores que pueden y deben >er
aminorados como resultado d e ella.

En nuestra experiencia, se han manejado perodos d e entre 4 y 8 meses desde d

inicio de la implantacin en funcin de la magnitud de la aplicacin.

Tam bin hay que establecer el mbito de actuacin: tratndose de

organizaciones im plantadas en amplias zonas territoriales, ser neceur
delimitar el cam po de actuacin de la mayor parle de las pruebas a realizan
un reducido nmero d e centros d e trabajo. Sin embargo, se ampliar d
mbito. de manera que abarque la representacin ms extensa posible de
usuarios y centro, en aquellas pruebas en que se considere factible, sil
incurrir en un coste desproporcionado (encuestas, procesamiento de
informacin, contactos telefnicos, etc.).

Para la seleccin de ese lim itado nmero de centros en los que llevar a cabo d
trabajo de campo, conviene solicitar a la organizacin usuaria que lot
proponga, en base a razones por las que estime puedan aportar mayor valor rf
trabajo: vu participacin como pilotos en el desarrollo del sistema o en
proyectos de innovacin y mejora relacionados con el proceso, haber
experimentado recientes cambios organizativos o en su personal directivo que
puedan implicar riesgos adicionales, la existencia de indicadores de actividad
que se desvien significativamente de la media general, etc.

Debe conseguirse cuanto antes, solicitndolo ya en las primeras tornas de

contacto, las autorizaciones necesarias para que el personal de auditora, que
est previsto participe en el trabajo, pueda acceder a la aplicacin y a las
herramientas de usuario. Se solicitar un perfil d e auditor - s i especficamente
se hubiese considerado- o . en otro caso, aquel que ofrezca las mayores
posibilidades de slo consulta: permitir dedicar a su conocimiento, y a
preparar pruebas que puedan precisar mi uso, esos tiempos de parada que
suelen producirse en el desarrollo de otros trabajos que vayan a ejecutarte
durante los meses anteriores al inicio del trabajo de cam po de nuestra auditora
de aplicacin.

19.4.4. Trabajo de campo, informe e implantacin de mejoras

En principio las etapas d e realizacin del trabajo de campo, de redaccin dd

informe y de consenso del plan de implantacin de mejoras, no ofrecen peculiaridades
de relevancia respecto a otros trabajos de auditora. Es por eso que n o vamos a hacer
 www.FreeLibros.me
CaHUII-O I Al'DITOtllA Dti AfKCAOOWS 4fc1

n ls refere ocia a ellas que algn comentario que la experiencia nos sugiere d e validez
p*r* cualquier auditoria.

La etapa de realizacin del trabajo de cam po consiste en la ejecucin del

programa de trabajo establecido. Evidentemente, k resultados que se van
obteniendo pueden llevar a ajustar el programa en funcin d e dichos
resultados, que pueden aconsejar ampliar la profundidad de algunas pruebas,
acometer otras no previstas y concluir alguna antes de su final.

- Una recomendacin de cara a esta etapa es la de plantearse la mnima

utilizacin de "papeles de trahajo. en el sentido literal, fsico, potenciando
la utilizacin de PCs porttiles com o soporte de la informacin de las
muestras con las que se vaya a trabajar y para la recogida de informacin y
resultados de las diferentes pruebas: no es s lo cuestin de imagen, sino de
productividad.

Respecto a la etapa de redaccin del informe de la auditora, que recoger las

caractersticas del trabajo realizado y sus conclusiones y recomendaciones o
propuestas de mejora, quiero recoger la inquietud, que compartimos los
integrantes de nuestra direccin d e Auditora, por el tiempo que nos est
requiriendo: lo consideramos excesivo, tanto en horas de dedicacin com o en
avance del calendario. Son de aplaudir iniciativas como la propuesta en el
articulo "T he single page aodit repon", de Francis X. Bossle y A lfred R.
Michcnzi. publicado en la revista Interna! auditor de abril de 1997. que por
nuestra parte estam os dispuestos a experim entar.

En cuanto a la etapa de implantacin de las mejoras identificadas en la

auditora, sim plemente quisiera lanzar un reto: la situacin ptim a a alcanzar
es conseguir que la organizacin auditada asuma las propuestas de actuacin
para implantar las recomendaciones como objetivos de la organizacin,
iniciativa con la que gratamente nos hemos visto sorprendidos en un reciente
trabajo en nuestra empresa: sta es la mejor seftal de valoracin positiva por
pane de una organizacin a un trabajo de auditora.

19.5. CONCLUSION ES

l a creciente im portancia a sig n ad a a los sistem as d e inform acin como ayuda

aotinuble c imprescindible en el desarrollo de los procesos de negocio, aportando no
ya informacin, sino conocimiento -s e est dem andando- que apoye la correcta toma
de decisiones atribuye esa misma im portancia a la auditora d t las aplicaciones
informticas, garantes del correcto cumplimiento de la funcin encomendada a las
m u s . Efectivamente, si la base de la toma d e decisiones no es segura, fiable y
confidencial los resultados pueden ser exactamente los contrarios a los pretendidos.
 www.FreeLibros.me
464 AllDfnxtlA INtOHMATKA W MtOQlT. fRCTlCO___________________________ U4W

Por otro lado el e norm e y c o n tin u o avance tecnolgico e n este terreno y la

a p e rtu ra de lo sistem as al e x terio r. exlRe u n g ra n esfuerzo d e form acin a ta
a uditores inform ticos, que debe ser cuidadosamente planificado, pura poder segur
ofreciendo las garantas mencionadas en un e n to rn o c ad a vez m s amenazado por
nuevos riesgos. enmAados t n c a s mi u n f tecnologas. Tngase en cuenta que lis
amenazas son de tal calibre, que pueden llegar al extrem o de poner en peligro la
supervivencia de aquellas empresas que fracasen en el cmpciVo de tener bajo control d
conjunto de la funcin informtica que da soporte a sus sistemas de informacin.

19.6. L EC TU R A S RECOM ENDADAS

Manuales de Auditora informtica d e las empresas de Auditora y Consultora

Metodologta de Auditora A U DINFOR". del Instituto de Auditores 1memos de

h s parta (incluye programa informtica).

Handbook of ED P Auditing. de Stanley D. Halper. G le m C. Da vis, P. Jarlath ONcd-

Dunnc y PamcU R Pfau (COOPERS & LYBRAND).

Systems auditability & control, compilado por: T he Institutc o f Intemal Auditor*. lie.
Researcbed by: Stanford Research Institute.

19.7. C UES TIO N ES DE REPASO

1. Qu fines persigue una aplicacin informtica?

2. Enumere las principales amenazas que pueden im pedir a las aplicaciones

informticas cum plir sus objetivos.

3. Qu es una pista de auditora"?

4. Explique en qu ocasiones utilizara la tcnica de encuesta frente a U de

entrevista.

5. Cundo se deben llevar a cabo pruebas de conformidad? Y pejehs

substantivas?
 www.FreeLibros.me
CAPfTVIOW AID!* Ufc AHKACTONKt **5

6. Valore la importancia del manual de a m a o p a n la auditora de

aplicaciones.

7. Qu aspecto* se deben considerar en la preparacin del plan d e trabajo

detallado?

8. Proponga tcnicas para medir el nivel d e satisfaccin del usuario con el

modo de operar de las aplicaciones.

9. Cm o verificara el grado de fiabilidad de la informacin tratada por una

aplicacin?

10. Cree conveniente que el auditor tenga autorizacin para actualizar datos de
las aplicaciones que e sti auditando?
 www.FreeLibros.me

C A PT U LO 20

A U D ITO R A IN FO R M T IC A D E EIS/D SS
Y A P L IC A C IO N E S D E SIM U LA C I N

M anuel Palao G a m a -Su elto

b i e captulo versa sobre la Auditora Informtica (A l) de lo "Ezecuttve Informa-

bcn Syuemx/Deeision Support Systems y las Aplicaciones de Simulacin.

Aunque se trata de aplicaciones informticas cuantitativamente minoritarias, su

nto creciente, su importancia relativa y otras caractersticas las hacen particularmente
iKercsantes para el auditor informtico.

20.1. PROPSITO Y EN FOQUE

El objetivo de csJc capitulo e s presen lar este tipo d e paquetes y aplicaciones
tefalando sus caractersticas diferenciales respecio de la mayora de las aplicaciones
informticas de gestin, y realizar unas reflexiones y recomendaciones de Auditora
hfcrm tka (Al) especficas para esas caractersticas diferenciales.

Por razones de deferencia hacia el lector y del espacio disponible, se ha optado

per un enfoque genrico (sin abundar en tcnicas o paquetes comerciales concretos,
peejemplo) y por excepcin (sin cubrir en detalle tem as y tcnicas ms generales ya
cubiertos en otros captulos).

En todos los casos, supondremos que se trata d e implantaciones de paquetes y no

de desarrollos a medida (que difcilmente estaran justificados).

'U la n S.ttWm'. Sn irn * Inhcnus-W* * U Direccin: en aktarer SI DI MSI I

-Ptfiutm SmpfK-Hi Syttemi", SnMnut di Ayub a U IVoute: en adelante SAO(DSS|
 www.FreeLibros.me
4W AllDrrORU INFORMATICA: tNENKXyife

20.2. DESARROLLO DE LA S DEFINICIONES OPERATIVAS

DE LOS C O N CE P TO S CLAVE

-Ov tres conceptos introducidos al principio del capitulo exigen ciertas prccisknc*
para poner en perspectiva el planteamiento de este capitulo.

20.2.1. Auditora Informtica

Sin perjuicio del ms am plio y detallado planteamiento que sobre A l se hace i la

Parte I de este libro, deseo destacar aqu dos caractersticas importantes de la mi>ra: i)
la amplitud y variabilidad del concepto, misin, objetivos detallados y to ra
organizativa* de la AI; y ii) su nula o baja regulacin oficial.

20.2.1.1. A m plitud y v ariab ilidad del co ncepto de Al

Si se acepta como definicin operativo am plia de Auditoria Informtica:

a) Una actividad profesional de investigacin, evaluacin, dictamen y

recomendaciones...
b) centrada en la informtica como actividad o fin en s misma...
c ) como instrumento al serv icio de otras funciones ms o menos dependitnus de
ella...
d ) o en ambos aspectos...
e ) con el fin de enjuiciar si ayudar (auditores... consultores) a que...
0 la organizacin y su funcionamiento sean conformes (Control Interno) con lo
dispuesto... (estructuras polticas, procedim ientos...
g) por quien tiene poder legitim o para disponerlo (los "due/los" (interesados o
sm ktholders]: Consejo. Presidente Director G eneral. A d m in istrar
Pblica...

quedar manifiesta la amplitud y variabilidad seflaluda.

20.2.1.2. N ula o b a ja regulacin oficial d e la A l

La sariabilidad de concepciones sobre lo que es la A l. su relativa juventud, una

insuficiente apreciacin de su importancia y otros intereses en juego han limitado o
frenado dicha regulacin (diversa, segn pafses y sectores -esto s ltimos, tratados a
la Pane III de este libro-).
 www.FreeLibros.me
CAffU-XO a>. AtlWTOKlA IMORMUCA PE HSSiPSS Y AIUACIOXK- M

Ante c u falta de regulacin, las asociaciones profesionales, y en esie caso -d e

oodo destacado- ISACA (Information Systems Audit and Control Aisociation) han
propuesto normas y cdigos de buena prctica de uso voluntario, entre los que cabe
destacar CobiT. A este conjunto d e documentos (an en evolucin ruando escribo
oto) me remitir, ms adelante, como norma de aplicacin.

20.2.2. SID[E/S] / SA O [DSS]

Los Sistemas de Informacin a la Direccin -SID |Y S|- y los Sistemas de Ayuda

a U Decisin -SAD[/JSS}- han venido suponiendo en la historia de la Informtica de
Gestin un Santo G rial" o "manto d e Penlope": un anhelo an no suficientemente
realizado.

Los S ID [/5] y los SADfOSS) han sido, casi desde que se acuaron los trminos,
ccopafteros de viaje, aunque su tecnologa, grado de evolucin y nivel 4c uso no sean
prejos.

20.2.2.1. A ntecedentes de los SID fEISI

Las prestaciones tip iis de U Informtica de G estin a lo largo d : sus diversos

id icn evolutivos: InformatiMcin Administrativa (Nminas y Contabilidad) en la
fcada de los sesenta: Sistemas de Informacin en los setenta, etc., no lun podido o no
haa sabido aportar al Directivo la informacin adecuada (oportunidad, actualidad,
nd de agregacin, ele.) que requera.

Ya en la dcada de los setenta com enz' la moda del M IS ("Management

hfom aiivn System ". Sistema de Informacin d e Gestin), que an d a nombre a m is
e un depan am ento informtico. Dicha moda supuso buenas aportacunes tericas y
p ic as. pero muchas ms operaciones de oportunismo en mercadotecnia4 a su
mpacto en la informacin de direccin fue limitado.
 www.FreeLibros.me
4 AtOTIORlA INFORMTICA: UN PJOQl'B WttUCO___________________________H a 1

20.2.2.2. A paricin de los SID JE /S)

A mediados de los artos chenla comenzaron a proliferar paquetes. apljcaacoei j

textos de SID[EIS\. con planteamiento vanados, muchos de los cuales no la
quedado retenidos en las actuales tendencias. Entre esos planteamientos, uno -cay* .
ira/as perm anecen- e s el de ta ja r de rango al M IS. que devendra una herramicro -
pura mandos medios, dejando espacio por arriba para el ms noble S ID |E /S |\

20.2.2.3. l.os actu a les Sll)[A7.S|

En los ltimos sitos, los SID (/S] parecen haberse estabilizado en su enfoque y
funcionalidades, como esquematiza el cuadro siguiente, y que se resume en: pie
accesibilidad y fcil uso.

Esta facilidad de uso ha conducido a una utilizacin a h em athxi de los SID(/.St

su utilizacin como un siMcma general de informacin "para todos.6

Tabla 20.1. Caractersticas usuales de los actuales SID fE lSJ

Ttertaz Grfica | Iconos. irtuitiso. (tfctil. men dinmicos con cambio *ta-
activos, hipcrlcxlo. kipemiedio.
personal i/abte.
"Qery" sencillo. "tala drivea
Por jerarquas anidadas. ' drill-dohw*.

Bases de Dato Corporativas. Crectet

directamente a la BD Corporalit (por ejemplo, f
OLAPj en hijar de hacer rplicas o extracto "locata*.
Informacin H l t n u Informacin cualitativa.7
Tupia (vdimcnuonalf ipar-idictru Ol-AP. ROtAP) __
Predefinidas > personali/able.
InixmjciiVi hi0rica y de conlexio.
Deteccin de detsuctone Semforo.
Hntomo ofimtico
Herramienta

Mlododcjfcsirrolio I Usualmeitte. prototipos evolutivos.

Programacin ] Grfica irteraciiva. por mens. grneracio automtica dt
I cdigo de alio nivel (estructurado) propietario, ediuble. I

' JOIINW. pp. 330-331.

S* h KulUa el juego de piU ns I:IS E urn M / l ^in n in ' Surrm Snunt k
Informvion jura Todo Ver C*v> CIGNA Corpetti en CURTO*, p 25.
' l.m w lcm u <3e lorauK.-K'in. genculmeete. vMo san dalos unliutistn. <rr*S> -ifurrcn
en la estructura de ccoirol c la egresa. espeviTh-aamc fura el uto por ese xenu." CVRT95*. f. 21
 www.FreeLibros.me
CAPfniLO Xt AUDITORAINHlKMAtKA t >KVPM Y APUTACIONES 471

Ejemplos de paquetes con e s t funcionalidades pueden ser: HOLOS.

COMMANDER. Pll.O T . DSS de MicroSrategy.

20.2.2.4. A ntecedentes de los SA D (/J.S'.S)

La decisin e s la Urea por antonomasia de la persona* y en un contexto

empresarial m oderno- del ejecutivo.

Los sistemas le ayuda a la decisin son tan antiguos com o la Him anidadv: los
racionales y eficientes, bastante m is modernos <y an poco aplicados) ,

En todo caso, los ejecutivos toman decisiones continuam ente" de forma poco
estructurada. A m me parecen particularmente interesantes dos aspectos: la baja
n u b ilid a d (a los datos, modelos, n u o o es y documentos), y la baja/nula
potabilidad (exigencia de responsabilidad por la decisin concreta) d re c u .

20-2.2.5. A paricin d e los SAD|O.S.S)

Los SADf/J.U'| ton. tambin, tan antiguos como la Informitica.

20-2-2.6.1.os actuales S A I * . )

Los actuales SAD(/>SS1 comparten una serie de caractersticas que se resumen en

b guente tabla.

*En cuanto' libre" que *cenfrentaacfcican.

*1j Prospectiva KtenUtKK U islrulufu. kn fc.uk*. U quiromancia. y suscVmn numcrcnum
tan (muchas r las coale*han llegado a r*esiros dfasl.*i m u n a40 000arto*1. C (Bntanntca. 15
t IV: (tune lelhnj") En nmgdn ciw se tu probado w valor predKtivo o de ayjda a I* decisWw
acKul. y ra c*w Kxi kan dejado evidencia . al mac*. un "tetiDa" inequvoco deenir a nteres
* u> adwmstracetx
" la tllunut iMcadas se la drwotUAj un lorawdable aui>|ue. en general, incoKluyenle y
atruvanrctt tevVKX- cuergo de cwraernos psicolgicos. socules y escmmios bre a tema de
La 'te* de la dcciun" (es Kstaditfica) persigue b solucin ptima a prtii de na ene
* ettaios Mecales. unos estados finales posMes y un conjunto de evpenmecbvs ditpoaiMft El
>v*4cu de la decisin" (en MalerrdlKas) busca u algonenw o rewxivwlad que K una respuesta
*4ut.->a (Britamica. ISed.lll. pp 424. u).
" ' estructurada. muki-dunmwxuiet. ad Hor. e mpradeoNe*.*CURTWa. p 2J.
 www.FreeLibros.me

Tabla 20.2. Caractersticas de lo s actuales SADD SS/

Herramientas C alculadora
Estadstica descriptiva grfica t riattiva

Series Temporale* Anlisis tendencias. Bsqueda automticadel

mejor ajuste
Modelos
Paramftrico Ajustes automticos
No Pnxcdimentales Leusuajes de 4* Generacin
-What i r Anlisi sensibilidad
-Goal ScetinfT Bsqueda de objetivos (normalmente con

en un intervalo).
I .'lujlmettt. una "opcin" de un S1DIEISI1
Cnectividad Soporte ofimtico C'dccisiooe* inmediatas!

20.2.3. Aplicaciones de Simulacin

Desde Io inicios de la Informtica. sta ve ha usado en variadas aplicacioncs de

sim ulacin.

20.2.3.1. A plicaciones de Sim ulacin

La irrupcin de la Investigacin O perativa en la gestin en kw aos cincuenta dio

lugar en los sesenta a una irrupcin (limitada al reducido m bito de las empresas
suficientemente "culturi/adax") de aplicaciones y paquetes de simulacin11,
fundamentalm ente de teora de colas.

2 0 .2 J.2 . A plicaciones de G estin y A plicaciones Tcnicas

A qu me ceilir a las aplicacioncs "d e gestin" para ayuda a la tom a de dccisiooes

DAS(DSS). aunque es evidente que la frontera est desdibujada, pues -salvo en casos
de ciencia pura- las sim ulaciones tcnicas" sirven o pueden servir para loma de
decisiones de gestin", en muchos casos de gran transcendencia econmica.

Las aplicacioncs de gestin" - a su v e z - sirven a dos grandes propsitos: i) la

planificacin o diserto; y ii) la optimizacin o reingeniera.

GPSS. Central Parpse Syittm. lodivfa cuoenie. e*unodetlk

 www.FreeLibros.me
captulo a> Atono ia i n k x m a t k a ot msvpss y apix 'aciom j

Fu el primer caso, se trata de disertar o planificar una realidad an inexistente (es

I caso de inversiones en infraestructura o e n planta). En este caso, los grados de
libertad al desarrollar el modelo son mxim os (se pueden cambiar la "ctru ctu ra" y sus
"reglas"; los riesgos de error asociados, tambin, al n o existir posibilidad de
contrastacin emprica directa (comparar el funcionamiento del m odelocon la realidad
que modeli/a).

En el segundo caso, la infraestructura ya existe, se trata de m e jo rar-m is o menos

A clm ente- su funcionamiento. En este caso, los grados de libertad - y los riesgos
ociados- son menores: la estructura" e s in a m o v ib le 's e pueden explorar reglas
alternativas; caben ciertos contrastes empricos.

20.2-3.3. T cnicas de m o deluacin y sim ulacin p o r co m p u tad o r

Hay una gran variedad de tcnicas de sim ulacin combinables con la variedad de
lenguajes en que se pueden im pkm entar.

Las aplicaciones de sim ulacin se programan, todava m is frtcucitcm cntc d e lo

deseable, en FORTRAN o en BASIC, con una introduccin progresiva de lenguajes
ms modernos.

Entre los paquetes, aparte de una plyade de paquetes para fires especficos
-desde gestin de tesorera a distribucin en planta de grandes superficies, pasando,
por ejemplo, por optim izadores del proceso de produccin de cerveza-, hay tambin
tea gran variedad de paquetes de propsito general (horizontales, no especficos de
a funcin o sector): entre stos, por citar d o s1* tipos importantes, c stin los de
anulacin esttica y los de simulacin dinmica: y los deterministas y los
cstocscos. La tendencia (no justificable en este espacio) es hacia los dinmicos,
estocsticos c interactivos, y con una excelente interfaz grfica (GUI). Entre stos se
pueden citar: Arena. T aylor II, y W ITNESS1'. Todos ellos se caracterizan (en mayor o
menor grado) por una orientacin a objetos, una fcil programacin grfica, por
men*. y por cdigo de alto nivel (generado automticamente). Su potencia,
fletiblidad y facilidad <tr uso varan al igual que sus facilidades de "nrumentacin
Mema".

Los SID y los SAE se presentan frecuentemente juntos, como se ha dicho, por
tazones funcionales y comerciales, aunque estrictam ente- pueden tratarse de modo
independiente. En la figura de la pgina siguiente, se muestran conjuntamente.
 www.FreeLibros.me
*U AUXtOKlA INfOHMTICA UN t.NtOQt'F PKACHC1)

A partir de un Banco de D alos Corporativo |1 ) se obtienen directamente (o

indirectamente [2 |. mediante una Base de Dato* local) vistas (31. Ambo*
enfoques tienen ventajas e inconvenientes: el ataque directo a la Base de Ruca
Corporativa tiene la ventaja del acceso a la totalidad actualizada y e l inconveniente
de la mayor concurrencia, tiempo de respuesta y complejidad (cuando, de hecho, d
nivel desagregado rara vez interesa al ejecutivo); el uso de una base de datos privada o
local para el SID reduce y resume la informacin y plantea el problem a d e los crcrioi
y filtros de extraccin y el del ciclo de refresco (que. en la mayora d e los sectores, no
e s crtico). I-a tendencia e s el ataque directo a la Base de Dalos Corporativa

Las "vistas (3) son la frontera entre los SID y los SA E: dependen del upo de
herramientas que se les apliquen: si no hay ninguna o son sencillas, nos qudame co
el SIO. si son ms complejas, posamos al SA D (4). Si se aplican paquetes de
sim ulacin [S] que rebasan las herramientas propias del SAD, estamos en una
situacin de SAD. pero usando otras herramientas y -cventualm ente- otras fuentes de
dalos [6].

20.3. SINGULARIDADES DE LA Al DE LOS SID[E/S],

SAD [D SS] Y SIMULACIN

Sobre A l de los SID(fc751 se encuentra una cierta cantidad d e documentacin; do

as sobre SA D //>S.S/ y Simulacin. Sin embargo, parece que debera preocupar a is
este ltimo grupo de aplicaciones, debido -so b re io d o - a la m ateriadair o
importancia relativa de las decisiones que entren frecuentemente en juego.
 www.FreeLibros.me

20.3.1. Al de los SID[EIS]

Por lo que respecta a la A l de los S ID | /5 |. las tablas 20.3 y 20.4 resumen los
principales riesgos de control general y de aplicacin'*.

Tabla 20.3. R iesgot de Control General

Se puede acceder a datos ylo manipularlos va el SGBD (tamo mi si hay

2 n c ik m n : BD Corporativa y BD local) u otra utilidades
Probablemente hay dalos en PCs y tap<opv entornos poco seguros.
Puede tratarse de informacin muy temible. sobre lodo si lleva asociado
informes, memorandos y mensajes.
Las facilidades de extraccin de informacin facilitan el robo.
I Lo procedimientos normales de control de lelecomunicanoncs no o
aplicables
Logical" I La arquitectura de stema abierto liene mis debilidades de control. I
El Desarrollo Riptdo puede suponer fall de anilisu o diserto
La gestin y control de accesos e compleja.
1.a programacin de usuario final es difcil de controlar.
1.0 equipos y datos distribuidos dificultan la gestin de copias de
Matinal

I.O planes de contingencia pueden no ctahnr o no cubrir suficientemente

loa PC s
Personal y Ixm directivo* pueden resistirse en la prlctica a procedimientos de
procedmienten seguridad y control.
FJ control sobre dalos cualitativos es mis difcil de implementar.
--------------------- Los propietarios de dalo pueden decidir comunicarlo un que *e hayan
res nado suficientemente
A efecto de AL lo auditores deben tener una alta cualificacin: el u*o de
I herramientas CAAT" ser difcil: iodo ello encarecer! la auditoria

*Ampiamente huidniCURTM h PT JO-JI.

" Sopen* Lgico"
CAAT. C/imfmUr AiUirJ iU M Tool Ion TVvfcinp-! Iknm>cnu (o Tcnica) t Auditoria
Ambii per Compabdcr.
 www.FreeLibros.me
4? aumivhiIa iNKmMiK A u n KMSxjtt. r a A c n c o __________

Tabla 20.4. R iesgos d e Control d e Aplicarn

Entrad
- T : v.... ' -
Dependeocia 1c fuente muy dnpersav
M
Carencia Je controle normalizado obre fuente? externas.
Dificultad de controlar dato cualitativo.
Presin para introduccin de dato urgente, ante de >u rcvuio.
Accco no autorizado gracia a la interfaz fcil de usar.
Gestin de accesos compleja.
PTOCCSOS Rutinas de proceso complejas.
En el caso de herramientas estadsticas y de simulacin, el algoritmo, m
limitaciones, su aplicabilidad y u documentacai pueden ser uudecaaJa
o insuficiente*
l-a modificacin continua del logical puede inhibir controle *
mantenimiento y gestin de la configuracin
Carencia de procesos estructurados de desarrollo.
Sallis Se pueden enviar salid va e mail a destinatario! no autorizados.
La exactitud de las salida grfica es m difcil e serificar.

Tabla 20.5. Consideraciones sobre la Auditora deSID /FAS/'*

Controle de El liderazgo y la participacin comprometida de la Aka Direccin son cruj

Desarrollo 1. El SID(7S pueaica a lo mando medios, que (crin hostiles
El directivo responsable del proyecto debe tener el ril. el poder, el tiempo y
el propsito de que el sistema te adapte a las necesidades de la organi/aota y
est claramente enlazado con su objetit'os de negocb.
R Al (Wn* peulirifur d n f el esltufco A* iuKIkH
El SID[/S] et declinado a la toma (asistida por SAD(055|. o no) dr
decicmei eifrar/jriou F.no muestra una ituacin de altsimo riesgo para d
Al.
Principales facore crtico de xito: gestin le pnblema de dalo, gn&a
de resistencia organizativa, gestin del mbito y la evolucin
Dato El mbito de anlisis de la Al no debe limitarse al SID|C/5). sino que drt*
abarcar la totalidad de los Sistemas de Infamacin que directa
indirectamente inleractra con l o le aporten dalo.

" Extractadode CVR9$. y adaptado

 www.FreeLibros.me
C A rtitu) auditora imokx U tk a db mss/p ss v am jc a o o m .v a

Tabla 20.5. Consideraciones sobre la Auditora d e S ID /E ISII (Continuacin)

1j auditoria de un SID|/) debera comen/ar antes de que los dates lleguen a

estar en el mino.
t i aumento de riesgo (por el riesgo estratgico del SID(/5] debe llevar a
revisar los objetivos, controles, lamartos de muestra, etc. de las spinacione* de
oriten.
Particular atencin debe prestane a la revHio de los procedimientos de control
interno de entradas y procesos; documentacin de programas, listados de

Trlecotnuni- El entorno puede ser internacional. con d ise ra i redes LAN. WAN. Ultra e

Imerfaz de La facilidad y sencillez de uto son crticas El Al debe evaluar: la calidad de U

Uwuno interfaz de usuano. la nasegabtlidad. la facilidad de informes a medida, la
flexibilidad y calidad de lo* grfico, la facilidad de uso de las herramienta* de
anlists. y la facilidad de acceder a datos estemo, integrar dato* en Hornos
ofimiticos v producir salidas por fa* y e-mail.
HI Al debe asegurarte de qoc -desde el inicio- (para minimizar lo cambios
posteriores) el sistema satisface en contenidos y procedimientos las necesidades

Coaesde ~ Debe disertarse el sistema ms simple posible que utisfaga en contenidos y

Desarrollo procedimientos las necesidades reales de los ejecutivos usuarios. El mtodo de
desarrollo ser normalmente por prototipos mo&irhvu. cuyo control de costes
puede ser ms difcil. La justificacin d d gasto es intangible.
Segundad^ FJ mas or nesgo es el de filtracin de informacin estratgica.
La posibilidad de errores o de manipulaciones puede tener consecuencias muy 1

IX-ben extremarse los controles de: autentificacsn de accesos, autoriacin d i 1

accesos a informacin sensible, registros de accesos y tekcoenunicaciones. |
registros de modificaciones, cifra' segundad fsica (manipulacin, robo) de
equipos, es nacin de copias en disqucie. proteccin antivus. proteccin fsica
y lgica de las comunicaciones, seguridad del sistema operativo, de la red y del
{estoe de bases de dalos
^'anos (de Asegurar que no se falla en la identificacin de informacin relevante.

Asegurar que no se falla en la interpretacin del significado y valor de esa

____ Asegurar que no se falla en la comunicacin de informacin a cn decivxes clase.

La Tabla 20.6 propone una seleccin''1 de objetivos de control extractados <lc

COBtT 96. Se centra m s en controles generales" que en controles de aplicacin".
Pretende servir d e complem ento a las presentada* ms arriba.

^ 'E ciipw io'.

;i tu a seleccin es <kl autor Sel ciprtuloi NO de ConiT. U tradvcon *1castellano de los objetivo*
leccMrol NO ha do homologad.
 www.FreeLibros.me
T AtTHWmlA IMOKMUItA t X IVHKJt.'F ACUCO

TtM tt 20.6. Principales Objetivos de Control (COBIT 96) a considerar en A l de SAI)

(DSS) y Sim ulacin

Objetis-o de Control
"La calidad de la evaluacin de ries
9.2 go* debe asegurarse coa un mttodo Arduo
jro
estructurado y con asesore* obre problema
nesgo que eln cualificado "
El enfoque de la evaluacin de
riesgo* debe asegurar la aceptacin
formal del riesgo residual, segn la
Evaluar Riesgo identificacin y medida del nesgo. la
poMtica organizativa, la mcertidum-
9.6 bre incorporada al peopto enfoque de
evaluacin del nesgo. y el ccme-
eftcacia de implantar salvaguardas y
control El nesgo residual debe com
pensarse con una adecuada oibenura

i 11.10 Relaciones con el subcomratita.

POIO Norma de documentacin de pro-
Proyectos i 11.11
Gestionar U Ver comentano
POII
Calidad 1 a DS2.
Identificar
A ll
soluciones
Una pune subs
tancial iic ce
upo de aplica
incluyendo "controles de
ciones son de
aplicaciones que garanticen la
desarrollo de
exactitud, complitud. oportunidad y
Adquirir y protctfipcn y de
f 2.11 autorizacin de entradas y salidas.
Mantener Con- "informtica de
Debiera hacerse una evaluacin de
AI2 usuario firul".
L opcalde trola sensibilidad..."
Aplicacin donde es difcil
biladad
aplicar lo* ob
"... Integrar en el diserto, tan
preco/meole como se pueda, los jetivo de
control clisacot
concepto* de seguridad."
e incluso dudo-
so s debe ha
cerse. "

Orbe la Infcenstnc* de Usuario Final n a u i m w (a efecto de Al), o debe mt Ne* emendcne

cumo ejercicio dncrecional dH profesional o ejecutno. judiuMe pue ceras vi? las hctrxraeittas c
uswr fiful u escluiMcs -<n na opinin de la audcceia mfcrminca. salvo en lo cifcclos de
hoenologacrf* de tos pcvslucto. y cencirnckkrin de irannm. servicio de incidencia fVe-
W X copu de segundad. c<n>l de licencia y actualizacin de in u n n o
 www.FreeLibros.me
o * ____________c a W i'm i a iix io x Ia in io k m a u c a t i t y a u k a c kinks . a x

Objetive 6* CootraJ <k

A * ,M I
p.sta ev la nica
cila directa a
G alln del Modell?.:ii del funcionamiento y
DS Fuaconancto y 34 capacidad de lo servicios de infor modeliuKtn -
Mmulacio que
Capacidad nuon
he identificado
en O i r
Connennacin
en las peculu-
Fixnur ) Entrenar rKUVv -en
DS7
a kn Usuano cuanto a n o -
go- dees*
aflese tonev.

Augurar que
ododocu-
1 IM Pista o T n / de Auditoria memo impreso
o exportado
lese idcntii-
0SI1 Gestin de Dato
autor, vista".
*e*in. senan.
Keviu6n de Salid y Geuin de y -por defecto
i 11.15
indicacin de
-Bom SoT

Los SAD y k*s

tralelos de Si-
m utiate ton
frccucmcmcnie
subcencraladota
empresas es
pecializada. h>-
hre /ai . 01*1 y
cayos contratos
Gestin dc debe r?rrccrsc
u s: Servicios por vigilancia. Des
Tercero graciadamente.
conCotfTha

lo de atemore
sersionesdckn
Control Otyn
litro) la visin
de oalooro
ceiMicante de

Obtencin de
m: (oranti
 www.FreeLibros.me

20.3.2. Al de los SAD [DSS] y Simulacin

La principal singularidad de este tipo de aplicaciones es que se traa de

"aplicaciones" muy caracterstica d e usuario final"2' o de subcontratacin de
consultara especializada. Cualquier uso de herramientas estadsticas o de rimulacia
por personas sin una considerable especializacin e s probablemente temerario .

Las condiciones en que se desarrollan los grandes modelos" (los que susientin
las grandes decisiones), son. con frecuencia, el contrapunto d e lo deseable desde
punto de vista de A I: encargados por altos directivos que se enfrentan a unas
disyuntivas, que suponen un caso singular y puntual, bajo presin poltica o
econmica, con premura y escasez d e tiempo, con datos a m enudo escasos y p x
validados, con una comprensin lim itada de los puntos fuertes y dbiles y de ka
condicionan les d e la modelizacin. aceptando la modelizacin como solucin, pero t
podiendo conceder tiempo o prestar atencin a anlisis de sensibilidad y i
"replicacionex .

Las solicitaciones al A l llegan en este caso al lmite. Los enfoques y tcnicas

aplicables deben ingerirse de lo anteriormente discutido (para la A l en general, y pan
los SA D |/)5 5 ] ms concretamente). Pueden explotarse enfoques como el del dcMe
clculo independiente que se usa en ingenieras nucleares y otras, evaluaciones
indirectas basadas en la documentacin y irazabitidad (generalm ente pobres, por las
prisas) de k modelos y experimentos, y -fin alm en te- en controles generales" (qae
son. relativamente, los ms dbiles: pero, en ltima instancia los ms slidos):
formacin y concicnciacin del usuario, controles d e subcontratacin. etc.

Segn M ike O. Villegas, de Arthur Andersen. e n su m odelo* de 7 capas [p. 24] de

Gestin de Riesgos, los mayores riesgos estn en las capas d e Aplicacin y de Proceso
| p 25J. que son las especficas de los "controle* de aplicacin", esto e s -segn mi
interpretacin, y usando term inologa clsica- en los controles especficos y no en:
los generales".

En todo caso, la mejor estrategia de A l e s aplicar consistentemente C"08lT%.

aceptando el hecho de que algunos entornos tecnolgicos especiales pueden requerir
una cobertura independiente d e objetivos d e control" .

51Que. en oxot ciun, no o occnulmnue im dtfwtito. uno uiu p tncai o o equipo e w (atuxc

14 IVmeve por ejemplo, en a u hmanuenu DSS un iclKimcnle tutipl y tMnaliMfa con ud

97 de MKTtnofl. Motswsc el lo;loe no pccittnu en etladhoca en conuriui ti men HenunKM-
(ComplemtnioO AiUlim de Dalm-An*lmt de Foartr. o -tti A>ud -udhCKa. p rtk K i
tkwkwT
s ~Reploooe" >cpc(Kia de espeorntulos i modelos enocOKOt (Pl*06. p 98)
DHAL96
O0MT96. Eteevtnt O im in r, p 17.
 www.FreeLibros.me
CA>fHTOa>.AllPfro<tlMVK)ftMAlXrAPIiS&PYAItJCAOOS'K- 4SI

No debe desdearse el recurso a grandes indicadores y cuadres externos",

aplicado por personas con experiencia; ni el uso de systems-walk-tlirus.

Puede tambin desempear aqu un im portante papel el CSA Control

SelfAsscssmenr* - Autoevaluacin del Control- mtodo an insuficientemente
normalizado, con un enfoque de "gestin d e salud primara y preventiva",
"... coherente con los conceptos de Calidad Total" |p . 30). suplemento y no
bstituto [p. 4] de la auditora convencional, cada vez ms popular desde "mediados
de la dcada de los ochenta (p. 20], por el que el personal, a todos los niveles, en
todas las funciones, lo constituyen los Analistas Informadores d e Control Primarios"

20.4. CON CLUSION ES

La AI de SIDIE/S] y SADfDSSI y Sistemas de Simulacin entraa dificultades

Kmite (sobre todo, en el caso de los ltimos); la "importancia relativa" puede ser
enorme, agravada por la baja estructuracin/documentacin de procedim ientos. Ln*
procedimientos clsicos y las normas disponibles (COBIT96) son insuficientes, pero el
cema c a ah. y cada vez ser ms frecuente. El A l debe recomendar al mximo
controles generales y controles de aplicacin (de las que alimentan de datos a estos
sistemas), extremar el uso de tcnicas indirectas (indicadores externos, sy u tm t-
Hiiltjhrus), y recurrir a tcnicas (CSA) alineadas con la Calidad Total.

20.5. L EC TU R A S RECOM ENDADAS

COBIT96. ISACA. Control O b je ttiw i fo r Information a n d Related Technology.

1SACA. Illinois. EE.U U. 1996.

CUR+95. Curl. Steven y Gallegos. Frcdcrck. Audit Considerations fo r EIS. IS

Audit Control Journal. Illinois. EE.U U. Vol. II. 1995. pp. 36 y ss.

20.6. C U ES TIO N ES DE REPASO

1. Definicin operativa amplia de Auditora Informtica.

2. Resuma la evolucin de los SID.

3. Principales caractersticas de los SID actuales.

 www.FreeLibros.me
t i : Al'IWTOHU INKIHMIICV UN ENFOQUE WtCTKO

4. Qu diferencias destacara entre un SID y un SAD?

5. Riesgos de coniml general de las SID.

6. Cules noc k prin cip al med de control d e aplicacin d e k SID?

7. Objetivos de control d e la auditora i

sim ulacin.

8. Qu es la autoevaluacin del control?

9. Por qu resulta tan importante la auditora de los SAD. SID y de I

aplicaciones de simulacin?

10. Elabore listas de control para auditar algn sistema que conozca para d
desarrollo de aplicaciones de simulacin.
 www.FreeLibros.me

C APTULO 21

A U D ITO R A JU R D IC A
I)E EN T O R N O S IN FO R M T IC O S

J o itp J o v tr i Padr

21.1. INTRODUCCIN

La A udito ra Ju rd ic a forma parte fundamental d e la A u d ito ra Inform tica.

Su objeto es c o m p ro b a r que la utilizacin de la Informtica se ajusta a la legislacin
vigente. A slo ttulo de ejemplo, citaremos normativa com o la Ley Orgnica de
Regulacin del Tratamiento Automatizado de D alos de Carcter Personal (I.O P D )1 y
la Ley de Propiedad Intelectual'... que. entre otras', esi presente en tal comprobacin
Superar el test de la legalidad implica la existencia adecuada a Derecho de las bases de
ta o s. de los programas y. en definitiva, d e la estructura informtica de la organizacin
que se somete a examen.

La Auditora Jurdica e s esencialmente im portante para evitar posibles

reclamaciones de cualquier clase contra el sujeto a auditar. Por ello, el trabajo del
wditor es la m edida preventiva idnea contra sanciones en el orden administrativo o

1 Le) Orginica I W . ile Proteccin de Dafcn de Carcter FVrvxul

1 Ley l<W de ft.<*por*;io de la Directiva 91/250CEE. de U de mayo de 1991. vibre la
fntKeWtajurt&cade lo peojrjmi de cwnpvtadnr IBOC de 24 de d<iea>bcede 1993)
' Eair n i ccw. M i de lu espocifkameMe telenda a b malena. exide* cera <jee a pesa
ie enar dedicada* a otra nulrrav aborda el tema dcvJe alguno de t aifectm A(. b Ley de
hxtttnSn lu U c i y Modificaos del Cdigo Cisl y de la Ley de EajuiciinMcnto Civil (LO de 15 de
eaetode 1996 rm 1/1996. BOt 17de enero de 1996*
 www.FreeLibros.me
4M AlilHltHtlA tMUHMATK A l..Nt NHXE t IUCTKT)

incluso penal, a s i com o indemniz/iciones en e l orden civil p o r daos y perjuicios a lev

afectados, y ello lo referim os tanto a las Administraciones Pblicas como a tai
empresas privadas.

Con e l examen jurdico-tcnico se pretende conseguir una gestin ms eficaz At

dichas bases de datos y programas. Uno d e los prim eros objetivos para cualquier
organizacin, e n esta rea, e s evitar costes econmicos en form a d e sanciones o
indemnizaciones p or negligencias que se podran haber prevenido de f c il modo y. ex
combinacin con las otras facetas d e la Auditoria Informtica, lograr el descubri
miento de irregularidades en e l contenido o en e l uso de los program as o de la infor
macin tratada. Estas irregularidades afectan n o slo a l norm al funcionamiento t
las empresas auditadas, sino especialm ente a las "fugas~ d e esa informacin. Todo
ello influye, no cabe duda, en la Cuenta de Prdidas y Ganancias.

Adentrndonos en e l campo del D erecho Penal, y siguiendo a Emilio del Peto',

cabe sealar que la auditoria informtica, en sus diferentes modalidades, puede u n ir
para prevenir e l llamado delito informtico, detecta rpidamente e l acto delictivo
caso de que se produzca y facilita la prueba del mismo, en su caso. Las revisiones en
que consisten las am blaras informticas, ya sean peridicas o continuas, iuuhk
beneficiosos efectos de cara a la prevencin d e una posible actuacin delictiva. El
simple conocimiento, po r parte deI personal d e una empresa, d e que existe este tipo de
auditoria evita ya. muchas \eces. a comisin d e l delito ante la posibilidad de ter
fcilm ente descubierto. Cuando existe la auditora continua, e l empleo de las tcnicas
auditoras informticas permite, en gran nm ero de casos, descubrir los fraudes
cometidos y facilitar la prueba del delito cometido con la ventaja d e la inme-
diatividad. Com o consecuencia de todo ello, p odemos llegar a a conclusin de que la
auditoria informtica, y dentro d e la misma, la estrictamente jurdica, cumple m
fu n c i n de tipo preventivo im prescindible en relacin con e l delito informtico.

En base a los aspectos reseados sucintamente hasta ahora, podemos ofrecer

una prim era definicin de la auditoria ju rd ica dentro d e la auditora informtica.
A qulla es la revisin independiente d e l uso del material, de la informacin y de ua
manipuladores desde a perspectiva de la normativa legal (civil, penal, laboral...).

* En rtUrin ero a i i&Jewnumfa [<x dito* y perjukk. co ooctyto de retpxuJbtbd] pce

iniofmKK'fl mwipulnb. Il LORIAD le ibn definiti aearMe la paoli. u bien 6 U yi jpvrvu
n ltn tm u en t u I x ln lu 1902 ile) CiStlipi (n il. lo inkulo* n (ruteni At i(M iulnliU
vootrictuil del muro OJdijo. li Lcy OrfMuri 1/1982 de 5 di ntayo di Pnxoron civil del deferto d
hcaoe. i U intittudid ptn<l y furali y i li pcopu n a fta y. U retpotrabilidid de In
Admiimtrx'unn. PCfcKi* refuUii ea il Ley 30V2. en m oso.
' DEL l'tSO NAVARRO. h i W l torto < m . meJ*, dt pretvwto fitmu f del-
wfvtmMco. III hncuentro tot<n b Informi!k i en b i fnkidc* de Dcrccho (miyo I9Mj |>ivcrudad
PtmfV.-ii Cornili Mnind fiditelo pee U Secetdn de PiMKtcKme de li Kacukid de D m du de li
l'anenidad Compiacente de Midrai
 www.FreeLibros.me
CA>fTVI|j02l: AUMTORlA lUKftMCA Ol K*TOfcNOS INFORMATICOS M

efectuada por un jurista experto independiente'' con la finalidad d e em itir un dictamen

sobre mi adecuacin a la legalidad vigente, y con ello conseguir evitar inseguridades,
prdidas o costes innecesario* para la empresa o Administracin a la que somete a
auditoria jurdica, siendo el cliente auditado en ltimo trmino el que decide la
aplicacin de las eventuales medidas correctoras que se estimen oportunas.

La auditora jurdica comprende cuatro grandes reas: A) la auditora del enlomo

informtico. B) la auditora de las personas que manipulan la informacin. C) la
mdiiora de la informacin. D) la auditora de los archivos, incluyendo dentro de sta
una auditora propia, la auditora de objetivos. Pretende esta ltima averiguar la
correspondencia entre el uso que se le d a al archiva y aquellas motivaciones por las
cuales se cre, asi como la constituciotulidad d e la finalidad ltima del archivo. La
auditora d e objetivos va ms all de la del principio de legalidad: es una auditora de
Derechos Humanos de Tercera G eneracin. Se examina n o tanto la legalidad como el
espritu del archivo, con la pretensin d e que ste respete y garantice u le s derechos.
Sin plantear en estas lneas un anlisis exhaustivo d e la materia, se pretende ofrecer
u u nocin general sobre la tarea del auditor jurdico mediante un examen de cada una
de las cuatro reas reseadas y de sus consecuencias.

212. AUDITORA D EL ENTORNO

Definim os como entorno a los programas y soporte fsico que sirven de

receptculo a la informacin y los datos objeto ltimo de la auditora jurdica.
Ccacrctamente. la auditora jurdica del Entorno se divide en tres partes.

a) Auditoria de los elem entos del Hardware

La primera consiste tanto en la comprobacin d e elementos d d HARDWARE

eeeno de los contratos que los soportan. Es preciso el examen d e los contratos en
irtud de los cuales se utiliza dicho material (sea con transmisin de la propiedad o
*o). asf como de sus contratos de mantenimiento. Slo a m odo d e ejemplo cabe
estacar como mas importantes tos de compraventa, alquiler, leaing, renting,
reposicin y mantenimiento de dicho hardware.

*
<fje
Euo es ata mis neecsano en aquella empeas que manipulan archivos ton tato* perweales y
so mpoovable e t persona) Je la prepaa m p e u . o bkn n i aquellas poicen dato* de sxoudai
Sfs k n i M' Grevile/ /birta cabe pooer en Ada que v a l lotoc* interno quien haga la aeditoeia (a
a cau. ya que puede vene coaKOoaado e* tu independencia profesional sujeta en elle cato * la
fachina Lahceal. al icr la propia empieva el mpomahle del arrimo, y fclrmii al no cumplirse uno de
k>principios fundamntalo de la prictKa profei>c*l de laauditnfa cual e la segregacita de funciones
pn (araKiiar 1* indcprndencu y objetividad del dictamen E p x eBo c u n o que las aiadiiotvn
niiras sean realiralu poe un jarou espeno, esiem.. a la orfaauaote a auditar y como coanecueocsa
teOo, imladerameate independeme
 www.FreeLibros.me

b ) A u d ito ra d e lo s e le m e n to s del S o ftw a re

La segunda patte est dedicada a los elementos del SOFTW ARE c incluye, entre
otros, el control de las licencia* de uno personalizadas, licencias de uso no
personalizada*. licencia de uso de cdigo fuente, desarrollo d e software y
mantenimiento d e los programas.

c) C ontratos de "paquetes gestio n ad o s

La tercera correspondera a los contratos que entienden la informtica y se

gestin como un entorno completo donde la organizacin cede a un tercero la totalidad
o pane de su gestin des ligndose de las decisiones propias de los departamentos
tcnicos O uttrwrring. elaboracin d e trabajos auxiliares, contratos de entrada de
datos, subcontraiacin de la gestin d e vectores d e una empresa o de un grupo de ellas,
constituyen ejemplos de dicho contratos.

En lo que hace referencia a esie mbito, de la revisin d e la contra tacico

comentada, e s importante que la redaccin de los clausulados contractuales sea clara y
precisa. As. por ejemplo, en materia de origen de la titularidad de los programas, d
auditor debe constatar y en caso de defecto, recomendar especialmente, que en los
contratos con programadores asalariados (contratos laborales) o con programadores
por encargo (contrato de obra o de servicio) se determine quin adquiere la propiedad
de los mismos (a pesar de que en los primeros desempea la presuncin legal de la
Ley de Propiedad Intelectual de transmisin al empresario para el ejercicio de so
actividad habitual) para la ms difana determinacin de la titularidad,
independientemente de la autora, y con ello evitar posibles dudas y reclamaciones al
respecto. Del mismo modo se debe proceder en temas de obras colectivas y obras en
colaboracin. Tambin se constatar por parte del auditor la existencia d e pruebas
documentadas de esa titularidad como, por ejemplo, el depsito notarial o eterow. el
registro de la Propiedad Intelectual, y en su defecto, aconsejar el uso de dichos
mecanismos de registro.

S e trata, en definitiva, del anlisis de contratos, desde la perspectiva del Derecto

Civil y particularm ente del Derecho de la Propiedad Intelectual e Industrial. Aspectos
c o n titularidad de los derechos d e explotacin, autora, patentes, marcas... est
presentes en tal revisin.

En lo que hace referencia a derechos de autor, cabe destacar por su importancia la

polmica en la regulacin de los programas de computador. U na de las novedades qoe
incorpor la Ley de 1987 fue. precisamente, la regulacin de la proteccin de los
programas de computador en el seno del derecho de autor (arts. 9 5 -1 0 0 1.P1).
 www.FreeLibros.me
l AHTIII) Jl At'tMTTHtU M'KfWA IM. t.NTtSX)tt INKUtMAIHX 7

El IcgisJador espaol apostando por la proteccin jurdica d e km programas de

computador en este marco, se incardin en la tendencia existente en la mayor parte de
Estados de la Com unidad Europea. De igual manera ha actuado la misma Comunidad
<jk. ya desde la Directiva del Consejo 9I/25(V C E E\ ha organizado la proteccin
jurdica de los programas de computador en el Derecho de Autor, en concreto como
olra literario, en el sentido recogido en el Convento de B erna' y como seala
MASSAGUER. renunciando a la idea d e establecer un sistema d e proteccin su i
ttntris. siquiera dentro del Derecho de autor, no obstante e l establecimiento de una
(epilacin particular" . Un sector de la doctrina especializada opina que la decisin de
oyui por regular esta materia en el cam po de la propiedad intelectual es lgica si se
Hiende a las caractersticas de los programas de computador. A s. por ejemplo.
OROZCO PA R D O 10 siguiendo a GALN CORONA seala como principales razones
p in dicha opcin las ventajas que confiere la proteccin del derecho d e autor ya que
ose requiere novedad ni actividad inventiva, sino solamente originalidad, ni tampoco
es preciso registro conforme a b Convencin de Berna T odo ello conlleva, gracias al
juego de los convenios internacionales, una proteccin sobre la materia inmediata,
(eogrlficanvente generalizada y desde el anlisis econmico del derecho, barata".

Razones de carcter prctico que vienen avaladas por el aumento de la piratera

informtica de consecuencias negativas tanto para lo s propios autores como para la
comunidad. No obstante, siguen existiendo casos e n los que un programa va ligado a
a proceso industrial, en cuyo caso se le bnnda una proleccin complementaria, a*i en
d v t. 96.3 LPI antigua.

El Derecho de Autor no es el nico sistema de proteccin jurdica a que pueden

acceder kxs programas de computador, que tambin pueden ser tutelados mediante la
aplicacin de lav disposiciones sobre patentes, marcas, competencia desleal, secretos
empresariales, topografas de productos semiconductores o contratos segn el art. 9.1
de la Directiva mencionada, protegiendo d e modo concurrente con la tutela del
derecho de autor el objeto protegido. La generosidad de la relacin de sistemas de
pmeccin jurdica adicional ofrecidos a los programas de computador de la Directiva
9I/2SWCEE contrasta con la parquedad de la LPI de 1987. limitada a los programas de
computador "que formen porte de una patente o un modelo de utilidad", por ello, era
dtwable. como u iU la b i M A SSA GU ER", d i oro a mantener un criterio claro de
pweccin. o la supresin del art. 96.3 LPI, ya que el principio de interpretacin

' Directiva del Cornejo <9l/2XVCt) de 14 de fruyo de 1991. relativa a la proteccin Jurifcca de
fesFh'fnmax dr Computador, DOCE. nm L I22M2. 17de mayo de 1991
* Ccnvemo de Berna, de 9 de acpucatac de 19*6. fwa la protecctta de 0*t Lucrara* y
Atacas. ifcnte ra Espilla ea la redacota del Acta de Partsde 24 dejato de 1971. ratificada medanle
aauner&> de 2dejulio de I97J. BOE. nfam 81 y 260. de 4 de abnl de 1974 y JOde octubre de 1974.
1 Ln eue KKidx MASSAGUER. J . "la adaptacin de la Ley de FY<5cdad Intelectual a la
todita CEF. relama a la proteecW*yartdtcade los programas de compuutloc'. m Jtrmw *11Dfmtm
HtKMtil. n* 199-200
" Onuco Pardo. G "lafcemtca y propiedad meledual". AcUahdoJ h^anaMKit Aran/nii. n* 19.
Unldf 1996
" Ea este sentido. MASSAGUER. i <y> cu
 www.FreeLibros.me
4B AUtMTORlA IMORMATKW ENFOQUE PRCTICO___________________________ t l i B I

conforme vigente en la Com unidad aseguraba la cumulacin de proteccin jurdica, o ,

la modificacin del citado precepto, sustituyendo su tenor por el del primer incito dd
art. 9.1 de b D irectivaIJ. La Ley 16/93 d e incorporacin de b Directiva 9I/2SGCEE
ha resuelto en su Disposicin Adicional nica Salvaguardia de aplicacin de otras
disposiciones legales en el sentido de tolerar dicha proteccin adicional pero sia
especificar si los programas de computador han de formar pane d e una patente o
modelo de utilidad. El T exto Refundido de Propiedad Intelectual de 1996" no ha
resuelto, sin embargo, ese problema de manera diferente al anterior testo legal de
propiedad intelectual, desaprovechando, creemos, una oportunidad de mejen
legislativa. Reca
demos que su artculo 96.3.2 establece que cuando k * programas d e computador
formen parte de una patente o modelo de utilidad gozarn adems de la proteccin qce
pudiera corTcsporiderlcs por aplicacin del rgim en jurdico de la propiedad industrial
confirmando d e ese m odo la redaccin anterior.

21.3. AUDITORA DE LA S PERSONAS

N o e s posible hablar de mquinas y programas sin hacer referencia a quien los

asa. Por ello la auditora jurdica dedica una de sus reas al sujeto activo dd
tratamiento informtico. La auditora jurdica de b s personas abarca cinco aspectos
que el Jurista encargado de la misma debe examinar:

a) Quines tienen acceso a la informacin

Debido a la naturaleza de la informacin almacenada y manipulada, sea de

carcter personal, que afecta al derecho a la intimidad de b s personas, o simplemente,
datos d e inters para la competencia, el acceso a los mismos ha d e restringirse
atendiendo a la sensibilidad" de la informacin.

Com o eje vertebrado? de esta proteccin, especialmente en lo que hace referencia

a los datos, se crea por la l e y Orgnica de 1992 b figura del responsable del archivo.
ste debe velar por la seguridad de los datos y por ello, adoptar medidas de ndoe
tcnica y organizativas necesarias que eviten su alteracin, prdida, tratamiento o el
aspecto al que hacemos referencia en este apartado, el acceso no autorizado. Para ello
deben valorarse el estado de la tecnologa, la naturaleza de b informacin almacenada
y los riesgos a que est expuesta, ya prosengan de b accin humana o del medio fsico
o natural.

Reglamentariamente, dentro de b s empresas, han d e establecerse los requisitos y

condiciones que deban reunir las personas que intervengan en la manipulacin de ks

fcoeme mulo. MASSAGUEJL J. op ett

Real Dccrclu Lcgnlimo de 12 de bol de 19%, enlm 1/199* pee el que te aprueba el I*
retejido de U Ley de Propied*! Inleciul (RCL 19X7/2440). rellanando. xbnado y >
Ut opoMCK legal *xte otee lauieria. BOU de 22 de abnl de 1996, rT 97.
 www.FreeLibros.me
caH w u h i Ai Dinml* ii kuxca i . ^ tornos in k w m m k w aw

chivos a los que se refiere el articulo 7 de la I.OPD (dalo especialinenie protegidos)

en primer lugar, y a las informaciones que son de importancia para la propia empresa
o pira terceros, en segundo lugar.

Por lo tanto, slo deberan acceder a los dalos "sensibles aquellas personas que
lean autorizadas, actuando la figura del responsable del archivo com o garante d e la
proteccin de los mismos. Frente a terceros, o incluso en el ejercicio del derecho de
acceso por parte de los afectados, el Responsable del Archivo e s quien, en algunos
icpjcstos. tambin lim ita temporal y parcialmente la obtencin de inform acin". Con
ello se evita el acceso indiscrim inado a los datos de la propia organizacin.

b) Adecuacin de aqullos al cargo que ostentan

Es necesario, adems, que aquellos miembros que tienen el acceso permitido a un

cietio nivel de informacin dentro de la organizacin, lo tengan de forma adecuada
ccn la responsabilidad y el cargo que ostentan. Deben evitarse accesos n o necesarios
para el normal desarrollo de las tareas que el trabajador o funcionario tiene
ewomendadas.

La empresa u organismo no puede arriesgarse a que cualquier usuario, desde

cualquier punto del sistema, pueda "vaciar" el mejor tesoro de la organizacin: su
informacin.

c) Conocimiento de la normativa y de que se debe mantener una

actitud tica delante del archivo

Aquel que tiene acceso a un nivel de la informacin debe conocer las

obligaciones y derechos que le asisten. En virtud de su vinculacin con la
organizacin, debe mantener una actitud ica ante la informacin a su disposicin y
do revelar los datos que conozca en el ejercicio de su cargo o en el desarrollo de su
urca si ello no e s necesario para la ejecucin d e la misma. Si un trabajador d e la
(presa, vulnerando sus obligaciones, rompe este deber d e secreto, rompe tambin la
buena fe contractual, siendo ello motivo d e despido disciplinario'.

'* Asi. U LOPD estableceque el derecho de acceso v6k>podr ser ejercite en sunalos svfcnores
i doce mese. salvo que el afectado amdik un M r t i legitimo, ca cayo w podr ejercitarse a * i
(Aa 15de laLOCO) aru. 12 y 13del RD 1332/94)
' A ese sentido tamban cabe reccedar el articulo 20 I y 2 o 1 articulo 21 del Estatuto de los
TrabojaJoret "Articulo 20 Direccria y control de la actividad laboral I . El trabajador estad cMsgado a
untiai el trabajo CMieeat) bajo b deevcsn del cayresaro o persona ca quien ewe delegue 2 Ea
corrimiento de la cfehgKin de trabajar asumida en el contrato, el trabajadx debe al empresario la
dfigearu y lacolaboracin en el trabajo qat marquen lasdisposiciones legales, lo convenioscolectnos
j las(edenes o mstrucciones adcpalas pw aqul en el ejercacioregiabe de ua faoakades de dveccitfa j.
sudefecto, por losaso y costumbre En cualquier caso, el trabajador y el empresario sesometerin tn
**prestaciones reciproca a la engracias de b bseaa fe(...) Articulo 21 Pactode no ccacarreociay de
permanencia ea la empresa 1. No pxlrl efectuarse la penuci laboral de un trabajador piara diversos
aprsanos cnanto seestimecoanrreiKta desleal (...K
 www.FreeLibros.me
i
</Q AWXTOHU IMOItUTKA: l?< ENFOQUEPlU tH W ___________________________ iim i

Fji lo que ta c e referencia a kw archivos, el articulo 10 d e la LOPD rccoge

tambin esie deber de secreto, si bien este precepto tiene un objeto diferente al q x
prev la legislacin laboral. Aqul pretende garantizar los intereses del empresario y
ste cumple, corno el resto del articulado en que se integra, una funcin de defensa del
derecho a la intimidad. Kl articulo 10 d e la LOPD eslablecc que la obligacin
deber de secreto afecta al responsable del archivo y dems personas que intervenp*
en cualquier fase del tratamiento de los datos de carcter personal, incluso despus de
haber finalizado la relacin con el titular o el responsable del archivo.

Asimismo, cabe recordar la existencia de una tipificacin penal especfica de

conductas relacionadas con 1 vulneracin del deber d e secreto en relacin cca
particulares, autorlades y funcionarios pblicos.

Asi el nuevo Cdigo Penal incluye en el Captulo IV de su T itulo XIX (artculos

4 IJ-4I8. referente a delitos contra la Administracin Pblica, tipifica con carktcr
general las conductas de infidelidad en la custodia de documentos y de la violacin de
secretos. Dichos delitos pueden ser cometidos por autoridad o funcionario pblico y.
en el cato del artculo 418. por el particular que aprovechara para s o para un tercero
el secreto o la informacin privilegiada que obtuviere d e un funcionario pblico o
autoridad.

Los artculos 198 y 199 del mismo cuerpo legal inciden de nuevo en dicha
materia, pero esta vez de modo ms especficamente relacionado con el tema que nos
ocupa. El primero se refiere a la autoridad o funcionario pblico que. fuera de ka
casos permitidos por la Ley. sin mediar causa legal por delito, y prevalindose de se
cargo, realizare cualquiera d e las conductas descritas en el artculo 197"' (revelacin

'* Articulo 197. I. El que. para tktctfcnr kn victos o vulnerar U Kiiindad de otro, sin s*
creteeameiMo. e apofctr de wjs papeles, canas, mentaos de cont ctectrinKo o cualesquiera re*
documento* o efecto pcrveale* o intcrcepee > tetccommcaoceet o iltce artificio* temeo de
escucha. trammwte. pttsKion o rcfcodccin del sonido o de la invaden, o de cuaiquer a sckal de
coffMMcacldn. r castifadocon la pena de potito de uno acutero arto y mulla de doce a seinticuro
2. 1j r nM n pena* w uxipondrin al que. ua estar Maindu. se ipalm. vblic* o nnUifK. ea
pequera de tercero. dalo reseado de carfcter personal o familiar de tu que halle refnzradca n
archivos o soporte M m tfeot. electrnico o telemibco*. o ccualquier cero tipode archivoo rcpuie
pifebeoo ps-ado Ipulft pena e impondrn aqoacn. xaesur autorizado. acceda por raakfaacr medua
los imtsus y a quien kw alete o utilice en perjuiciodel iiCtar de k> dato*o de un tercero
. Se impondr b pena de (eltln de do a ooco artos M e difunden, revelan o ceden a terceros k
dalo o bechos dcubflot o la imljene captad**aque se refiere '> nmero aeeenorc*.
Sed castigado coa las persa de pnsWa de uno a tres aAo iratu de doce a vnrocualro mcies. el
que. con conocimiento de su ongea ilcito y sin haher tostado puw en se deiotirimicnio. realizara b
conducta detenta ea el pirrafoaMenc*
4. Si lo* hevtso descrito en tot apartados I y 2 de este articulo te realizan por la pttKoas
cncarjadat o rcpoasaNes de lo* n t n w , opotte infcemiuco*. eleetrCexo o telemkKos. archivos o
registro, se impor^ri la pena de pr5n de ero a coco arto*, y si se<Munden. ccdca o revelan lo*dan
reservado*, se impoadri lapenaen sa catad superior
 www.FreeLibros.me
CApm io ! m i>iti ml \ n KUx< A i tvKmv<i\roKMTiaw w

de secretos frecuentemente referidos a informacin obtenida por medios informticos,

electrnicos o telemtico* y. el secundo. referido a aquel que revelare secretos ajenos
de los que tenga conocimiento por razn d e su o licio o sus relaciones labrale, o al
posesional que. con incumplimiento de su obligacin de sigilo o reserva, divulgue los
ceretas de otra persona.

fistos delitos los pueden cometer todos aquellos que revelen informacin o datos
de carcter personal contenidos en los bancos de memoria de la organizacin a la que
rven o en archivos de tratamiento automatizado a lo s cuales tengan acceso o
ctaocimicnto por razo de su relacin funcionarial. laboral o de sim ple arrendamiento
de servicios.

La pena para las conductas tipificadas en el artculo 198 del Cdigo Penal e s la
pteviita en el artculo 197 (oscilan entre penas de I a 3 aos d e prisin y 12 a 24
neses de multa y cuatro a siete aos d e prisin ms la misma multa, segn las divenas
conductas tipificadas en el articulo 197). ms la inhabilitacin absoluta por tiem po de
mis a doce aAos por tratarse de un delito especial, esto es, aquel que slo puede ser
candido por determinados sujetos, en este caso autoridad o funcionario pblico.

El artculo 199 tipifica especficamente las conductas de revelacin por p an e del

tnbajador o profesional de secretos de los que tenga conocimiento por razn d e sus
actividades laborales o de arrendamiento de servicios, se prev para ellos una pena de
pnun de uno a tres aAos y multa de seis a doce meses para el primero (trabajador) y.
de uno a cuatro aAos. multa de doce a veinticuatro meses e inhabilitacin especial para
6cha profesin por tiem po de dos a seis aritos para el segundo (profesional).

d) Reconocimiento en el contrato de la labor que cumplen y de la

responsabilidad que ostentan

Es por todo lo anterior que en el contrato laboral que une a la organizacin con
a trabajadores ha de expresarse la garanta d e la confidencialidad d e las informa-
oooes propias de la misma. Especialmente debe precederse a exigir la confidencia-
Uad en el cano de manipulacin de datos de carcter personal. P.sa confidencialidad
es realidad necesaria tanto en el caso de gestin com o en el de mero acceso a Las
triquinas. A fecta a todos los empleados que puedan tener algn tipo de contacto con
hs mquinas, programas, instrucciones...

5 Igealmente. ctundo K kKlm dacnu en lo apartado M a n m i l M * dxn Je aifcin

fmcoal qoe retclm laideolofia. relipta. creencia. alud, cojen racial o ida v iu l . o U vctima fuere
im x de (dad o un capas. x imjvodrn U proas pn<i<la>rn ui mitad uperx*
A Si lo hecho te reak/an coa fian lucrativo. impeodrn la penas mpcctivamoue prctou
a k afanado I al 4 de n artculo en mi nutal Mfenor Si adema afectan a da de lo menciona
4 enel afanad S. la proa a mfwaxt veri lade piui de cuatroa irte arto
 www.FreeLibros.me
m AUPtTOBA LNKWWAlKA: UN ENHOQUEPttACTKO

Y e llo porque existe una traslacin de las responsabilidades de k encargados d

la informacin a sus colaboradores, debiendo asum ir cada u to d e ellos su propia
responsabilidad. Si bien la normativa laboral protege al trabajador y responsabiliza
frente a terceros a quien le organiza la tarca, en el caso d e que la actuacin del
traba>ador pueda ser presuntamente delictiva, aunque fiel a la empresa, aquello no k
excusa de las responsabilidades penales adquiridas en el acce>o y tratamiento de la
informacin. Es recomendable pues el conocimiento claro de Las obligaciones y
deberes que comporta el uso d e informacin "sensible" de la organizacin y de los
datos de carcter personal por parte d e los trabajadores. As se evitan, de paso, ka
"descuidos negligentes".

e) Que los contratos con los proveedores aseguren la

confidencialidad del archivo y de la Informacii

En el caso de que lo que se manipulen sean archivos, es ap.icable a este mbito d

artculo 10 de la LOPD. todas las personas que intervengan en cualquier fase dd
tratamiento de la informacin estn afectos a la obligacin del deber d e secreto, y px
lo tanto tambin los proveedores en la medida en que i niensenen en una fase del
tratamiento o mantenimiento. As. los contratos con los pooveedores no pueden
descuidar el principio inspirador de la legislacin, esto es. la confidencialidad de la
informacin y la salvaguarda del derecho a la intimidad. Tambin les es aplicable
el principio de buena fe contractual que ha de presidir las relaciones tsa r
comerciantes17.

21.4 AUDITORIA DE LA INFORMACIN

Una vez visto el material y las personas que lo usan debemos se r el objeto lgico
a auditar: la informacin. El auditor debe comprobar que. en relacin con la misma, se
cumplen los requisitos bsicos del derecho en general y d e los propios especficos ea
particular.

As. en cuanto a los Principios relativos a la informacin, debido a la incxistetKia

de unos especficos , podemos establecer una analoga con los requisitos recogidos en
el artculo 4 de la LOPD. en relacin a la calidad de los datos, la necesidad de su

17 Rio deriva del articulo 7.1 del Cdigo Cml l l o i derretios drberil ejercitarte conforme a lat
cufcrKiM de la bucal fe) qe intptra noelio ordenanuecto ) que tamban n*.\tramo* i lo largode b
omoiiva mercantil pe rcmiua y especulmeme reforzadaen tu amculato x* el agravante deeu p t b
difagrtKa de n ordenadocomerciante.
" A petar de que hay que tener ea cuesta U eutfencu de pnncipiot olormadorct de legniacita
ligada, como, por ejcnffc. la Ley de Procecote del derecho al honcr. ala intmidad prnonai > familiar y
a lapropia mugen.
 www.FreeLibros.me
r\rtnix > : Atinrronu ivridica t ixtornos i\iom\Tx~<>N .

adecuacin y pertinencia, y que no sean excesivo en relacin coa el minio y

finalidades legtim as para las que ve hayan obtenido.

La informacin no po d r usarse pora FIN A L ID A D ES IN C O M PA T IB L E S con

aquellas para las que fue seleccionada, y deber ser exacta y puesta al da. Si no es
exacta o est incompleta debe ser cancelada o sustituida por la rre c ta . siendo
cancelada cuando deje de ser necesaria. no podiendo ser conservada <sdvx> en el caso
en que se decida su mantenimiento por valores histricos o cientfico)) una v e / que
deje de ser til pora la funcin prevista, con excepcin de la legislac.n prevista al
efecto (Obligaciones Fiscales. Seguros...).

Se debe almacenar de form a tal que permita de una manera fcil el ejercicio del
derecho de acceso de los afectados a la misma, com probando tambin el auditor que
su no se haya recogido por medios fraudulentos, desleales o ilcitos.

21.5. AUDITORA DE LOS ARCHIVOS

Quiz donde la Auditora Jurdica sea m is necesaria es en I terreno del

tratamiento de los archivos. Analizamos a continuacin distintos aspectos que pueden
ser tiles para una mejor comprensin de la r u te n a ante la que nos encontramos, para
p u ti seguidamente a un recorrido por los diferentes aspectos que c auditor debe
examinar.

21.5.1.N iveles d e p ro te c c i n d e lo s a rc h iv o s

La Ley Orgnica 5/92 de 29 de octubre, de regulacin del tratamiento

anim alizado de datos de carcter personal (LORTAD). sefialaha c o n o objetivo el
tutelar el uso de la informtica y otras tcnicas y medios de tratamiento automatizado
para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos, aplicndose tanto a los archivos pblicos como privados que
CMCovieran datos de carcter personal.

21.5.1.1. A rchivos excluidos d e la aplicacin d e la lopd

Estn incluidos en la ley todos los archivos que contengan infom acin o datos
personales salvo los que estn expresam ente excluidos, sea efectuada d e h a exclusin
por la propia ley. sea efectuada por remisin de la misma a regulacin especfica del
tipo de archivo de que se trate.

Como excepciones a la aplicacin d e la 1.01*0 se reseflan en su art. 2.2.

 www.FreeLibros.me

21.5.1.2. Archivo con reculacin opftfica

Determinadas malcras se regirn por sus disposiciones propias. As. cuaca

regulaciones especficas en materia d e rgimen electoral. Ley Orgnica 5/85 de 19 de
junio, le y Orgnica 13/94 d e 30 de m ar/o. que modifica la anterior; maccnas
clasificadas (secreto oficial), de Ley 9/68 de 5 de ab n l y Ley 48/78 de 7 de octobte
que modifica la anterior; Registro Civil. Ley de 8 de junio de 1957. Reglamento dd
Registro Civil. Decreto de 14 de noviembre de 1958; Registro Central de Penados y
Rebeldes; los datos que sirvan exclusivamente para fines estadstico* amparados p x U
l e y 12/89 de 9 de m ayo de la Puncin Estadstica Pblica; los informes personales a
que se refiere el artculo 68 de la Ley 17189 de 19 de ju lio del rgim en del personal
militar profesional.

21-5.1 J . (ir a d o s de proteccin

Dentro de lo archivos sometidos a la Ley y en relacin con los datos en dios

contenidos, podemos hablar de diversos grados de proteccin. Se regulan en los atts. 7
y 8 de la LOPD tres lipos d e proteccin, mxima, media y mnima. La protetan
mxima se otorga a datos referentes a ideologa, religin o creencias y por la cual
nadie podr ser obligado a declarar sobre estos datos, salvo qi>: el afectado consienta
expresamente y por escrito; existe una obligacin de advertir al interesado a st
dcrccho a no prestar su consentimiento, l a proteccin media se otorga a los datos que
se refieran al origen racial, salud o vida sexual, y slo podrn recabarse cuando por
rayones de inters general lo disponga una ley. L a proteccin mnima se refiere a la
obligacin de toda persona o entidad que proceda a la creacin de archivo
automatizados de datos de carcter personal de notificarlo previamente a la Agencia
de Proteccin de Datos. Dicha notificacin deber contener necesariamente el nombre
del responsable del archivo, la finalidad del mismo, su ubicacn. el tipo de carcter
personal que contiene, las medidas d e seguridad y las ccsiore* de daten de carc
ter personal que se prevean realizar. Debern comunicarse a la Agencia de Ptotccofe
de Datos tambin los cambios que se produzcan en la finalidad del archivo
automatizado, en su responsable y en la direccin de su ubicacin.

El Registro General de proteccin d e datos inscribir el a x h iv o automatizado si

la notificacin se ajusta a los requisitos exigiblcs. En caso contrario podr pedir que se
completen los datos que falten o se proceda a su suhsanacin Transcurrido un mes
desde la presentacin de la solicitud de inscripcin sin que la Agencia de Proteccin
de Datos hubiera resuelto sobre la misma, se entender inscrito el archivo
automatizado a todos los efectos.
 www.FreeLibros.me
C A rtrnto; i- audito! a mmwcA t*. xnm sm ink>rmatkx w

21.5.2. M ec an ism o s d e s e g u r id a d del arch iv o

En cuanto a la segundad de los dalos, el articulo 9 d e la LORTAD establece que

d responsable del archivo (figura creada por la LORTAD. que se analiza en el
panado siguiente) deber adoptar medidas necesarias para mantener la seguridad de
los datos y evitar la alteracin, prdida o acceso no autorizado a lo* mismos. El auditor
debe verificar si estas medidas se han establecido, as com o el mtodo de
implantacin.

Adems, y com o ya hemos visto anteriormente, tanto el responsable d d archivo

como las dems personas que intervengan en cualquier fase del tratamiento d e los
ditos de carcter personal, incluso despus de haber finalizado la relacin con el
Mular o el responsable del archivo, tienen la obligacin del deber d e secreto. El
ditor deber comprobar si el responsable, mxime encargado de la integridad y
eguridad de los archivos, ha verificado las medidas oportunas y si procura por la
eguridad
e aqullos.

21.5.3. F o rm aci n d e la fig u ra d el re s p o n s a b le del arch iv o

La figura del responsable del archivo ex creada por la LORTAD. que la define en
n artculo 3 como la persona fsica, jurdica de naturaleza pblica o privada u rgano
adanistrativo que decida sobre la finalidad, contenido y uso del tratamiento citado.

El responsable del archivo acta como cabeza visible de la seguridad de los

arcfaivo*. A pesar de que la puesta en prctica d e las medidas sea llevada a cabo por
a s personas dentro de la organizacin, aqul se convierte en el mximo responsable,
de cunera que la toma de decisiones en ese cam po slo a l le corresponde, y no a
otros miembros de la organizacin, aunque participen en el tratamiento automatizado
* los datos.

El auditor debe comprobar la existencia de un responsable real del tratamiento

tMonutizado de datos, dotado de la autoridad suficiente, d e modo que ste pueda
cunplir las funciones que le estn encomendadas y a s evitar (recordemos la funcin
preventiva) las irregularidades de aquel tratamiento. Pero no debe controlar tan slo la
pM&lxbd efectiva de desenvolvimiento d e sus tareas, sino que tambin debe
wrificir si sta se lleva a cabo dentro de los lm ites correspondientes. A s. y a modo
4t ejemplo, el responsable tiene, entre otras:

a) Ij obligacin de comunicar al afectado la cesin d e datos.

b) La obligacin de confidencialidad.
 www.FreeLibros.me
Mfc MIXTOKiA INFORMTICA UN HMOQCF. CnCO___________________________ c*m

c ) La obligacin le hacer efectivo el derecho le acceso.

d ) La obligacin le hacer efectivo el derecho Je bloqueo.

e ) La obligacin le hacer efectivo el derecho le cancelacin.

0 1-a obligacin le hacer efectivo el derecho le rectificacin.

g) La obligacin de hacer efectivo el derecho le supresin.

h) La obligacin de informar del tratamiento d e los datos, la obligacin de

informar en la recogida de los datos...

Existe un procedim iento administrativo de reclamacin ante la Agencia de

Proteccin de D atos por incumplimiento de aquellas obligaciones que. como heroo
sealado anteriormente, puede finalizar en cuantiosas sanciones, por ello, el auditar
jurdico debe verificar si el comportamiento del responsable se ajusta a aqoettK
obligaciones por el propio inters del auditado.

a) R e q u is ito s d e c r e a c i n d e a r c h iv o s d e titu la rid a d p b lic a y de

titu la rid a d p riv a d a

La LORTAD parte de la distincin titularidad prvadaAitulanlad pblica pora ti

anlisis de los archivos, previendo distintos requisitos pora su creacin, modificaci*
y extincin. Otra tarea del auditor jurdico es la de verificar que se hayan cumplido k
requisitos exigidos.

En cuanto a Ion a rc h ito s d e titu larid a d p b lica, la creacin. modificacin o

supresin de los mismos slo podrn hacerse p o r m edio d e disposicin general
publicada en e l Boletn Oficia! d e l Estado" o diario oficial correspondiente. Dictas
disposiciones le creacin o modificacin debern in d ic ar a) La finalidad del archivo
y lo u u k previno para el m itm n k ) I m p rru w u i o colectivo sobre los que v
pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos
c ) El procedimiento de recogida c 1 latos le carcter personal. d> La estructura
bsica le archivo automatizado y la descripcin de los tipos le dalos de carcter
personal incluidos en el mismo, e) Las cesiones de datos de carcter personal que. ea
su caso, se prevean. 0 1-* rganos de la Administracin responsables le archivo
automatizado, g) L os servicios o unidades ante los que pudieran ejercitarse los
derechos de acceso, rectificacin y cancelacin. En las disposiciones que se dicten
para la supresin de los archivos automatizados se establecer el destino de kit
mismos o. en su caso, las previsiones que se adopten pora su destruccin.
 www.FreeLibros.me
rA rtn .ro i : A tpnrwiA u h Id ica de kv to k n o s in k rm tk 'h s i

En cuanto a los a rchivo s de titu larid a d p riv ad a que contengan da os de carcter

personal, podrn crearse cuando resulte necesario pora el logro de la actividad u objeto
kgtin>os de la persona, empresa o entidad titular y ve respeten las giranti: que la
LORTAD establece para la proteccin d e la personas. Toda persona o entidad que
proceda a la creacin de archivos automatizados d e datos de carcter personal lo
notificar previamente a la Agencia d e Proteccin de Dalos. La notificacin deber
contener necesariamente e l responsable del archivo, la finalidad el mismo, su
ubicacin, e l tipo de datos de carcter persona! que contiene, las medidas de
seguridad y las cesiones de datos d e carcter personal que se prevean realizar.
Debern comunicarse a la A gencia de Proteccin d e Datos los cambios que .se
fcodu/can en la finalidad del archivo automatizado, en su reipom able y en la
Ereccin de su ubicacin. El Registro General de Proteccin de Dates inscribir el
chivo automatizado si la notificacin se ajusta a los requisitos exigiblex. En caso
contrario podr pedir que se completen los datos que falten o se proceda a su
uibunacin. Transcurrido un mes desde la presentacin de la solicitud d e inscripcin
sin que la Agencia de Proteccin de D atos hubiera resuelto sobre la misma, se
emender inseritoci archivo automatizado a todos lo* efectos.

a) V erificacin del consentim iento

Seguidamente hacemos referencia al que la LORTAD denomina afectado , es

decir, el titular de los datos que se tratan. Para que el tratamiento de datos, en
cualquiera de sus fases, cumpla la legalidad vigente, se debe recatar siempre el
consentimiento del afectado: ello se regula en el art. 6 d e la LORTAD. siendo regla
necesaria que el tratamiento automatizado, salvo algunas excepciones, requiera
contentimiento del afectado. Ese consentimiento deber manifexarse en dos
omentos: en la recogida de la informacin y en la cesin, en su cas. Es tarea del
editor jurdico la comprobacin de la existencia d e dicho consentimiento y que el
m u ro se ha recabado atendiendo a los requisitos legales.

El consentimiento se podr otorgar en cualesquiera de las form as admisibles en

Derecho. Salvo para aquellos casos en que la Ley O rgnica frevca que el
eemeotimieMO haya de otorgarse expresamente, podr otorgarse tcitamente o de
oto presunto. Para que el consentimiento sea vlido se requiere que 'os datos no se
recaben por medios fraudulentos, desleales o ilcitos. El conscntim ierto dado puede
r e revocado en cualquier momento, pero no se le podrn atribuir efectos retroactivos
la revocacin. En el caso de datos especialmente protegidos, referidos a la ideologa,
religin o creencias, se deber advenir explcitam ente sobre el derecho del interesado

" Sejn <1 artculo 3 c) de la LORTAD el iectado e tepetuxu tuct tiluter de o dalo <^c mn
ckjru ic Intinuento i que te refere el ipart*&> el del m u ro minio fcl apartido <) define el
naeo de daos cot lat operaron > procedimiento* Mtnicm. de aric ta aiKmciMdo o no. <jur
fmtffl U recopdi. grahiofe. comersaclo. elaboracin. modifkxin. bloqueo ; canctU;in. atl
taro Ut cetina de dilo que resulten de conweicaocoet. cootulus. iWeror**KM i uantfereaciiv
 www.FreeLibros.me
** AIDITORMINFORMATKA UK BKHXW PUACnCO

a no pregar su consentimiento. Asimismo, ser requisito para U v a lid a dd

consentimiento que de m odo previo e inequvoco se advierta al interesado de la
existencia de un archivo automatizado, de la finalidad del mismo, de los destinatario
de la informacin, del carcter obligatorio o facultativo de mis respuestas a las
preguntas planteadas, de las consecuencias de la obtencin d e los datos o de la
negativa a suministrarlos, d e la posibilidad de ejercitar los derechos de acceso,
rectificacin y cancelacin, y de la identidad y direccin del responsable del archivo.
Cuando se utilicen cuestionarios u otros impresos para la recogida deben figurar lts
I advertencias sealadas en los puntos anteriores.

Kn cuanto al consentimiento para la cesin, ste ha de ser previo, requintado*

adems que el cesionario sea determinado o detcrminable. en caso contrario el
consentimiento ser nulo. El que el concepto de cesionario sea determinado o
determinable significa que sern nulas tas cesiones o autorizaciones excesivamente
amplias en la que se deje en manos del cedente la decisin de ceder los datos a una
otra persona y el afectado no pueda saber en ltimo trm ino, mediante reglas mallas
de identificacin, quin dispone d e sus datos personales. Tambin ser nulo d
consentimiento cuando no conste la finalidad de la cesin.

El auditor debe comprobar la ptavmacin electiva de estos requisitos teniendo en

cuenta tambin que se prevn una serie de excepciones al consentimiento dd
afectado*'.

El afectado e s el verdadero propietario de sus datos personales, de la informacin

que desprende y. por tanto, e s slo l quien debe consentir su uso <en caso de menores
de edad el consentimiento sera el del tutor). Por d io . hay que establecer los contretes
necesarios pora garantizar que el afectado ejerza su derecho de consentir el uso y
cesin de sus datos, ya sea tcito o expreso e n el caso de datos d e salud y los

" la LOftTA eaaWece cotKrelamer* cundo utu ley dnpone otra cusa. cuando te recocen ea
fuentes accesible* al rsNuw tempe* qoe lo* ibk provengan de archivo* de titularidad potada qar k
revejan futa el ejercicio de la fuockmc propia de las AJauiiilncM et Pbbcav que w refiera a
personas vinculada por una relacin refcviaJ. laboral. kjmanistratita o un cnenlo > *ean t u r
pora el manieaMHoeeo de la rel*:iones o para el cumplimiento del ecoUtfo. que la cesafe que deba
efectuarse leagapoe dotiiutar el Detente* del PueNo. el Ministerio Fiscal o tos Jueces o TntwiaJeve*
el ejetCK de las foacioon que ttenca imbuidas. cuando b cesin K pmJuzca entre Ui
Adnrruuncimo RiMioi ea Sen opuestos peeviOos ea el Mtlolo 19 de la LORTAD. cuando la ceufr
de diiut de carcter penonai relatissn a la talud tea necesaria para otnomar una rpencia ge reinen
acceder a m archivo autumalilado. o para reak/ar los cOaVx cprdrmwlpcoi en lo tlrawaoi
etublecidm en el articulo Xde la Ley 1 I9M. de 25 de aboL General de Sanidad.
 www.FreeLibros.me
( AFfTVIO : i : A lD m x U JlUtlMCA l: KNTOKNOSINFCBMAUCO*

especialmente protegido*, garantizando que se cancelen cuando dejen de ser

necesarios:i.

Debe e vitan mi e llo que se siga con la negativa prctica habitual en la que no
se pide el consentimiento ni para el uso. ni pora la cesin, o no se clarifica suficiente ni
uro ni otro en la toma de datos (no se cum ple con el derecho a la infirm acin en la
recogida de datos). Tambin es frecuente encontrarse que en el derecho d e acceso,
(edificacin y cancelacin se est negando parte de la informacin que se tiene de un
afectado, de manera sistemtica y consciente, debido al origen irregula- por cesiones
citas que comportaran borrarlas para regularizar aadindose a los costes de
recogida y de regularizacin". Pero dichos costes son mnimo* si se comparan con Us
sancione* e indemnizaciones que hemos mencionado en la introdtKcin de este
trabajo.

El auditor debe scUlar aquellos defectos que aprecie en el otorgamiento del

consentimiento por parte del afectado a la empresa privada o Administ-scin Pblica
auditada; aquellas irregularidades jurdicas que. precisamente por ser dicho auditor
independiente, puede ayudar a subsanar al mismo tiempo que se evitan d e cara al
hturo. colaborando con su consejo, a la creacin de una mentalidad respetuosa con la
Btindad del ciudadano dentro de la estructura que audita.

c) Mecanismos de defensa de los incluidos en el archivo

El afectado tiene unos derecho* por ley. reconocidos en la LORTAD. e n relacin

con la inclusin de sus dato* en un archivo. Estos derechos t:ncn carcter
personal(simo, por lo que slo pueden ejercerse por parte del mismo o s t representante
I * Los derechos son los siguientes: derecho d e impugnacin, derecho a la
formacin en la recogida de datos, derecho d e acceso, derecho de rectificacin y
derecho de cancelacin. El auditor debe comprobar que estos d e re ch se respetan

' En imKni de pnlcio de w nx u i de fomiciM obre solvencia patnmxtiil y crditon n K

k cttyacita de cumuucjr la inclimta en eslos archaso* que se extiende ta*o a kn supaeslos de
Jcmocuifi iobee wtvcncu patrimonial y ctMao. con a la informacin relativa cun^uacMo o
aonac^invrooode obltgacione* dinerana*. evo ladepeteencia del onjen de losdatos la Mineante de
ti Btleuta de dalo* persceule*en el archivo se efectuar en el plazo tninimn de 30 dttv femando al
ifctjtode vj derecho arecabar informacin wbr* los litos recogidos en el archivo. I j inscripcinenel
din cvmtn de laobligacin incumplida e efectuar!, bien en a wto asiento i fue- de vene>meaeo
o. t m en unto asientos ccano trwimieniin peridicos incmplidos esisran. sealante la fecha de
ai unode ellos, en oie cavo Se efectuad una notificacin peecada deuda ementa >determinada coa
nSrjenJencM de 9 su se ie*ga con el mismo o evo nimios acreedoecv K1 icsporsaMe det archivo
deteri Jopar las medidas organizativas y tcnica necesaria que permitas acredtai la realizacin
mena) del envode ix-cificaofo y la fecha de entregao mermo de cenefa de la mrsaa La KOficacin
k dsipri a U Hirrn direccin conocida del afectado a tras** c un medx. fiable e adevendMcte del
npomable del archaso.
" GONZALEZ ZUBIKTA. J. M . "Ceorrol Informtico y marco jvdielili*. W wzmW
*m<u y nnumit^itma. II*2i. febrero IW7. ate VI
 www.FreeLibros.me
VO AllDfTCmU ISKMMATICA UN bNKXjt t fKACTHTO

verdaderamente y se cumplen efectivamente: en definitiva, si tienen un eficaz reflejo

en la prctica, al procurar: por parte de la empresa o Administracin Pblica, a
del responsable, su cumplimiento.

El afectado puede impugnar (d erech o a la im pugnacin, a it. 12 de la LORTAD)

los actos administrativos o decisiones privadas que impliquen una valoracin de n
comportamiento cuyo nico fundamento sea un tratamiento automatizado de datos de
carcter personal que ofrezca una definicin de sus caractersticas o personalidad. Ese
derecho guarda evidentemente una estrecha relacin con el derecho de acceso que
analizamos ms adelante.

El afectado debe haber sido informado en la recogida de datos (derecho de

inform acin en la recogida d e datse a rticu lo 5 d e la L O R T A D ) de modo p reso e
inequvoco de la existencia de un archivo automatizado, de la finalidad del mismo, de
los destinatarios de la informacin, del carcter obligatorio o facultativo de uu
respuestas a las preguntas planteadas, d e las consecuencias de la obtencin de los
datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de
acceso, rectificacin y cancelacin, de la identidad y direccin del responsable dd
archivo' .

Cuando se utilicen cuestionarios u otros impresos para la recogida deben figurar

las advertencias sealadas en los puntos anteriores. No ser necesaria la informacin
referida anteriormente si el contenido de ella se deduce claram ente de la naturaleza de
los datos personales que se solicitan o de lm> circunstancias en que se recaban.

El auditor comprueba que dicha informacin sea debidamente suministrada,

serbal mente o por escrito, en su caso, haciendo efectivo el derecho a la informacin, y
que por lo tanto los datos obtenidos en ese m bito junto con los otros requisitos
legales exigidos, sean objeto de un tratamiento automatizado conecto.

En lo referente al d ere ch o d e acceso (art. 14 d e la LORTAD. arts. 12 y 13 del

RD 1332/94). consiste en la facultad o capacidad que se reconoce al afectado de

11 Sobre kn datos almacosa (artculo 13 de U LORTAD). el Registro Ornerai de Dalo* U

Agencia de Proteccin de Dalos tiene asignada la aisito Je d a conocer U cxitteecia de lo archisos
automatizados de dalos de caricter persomi. uu Kaccr puble el ejeroeio de lo derechos Je acceso,
rectificacin y cancclacito. Es un registro de consulta pjNica y gratuita En el Registra Gcectal cfjcsli
inscrita una descripcin de lo archivos automati/.!.'* que tienen la obligaota legal de mscr.Sr Pw
laxo, se puede iventut mediaste consulta al Registro de informacin aspeoos coacrrto de tot
archivos, ules como tu finalidad, estrvetura. ulctiad del respcosaNe del ardasi*. cbatanto. cetknet

factfcfta b Agencia es U dirocoto de laoficial o dependencia del responsable del arthito ame la <pr >
ejercen los denebn de acceso, rtctificanto y cancelacin Ea el responsable del archivo d <ftedpcae
de kn -latos y el que puile rec&ficarVMo caxetarto, o bsea dar acceso al afectado sobre tus dalos. La
lunato de la Agracia es informar al afccta&>pira que pueda ejercer lo derecho que la Le) Orginica k
reconoce. Parael casode<foe el responsable del arvhitu desatiendala solitud del afectadoesll presoli.,
comoberro cveaetacadoanteriormente. el ProcedimientodeTcela de Derecho.
 www.FreeLibros.me
<~Artm .o:i AiPfroMA h u im ca oe tu re u M inkkmtwxw vi i

recabar informacin de sus datos d c carcter personal incluido y tratados en lo*

archivo* automatizados, en intervalo* no inferiores a doce meses, salvo que el
ittercsado acredite un inters legtim o. El acceso podr consistir en la mera consulta
de los archivos por medio de la visualizacin, o en la comunicacin d e los datos
pertinentes por escrito, copia o telecopia, certificada o n o por el responsable lcl
tu v o . La informacin deber ser legible o inteligible cualquiera que sea el medio
utilizado. El derecho se ejercer mediante solicitud o peticin dirigida al responsable
dd archivo, formulada mediante cualquier medio que garantice la ideitificacin del
afectado y en la que conste el c h iv o o archivos a consultar. El responsable del
archivo resolver la peticin de acceso en el plazo mximo dc un mes a contar desde
la recepcin dc la solicitud. El acceso se puede denegar en el caso d e los archivos de
alaridad privada slo cuando la solicitud sea llevada a cabo por persona distinta al
afectado o cuando se pida sin acreditar inters legtimo en un nmero de veces
iperior al establecido por la ley para un plazo de tiempo determinado.

En el caso dc los archivos de titularidad pblica, se puede denegar el acceso

cuando te trate de archivos de las Fuerzas y Cuerpos de seguridad para fine*
pcfacules. que contengan datos dc carcter personal, cuando el ejercicio del derecho
4e acceso pudiera ser una amenaza contra la defensa del Estado, la seguridad Pblica,
la proteccin de derechos y libertades de terceros, o las necesidades de las investiga-
cwnes que se estn realizando por parte dc lo* Cuerpos y Fuerzas de Seguridad. En el
cavo dc los archivos del Ministerio de Economa y Hacienda podr dcn:garvc cuando
e obstaculicen actuaciones administrativas para asegurar el cum pliniento d c las
obligaciones tributarias. En el caso de las Administraciones Pblicas podr denegarse
tmton por razones dc inters general o intereses de tercero* ms dignos de
pcteccin cuya existencia deber llevarte a cabo mediante resolucin motivada del
ttptno administrativo responsable del archivo. El afectado al que se enieguc esto*
atrechos podr ponerlo en conocimiento del director de la Agencia d e Proteccin dc
Datos, que se asegurar de la procedencia o improcedencia d c la dercgacin. Este
derecho slo podr ser ejercido en intervalo* superiores a doce meses, salvo que el
afectado acredite un inters legtim o, en cuyo caso podr ejercitarse ante.

La informacin que recibe el afectado comprender los datos de base del mismo y
bi resultantes de cualquier elaboracin o proceso informtico, as c o n el origen dc
bt datos, los cesionarios dc los mismo* y la especificacin de lo* coacretos usos y
faalidadcs pora los que se almacenaron los datos, facilitndose la irformacin de
odo perfectamente comprensible.

El derecho dc rectificacin y cancelacin, regulado en el art. IS d: la LORTAD

jan. IS del RD 1332/94 se basa e n el principio de la obligacin d : mantener la
oactitud de los dalos. Es la facultad o capacidad del afectado dc instar U responsable
M archivo a cumplir la obligacin d e mantener la exactitud d e los mismos.
Ktificando o cancelando los datos d e carcter personal cuando resulten incompletos e
exactos o bien sean inadecuados o excesivos, en su caso. En defiiitiva. es una
 www.FreeLibros.me
SO: Al'DtTOWA INH1HMTK~A: UN fcNIOQCfcWlCnCt)

llamada a la existencia y uso por pane del responsable d e mecanismos d e actuali

zacin de los archivos. Su finalidad de evitar d a to s y perjuicios a los afectados por la
tenencia de dalo errneo o inexactos.

Cuando los datos rectificados o cancelados hubieran sido cedidos previamente, el

responsable del archivo deber notificar la rectificacin y cancelacin efectuada al
cesionario.

El derecho debe ejercerse mediante solicitud o peticin dirigida al responsable dd

archivo mediante cualquier medio que garantice la identificacin del afectado y en b
que consten los datos que hay que cancelar o rectificar y el archivo o archivos donde
se encuentran, hacindose efectiva la rectificacin por el responsable del archivo
dentro de los cinco das siguientes al d e la recepcin d e la solicitud. Si e l titular
considera que no procede acceder a lo solicitado se lo comunicar motivadamente ea
el plazo de cinco dias. Si transcurrido el plazo de cinco das no contesta, podr
entenderse su peticin desestim ada. La denegacin d e la rectificacin o cancelacie
opera en los casos previstos en los aits. 15-5. 21 y 22 de la LORTAD. El afectado ai
que se deniegue estos derechos podr ponerlo en conocimiento del Director de la
Agencia de Proteccin de Datos, que se asegurar de la procedencia o improcedencia
de la denegacin-*.

A m odo de ejemplo se adjuntan en el A nexo I un grupo de formularios tiles pan

el ejercicio de los citados derechos y que sera inveniente que el responsable del
archivo pudiera facilitar al interesado con la finalidad de garantizar la efectividad dd
ejercicio de los correspondientes derechos.

d) Tutela de los derechos

La LORTAD prev mecanismos d e tutela de io s derechos de los afectados que.

como hemos visto, pueden comportar sanciones o indemnizaciones cuantiosas pan
aquel que haya desatendido los reseados derechos. A modo de sntesis recordemos
las vas de las que goza el particular para hacer valer sus derechos:

En 1 c w unto 4c k arrimos pninJ con de los arrimos pNxos csiste u* M n it

conservante de los datos pan el pUro que seetlablerca en cada uso por U kfislactta aplicaNe J,
lodo caso, cundo su cannlaote pudiese cunar perjuicio al airetalio o a Mecen Esta sposanta a
cnuin a ambos Capot de architoc Ksnun un eaccfvione especificas (resistas para tos antm
P<Mkos que polrin denegar, adema. en ocru casos comoel de k archivo de las t'uerus y Cuerpea*
Secundad para finr policiales que corttcnfan datos de carkln perscrsal. cuando suejercicio pudieraio
unaanraa/a contra la defensadel Estado. laSegtndad Publica, la prc*MCta de derecho > libertades*
terceros o las necesidades de las insestifacK<irs que s eVn realuando por pane de K Cuerpos
Fuer/as de Segundad
 www.FreeLibros.me
2
liUMi________________ CAffTMX 1: AUPtTORtA JUIOtCA Dfi KOPUNOS INFORMTICOS VO
A) Reclamacin en va administrativa: Procedim ienlo de tutela de derechos.
Procedim iento sancionado?. Supone la bsqueda del respeto efectivo de los
derechos reconocidos por la LORTAD y . en caso de que no se produzca, la
u n c id a de Us conductas irrespetuosas con los mismos .

B) R ecunos ante los Tribunales: Recurso contencioso-administrativo contra Us

resoluciones del Director d e la Agencia. Una vez finalizado el procedimiento
administrativo ante la Agencia de Proteccin de Datos y recada resolucin
del D irector de la Agencia queda expedita la va contenciono-administrativa.

O Derecho de indemnizacin: Com o hemos comentado anteriormente, la

LORTAD abre definitivamente la puerta al derecho d e indemnizacin. As.
las lesiones que el incumplimiento d e los preceptos d e esta Ley Orgnica
puedan producir al afectado en sus bienes o derechos generan derecho de
indemnizacin, bien de acuerdo con el procedimiento establecido de
respemmhilidad de las Administraciones Pblicas, en el caso de los archivos
de titularidad publica, o bien ante los Tribunales ordinarios para los archivos
de titularidad privada.

La funcin del auditor es precisamente emitir un diagnstico jurdico del sujeto

Atado con la finalidad de que ste adopte las medidas correctoras oportunas y. con
(fio. evite que el afectado deba acudir a los citados procedim ientos, concluidos
xrnalm ente con importantes sanciones.

21-6. CONCLUSIONES

Cada vez ms lo contenido dentro de los computadores es el activo real" de las

presas y Administraciones Pblicas, Pero la incorporacin de la informtica en el
to.tr cotidiano de U s mismas atade una nueva dimensin a controlar. A pesar de las
nobles ventas que sta comporta, su uso tambin conlleva nouM cs peligros que
deben someterse a examen de no querer traducirse en elevados costes personales y
nrmeos consecuencia de un estricto rgim en sancin ador. Con esta finalidad nace
h auditora jurdica dentro de la auditora informtica.

i Con elU se pretende poner de manifiesto Us irregularidades existentes para poder

OotrcgirUv y actuar t x nunc del m odo legalm ente indicado. I-a auditora a la que se
Sere este captulo e s un proceso controlado en todo momento por el sujeto auditado

a t-i> unciooe* owilan eme Lu 100.000pevlxv mnimo previno pxirj lu nfracciocKt kv. y t
OOCO Je pCNfli. oituT previno para U mj) grave Como <,'mp'o de 1 prirneu veAiU-n
Mu proceder a la rectificacin o cancctactfa t etrore o iscuebeedc o no cvmptir lat innnxviooc
iMCkntwr 6c ti Agracia Je Prrteccite de Dalos ni facilitar informacin. De I wguitlu. res'ordamot
U la rccog^i de Jaso* Je forma esgaAoui y fraudulenta o la centa de dao* fuera de lo
 www.FreeLibros.me
50* AUDITORIAPKMUHAtlCA: UN ENFOQUEPRCTICO___________________________ t u

que es quien, en ltimo trm ino, decide si desea aplicar Ion medida* de adaptacita a la
legalidad que indicar el auditor.

La auditora no es un procedim iento sancionador sino un procedimiento cortecter

que pretende evitar, precitamente, sanciones impuestas por paite de rgaros
administrativos y penales o indemnizaciones en el orden civil.

Es una bsqueda de mejora dc la calidad del tratamiento informtico a travs dd

c on vejo independiente que los auditores ofrecen. Ello sin imponer en ningn momento
decisiones sino ayudando a tomarlas correctamente.

Cada da son ms los que han entendido esta funcin del auditor jurdico y
someten su estructura informtica a examen con la intencin dc adaptar el mbito
informtico a los mrgenes de la legalidad. Y ello no tan slo como medida preventivi
dc costes econmicos sino tambin c o n fruto dc una incipiente concienciacin social
que propugna el respeto de los Derechos Humanos d e Tercera Generacin.

21.7. L EC TU R A S RECOM ENDADAS

Davara Rodrguez. Miguel Angel. D erecho informtico, Aranzadi Pamplona. 1993.

Peso Navarro. Emilio del y Ramos Gonzlez, Miguel Angel, Confidencialidad y

seguridad d e la informacin: La LORTAD V sus im plicaciones socioeconmicas.
Ediciones Daz de Santos. Madrid. 1994.

21.8. C U ES TIO N ES D E REPASO

1. Cul e s la utilidad dc la auditora jurdica de entornos informticos?

2. Qu reas comprende la auditora jurdica?

3. Qu se entiende por auditora d c objetivos?

4. Qu debe verificar el auditor en materia dc origen dc la titularidad de los

programas?

5. Qu aspectos abarca la auditora jurdica dc las personas?

6. Cm o pueden utilizarse los requisitos recogidos en el artculo 4 de la

LORTAD a la hora d e llevar a cabo la auditora de la informacin?
 www.FreeLibros.me
i ________________ rAffn.li> : I AllWKXlA 11'RlDfA Dfci x t o n o s informticos 5

7. Qu archivos quedan excluid de la aplicacin de la LORTAD?

8. De qu grado de proteccin te puede hablar en relacin con los dato*

contenido en archivos sometidos a la Ley?

9. Cules son las obligaciones del responsable del tratamiento automatizado

de datos?

10. Qu legislacin conoce sobre derechos de autor que afecte al softw are?
 www.FreeLibros.me

CA PTULO 22

A U D ITO R A IN FO R M TIC A
EN E L S E C T O R BA N C A R IO

Pilar Amador Contra

22.1. C A R AC TER STIC A S G E N ER A LES DE LA AUDITORA

INFORM ATICA EN LA S EN TID AD ES FINANCIERAS

22.1.1. Necesidad y beneficios de la auditora informtica en

la banca
La ovacin de la funcin d e la auditoria informtica en la organizacin
tocaras es relativamente reciente, basta el punto de que an actual m citc en algunas
idades financieras se encuentra en proceso de definicin o consolidacn.
Sin embargo, su existencia aporta innumerables ventajas a las entidades que
dispooen de ella, ventajas que. si bien en ocasiones muestran elementos de
acidencia con las habidas en cualquier sector em presarial, en o to s casos soa
apetfficamentc propias y derivadas d e las caractersticas particulares del negocio
tacado.
El valor aadido que representa para una entidad financiera la existencia en su
organizacin de una funcin de auditora informtica plenamente operativo abarca
senos aspectos.
Una de las tarcas clsicas en cualquier actividad auditora e s la relacionada con las
faseiones de control, por cuanto est dentro de su mbito de actuacin verificar la
a n u n cia de procedimientos y mecanismos d e control suficientes y adecuados que.
operando principalm ente a nivel preventivo y detector, permitan asegurar
 www.FreeLibros.me
510 AUDITORIA INTOKMATKA UN KNKXyt PKCTICO

razonablemente el funcionamiento co necto de Ion sistemas informticos. y lo que es

ms. evaluar la implicacin d e la inexistencia, la insuficiencia o la no adecuante de
dichos procedimientos En ltimo extremo, es la bondad de x\ medidas de coced
im plantadas la que permitir al auditor en particular, y a la entidad e n su conjunto ea
general, determinar el grado de confianza a depositar en el sisteita informtico

A este respecto, la faceta en la que la participacin d e auditoria informtica ec d

sector financiero e s ms valiosa la constituye, quizs, la revisin de las aplicacioncs
informticas, con el objeto de asegurar que ellas cumplen con los criterios furoocala
y operativos definidos por la entidad financiera. E sta actividtd. que forma pane dd
mbito de actuacin habitual de la auditora informtica en todcs los bancos que tienen
como tal implantada la funcin, es de extrema importancia por cuanto comnmente m
error en la interpretacin d e un criterio, una especificacin inccmpleta. una deficiencia
en un algoritmo, suelen tener un impacto elevado, bien por el lm ero de operaaeoes
que resulten afectadas, bien por la repercusin econmica del error.

Y no slo sos pueden ser los efectos d e una mala definicin o implantacin
las especificaciones de diseo. Aun cuando es general el concepto d e que k bancos
contribuyen a la actividad econmica de un pas como empresas d e servicios e d
mercado financiero, no e s tan com n considerarlos como entkdes suministrador de
servicios de informacin, si bien una im portante cantidad de sus recursos c mversjooes
a esta actividad. L os sistemas de informacin de bancos y entidades financieras
tienen, entre sus caractersticas particulares, la de constituir fuente de datos pira
mltiples agentes extemos. El negocio bancario se caracteriza porque sus procesos,
aun cuando no son excesivam ente complejos si se co m p ra n con lo de otra
actividades empresariales, estn lodos ellos muy interrelacionaSos. tanto dentro de b
propia organizacin financiera com o a nivel extem o. Com o ccrttecuencia. los efectos
de los posibles errores pueden tener repercusiones directas o indirectas en mltipla
niveles, en un abanico de posibilidades que van desde el mbito interno en exclusiva
hasta, en el peor de los casos, afectar a la informacin proporcionada a terceras,
principalmente, organismos pblicos y. sobre todo, clientes.

A este respecto, e s indudable la importancia actual que se e concede al cliente e#

el sector bancario. por cuanto la clientela ex. a la vez. origen y destino de la prcpa
actividad bancara. Y desgraciadamente, es innegable um bin que entre los
principales afectados por los errores en los sistemas informticos d e los bancos se
encuentran, en ocasiones, toes clientes. No e s el objeto tritar aqu los aspectos
asociados a las implicaciones que para un cliente puede tener en error, ni tampoco Ui
que directamente o indirectamente, derivadas de Ixs anteriores, puede tener para cu
banco, pero es claro que todos los errores tienen un coste, no siempre totalmente
cuantifcable. De ah la im portancia de la auditora informtica en cuanto que
garantizado del correcto funcionamiento de los sistem a , no slo desde la
perspectiva de la gestin de la propia empresa, sino tambin desde la ptica de k
clientes.
 www.FreeLibros.me
**n_______________ CAiftinoi aumtowaixkhimAucaenklsectokbancabio sii

Uno de los valores que de forma colateral, y debido al m bito en el que acta,
ele aportar U auditora informtica en las entidad?) financiera ev la deteccin de
procesos obsoletos, ineficaces o redundante*, que no ato d en valor a h actividad de
Kgocio y. sin embargo. s suponen un coste. En el transcurso de su trabajo, el auditor
formfcico tiene la oportunidad de analizar los circuitos de informacin, los procesos
opencivos relacionados con los productos y tratamientos informticos, la bondad y/o
(ecuacin de los m ismos en relacin con el objetivo tericamente perseguido, y en
definitiva, proponer acciones de mejora que. sin menoscabo d e la calkiad real d e los
procesos, redunden en un mejor aprovechamiento de los recursos.

Con todo, la concienciacin y el reconocimiento de la importancia de la auditora

famuca ha venido de la m ano d e la entrada en vigor d e la L O RfA D y de las
bw ucooncs de la A gencia de Proteccin de Datos, en particular la que establece la
cMigatoriedad de realizar una auditora informtica peridica de las medidas de
fundad con que cuentan las instalaciones que procesan datos personales y
parimooiales-

22.1.2. Tipologa de las actividades a auditar

No analizaremos aqu toda la casustica de posibles actividades a auditar en

a^xllas reas que son comunes a cualquier otra actividad empresarial (auditoras de
K p rd id lgica, seguridad fsica, etc.) y . por tanto, no presentan particularidades
apcoales en el sector hsnearo.

En su lugar, nos centraremos en las actividades de auditora en el marco de

procesos y funciones en las que existen caractersticas de especial inters en el caso de
K i entidad financiera.

Distinguiremos en primer lugar, por su importancia en el con ju n o de procesos

temticos de un banco, as como por las implicaciones d e cualquier posible error,
lu auditoras de aplicaciones informticas que tratan y soportan productos boticarios
picos: (dans y fondos de pensiones, fondos de inversin, cuentas m ientes, de
Aorro. de plazo y dems productos del pasivo tradicional, inversin crediticia
(ofctos. prstamos, descuento d e efectos), etc. De las auditoras de este tipo se
tobUr en ms detalle con posterioridad.

Estas aplicaciones tienen bsicamente las siguientes caractersticas:

- Procesan y generan un gran volumen de datos relativos i contratos y

operaciones.

- Los procesos de tratamiento de los datos son relativamente <encilk>s (aun

cuando en algn caso puedan resultar conceptum e nte conplejos): sin
 www.FreeLibros.me
12 AllDfTORlA lNH3RSt\nCA UN f.NKXX.11HtACTlCO_____________________________m i

embargo, comparativam ente suponen un gran consumo de recurso* en el lottl .

de los procesos informticos de un banco.

- Las operaciones y productos tratado* por estas aplicaciones tienes

normalmente un importante peso especifico en el balance de la entidad.

- La disponibilidad de la informacin suele ser un factor crtico.

- 1.a informacin generada tiene un elevado alcance, por cuanto se enva

masivamente hacia destinos externos a la propia entidad financiera.

- En estas aplicaciones se produce un efecto amplificado del e rro r cualquier

incidencia puede afectar a un nmero elevado de operaciones y tener ana
repercusin econmica cifrada en millones d e pesetas.

En segundo lugar podemos distinguir las auditorias d e medios d e pago', taqetat

de debito y crdito, transferencias d e fondos, cheques personales, cheques de viaje.

Entre las particularidades de estos sistemas destacan:

- A lto volumen de transacciones y de dientes.

- Existencia de reguUcioocs especficas para su tratamiento informtico y

operativo, consecuencia de los convenios suscritos con distintos organismos.

- Son reas en las que los aspectos de control tienen gran relevancia,
principalm ente en materia de prevencin de fraudes, as como en d
cumplimiento de diversas norm as emitidas por el Banco de EspaAa.

O tro de los m bitos de actuacin lo constituyen las auditorias informticas dt

actividades y productos de tesorera: mercados d e activos financieros, y d e opciones y
futuros, principalm ente.

Destacan porque:

- Son reas muy tcnicas y especializadas desde el punto de vista bancano

- El nmero de transacciones (operaciones) no e s muy elevado pero sus

importes s son m uy significativos.

- I.ax salidas de informacin hacia clientes son escasas (sobre todo si se las
compara con las habidas en U s aplicaciones d e productos h n c an o s tpicos) o
 www.FreeLibros.me
cA lta vo z: a ud uo e Ia istokm Atica en a . sector bancario >i >

- Son sistemas e n lo que una deficiencia en los procesos y/o en los

procedim ientos de concrol puede provocar un quebranto econmico dc
considerable magnitud.

Como colofn, sealaremos las auditoras relacionadas con la informacin, en

l*s siguientes facetas:

- Auditoras dc calidad de la informacin, en cuanto que verificacin de la

existencia de procedimientos que garanticen su exactitud, fiabilidad,
oportunidad y utilidad, mediante el anlisis de los mecanismos utilizados para
su distribucin, el intercambio dc informacin entre diferentes departamentos
de la entidad, el circuito que siguen los datos desde su creacin y las
subsiguientes transformaciones (agregaciones, clasificaciones) que
experim entan hasta constituir el producto" final.

- Auditoras de la proteccin dc los datos personales. Entre ellas, destacaremos:

Auditora de las medidas d e seguridad d e los archivos relativos al

cumplimiento o incumplimiento d c las obligaciones dincrarias de las
personas fsicas, dc obligada realizacin a intervalos n o m ayores de dos
aos, segn establece la Instruccin 1/1995 dc la Agencia de Proteccin de
Datos.

Auditora de las medidas dc proteccin d e la informacin dc carcter

personal y patrimonial que. aun cuando no se pueda considerar amparada
dentro de la Instruccin mencionada, s est regulada por la l.ORTAD.

- Auditora de los planes de recuperacin dc negocio o planes de contingencia.

Es un rea dc especial importancia e n la actividad auditora por cuanto
actualmente las posibilidades d e supervivencia dc una entidad financiera en
caso de un desastre en cualquiera dc sus centros de proceso dc datos dependen
directamente dc la existencia dc un plan dc recuperacin dc la actividad.

Por ltimo, sealar que la transformacin que est experimentando el sector

bancario en los ltimos aos y. en particular, la instauracin de nuevos canales dc
Afusin (banca telefnica, banca virtual), amplan el mbito dc la funcin auditor
mis all dc las tarcas tradicionales y, al mismo tiempo, exigen del auditor una
permanente capacidad de aprendizaje para abordar con xito los nuevos retos.
 www.FreeLibros.me

22.1.3. Objetivos de la auditora y preparacin del plan de

trabajo

El alcance y e l mbito con I que se aborde U auditora informtica de tna

actividad especifica ex variable y dependiente de varios factores, entre otros:

- Los objetivos que te persigan con el trabajo y las razones que hayan motivad
mi realizacin. Probablemente, el contenido del plan de trabajo difiera en uta
auditora de revisin general d e un sistema d e aquella otra en la que e
pretende determinar el origen e aplicaciones de algunas incidencias delectada
e n una actividad concreta.
- Lo recursos de que se disponga para abordar la auditora.
- El nivel de documentacin del sistema a auditar, puesto que su inexistencia o
insuficiencia puede conducir en la prctica a que aqul no sea auditable.

Com o caractersticas particulares a > ner en cuenta en la preparacin del pbn de

trabajo de la auditora, se destacan las siguientes:

- La conveniencia de que el auditor conozca con el suficiente detalle los

procedimientos operativos internos de la entidad financiera relacionados con
el rea de negocio y/o el producto bancario soportado por la aplicacin. El
auditor, aun cuando el mbito de su trabajo se circunscrba al sistema
informtico, debiera conocer los circuitos opera lisos y administrativos
seguidos y asociados con los datos, desde su captura hasta la obtencin de lot
subproductos finales derivados d e ellos. Ello le permitir evaluar el impacto
de lis debilidades y errores que pueda detectar en el funcionamiento dd
sistema, e incluso, poner de manifiesto situaciones en las que no exista la
suficiente concordancia entre el sistema informtico y el procedimiento
operativo.
- La necesidad de contar coa especificaciones funcionales documentadas de la
actividad a auditar, n i com o disponer del suficiente conocimiento de la
operativa hancana tradicional asociada con el producto en cues*uta. El
innegable que un auditor informtico que trabaje para una entidad financiera,
adems de auditor e informtico, deber ser bancario.
- Com o paso previo a la elaboracin del plan de trabajo, es extremadamente til
la recopilacin de toda la normativa y documentacin que pueda existir
relacionada con el objeto d e la auditora.

En particular, e n el caso d e las aplicaciones boticarias tpicas en el sector

bancario. se destacan como referencias de consulta las d ise a s circulares e
instrucciones emitidas por el Banco de Espaa, la Asociacin Espaola de la Baiwa
Privada (AE8>. la Confederacin Espartla de Cajas de Ahorro (CECA), etc.
 www.FreeLibros.me
CAWTTI.O 22:AtDTTOKlA INKXtMTICA fcXU. aCTOW BANCAWO 515

En ciertas reas especificas. existen otras fuentes d e informacin que pueden ser
tambin de inters para el auditor, entre las que citam os a ttulo d e ejemplo:

- Convenios firmados por la entidad financiera con organismos de las

administraciones central o autonmicas pora la financiacin de ciertas
actividades empresariales (prstamos).

- Convenios relacionados con los sistemas d e truncamiento de cheques y

pagars, efectos, etc.

- Normas reguladores del M ercado de Anotaciones en Cuenta (valores, activos

financieros), del Servicio telefnico del Mercado de Dinero, etc.

En c ienos trabajos especficos, el auditor puede necesitar tener un conocimiento

general de la legislacin vigente as como las Directivas Comunitarias. A modo de
ejemplo, ste el caso de la normativa sobre prevencin del blanqueo de capitales,
propiedad intelectual, proteccin de datos personales...

- Ante situaciones que requieran unos conocimientos particularmente tcnicos

en aspectos barcarios o legales, el auditor debe actuar siempre planteando su
consulta a los departamentos competentes. Esto es tanto m is necesario cuanto
menos documentadas se encuentren las especificaciones funcionales del
sistema, o cuando el auditor no ext seguro de que aqullas han sido dictadas
por los rganos funcionalm cnte responsables de ello. A este respecto, y como
premisa bsica, el auditor informtico no debera en ningn caso asumir de
antemano como vlidas las funcionalidades im plantadas en los sistemas
informticos sin contrastar previamente su bondad con las fuentes de
documentacin y estam entos que correspondan.

22.2. AUDITORA INFORM TICA DE UNA APLICACIN

BANCARIA TPICA

Este apartado est dedicado a la actividad auditora en un rea que.

Adicional mente, ha sido e l objeto principal de la auditora informtica en el sector
faanciero y. que an hoy. contina siendo su mayor consumidora de recursos.

No es el objetivo de este apaado el exponer detalladamente los procedimientos y

yrogramas de trabajo de la auditora de las aplicaciones informticas; por el contraro,
te pretende mostrar algunas de las particularidades de las citadas auditoras cuando
fitas tienen como marco el sector financiero, bien porque el elemento auditado sea en
rf mismo especfico del citado sector, bien porque, aun no sindolo, existan
cemideraciones especiales que el auditor debe tener en cuenta.
 www.FreeLibros.me
<16 AtlprrtHtU lVKXtMATICA 11NEMOQUK PRACTICO

Resulta imposible, en un libro d e carcter general como ste. comentar con *1

suficiente detenim iento lo puntos de control que el auditor debera revisar en d
mbito fijado para el trabajo. En su lugar, se ha considerado que podra ser ma
interesante para e l lector conocer algunos aspectos prcticos d e este tipo de auditoras,
d e manera que cualquier auditor con experiencia en otros sectores empresariales
pueda, aplicando sus conocimientos y experiencia, iniciarse en la auditora informtica
bancara.

22.2.1. Criterios para la planificacin anual de los trabajos

La realizacin de la planificacin anual de la auditora informtica requiere, como

paso previo, un conocimiento general del estado de los sistemas de informacin con
que cuenta la entidad, as como de los objetivos estratgicos fijados por los rganos de
decisin. f>entro del m bito d e las aplicaciones informticas, en particular a la hora e
proponer las tarcas del plan de trabajo para el prximo perodo, el responsable dd
auditora informtica por lo comn clasificar las posibles actividades en funcin de
d ise o s pautas.

En primer lugar, estn los factores clsico, generalmente utilizados en la

planificacin de auditoras de aplicaciones en cualquier sector empresarial y entre los
que podemos destacar:

- Antigedad de la aplicacin, aun cuando este dato tiene una doble valoracin,
ya que cuanto ms antigua sea m ayores problem as de obsolescencia,
presentar probablemente con procesos poco eficientes o redundantes,
especificaciones funcionales no cubiertas, etc.: pero al mismo tiempo, ser
presumiblemente ms fiable, en cuanto a la calidad de la informacin
procesada y generada, puesto que el sistema informtico estar tambin mis
probado.

llo ra s de mantenimiento invertidas anualmente, estableciendo un*

comparativa entre aftas. a s como con las restantes aplicaciones.

- Factores cualitativos asociados a la posible obsolescencia (no siempre ligada a

la antigedad) de la aplicacin, que e l auditor podr determinar analizando a
aspectos corvo la forma y lugar en que se capturan los datos. la dimensin de
los tratamientos manuales, la tipologa de algunos de los controles que se
realizan, la ausencia de datos bsicos en relacin con el producio o rea
cubierta por la aplicacin, el volumen de recursos que requiere su adaptacin
al EURO y/o al arto 2000. y . en general, aquellas caractersticas que a criterio
del auditor se -consideren sintomticas de posible obsolescencia-.

Pero, adems, podemos distinguir un conjunto de aspectos tpicamente bancarios

a considerar en la planificacin de la revisin de aplicaciones:
 www.FreeLibros.me
CAPtTtxo: : Ai nnoKU inhjhmatx a f_s h . sectok i

- Importancia econmica dc U funcin a la que se dedica la aplicacin, esto es.

su im pacto e n el balance del banco.

- Importancia de la actividad btincana a que d a soporte la aplicacin en los

planes de negocio y expansin dc la entidad.

- La obtencin dc informacin a partir d e la aplicacin con destino a clientes y

organismos pblicos (M inisterio d c Economa y Hacienda. Banco d e EspaAa.
diversos organismos adscritos a las autonomas).

- El volumen. la frecuencia y la importancia material de las incidencias y

errores detectados mediante los mecanismos d e control habituales: la
existencia de posibles reclamaciones interpuestas por d ie n tes ante diversos
estamentos (la propia oficina bancaria o bien otros departam entos internos, el
Defensor del Cliente o la Oficina d e Reclamaciones del Banco d c EspaAa).

- La existencia dc descuadres entre los datos facilitados por la propia aplicacin

y los registrados e n la contabilidad de la entidad.

Para finalizar este apartado, queremos hacer hincapi en dos aspectos que nos
parecen, relevantes. De cara a abordar la planificacin de trabajos, e s particularm ente
importante que el auditor sea receptivo a las propuestas recibidas de cualquier
estamento de la organizacin, puesto que son los propios usuarios d e los servicios
informticos los que mejor suelen conocer - y en ocasione padecer- los sistemas de
informacin que utilizan.

Junto con ello, otro de los factores que consideramos crtico es la sensibilidad del
auditor hacia el error, esto es. hacia aplicaciones, procesos y datos que estn dando
maestras dc errores, quiz no muy numerosos, ni muy importantes si se consideran de
forma aislada, incluso pueden ser de tipologa diversa y aparentemente no
relacionados, pero con la caracterstica comn en todos los casos de que se producen
de manera continua en el tiempo. Situaciones com o la descrita suelen terminar
poniendo de manifiesto tras la realizacin de la auditora debilidades importantes en la
aplicacin, en una o m s reas: especificaciones funcionales poco definidas o mal
implantadas, debilidades de control en los procesos, diseo defectuoso d e la
aplicacin, mantenimiento deficiente dc los programas informticos, insuficiente
documentacin y conocimiento de la aplicacin por parte del personal informtico
encargado del mantenimiento, etc.

22.2.2. Establecimiento del mbito de la auditora

La definicin del m bito dc la revisin a realizar en el trabajo auditor, esto es. la

determinacin de las actividades y procesos que sern analizados, depende en primera
 www.FreeLibros.me
SIU AtlOTTOKlA INFORMTICA: UN EMOQUKrKCnCO___________________________ <ham

instancia del objetivo que pretenda cubrir el trabajo y d e U s razones que hayu
aconsejado su realizacin.

As, si la auditora pretende obtener una visin d e conjunto acerca del estado de
una aplicacin, al objeto d e determinar si existen razonable* garantas de que los
tratamientos informticos son correctos y la informacin generada tiene la calidad
suficiente, e l programa de trabajo probablemente se limitar al estudio de leu procesos
m is relevantes de la aplicacin. Podemos decir que. en la mayora de U s aplicacin
que soportan directamente productos bancarios. entre las actividades que casi sietnpee
sern objeto de revisin se encuentran los procesos de liquidacin, contabilizacin y
periodificacin contable.

Una vez seleccionados los procesos en los que se centrar la auditora, y siempre
y cuando los recursos disponibles as lo permitan, e s aconsejable revisar dichos
procesos desde un punto de vista integral, contemplando todas las facetas desde la
generacin del dato hasta la obtencin de las diferentes salidas de informacin, puesto
que e llo le permitir al auditor detectar debilidades que. d e otra forma, posarn
inadvertidas.

Ahora bien, la aproximacin al trabajo ser necesariamente distinta si dte se

deriva de la existencia de incidencias en algn proceso detectadas por los
procedim ientos de control habituales en la entidad. En este caso, el mbito de U
auditora viene ya determinado por el objetivo del trabajo (averiguar Us causas e
implicaciones de las incidencias detectadas), y, si bien el punto d e auditora m i
tam ban el estudio detallado del proceso en cuestin, los resultados parciales que se
obtengan en el transcurso de U auditora pueden obligar a redefinir en algn momeo,
el plan de trabajo.

La auditora del proceso finalmente seleccionado abarcar Us siguientes

actividades de revisin:

- Procedimientos de recogida y entrada de datos que. en la mayora d e los casos,

se realizarn mediante transacciones d e teleproceso, para km que el auditor
deber asegurar la existencia y operatividad d e los controles pertinentes. A
este respecto, el trabajo de auditora debera incorporar autntico valor
aadido, es decir, no lim itarse a U revisin de los controles informativos
tpicos de entrada de datos (controles de mnimos y mxim os, control de que
el formato de los datos e s el que corresponde, de fechas lgicas, etc.), siso
que. por el contrario, debera centrarse en la revisin de U implantocio
informtica de los controles operacionalcs definidos en U entidad.

Por ejemplo, en un sistema organizativo en el que los tipos de inters de Us

operaciones necesitan ser autorizados por un estam ento superior cuanta
aqullos no e-stin dentro de un rango de valores, el auditor debera comproh*
 www.FreeLibros.me
CAffTULO 22: AHOfTOftlA INFORMTICA EN EL SECTCft BANCARIO >1

que el sistema informtico no permite la form alizadn de la operacin de

estas caractersticas si no existe autorizacin electrnica para li misma.

O por citar otro caso, en cualquier transaccin de alta y nodificacin de

contratos de titulares de operaciones, se debera revisar el control de
obligatoriedad de introduccin de un DN1/NIF vlido al objete de cumplir con
determinadas regulaciones existentes que obligan a la identificacin d e los
clientes.

- Procedim ientos de generacin de la informacin d e saltea del proceso,

bsicamente la destinada a clientes (extractos de liquidacin, comunicaciones
de revisin de tipos de inters, etc.) y organismos externos: Hacienda. CIRBH.
etc. El auditor, adems de verificar que la informacin e s fiable, correcta y
completa, debera comprobar tambin que es conforme to n las normas
establecidas por los organismos receptores en cuanto a form a y periodicidad
de envfo y. en lo relativo a clientes, con lo estipulado por el Eanco de Esparta
en sus circulares en materia d e transparencia en las opeiaciones con la
clientela.

A lo largo de toda la exposicin se ha comentado la au d ito ia d e procesos

considerando que sto forman pane d e una aplicacin. Sin embargo, en ocasiones
una misma operacin, servicio o producto bancano no e s tratado en una nica
aplicacin, sino que. por el contrario, es soportado por varas d e el lis. Ust sera el
caso de una organizacin en la que la contabilidad constituyera una apbcacin propia e
independiente del resto, alimentada a partir de los datos generados por el resto de
aplicacioncs. En un sistema com o el descrito, una auditora del proceso contable
tendra una doble surtiente, puesto que se podra optar entre lim tarse al propio
proceso, asumiendo, por tanto, la bondad y exactitud d e los datos recibido* de las
iplicaciooes que lo nutren, o bien, incluir la revisin d e las internases, esto es.
verificar la concordancia entre los datos recibidos y los reg istrad en los otros
sistemas.

22.2.3. Procedimientos de auditora a emplear

El auditor, en el ejercicio de su actividad y al efecto d e cumplir con el objetivo

del trabajo, emplear diversos procedimientos y tcnicas, entre los que destacaremos:

A ln n de los p ro g ra m a s inform ticos

Comprende la revisin de las funcione que realizan los programas por medio del
estudio del cuaderno de carga y cualquier otra documentacin que d e ellos exista.
Incluye tambin el anlisis del propio cdigo fuente de los programas, la realizacin
de pruebas sobre ellos y la verificacin d e que cumplen con las especificaciones
funcionales definidas.
 www.FreeLibros.me
5 AUDfTCmlA KVH)RMATK'A: UN ENFOQUE PBACTKT>

El auditor deber perseguir:

Obtener un conocimiento detallado de la operativo del programa, que adcmfa

le servir posteriormente para comprender las aplicaciones de to t tratamiento
realizados por otros programas de la misma cadena.

Detectar errores en la interpretacin e implantacin de las especificaciones

Funcionales.
I
G arantizar la existencia y operatividad d e los controles adecuados.

Esta tcnica es inabordable si lo s programas no estn bien modulados o carecen

de documentacin, lo que ya de por s e s sintomtico y pone de manifiesto un
debilidad, porque apunta a que el mantenimiento del programa e s complejo y
susceptible de que se produzcan errores.

Dado que la revisin d e programas es una tarca que consume muchos recursos, ti
auditor deber seleccionar cu idadom ente los programas y ratinas objeto d e revixife
centrndose exclusivamente en aquellos que sean crticos. Sin embargo, este
procedim iento presenta la ventaja d e que si el auditor e s hbil y experimentado, le
permite detectar la presencia de caballos de T roya y errores en la intcrpretacifo
prctica de ciertas especificaciones funcionales.

Realizacin de c ontroles de coherencia

Son quiz la mejor herramienta de trabajo del auditor, puesto que le facilita
descubrir de una manera muy eficiente ciertas anomalas en el funcionamiento de la
aplicacin. Se distinguen las siguientes variantes:

Controles cruzados entre los datos existentes e n archivos y bases de dato

distintos obtenidos en un proceso comn (si lo que se quiere probar es la
bondad del proceso), o bien, en procesos distintos.

Por ejemplo, si se desea comprobar que el saldo que presentan determinadas

cuentas es correcto, se pueden utilizar los datos existentes en el archivo de
movim ientos de las cuentas, de manera que las imputaciones habidas, sumadas
algebraicamente' y teniendo en cuenta el signo (debe/haber) del apume.
conformarn un saldo que debera coincidir con el existente en el archivo de
saldo de cuentas.

Controles de coherencia sobre la propia base de datos par) aquellos dalos

relacionados entre s.
 www.FreeLibros.me
CA pm'Lo:; a u d ito r ia cs-io rm atica i.n ei. s u t e b a .n c\rio >21

Por ejemplo, en una base d e d ito s de prstamos en la que se guardan las

informaciones relativas al plazo de la operacin (m eses comprendidos desde
su forma! i/acin a su vencim icn(o). la periodicidad de la hquidacin y el
nmero de liquidaciones en la vida d e la operacin, uno de lo* posibles
controles a realizar es com probar que el producto de estos dos ltimos dalos
(periodicidad y nmero de liquidaciones) no e s superior al primero (plazo de
la operacin).

Controles realizados utilizando programas independientes.

Procedim iento clsico de auditora informtica, pero muy JI para detectar

un mal funcionamiento e n los sistemas, aun cuando en c rie caso el auditor
debe garantizar que su programa (en especial si h a sido realizado por I) es
adecuado a) fin perseguido y proporciona resultados fiables.

Esta tcnica e s principalm ente d e aplicacin cuando se desea probar el

correcto funcionamiento del programa de la entidad en frmulas o
algoritmos especficos.

Por ejem plo, el auditor podra aplicar un procedimiento de este tipo en la

base de datos anterior pora determina; la bondad del dato del plazo d e la
operacin generado por la propia aplicacin, utilizando para ello un
programa propio que procese las fechas de Normalizacin y de vencimiento.

22.2.4. Consideraciones a tener en cuenta durante la

realizacin de la auditora

- Realizar un seguimiento peridico del nivel d e cum plim erio del plan de
trabajo y evaluarlo a la luz de los hechos que se vayan poniendo de manifiesto
en el transcurso de la auditora. En ocasiones, puede ser interesante introducir
modificaciones en el plan inicial y el auditor debera utilizar su lgica para
decidir al respecto cuando:

Siendo los recursos muy lim itados, haya encontrado un grado de

cumplimiento razonablemente satisfactorio en ciertas actividades que no
aconseje una revisin excesivamente detallada de ellas.

Se luyan detectado errores d e relevancia en ciertas facetas que impliquen

profundizar en el m bito inicial previsto para ellas y suponga la
imposibilidad de abordar algunos otros pumos del programa de trabajo.

- Si durante la auditora se detectan errores, ser necesario:

 www.FreeLibros.me
il! AUDITORA INFORMATICA: CN ENWXjHit PRACTICO

Estudiar en detalle la repercusin e implicaciones del error, considerando

iodos los procesos afectadas por l directa o indirectamente.

Evaluar o. al menos, estimar el im pacto econmico del error, teniendo ea

cuenta el nmero de operaciones afectadas y el perodo de tiempo desde
el que se vienen produciendo.

Determinar las causas que han motivado el error y . en el supuesto de que

ste lleve algn tiem po producindose, los fallos existentes en los
procedim ientos de control, que no permitieron su pronta deteccin.

Proponer o recomendar las medidas a tomar para la resolucin del error y

realizar una estimacin aproximada del coste asociado.

- En aquellos casos en que se detecte la inexistencia de los oportunos controles,

o bien, aun cuando existan, no tengan operatividad. el auditor debera:

Realizar las pruebas y los controles de coherencia entre dalos necesar*

para determinar las consecuencias prcticas derivadas de la situacin
fundamentalm ente en materia de errores no detectados.

Recomendar los mecanismos de control que solventen la carencia

existente.

- Cuando los usuarios de la aplicacin hayan dejando sentir sus dudas acerca de
un adecuado funcionamiento de la aplicacin en algn aspecto concreto, d
auditor debera obtener una relacin documentada de las distintas incidencias
existentes, para, a continuacin, proceder a averiguar sus causas.

- Se debe tener presente que. lo que en ocasiones e s percibido por el usuario

como un mal funcionamiento informtico, puede esconder, en realidad, isa
deficiencia ms profunda de tipo operativo u organizativo. Al mismo tiempo,
errores percibidos por los usuarios como hechos aislados pueden, en ltima
instancia, ser slo diferentes manifestaciones de una causa comn que la
auditoria debera poner de manifiesto.
 www.FreeLibros.me

22.3. A UDITORA INFORM TICA DE LA PROTECCI N DE

D A TO S PERSON ALES

22.3.1. La importancia y el valor de la informacin en el sector

bancario

Com o una consecuencia lgica de las funciones que realiza, una entidad
financiera dispone de diversa informacin acerca d e la situacin patrimonial y
personal de cada uno de su* clientes.

Se puede realizar un ejercicio d e abstraccin pensando en qu d ito s p o s un

(anco de su clientela. En primer lugar, sus datos personales fnombre, direccin,
telfono), pero muy probablemente dispondr tambin de datos profesionales
(actividad a la que se dedica, empresa para la que trabaja). Tendr asimism o la
informacin relativa a todos los productos contratados por el cliente ron el banco:
posicin completa de sus c u e n tn (saldos e imputaciones realizadas por diversos
aceptos), el valor tasado de su vivienda si en algn momento la :ntidad le ha
cedido un prstamo para su adquisicin, su nivel de endeudamiento, las
inversiones que realiza y los productos en que las materializa, el in p o n e d e su
imita...

Pero adems, qu conocimiento indirecto se puede obtener a partir de algunas de

cris informaciones? Entre otras cosas, se pueden conocer aspectos personales de su
ida privada: sus gustos y aficiones, las asociaciones a las que pertenece, las tiendas
ca las que compra, los lugares que visita, el colegio donde cursan estudias sus hijos y
largo etctera.

La sensibilidad de la informacin manejada por una entidad financera es mayor

te tiene en cuenta la totalidad d e sus clientes y productos, asi c o n el nivel de
iprgacin que ello representa. Pinsese en el valor aadido que tiene la informacin
imafcda que sta va siendo ms completa; por ejemplo, conocer la posicin de todos
los clientes de pasivo en todos los productos que tienen contraodos es una
formacin m s valiosa, y por tanto m s sensible, que disponer exclusivamente del
taita de las cuentas de un nko-clicnte.

Los principales riesgos a los que hace frente la gestin de la infonracin son los
ptales:

Difusin no autorizada, intencionada o no. hacia destinos improcedentes. A

este respecto, es incuestionable el valor que la informacin boncaria d e los
d ientes puede representar para empresas comerciales y tro tipo de
organizaciones.
 www.FreeLibros.me
4 AUOTTOKlA INKXtMATK'A UN ESKXJll! PRACTKO

La confidencialidad es. en general, un tem a de especial preocupacin <a

cualquier entidad financiera, puesto que el negocio bancario tiene co n uoa
dc sus caractersticas U de ser una actividad en la que. en mayor o menor
grado, interviene la confianza depositada por el cliente en la entidad.

Obtencin de informacin errnea, por accidente o por manipulacin indebida,

que adems, y como consecuencia d e La normativa a la que est sometida la
actividad bancaria. e s cedida a terceros, con lo* consiguientes perjuicios que
ello pueda ocasionar e n ltima instancia a los dientes.

1.a combinacin formada por el valor de la informacin y los riesgos a que ctti
expuesta, han propiciado la apancin de d ise n a s regulaciones para protegerla cwyo
cumplimiento forma parte del mbito de revisin de la auditora informtica.

Existen dos factores que. d e manera especial, creemos deben ser tenidos en
cuenta al abordar cualquier trabajo de auditora relativo a la calidad (entendida sta en
su ms amplio concepto) de la informacin En primer lugar, est el hecho dc que
cada vez en mayor medida existe dentro de las organizaciones una elevada difusiva
interna dc los datos que puede llegar a motivar que una misma informacin resida a
ms dc una ubicacin con medidas dc seguridad que deberan ser homogneas. Ka
segundo lugar, el auditor debe ser consciente dc la riqueza que presenta la informante
a medida que sta va siendo agregada, comparada con otras fuentes de datos y
estudiada evolutivamente.

La combinacin de ambos factores (difusin y enriquecimiento de la

informacin) puede conducir a un proceso en el que las organizaciones no llegue a
conocer exactamente el volumen de informacin dc que disponen y. por tanto, no sean
capaces de protegerla convenientem ente frente a los riesgos expuestos.

N o es excesivamente comn encontrar organizaciones empresariales que tengan

su informacin clasificada en niveles d e seguridad, en funcin d c la sensibilidad,
confidencialidad y valor estratgico que aqulla posea. Sin embargo, la adopcin de
este tipo dc prcticas, que surge en general dc la necesidad de conocer, mejorar y
controlar la distribucin de la informacin existente, se hace ms necesaria a medida
que surgen regulaciones que obligan a garantizar la proteccin de los datos personales
y financieros dc los clientes.
 www.FreeLibros.me
c a H tix o : : AUPtrowlA in k k m tk a kn h . s k io w ha-ncakio m

22.3.2. Actividades de auditora en relacin con la proteccin

de datos personales

El mbito <)e actuacin de la funcin auditora en exte cam po se centra en la

verificacin de la LORTAD y dems Instrucciones promulgadas por la Agencia de
Pttteccin de Datas.

21X2.1. A udito ra de cum plim ien to de lu In stru cci n 1/1995

El artculo 9.1 de la LORTAD establece que ~el responsable de los dalos deben!
adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la
seguridad de los dalos de carcter personal y eviten su alteracin, prdida,
tratamiento o acceso no autorizado, habida cuenta d e l estado d e la tecnologa. la
naturaleza de los datos almacenados y las riesgos a que estn expuestos, ya
prevengan de la accin hum ana o d e l m edio fsico o natural

La Instruccin 1/1995. publicada en fecha 4/03/95. en su Captulo 11 obliga a la

m iuacin de una auditora peridica:

* I. lo s sistemas que almacenen o procesen informacin relativa a l cumplimiento

o incumplimiento de las obligaciones dinero ras debern acreditar a efectiva
implantacin de las medidas de seguridad exigidas p o r e l artculo 9.1 d e la
Ley Orgnica dentro del ao siguiente a la publicacin d e la presente
Instruccin (...)

2. La implantacin, idoneidad y eficacia d e dichas medidas se acreditar

mediante la realizacin de una auditora, proporcionada a la naturaleza,
volumen y caractersticas d e los datos personales almacenados y tratados, y
la remisin del informe fin a l de la m ism a a Ut A gencia d e Proteccin de
Datos.

. E l informe de auditora deber dictam inar sobre la adecuacin de las

medidas y controles destinados a garantizar la integridad y confidencialidad
de los dalos personales almacenados o tratados, identificar sus deficiencias o
insuficiencias y proponer las medidas correctoras o complementarias
necesarias. Deber, igualm ente, incluir los datos, hechos y observaciones en
que se basan los dictmenes alcanzados y recomendaciones propuestas.

6. Adicionalmente, los sistemas que almacenen o procesen informacin relatha

al cumplimiento o incumplimiento d e obligaciones die ra n a s debern
someterse a una nue\xi auditora tras la adopcin de las m edidas especficas
que. en su caso, la A gencia determine, a resultas del informe inicial de
 www.FreeLibros.me
AUPTrORIA INFORMATICA: UN RNFOQtlfc PRCTICO

auditora. En todo caso, dichos sistem as debern ser audiiaiai

peridicamente, a intervalos n o m ayores d e dos aAos."

En el momento en <jue << prom ulg e s a Instruccin, se suscitaron di vena* dudas

acerca de su alcance. As. se planteaba si mi m bito de aplicacin se limitaba a loa
archivo* de solvencia patrimonial o crdito form ados por agregacin d e lo* archn
tic las entidades acreedora* (lo* citado* archivos agregados estn (raudos en d
Captulo I de la Instruccin) o si. por el contrario, amparaba tambin a lo* segundos
Tambin se cuestionaba si. en el supuesto de que e l mbito de la Instruccin estuviera
limitado al archivo agregado, llamado en ella comn", era de aplicacin pora los
bancos y dems entidades financieras o estaba restringido a aquellas sociedades que.
especficamente, prestan servicios d e informacin sobre solvencia patrimonial y
crdito, com o puede ser el caso del ASNEF.

Finalm ente, la opinin ms generalizada, sustentada en algunas consultas

efectuada* a la Agencia, fue que se deben considerar afectadas por dicha Instruccin y,
por tanto, sujetas a la obligacin de ser auditadas, las entidades financiera* que pose
copia de los archivos agregados, y en especial, del RAI (Registro de Aceptacin de
Impagados).

Por lo que respecta a la realizacin de la auditora en s, sta debera verificar d

cumplimiento de los controles en las siguientes reas:

Controles de procedimientos y normas operativas:

- Verificacin d e la existencia d e procedimiento* documentados, de

aplicacin en toda la entidad, que establezcan las medidas a cumplir ea
cuanto al archivo y distribucin de la informacin:
Etiquetado, transporte y destruccin de los soportes de dato* (cintas,
cartridges. disquetes).
Perodo de retencin (archivo) de archivos y sus copias de seguridad;
procedimiento de borrado d e los datos a la finalizacin del perodo de
retencin-
Transmisiones de archivos.
- Verificacin de la existencia de normas de actuacin a seguir por los
empleados:
Polticas de concienciacin en materia de seguridad que profundicen ea
la importancia de la confidencialidad de la informacin, los riesgos a los
que se enfrenta y las posibles implicaciones derivadas de la
materializacin d e esos riesgos.
Normas escritas que especifiquen el cdigo d e tica establecido por la
entidad y de obligado cumplimiento por todos los empleados.
 www.FreeLibros.me
CArtTVIO 21 AUMTORlA INFORMATICA LV EL SKTOB I

Controle relacionados con la segundad fsica:

- Com probacin de la opcralividad y adecuacin a los fines a los que van

destinada de las medido de control existentes en materia de acceso a las
instalaciones y d e acceso a los sopones de datos (tanto e n las distintas
instalaciones de proceso com o en el lugar d e almacenamiento secundario
de respaldo).

- Verificacin de las medidas de seguridad en relacin con el transporte

fin co de los soportes de datos, tanto entre las distintas instalaciones en que
se procesa, com o desde stas al almacenamiento secundario y viceversa.

Controles relativos a la seguridad lgica:

- Verificacin de que estn implantados controles de acceso a los archivos y

bases de datos, en los distintos entornos en que stos residan, que eviten
que aqullos puedan ser indebidamente ledos, copiados o alterados.

- Verificacin de que la entidad tiene formalmente definido un registro de

usuarios autorizados a acceder a cada uno de los archivos d e datos en el
que se especifique el m odo de acceso (lectura, copia, etc.) que cada usuario
ticoc permitido. Com probacin del procedimiento estableado para la
inclusin y baja en dicho registro.

- Com probacin d e que existe un registro de los intentos de acceso al

sistema no autorizados, y para aquellos archivos m is crticos, un registro
d e los accesos efectivamente producidos en el que se indique la fecha y
hora, el tipo de operacin realizada sobre los datos y el usuario que la
inici.

Controles de respaldo:

- Verificacin de los procedimientos de realizacin d e copias d e seguridad

de dolos y programas al objeto de determinar mi d M iu c ite y operuti vidud.

- Revisin de los procedimientos establecidos en relacin con el centro de

backup y el plan de contingencia: comprobacin de la realizacin de
pruebas peridicas, anlisis del resultado d e stas, etc.

2 U 1 2 . A uditoria de cum plim iento de o tro s asp ecto s de la LO RT A D

La LORTAD. y dems Instrucciones emitidas por la Agencia d e Proteccin de

Otfos. incluye en su articulado varias normas y obligaciones legales, cuyo
 www.FreeLibros.me
SU AUXTORlA INFORMTICA- UN ESTOQUEWtXCTKO___________________________c u

cumplimiento debera ver verificado por la auditora informtica, d e las cuita

extractamos aqu las que consideramos ms relevantes:

22.3.2.2.1. C alidad d e tos datos patrimoniales y financieros incluidos en arrim

morosos

La ya mencionada Instruccin 1/1995 establece:

" I . L a inclusin de los datos d e carcter personal en los a re flir ts relatiws al

cumplimiento o incumplimiento d e obligaciones dinerarias. a los que st
refiere e l articulo 2 8 d e la /< v O rgnica 5/1992. deber efectuarse solamente
cuando concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida y exigible. que hay

resultado impagada.

b ) Requerim iento previo de pago a quien corresponda, en tu caso, ti

cumplimiento d e la obligacin.

2. N o podrn incluirse en los arch iv as d e esta naturaleza datos personales tebrt

los que exista un principio d e prueba documental que aparentemeMc
contradiga alguno d e los requisitos anteriores.

3. E l acreedor o quin acte p o r su cuenta e inters deber asegurarse de <jw

concurren todos tos requisitos exigidos en e l nm ero I d e esta norma en W
mom ento de notificar los datos adversos a l responsable d e l archivo comn".

Por tanto, la auditora informtica debera revisar los archivos de morosos y

fallidos relativos a clientes de la propia entidad, esto es. cuando el banco es d
acreedor, as. com o los archivos generados con destino a ser incorporados en un
archivo com n de varias entidades (RAI. ASN'EF. CIRBli). al objeto de verificar que
In deuda registrada y comunicada e s real.

22.3.2.2.2. Com pra d e a rc h h o s para prospeccin comercial

El artculo 30 de la LORTAD regula:

I. Slo se utilizarn de form a automatizada dalos d e carcter personaI en las

encuestas de opinin, trabajos d e prospeccin d e mercados, investigacin
cientfica o m dica y actividades anlogas, si el afectado hubiera prestada
libremente su consentimiento a ta l efecto.
 www.FreeLibros.me
CAPITILO 22 MfMUttU IMOVIATICAEWa . SfXTOftBANCARIO )

2. Los dalos de carcter personal tratados automticamente con ocasin de tales

actividades no podrn ser utilizados con finalidad distinta n i ceidos deform a
que puedan se r puestos en relacin con una persona concreta. "

Anc la posible existencia de archivo* coo dato* personales comprados al objeto

de realizar prospecciones comerciales, el auditor debera verificar que:

- La entidad se ha asegurado de la legalidad de los datos que compra.

- El contrato recoge las clusulas adecuadas que liberen de responsabilidad a la

entidad financiera frente a posibles incumplimientos de la Dormitiva legal por
parte del vendedor.

22J.2.2J. Datos personales recabados para un seguro asociado a un prstamo

La Instruccin 2/1995 protege los datos personales recabados para la

fermilizacin de aquellos seguros de vida asociados con la concesin de un prstamo
o crdito, de manera que el beneficiario del seguro e s la propia entidad acreedora.
Eace otras, establece las siguientes normas, cuyo cumplimiento enira dentro del
tabi (o de revisin de la auditora informtica de la entidad financiera:

'N orma segunda.- De la recogida d e los dalos

1. La obtencin de datos personales a efectos d e la celebracin ie un contrato

de seguro de \ida. anejo a la concesin d e un crdito hipotecario o personal,
efectuada p o r las entidades d e crdito a travs de cuestionarios u otros
impresos, deber realizarse, en todo caso, mediante m odelos separados para
cada uno de los contratos a celebrar. En lo s form ularios cuy> destinatario
sean las entidades boticarias n o podrn recabarse en ningn caso dalos
relativos a la salud d e l solicitante.

2. Cualquiera que sea e l modo de llevarse a efecto la recogida d e Satos d e salud

necesarios para la celebracin d e l seguro d e \id a dtber constar
expresamente e l comprom iso d e a entidad de crdito d e que los datos
obtenidos a tal fin solamente sern utilizados p o r la entidad aseguradora.
Las entidades de crdito no podrn incluir lo s dalos de salud n sus archivos
informatizados o en aquellos en los que almacenen datos d e form a
convencional.

Norma tercera.- Consentimiento d e l afectado y tratamiento d e los natos

El afectado deber m anifestar su consentimiento p o r separado para cada uno de

los contratos y para e l tratamiento distinto d e la informacin que ambos conllevan.
 www.FreeLibros.me
; W AL'PUDRI* IS~KXtM\nCA 1<SENFOOCt- HtACTICO

Las entidades de crdito solam ente podrn tratar aquellos datos personales. no
especialmente protegidos, q u e sean estrictamente necesarios para relacionar ri
contrato de prstam o con e l contrato de seguro d e vida celebraan como consecuencia
de aqul o que estn justificados p o r la intervencin d e la emulad d e crdito como
agente o tom ador d e l controlo de seguro. "

Por u n to , el auditor debera verifican

- La ausencia de referencias a datos sobre la salud del futuro prestatario en k>s

formularios de recogida de datos del prstamo.

- La inexistencia de ningn tipo de archivo por paite de la entidad financiera, ni

informtica ni manual, en el que expresamente se recojan los datos de salud de
los clientes.

- b existencia de la informacin adecuada en el claisurado del impreso

utilizado para la recogida de los datos relativos al seguro, al respecto de:

* El comprom iso del banco de que los datos que proporcione el cliente sern
exclusivamente cedidos a la entidad aseguradora.

* Nombre y direccin del destinatario d e la form acin (entidad

aseguradora).

* F.1 derecho del afectado a la consulta, rectificacin cancelacin de los

datos existentes cerca d e l. en cumplimiento de lo establecido en la
LORTAD.

22.4. C U ES TIO N ES DE REPASO

I En qu faceta resulta ms valiosa la partici p acn d e la auditoria

informtica en el sector financiero?

2. Qu caractersticas tienen las aplicaciones informticas que soportas

productos barcarios?

3. En qu se diferencian las auditorias de medios de pago d e las auditorias de

productos de tesorera?

4. Qu conocimientos necesita un auditor informtico p ar poder llevar a cabo

una auditoria en el sector bancario?

5. Com ente cmo afecta la LORTAD a las aplicaciones bancarias.

 www.FreeLibros.me
CAPTULO?? Al DITQtOA l>K>ttMATKA EN U-SliCTO BANCAIttO 1

61 Qu aplicaciones ere que licnc el problema del EURO en la auditora

informtica de en tid ad financieras?

7. Comente aspectos a tener en cuenta respecto a los "archivos d e morosos".

8. Qu restricciones existen respecto a los datos recabados para un seguro

asociado a un prstamo?

9. Disee una planificacin anual de trabajos para auditora informtica de una

pequea entidad hancana.

10. Qu consideraciones dc las expuestas en el capitulo podran aplicarse a la

auditora de empresas dc seguros? Y de asistencia sanitaria?
 www.FreeLibros.me

CA PTU LO 23

A U D ITO R A
IN FO R M T IC A EN E L S E C T O R A R E O

Aurelio Hermoso Baos

23.1. INTRODUCCIN
Por hacer un poco de historia podram os decir que e n el mundo informtico del
itttor areo los aspectos jurdico no han tenido un gran im pacto en el desarrollo dado
qae apenas existan y este sector estaba monopolizado por las empresas fabricantes dc
hardware y los productos y aplicaciones softw are en las que se basaba el tratamiento
de los datos y en las facilidades que ofreca el sistema operativo d e sus mquinas.

Los aspectos sobre los que se realizaban trabajos dc auditora eran los clsicos de
materia econmica y financiera sobre los exudes, aparte del modo operativo, haba que
cumplir requisitos obligados que estaban reglamentados por los organismos oficiales
del pas. N o obstante, dentro del sector haba que cumplir la legislacin internacional
correspondiente.

Cuando el mundo de la auditora se dio cuenta dc que los datos eran manejados
por sistemas informticos, naci la auditora informtica, la cual iba ms dirigida a la
organizacin del centro proceso dc dalos y a la custodia de los datos en dispositivo*
magnticos cumpliendo con la legislacin de guardar la informacin al menos cinco

La expansin del mundo informtico debido al avance d e la tecnologa motiv

tfx determinados datos se procesaran en lugares geogrficamente distantes e incluso
por empresas distintas cuyo tnico fin era fortalecer el negocio del sector areo a nivel
mmdial en fuerte competencia con el resto de las compartas areas.
 www.FreeLibros.me

Con l a idea nacieron divento sistema* d e reservas a nivel intemacional elitre

k quo podemos citar los americano* SABRE. SYSTEM ON E y APOLLO. > los e
ropeos GALILEO y AMADEUS, aparte de lo* nacionales que cn Esparta era SAVIA

23.2. SISTEM A DE RESERVAS AM ADEUS

1.a* lneas areas europeas no podan quedarse atrs ante el empuje americano y
se constituy como sociedad annim a AMADEUS GLOBAL TRAVEL
DISTRIBUTION. viendo los socios actuales Air France. Iberia. Lufthansa y
Continental Airlines.

Su finalidad es proporcionar un sistema de reservas a nivel intemacioaal de

diversos productos entre los que se encuentran: vuelos areos, hceles, alquiler de
coches, etc.

A este servicio se conectan las Agencias de Viaje y Compartas Areas medMntt

term inales informticos. Desde estos terminales los adheridos realizan las reseas ea
nombre de sus clientes.

Ea Esparta se realiza esta funcin a nivel nacional por medio d e la compia

SAVIA. Sistema para las Agencias de Viajes, utilizando los servicios de los grandes
sistemas informticos de IBERIA.

Al sistema se pueden adherir tambin los proveedores de los servicios con el fin
de que se puedan hacer reservas por medios informticos para: compartas de lneas
areas, servicios hoteleros, compaas de alquiler de coches, mayoristas de viajes,
floristas, y un largo etctera. Estos proveedores pueden estar directamente conectados
o no. pero su informacin s debe estar en la base de datos de AMADEUS.

Por lo ta nto AMADEUS contrata servicios de proceso de datos y acceso a la base

de dalos de reservas pora cualquier lnea area que est adherida a un sistema
informtico de reservas, programas de vuelos, disponibilidad de plazas y tarifas, al
mismo tiempo que gestiona la red de comunicaciones, produce programas
informticos para la gestin de las Agencias d e Viajes y tambin para la gestin de
todo el sistema de reservas a nivel internacional.

IBERIA realiza la conexin d e las Agencias d e Viajes espaolas al sistema

AMADEUS para que puedan reservar cualquiera de los productos ofrecidos del
proveedor de cualquier pas, al mismo tiempo que posee su propio sistema de reservas
y red de comunicaciones para sus Oficinas de Ventas y de las Agencias de Viajes.
 www.FreeLibros.me
c a H tilo a u h to k Ia in fo rm tica es il m cto k A te to s

Las Agencias de <xros pases pueden reservar productos de IBERIA en sistema

AMADEUS y de cualquier otro proveedor nacional que tenga sus producios en la base
4c datos, aunque estn conectados a otro sistema d e rese a s dad) que existen
acuerdos comerciales entre ellos para facilitar informacin y venta d e sus productos.

23.3. FAC TUR A C I N EN TRE COMPAAS A R EA S

Este trasiego de informacin es gratuito, pero cuando se realiza u ta r e se a y la

correspondiente emisin del billete pora otra comparta area e s necesario regularlo
pora que el im porte recaiga sobre el autntico transportista.

Si un pasajero solicita informacin y desea contratar un vuelo con una comparta

area, por ejemplo M adrid-l.ondrcx. y ese trayecto lo realiza la m isna, no existe
(Ktcracin entre compartas.

Pero si el suelo que desea realizar es: M adrid-Nueva York-Hawai-San Francisco-

Sueva York-Madrid. y la comparta area no puede efectuar alguno de estos tramos
por no disponer de autorizacin pura realizar esos vuelos, existe un acuerdo entre las
compartas areas de poder em itir el billete en las lneas de aquellas compartas que los
explotan comercial mente.

Si a esto aadim os que en la ciudad o pas donde est el cliente realizando la

ccmpra de sus vuelos, no existe representacin de la citada comparta, v puede emitir
d hlete reservando los vuelos entre tramos, en aquella comparta qo: s los puede
realizar o resulte mejor por horarios o precios.

Supuesto: Volviendo al ejemplo se nos poda dar la siguiente casustica:

La oficina de ventas de IBERIA o A gencia de Viajes donde compra el billete con

d logo de esta comparta, e sti situada en Esparta y se utiliza la conexin va SAVIA.

Madrid-Nueva York se r e se a y lo realiza IBERIA.

Nueva York-Hawai se r e se a y lo realiza American Airlines.
Hawai-San Francisco se re se n a y lo realiza Camival Airlines.
San Francisco-Nueva York se r e se a y lo realiza Continental Airlines.
Nueva York-Madrid se r e se a y lo realiza IBERIA.

La suma total de los im pones de cada uno de los tram os los abona negramente a
fik n emiti el billete, en este caso con el logo de IBERIA y a trav d e la red de
SAVIA, con la r e se n a en cada una d e las compartas areas que efectuarn el
correspondiente traje lo contratado.
 www.FreeLibros.me
S AlDTTORlA INFORMATICA UN LNTOQ tl. mACTKO

Lgicamente cada una de Mas deber recibir e l importe del trayecto en el cual ha
sido transportado el pasajero que pag el importe por su reserva y em isin del billete.

A qu aparece el concepto del BSP. Bank Setietmeni Plan. Plan de liquidaci*

Bancaria. cuyas oficinas estn en G inebra donde se centralizan todas las operaciones
funcionando como una Cmara de compensacin. Para ello existe una fetbt
determinada, como lim ite cada mes, para hacer llegar los im pones totales y
desglosados para cada comparta area d e cada uno d e k billetes emitidos y
realizados. 1.a distribucin de los Procesos BSP est basada en regulaciones de 1ATA
Asociacin Internacional del Transporte Areo.

Para evitar el fraude. IATA facilita un control numrico del stock de billetes que
se adjudica a cada compaAta area y Agencia de Viajes y que slo son vlidos pan
aquellos miembros asociados a la citada organizacin, siendo esta numeracifa
incorporada a los datos del pasajero para saber el billete que te le entrega con los
trayectos que solicit y la o las tarifas que abon.

Cada Agencia de Viajes incorpora su propio nmero de Agencia IATA en la

emisin del billete.

Esta informacin con la que incorpora los datos de la reserva efectuada figura en
la base de datos.

23.4. CD IGO DE C O N D U C TA PARA CRS

La Com unidad Econm ica Europea por mediacin de E l Consejo de Us

Com unidades Europeas aprob, y public el Reglamento niim. 2299/89 de 24 de julio
de 1989. por. el que se establece un cdigo de conducta para los sistemas
informatizados de reserva, posteriormente aprob y public el Reglamento nm.
3089/93 de 29 de octubre de 1993. que modifica el Reglamento nm. 2299/89. por d
que se establece un cdigo de conducta para los sistemas informatizados d e reserva

Esta ltima modificacin introduce conceptos en e l reglamento sobre U

proteccin de datos de carcter personal y la prohibicin legal del uso de la
informacin del billete por los sistemas de distribucin, en este caso AMADEUS.
aplicable a los propietarios de los sistemas nacionales. IBERIA.

El citado reglamento comunitario establece en sus artculos 4 . 6 y 21. entre otras,

las siguientes obligaciones:
 www.FreeLibros.me
caH tm x) ;v aiidtohIa isnutuA ncA tw n sfctok aCreo w

4) Lo* Sistemas de Distribucin (CRS's) deben asegurar que las facilidades de

distribucin estn separadas de manera clara y verificahle de las facilidades
privadas de inventario. gestin y marketing d e la comparta o compartas
areas propietarias del mismo. Esta separacin debe ser fsica o lgica por
medio del softw are adecuado y las facilidades sern solamente coneciables
entre s por medio de una interfaz entre ambas aplicaciones.

6) Es necesario proteger los datos y su difusin tanto los privados del pasajero
com o datos comerciales sobre las compartas areas participantes. Con
respecto a dicha difusin se establece en concreto que:

Los datos de reservas, ventas o de marketing pueden ser puestos a

disposicin de todos los participantes con la condicin d e que:

N o se incluyan datos personales d e los pasajeros o entidades.

N o exista discriminacin entre el duerto del sistema con respecto a kxs

participantes en lo que se refiere a la prontitud, el mtodo de transmisin,
la calidad de la misma, e l precio, las condiciones, etc.

El CR S debe garantizar que las mencionadas facilidades se cumplen por

medios tcnicos que tengan las salvaguardas apropiadas en cuanto al
softw are utilizado.

FJ CR S debe garantiza/ que el duerto del sistema n o puede acceder a la

informacin suministrada o creada para los dems participantes.

21) El cumplimiento de los requerimientos tcnicos mencionados debe ser

auditado por empresas independientes, por lo menos una vez al aA?.

Dado que IBERIA tiene subcontratado por AMADEUS e l sistema d e reserva y

misin de billetes, e s por tanto susceptible de pasar la auditora correspondiente con
d fin de verificar la neutralidad de AMADEUS en su rea d e responsabilidad.

Al poseer los datos de k billetes de todas lis compartas que se emiten por el
orienta informtico de IBERIA, aunque no se participe en el itinerario del mismo, hay
q x presentar toda la informacin necesaria que demuestre que n o se hace uso
comercial de dichos datos ni se deriven prcticas que alteren la libre competencia.

Al mismo tiempo presentar los procedim ientos actuales y la descripcin detallada

de V mismos as com o la aplicacin de todas las salvaguardas necesarias pora que en
d sistema informtico de IBERIA slo se pueda acceder a los datos d e otras
ccopartos. para proporcionar la informacin necesaria al BSP.
 www.FreeLibros.me
i AlItHTOttiA INFORMTICA. UN EMOQUB HtACIKO

Cdigo de Conduca pora los Sistemas Informatizados de Reservas menciona que

los sistemas de rese a s de vuelo informatizado* estn obligado a pasar una auditoria
anual que puede afectar a cualquier entidad que form e pane de dicho sistema.

En cuanto a los datos de carcter personal, la base de latos de reservas del

sistema AMADEUS en Alemania se encuentra registrada segtii la Ley de protecoo
d e datos federal alemana, e igualmente la correspondiente a IBERIA en la Agencia de
Proteccin de Datos de Esparta,

En cuanto a los procedimientos de acceso, rectificacin y cancelacin a los dalos

personales recogidos en el sistema de rese as, tal y com o aparecen en la Ley
Orgnica 5/92 de 29 de octubre, no estn definidos en AMADEUS por carecer did a
entidad de la posesin y control sobre dichos dalos. N o obstante, cualquier ciudadano
puede acceder a sus datos d e reserva a travs de la Agencia (fe Viajes en la cual se
efectu dicha reserva o a travs d e las compaas areas que parecen en la misma,
por medios informatizados.

E sto e s motivado por el sistema transaccional de la aplicacn en tiempo real que

adjudica la propiedad de los datos a la Agencia d e Viajes que realiz la entrada de
datos quien tiene el contacto personal/comercial con e l pa sacro. Es una medida
adicional de segundad aplicable por todas las compartas aireas para asegurar d
negocio de las Agencias de Viajes y de la seguridad de la rese a del propio pasajero,
evitando la posibilidad de cualquier divulgacin y/o modificacin en los dalos.

La obtencin de cintas magnticas cuya informacin e s de utilidad para proceses

de estadstica, est sujeta al artculo 6 del Cdigo de C o ntacta de CRS. Ver
bibliografa. Reglamentos de la Comunidad Econm ica Europea, nmeros 2299/89 y
3089/93.

Asimismo ninguna d e las empresas del sistema AMADEUS comercializa los

datos personales del sistema d e reservas.

23.5. P ROCESOS INFORM TICOS

Las aplicaciones informticas a las que se les practica la auditora son dos.
procesndose en plataformas informticas diferentes.

Proceso T K 'K R T IN G . Desarrollado para grandes sistemas UNISYS. Bajo este

nombre, y para no complicar con nomenclaturas, vamos a reunir las numerosas
aplicaciones que componen la informacin de vuelos, reserva ce plazas y emisin de
billetes adems de los procesos de identificacin d e usuarios y term inales y la gestita
de la red de comunicaciones.
 www.FreeLibros.me
CAftTVtO ; VAUDITORIA IMOftSUTK'A l:N U SfcCTOR AfcKU) ?-W

Este proceso comienza por la solicitud de U Agencia dc Viajes o Comparta area

de la solicitud de los vuelos para un trayecto determinado, horarios de lo mismo.,
disponibilidad d c plazas, diversas tarifas, reserva dc vuelo y asiento con su definitiva
confirmacin en la emisin del billete para el cliente.

IBERIA facilita la oportuna informacin y/o conecta a la Agencia de Viaje* con

el sistema AMADEUS. que posee adems un computador exclusivamente para clculo
de tarifas, devolviendo la informacin completa, facilitando la oportuna emisin d d
billete y el im pode a abonar.

l-> seguridad de la aplicacin est basada en el SIGN-IN facilitado a la Agencia

de Viaje* en el momento de la contratacin comercial del servicio. Esta contrasea
permite identificar tanto a la oficina dc ventas y a sus term inales com o a las
fancionalidade* asignadas para la realizacin d e las determinadas transacciones que
est autorizado a utilizar, igualm ente se guarda la identificacin para que slo esa
Agencia y no cualquier otra con sign-in diferente, pueda modificar, eliminar o aadir
datos al registro creado en la base de dato* para la reserva y em isin del billete del
pasajero.

La informacin del billete confirmado y cerrado ser utilizada para realizar el

diect-in en el aeropuerto en el momento en que el pa*ajcro embarque al avin.

Toda la informacin correspondiente al billete o mantenida en la base de dato*

huta que el pasajero haya realizado el ltimo tram o que figura en el mismo, momento
01 que ser copiada a cintas magnticas para usos estadsticos y conservacin d e tipo
legal y borrada del sistema.

Lo* datos contable* son traspasados al sistema IBM va hypcrchanncl.

Proceso BSP. Desarrollado para grandes sistemas IBM. Los dato* econmico*
del billete dc vuelo son tratado* en procesos de facturacin y administracin contable
y dc preparacin para ser remitidos al Centro d c compensacin para la facturacin
entre compaas areav

Existe una empresa nacional de BSP que rene los datos correspondientes de
IBERIA mediante proceso de captacin d e la informacin por medio dc transmisin
de archivos y tambin de las otras compartas areas nacionales y agencias de viaje
pira ser transferidos al centro de compemacin en Ginebra.

La transmisin de esto* archivo* se formaliz mediante contrato exigiendo todas

1 medida* dc seguridad necesarias y dc acuerdo con la legislacin nacional vigente y
b ao divulgacin de los dalos comerciales de las comparta* participantes.
 www.FreeLibros.me
mi Al IHUHtU IStOUMSTKA I -X1-NfOQH fWCTKt)

l.as medidas de proteccin vienen dadas por clave U se/ Id asignada a p e n ca n

significada nicamente con autorizacin de lectura para los archivos determinados,
con lo cual la confidencialidad, divulgacin y no manipulacin de la informacin
queda asegurada.

Ixw datos se respaldan en cintas magnticas mediante procesos backup siento

custodiadas en un centro off-site durante el perodo legal exigido.

23.6. AUDITORA INFORM TICA

Anualmente se recibe la visita de auditores que en cumplimiento del Reglamento

Com unitario sobre Cdigo de Conducta de CRS. vienen de Alemania, sede del sistema
AMADEUS para realizar sus trabajos respecto a los procesos sealados en el punto
anterior. H1 cumplimiento de esta auditora es obligado, y en caso del no cumplimiento
de lo estipulado en los artculos del reglamento se podra cancelar el contrato de
servicio entre ambas empresas.

1.a finalidad de la auditora es detectar posibles desviaciones para asegurar la

correcta o incorrecta funcin neutral en la em isin del billete por parte de IBERIA
com o subcontratado de AMADEUS. as como asegurar las apropiadas salvaguardas,
como los procedim ientos internos y las medidas de segundad conforme al Reglamento
de la CEE nm. 2299/89. d e 24 de julio 1989 y Reglamento CEE nm. 3089/93. de 29
de octubre 1993. por el que se establece un Cdigo de Conducta pora kxs sistemas
informatizados de reservas y los requerimientos de AMADEUS incluidos en el
contrato con la subcontratacin de servicios de Ticketing con IBERIA en cuanto a
informacin al cliente, calidad d e los servicios y confidencialidad se refiere.

Breve descripcin de los servicios d e sistemas d e informacin que facilita

IBERIA

E n general como operador areo, el transporte de pasajeros y carga, servicios

en aeropuertos y operaciones d e vuelo.

En particular, desde el centro de proceso de datos de Madrid, ofrece sistemas

de inventario (informacin d e vuelos, plazas disponibles, tarifas), emisin de
billetes, seguimiento de equipajes y operaciones de carga.

Existen compartas areas conectadas al sistema informatizado de reservas de

IBERIA con inventario privado y emisin de billetes.

La informacin del billete consiste en datos del pasajero e informacin del

vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la
Agencia d e Viajes conteniendo otros datos de seguridad com o el nmero de
 www.FreeLibros.me
CArtmx) ;.v AiiixroRla inokmatca i h . s k t u k k m o u i

control del billete, control de stock del billete d e informacin para el BSP.
T odo ello pora la em isin del billete d e vuelo.

Estructura Sistema Informatizado Reservas d e IBERIA

El primer paso despus de preparar la agenda de entrevista con los auditores, es

recibir en IBERIA un cuestionario obre de term inada preguntas que debidamente
cumplimentado y comentado se les luce entrega el da de la visita.

Estas preguntas se concretan en cuatro apartados:

A) Datos personales

- Nuevas inscripciones de archivos en la A gencia d e Proteccin d e Datos, desde

la ltima auditora realizada.

- Realizacin de auditoras internas o externas concernientes a la seguridad y/o

privacidad de los datos.

- Si fue interna, cules fueron los resultados.

- Aparicin de nuevas regulaciones internas sobre confidencialidad o manejo de

los datos de carcter personal o de la comparta.
 www.FreeLibros.me

- Aparicin de violaciones concernime* a la privacidad de lo* dato* de carcter

personal.

- Reclamaciones de compartas areas respecto al manejo de sus datos.

- Reclamaciones desde otras compartas areas a los servicios d e IBERIA.

- Reclamaciones desde otras compartas areas a los servicios d e billetaje.

B) D atos BSP

- Si se ha incorporado alguna nueva compaa area que tenga su invenurioei

la base de dato* de IBHRIA desde la ltima auditora realizada.

- Si esto oblig a modificaciones en las aplicaciones.

- Si hubo necesidad de adaptaciones en los sistemas informtico*, en d

software, en los procedim ientos o en la organizacin.

- Si se han incorporado nuevas reglas de BSP.

- Si han aparecido nuevos mercados en el BSP.

- Si han aparecido nuevas versiones de BSP.

C ) O tra s m odificaciones y cam bios

- Cambios en la poltica de seguridad d e IBERIA desde la ltima ataJiiorfa

realizada.

- Cambios en la poltica de respaldo y salvaguarda d e la informacin.

- Cambios en los sistemas de seguridad y configuraciones en los ustcm*

informticos de cada una de las plataformas.

- Cambios hardware y/o de sistemas operativos e n cada una d e las plataformas.

Cambio* en la organizacin separando responsabilidades desde la kimt

auditora realizada.

Entre Desarrollo y Explotacin.

El grupo de desarrollo d e la aplicacin T icieting mantiene las irusmu

responsabilidades.
 www.FreeLibros.me
CAffrVLO li AUDITORIA IVtOltStATTCA EN El- SECTOR AtKBO M3

DiDocumentacin

- listad o s de los perfiles de seguridad de los archivos correspondientes a los

procesos BSP y de los usuarios que estn autorizados a su acceso y
tratamiento.

Por su pane los auditores instalan procedim ientos y medida* administrativas con
d fie de asegurarte la seguridad en los dalos del billete, cubriendo la separacin de
evos s e n icios y principalm ente de cualquier funcin d e in*ntario. entendiendo que
AMADF.US facilita los mismos conceptos a todas las compartas aire as conforme se
detalla a continuacin:

Loable(imitnio de Ftujo de Irabajo

Entrevista* con lodos los responsables de las rea* de la aplicacin Ticketing en

orden a confirmar, completar o corregir las medidas, procedimientos y controles
establecidos poniendo un mayor nfasis en los aspectos d e seguridad.

Procedimientos de auditoria

E stin basados en la separacin organizacional y en la documentacin solicitada

ceo anterioridad.

Otro enfoque ha estado basado principalm ente en la implantacin de medida* y

procedimientos de seguridad y su* controles distribuyndolos en temas como:

Seguridad Fsica.
Sistema* de seguridad e integridad.
Medidas de seguridad en la* Aplicacioncs y su* dalos.
Seguridad en el desarrollo de la Aplicacin.

Seguridad Fsica

Se analizan los siguientes puntos:

- Control de accesos al edificio del Centro Proceso de Dato*.

- A cceso a las diferentes rea* slo por personal autorizado, y de visitantes.

- A cceso a la sala de computadores u otras dependencia* criticas.

- Registros en libros de entrada/salida e inspeccin de bultos.

 www.FreeLibros.me
W AtlPtTOHU ISKXLMTK'A UN iMOQUK MUCIICH

- Control de entrada y salida d e vehculos de la zona y su registro.

- Control rea suministro d e energa, aire acondicionado y otros servicios pee

medio de CCTV.

- Centro off-site. para almacenamiento y custodia de cintas magnticas y su

control e identificacin, lis ta s d e personal autorizado y su autorizacin.

Si lema de Seguridad e Iruegridad

Se analizan los siguientes puntos:

- A cceso a los Sistemas Informticos UNISYS.

Control de acceso a la aplicacin T kketing. mediante identificacin dd

usuario y autorizacin de conexin al sistema informtico corTcspoodicaie
que tiene la aplicacin.

Control de acceso del terminal identificado en el software del front-eed de

comunicaciones y en tablas del sistema operativo.

El term inal y la conexin fsica estn previamente definidos en tablas coa

acceso protegido.

S e define a cul aplicacin d e Tickcting se autoriza al terminal a conectase

definido en tablas con acceso protegido.

Estos tipos de acceso slo estn permitidos va transacciones en tietapo

real con funcionalidades predeterminadas en la aplicacin.

Una aplicacin no puede tener acceso, lectura o modificacin en otra

aplicacin si n o est previamente autorizada o requerida por ta
funcionalidad.

El usuario accede a la aplicacin mediante Sign-in. el cual es ilnico pa

esa Agencia de Viajes u Oficina de Ventas de IBERIA.

El acceso va sistema conversacional requiere un Logon de entrada mis

User-Id y Password.

Existe auditora de intentos de violacin y control de accesos.

El acceso a los datos slo e s posible va autorizacin d e la aplicacin.

Existen terminales autorizados para entrar en sistema de emergencia

asignados al personal tcnico pora la resolucin d e problemas.
 www.FreeLibros.me
CAUTELO : AUDITORIA IMOKMADrA hN M. SKTOK A6RBO MS

- Acceso a los sistemas informticos IBM.

Los terminales autorizados d e acceso al sistema informtico que contiene

la aplicacin estn definidos en el softw are d e la Unidad de Control de
Comunicaciones y en las tablas del sistema operatis-o MVS. debidamente
protegidos.

El acceso al sistema est controlado por User-id y Password.

Existen reglas de acceso a las aplicaciones por proteccin y tipo de acceso

a los archivos, asignacin de facilidades al usuario.

Existe auditora de violacin y control de accesos.

l a seguridad consiste en identificacin de usuario y su verifcacin. control

de accesos y auditora guardando sus resultados.

Se asegura que una aplicacin no puede acceder a datos de otra aplicacin.

Existen term inales autorizados para entrar en sistema Je emergencia

asignados al personal tcnico para la resolucin de problema'..

T odos los datos de contabilidad preparados en la plataformi UNISYS por

la aplicacin Ticketing son transferidos a la plataforma IBV por medio de
transferencia de archivos y quedan almacenados debidamente protegidos
por el producto de seguridad instalado en dicha platafonru. Antes de la
transferencia son manejados por procesos batch.

Medidas de seguridad de as Aplicaciones y sus datos

Se analizan los siguientes puntos:

Las definiciones de seguridad de la aplicacin son coordinadas por los

responsables de AM ADEUS. IBERIA y SAVIA.

SAVIA define la seguridad de acceso de la Agencia de Viajes a la Aplicacin

Ticketing y lo comunica a IBERIA para su inclusin en los sistemas
informticos. Incluye definicin del terminal. Sign-in en la Aplicacin con
sus funcionalidades y autorizaciones, y la identificacin del terminal de la
Agencia de Viaje*.
 www.FreeLibros.me

- Controle* de acceso a 1 aplicacin Tickcting:

El acceso a la aplicacin es controlado por la identificacin del terminal ca

comn con el sign-in. E su s especificaciones e stn contenidas en ub U i de
la aplicacin.

- Controles dc acceso a la aplicacin de otnts Compartas areas:

El control de acceso del terminal a sus aplicaciones est en base a las

autorizaciones asignadas al terminal. Por ejemplo, puede impedir el acceso
a otros programas dentro d c la aplicacin.

A cceso restringido a transacciones que faciliten las tarifas y el nmero de

control dc stock del billete.

Restringir el acceso a aplicaciones inventario, (informacin dc vuelos,

disponibilidad de asientos y tarifas), desde terminales.

- Control de conectividad a otros n o v icio s basados en sistemas remotos:

La aplicacin tambin controla la conectividad a otros sistemas, incluyendo

los protocolos de comunicacin.
A cceso a aplicaciones basadas en Memas remotos, estn definidas en
tablas que especifican el correspondiente programa, aplicaciones
permitidas y las interfaces.
A ccesos del terminal a las aplicaciones rem otas son controladas por
programas de la aplicacin Ticketing y llevan el identificador del terminal.

- Control de acceso a xus bases d e datos:

Los accesos a la informacin d e las bases dc dalos estn garantizados per

los programas y transacciones controladas por la aplicacin Ticketing,
definidas las relaciones entre datos y programas en tablas.

- Control de accesos a utilidades:

Los accesos a utilidades e stn definidos, controlados y mantenidos por la
identificacin del term inal en tablas, siendo el grupo de desarrollo de la
aplicacin el nico autorizado para ello.

- Control dc obtencin d e respaldo dc las bases d e datos y programas de la

aplicacin:
Se asegura mediante la realizacin de procedimientos con perox
determinados de acuerdo con normas dc seguridad publicadas.
 www.FreeLibros.me
CAHlUtO 2V AtlXTOKlA INWKMTKA Qi EL Sg~TOWAtKH) MT

Las cintas magnticas obtenidas son custodiadas en centro <f-sitc.

- Control de Soporte (Help Desk) en SAVIA:

FJ punto de entrada para las Agencias de Viaje concctnlas a SAV

funciona e n dos niveles de soporte.

FU primer nivel de soporte lo facilita SAVIA desde un punto d e vista

funcional y tcnico. Incluye la comprobacin del entorno de la Agencia,
como puede se el hardware, configuracin, softw are y contctividad.

El segundo nivel, si con el prim ero n o se resuelve el problena. es facilitado

por SAVIA, y e s el persona) tcnico de IBERIA corvo soporte de la
aplicacin Tickenng el encargado de la revolucin. Este grupo es
responsable del mantenimiento relativo al desarrollo de la aplicacin,
incluyendo toda la configuracin y tablas de seguridad.

Solamente los term inales instalados en H elp Desk estn permitidos para
usar estas facilidades, esto se asegura utilizando las tablas de identificacin
de los term inales vfa la definicin de tablas de configuracii en e l software
de comunicaciones.

S eguridad en el desarro llo de la A plicacin

El desarrollo de la aplicacin Ticketing y sus fu ncin pertenece a

AMADEUS. porque e s un producto basado principalm ente en el paquete
estndar de la casa UNISYS para su aplicacin en lneas areas

El grupo de desarrollo de IBERIA tiene la responsabilidad de integrarlo y

probarlo en la plataforma UNISYS.

Existe separacin de entornos de Desarrollo y Explotacin con procedimientos

y normas muy concretas y seguras pora el pase a explotacin Je programas y
sus modificaciones.

Los cambios para la aplicacin de contabilidad y facturacin en la plataforma

IBM son iniciados por IBERIA o por la Cmara d e compensacin BSP.

El desarrollo de los programas necesarios son probados en criom o separado

en cooperacin con las autoridades del BSP.
 www.FreeLibros.me
U t AtlPCTORA INFORMTICA: UK ENFOQUE PRCTICO___________________________ t*w

23.7. CONCLUSIONES

Problema t

Es necesario un seguimiento de la legislacin nacional e internacional en

materia de la facturacin entre compaa areas BSP pora la adaptacin de Us
aplicaciones a su contenido.

Dejar bien claro en los aspectos contractuales con las Agencias de Viaje y
Com paas areas que se incorporen o la base de datos d e IBERIA I
obligaciones y responsabilidades de cada pane segn la legislacin naciocul e
internacional.

I-is nuevas tecnologas pueden hacer variar U s aplicaciones actuales, como

por ejemplo U venta del billete electrnico y sobre todo las ventas pee
INTERNET, lo que obligara a tomar medidas d e seguridad adicionales.

Soluciones

I-s aplicaciones deben controlar fuertemente U identificacin de los clientes,

lo que har variar y ampliar el desarrollo por el mundo INTERNET eco
nuevas soluciones en materia de seguridad, lo que a su ve* obligar a
desarrollar nuevas metodologas e n el mundo d e U auditora informtica.

23.8. LECTURAS RECOMENDADAS

a) Reglamento de U Com unidad Econmica Europea nm. 2299/89. de 24 de

julio de 1989. por el que se establece un cdigo d e conducta para los ststemis
informatizados de reserva. Diario Oficial de las Comunidades Europeas,
L -2 20.29 de julio de 1989.

b) Reglamento de la Comunidad Econmica Europea n m 3089/93. de 29 de

octubre de 1993. que modifica el Reglamento de la Comunidad Econmica
Europea nm. 229W89 por el que se establece un cdigo de conducta para k s
sistemas informatizados d e reservas. Diario Oficial de las Comunidades
Europeas, L-278, 11 de noviembre de 1993.

c ) Informe de la Comisin de las Com unidades Europeas al Consejo sobre la

aplicacin del artculo 4 bis y el apartado 3 del artculo 6 del Reglamento de la
Com unidad Econm ica Europea n m 2299/89 del Consejo en su versin
 www.FreeLibros.me
< Ar t n i o .M At:l)fTORlA IMORMMKA >N IX SECTOR AfJtEO W

modificada por el KegUincnio por el que se establece un cdigo d e conducta

para los MMcmas informatizados de reserva. Bruselas 07.03.1 W .

23.9. CUESTIONES DE REPASO

1. Nombre algunos sistemas de reservas que conozca.

2. Qu e s AM ADEUS?

3. Qu tipo de tratamiento de la informacin ve necesita para un viaje con

d ise as escalas en las que el pasajero cam bia d e comparta area?

4. Cmo a fc c u la LORTAD al sector areo?

5. A qu aplicaciones principales se les hace auditora en e l se co r areo?

6. Describa los servicios de sistemas de informacin que facilita una comparta

com o IBERIA.

7. Qu aspectos se analizan en cuanto a la seguridad e integridad?

8. Cules son las medidas de seguridad de las aplicaciones y su* datos?

9. Cules son los problem as d e adaptacin d e legislacin internacional en

materia de facturacin?

10. Qu nuevos riesgos entrarta la senta del billete electrnico a travs de

Internet?
 www.FreeLibros.me

CA PTULO 24

A U D ITO R A
IN FO R M T IC A F.N LA A D M IN IST R A C I N

Vctor Izquierdo Layla

24.1. INTRODUCCIN
Constituye un juicio de valor generalm ente aceptado decir que las Tecnologas de
U Informacin y de las Comunicaciones (TIC) se han venido u.ilizando en la
Administracin espartla, desde los inicios del proceso de "mecamacin" en los aos
sesenta hasta entrada la dcada d e los noventa, para mejorar su funcionamiento
utiemo. dejando de lado (salvo en excepciones que confirman la regla) su aplicacin a
lis relaciones de I# Administracin con ciudadanos y empresas.

E n e juicio de valor es compartido por el legixlador en la Ley 30 1992. de 26 de

noviembre, de Rgimen Jurdico d e las Administraciones Piblicas y del
Procedimiento Administrativo Com n (LRJ-PA C). cuando en la Exposicin de
motivos dice:

Las nuevas com entes de la ciencia d e la organizacin aportin un enfoque

dkiottal en cuanto mecanismo para garantizar la calidad y transparencia de la
ctacin administrativa, que configuran diferencias sustanciales entre los escenarios
e 1958 y 1992. lu Ley de Procedim iento Administrativo de 1958 pretendi
Bodemizar las arcanas maneras de la Administracin espaola, propugnando una
racionalizacin de los trabajos burocrticos y el em pleo de mquinas adecuadas con
sista a implantar una progresiva mecanizacin y automatismo en las ofcias pblicas,
siempre que el volumen de trabajo haga econmico el empleo de estos
pcixcdimientiK" Este planteamiento tan limitado ha dificultado el que la infor-
matizacin. soporte y tejido nervioso de las relaciones sociales y conm kas de
westra poca, haya tenido hasta ahora incidencia sustantivo en el procedimiento
 www.FreeLibros.me
SU AUPtTOKUlKKHtMTKA: UNEMPOCE HUenCO

administrativo por falta de reconocimiento formal de la validez d e documentas y

comunicaciones emitidos por dicha va. El extraordinario avance experimentado en
nuestras Administraciones Pblicas en la tecnificacin d e sus medios operativos, a
travs de su cada vez mayor parque informtica y telemtico, se ha limitado al
funcionamiento interno, sin correspondencia relevante con la produccin jurdica de tu
actividad relacionada con los ciudadanos L as tcnicas burocrticas formalus.
supuestamente garantistas. han caducado, por ms que a algunos les parezcas
inamovibles, y la Ley se abre decididamente a la tecnificacin y modernizacin de la
actuacin administrativa en su vertiente de produccin jurdica y a la adaptacifa
permanente al ritm o de las innovaciones tecnolgicas."

El presente captulo sobre la auditora informtica en la Administracin se centra

en analizar las consecuencias que se derivan para esta disciplina de la entrada en vigor
de la LRJ-PAC y de las disposiciones que la desarrollan. En particular, el Real
D ecreto 263/1996. de 16 de febrero, por el que se regula la utilizacin d e tcnicas
electrnicas, inform ticas y telem ticas (E IT ) por la A dm inistracin General d d
Estado.

Examinemos en primer lugar el tratamiento que reciben las T IC en la LRJ-PAC.

24.2. LAS TIC EN LA LRJ-PAC

Los dos preceptos esenciales pora comprender e l papel asignado a las TIC en 1
procedim iento administrativo por la Ley 30/1992 son el artculo 45 (Incorporacinde
medios tcnicos) y el 38 (Registros). Existen otros en los que se contienen mandilo*
que afectan a la utilizacin de las tcnicas E IT por porte de las Administracin
Pblicas. Se trata, principalmente, d e' los que se refieren al acceso a los registros y
archivos, a las comunicaciones y notificaciones, al derecho a n o presentar documentos
que ya se encuentran en poder de la Administracin actuante, a la validez y eficacia de
documentos y copias o a la Informatizacin de registros.

Comencemos por el A rtculo 4S que la Ley dedica a la Incorporacin de medien

tcnicos . En su primer apartado se recoge el siguiente mandato:

Las Administraciones impulsarn el em pleo y aplicacin de las tcnicas y

medios electrnicos, informticos y telemticos, para el desarrollo d e su actividad y d
ejercicio de mis competencias, c on las lim itaciones que a la utilizacin d e estos medios
establecen la Constitucin y las Leyes.

D e su lectura podemos extraer las siguientes conclusiones:

- Se trata de un mandato que afecta a todas las Administraciones a las que se

aplica la Ley: la General del Estado, las de las Com unidades Autnomas y las
Entidades que integran la Administracin Local.
 www.FreeLibros.me
mt* ________ CArtTIJU) M: AltMTOKlA INFORMTICA EN LA ADMINISTRACIN )

- No se refiere, com o seala L. O rtega Alvarez. slo a la utilizacin J e las

tcnicas y medios BIT para el funcionamiento inlem o (desarrollo d e su
actividad), sino tambin a las relaciones con los ciudadanos (ejercicio de sus
competencias).

- Se recuerda que el uso de los medios EIT se encuentra limitado por lo

establecido en la Constitucin (articulo 18.4) y las Ix y cs (principalmente la
LORTAD).

El segundo apartado del artculo presenta posiblemente un m ayor calado, ya que

im ita a los ciudadanos a relacionarse con las Administraciones Pblicas pura ejercer
sas derechos a travs de tcnicas y medios EIT, siempre que se satisfagan las
sfuientes condiciones:

- Cuando ello sea compatible con los medios tcnicos d e que dispongan las
Administraciones Pblicas. N os encontram os aqu, por tanto, ante un
problema de normalizacin.

- Cuando la relacin ciudadano-Administracin respete las garantas y

requisitos previstos en cada procedim iento. En otras palabras ms prxim as al
mundo de los sistemas de informacin, se trata de que la relacin ciudadano-
Administracin respete Ixs previsiones del Anlisis de Requisitos del Sistema.

Los apartados 3 y 4 d e l artculo 45 recogen determinados requisitos a los que la

Ley somete la utilizacin de tcnicas y medios EIT:

- As. el apartado 3. referido exclusivamente a los procedim ientos que ve

tramiten y terminen en soporte informtico, exige que quede garantizada la
identificacin y e l ejercicio de la competencia por el rgano que lo ejerce.
Nos encontramos en este caso ame un problema de autenticacin.

- El apartado 4. que se aplica slo a los programas y aplicaciones EIT que vayan
a ser utilizados por las Administraciones Pblicas pora el ejercicio de sus
potestades, exige que estas aplicaciones sean previamente aprobadas por el
rgano competente, el cual debe difundir pblicamente sus caractersticas.

Finalmente, el apartado 5 se dedica a los documentos electrnicos, estableciendo

tos requisitos para que dispongan de validez y eficacia, tanto los o rig in a l como las
copias. stos son los siguientes:

- Que quede garantizada su autenticidad, integridad y conservacin.

- En su caso, la recepcin por el interesado.
- El cumplimiento de las garantas y requisitos exigidos por la propia LRJ-PAC
u otras Leyes.
 www.FreeLibros.me
)5I Al'DHORlA INFORMTICA UN KSTOQCEPRCTICO__________________________ t m n

Ms adelante, en este mismo captulo, nos referiremos a cmo La Administraofa

General del Estado (una de las Administraciones afectadas por la Ley) ha regulado Ia
previsiones del artculo 45 mediante el Real Decreto 263/1996. de 16 dc febrero, por
el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por
la Administracin General del Estado.

24.3. LA INFORMATIZACIN DE REGISTROS

Los registros tradicionalmcntc han constituido la "puerta de entrada de lo

ciudadanos a la Administracin. En e l sistema rcgistral definido en la LRJ-PAC se
establece que los rganos administrativos deben llevar un registro general en el que
se har el correspondiente asiento d e todo escrito o comunicacin que sea presntalo o
que se reciba en cualquier Unidad administrativa propia. Tambin se anotarn en el
mismo la salida de los escritos y comunicaciones oficiales dirigidas a otros rganos o
particulares. Hasta aqu todo resulta bastante convencional. La novedad
fundamental introducida por la LRJ-PAC coasiste en la obligacia, recogida en d
artculo 38.3. dc instalar en soporte informtico todos los registros de las
Administraciones Pblicas, si bien en la forma y plazos que determine el Gobierno,
rganos de G obierno de las Com unidades Autnomas y Entidades que integran la
Administracin Local, en funcin del grado de desarrollo d c los medios tcnicos de
que dispongan (Disposicin adicional segunda).

lista instalacin e n soporte informtico es una condicin necesaria para que los
registros puedan llevar a cabo lo que podemos denominar funciones regstrales
modernas, que vienen a aftadirsc a las bsicas del sistema administrativo registra!
cspaAol. constituidas por:

- Sellado de la documentacin d c entrada como medida de constancia de la

entrega". Se entrega al ciudadano una copia sellada d c su escrito.

- Anotacin del apunte en el Libro de registro.

- Si la entrada en el registro est asociada al pago dc una cantidad en concepto

de impuesto, precio o lasa, se vincula la anotacin a la materializacin del
abono.

Entre las funciones ms avanzadas que pueden encomendarse a los registros

informatizados figuran las siguientes:

- Garanta de la identidad entre el original entregado y la copia sellada".

- Archivo de seguridad, ante posibles prdidas de la solicitud, escrito o

comunicacin dirigida por el ciudadano a la Administracin.
 www.FreeLibros.me
CArtlVLON ACTHTOKlA ISTOfeMTKAEX IA APMINISIKACIN W

- Publicidad registrar, que ofrecc el acceso a los documentos. as como la

posibilidad de seftalar a un registro como depositario de una informacin
previamente entregada a la Administracin, para facilitar el ejercicio y la
extensin del derecho reconocido en la Ley (Art. 35 f de la LRJ-PAC) a no
presentar los documentos que y a se encuentren en poder de la Administracin
actuante.

- Integracin de registros: generales y auxiliares, de distinto* rganos o aun de

distintas administraciones.

- Admisibilidad de comunicaciones a distancia, usando medios com o el correo

electrnico. EDI o el telefax.

24.4. LAS PREVISIONES DEL REAL DECRETO 263/1996.

DE 16 DE FEBRERO, POR EL QUE S E REGULA LA
UTILIZACIN DE LAS TCNICAS E IT POR LA
ADMINISTRACIN GENERAL DEL ESTADO

El objetivo de esta norma e s delimitar en el m bito de la Administracin General

del Estado las garantas, requisitos y supuestos d e utilizacin de las tcnicas ET. Para
tilo el Real Decrcio aborda el desarrollo del artculo 45 d e la LRJ-PAC. al que ya nos
hemos referido anteriormente, y que en el prembulo recibe la consideracin de
verdadera piedra angular del proceso d e informacin y validacin de dichas tcnicas
[EIT] en la produccin jurdica d e la Administracin Pblica as como en sus
reciones con los ciudadanos".

El Real Decreto 263/1996 se estructura del siguiente modo:

- En primer lugar delimila su objeto y mbito de referencia (Art. I). y ofrece

unas definiciones de conceptos clave en relacin con la utilizacin de las
tcnicas EIT: .soporte, medio, aplicacin y documento (Art. 3).

- A continuacin establece derechos y garantas generales en la utilizacin de

soportes, medios y aplicaciones EIT.

Ms adelante trata una. serie de supuestos concretos en los que se exige un grado
6t proteccin ms elevado (Arts. 5 a 8) y que se refieren a:

- Programas y aplicaciones para el ejercid o d e potestades.

- Comunicaciones.
- Emisin, copia y alm acenamiento de documentos automatizados.
 www.FreeLibros.me
55 AUDITCltf* W O O U lK A . Wi IM OOlt, WfTIfO___________________________ tu .

Finalm ente, el Real Decreto recoge en su Capitulo III diversos preceptos de

A ccin administrativa, pora concluir con una serie d e disposiciones adicionales,
transitoria, derogatoria y final.

Desde la perspectiva de la auditora informtica, u no d e lo* aspecto esenciales es

el de la identificacin de los requisito de seguridad, normalizacin y conservacin
recogidos en el texto del Real Docrcto. Kn este entorno, la auditora debe tener con
uno de sus puntos principales d e atencin el cumplimiento d e estos requisitos.

24.5. IDENTIFICACIN DE LOS REQUISITOS DE

SEGURIDAD. NORMALIZACIN Y CONSERVACIN EN
EL TEXTO DEL REAL DECRETO 263/1996

Seguidamente se examinan de manera sistemtica estos requisitos, presentando

en paralelo el texto de un determinado artculo con tos requisitos en I contenidos,
todo ello de acuerdo con el anlisis efectuado por el Comit Tcnico de Seguridad de
tos Sistemas de Informacin y Tratamiento Automatizado d e Datos personales
(SSITAD) del Consejo Superior d e Informtica.

24.5.1. G a ra n ta s d e s e g u r id a d d e s o p o rte s , m e d io s y
a p lic a c io n e s

Art.4

S. Las medida* d e seguridad aplicadas a los sopones, medias y aplicacion

utilizados por los rganos de la Administracin G eneral del Estado y sus entidades i t
derecho pblico vinculadas o dependientes debern garantizar.

a l La restriccin de su utilizacin y d e l acceso a los datos e informaciones ai

ellos contenidos a las personas autorizadas.

b) La prevencin de alteraciones o prdidas d e los datos e informaciones.

c) U i proteccin de lo s procesos informticos fren te a manipulaciones no

autorizadas.

4. Las especificaciones tcnicas de lo s sopones, medios y aplicaciones utilizad

en e l m bito de la Administracin G eneral d e l Estado en sus relaciones externas, y
cuando afecten a derechos e intereses d e los ciudadanos debern ser conformes, en i*
caso, a las norm as nacionales e internacionales que sean exigibles.
 www.FreeLibros.me
C A H m o a a i im to ru istotm A ncA en i a admim st\oc>n <?

Requisito:

Identificacin De pervona autorizadas

Control de A ccesos Restriccin de acceso a personas autorizadas
Calidad Prevencin d e alteraciones o prdida de los datos
Integridad Proteccin de los procesos informticos frente a manipu
laciones no autorizadas
Compatibilidad Conformidad coa normas nacionales e internacionales

24.5.2. E m isin d e d o c u m e n to s : p ro c e d im ie n to s para

g a ra n tiz a r la valid ez d e lo s m e d io s; integridad,
c o n s e rv a c i n , id e n tid a d d el a u to r y a u te n tic id a d
d e la v o lu n tad

A rt6 .l

Los documentos emitidos p o r los rganos y entidades d e l mbito d e la

Administracin General del Estado y p o r los particulares en sus relaciones con
Ruellos. que hayan sido producidos p o r medios electrnicos, informticos y
flemticos en soportes de cualquier naturaleza sern vlidos siempre q u e quede
acreditada su integridad, conservacin y la identidad del autor, a s i como la
autenticidad de su voluntad, mediante la constancia de cdigos u otros sistemas de
identificacin.

En los producidos p o r los rganos d e la Adm inistracin Genera' d e l Estado o

per sus entidades vinculadas o dependientes, dichos cdigos o sisiemas estarn
protegidos de form a que Unicamente puedan se r utilizados p o r las personas
M atizadas p o r razn de sus competencias o funciones.

Requisitos:

IX' em isin de docum entos

Integridad Del documento

Conservacin En Registro, de la emisin del documento
Identificacin Del autor, dentro del documento
Autenticacin Del autor, dentro del documento

De autenticidad de la voluntad

Identificacin Del autor, en Registro

Autenticacin Del autor, en Registro
 www.FreeLibros.me

24.5.3. V alidez d e la s c o p ia s : g a ra n ta d e s u autenticidad,

in te g rid a d y c o n s e rv a c i n

A rt. 6.2:

Las copias dc documentos originales almacenados po r medios o en opona

electrnicos, informticos o telemticos, expedidas p o r lo s rganos de la
Administracin G eneral del Estado o p o r sus entidades vinctdadas o dependientes,
tendrn la misma validez y eficacia del documento original siempre que queJt
garantizada su autenticidad, integridad y conservacin.

Requisito:

A utenticacin Del autor d e la copia, dentro d e la c o p a

Integridad Del documento original, dentro dc la ropia
Conservacin fin Registro, de la emisin de la copia

24.5.4. G a ran ta d e re alizac i n d e la s c o m u n ic a c io n e s

A rt. 7.1

La transm isin o recepcin de comunicaciones entre .-ganof o entidades H

m bito de la Administracin G eneral d e l Estado o entre stos y cualquier persona
fsica o jurdica podr realizarse a travs d e sopones, nedios y aplicaciones
informticos, electrnicos y telemticos, siem pre que cumplan los sigmeMet
requisitos:

a) La garanta de su disponibilidad y acceso en las condiciones que en caJa

c aso se establezcan.

b) La existencia d e compatibilidad entre los utilizados p o r e l emisor y el

destinatario que perm ita tcnicamente las comunicaciones entre amht.
irtxtuyxniUf tu utiliijM UWi dc *tkli'xtf* y fuimatv* > i/k ^ u j tic ic&itftv
e stableados p or la Adm inistracin G eneral d e l Estado

c) La existencia de m edidas d e seguridad tendentes a evitar la interceptacin y

alteracin de las comunicaciones, a s com o los acceso: n o autorizados.

Requisito*:

D isponibilidad Dc medios para dar continuidad y calidad a la comunicacita

Identificacin fin Registro, sealando condiciones f c acceso para el sujeto
identificado
 www.FreeLibros.me
CAPITULOJ4 Al'DITOKlA INFORMTICA EN LA ADMINISTKAON W

Compatibilidad T anto d e cdigos y formatos o disertos como de los medios

utilizados
Confidencialidad Del contenido de la comunicacin, inutiliza la
interceptacin
Integridad Del contenido d e la comunicacin, detecta la alteracin
Control de Accesos R echa/a la* identificaciones no registradas

24.5.5. V alidez d e c o m u n ic a c io n e s y n o tific a c io n e s a los

c iu d a d a n o s ; c o n s ta n c ia d e tra n s m is i n y recepcin,
e s ta m p a c i n d e fe c h a s y c o n te n id o n teg ro , identi
fica ci n fid ed ig n a d e re m iten te y d e s tin a ta rio

Alt. 7.2

Las comunicaciones y notificaciones efectuadas en los soportes o a travs de los

medios y aplicaciones referidos en e l apartado anterior sern vlidas siempre que:

a) Exista constancia de la transmisin y recepcin d e sus fechas y del contenido

ntegro de las comunicaciones.
b) Se identifique fidedignam ente a l remitente y a l destinatario de la
comunicacin.
c En los supuestos de comunicaciones y notificaciones dirigidas a particulares,
que stos hayan sealado e l soporte, m edio o aplicacin como preferente para
sus comunicaciones con la Administracin G eneral del Estado en cualquier
mom ento de la iniciacin o tramitacin d e l procedim iento o del desarrollo de
la actuacin administrati\xL
Requisitos:
Certificacin En Registro, dando constancia d e la transmisin y recepcin.
con sus fechas y del contenido ntegro d e la notificacin
Autenticacin De ambos corresponsales, durante el proceso d e comunicacin
Compatibilidad EJ soporte, medio o aplicacin sealado com o preferente ha de
ser compatible con el/los de la Administracin General del
Estado

24.5.6. C o m u n ic a c io n e s p o r m e d io s p re fe re n te s del usuario;

c o m u n ic a c i n d e la fo rm a y c d ig o d e a c c e s o s a su s
s is te m a s d e c o m u n ic a c i n

Art. 7.3

En las actuaciones o procedim ientos que se desarrollen ntegramente en soportet

(irnicos, informticos y telemticos, en los que se produzcan comunicaciones
 www.FreeLibros.me
m AunnonU inkjwmAuca tN e n fo q c t pAcuco

caracterizadas po r su regularidad, nm ero y i'olumen entre rganos y entidades del

m bito de la Administracin G eneral del Estado y determinadas personas fsicas o
jurdicas, stas comunicarn la fo rm a y cdigo d e accesos a sus sistemas de
comunicacin. Dichos sistemas se entendern sealados con carcter general como
preferentes para la recepcin y transmisin de comunicaciones y notificaciones en las
actuaciones a las que se refiere este apartado.

Requisito:

Identificacin Del cdigo de acceso al sistema de comunicacin del uuurio

Compatibilidad De la forma del acceso, con lo* medien disponible por b
Administracin General del Estado

24.5.7. V alidez d e fe c h a s d e n o tificac i n p a r a c m p u to de

p laz o s; a n o ta c i n e n lo s re g is tro s g e n e ra le s o
au x ilia re s a q u e h a c e re fe re n c ia el artc u lo 38 d e la
LRJ-PAC

Art. 7.4
Las fechas de transmisin y recepcin acreditadas en las comunicaciones
reseadas en los apartados anteriores sern \dlidas a efectos d e cmputo de plazos y
trminos, a cuyos efectos se anotarn en los registros generales o auxiliares a que
hace referencia e l artculo 3 8 d e la Ijey 30/1992. de Rgimen Jurdico de las
Administraciones Pblicas y del Procedim iento A d m inistratno Comn.

A estos efectos los Sistemas d e Informacin que integren procesos d e transmisin

y recepcin podrn constituirse en registros auxiliares cuando recojan todos los datos
a que hace referencia e l prrafo segundo d e l apartado 3 del artculo 38 d e la Ley
30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento
Administrativo Comn, y se tenga acceso a ellos desde las unidades encargadas de los
registros, generales correspondientes.

Requisitos:

Certificacin En Registro Auxiliar, de las fechas comunicadas al usuario

Control de Accesos AI Registro Auxiliar, pora asegurar que solamente acceda
al mismo unidades de Registro General
 www.FreeLibros.me

24.5.8. Conservacin de documentos; medidas de seguridad

que garanticen la identidad e integridad de la
informacin necesaria para reproducirlos

A r1 .8 J

Los documentos de la Administracin General del Estado y de sus entidades de

derecho pblico vinculadas o de/tendientes que contengan actos adm inistrarnos que
afecten a derechos o intereses de los particulares y hayan sido producidos mediante
tcnicas electrnicas, informticas o telemticas podrn consentirse en soportes de
esta naturaleza, en e l mismo form a to a partir del que se origin e l documento o en
otro cualquiera que asegure la identidad e integridad de la informacin necesaria
pura reproducirlo.

Requisitos:

Identificacin En el Rcgittro. del documento original

Certificacin En el Registro, de la informacin que segura la integridad del
documento original
Integridad De la informacin c ap a / de reproducirlo y contrastarlo con la
informacin de ixxan racin

24.5.9. Acceso a documentos almacenados; disposiciones

del artculo 37 de la Ley 30/1992, y, en su caso, de la
Ley Orgnica 5/1992. Normas de desarrollo

Art.lU
E l acceso a los documentos almacenados por medios o en soportes electrnicos,
informticos o telemticos se regir p o r lo dispuesto en e l artculo 3 7 d e la Ley
W I9 9 2 . de Rgimen Jurdico de las Administraciones Pblicas y del Procedim iento
Administrativo Comn, y. en su caso, p o r la Ley Orgnica 5/1992, de Regulacin del
tratamiento autom atizado de los datos d e carcter personal, a s como en sus
correspondientes normas de desarrollo.

Requisitos:

Control de A ccesos A l Registro, doode se encuentre identificado el documento

original
 www.FreeLibros.me
VO AUDUOKlA IN'fOKMTH

24.5.10. Almacenamiento de documentos; medidas de

seguridad que garanticen su integridad, autenticidad,
calidad, proteccin y conservacin

Art. 8.4

Los m edios o sopones en que se almacenen documentos debern contar con

medidas de seguridad que garanticen la integridad, autenticidad, calidad, proteccin
y consenacin de los documentos alm acenados. En particular, asegurarn la
identificacin de los usuarios y e l control de accesos.

Requisito*:

Integridad De la informacin contenida en el soporte

Autenticidad Del soporte y de mi contenido
Calidad Del soporte
Conservacin Del soporte, del Registro del soporte, y del proceso que
recupera la informacin del soporte
Identificacin En el Registro del soporte, del autor del soporte, y de
quienes pueden acceder al soporte
Control de Accesos Rechaza las identificaciones no registradas

De manera resum ida. la situacin d e conjunto e s la que se recoge en el siguiente

cuadro resumen de requisitos de seguridad, normalizacin y conservacin de las
aplicaciones c el RD 263/1996.

/. Confidencialidad 5. Control de accesos 8. C onsen acin

2. Autenticacin 6. Identificacin 9. Compatibilidad
3. Integridad 7. Certificacin 10. Calidad
4. Disponibilidad
 www.FreeLibros.me
-ArtUilOM M (Bt'iM . ISK .tM M i'M N IA AJ>MtNnnmVlS W

21.6. CON CLUSION ES SOBRE EL PAPEL DE LA AUDITORIA

INFORM TICA EN LA ADMINISTRACIN
ELEC TRN IC A

El concepto de "Adm inistracin electrnica". Administracin virtual o d e la

Adrmnistracin en la Sociedad de la Informacin ha tenido en los ltimo* artos una
itlevancia creciente u n to en medios profesionales com o para el pblico en general.

En las Actas de la 30* Conferencia del Consejo Internacional sobre las

Tecaologias de la Informacin e n Las Administraciones del Estado (ICA). celebrado en
Ktubre de 1996 en Budapest, se recoge la siguiente definicin d e Administracin
electrnica:

Es la posibilidad de que los ciudadanos accedan a lo servicios administrativos

de manera electrnica. 24 horas al da, 7 das a la semana, para la obtencin de
informacin.

Adems, es la posibilidad de efectuar trmites d e manera electrnica con los

ciudadanos, con otros rganos o Administraciones y con la empresas.

Tambin consiste en reducir y sustituir el papeleo gracias a la extensin del

correo electrnico.

Tambin se identifican los mecanismos a travs d e k * cuales se favorece la

otroduccin de la Administracin electrnica:

El principal es U demanda de los ciudadanos d e servicios sim ilares a los del

sector privado.
 www.FreeLibros.me
y. AUDfTOttM IMOK-MAtK'A UN BNKXWt. PRCTICO am

Ix importantes ahorros en personal y en costes de mantenimiento.

sim plificacin de funcione* y procesos.
La resolucin de problemas ms rpida con sistemas en linca que a uass de
correspondencia escrita.
La prevencin del fraude, mediante una mejor identificacin y audiUbiti&d
de las transacciones electrnicas.
La apertura de nuevas oportunidades para los usuarios. Pueden hacerlo por
telfono o a travs de Internet en lugar d e desplazndose a una oficina.
lu facilidad de uso.

En otras palabras, la estrategia para poner en prctica la Administracin

electrnica consiste en proporcionar servicios mediante tcnicas EIT. con eficacia en
el coste y accesibilidad para los ciudadanos, de acuerdo, entre otros, con los siguientes
principios:

- EUccin del medio como preferente, no exclusivo.

Confianza en que la informacin recogida d e ciudadanos y empresas ser

protegida de modo que no pueda ser accedida incorrectamente o manipulada.

- A cceiibituiad a los servicios cmo, dnde y cundo el cliente los requiera.

- Difusin de La informacin, siempre que sta n o deba ser protegida per

razones de privacidad o de confidencialidad comercial.

- Eficacia en la prestacin del servicio, sim plificando trm ites y reduciendo el

tiempo de respuesta.

- Racionalizacin, evitando en lo posible la duplicacin de esfuerzos y recursos

que puedan ser compartidos.

En este contexto de la Administracin electrnica, y a hemos visto como en

EspaAa, en el caso de la Administracin General del Estado, se dispone de un marco
legal que no slo permite, sino que impulsa, la utilizacin de las tcnicas En* para Us
relaciones con los ciudadanos. De este marco jurdico se deduce que existen unos
requisitos concretos de seguridad, normalizacin y comunicacin para hacei realidad
este nuevo tipo de Administracin. La Auditora informtica en la Administracin
tiene ame si como una tarca especialmente relevante la de comprobar el cumplimiento
de tos requisitos en aplicaciones o sistemas de informacin concretos, y ms es
particular, en aquellos sistemas, como los de informatizacin de registros, orientados a
facilitar las relaciones de ciudadanos y empresas con las A dministraciones.
 www.FreeLibros.me

24.7. C U E S T IO N E S D E R E P A S O

1. Qu se expone en la Ley de Rgimen Jurdico de I* Administraciones

Pblicas respecto a la utilizacin de las T IC en la Administracin?

2. Cules son los problem as de normalizacin que influyen en la relacin de

los ciudad w a t con U s Administraciones Pblicas?

3. Cules son los requisitos d e validez y eficacia de los documentos

electrnicos?

4. Cules son los principales aspectos a auditar en la informatizacin d e un

registro?

5. Cul e s e l objetivo del Real Decreto 263/1996?

6. Cules son kw requisitos de seguridad en el texto del Real Decreto

263/1996?

7. Qu tipo de requisitos impone la garanta de realizacin de las

comunicaciones?

8. Qu se especifica en cuanto acceso a documentos alm acenados en la Ley

3<VI992 y en la Ley O rgnica 5/1992?

9. Defina, en qu consiste la administracin electrnica?

10. Qu mecanismos empleara para favorecer la introduccin de la

Administracin electrnica?
 www.FreeLibros.me

CA PTU LO 25

A U D ITO R A
IN FO R M T IC A EN LA S PYV1ES

Carlos M. Fernndez Snchez

25.1. PREMBULO

25.1.1. Las PYM ES y las tecnologas de la Informacin

F.I presente capitulo pretende ser una contribucin que se sume al esfuerzo por
seguir una mayor rentabilidad de lo* sistema* de Informacin en las em presas y
os concretan tente en las denominada* PYMES (Pequeas y Mediana* Empresa*).
La importancia de las PYMES viene dada ante todo por su nmero - m is de dos
mitones de empresa* que conforman el tejido em presarial- a s como por su
paeacialidad. ya que constituyen la base del desarrollo em presarial, siendo una fuente
4e generacin del 170% del empleo total en Espaa. Si analizam os la situacin
(apretara) e n los pases iberoamericano* integrados en la OCDE comprobamos que
b situacin relevante de las PYMES es muy parecida a la espartla, con una
aportacin al PIB del 40% al 50%. A la vista d e estos datos, ex un hecho por fin
uimdo por todos los estam entos pblicos y privados de la sociedad actual la
necesidad de reformar la c o m p etiv id ad y rentabilidad de la* PYMES favoreciendo su
labilidad y la que stas aportan a la economa. Para contribuir a ello, el primer paso
abordar su problemtica interna: su propio funcionamiento: y dentro del mismo, los
edemas de informacin que han d e permitir la gestin y seguimiento de las
principales variables del negocio, facilitando la correcta toma d e decisiones,
otamizarxlo riesgos, y consiguiendo de este m odo ampliar su competitividad en un
aereado cada vez ms abierto y liberalizado.
 www.FreeLibros.me
V* M tHTOftlA IVKKMATH A IV tNHXJlli PRACTICO

Es asim ismo un hecho perfectamente demostrado que e l Control Interno

Informtico y su auditora pcrnute gestionar y rentabili/ar los sistemas de informacin
tic la forma ms eficiente, optim izando, en suma, resultados Por este hecho hemos
credo de inters abordar en el presente captulo la exposicin de este mtodo de
AUDITORA INFORMTICA expuesto de forma breve y directa eti la conviccin de
que. ponindolo en prctica, se lograr que los Sistemas d e Informacin sean fiables,
exactos, y ante todo, den el fruto que los empresarios esperan d e ellos.

25.1.2.Metodologa de la Auditora Informtica

h la actualidad existen tres tipos de metodologas de Auditora Informtica:

- R O A. (RISK ORIENTED APPROACH). disertada por Arthur Andersen.

- CHECKLIST o cuestionarios.
AUDITORA DE PRODUCTOS (por ejemplo. Red Local Windows NT:
sistemas de Gestin de base de Dalos DB2: Paquete de segundad RACF, c.|.

En s las t m metodologas estn basadas en la m inimi/acin d e los riesgos, que

se conseguir en funcin de que existan los controles y de que stos funcionen. En
consecuencia, e l auditor deber revisar estos controles y su funcionamiento.

De estas tres metodologas, la ms adecuada a la Auditora de las PYMES es a

nuestro juicio la de CHECKLIST. por ser la de ms fcil utilizacin.

25.2. INTRODUCCIN

25.2.1.En qu consiste la gua de autoevaluacin?

E sta gua de autoevaluacin pretende ser un sistem a sencillo y fiable de conocer

la situacin general del sistema de informacin de una empresa, as como definir el
estado del control de dichos sistemas tomando como control la definicin de U
ISACA (Information System, Audit and Control Association).

Lw mtodos que abarquen las polticas, procedim ientos, prcticas, estndares y

estructuras organizativas que aseguren la adecuacin de la gestin d e los activos
informticos y la fiabilidad de las actividades de los sistemas d e informacin."

N o se pretende con la misma eliminar las funciones del auditor (interno o

externo) informtico, sino que el responsable d e los sistemas de informacin, el
Gerente o Director de un departamento o de la misma empresa pueda hacerse una idea
 www.FreeLibros.me
CAHTUIOJS AUDITORIA IMORStATtCA liK LAS KYMLS W>

suficientemenie aproximada del estado de mis sistem a', podiendo abordar, en caso
necesario, un esiudio m is intenso o especializado de los mismo. Resulta, pues, un
enfoque de Auditoria Interna tomando como base que la informacin es un activo ms
de la empresa y como Auditoria Informtica:

"Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema

informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva
eficazmente los fines de la organizacin y utiliza eficientem ente los recursos d e este
modo, as como sustenta y confirma la consecucin de los objetivos tradicionales del
auditor.

Asimismo, con esta gua pretendemos que el usuario o el Auditor pueda

comprobar por si mismo la fiabilidad y consistencia d e sus sistemas mediante una
metodologa que no le obligue a tener amplios conocimientos de informtica ni de
Auditoria propiamente dichos.

25.2.2. A quin va dirigida?

Tal y como el ttulo indica, esta gua est orientada a las Pequeas y Medianas
empresas, y dentro de las mismas, a los responsables de los sistemas d e informacin,
gerentes, directivo o auditores.

Consideram os que esta gua puede ser d e gran utilidad a la hora de examinar y
potenciar los sistemas de informacin y. en consecuencia, para mejorar
substancial mente la gextin y control de la propia empresa

1:1 auditor podra ser un financiero con conocimientos de informtica o un auditor

eform tico jnior.

25.2.3.Conocimientos necesarios
Segn algunos ouiorc-, no rCMilta necesario tener conocimicnto informtico
para realizar una auditoria informtica mediante la tcnica utilizada en esta guia
(CHECKLIST). N o obstante, creemos necesario un mnimo de form acin especfica
pira, al menos, saber qu e s lo que se quiere analizar as com o algunos conceptos no
o resulten excesivamente extraos. Fundamentalmente esos conocimientos sern de
la ndole de:

- Minicomputador.
- Red Local.
- PC.
 www.FreeLibros.me
ito AHOfTWlA INTOKMnCA: UN EMOQt^ PRACTICO

- Perifricos.
- Software de Base.
- Eficacia de un servicio informtica.
Seguridad Lgica.
- Seguridad Fsica.
- Ele.

Asimismo ser necesario conocer en profundidad el organismo o rea a evaluar;

su organizacin, composicin y caractersticas principales, as com o los medios de que
se disponen: plantilla, datos tcnicos, etc. Por supuesto e s deseable que se tengm
unos conocim ientos informticos m s exhaustivos, pues pueden ayudar a U
ponderacin de los controles, pero insistimos en que no son indispensables.

25.2.4. Entornos de aplicacin

Esta gua es enfocada hacia tres grandes entornos que son:

- M inicomputadorcs c informtica distribuida.

- Redes d e Area Local.
- PCs.

Dicho enfoque es, a nuestro entender, el ms lgico, puesto que son los citad
entornos los que se utilizan (quiz en casos determinados con alguna caracterstica
especial) en los crculos de la pequea y mediana empresa.

25.2.5. Metodologa utilizada

La metodologa utilizada es la Evaluacin de Riesgos (ROA Risk Oriented

Approach) recomendada por ISACA (Information Syxtem. Audit and Control
Association. Asociacin Internacional de Auditores de Sistemas de Informacin).

Esta evaluacin de Riesgos se desarrolla sobre determinadas reas de aplicacin y

bajo tcnicas de Checklist (Cuestionarios) adaptados a cada enlom o especfico: deber
tenerse en cuenta que determinados controles se repetirn en diversas reas de nesgo.
Esto es debido a que dichos controles tienen incidencia independiente en cada u n y,
que se pretende poder analizar cada rea independientemente, es necesaria dicha
repeticin. Asim ismo los controles generales y algunos controles de caractersticas
especiales, como pueden ser los de bases de datos, se aplicarn teniendo en cuenta las
particularidades de cada entorno.
 www.FreeLibros.me
CaHTVIX 21 Al OrtOHA INKMtMTICA V i LAS PYMBS >71

25.3. UTILIZACIN DE LA GUA

Tal y com o hemos apuntado anteriormente, la autogua est dividida en varias

reas de riesgo, concretamente seis, que son:

1. Riesgo en la continuidad del proceso.

2. Riesgo en la eficacia del servicio.
3. Riesgo en la eficiencia del servicio.
4. Riesgos econmicos directos.
5. Riesgos de la seguridad lgica.
6. Riesgos de la seguridad fsica.

25.3.1. Fases de la autoevaluacin

Para aclarar un poco el enfoque vamos a tratar d e explicar someramente el

significado de cada uno de ellos, teniendo en cuenta que no existe una separacin
absoluta entre lo* mismos, sino que frecuentemente se solapan e incluso determinados
riesgos conllevan otros que se han evaluado en diferente irea. No obstante creemos
que existe una cierta especificidad en los ooairotes a llevar a cabo, adems, se ha
pretendido orientar el anlisis a unas reas lo ms prximas a la empresa y sus
interese de forma que el directivo o empresario pueda hacer una evaluacin directa
tio descartar que posteriormente se pueda cootar con la interpretacin posterior ms
exhaustiva de un analista o auditor informtico.

Riesgo en la continuid ad del proceso

Son aquellos nesgos de situaciones que pudieran afectar a la realizacin del

trabajo informtico o incluso que pudieran llegar a paralizarlo, y. por ende, llegar a
perjudicar gravemente a la empresa o incluso tambin a paralizarla. Se deber hacer
especial hincapi en el anlisis estricto d e estos riesgos puesto que. ti bien otros
podran afectar relativamente a la empresa o bien causarle perjuicios d e diverso tipo,
stos podran ocasionar un verdadero desastre. No pretendemos ser alarmistas y. por
mipuesto, no todos los riesgos analizados llevan a paralizar la empresa, pero insistimos
en tener muy en cuenta el anlisis exhaustivo de estos riesgos.

Riesgos e n la eficacia del s o n id o in fo rm tica

Entenderemos com o eficacia del servicio la realizacin de los trabajos

encomendados. A s pues, los riesgos en la eficacia sern aquellos que alteren dicha
realizacin o que afecten a la exactitud d e los resultados ofrecidos por el servicio
informtico.
 www.FreeLibros.me

Riesgo en la eficiencia dd servido informtico

Kmcnderemos com o eficiencia del servicio la mejor b rm a d e realizar los

procesos o trabajos. ya sea a nivel econmico o tcnico, pretendiendo con el anlisis
de cmos riesgos mejorar la calidad d e servicio. Hay que n u il ir en este aspecto que
determinados controles podran resultar una mejora considerable de la eficiencia del
servicio pero igualmente podran resultar econmicamente poco rentables sobre tota
para pequcftas empresas La valoracin de dichos controles deber ser analizad* por
los responsables de la empresa en cuya m ano estar la decisin de aplicacin de tos
mismos.

Riesgos econm icos directos

bn cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos

directas inadecuados, gastos varios que no deberan producirse, e incluso aquellos
gastos derivados de acciones ilegales con o sin conscntim icno de la empresa que
pudieran transgredir la normativa de la empresa o las leyes vigerle (LORTAD).

Riesgos de la se g uridad lgica

Com o nesg as en segundad lgica entenderemos lodos aquellos que posibilites

accesos no autorizados a la informacin mecanizada medame tic nicas informticas o
d e otros tipos. Incluiremos igualm ente aquellas inherentes a transmisiones pese a que
quiz en determinados mbitos de aplicacin podran constituir un rea independenle
pero que se anexan con el fin de compactar el sistema d e anlisis

Riesgos de lu se guridad fsica

I-Os riesgos en cuanto a seguridad fsica comprendern lotks aquello que acten
sobre el deterioro o apropiacin de elementos de informacin d e una forma meramente
fsica.

Dadas esta reas d e riesgos, el usuario podr valorar cada uaa

independientemente egiin sus necesidades. Aun as. se consideran como ms
importante, y casi podramos asegurar que imprescindibles, las dos primeras:

- Riesgo en la continuidad del proceso

- Riesgo en la eficacia del servicio

por lo que cualquier anlisis debera ser comenzado con las misnas.
 www.FreeLibros.me
C A rtm u m auditor !* p>KMAncA es las i -vm i .n st

T odas estas reas U n incluidas cn cada mbito de aplicacin de acuerdo con su

especificidad segn la divisin que dimos al principio de minicompuudorcs. redes
ixales y PCs.

25.3.2. V a lo r a c i n d e r e s u l t a d o s

La autogua se com pone de una serie de cuestionarios d e con:rol. Dichos

cuestionarios podrn ser contestados mediante dos sistemas indicados cn los mismos:

En el primer sistema se responder con S N O o N/A (NO APLICABLE si la

respuesta no lo fuera por cualquier causa). Estos cuestionarios de respuesta directa
tendrn un valor numrico de I a 10 anexo a la preg u n u que habr q te poner en el
ligar de la respuesu.

1
CONTROLES S NO N/A

la instalacin equipos de continuidad en

icaso de cortes de energia como puede ser los 7 4
imlrmas <le alineacin inintmumpuo?

En el caso de que se dispusiera de UPS (Sistema de Alimentacin Interrumpida),

te pondra cn la casilla del SI el valor 7. en caso contrario pondramos d valor 4 en la
casilla del NO. 1.a diferencia d e valoracin puede estar determ inula porque la
exicncia se considera una mejora susuncial. sin embargo, la no existencia podra ser
de escasa importancia.

En el segundo sistema no existir un nmero gua de ponderacin y ser el propio

rnrio quien deber dar una valoracin a la respuesta. G eneralmente en estos casos
b i controles comenzarn con la propuesta EVALE... y la valoracin que habr que
ir estar anexada a la pregunta con los valores mnimos y mximo: por ejemplo:

CONTROLES .SI NO _ N /A

!Evale la carga de trabajo ea poca alca de

fnxev) (Ponga el resultado en la cabilla no) 1-30.
4
Como habr observado, u m b in se le indicar cn qu casilla deber incluir el
resultado de su ponderacin. Dicha ponderacin se podra obtener, y todo el ca<o de
 www.FreeLibros.me
574 AUDfTOKlA INFOKMTKA- US WCTOQWSfKACIKO___________________________ t h w

la pregunta del ejemplo, medame el nm ero de horas extras del personal, hora de
trabajo dc los equipos, o simplemente mediarne observacin personal en los casos qa
fuera posible. Una v e / finalizado el cuestionario se sumarn los valores dc la cavilla
S y se restarn los del NO . lo que iwvs dar un valor que podremos comparar con lo
estndares del cuestionario (que el usuario habr valorado en un principio).

Por ltim o existirn algunas cuestiones que no tengan valoracin, sino que ira
acompaadas dc un asterisco. Estos controles son considerados de alto riesgo, y por
tanto indispensables. La idea es que un sistema sin estos controles podra abocar al
desastre informtico y en algunos casos al desastre de la empresa. En ocasiones no st
da la debida importancia a los mismos y solamente se ponderan en lo que valen al
ocurrir el problema. Por tanto insistimos: estos controles debern tenerse taoy en
cuenta a la hora dc realizar la evaluacin y. e n caso dc inexistencia, dar primada a ni
implantacin.

25.4. MINICOM PUTADORES E INFORM TICA DISTRIBUIDA.

RIESGO EN LA EFICACIA D EL SERVICIO
INFORM TICO

CONTROLES Si NO N/A
Existen planes a largo plazo para el departamento de informtica.
Valore la conexin de esos planes con los planes generales de la
empresa.
Cubren los piares del D.l. los objetivo a largo plazo dc la empresa,
valrelo.
Existen planes a largo pia/o pira el departamento de informtica.
Valore la conexin de esos planes con los planes generales de la

Cubren los planes del D.l. k objetivos a cono plazo de la empresa,

valrelo.
Existe un comat dc planificacin o direccin del departamento de
informtica.
Ducho comit est compuesto por directivos de departamentos de

Existe en dKho comit algn miembro con conocimientos

informticos exhaustivos.
El comit realiza algn tipo de estudio para analizar la coherencia de
su departamento de informacin con los avances tecnolgicos.
 www.FreeLibros.me
CArtU XO AllDTORlA DJORUTICA BN I.AS PYMtS STS

CONTROLES S NO N/A
Valore U celeridad en U implantacin de las recomendaciones del
comit informtico
Qa importancia le asigna La direccin de la empresa al comit/
direccin de informtica
Valore la coagrucrxia entre lo* plan a largo y corto plazo del 0 1.
Sea adecuados los recxirsos asignado* al D.I. para cumplir con los
cbptivos a corto plazo
Exisie una adecuada tia de comunicacin y control de cumplimiento
dc objetivo a corto y largo plazo por parte de la direoesft.
-
Valore L> precisin en el cumplimiento de los planes a corto plazo del
D.L
Exilien poltica* para la planificacin. control y evaluacin del D I.
Evatte la integracin de las directivas de poltica de alia direccin en
HD.I.
Existen estndares que regulen la explotacin de recursos del D.l.
F.iaJe la calidad y vigencia de lo> lindares de expiotaon de
lecursot del DJ.
Liale el cumpl menlo de los enlodares de explotacin de recursos
del D I
Eusten procedimientos sobre las responsabilidades, peticiones de
servicio y relaciones entre los diferentes departamentos y el D.L
Dichos procedimientos estn adecuadamente distribuidos en los
Aferentes departamentos.
Evale 1 cumplimiento de dichos procedimientos por pirte de los

El D.L esti separado orgnicamente en la estructura orgnica de la

Es independiente la ubicacin del D.l. de los otros departamentos de la

Euin claramente definidas las ucidades organizativas en r i D.l.

Estn separadas las unidades de desarrollo de sistemas y explotacin.
Esli separadas las unidades de explotacin y control de datos.
Esli separadas las unidades de administracin de bates de datos y
desarrollo de sistemas.
EsaKe la independencia de las funcione* del penonal entre las
diferente* unidade*.
 www.FreeLibros.me
5Tt AUDITORIA PsKHtMnCA: W fcMHXXt PKCTICO

COVTROI.F.S Si NO N/A
Existe una descripcin po escrito (manual de operaciones y
procedumcMos) de cada puesto de trabajo cu lat difcrenics unidades
de D I?
La desenpesn del poesto de trabajo incluye definiciones de
coaoaintcMo y pericia tcnicos''
Los manuales de operaciones y procedimiento pasan una revisin
mnima anual?
lixivie un mtodo de evaluacin para cubrir las vacanie del D.l?
Evale la adecuacin del mtodo y polticas de leccin para cubrir
las antedichas vacantes.
Evale la conformidad del personal del D.l. con lat polticas y el
ustema de veleccin
.Existe na poltica definida por la direccin del D.l. para promocin
del personal?
Evale la conformidad del personal del D I. con las polticas y el
sistema de promocin.
Existe un programa de orieMacia formacin y reciclaje de personal
de plantilla
Tiene una revisin al menos anual dicho programa de reciclaje?
Supone el programa de reciclaje al menos el 10 del presupuesto del
D.l?
Valore la formacin mioma recibida en el programa de reciclaje.
Culi es la valoracin que da el personal al programi de formacin y

Contraste y evale la adecuacin entre las fichas de formacin del

personal y la exigencias de conocimientos o pericia necesaria de los
puesto.
Existe algn mtodo de control y evaluacin de consecucin de
objetivos de cada puesto de trabajo?
Esti informado y comprende el personal el sistema de evaluacin
obre consecucin de objetivo?
Existe una lista de aplicaciones de tratamiento de datos cuja

Se especifica en dicha hua tiempos de preparacin y tratameeato?

Se contrasta dicha lista con el nivel de acuerdo de servicio del D.l?
Existe algn sistema de control pora la carga de trabajo del D.I?
 www.FreeLibros.me
CAPfTVI.O:? Al lXTOKl\ IXMMtMATX'A f-11.AXlYMt.S SY

CONTROLES sf NO N/A
.lia establecido el 0.1. prioridades de tratamiento de los diferentes
trabajos^
Evale la ew fa de traban del D.l. en poca bija de proceso (ponga el
resultado en ao).
Evale la caifa de trabajo del D.l. en poca alta de proceso (ponga el
resultado en sf).
Evale la capacidad de los equipos disponibles pura satisfacer la
demanda en la poca alia de proceso (resultado en s)
Evale el exceso de capacidad de los equipos disponibles pira
satisfacer la demanda en la poca baja de proceso tresultado en no)
Oi valoracin le dan los trabajadores del irca de explotacin a la
disponibilidad de equipos en poca alta de trabajo (resultado positivo
en s y resultado negativo en no)?
Evale la capacidad de los recursos humanos para salsfacer la
demanda en la poca alta de proceso (resultado en s)
Evale el exceso de cjpKtdad de los recursos humanos disponibles
para satisfacer la demiada ea la poca baja de proceso (resultado en
o).
Qu valoracin le dan los trabajadores del irea de explotacin a la
disponibilidad de recursos humanos en pocas altas de trabajo
(resultado positivo en s y resultado negativo en ao)?
Existe un calendario de nuntemrmenio preventivo de material o
topea!.
Se verifica que dicho calendario ao inclusa revisioo en perodos de
carga alta de trabajo?
cEs el calendario de explotacin lo suficientemente flexible como pira
xomodar tiempos de no funcionamiento a fia de reati/ar revisiones?
^Realiza la direccin del D.l. un control y segu m eato del flujo de
trabajo y de las variaciones del calendario de explotacin?
Se registran las variaciones del calendario de explotacin?
Existe nuterial de recambio para el tratamiento de programas que
exijan alto nisel de disponibilidad
Existe un procedimiento pira evaluar tas causas de los problemas de

Existe uo registro de problemas de tratamiento de dalos?

Se toman x c iones directas pira evitar la recurrencia de los problemas
de tratamiento de datos?
 www.FreeLibros.me
s n AMXTOUlA INFOttMATICA: UNEBOQUEfUACTlCO

CONTROI.ES Si NO .VA
..Huiste una preasignacin para 1* sotonn de problemas especficos de
tratamiento Je ducn?
Se ha determinado una prioridad en la resolucin de problemas de
tratamiento de datos?
Existe un inventario de contenido de la biblioteca de soportes?
Existe un procedimiento pora inventariar los contenidos de la
biblioteca de soporte?
Existe algn responsable de mantenimiento de la biblioteca de
soportes?
Evale la exactitud del inventario de la biblioteca de soporte
Identifican las etiquetas de los soportes: nombre de archivo, fecha de
creacin, programa que lo cre y periodo de retencin de soporte?
Existe algn sistema de control de entrada y salida de la biblioteca de
soporte?
Existe un procedimiento de seleccin de logical acorde con los planes
a corto y largo pta/o de la empresa?
Se lleva a cabo dicho procedimiento a la hora de analuar necesidades

Evale la satisfaccin de los usuarios de software respecto a la ltima

adquisicin.
Existe algn procedimiento de pnieba antes de efectuar cambios de
lgica! de sistemas?
Existe alguna persona especializada en rniplemcMadn de logkal de

Existe algn registro sobre los cambios realizados sobre el logical del
sistema?
Existe algn procedimiento de reviun de cambio del logic-al de
sistemas antes de pasarlos a explotacin?
Existe algn registro de problemas de logical de sistemas?
Se identifican y registran exhaustivamente la gravedad de los
problemas de logical de sistema, la cansa y tu resolucin?
Se corresponde la implantacin del sistema de inormitica distribuida
o red coa las especificaciones de los pitaes a corto y largo pla/o de la

Se han desarrollado planes de implantacin conversin y pruebas de

aceptacin para la red de informitica distribuida de la empresa?
 www.FreeLibros.me
CAPITULO :* AUPtTORU INFORMATXTA ES LAS PVMtS *T

CONTROLES S NO VA
,H i do desarrollado dicho plan conjuntamente por el departamento
de informtica y la direccin de los departamentos unim os afectados
.Contempla dicho plan la aceptacin de estndares de implantacin,
conversin y pruebas en redes informticas distribuidas'1
,H i sido desarrollado el lgica! del mturna de acuerdo con la
metodologa del ciclo de desarrollo de stsienus de la organizacin o
medanle una metodologa cimentada y reconocida?
.I k Il w el plan de implantacin o conversin de la red de informtica
Atribuida a kxlos los usuarios productores de datos imprescindibles *
Se ha contemplado en el plan cualquier riesgo especial asociado a las
rede* distribuidas *
b u tu n procedimientos de control generales de la red de informtica
atribuida?
t Se realizarn dichos procedimientos de control con una periodicidad

Exitu un control de actividades excepcionales que te pudieran

realizar en la red de I D.?
Ha establecido el departamento de informtica, desde la implantacin
de la red. ua mecanismo para asegurar la compatibilidad de conjunto
de datos entre aplicaciones >' crecer la misma?
Se han distribuido a lodos los departamentos afectados declaraciones
escritas de procedimientos operativos de la red de 1 D.?
Estn adecuadamente canalizadas las peticiones de cambios de
pocedimientos operativos de la red de I D.?
Existe algn control sobre cambos autorizados o no en los
procedmiemos operatisos de la red?
Son analizados los cambios de los procedmiemos operativos pora ver
u responden a necesidades reales de los usuarios?
Ha establecido el departamento de informtica controles sobre
utilizacin de los contenidos de las base* de dalos de la red?
Aseguran dichos controles la estandarizacin de Lis definiciones de
datos compartidos?
Se mantienen diccionarios de datos comunes a los diferentes usuarios
de las b axs de datos?
Est asegurado el control del camb*o de definicin de datos comunes
de las bases?
 www.FreeLibros.me
<MI At DIUmlA ISK*MAT>CA t ' \ t.NHKJt KHttlICO

CONTROI.KS Si NO VA
F.xitte un tulema eficaz para evitar que lo utuario camb la
definicin dc dalo* cwmune* dc 1 ba*e*?
, l-.vistc una conwnic*:i6n regular obre cambio* efectuado* ea la.
bate dc dato* comune
Rutte algtln titicma de coatrol que ategure la compatibilidad de lo.
contenido de la bate* de dato de la red?
Iwiten controle etiahlecido por el departamento de informlKi
Mibrc utilizacin de contenido dc la ta** de dato* de la red?
,E u tle algn procedimiento de control vibre k cambio de contenid*
y procedimiento de dicho cambio ea la* bate* de dito de la red?
t Kxivie algila control que augure que lo cambio introducido en lo.
contenido de la bate d dito mantienen la compatibilidad de dicha,
bate?
Exittc algn procedimiento ettablm do que asegure en todo* k>.
punto* de la red que lot cambio crtico en lo comer ido de la bte
te lleven a cabo con puntualidad'
Se ha ettablecido una poltica para identificacin y clasificacin dr
dato* temible* dc la red?
Exilien mccamtmo* de tcguridad que impidan introduccionc*
modaficacione* emJoea de dalo temibles?
Kxi*le algn mecanismo de control que ategure una adecuada cargi
de la red etpeculmente en lot periodo de trabajo critico?
Se kan establecido y comunicado a lo inuario procedimiento,
efectivo pira coordinar la operacin de lo programa* de aplicacin >
la utilizacin de lo* contenido* de la* B.D?
Potccn todo lot utuario de la red etpecificacione .obrr
disponibilidades. horario, tiempo dc rctpuctta. almacenamiento
respaldo y control operativo.
Se realizan rcumonc* peridica* entre k n usuario* pora coordina-
calendario* de explotacin. epecificacione* de tratamiento ;
procedimiento operativo
.Establecen toda la itutalaciooc dc departamento utuaho* dc la red
pre luone* obre nece*Hlade* de material fungible?
.Existe siempre un remanente de material tangible que ategure la
continuacin de k>* proccto. en lo departamento utuario?
Exitten procedimiento ctaMecido por el departamento d<
informtica para la getiin y control del logical dc cotMMcacionct?
 www.FreeLibros.me
AU>(IOUIM<>MAIK A NI-ASI">StKS 5!

CONTROLES Si NO VA
l-.stn inetoden en dicho procedimiento estndares sobre la
utilizacin de dicho logical?
Se han remitido descripciones e v n in obre los citados
procedimientos a lodos h departamentos usuarios
Se han establecido prioridades de transmisin asignadas a los
mensajes enviados por la red?
Evale la satisfaccin de los usuarios sobre las transmisiones a irasxS
dla red. sobre todo cn perodos crtico.
Existen piones de formacin para usuarios de la red?
Existen responsables que evalen el correcto oso de la red por parte
de los usuarios?
Estn perfectamente identificados todos los elemenlc fsicos de la
red (unidades de control, mdems cables etc. medanle etiquetas
esternas adecuadas?
Est asegurando en un tiempo prudencial la reparacin o cambio de
elementos fsicos de la red?
Se realiza por porte de personal especializado una revisin peridica
de todos los elementos de la red?
Existe algn sistema para controlar y medir el funcionamiento del
sistema de informtica distribuida de la red?
Existe una estructura que asegure que la explotacin de mxima
prioridad te Ilesa a cabo y se transmite cn primer lugar?
Se han desarrollado o adquirido procedimientos automticos para
resolser o esitar cierres del sistema (abra/os modales)?
Existe una mima que asegure que ningn proceso o dalo de baja
prioridad va a estar sin procesar indefinidamente en la red?
Existen mecanismos que controlen los tiempos de respuesta de la red
y la duracin de los fallos de operacin de la misma?
Se controlan regularmente todo los procesadores de la red?

25.5. CON CLUSION ES

Dado que cn los restan le-* captulos Jo este libro se aborda lano la auditora de
otro entornos (minicomputadores. Redes d e reas local y PCs) c o n o sus ire-i' de
riesgo. en el prsenle captulo nos hemos lim itado nicamente a arulizar la auditora
de los nunicompuiadorcs con respecto a los riesgos en la cficaria del servicio
 www.FreeLibros.me
S AllDUDRIA INFORMATICA tT itN lo m u HtAOKX)

informtico dentro de una PYME. viendo aplicable e \ta metodologa a cualquiera de

lo \ otro entorno informtico.

Hn cualquier cavo, siempre que te lleve a cabo una auditoria d e empresa habrln
de tcncrve en cuenta, com o mnimo, los siguientes controles generales:

Segregacin de funciones, separacin de los entornos de desarrollo y produccin,

control de programa fuente y objetivos, procedimiento, estndares o nomenclatura
para toda clase de objetivo en el sistema de Informacin, plan d e seguridad lgica y
fsica (copia de BACKUP o respaldo d e dalos y programas, plan de contingencia, etc.)
y plan informtico coordinado con e l plan estratgico d e Ja comparta.

T anto a travs de la guia de a utoe valuacin como a travs de la auditoria de k

mencionado controle generales se puede alcanzar el objetivo de gestin y
certificacin de los dato logrando conseguir la calidad tota) d e los Sistemas de
Informacin, renubilizando as la inversiones en Tecnologa de la Informacin.

25.6. L EC TU R A S RECOM ENDADAS

Control Objetives fo r Information a n d Related Technology. 1996. Editorial

Information System audit and Control Foundation.

Gua de seguridad informtica. 1997. Vamos. Editorial SEDISI (Asociacin

Espartla de Empresas de Tecnologas d e la Informtica).

Emilio del Peso y otros. M anual d e dictmenes y peritajes informticos 1995.

Editorial Dfaz. de Santos.

M arina Tourirto. Carlos Manuel Fernndez Snchez y otro. Papeles d e Avila:

Expertos en Auditoria Informtica. 1986. Editorial CREI.

Seguridad en los Sistemas d e Informacin. 1984. Fisher y traducido por Cario*

Manuel Fernndez Snchez. Editorial Daz de Santo.

ED P Auditing. 1992. Vamos. Editorial Auerbach Publishers.

Stanley & Coopers & Lybrand. Handbook O f ED P Auditing. 1985. Editorial W arm .
G orham Rlainont. INC.

Ron W eber. E D P Auditing. Conceptual Foundations a n d Practice. 1988. Editorial

M cGraw-Hill.
 www.FreeLibros.me
c>M>________________________ CAPtTVIX) 5 AtlDITOKA ISFOKMT1CA RNLAS PVMfS U

Dr. R eni Fonscca. Auditora Interna. 1989. Editoria! EDI ABACO.

Gonzalo A lom o Rivi. Auditora Informtica. 1988. Editorial D in/ de Sanio.

J. A cha Iturmendi. Auditoria Informtica en la empresa. 1994. Editorial Paraninfo.

Aurora Pre/ Pascual. U r auditoria en e l desarrollo de proyectos informticos. I9SS.

Editorial Daz de Sanios.

Carlos Manuel Fernndez Snchez A puntes d e la asignatura de Auditoria

Informtica. Universidad Pontificia de Salamanca en Madrid. C urso acadmico
90-97.

Mi agradecim iento a D. Jesih M onedero Fernndez, alumno d e la asignatura de

Auditoria Informtica. Universidad Pontificia de Salamanca en Madrid.

25.7. C U ES TIO N ES DE REPASO

1. Por qu tiene tanta repercusin la auditora informtica d e las PYMES?

2. Qu tipo de metodologa de auditoria informtica es ms adecuada para las

PYMES?

3. Enumere Icn principales riesgos en la continuidad del proceso.

4. Qu entiende por eficacia del servicio informtico?

5. A qu riesgos econmicos directos se enfrentan las PYM ES debido a la

LORTAD?

6. Cmo se puede evaluar la carga de trabajo de un equipo informtico?

7. Cmo nivviii ia la M*ifa.cn k los ummHo?

8. Segregacin de funciones en las PYMES.

9. Elabore una lista de comprobacin para auditar un computador personal.

10. Cm o llevara a cabo la auditora de una hoja de clculo?

 www.FreeLibros.me

CA PT U LO 26

P E R IT A R VE RSU S A U D ITA R

Jess R ivera la g u n a

28.1. INTRODUCCIN

N unca segundas panes fueron buenas", afirma un viejo refrn castellano. No es

ste el cato, u n embargo, <le la segunda edicin, que no reimpresin, de Auditoria
Informtica. Un enfoque prctico.

El xito de v e nus de la primera edicin -m otivado en buena medida por el hecho

de haber sabido detectar sus Coordinadores una imperiosa necesidad de
'conocimiento", adems de por haber conseguido recopilar una cuidada y
enciclopdica seleccin de temas y autores-, avala el obligado lanzamiento de esta
nueva obra, con objetivos m is all del perfeccionamiento de la primera versin de
1997.

No me corresponde, pete a todo, a m. y mucho menos en este lugar, discutir la

portacin cientfico-didctica de esta nueva obra, ya fuete tanto en su vertiente
acadmica com o profesional, si bien be estimado oportuno comenzar haciendo esta
"uModuccio". habida cuenta de que no exista tal capitulo acerca de los Infam es.
Dictmenes y Peritajes. Judiciales y Fjctrajudiciales en la edicin original, ni por
supuesto acerca de los profesionales -ooo actividades afines a las d e los auditores-,
que los emiten a peticin de terceras partes.
 www.FreeLibros.me
'l i M. ItiliWISIMIWMAIK'A IS IM O / .I I t IKI)

Aplaudo, pues. evie boen criterio d e los Coordinadores, en pro d e una plena
exhaitstividad de su contenido inicial, confiando slo en que su decisin tambin haya
sido pertinente al proponerme la redaccin de los apartados que siguen, donde he
tratado de condensar pone d e mi "capital intelectual" en esta e a de conocimiento,
atesorado inequvocamente en el Ejercicio Libre de la Profesin (ELI1) en el Colegio
Oficial de Ingeniero de Telecomunicacin, com o tal Ingeniero de Telecomunicacin,
especializado en el mbito judicial y cxtrajudicial d e las Peritaciones en Tecnologas
de la Informacin, o de las ingenieras informtica y de telecomunicacin, no carente
de posteriores iniciativa form ativa de postgrado y profesionales en cte contexto, en
diversos mbitos de actuacin, privada e institucional. adems de asociativa.

En el primer captulo de la primera edicin de esta misma obra, su autor -Alonso

Hernndez G arca-, comenzaba diciendo: Definid y n o discutiris. Y aun in la
pretensin de que lo que se exponga en este captulo sea indiscutible, parece muy
conveniente delimitar el campo en que nos desenvolvemos- . Pues bien, sera de necios
no aplicarse la receta: por ello, y antes d e aportar conocim ientos especficos al tema
objeto de este captulo, dedicar un primer apartado a delimitar el campo", antes
incluso que a definir" conceptos.

26.2. C O N SU LTO R ES , A UD ITORES Y PERITOS

Si el marco de comunicacin con ustedes, amigos lectores, no fuese el formal de

un texto escrito, me permitira la licencia de relatarles en detalle -com o acostumbro a
hacer en mis conferencias y curso-, aquel chiste de la cigarra que se dirige al
Consultor para preguntarte qu debera hacer para vivir com o una hormiga, siempre
feliz, trabajadora y abolutamente productiva". Seguramente conocern el detentare:
el Consultor factur a la cigarra sus honorarios slo por mostrarte un Plan
Estratgico, dejndole a ella el problema de cmo desarrollar el oportuno Plan Tctico
de ejecucin".

Ciertamente, he podido c o n su lar en repetidas ocastones cm o los mismos

profesionales confunden y superponen los cam pos de actividad de estas tres
especialidades: consultorio, auditoria y peritacin. Sin embargo, sus funcionalidades
estn bien delimitadas, y desde luego sus competencias, actuaciones y producto'',
por los que facturan y se les abonan los oportunos honorarios.

De hecho, existen rgidas fronteras establecidas incluso por mandatos jurdicos-,

que impiden sim ultanear a un mismo profesional - o Com parta- m bitos de actuacin
superpocstos con un mismo cliente: es decir, prestarle un servicio como consultor, y
antes/despus como auditor. Consecuencia d e ello han sido las escisiones a nivel
mundial de las grandes firmas de Consultores y Auditores, para dar cobertura legal a
sus respectivas reas de negocio, especialmente con determinados dientes
estratgicos.
 www.FreeLibros.me
< APIIVUl.'ft Pt.HITA VT.W3 Al'PtTAR W

Hernndez. Garca. en d capitulo Mes ludido ("1.a informtica com o herramienta

del auditor financiero"), afirma, hablando d e la auditora, que aunque el "concepto
permanece inamovible, lo que si puede variar e s %u objeto y finalidad": le ah que
u rjan confusiones, tanto entre los diferente aspectos. Areas o enfoques en ><
sism o s. como por las debidas a la vertiginosa evolucin que experimenta la
especialidad".
Aunque no volveremos sobre lo ya tratado en CMC libro, s utilizaremos por
coherencia vu esquema de discusin racional, para completar la visin de consultores y
auditores, con la de los peritos. Asf. seguiremos manteniendo la descomposicin de
concepto tPRRITACIN, en cmc caso), en unos determinados elementos
fundamentales: a saber: contenido, condicin. caracterMica temporal (introducido
aqu por primera vez), justificacin, objeto y finalidad.

ELEMENTOS MBITO DE ACTVACIS PROFESIONAL

COWEPTVALES CONSCLTORiA AUDITORIA PERITACIN
i
f

CONTENIDO Opoafa objetiia Opinin lat^etiva

CONDICIN
BMdienla Coccmuda
(Carcter del Leal caber y entender
-cont*,-)
CARACTERSTICA
Apeion A prnimon A po*terion
iMixio en el tiecpo)
JUSTIFICACIN Procedimiento etpecllWiH tunen real y revio
(tendente* a p(opMCK<ur de k hecho
(BwyacMtteMiel AnibndedMm
a x;indaJ n/niiNc de ccpcciticjda en b
ocn*>") prueba nJic<(ada
OBJETO Actividad o cueiota
vxrvoii a Infcemacin deterrnnada. Elementen opeoifio
(Uracoto *ot*e el qiae obtenida en a cieno pccfueconado juato a ,
e afilala conuderaon y/o
b proeba pinpccu
jiuciticaci&a")
FINALIDAD Adecute * b realulad. o Juicio de *aJc*. aumpe
l-Producto* final mromnlul de fubilid* de b

Tabla 26.1. Contextualizacin de la "Peritacin ". verxus los m bitos profesionales

afines de la "Consultorio" y la "Auditoria"

La Tabla 26.1 mucMra el compendio d e los tres mbitos profesionales,

extendiendo y perfeccionando lo ya visto pora la consultora y la auditora. N ti
damente se pone de manifiesto la separacin conceptual del m bito de la peritacin"
con respecto al de la consultora y auditora, ya de por si diferenciadas', aunque

elescnlomtrmJo
' Hernn). C.jrcij. Alomo (AitAkv t ttifomfua 1907. Cap I. fktg. I0> 'EpeoalmrMe el
dittinfue claranentr b auditoria de b conuihoeb. DepenJiendo de que u> contenido
xa o>mi obre no rewkadcn II dar netomroeMo o cornejo e relacin con un ctivid! i
drwrolUr. < tratar! de aodtfcefe o conultorfa"
 www.FreeLibros.me
MO AUDITORIALVKHtMATK'A US ENKXJtt PRACTICO

exilian opiniones afirmando que "la* definiciones de U auditora informtica liendre a

englobar el concepto de cnsul torta-'.

Entendemos que es importante hacer notar cmo la aocin de pensar puede

solicitarse en cualquier momento del proceso global, tanto d e emisin de un "consejo
o asesora" (CONSULTOR/ * ). com o de evacuacin de una determinada "opinin
objetiva" (.AUDITORA), justamente para soportar tcnicamente una determinad)
afirmacin ("opinin subjetiva" de un experto en la materia, o p erito), acreditmfch
como tal a partir del "juicio de valor" en la cuestin planteada, em itido en todo caso a
posteriori. una vez establecida la "proposicin de prueba" y aportados sus
correspondientes "elementos especficos" a peritar .

Separados, por u n to , lus tres mbitos de actuacin profesional convergen en w

aplicacin, quedando diferenciados en todo momento, en ocasiones coa caricia
imperativo.

26.3. DEFINICIN CONCEPTUAL DE PERITO

\j l peritacin o peritaje es. segn el Diccionario d e la R eal Academia Espaola

de la Lengua, el trabajo o estudio* ouc hace un perito, para quien da tres acepciones
diferente* o definiciones aclaratorias que encierran en si mismas matices distinto:

a) "sabio, experimentado, hibil. prctico en una ciencia o arte:

* Koi auat defuncin -Ua u f k - . de ~utbjo. tludo o infierne que tuce el perito tebn m
dcrnrmli nvMcna" %t KiKMn en muchoi ro diccionanot jenefile
- Gran DiccionarioJe ta Im^ua E-tpaoia
- Ihtcionario Uanaal * Mamado dt ls*fm i Eipiola
- fhcckmano General VOX. de h //irtii Espa/Ma e lloarado
- Diccionario Encidop/dico ESPASA
- Diccionario Enciclopdico HA7A <1JASfS
- IX-(MU(M ARISTOS

La mple acepcin * mencHMU > comenu afuiudo O de U fpta ufuienle acerca del omepo
de Perno e comn * Kutimn tvenie*. inckno bien diviiix ce u onenuocoev
- Diccionario General VOX. de la lengma Espaola e Ilustrado
- Diccionario Enciclopdico EDAE
- Oran Enciclopedia lAKOt'SSt
- Enciclopedia dri Sifio XX
tMulopedia m*bmedia PIANO AGOSTIW
Enciclopedia unneruil M tw n n i CAJA MAtNtlD
- Okcwmano Enciclopdico ALEA. de SALVAT
- Enciclopedia tNCAKTA. de SiK KOSOf T
- FaKkfmiu a i n u l menctiva. deCtXXJEK. ele.
 www.FreeLibros.me
CAPTULO 5> mtfTAK WJBH AUDITAR V>\
b) persona que. poseyendo especiales conocimientos terico o prctico,
informa, bajo juram ento, al juzgador, sobre puntos litigiosos en cuanto se
relacionan con su especial saber o experiencia"; y,
c) persona que en alguna materia tiene ttulo de tal. conferido por el lisiado".

A los efectos que nos ocupan en esta obra apartaremos la acepcin c). por su
componente acadmica, vinculada a una titulacin -universitaria, en general-, sin que
ello quiera decir que no sea condicin sine </ua non xu posesin en determinadas
circunstancias.

Tam bin apartaremos de la discusin que pretendemos realizar iiicialmcnte. la

acepcin b). por ser lim itativa del concepto genrico de perito, no forzosamente
vinculado a actuaciones judiciales en su quehacer profesional, pudiendo ser
"extrajudicialei" u orientadas a la "mediacin y e l arbitraje.

El Diccionario Enciclopdico SA LV A T aporta una cuarta acepcin de conocida

incidencia en nuestra sociedad, aunque bien pudiera quedar englobada en la primera
de las acepciones, nica con la que de hecho nos quedaremos para su dbcusin en este
apartado. As. segn este diccionario d e SALVAT. un P erito e s tn prctico o
conocedor de la naturaleza de un bien, de su m ercado y de sus caractersticas y
aplicaciones, que tiene por objeto atribuir un valor (tasacin pericial) t ese bien: no
obstante, reconoce que "en ocasiones el peritaje no comporta tasacin, y se lim ita a
reunir un dictam en acerca de sus aplicaciones y caractersticas tcnicas.

Queda pues claro, a partir de lo expuesto, el enlom o defmitorio d e un Perito,

delimitado por las siguientes caractersticas para estas "personas":

a) con conocim ientos4 en el m bito d e la opinin reclamada (hava el lm ite de

calificarle com o sabio*'');
b) experimentados, luego alguien que sopona su informe en vivencias
adquiridas; y,
c) hbiles o prcticos, en una ciencia o arte, capaces de ejecutar y valorar
resultados obtenidos a partir de la prueba planteada en un contexto tanto
cientfico com o artstico, segn los casos.

De form a sucinta, podemos encontrar definiciones de perito autnticamente

alegradoras de estas caractersticas precedentes, com o la aportada* por la Gran

' Srgn el IXttumano de Hara Mobmtr. Vonociimcmcx (tpecitlet n uu rrukn

' Segn el fhemnano General HuuraJv de VOX -sabio mpaimentafe"
*t e mtim dxcKoafU. ule como:
-tjKKtopedtodet Sitio XX
- themnario det FjpaM n u l de ACUIIAK
- IMetitmarioeiuitlofMuoSA/aiUANA
 www.FreeLibros.me
m A tmrotiA intohm Atica.- u n b io q u e p r c tic o

Enciclopedia LAROUSSE: "Experto, entendido en una ciencia o arte", o en algn*

rama del saber" (glofcalizacin del Diccionario Enciclopdico GR!JALBO>. o "... es
una ciencia, arle u oficio (extensin de la Enciclopedia Multimedia PLANETA
AG OSTIN! y dc b Enciclopedia universal interactiva CAJA MADRID).

26.3.1. E q u iv alen c ia c o n la d e n o m in a c i n d e E xperto"

De acuerdo con lo expuesto, podra inferirse que el trmino Experto" e*

absolutamente equivalente al de Perito", aunque sea este ltimo el habitual mente
utilizado.

Un recorrido por los diccionarios de sinnimos y antnim os refuerza esto ltima

- sinnimos de "Perito", son: expeno, diestro, hbil, experimentado, conocedor,

competente, especialista, tcnico, prctico...
- antnimos dc Perito", son: inexperto, desconocedor, incapaz...

Lo mismo queda confirmado con un recorrido por d ise o s diccionarios de

espaol-ingls:

- "Perito", se traduce* por E x p e r f. en general.

- Segn los casos, puede aAadine un calificativo para precisar su campo de
actividad*: por ejemplo: Computer experi", o "expert in programming
languages". Pero, en todos los casos, especificando que se trata de "alguien
con profundos conocimientos sobre algo" lexpert-person * h o knows a lot
about uim eihing). o desde luego con "conocimientos especiales, habilidades
coctcretas o formacin prctica en una determinada parcela del saber" (person
H'ith special knowledge. skill o r training in a particular fie td )w.

Un trm ino alternativo acuado para los "expertos, aunque menos utilizado con
carcter genrico, e s el de los Peritos forenses, muchas veces asociado al mbito
judicial y en reas de conocimiento muy concretos como la medicina (caso dc los
mdicos forenses"). Dc hecho, existen categoras y reas de peritaje forense privado
que se utilizan habitualmente, tales como:

- "peritos forenses dc grado superior" (desde mdicos y psiclogos hasta

ingenieros c informticos, posando por licenciados en arte o bilogos):

Ottctonxno Ltpaia df SvWmti > Aatmmm. Ihtrmnarto Ih m u l d t SiaiMmpi y AnhUmm.

COtJJNS. Dk(Hrt, A a M u n f f hf-ymaUem Tntmalvfi. ttC

*DKOnnvy of InfomuCKa. OKUoniry ilatcvnutu Tecknofctfy. ele
*Oxford Advanced Im w f'i
 www.FreeLibros.me

"peritos forenses <lc grado m edio" (desde ingenieros tcnicos y aparejadores, a

censores jurados de cuentas o topgrafos); y.
- "pericos forenses de grado tcnico" (desde peritos calgrafo, gemlogos,
filatlicos y numismticos, u agentes de la propiedad inmobiliaria, pesadores y
medidores...).

26.3.2. A c erc a d e la a d q u is ic i n d e "expertlse

Hemos visto cmo en una primera vertiente conceptual, o dcfmitoria. podemos

encontrar respuesta al concepto d e "Perito" en los mismos diccionarios. Tambin
hemos visto cmo el trm ino "perito" -experto en determinada materia, radicando su
vale* en los "conocimientos / experiencia" que "posee / ha adquirido"- no tiene una
traduccin precisa en otras lenguas, utilizndose "e x p e r f -generalm ente asociado a su
rama especfica de conocimiento- , por ejemplo en las lenguas anglosajonas.

La cuestin remanente seria entonces dnde ha adquirido tu experiencia", porque

l a experiencia es buena, cuando n o se compra demasiado cara" (Experience it good.
if or bought too dear)':. Dicho de otro modo, queremos entender la experiencia en el
sentido de acumulacin de conocim ientos por estudio y/o vivencias d e "hechos", no
necesariamente "fracasos", en la acepcin del poeta y moralista francs Paul
AUGUEZ1 "la experiencia es la suma de nuestros desengaos.

Nuestra doctrina pues, ira ms en consonancia con la de Francisco BANCKS

CANDAMO14:
"Docta es. pero peligrosa,
escuela la de los yerros,
si en ellos ha de ensearse.
Porque si hay eleccin en ellos
que puede costar la vida.
para qu es la conciencia? I.ucgo.
feliz quien estudia a costa
de los errores ajenos!"
l-o mismo, con palabras sim ilares, nos han dicho muchas personas: desde Tito
LJVIO1' (E \m tu t itultorum m agister est), hasta Benjamn FRANKLIN1* (Experience
keept a dear SchooJ. y e t fo o ts *111 te a m in no other).

"XIII Encuendo tohre y Derecho. MtJnJ. myo I99*>. IVniujes en Tecnologas Je

b IrrfccmKuta y Comtnicaciones" (FVoencu Je Jcvis Rivera Laguna): Ltfeo Je Acus
' TK-flus FULLER (I6H-I7J4K (iKmoiotfa
1 V eipnene est le uxal Je no Jceptons" (SM tm t ct rocoto)
H titulan
<1662-1W l:
" / rtptrirxc ui o rl maturo J t lu mttroi ~ |/fiwoiii*
cnfAv. Je oro.

H ~F.i im tunta cata la J t Ui txptrttann; im tmbargo, lotk/toi noupttnJtrn nt uitiuu

I ' </W Km Ho/J t Abmwth)
 www.FreeLibros.me
yx AUOTTOItlA INFORMTICA CN t>TOQI.'F. PRACTICO

26.4. PERITO" V E R S U S ESPECIA LISTA "

26.4.1. Quin puede ser "Perito I T

De modo genrico -conceptual o defniiorio-, acabamos de comentar en el

paitado precedente qu e s un perito". En una segunda veniente, estrictamente
Jurdica, podemos leer en el Diccionario Jurdico de Julia Infante1, que: "perito es b
persona que informa en un procedim iento, bajo juram ento (sobre cuestiones litigiosas
relacionadas coa su especialidad o experiencia)"; no obstante, se aflade que esa
persona posee un titulo y es especialista en algo determinado".

Si admitim os las precisiones antenotes, nuestra respuesta a la pregunta de qu es

un perito y sobre todo a la de quin puede ser. un Perito I T -e n Tecnologas de la
Informacin-, se concreta su stanc taimen te:

a) debern poseer una titulacin, en informtica o de tdccofmintcactfa.

entendemos que oficial y de carcter universitario: ingeniero tcnico" cuando
menos, o ingeniero19, i bien podra admitirse la validez en determinadas
peritaciones de otros titulados universitarios en ramas afnes; y.

b) debern, adems, ser especialistas en el objeto d e la pericia, en tanto que la

titulacin universitaria en si misma n o es garanta a priori de la competencia
tcnica necesaria pora emitir un dictamen con reconocida autoridad, en un
mbito particular de conocim iento dentro del vasto y dinmico contexto de las
tecnologas de la informacin.

Com o en muchos otros mbitos profesionales, la praxis ex diferente. Cuntas

veces hemos constatado formando porte de "tem as enviadas a Juzgados, para
insaculacin de sus miembros, que se desconoca el objeto de la pericia hasta ese
momento, siendo el comn denominador de los peritos propuestos exclusivamente la
titulacin universitaria que poseamos, pero no. por tanto, la adecuacin de nuestra
especializacin y en definitiva nuestra capacitacin real pora emitir el dictamen en
cuestin. Los Colegios Profesionales no cuentan habitualmcnte con recursos adminis
trativos para efectuar una mnima prc-se leccin de propuestas de candidatos a perito
judicial en un determinado procedim iento, ni puede que quizs se lo permitiese el
propso colectivo de colegiados: potenciales peritos. No entraremos en este debate,
ajeno a nuestra competencia, pero dejarem os constancia d e l.

'' fle*o NavutOu Emilio del: ,Kwwi rfe DicMnmn > Ptrlu)r> infomMcox. Ediiocul DIAZ
Mi SANTOS Majnd. 199) I y u.)
" Titulacin unlifririaria oficial, de primer ckto.
'* Titulacin uMitnuana cfictaL de fiado ticte-
 www.FreeLibros.me
CAjfn.i o y>m ttA R " a u w a u x ta b w

Sin duda. y para nuestra tranquilidad, el sistema dispone de sus propias

salvaguardas:

la deontologa del propio perito insaculado, o sim plemente propuesto. para

declararse a s mismo como "no competente" en dicho procedim iento: y.

- la declaracin final que lodo perito har en el momento de firmar su dictamen:

"segn su leal saber y entender, que le lleva a someter su opinin a otra m is
cualificada o fundamentada tcnicamente"

En una tercera vertiente estrictamente profesional, coincidimos en fin con quienes

defienden que un "P e rito IT p ro fesio n al" es mucho m is que un mero tcnico
competente, por supuesto titulado universitario en alguna rama d e las Tecnologas de
la Informacin y con experiencia (expertis*") en la materia objeto d e la pericia de
que se trate en cada momento. Concretamente, la A IP T * diferencia entre "perito" y
especialista", segn se hace constar en el correspondiente documento de 'Solicitud
de ingreso" en la misma11: e l reconocimiento social y e l prestigio de las a ducciones
profesionales de los Ingenieros de Telecomunicacin com o Peritos, hacen deseable a
juicio de la Agrupacin que se satisfaga una doble condicin:

a ) Experiencia y form acin especifica como Perito

b) Dedicacin preferenciaI a l Ejercicio U bre de la Profesin

Con inusual rudeza y absoluta claridad, la Com isin G estora de la AIPT puso de
manifiesto que ~no basta con se r especialista para poder re a livir buenos peritajes: o
ya se ha adquirido una form acin especifica como Perito, ejerciendo esta actn'idad
desde hace aos, o se deber adquirir". Asimismo, "recuerda a los interesados en
pertenecer a la Agrupacin de Ingenieros-Perito qu e e s necesario tener en cuenta
las obligaciones de carcter fisca l y laboral que conlleva la realizacin de trabajos en
ejercicio libre

E n sntesis, la argumentacin de la A IPT es que debe profesionalizarse la

actuacin como Perito con una "dedicacin preferencia!" a dicha actividad, y que debe
acreditarse su competencia como ta l perito r o n cxpciicuvU aucdiUnU I icspcwiu. que
no garantiza en s misma la titulacin universitaria oficial propiamente dicha
(Ingeniero de Telecomunicacin, en este caso).

E n otras palabras, un "Perito IT profeMonal" no e s un temporero d e las

actuaciones Judiciales. Con todo respeto a su competencia tcnica, estos otros
profesionales serian los "especialistas~ -q u e no peritos- , como distingue

* Agrupacin de Ugttxtrm-PerUot de Teteetmuucciet. del Colegio Oficitd de ftlffalena dt

Telecomunicacin.
COMISIN GESTORA DE LA AIPT 'AttntJnd pmfeUonri libre ejerciente, amo tntemem-
Perito deICOU" iSokcUudde h|KU). COfT: MadnJ. 17de nuyo de IW I
 www.FreeLibros.me

inequvocamente la AIPT: "se enrienden como lates, a aquellos compaeros que toa
expertos en una determinada materia, pero q u e carecen d e plena disponibilidad de
tiempo y desplainm itm o en su trabajo principal tn o como ~libre-ejerciente~i o no
estn interesados en asum ir e l riesgo de unos costos fijo s anuales ocasionados por el
alta en e l IAE -Im puesto d e Actividades Econmicas y e l pago mensual como
autnomo de la Seguridad Social

En o t a linca fe leccin fe perito profe*Minales~. encontrarnos una slidi

iniciativa, sin duda fuertemente elitista por criterios de formacin y dcontdoga. tal
cual cs SllSPES/Soctcdad Espartla de Pierito* Judiciales", quien exige a sus
asociado.:

1. Titulacin universitaria oficial de segundo ciclo, com o mnimo (el 5 0 de

sus actuales miembros son doctores), en Derecho y lo carreras del mbito
de las TI* (Ingeniera Informtica e Ingeniera de Telecomunicacin,
preferentemente).

2. l-'ormacin tcnica especializada de postgrado en materia fe peritajes, as

com o en deontologa. que haya sido reconocida por la Fundacin
DINTEL, adem s fe acreditar una adecuada experiencia profesional con
Perito.

En concreto, los requisitos exigidos pora ser admitido en SESPES. como tal
"Perito IT profesional", son:

a) titulacin universitaria oficial, de segundo ciclo, en Derecho o Tecnologas de

la Informacin:
b) formacin especfica d e postgrado en materia de peritajes;
c ) compromiso de actuacin profesional sujeta a cdigos deontlogicos; y.
d ) experiencia pericial acreditada.

lvta A*ociacin de Peritos profesionales -S E S P E S - justifica de hecho sus

criterios fe seleccin afirmando fie en otras condiciones se estaran ofertando a-
aquellas Instituciones u Organizaciones que le solicitan sus servicios o colaboracin,
perito* seudo-profcsionales. o sin "garanta de origen, lo que no significa que i
puedan dar un adecuado "servicio" esos tcnicos, en determinadas ocasiones. Y ello,
sin entrar en las consideraciones fiscales y laborales que les exige asimism o la AIPT a
sus miembros, segn hemos visto en el prrafo anterior.

SESPES. o la SottrdoJ EtfaAota Je Ptrtioi JadHiatri, creada tujo lo auipKBM de b

I undanta D iv m .. qee agrtfo a finio profetionalc* en Teroologl*' de la Infcemac Pirn* idi el
I7dcatwild( 1999 co un A Fundacional de dit i pcuewonale (taco detfcvc en Detecto \to
Tecnologa de la InfcematpJo, Paireo. de la tiuklaon W X TH , y. cinco ex alurmo* de ui
Ph.gransade AlU l<mac>> en Ingeniera InformJtKat SfcSPKS e xi reconocida oftculmeMc t*i con
*u t*ljlwoy- .ra u n ia n el oportuno Repuro de A i , i m con el N* 1654l7(~XrinAHt Jr
tu Seirtku Genrrat Toita JriM **M r,oA t Interior' : N*7.6J4. de 29dejulio de 19991
 www.FreeLibros.me
CAHn.lO 2b.tmiTAR VUOS AUDtTAR w

26.4.2. Formacin de Peritos IT Profesionales"

Un "Perito I T ' no n a : se hacc. con formacin especfica. Efectivamente, hemos

fccho que un perito, lo e s en tanto a unos conocimiento (titulacin) y una experiencia
especfica en este m bito profesional. Desgraciadamente, en la Universidad n o se
incluyen este tipo de materias, ni los colectivos profesionales (hablamos
exclusivamente del sector de las Tecnologas de la Informacin) dedican a este asunto
todos los recursos form avos que aparentemente son necesarios. Por e l contrario, nos
constan algunas iniciativas aisladas en esta direccin, promovidas por la iniciativa
privada:

- IEE. en colaboracin con GRANADA: Aula d e Informtica Legal- 0 '; y.

- Fundacin DIN TEL: "Programa de Alta Formacin en Ingeniera Informtica"

y "Proyecto form ativo sobre Ejercicio Profesional y Autoetnpleo como
Perito-04.

Segn SESPES. e n el apartado de "formacin especfica en materia de peritajes",

los peritos profesionales debieran tener conocimientos de:

a ) Fundamentos jurdicos: El perito profesional tiene que desenvolverse en un

entorno judicial, para lo cual necesita conocer ciertos conceptos jurdicos,
vocabulario, etc.

b ) Tcnicas de redaccin d e dictm enes: El informe pericial e s uno d e los

medios de prueba de que puede hacerse uso en un juicio-'' , siendo aconsejable
por u n to que sigan un cierto esquema de exposicin.

c) Criterios de mnutacin d e honorarios: El perito e s un profesional libre

ejerciente que deber facturar sus honorarios, con criterios deontolgicos
desde luego, pero tambin con conocimiento acerca de cules son las tarifas
de honorarios recomendadas, sus excepciones y salvedades, etc.

?1 *AU de InixmilKj LegjT. ganiiada p<* IEE > GRANADA Binase CoMinMy:
tV u w w i > f't n u y i hfom iiutn: Madnl atol. I.
'*Fu ambo*o m . I uto <JI ta w fcw de kx Pro)ti fontulivin ha wdo cedido a lar<ad*:iM
fot I propiciar cukutt u de loto u derechos intelectuales y de explotacin (Ri.no Laguna. JeUn
hmrcto forma/mi Je Infirme>. OKimntti y FtrtueuMti. v Kura/ndKtaUt. MINISTERK)
DEEDUCACIN Y CULTURA Registro O n n l de b Piuptolad Intelectual. N* 77 211) Un alum**-
piraos que Mfcna rl periodo de focnuoSn. tasado ahv-iacjmenl n <nm reales, reciben un T M i
(XWul de la Pwlacin DlfTEL*. avalado poe un repMado Cianuro de Proesore. lodos
FMeuonalet de mvooodo prestigio. acreditada nprntncu como IVMx en Tecnologas de U
UmacMi.
* Au loestablece espcclfKaance el articulo 57 apattato 3*. en la Seccia Quinu de la vtfctte
Ley de EajaKiaaeolo Civil de IRSI. y. el articulo 299 asaltado 4*. en el Capitulo VI de la Ley de
Enpucumienio Ovil 1/2000. que cacar en sigoe ai aio de se publicacin (en el y a ia ti 7 de n lr
ptate ic ijitcuiirin estai cuestiones en profundsladl
 www.FreeLibros.me
V MCCTBKlA INWKMUCA UNK K IQ tt HtCnCO

d) Protocolos de actuacin: La actuacin de un perito puede provenir Je una

decisin judicial directa, o a instancia de terceras portes: puede requerir
obligatoriamente el V iu d o -previo o d iferido- del correspondiente Colegio
Profesional: etc.

Adems. > en todo caso, un perito profesional debe:

- tener uno mnimos conocimientos laborales y fiscales para cumplir con k

I oportunos mandatos: su desconocimiento en m odo alguno le exonera de
responsabilidad:

- adquirir una mnima competencia comercial y de marketing, que le permita

acceder al mercado laboral, con casos reales en los que poder ejercer tu
actividad profesional;

- etc.

26.4.3. Conclusin

Las nuevas tecnologas, en particular las IT-Information Teclm ologiei'

(Tecnologas de la Informacin), estn de moda y son un cam po de creciente inters
en la presente Sociedad de la Informacin, lis en este marco tan dinmico e inestable,
donde se impone la necesidad de efectuar peritaciones tcnicas, aun cuando sus
propios agentes (los "tcnicos competentes") no las promoviesen. Surge pues, inevi
tablemente. la necesidad de disponer d e p eritos profesionales, ms all de los meros
tcnicos competentes.

En todo caso, debe distinguirse al "perito" (como profesional"), del

especialista" (como "experto puntual"), al que no se le exige que posea una
formacin especfica en reas tales como: fundamentos jurdicos, tcnicas de
redaccin de dictm enes, criterios de minutacin d e honorarios, etc.

26.5 DIFERENCIACIN EN TR E INFORMES, D ICTM ENES Y

PERITACIONES

A ntes de comentar la diferenciacin que establece al respecto alguna Corporacin

de D erecho pblico (CO IT. Colegio O fu'ial de Ingenieros de Telecomunicacin, en
concreto), precisamente por su incidencia e n el clculo d e los honorarios que uaa
determinada actuacin profesional provoca, haremos un recorrido por diversos
 www.FreeLibros.me

diccionarios generales con la finalidad d e apollar una mayor perspectiva a estos

trminos, habiiualmente identificados como equivalentes por los legos en la materia.

26.5.1Acerca del trmino Informe

El Diccionario de la R eal Academia Espaola d e la L engua* define Informe de

modo genrico, com o "noticia o instruccin que se d a de un negocio o suceso, o bien
acerca de una persona".

Bastantes diccionarios*' introducen una cierta generalizacin -n o exenta de

confusionismo tcnico, segn aludamos a m es-, al definir Informe como "la accin y
efecto de informar o dictaminar

Slo unos pocos aportan la precisin esperada:

- Diccionario ARISTOS: "accin de informar o dictam inar una persona

competente".

- Gran Enciclopedia IARO U SSE: "exposicin oral o escrita del estado de una
cuestin

- Diccionario G eneral de la tsn g u a Espaola VOX: Com unicacin que

enumera con orden y detalle unos hechos, actividades o datos, basndose en
supuestos ya comprobados (un informe tcnico).

Tambin los hay que matizan definiciones2' en el im b ito del Derecho, asociando
el trm ino "Informe" a las "exposiciones orales que hace el fiscal o el letrado ante el
tribunal que ha de fallar el proceso". En particular, algunos otros-' ' asocian el trmino
"informe" en el m b ito procesal, al contexto de pericial tcnica: "diligencia acordada
por el juez cuando, para conocer o apreciar algn hecho importante en el juicio, fuese
necesaria la intervencin de un especialista con conocimientos cientficos o
profesionales".

tnlre ota. Miescomo:

C*w>del Durtonino EMKtoptiAto ESPASA. IAKOVSSC. Dvccionerto EncwIcyutJMn Vtmtna

OCtANO. EncteloptAa UniirriaJ /iwwma CAJA MADRID. Dmxontuto jKutape^itv AIJ-'A dr
ULVAT.tte
3 Ciw dd IAROUSSE. Du.i m m b i. tfcyw'Jk tVMWnof OCANO. Emcxlapn/M fm xrud
KmtnJa ESPASACAITE Encwlt-ptAa ENCARTA dr MICROSOFT, etc
> C**o de U EitcktopnKa V M PLANETA AGOSTINt. E n re lo ^V n h e n u t l w w u
CAJAMADRID. Entvlofmtw Vnneruri Inuracui COUJUt. tu
 www.FreeLibros.me

26.5.2 Acerca del trmino "Dictamen"

FJ Diccionario e la ReaI Academ ia Espaola de la t/ irua* define Dictamen de

modo genrico, como "opinin o juicio que se form a o emite sobre una cosa".

Bastantes diccionarios matizan:

a) que quien expresa la opinin sobre dicha cosa, es "alguiea con autoridad en la
materia":

- Diccionario M ara Moliner

- D iccionario deI Espaol A ctual, de AGUILAR
- etc.

b) que se traa de una "opinin escrita y motivada, suscrita por uno o varios
facultativos, sobre un asunto determinado de una especialidad":

- Diccionario Enciclopdico ESPAA

- Diccionario Enciclopdico SALVAT
- Gran Diccionario d e la Ijrngua Espaola
- Enciclopedia IAROUSSF.. de PLANETA
- etc.

La Enciclopedia G ran L a ro u sst Universal, identifica no obstante dictamen

(pericial), con "inform e pericial", invistiendo e n que "debe centrarse en cuestiones
puramente tcnica, ya que los jueces no pueden delegar su poder decisorio... El perito
e s un mandatario de la justicia, habilitado para proceder a toda* las investigaciones
exigidas por e l cumplimiento de su misin, del d ictam en". Y aade inequvocamente
al discutir la valoracin de un dictamen pericial que "la apreciacn que haga el juez
del dictamen es libre, n o estando obligado a sujetar su decisin a li opinin pericial: si
no lo considera adecuado para fundamentar el fallo judicial ccber. no obstante,
sealar los motivos que han dado lugar a su decisin".

El D iccionario de Derecho P ri\a d o de la Editorial LABOR, atode de su pune que

"la ley utiliza la palabra dictamen para designar el informe em tid o por los peritos
durante el periodo de prueba en un proceso".

- H -noum LitCKiopetto ESPASA

- Cra* FMKtopnba lAKOUSSf:
- DKfKwr KxeukjpMKo EDAF
Pirctomim fjtctchpMtto H A /A A JANS
- DtctiemarioAKISTOS
 www.FreeLibros.me
c m u ____________________________________ C A H M O BH TAIIM SW JAUDIT OI

La consulta de diccionarios'1 d e sinnimos, antnimos e ideolgicos, no apoda

mayor luz. al considerar sinnimos trminos com o informe, opinin y juicio, ju nto a
otros ms.

Lo mismo ocurre con las definiciones recogidas en d ic c io n a r io s d e lengua

extranjera: report. opinion y judgem ent. N o obstante, si puede considerar: relevante
la diferenciacin que introduce el Diccionario d e Trminos Jurdicos (ligls-EspaAol /
Spanish-English) d e Enrique Alczar Var y Brian Huges. de Editorial ARIEL, entre:

dictam en consultivo: advisory opinion:

dictam en jurdico: legal opinion (opinion o countel):
- dictam en m oth'ado: reasoned opinion: y.
diclam en pericial: cvpert opinion (expert tcvtimony). c o tro sinnimo de

26.5.3. Definiciones del C O IT

Las anteriores sim ilitudes term inolgicas entre informe, dictanen y pericial
quedan absolutamente deslindadas en los documentos oficiales del COIT. Colegio
Oficial de Ingenieros de Telecomunicacin, y ms eoncrciamcnte en su A N EXO II de
f rm u la s pora Informes. Dicimcncs y Peritajes".

Concretamente, entiende por:

IN F O R M E : El desarrollo, con explicaciones tcnicas, de U s circunstancias

o b ie n a d a t en el reconocimiento o examen de la cuestin sometida a informe.

D IC T A M EN : 1.a exposicin de la opinin que emite el Ingeniero, sobre la

cuestin sometida a dictamen.

PE R IT A C I N : El dictam en en que se disciernen cuestk o es de orden

tcnico, o se definen circunstancias tambin del mismo orden.

Hasta tal punto es manifiesta la diferenciacin conceptual asocuda a los tres

trminos en cuestin, que el CO IT especifica que "los honorarios en tos casos de
defamen o peritacin (II), sern el doble de los sealados para los informes ( H T .

11 Gran Iheticmario de Smrumcn. de BRlXiUERA. Dk <tonarto n u a al de SM aiam y

HMttmot. de VOX. Dim uri U n U fk # Je ta Unfu tspaM a. de JULIO CASABES: t*C
15Oxford Adsaoed L n m r 'i. COtLINS dKtionvy. ele
 www.FreeLibros.me
60? AUOTTOKAINFORMTICA l'N ENFOQUE mACUCO

A s. aun partiendo" de uno honorarios mnimos" de 55.700 p u s., el COIT

recomienda se aplique com o frmula general para clculo de honorario de lo*
Informes":

H B * 0 0 3 x V xC

siendo :

- V Sum a de valores d e materiales, mano de obra, amortizaciones, gastos,

generales, ele. con la que ha habido que operar;
- B = 5.250 pas.: y,
- C * Coeficiente reductor por tramos;

pero teniendo en cuenta que. para los "Dictmenes" y "Peritaciones", los honorarios
(II) se duplicarn:

H - 2 x H

E sta filosofa de duplicacin del valor ( II ') d e los honorarios resultantes de aplicar
la frmula de los "Informes", se mantiene en cualquier otra situacin en que no sea
vlida la frm ula general antes indicada. En concreto, e l valor antes indicado de H . te
calculara:

- en el caso de "Informes sobre Proyectos", mediante:

H * - 0 * 5 x B + 0*l x P
siendo P, los honorarios del Proyecto:

- en el caso de Inform es sobre Obras ". mediante:

i r - 0 'S x B * 0 * l x O
siendo O . los honorarios del Proyecto d e las O bras informadas:

- en el caso de Informes sobre Instalaciones (mquinas, materiales, etc.)",

mediante:

H * 0 '5 x B O 'l x l
siendo I. los honorarios del Proyecto d e las Instalaciones informadas:

11Batanas de Hanorenot Orvm nwi para Trabajo iProfnumaln. tfb c M n a kn Inpnimu de

TeteoYBunKKin. en el Ejerciciolbre de laProfesin
14En et ato 2000
 www.FreeLibros.me
*\ CAPTUH-O > : mtITAR VMSUS AUDITAR 01

- en el caso de "Informes sobre Concursos de Proyectos " , medanle:

H - 2 x B 0 05 x C
siendo C . los honorarios de los Proyectos informadas:

- en el caso de Informes sobre causas de a vera (en fbricas, instalaciones,

maquinarias, artefactos. conducciones, etc.)", medante:
H ' * B + 0 '0 5 x A
siendo A. el valor de lodas las prdidas producidas p o r la Averia:

- en el caso de "Informes ame Tribunales (en situaciones especiales para las que
no existe la tarifa correspondiente), mediante:
H ' b 0 5 x B + 0 0S x F x ( l* 0 'lx N )
siendo F el importe de la Fianza sealada por la autoridad judicial o el impode
de la responsabilidad civil subsidiaria que sea objeto de la intervencin
judicial, y N la suma del nmero de escritos y comparecencias del ingeniero;

- en el caso de Informes sobre P atentes", mediante:

H B (0*5 *0*25 x R )
siendo R el nmero de Reivindicaciones objeto del informe.

26.5.4. Tarifas diferenciadas de Honorarios de Ingenieros en

Trabajos a particulares

La disquisicin de honorarios descrita en el prrafo precedente, no e s en realidad

una particularidad del CO lT. Antes bien, se trata de una adaptacin d e las Tarifas del
C O I!', a lo establecido por la O rden de 24 de ju lio de 1962 (Boletn Oficial del listado
de 31 de julio), por la que se aprueban las normas complementarias de aplicacin de
las tarifas de honorarios de los Ingenieros en trabajos a particulares, a propuesta del
Instituto de Ingenieros Civiles d e lispaa" -actualm ente. Instituto de la Ingeniera de
EspaAa-, y de acuerdo con lo establecido en la base general 13 del Anexo del Decreto
1998/1961 de 16 de octubre.

As. de las 268 Tarifas que integran la Parte III del A n ex o '' al Decreto, dedicada a
'T rabajos Especiales", se establece concretamente una d a te denominada "Informes,
dictmenes y peritaciones" (Tarifas 156 a 168. ambas inclusive), correspondiendo:

La Piik I comxne tcalu U Tarifas t H a x n n rctonvu i Po)io.

Grupo.
 www.FreeLibros.me

- la Tarifa 168, a la frmula general;

- la Tarifa 156. a la frmula largamente comentada de H 2x11*: y,

- la Tarifas 157 a 160 <amba inclusive) y la 168 y 166 y 16?. a las

explcitamente relatada. para clculo particular d e II': proyecto, obras,
instalaciones, concursos d e proyectos, causas de av:ra. informes ante
Tribunales y patente*, respectivamente.

Inequvocamente, este A nexo al Decreto de Tarifas de Honcrarios de Ingenieros

jue se ha presentado, distingue pues entre Informe". "Dictamen" y Peritacin",
recogiendo de hecho las mismas definiciones Jadas en el prrafo 5.3. en el prembulo
al bloque de Tarifas 156 a 168.

26.6. PERITACION ES EX TR A JUD IC IA LES Y A RBITRAJES

N o profundizaremos aquf en este tema, por razones de espacio. pero no queremos

pasar sin dejar constancia <fc su importancia explcita en el captui> que tratamos.

El mismo A nexo <lcl Decreto le Tarifas a que hicimos referencia en el apartado

precedente, dedica explcitam ente su Tarifa 220 a valorar este merester:

H ' - 5 x B 0 05 x V

siendo V la suma de valores con qtic se ha operado para resolver el arbitraje. En

particular se establece que para su realizacin se supone que se proporcionan al
Ingeniero toda clase de datos, y adems de lo resultante de aplicar esta tarifa, habrn
de abonrsele los honorarios de los reconocim ientos, informes, viloraciones. etc. que
efecte.

De los dos tipos bsico de arbitraje que existen -le equidad y de derecho-, slo
en el d e equidad cabe pensar en principio que un tcnico acte como rbitro . ya que
en este caso puede serlo cualquier persona natural que se elija para decidir sobre la
cuestin litigiosa, segn su leal saber y entender y sin sujecin a trmites, debiendo
tan slo dar la oportunidad a las partes para ser odas y presentar las pruebas que
estimen convenientes. Ello no impide que. en cualquiera d e los casos, se requiera un
informe. Jictamen o pericial extrajudicial por las panes, a quienes asimismo
corresponde la eleccin del tipo de arbitraje que desean17.

En el no del 'artMraje de derecho lo irtMrca deciden la curtate litipuu Wfccife a

derecho, fue lo quedehertn ver letradoenejercKio.
En **> de que > ha>aa nmfetado ui vol untad en m e aspecto, el arfante ttt i de exudad
 www.FreeLibros.me
CAPITULOi t PIUrTAIt VtXttSAi:DtTAlt 60*

El arbtrale, en tanto que istcma d e resolucin alternativa d e conftelo, aporta

mltiples ventajas: rapidez'*, discrecin y confidencialidad, flexibilidad en el
procedim iento y lugar de celebracin, reduccin d e costas, voluntariedad en la frm ula
de solucin al litigio, eficacia, etc.

En particular, y totalm ente en la lnea que nos ocupa, cabe destacar com o una
notable ventaja el hecho de que las panes pueden escoger como rbitros ("de
equidad") a personas que sean especialistas en la materia. ya sea por su profesin,
cargo o actividad: no se olvide que sern estas personas, al actuar como rbitros,
quienes lomarn la decisin que estimen ms justa en conciencia, y que una vez sea
firme el laudo arbitral dictado ste podr ser objeto d e ejecucin forzosa, al igual que
una 'sentencia judicial firme.

Distinta e s la frmula de la mediacin", que se diferencia d e la del arbitraje en

que el mediador no tiene carcter d e ju ez, sino de "hom bre bueno" cuyo consejo puede
ser aceptado o rechazado libremente.

En conclusin, segn recoge la Enciclopedia Gran Ijarouu* UniversaI:

"Socialmente pues, el confiar la solucin de conflictos al juicio-resolucin de rbitros,
significa la existencia de una comunidad sana y nicamente madura en la que los
problemas imcrpcrsonales no alcanzan grados de continua agudizacin, y por el
contrario se han conseguido en su seno altos niveles d e convivencia."

En mayo de 1989. unos meses despus d e la entrada en vigor de la Ley de

Arbitraje Espartla, se constituy en nuestro pas AKBFTEC" , con la finalidad de
ofrecer una va alternativa eficaz para la resolucin d e divergencias que tengan como
fondo productos o servicios relacionados con las Tecnologas de la Informacin. En
febrero de 1997 se convirti en la primera institucin espartla que admite soluciones
de arbitraje a travs de Internet, utilizando la re d en todas las fases del procedim iento
arbitral, excepto en aquellas diligencias en las que se requiere presencia d e las p o n e s '1.

* Estuca. incWsu. los deno** "arbitraje acelerado-. <n k x f x x introducen cien

aodtfkacione* para garantizar que e (vedi realizar en nene* tiempo y coa neo m* redundo ido.
M La imparcialidad de AMBtIWC -AiotMKidn EtpaMa * Artnrrar TtcnoUt**-. quedl
garantizada p<* el hes.-H> de que la Cuakuta encargada de elegir a lo rtxtro eli fumada po un
representantede laoferta > otro de lademanda
a) el cctue de Un empieva vuaamttradom de Tecnologa de la takeminte. e*U representado
por SEDISI: y.
b> lo atuanos. estin representado*pee laAsociacin de Uuiariot de Internet
I o* <4>*iiKaln garantizan la tutela de kn derecho de ta panes en ei manalo de la deigaacin
de penkn para el procedireenlo artwval
Pira someterse al arbitraje ARBITEC. podr tramitarse b s4citud. por ejemplo. * tras del
nesfundiente formularioelectrtaio en b teb tap onnet eVaibstes
 www.FreeLibros.me
W. Al'DmHH IMOKMATKA I N I.MOQO IACTK~Q

A de m is de ARBITEC. y desde luego d e la Corte Espaola d e Arbitraje, existe en

nuestro pas otra interesante organizacin: A RxM E. Arbitraje y M ediacin". nica
empresa privada espaola dedicada a promover e impulsar el arbitraje y la medixtn
como alternativas a) procedimiento judicial ordinario, as com o de administrar kts
sumos que le son encargados.

26.7. EL DICTAM EN DE PERITOS COM O MEDIO DE PRUEBA

La versin actualmente vigente de la LEC-Ley d e Enjuiciamiento C'il d e 1881

-R eal Decreto de 3 de febrero-, tambin llamada " le y de Trmites Civiles", establece
en su A rtculo 578 (Seccin QUINTA. I)e los medios de prueba), que:

Los medios de prueba de que se podr hacer uso en juicio son:

1. Confesin de juicio
2. Documentos pblicos y solemnes
3. Documentos posad o s y correspondencia
4. Los libros de los comerciantes que se lleven con las formalidades prevenidas
en la Seccin Segunda. Ttulo II. Libro I
5. D ictam en d e Perito s
6. Reconocimiento judicial
7. Testigos."

Debe hacerse notar que el artculo siguiente de la vigente LEC (el 579). no hace
referencia alguna a las 'Pruebas ', entrando de lleno en la descripcin d e la "ConfesSo
Judicial". No ocurre as. en la LEC - Ley 1/2000. de 7 d e enero, de Enjuiciamiento
Civil (todava no vigente):

- se dedican dos artculos a los "M edios de Prueba" (Captulo VI. D e los medios
de prueba y las presunciones), en el T tulo I (D e las disposiciones comunes a
los procesos declarativos) del Libro II (D e los procesos dcctaraihos):

Art. 299. M edios d e prueba

Art. 300. O rden de prctica de los medios d e prueba

- se modifican tanto las denominaciones de los medios de prueba, como el

orden en que se po d r hacer uso de los mismos (Art. 299):

1. Interrogatorio de las partes

2. Documentos pblicos
3. Documentos privados

41 ARvMR. CMnbemdi i fmjle <3f 1996. tu deurrotUA.' timo un reglamento <Jciftottajr como un
prortdimietto de w^ukVi. paradtsvtvJlv tu iratajo
 www.FreeLibros.me
CMTTU.O rtKtrAK YOtSVSAITICTAK 07

1. D ictam en de Peritos
5. Reconocim iento judicial
6. Interrogatorio d e testigos

- se precisa e l orden de prctica de los medios de prucha (Art. 300). "salvo que
el tribunal, de oficio o a instancia de parte, acuerde otro distinto":

1. Interrogatorio de las partes

2. Interrogatorio de los testigos
3. Declaraciones de peritos sobre sus dictmenes o presentacin de stos,
cuando excepcionalmente se hayan d e a dm itir en ese mom ento
4. Reconocim iento judicial
5. Reproduccin*-' ante el tribunal de p a lab ras im genes y sonidos captado*
mediante instrumentos de filmacin, grabacin y otros semejante*.

26.7.1. Objeto de la prueba pericial"

En todo caso, e independientemente de la versin considerada de LEC. el "objeto

principal de la prueba son kw hechos; ms exactamente, las afirmaciones l'cticas del
proceso41. O . si se prefiere, entendemos po<p rueba": "la actividad que desarrollan
las paites con el tribunal para adquirir el convencimiento de la verdad o certeza de un
hecho o afirmacin Tctica o p a n fijarlos com o ciertos a los efectos de un proceso.
Esta actividad se realiza tanto en procedimientos civiles como penales, sociales y
contencioso-administrativos: siendo lo regulado para el procedimiento civil la norma
bsica que se aplica a todos los procedimiento*".

Ahora bien, no todos los "hechos" son objeto de prueba pericial. Tal seria el caso
de aquellos que no necesitan ser probados por considerarse notorios, o porque sean
admitidos al no resultar controvertidos, adems de determinadas presunciones.

De modo genrico, puede distinguirse entre "hechos fundamentales" y "hechos

accesorios o indicanos", en funcin de su correspondencia directa - o n o - con lo que
se trata de resolver en el proceso en cuestin.

Por otra parte, y aunque lo habitual es que sean la* partes (actora y demandada)
quienes propongan la prueba, bien puede ocurrir que sea el propio Juez o la Sala que
conoce del litigio quien decida la necesidad de una prueba pericial, antes de dictar

El *flte 299 ? de b U r d e neto de 2000. establece<j* -i*nb x dmtirn. cwwmr j lo

dnfvesto en esu Ley, lo medio* de rrpeodoccuSn de plate*. el unido y b imagen. coso k*
imcumenlot que penrrten archivar y cvoocer o reproducir pabhrm. dalo, cifra y operackoe
maleextttc llevad a cabocon fine*ccauble* o e otra el, relevante*pan el proccuo.
" Mufo/ Martnez. R k i I . Itnxiucci* ol mtnlojmriitco. Ld Fndanla DINTH. hogamw
i r Alta FamactCm en Intm fha iKfotmlxu - Cuno de "Informe*. D c U m u y JVriUfCt en
Tecnoloj-lMde la Infcemacico". Madnd. bnl 19
Mato* Matine/. RtU i.. Op. t.
 www.FreeLibros.me
m AUUfTOKlA INFORMATICA- IX KNKXX HtAniCO

sentencia: de ah que se denomine a este tipo de pruchas periciales como 'diligencias

para mejor proveer".

26.7.2. El Dictamen de Peritos en la vigente LEC

La vigente LEC de 1881. dedica a e n e asunto los artculo 610 a 632. ambos
inclusive.

Desde una perspectiva conceptual, orientada al mbito tcnico, segn corresponde

al contenido de esta obra, entendemos como significativos p a n nuestros Tines los
siguientes aspectos que comentamos:

La prueba pericial procede emplearse cuando se dan dos circunstancias

concretas (A il. 610):

a) se necesitan, o son convenientes, conocimientos cientficos, artsticos o

prcticos; y.
b) se persigue conocer o apreciar "hechos d e influencia en el pleito".

El objeto de la prueba pericial debe proponerse con d a rid id y precisin4, por

la pane a quien interese este medio d e prueba (A n . 6 1 1).

Los peritos, en nmero de uno o tres (A n . 6 1 1 >. "debern tener ttulo de tales
en la ciencia o .irte a que pertenezca el punto sobre el que han de dar su
dictam en, si su profesin est reglamentada por las leyes o por el Gobierno"
(A n . 613).

La admisin de una Solicitud de prueba pericial, y detde luego su objeto

definitivo, slo corresponde al Juez (A n. 613), independientemente de la
propuesta de las pones. Lo mismo ocurre con la valoracin del dictamen
em itido por el Perito (A n. 632). ya que "los Jueces y los Tribunales apreciarn
la prueba pericial segn las reglas de la sana crtica sin estar obligados a
sujetarse al dictam en de los peritos",

El Juez podr pedir informe a la Academia. Colegio o Corporacin Oficial

que corresponda, cuando el dictamen pericial ex ja operaciones o
conocimientos cientficos especiales (A n . 631).

* E por clk> qt>e. en hse a n cipmmtu profesional, esle aulor ha prepuestoen mkipln Ion
que el lettajo cemeteam(equipo) con ef perno c'experto' en la matena. con til Mcnicoen lamuitai:
- XIII Encuentro de "Infoemttca y DfwKV tUniversidad Pontificia Comillas / Imtitmo de
Informilica Jurdica) Madrid. 7 y Xabril I W
- Retina Je IfetemAlMpw Juristas de bdilooal AKAV/AIM N* Jl. abol de 1999.
 www.FreeLibros.me

26.7.3. El Dictamen de Peritos en la LEC, de enero de 2000

I-a LEC de 7 de enero de 2000. d edica a este u u n io los artculos 335 a 352, ambos
inclusive, constitutivo* de la Seccin 5* del Captulo VI del T tulo I del Libro II de la
Ley. La redaccin del articulado presenta en s misma apreciables diferencia*.

Con respecto al "objeto y finalidad del dictamen de peritos" (Art. 335) la nueva
Ley coincide en lo sustancial con la vigente. Se insiste explcitamente, adems, en que
al emitir el dictam en, todo perito:

a) deber manifestar, bajo juram ento o promesa de decir verdad, que ha actuado
y. e n su caso, actuar con la mayor objetividad posible:

b) tomar en consideracin tanto lo que pueda favorecer com o lo que sea

susceptible d e causar perjuicio a cualquiera d e las pones; y,

C) conocer las sanciones penales en las que podra incurrir si incumpliere su

deber com o perito.

Ambas leyes siguen coincidiendo en lo sustancial, en cuestiones tales como:

Condiciones de los peritos (Art. 340)

Los peritos debern poseer*1 el ttulo oficial que corresponde a la materia

objeto del dictam en y a la naturaleza de ste. Asimismo, podr solicitarse
dictam en de Academias e instituciones culturales y cientficas que se ocupen
de las materias correspondientes al objeto d e la pericia4.

Valoracin del dictam en pericial (Art. 348)

El tribunal valorar los dictmenes periciales segn las reglas de la sana

crtica.

A hora b k n , la nueva LEC. introduce en el apartado d e dictam en de los peritos

novedades importantes: artculos 336 a 339. As, se especifica en los artculos 336 y
337. que:

**Cunado *e trac de nucerut qae no esla cnsprendidu en titulo profeionil okuk*. los

* ti:
pititn hbfin de r AOffltvadMentre perweat cmmkIkIi* en ayielltv nulrnx\ CArt J40. />.
TimSn podra esa dKlaexn obre coc<*K*et (ifedlicu lu penonu jurdica kgilmcnic
habiliudis pjri t!V IAn .1*0.21.
 www.FreeLibros.me
Mil M IH!lI.MSnmVM:< M M MOJI i 1H MIMO

1. Los litigante podrn apon a i los dictmenes que dispongan (elaborados por
peritos por ellos designados). y que estimen necesarios o convenientes para U
defensa d e sus derechos (A lt. 336).

2. Podrn aportarse dictm enes elaborados por peritos designados por las partes,
con posterioridad a la demanda o contestacin, anunciittdo oportunamente
que lo harn en cuanto dispongan de e llo s" , para su troludo a la otra paite
(A n. 337).

Desde luego, y pese a lo dispuesto en e l artculo 337, las pu les podrn apodar
aquellos "dictmenes cuya necesidad o utilidad venga suscitada por la contestacin
la demanda o por lo alegado y pretendido en la audiencia previa il juicio" (Art. 338).
Es decir, se contempla tambin la posibilidad de aportacin de d rtm enes en funcin
de actuaciones procesales posteriores a la demanda.

Por ltimo, en el articulo 339 se contemplan:

- la solicitud de designacin de peritos por el tribunal ( ; resolucin judicial

sobre dicha solicitud): y.

la designacin de peritos por el tribunal, sin instancia de parte.

Cuestiones retesantes son:

- si cualquiera de lax partes fuese titular del derecho d : asistencia jurdica

gratuita, no tendr que aportar el dictam en pericial con la demanda o la
contestacin, sino simplemente anunciarlo, a lo efectos de que se proceda a ti
designacin judicial de perito (A d . 3 3 9 .1):

- la designacin judicial de p en to puede ser siempre solicitada en sus

respectivos escritos iniciales, tanto por el dcmandinte como por el
demandado, "si entienden conveniente o necesario pira sus intereses la
em isin de informe pericial (Art. 339.2): y.

- la em isin de un informe pericia) elaborado por perito designado

judicialmente se podr solicitar con posterioridad a a demanda o a la
contestacin, "salvo que se refiera a alegaciones o pretensiones no contenidas
en la demanda (A d . 339.2).

Lo* dwlitnean te formularan por sonto. acompaAados. <* su caso. dt los dera** devumento*.
innnmetto* o malcrales adornado* fura opeare el pato: del pens ubre lo toe haya u 4 j objeto de la
p e riM rt 36.2)
** fea lodo caso, antes de uncan la audiencia prest al meto crdmanoo aran de <nu ea I
serbal lAn. U 7 .ll
 www.FreeLibros.me
CAF1T1IIX) Ttt P1RHAK YlXStS Al IXIAJC 611

Asimismo. consideramos significativo k> dispuesto en el A rtculo 345. acerca de

1 "operaciones periciales y posible intervencin de las partes en ellas":

- lis pjLflcs y sus defensores podrn presenciar el reconocim iento de lugares,

objetos o personas o la realizacin d e operacin anlogas, si con ello no se
im pide o estorba la labor del perito y se puede garantizar el acierto o
imparcialidad del dictamen (Art. 345.1): y,

- el perito deber dar aviso directamente a las partes, del da. hora y lugar en
que llevarn a cabo sus operaciones periciales, siempre que el tribunal haya
aceptado la solicitud de aqullas para estar presente (Art. 345.2).

26.7.4. Comentarios finales

La LEC. de 7 de enero d e 2000. no entrar en vigor hasta un ao despus de su

publicacin en el Boletn Oficial del Estado"", por lo que pudieran todava introducirse
ciertos cambios, si bien no e s ello lo que cabe esperar, concretamente en k> que a
nuestra parcela de inters compete.

Las novedades que lu n sido comentadas introducen aportaciones sustanciales con

relacin a la todava vigente LEC de I&8I. Deberamos reflexionar pues sobre ellas,
como un cercano futuriblc. adems de muy posible en cuanto a su aplicacin y
obligatoriedad.

26.8. CON CLUSION ES

Pe rilar no es Auditar, ciertamente, al igual que tienen mbitos de actuacin

profesional separados y bien definidos los consultores y los auditores. Puede e n todo
caso contextualiz-arse la Peritacin" como un mbito profesional afn al de la
Coosultoria" y la Auditora , con sus obligadas diferenciaciones en cuanto a
elementos conceptuales comunes, tales como: contenido, condicin o carcter del
contenido, caracterstica temporal, justificacin o base que sustenta el contenido,
objeto o elemento sobre el que se aplica la justificacin, y finalidad o producto
deseado y esperado tras la actuacin profesional propiamente dicha.

Conccptunlm ente. son absolutamente equivalentes los "expertos y los "peritos,

si bien nada tienen que ver aqullos con los "especialsus", cuando se valoran
componentes de dedicacin profesional con carcter preferencial. Cuestiones
determinantes son la formacin especfica, el back-ground profesional, la actitud y la
conducta tica en estos mbitos, etc., adems de su entorno y salvoconducto laboral

" Diipcnjcta fiiu viguaao pnoma de la Ley.

 www.FreeLibros.me
61i AlPtTORA INFORMTICA: UN RNFOQtlF. WICTKO

(licencia fiscal. cuota c impuestos ad-hoc. etc.). Importan it . asimismo. la

adquisicin de expertise".

Suelen identificarse. inapropiadamente, trm inos pcrfcctanente diferenciados

tales como informe". "dictamen" y "peritacin". No obstante, existen incluso tarifa
oficiales de honorarios recomendados por las Corporaciones d : Derecho IMNico.
distinta para la realizacin d e cada uno de ortos tres tipos de trabajos a particulares,
de los ingenieros en el marco del ejercicio libre profesional.

U s peritaciones no son slo judiciales, sino que tambin puteen tener un carcter
extrajudicial. L os arbitrajes, e incluso las mediaciones", cobran Ij c i /j cada da ms.
existiendo instituciones pblicas y privadas que se ocupan de favorecer este tipo de
salidas para la resolucin d e litigios entre las partes en d e sacierto . La firma del
"perito profesional" se ubica con determinacin en este nuevo contexto jurfdico-sociaL

Tanto la vigente LEC / Ley de Enjuiciamiento Civil d e 1881. como la LEC de 7

de enero de 2000 que entrar en vigor un ao despus de su publicacin en el Boletn
Oficial del Estado, reconocen explcitam ente el "dictamen pericul- com o uno de los
medios de prueba. Su cotTccto planteamiento y uso. y la m acstri en su redaccin y
defensa, pueden ser claves para la resolucin judicial, aun cuando se valore por el
tribunal "segn las reglas de la sana crtica".

26.9. L EC TU R A S RECOM ENDADAS

Ptfso Navarro. F..; e l til.. M anual de Dictmenes y Peritajes Informticos. Ed. Daz de
Santos. Madrid. 1995.

Fundacin D INTEL (diversos autores). Ejercicio Profesional y Autocmpleo. como

Perno, en M ultim edia y Comunicaciones. Proyecto Formativo. en colaboracin
con la Comunidad de Madrid y la Unin Europea: Manual del Alumno (C u n o de
208 horas lectivas). Madrid, octubre 1999 (I* Edicin), y febrero 2000 (2*
Edicin).

Fundacin DINTEL (diversos autores). Ejercicio Profesional y Autoempleo. como

Perito, en Informtica, Proyecto Formativo. en colaboracin con la Comunidad
de Madrid y la Unin Europea: Manual del Alumno (Curso de 208 horas
lectivas). Madrid, febrero 2000.

Fundacin DINTEL (d ise o s autores). Perito en Prevencin d e Riesgos Laborales

Informticos. Proyecto Formativo. en colaboracin con la Comunidad de Madrid
y la U nin Europea: Manual del A lumno (Curso de 208 horis lectivas). Madrid,
febrero 2000.
 www.FreeLibros.me
CAllTX U ) M ttHITAR VfXU'i MMtXR 1 I

Rivcro la g u n a. J.; e t al.: Informes. Dictmenes y Peritaciones: Ed. Fundacin

DINTEL: Serie "M onografas y Publicaciones". Coleccin Peritacioocs IT
Profesionales": Madrid, julio 2000.

Rivera l.aguna, J.: Peritajes en Tecnologas Je la Informacin y Comunicaciones;

XIII Encuentro obre "Informtica y Derecho": 7 y 8 mayo. I W ; Universidad
Pontificia Com illas / Instituto d e Informtica Jurdica. A ctas del E xuentro.

Rivcro Laguna. J.: "Procesos judiciales, arbitrajes y peritos profesionales, en

Tecnologas de la Informacin": Ed. ARANXADI: Rev. Actualidad Informtica
A lanzada, n* 31 (abnl. 1999). pginas 10 y ss.

Verder-j y Tuells. E.: A lgunas consideraciones en rom o a l arbitraje comercial; Ed.

C l VITAS.

Roca Aymar. J. I..: 7 arbitraje t n ta contratacin internacional; Ed. ESIC & ICEX.
Madrid. 1994.

26.10. C UES TIO N ES DE REPASO

1. Diferencie "consultora" de "auditora" y "peritacin", a partir de la base que

justifica su contenido conceptual y el producto final deseado.

2. Indique el contenido que define el mbito d e actuacin profesional de un

perito frente al d e un auditor, e incluso al de un consultor.

3. Exprese tres acepciones diferentes para el concepto de "Perito".

4. Enumere diverjas categoras y reas de peritaje forense prvalo.

5. Cite aquellas reas de form acin especfica que debiera troer un perito
profesional", frente a las actuaciones puntuales de un m ero tcnico
compctent o " p p N il itu " , n I mbito del jtrcicio profesional como la).

6. Distinga entre informe, dictamen y peritacin, en panicuUr indicando la

frmula para calcular el valor de los honorarias que se ajlic ira en cada
caso, en una situacin genrica.

7. Indique algunas frmulas concretas para el clculo de honorarios

recomendados de Informes tcnicos", para su aplicacin en el caso de
trabajos de ingenieros a particulares.
 www.FreeLibros.me
61 AUDTTtlRtA tNHULMACA: UX ENFOQUE PRACTICO

8. D efina lo dos ipos bsicos de arbitraje entre los que pueden optar las (unes
para dirim ir cuestiones litigiosas que les afectan.

9. Diferencie conceptualmente las figuras de "rbitro" y "mediado.

10. Enumere los medios de prueba establecidos en la vigente LEC / Ley de

Enjuiciamiento Civil y las modificaciones introducidas al respecto por b
LEC de enero de 2000. tanto en cuanto a denominacin como en cuanto a
orden de prctica de los mismos.
 www.FreeLibros.me

CA PTULO 27

E L C O N T R A T O DK A UDITORA

lia h fl Da\xira Fernndez de Marcos

27.1. INTRODUCCIN

A pesor de que nuestro anlisis se centra en el contrato de auditora, antes de

comenzar con ello creem os conveniente intentar delim itar en esta introduccin el
concepto de Auditora Informtica. Para ello, empezaremos presentando varias
definiciones doctrnales altamente reconocidas, luego pasaremos a plantear una
ineludible comparativa con la Auditora de Cuentas, esquema comparativo que se
seguir a lo largo del trabajo por ser la ms prxima, aun con sus importantes
diferencias, referencia legal disponible, y terminaremos este apartido introductorio
con algunas notas sobre las funciones y fases de esta auditora d< los sistemas de
informacin.

Una vez concretado en lo posible el mbito de actuacin d e la Auditora

Informtica, nos permitiremos una breve aproxim acin a la n a tu n le u jurdica del
contrato analizado, y finalmente pasaremos a estudiar la figura contractual que
constituye el marco legal en que se desarrolla esta actividad y que cj el objeto de este
trabajo. Para lograr este objetivo principal, y dado que en la defin ci n d e la figura
jurdica en que consiste lodo contrato com o acuerdo de voluntades, hay que delimitar
en todo caso tres elementos esenciales: consentimiento, objeto y causa (an. 1261
Cdigo Civil), nuestro estudio seguir esta estructura determinad] legalmentc. En
cuanto al consentimiento, centraremos su estudio en el anlisis de las panes
intervinientes como prestadoras d e dicho consentimiento, haciendo una especial
 www.FreeLibros.me
616 Al'DIKWlA I.NKlRMnCA: UN ESTOQUE PRACTICO

referencia al perfil del auditor informtico, a su responsabilidad y a su pertenencia o

n o a la organizacin auditada. Con relacin al objeto del contrato diferenciaremos las
distintas reas susceptibles d e ser sometidas a la revisin y juicio de la auditoria.
Finalm ente, examinaremos las causas de la contratacin d e una auditoria y su posible
obligatoriedad.

La Auditora Informtica "comprende la revisin y la evaluacin independiente y

objetiva, por parte de personas independientes y tericamente competentes del entorno
informtico de una entidad, abarcando todas o algunas de sus reas, los estndares y
procedim ientos en vigor, su idoneidad y el cumplimiento de stos, de los objetivos
fijados, los contratos y las normas legales aplicables, el grado de satisfaccin de
usuarios y directivos, los controles existentes y anlisis de los riesgos relacionados con
la informtica"1.

1.a Information Systems Audit and Control Association (ISACA) define a la

A uditora de los Sistemas d e Informacin como "cualquier auditora que abarca la
revisin y evaluacin d e todos los aspectos (o alguna seccin/rea) d e los sistemas
automatizados de procesam iento d e informacin, incluyendo procedimiento*
relacionados no automticos, y las intcrrelaciones entre ellos". Sus objetivos deben ser
brindar a la Direccin una seguridad razonable d e que los controles se cumplen,
fundamentar los riesgos resultantes donde existan debilidades significativas.

Ya que no tenemos una definicin legal d e la Auditoria Informtica,

recurriremos, una vez ms. a la d e la Auditora d e Cuentas c intentaremos hacer un
paralelismo entre sus elementos.

En Esparta, la normativa en materia de Auditora de Cuentas se circunscribe a: la

Ley 19/1988 de Auditora de Cuentas (LAC). d e 12 de julio, el Real Decreto
1636/1990, de 20 de diciembre, por el que se aprueba el Reglamento de la Auditora
de Cuentas que desarrolla la LAC, las Normas Tcnicas d e Auditora (NTA). y dems
referencias dispersas en otras disposiciones de diferente rango com o pueden ser el
Cdigo de Com ercio, la Ley de Sociedades de Responsabilidad Limitada,
el Reglamento del Registro Mercantil, y, las consultas publicadas por el ICAC. En d
mbito comunitario europeo, en la actualidad el marco legal europeo en materia de
auditoria se em e a la O ctava Directiva (regula el ejercicio profesional), a la Cuarta
Directiva y a las Normas Tcnicas de Auditora nacionales.

Asf. el Reglamento de la Auditora de Cuentas dispone en su articulo 1:

/. Se entender p o r auditora d e c u tn ta t la actividad, realizada p o r una persona

cualificada e independiente, consistente en analizar, mediante la utilizacin
de las tcnicas de rexisin y \-erificacin idneas, la informacin econmico-
financiera deducida d e los documentas contables examinados, y que tiene

' Rwut GontUct. M A . La aafteoria mformioci". ra molida* Informtna Armiadr. a* 14.

enerodr 1995. p4fieas I y u.
 www.FreeLibros.me
CATfTVtjQ iT 11. COVT1IATOIX: AtltHTOttM 6IT

com o objeto la emisin J e un informe JirigiJo a poner de manifiesto su

opinin responsable sobre la fiabilidad Je la citada informacin, a fin de que
se pueda conocer y valorar dicha informacin po r terceros.

2. Im actividad de auditora d e cuentas tendr necesariamente q*e se r realizada

p or un auditor de cuentas, mediante la emisin d e l correspondiente informe y
con sujecin a los requisitos y form alidades establecidos en 'a Ley 19/1988.
de 12 de julio, en e l presente Reglamento y en las nonras tcnicas de
auditoria.

En definitiva, pasando a estructurar comparativam ente las d elinicvncv

^ I Cualificada - Auditor decvantt So existe tmikota oScial ni Regn*u

independenle
rwmdm ] Aruluar
* T InfctmKidn ev.om.'mwv-fiajt.iet mforanctfn enlomoInformtticot
-' -^ I IM u id i de dorumentot coouMet deducida revuin y omtrol de kn

Emitir informe
* ' Manifestando w pinina manifestando tu opndn
retpoauMe
4 4 | V*TC u t ild a d de lainf<maci<i *>re lafuNtbd de la informante
u W fTrrji.tL J I " * <"oa y 'alore poe paraque vecoootca >valore por

Mfetoa

I p
(omlididn

r>xmat de laprofesa*
cdigo de condixiate laproferta |

fin donde existen las principales divergencias entre la dos dcfim .ioncs es. de un
lado. en la inexistencia de una titulacin oficial d e la profesin d e Auditoria
Informtica y. de otro lado, en la inexistencia de reglamentacin especfica de esta
actividad.

En cuanto al prim er aspecto relativo a la titulacin, las ventajas ce una titulacin

oficial son evidentes: se obtiene un consenso en la actuacin, se establece una
metodologa comn, se dispone d e normas tcnicas actualizadas por los propios
profesionales, se establecen una serie de criterios de responsabilidad coherentes, se
oU a la profesin de prestigio, y se im pone la exigencia d e actualizacin'.

: Tountoi Minan. Conferencia di aparva en ti Scirwono de Auditoria de lo Sitiema de

Mccnuoa y Control Imano<AUD1SI?000>. orfttizado pe* Mwmacm Eurcfem Kxpotot. Madrid.
H m o 3000.
 www.FreeLibros.me
61 AUDITORIA INFORMTICA: L*NEfiFOQfE mACTlCO

En c h im o a la regulacin y normas existente*, en la actual d ad la Organizacin

de Auditora Informtica tO A l). captulo e sp ato l d e la ISACA. tiene tanto unas
normas tcnicas como un Cdigo de tic a profesional. Entre las {nieras destacan los
Estatutos de Auditora, la Independencia profesional, la Edcacin Profesioail
Continua, la Preparacin del informe... En el segundo, se impon el cumplimiento de
las normas de la Asociacin, servir al beneficio de empleadores, accionistas, clientes y
pblico en general, desempear las labores independiente y obje ivamcMc. obtener y
documentar suficiente material basado en hechos reales, informar a las paites
apropiadas, mantener valores morales en la conducta y el carcter A travs de la OAI
se puede obtener el certificado C1SA. Ccnificd Information Systems Auditor, de la
ISACA.

D e acuerdo con la reconocida doctrina que opta por seguir ur concepto amplio de
la Auditora Informtica para evitar que se reduzca a un control de kw aspectos
informticos de los sistemas de informacin, los objetivos de la misma puedes
clasificarse en tres grandes gnipos:

a) Colaboracin con la Auditora de Cuentas.

b) Auditora de los propios sistemas informticos.
c ) Colaboracin del jurista en la Auditora jurdica de los en tx n o s informticos'.

La utilizacin de la auditora informtica en la primera d e sas venientes, dentro

de la auditora de cuentas, se debe, principalmente, a la necesidad d e ajuste en la
especificacin de los riesgos del negocio. Sin embargo, la auditora informtica es
m ucho ms que eso. y se ocupa de distintos y amplios temas com o el anlisis
estratgico de los sistemas implantados, su adecuacin al negocio (actual y futuro), d
tiempo de respuesta, la capacidad de la organizacin de responder a cambios e
im plantar soluciones a medida, etc. Entre las razones que explican la evolucin de la
auditora informtica destacan la dependencia de la informtica por parte de cualquier
entidad, los riesgos novedosos referentes a la informtica, el cambio en la
concienciacin del empresario, el uso de los datos de carcter personal d e forma
automatizada, la seguridad en todas sus facetas-./. Y. en omcreto. dentro del
denominado riesgo de control se ha introducido un nuevo elemento de vital
importancia y al que bien pudiera d ele categora de elemento individual: la
tecnologa de la informacin, y que ha dado lugar a la utilizacin de la informtica en
los sistemas contables, que a travs d e la tecnologa d e la informicin. cada vez ms
sofisticada, ha propiciado sistemas de informacin que incorpcran nuevos riesgos,
peculiares y especficos que dan origen a la consultora y auditora informtica'.

IVI Pino. E . U aadacoela |urd:a de la cosa mfoemlxa". Confmeoa pfuouiKisd en el VI

C<*(rcw Ibceoanxtkano de D n td e Infocmfcica. plfina* $* y ss.
*1-ane, l>J>J A . 1 j auditora nforanfeka y i evcdacio". en l'artuUPvbl*. n*9. jK trn tn
1998. cdpnat 76 y u.
Hernndez Cania. A . l a cuantificacidn del l in p en auditora", en /Vuda toMe. a*S. atril
1998. pdfiiat 7J y s.
 www.FreeLibros.me
CA<TVtO:H.CqVTRATOn AUillOKU 19

La utilizacin de sistemas expertos en auditora es. por lo u n to , un tema distinto

que consiste en introducir el um > de la herramienta en la funcin de auditora
tradicional. N o obstante, a pesar de que no se puede reducir el objeto de la auditora
informtica a la auditora realizada con computador o con herramientas informticas,
comporta ciertas ventajas hoy en da d e todo pun* imprescindibles: conserva el
conocimiento experto de los auditores dentro de la empresa, aumenta la capacidad de
los expertos para manejar grandes volmenes d e datos y realizar anlisis compiejos,
asesora en la toma de decisiones, permite unu comprensin ms profunda del
conocimiento de los expertos, perfecciona la productividad del personal, aumenta los
vicios ofrecidos por las empresas d e auditora, y funciona como herramienta
pedaggica y de form acin del personal para transmitir el conocimiento de los
auditores expertos a los nuevos.

En cuanto a las fases en que se puede descomponer un proceso de decisin en

auditora, una propuesta de esquema podra ser la siguiente'':

1. Orietuacin: el auditor obtiene conocimientos sobre las operaciones del

cliente y su entorno y hace una valoracin preliminar del riesgo y de la
importancia relativa.
2. Evaluacin preliminar d e los controles internos.
3. Planificacin lctica de la auditora.
4. Eleccin de un plan para la auditora.
5. Prueba de cumplimiento d e los controles.
6. Evaluacin de los controles internos basada en los resultados de las pruebas
d e cumplimiento.
7. Revisin del plan de auditora preliminar.
8. Eleccin de un plan revisado para la auditora.
9. Realizacin de pruebas susfantitas.
10. Evaluacin y agregacin de los resultados.
11. Evaluacin de la evidencia. Podra dar lugar a unas pruebas ms exhaustivas
o formar la base de la eleccin d e la opinin por el auditor.
12. Eleccin de una opinin que clasifique los estados financieros del cliente.
13. Informe de auditora.

Para terminar con este apartado, una breve referencia a la debatida opcin entre
auditora interna y externa, con relacin a la problemtica de la independencia, el
mejor conocimiento de la organizacin e n su conjunto y el necesario y constante
mantenimiento y supervisin en razn del peculiar objeto de la auditora informtica.

La independencia es una caracterstica esencial en la auditora. Constituye un

requisito nuclear sin cuya presencia se vicia todo el recorrido posterior. Por lo tanto,
partiendo de esta premisa, el aseguram iento de la independencia e s una exigencia

Sirvehe/ TomK Amonio. Siner-a. oprrtot en udilorii. en TV... CentaUr. sotanea 45.1993.
S29ys*.
 www.FreeLibros.me
O AUXTOMA INFORMATICA: UN ENHOQUE WCI1CO

obligada, no siendo ste el lugar, en nuestra opinin, para profundizar en

disquisiciones m is o menos improductivas acerca de la mayor independencia a pnon
de la auditoria exlem a frente a la interna y viceversa. La independencia tiene que
existir y ser manifiesta y constataWc en el caso concreto.

De todas formas, no conviene olvidar que en el caso especifico d e la auditoria de

los sistemas de informacin, donde se presentan las peculiaridades e s principalmente
en la especificidad del objeto d e la auditora en si. lo que hace que sea imprescindible
un conocimiento intenso de los sistemas de informacin y del (lujo de la informacin
en la empresa en cuestin. Y sta es una d e las principales razones que apoyan en esta
materia la constitucin de un departam ento de control interno d e los sistemas de
informacin de manera institucionalizada en la organizacin en cuestin. T odo ello sm
perjuicio de la recomendable compatibilidad de ambos opciones aunque sea de forma
espordica en funcin d e la u n intocable eficiencia en k costes.

E n todo caso, se opte por la alternativa que se opte, antes de encargar al exterior
un trabajo de esta naturaleza se ha debido realizar un esfuerzo interno considerable, y
se deben tener censadas las discrepancias, asi como las diferentes alternativas en caso
de litigio*.

27.2. UNA BREVE REFEREN CIA A LA N ATUR A LEZA

JURIDICA D EL C O N TR A TO DE AUDITORIA

Conviene empezar por asentar la casi total aceptacin por p an e de la doctrina del
carcter contractual del vinculo que se establece entre la sociedad y el auditor, frente a
las escasas discrepancias que abogan por una tesis "organicista". La calificacin de
contractual se apoya fundamental mente en tres razones. En primer lugar lo establecido
expresamente por el articulo 14.2 d e la Ley de Auditora de Cuentas que se refiere al
contrato de auditora". En segundo lugar, la Ley d e Sociedades Annim as que
deliberadamente excluye esta materia del capitulo de rganos sociales. Y. finalmente,
porque i calificacin com o rgano sera insertar al auditor dentro de la estructura de
la sociedad y considerarlo como parte integrante de la persona jurdica, lo que resulta
contrario al espritu de la ley que lo configura como una "instancia extem a e
irsdepct*licnlc de control"*.

Adems de la dificultad aAadida que supone la inexistencia legal de la figura de la

auditora informtica, tampoco en la tradicional comparacin analgica con la
auditoria de cuentas existe unanim idad doctrinal e n lo que a su naturaleza jurdica se
refiere.
 www.FreeLibros.me
CA>mxOW H COVWtATOni-At lMTOOU 631

Sin pretender realizar un* investigacin exhaustiva de los posibles encuadres

conceptuales de la figura, mencionaremos nicamente la divergencia doctrinal
existente en cuamo a su concepcin como un arrendamiento d e servicios, aludiendo a
la profesionatidad de la figura, o como un arrendamiento d e obra, aludiendo a la
ineludible necesidad de la materializacin del contrato en el informe de auditora que
constituye el resultado que caracteriza al contrato como un arrendamiento de estas
caractersticas.

Nuestra opinin se decanta por la figura de un contrato de arrendamiento de

servicios, servicios que se desarrollan a lo largo de un periodo temporal determinado,
y que. si bien se concretan en la emisin d e un informe de auditora, la libertad del
auditor y la falta de capacidad de decisin del auditado sobre los contenidos de dicho
informe le privan de la caracterizacin del resultado esperado a dicho contrato y le
confieren una naturaleza de prestacin de servicios cuyo resultado no se puede, por lo
menos en gran medida, prever, o. mejor dicho, cuyo resultado, en cuanto a inclusin
de contenidos, no se puede pactar.

listas caractersticas se pueden contrastar en varios lugares. De un lado, si el

resultado del contrato estuviera perfectamente delimitado, no habra lugar a la
aparicin del tan nombrado gap de expectativas. o diferencia de expectativas entre lo
que los usuarios esperan obtener del informe d e auditora y lo que se obtiene
realmente. De otro lado, no existiran tan diversas clases d e informes de opinin, pane
integrante de todo informe de auditora que resume y concluye el juicio del auditor
sobre las situaciones analizadas y los riesgos evaluado.

La jurisprudencia, entendida en sentido amplio como todo pronunciamiento de

tribunal en el ejercicio de sus competencias y no como la derivada del Tribunal
Supremo que adems cumple los requisitos de repeticin e identidad, por su pane, ha
definido lo siguiente: "... la auditora d e cuentas es. por lo Unto, un servicio que se
presta a la empresa revisada..."".

27.3. P A R TES EN UN C O N TR A TO DE AUDITORA. EL PERFIL

DEL A UDITOR INFORM TICO

27.3.1. La entidad auditada

1.a empresa que solicitaba una Auditora Informtica, hasta la actual normativa
que veremos ms adelante, lo haca porque constataba una serie de debilidades y/o
amenazas provenientes de sus sistemas d e informacin.

*Sentencia del Tnbunai Superior de iusocu de MaJnd. a*415.4 de miso Je 19*4.

 www.FreeLibros.me
t AlOTTOUlAINKJRMUCA: UNtjMOQtlfc PRACTICO

Por lo u n to , U empresa que necesitaba este tipo d e servicios lo que estaba

demandando en realidad era una solucin a tu s problemas en trminos de eficiencia de
sus sistemas. m s que una verificacin o una revisin del cumplimiento de los
controles establecidos. Ex decir, se pretenda un atesoram iento especializado en U
gestin de dichos sistemas, funcin ms cercana, como sernos, a ia consultora.

Sin embargo, cada vez ms las empresas son conscientes de la relevancia del
sometimiento del elemento si n o imprescindible sf completamente esencial, cons
tituido por los sistemas de tratamiento de la informacin, a una serie d e revisiones y
controles entre los que destacan el de seguridad, el de calidad o el d e la proteccin de
dalos de carcter personal por su preponderancia en virtud d e su obligatoriedad legal.
Hoy e s indispensable disponer en todo momento y d e una forma rptda de
informacin suficiente, actualizada y oportuna. Y esto slo se puede garantizar
manteniendo tos sistemas de tratamiento de dicha informacin en perfecto estado que
slo se certifica mediante la correspondiente realizacin d e la pertinente auditoria de
dichos sistemas de informacin.

27.3.2. El auditor informtico

Las nuevas tecnologas de la Informacin y las Comunicaciones estn creando

nuevos canales y herramientas para la gestin de negocios. El auditor tradicional, esto
es. el auditor de cuentas, no se encuentra capacitado en trminos de form acin para
afrontar los nuevos riesgos derivados de la utilizacin d e las tecnologas. De ah que se
haga im prescindible la existencia de la Auditora de Sistemas d e Informacin'".

Entre las caractersticas del auditor, y como ya hemos scAalado en la comparativa

expuesta al inicio del trabajo, destaca la independencia. Podemos definir la
independencia del auditor como "la ausencia de intereses o influencias que permite al
auditor actuar con libertad respecto a su juicio profesional, para lo cual debe estar libre
de cualquier predisposicin que im pida su imparcialidad en la consideracin objetiva
de lo* hechos". Los problemas pueden clasificarse en tres grupos principalmente: la
compatibilidad de la prctica de la auditora con las asesoras legales, el interlocutor
del auditor dentro de la empresa auditada, y la rotacin del auditor

En otro orden de cosas, a pesar de que calificam os de profesional al auditor, hay

que precisar, remitindonos una vez ms a la comparacin con la auditora de cuentas
que la Ley de Auditora d e Cuentas, segtln aclara el Tribunal Constitucional
respondiendo a una alegacin referente a la vulneracin por la LA C del articulo

" Mur Botngav Allomo, loi irniri de amdttoeii interna de lueww de tmfarmatMn. Seminario
Auditoria de los Sisieen de tncmuon y Control laeemu(AL'DtSt '2000). organiujo pe*taformineo
Kun?eoi Esperte. Madnd. itbrrro 2000
11 Lon Lara. B y Serrino. K. "La auditoria a debale: peseme y foeuro~. c* Ponida laMe. *t.
ano 1996. pdpaat SS y .
 www.FreeLibros.me
oama__________________________________ CAPfTVLOJ1t.CONTHATODBAtUtTORlA 6H

regulador de la l e y de Colegio Profesional, no regula exactamente una profesin

liberal, sino una actividad que puede ser realizada por profesionales, pero ni los
profesionales han de realizar slo esa actividad, ni sta ha de constituir exclusivamente
el objeto de una profesin .

En cuanto a la sujecin legal del auditor, todas los profesionales que desarrollan
su labor en el cam po de la auditoria de cuentas estin sometidos a una serie de normas
que tipifican su capacidad profesional, la conducta para llevar a cabo su cometido y la
forma de emitir el informe. I-os auditores informticos no son una excepcin, aunque
adems deben cum plir una serie de requisitos y directrices que les son inherentes. Las
diferencias no slo afectan a las normas, puesto que su cometido tambin difiere y
consiste e n la revisin de la funcin informtica o paite de ella, sus reas d e revisin
son asimism o originales (organi/acional del departam ento d e SI. d e seguridad de
accesos lgicos. f(sc<xs y controles medioambientales, de actuaciones frente a
desastres con los (dans d e recuperacin, del softw are de sistema en cuanto a las
polticas sobre su desarrollo, adquisicin y mantenimiento, d e softw are de
aplicaciones y de control d e aplicaciones, as como las especificas de
telecomunicaciones, bases de datos y usuarios) y . finalmente, tambin pueden ser
diferentes sus tcnicas utilizadas . En este punto tambin e s ms que resaltable la
existencia de unos condicionantes ticos imperantes en el ejercicio d e esta profesin
que por su especial autonoma precisan una especial atencin. Pues si e s verdad que
existen lodos estos referentes que delimitan profesionalm ente la definicin de la
auditora de sistemas de informacin, no es menos cierto que el asentamiento de la
profesin requiere tambin de la creacin y seguimiento d e cdigos deontolgicos que
apoyen los mnimos necesarios constituidos por los estndares norm ativos .

Las Normas Tcnicas de Auditora, siguiendo con el anlisis comparativo del

etquema normativo existente en la Auditoria de Cuentas, son un instrumento
regulador propio de la profesin. Existen normas tcnicas de carcter general, sobre la
c ualificadn del auditor, la calidad de su trabajo en el ejercicio de su profesin y
aspectos de tica profesional. Tam bin podemos encontrar normas tcnicas sobre la
ejecucin del trabajo que determinan los procedim ientos a aplicar por los auditores.
Finalmente, encontramos tambin normas tcnicas sobre elaboracin de informes,
donde r l mutilo informtico debe exponer los objetivos de control no cubiertos
adecuadamente as como las recomendaciones a practicar1. En cuanto a la naturaleza
y eficacia de estas N TA. y d e nuevo recurriendo a la inevitable analoga, hay que
entender su carcter puramente normativo como su propia denominacin in d ic a pues

" Bctrmn M. de VilUrcil. A, M.. la Ley de Audiiorfi de Coenijn y los rpian

hmdicoonileV*. <n Parthki fie**. *94. novKmtvr I99X. f-lprui 14 y n.
11 PovoU Maette. J P. 'AudrtM Je Coenu# y Audmw Infwmica. Anilim Je Ut aorm
Unen", en T/cmea ContMt. Tomo 46. I W . pigiw 481 y iv
" Pie/ MjM. i . "(VcdctugM Jel Auditor Inforatkxo y CA*{0* ikoV. en Amflioni
fcjfcrn.iri.ij i tmfaptt prctko. til KA-MA. NUdisJ. 199. I *cdKin. 151 y \\
" Pos<da MaeWe. i P . Amhiora Cmeiuas y Informtica AmSIi.ti Je la, w n u i
Mueiu. ep. cU. plfiius 482 y m
 www.FreeLibros.me
AtXMIOaU ISTOItSMTKA UN ENPOQfE P1UCT1CO

son meras lincas generales de actuacin, por lo que la alegacin ante los tribunales de
su falla de publicacin en el Boletn Oficial del Estado e s una insistencia sin
fundamento, pues csic requisito es cxigiblc nicamente para las leyes, segiln el
articulo 2.2 del Cdigo Civil.

C on relacin a las funciones del auditor informtico, su actividad puede abarcar

desde aspectos funcionales, como la adecuacin de los sistemas de informacin a las
necesidades reales, lu s u la revisin de los tiempos de respuesta, pasando por la
Habilidad de los sistemas. Por supuesto, los aspectos tcnicos son los que ofrecen un
mayor cam po d e actuacin: desde el comienzo con el computador y sus perifricos,
los convenios utilizados para la codificacin de datos, los procedim ientos de captura
de estos, la explotacin, la programacin, las comunicaciones, o . cmo no. toda la
gran rea de la seguridad, ffsica y lgica, y de la calidad1*.

El auditor, en el desarrollo d e su trabajo, ha de obtener evidencia de los hechos,

criterios y elementos que est evaluando, con la finalidad de form arse una opinin.
Dicha evidencia deber ser suficiente y adecuada. Suficiente en cuanto a la cantidad
de evidencia a obtener y adecuada con relacin a la calidad de la misma, e s decir, a su
carcter concluyente. Pero para obtener la evidencia adecuada el auditor deber
guiarse por los criterios de importancia relativa y riesgo probable. E l de la importancia
relativa supone que no todos los hechos, criterios y elementos que forman parte de los
documentos contables son de la misma importancia. Existen algunos cuya importancia
es decisiva dentro del contexto general pora la opinin que el auditor va a emitir. La
importancia relativa, de otro lado, e s un trm ino de los encuadrablcs en la
denominacin jurdica de concepto jurdico indeterminado, pues la mayora de los
pronunciamientos profesionales dejan en manos del buen juicio y experiencia del
auditor, aunque existen una serie de consideraciones generales que sirven de gua para
fijara, dependiendo de su aplicacin al caso concreto del contexto1.

El auditor de Sistemas de Informacin debe tener la capacidad y los

conocimientos tcnicos para revisar y evaluar el control interno del entorno en que se
desarrollan y procesan los sistemas de informacin, capacidad para revisar riesgos y
controles, evaluar y recomendar los controles necesarios de los sistemas de
informacin, y capacidad para disertar procedimientos y tcnicas d e auditora
especificas para este tipo de actividad. El auditor de sistemas de informacin empieza
a ser un generalista. porque tiene que ser consciente d e que los sistemas de
informacin son un punto clave en una organizacin".

Akmto Riwv G . A*dttarM laformnca. Ediciones Dlu de Sanios. S. A.. Madnd. I9KK. ptfgirm
tyu.
Almeta Uiez. B . "La importancia rean** en auduota". en Partida IXMt. n*7J. diciembre 19%.

" ToiriAo. Mirm. Contornen Je afertura en el Sentan A stuta de kn Sntemai de

Incemac: ) Controi Interno (AUDISI'2000). orgaMudo por latonniCKO* Europeo* Esperto*. Madnd.
MmoSOOO
 www.FreeLibros.me
CAPTULO 21 II. CONTRATO Df- AlDTTORlA <05

Otra cuestin (rauda e n la doctrina e s la del desistim iew o del audtor. Entre las
cautas que pueden considerarse suficientes destacan la im poubilidid fsica de
cumplimiento del contrato, la necesidad de atender a otro* deberes, las causas de
incompatibilidad, la perturbacin de las relaciones de confianza entre el auditor y los
administradores de la sociedad auditada o los incumplimientos d e les deberes de
cooperacin por parte de la sociedad. En cada uno de los casos habr q u : dilucidar su
procedencia o improcedencia a efectos de delimitar, entre otra, cosas, las
comecuencias jurdicas de dicha terminacin unilateral del contrato1''.

lu responsabilidad del auditor es o tro tema polmico en la tk c trina. en la

Resolucin del ICA C de 18 de junio d e 1999 se somete a informacin p lk a . por seis
meses, U Norma Tcnica de Auditora sobre errores e irregularidades" cuyo objeto es
establecer los procedimientos que el auditor tiene que aplicar cuando detecta, y en su
caso informa, errores e irregularidades que pudieran existir en los estados financieros
objeto de su auditora as como delimitar su responsabilidad. La norma d stingue entre
irregularidades, com o actos u omisiones intencionados o negligentes cometidos por el
personal de la empresa o por terceros que alteren la informacin cotxenida en lo*
estados contables, y errores, com o actos u omisiones n o intencionados ju e asim ismo
alteren dicha informacin. C uando se derivase la posible existencia d e errores c
irregularidades, el auditor debe evaluar sus efectos potenciales en las cu:nU s anuales,
y comunicar a la direccin, tan pronto como sea posible, su existencia. La norma
propone que informe del asunto a un nivel superior al de las personas presuntamente
implicadas y. cuando los ltimos responsables de la gerencia estn tambin
implicados, el auditor deber obtener el adecuado asesoram iento legal.

En 1999 se ha creado una subcomisin que ha iniciado el estudio de la

modificacin de la Ley de Auditora de Cuentas. Entre las demandas ck los auditores
destaca la necesidad de delim itar la responsabilidad del auditor. Los auditores opinan
que el carcter ilimitado y solidario de su responsabilidad e s excesivo, y as lo
confirma el borrador de la Ley d e Sociedades Profesionales que introduce esta
reivindicacin y exime de responsabilidad a aquellos socios de la firma de auditora
que no hayan firmado el informe. En la actualidad, a tenor d e lo depuesto en el
artculo 11.2 de la LAC, un demandante puede actuar solidariam ente cortra cualquiera
de los socio auditor* do una firma* .

Para terminar, queremos hacer referencia a una figura que e s ti gam ndo una gran
aceptacin en la doctrina, en las organizaciones especializadas y. en definitiva, en la
profesin: los Com its de Auditora. El objetivo del com it e s contribeir a la mejora

" lglru brida. J L . "La renooda al carjo del *u&x de cocal: nm m iaK m JaoiAcMivas y
cnuecuencw jurid* de la renuncia", en Keviua Crinen de t>rreeho IxmMuxrto. n*622. aa>juo
I9M. nipitu 1501 y o .
Almcla Kc/, B. *Novtd*]esen Audrtcriaen PartidaDMe.n* 107.enero2 0 pigma 76y .
 www.FreeLibros.me
a: Ai'prTtmlAiNKmMncA un enfoque wtAcnco

de la gestin corporativa y garantizar la asuncin de responsabilidades oportunas sobre

el control interno11.

Segn se desprende de los informes de renombrados com its o comisione* de

expertos en relacin con estudios llevados a cabo sobre esta materia, tos Comits de
Auditoria constituyen una pieza clave en el cumplimiento de las responsabilidades de
vigilancia que tos Consejos d e Administracin tienen sobre la informacin financien
que las sociedades facilitan a sus accionistas y a terceros, sobre los controles internos
que tienen establecidos y sobre tos procesos de auditoras, tanto internas como
externas. Un Comit compuesto exclusivamente de miembros independientes y sin
responsabilidad ejecutiva alguna, redundara necesariamente en una mejor supervisin
de las actividades de la sociedad, lo que se traducira en una mejor defensa de los
intereses de los accionistas., presentes y futuras, as com o d e terceros interesados en la
buena marcha de la sociedad. I-os Comits de Auditora de los Consejos de
A dministracin son exigidos por la Bolsa de Nueva York como requisito pora admitir
una sociedad a cotizacin y para que puedan seguir operando las sociedades ya
admitidas. Del mismo modo, ta i Comits de Auditora han sido recomendados por el
Informe Cadbury".

27.3.3. Terceras personas

La informacin financiera ha ampliado su campo de comunicacin en el sentido

de que ya no interesa slo a los accionistas o propietarios de la empresa, sino tambin,
en la medida en que ha atendido a las implicaciones de la responsabilidad social, ha
ampliado la audiencia a la que va dirigida dicha informacin. As pues, el actual
concepto de usuario ya no se refiere slo a propietario, sino que se extiende a todos los
interesados en la actividad empresarial, entre los que se encuentra la colectividad en
general1'.

As se se fula en la Sentencia del Tribunal Superior de Justicia d e Madrid n* 41$

d e 4 de mayo de 1994 ya citada: la auditora de cuentas es un servicio que se presta a
la empresa revisada y que afecta e interesa n o slo a la propia empresa, sino tambin
a terceros que mantengan relaciones con la misma, habida cuenta que todos ellos,
empresa y terceros, pueden conocer la calidad de la informacin econmico-contable
sobre la cual versa la opinin emitida por el auditor d e cuentas".

En la declaracin "A Staiement o f Basic Accounting Theory en 1966 de la

American Accounting Asxociation. en que por primera vez se hace una referencia

Rtmrtt, J . La cotamSn t auditoria", ca livrttim y Profrrio. n* IS9.199. pgina 115 y as

111pti Ccartbarro. J L . TropoevUn para utu mo*fkactfa de la Ley de Auditoria t Cuerna".
t SWiida ftakU. n* 71. octutee I*.. p*uia 42 y u
Lan Lata. L . "Una aueva Ley de Auditoria, de iodo y para K4'\ ca Ponida DoNt. * 9*.
noviembre 1998. p(inat44 y u
 www.FreeLibros.me
CACHILO 27 H.CXXSTHATOPt. AUlMTORlA

expresa a la funcin social de la contabilidad, se establecen los objetivos de la

informacin contable, uno de los cuales es facilitar las funciones y controles sociales,
y asi comienza la contabilidad a ser considerada com o un medio a travs, del cual la
sociedad puede ejercer su funcin d e control sobre las unidades econmicas. Si se
aade a esta funcin social el carcter de bien pblico de la informacin contable
emitida por un auditor independiente, entonces aparece la asuncin d e una
responsabilidad social por parte del auditor com o garante de la fiabilidad d e dicha
informacin'4.

La diferencia de expectativas alude al desacuerdo entre k> que esperan los

usuarios de la auditora y lo que ofrecen los auditores, teniendo e n cuenta, adems, que
el tipo de auditora que necesita la sociedad depende, en cada momento, del tiempo y
del entorno concreto. En la literatura anglosajona se ha denominado diferencias en Las
expectativas de la auditoria" (aw iit expectations gap}. o lo que e s lo mismo, las
diferencias existentes entre lo que los usuarios esperan d e la auditora y lo que los
auditores consideran que es su trabajo'-'.

Aunque el fenmeno del gap d e expectativas tiene un alcance mundial, e s en

Europa donde ha alcanzado su mayor virulencia. Com o prueba de la inquietud
despenada, la Comisin de las Comunidades Europeas promovi un estudio sobre la
funcin, posicin y responsabilidad civil del auditor legal, que fue llevado a cabo por
el M aastrkht Accounting and Auditing Research Cerner (M A R O , para conocer cmo
era tratada la auditora legal en la legislacin de los estados miembros, publicado en
1996. La Federacin de Expertos Contables Europeos por su parte public en enero de
1996 un resumen de recomendaciones desarrolladas por ella com o resultado de la
investigacin llevada a cabo acerca tambin de la funcin, posicin y responsabilidad
civil del auditor legal en la Unin Europea. Posteriormente, en octubre de 1996. la
Comisin de las Com unidades Europeas public su libro verde sobre los mismos
aspectos que los tratados en el informe MARC y en el estudio d e la FEE. y organiz
una conferencia en Bruselas en diciembre de 1996 para debatir sobre los mismos.
Adems, en 1992 se haba publicado el informe Cadbury sobre los aspectos
financieros del gobierno de las sociedades en el Reino Unido, y las ocho mayores
firmas internacionales de auditora crearon en 1993 e l "G rupo Europeo de Contacto"
para considerar de qu forma la profesin contable en Europa poda responder al
txprctation gap. asumiendo que la profesin debera cambiar en cuanto a sus actuales
enfoques y alcances si se pretendan reducir las diferencias en las expectativas' .

Para terminar este apartado, quisiramos sealar que sta no e s una tendencia
exclusiva de esta actividad. En la literatura empresarial m is reciente se ha acuado el

'' Piada l-urcn/o, I. M . l a inpmiih h liJ en lak a ii", en Tftnnt nmtiMr. tomo 4ft. 19*4.
pginas 225 )
11 Careta Bromi. M A. y Vivo Manine/. A . \( fu t e<ra la tocicdad de ta aaSiixi*". re
T/fnu n ronfoMe, rT eitrauciurw. IWS. pignat 17 y xx
* Lpe* Cccaham. J. 1-. "ftefleoac* obre algu pumo relacionados ce la auditor". e
ta m *! DoNf. S5. enero 1998. pgina 24 y **.
 www.FreeLibros.me
bit AlPfTORlAIXHMUHTICA t'NHSOQt)KPRCTKTI cau

trmino le s ta k eh o id tn . o interesados, ms concretamente apostantes. Se apunta con

cta denominacin, que recuerda sin duda a Ion tradicionales primero interesados o
accionistas (thareholdtrs o stockholdtrs). que existe un modelo d e "base ampliada"
en el que es necesario que toda organizacin vea a los nuevos miembros, que en la
literatura gerencia! norteamericana se asimila a todo los ciudadano porque se
considera que e l negocio de su pas e s la empresa. A l menos e s posible identificar
cinco grupos de "interesados" o depositarios de dichas apuestas": los accionistas, los
empleados, los dientes, las comunidades locales y la sociedad e n general. Podramos
incluso detallar an ms e incluir a los mediadores y distribuidores, a los proveedores,
a los com petidores a las instituciones financieras o los medios de comunicacin .

27.4. O B J E T O D EL C O N TR A TO DE AUDITORIA
INFORM TICA

Entendemos por objeto del contrato le auditora, tras la explicacin previa sobre
la naturaleza jurdica del mismo, la definicin y clasificacin que hemos presentado
com o tales en la introduccin le capitulo, y n o la pura y sim ple emisin del informe
de auditora que constituye en esencia la fase final de dicho contrato y n o el resultado
del encargo que lo caracterizara, de ser asi. como dijimos, com o contrato de arren
damiento de obra.

A pesar le su inexistencia en la regulacin nacional actual, sobre todo en

comparacin a la existente en la auditora de cuentas, el objeto d e un contrato de
auditora informtica est ampliamente disersificado y se encuentra en un perodo de
auge inusitado que requiere d e esfuerzos dogmticos importantes para su
estructuracin.

Esta inexistencia legal, pues las referencias normativas que se quieren encontrar,
si bien conceptualm entc encuentran su calificativo idneo en el trm ino informtico,
especifican en todo momento la realizacin de una auditora, a secas, sin calificativos,
choca de una manera frontal con la espectacular amplitud de reas de conocim iento y
de gestin empresarial que cada vez ms se ve abocada a controlar y con la acuciante
demanda de profesionales en el mercado. T odo esto, obviamente, pasando por alto las
voces discrepantes de algunos profesionales de la auditora de cuentas que reclaman la
denominacin Se auditora en exclusiva relegando a las dems especialidades a
adoptar la expresin le revisin o similares ^

Entre las mencionadas "cuasi-referencias legales" se encuentran el artculo 28 e)

del Estatuto de la A gencia de Proteccin de Datos (Real Decreto 428/1993. de 26 de
marzo), la Norma Cuarta de la Instruccin 1/1995 de la Agencia de Proteccin de

'' fm Xniei Itntiixkz. I. L . fjMa pura rmpmarioi y w iiin . Ed. F-SIC. 2*rdacxVn. Madrid.
199b. pgina* 179 y a
' Lara Lara. L , *U*i mcvj lc> de Au*vU. de balm y fon todo", oj. cu.. plgin* 46.
 www.FreeLibros.me
o * w _________________________________ CA ftnnxn? a.cofciKATOD:Ai'puoU fc

Dato*. relativa a prestacin de serv id o s sobre solvencia patrimonial y crdito, y el

artculo I? del Real Decreto 994/1999. de II de junio, por el que se aprueba el
Reglamento de medidas de seguridad de los archivos automatizados que contengan
datos de carcter personal.

Aunque nos encontram os en un rea que por sus propias caractersticas impide el
listado de un numerus elam iti de actividades susceptible*, de ser sometidas a este tipo
de auditora, que. consecuentemente, en nuestra opinin, dan lugar a otros tantos
subtipos de contratos especficos de auditora d e entornos informticos, pasarem os a
realizar una enumeracin de las principales reas en las que se desarrolla la
"inexistente" auditora informtica actualmente.

E n concreto, podemos distinguir los siguientes m bitos principales en la

realizacin de una auditora informtica de la que hemos catalogado como
perteneciente a la auditoria jurdica de los entornos informticos''*:

1. Proteccin de datos de carcter personal

2. Proteccin jurdica del softw are
3. Proteccin jurdica de las bases d e datos
4. Contratacin electrnica
5. Contratacin informtica
6. Transferencia electrnica d e fondos
7. Delitos informticos

Todas estas reas deben ser objeto d e un anlisis d e la entrada, tratamiento y

salida de la informacin en los sistemas de informacin de la empresa desde un punto
de vista jurdico. Pasaremos a realizar unas breves observaciones al respecto
remitindonos al captulo en concreto de este libro en donde ya se trataban en la
primera edicin extensa y precisamente cada una de ellas'".

27.4.1. Proteccin de datos de carcter personal31

Es quiz ste el aspecto que ms importancia tiene en relacin con la materia

tratada, la Auditora informtica, pues ha tenido que esperarse hasta la plasmacin por
escrito y todo el posterior desarrollo legal del derecho fundamental prescrito, entre
o tro s por el artculo 18.4 de nuestra Constitucin para contar con una referencia legal,
como hemos dicho cuasi-explcita, de la existencia d e la auditora de los sistemas de
informacin.

*Davara Rudrijut i. M . Mamni Jt t t m *.>hormlico. Ed. Anaudi. PauTffcna. 1997. >96

Dii Pino. K . Auditora In/onxJtKa i tn<nw pfitfieo. op c u. pipita* 119y u

" Datara Kotlrifccz. M . Lprotrttifa J t Jaiot en tmropa. Ed. Cnipo Asncf Equtfu. MftJrid.
 www.FreeLibros.me
(M AMXTOUlA INFORMTICA UN EOOQUEFRCTICO___________________________

La actual Ley Orgnica 15/1999. d e 13 de diciembre, de Proteccin d e datos de

carcter personal (LOPD ) que supone la reform a d e la anterior Ley Orgnica 5/1992.
de 29 de octubre, de regulacin del tratamiento automatizado de dato de carcter
personal (LORTAD) sigue obligando e n su artculo 9 a la adopcin de medidas de
seguridad para los archivo*, ya no slo automatizados, que contengan dichos datos de
carcter personal. F.l tambin artculo 9 de la LORTAD remita a desarrollo
reglamentario para su concrecin.

Pues bien, dicho desarrollo reglamentario se plasm en la prctica en el Real

Decreto 994/1999. de 11 de junio, por el que se aprobaba el Reglamento de Medidas
de Seguridad para los archivos que contuvieran datos de carcter personal. La nueva
LOPD mantiene vigente este Reglamento, tal y como prescribe en su Disposicin
Transitoria Tercera,

FJ Reglamento, aplicable por lo tanto, clasifica e n tres los niveles de seguridad

(bsico, medio y alto) a los que hay que someter a los archivos dependiendo del grado
de sensibilidad de los datos de carcter personal alm acenados. En concreto, e exige
una auditora al menos bianual pora todos los niveles excepto para el bsico. Entre
todos las medidas cuyo cumplimiento se exige que se controle, destaca el
procedimiento de respuesta y registro d e las incidencias, el control de accesos, la
constitucin de un responsable de seguridad...'2 De esta auditora, que puede ser tanto
interna como externa, se obtendr necesariamente un informe del cual el responsable
de seguridad elevar las conclusiones al responsable del archivo, encontrndose a
disposicin d e la A gencia d e Proteccin de Datos en todo caso.

Si bien es cierto que esta auditora no lleva calificativo legal alguno, no es menos
cierto que encuentra en la Auditora de Sistemas de Informacin su acomodo perfecto,
en la conjuncin de la auditora de seguridad de los sistemas que tratan los datos y la
calificacin jurdica de los datos involucrados.

27.4.2. La proteccin jurdica del software53

La calificacin jurdica del softw are ha sid o objeto de discusin doctrinal, porque
integra distintos elementos que pueden encuadrarse bajo diferentes rdenes de
proteccin jurdica, unos im parables hajo la legislacin de la propiedad industrial y
otros bajo la de la propiedad intelectual. La inclusin bajo esta ltima, y en concreto
bajo la figura de los derechos d e autor, hace que asimilemos los programas de
computador a las obras literarias, cientficas o artsticas.

Com o bienes objetos d e esta proteccin, la auditora a la que se tienen que

someter debe verificar e l cumplimiento de la misma, y . por lo tanto, investigar la

0(1 Fracs F.. y Ramos. M. A.. LORTAD KrgtantMO Je Secundad. Edtfione IX/ de Santos.
S A . Madnd. 1999. (Apa* 163 y s
11Datara Rotfgocz. M. A . Uanital * Dtrt<ho tnfonmitko. op. d i . plfinxs 103 y si
 www.FreeLibros.me
CAHnXOt7: EL CWlKATOOe AUDITORIA 631

legalidad del software utilizado en dichos sistemas. evaluando el riesgo que se corre
por permitir la ilegalidad, el "pirateo**, y cuantificando monetariamente hablando el
diferencial existente entre dicho riesgo y el coste de implantacin y control de todos y
cada uno de los programas utilizados en la entidad.

Los auditores informticos tienen que eliminar los riesgos en esta rea
proporcionando de este modo un valor aadido a una buena gestin informtica,
siguiendo los criterios expuestos, entre otros, por la ISACA en su concepto de Valu
for Auditing Money para una mejor gestin y control de las licencias de softw are. En
particular, se pueden concretar los riesgos que conlleva la realizacin de copias no
autorizadas de softw are original como son las sanciones y multas, los problemas
tcnicos, la inexistencia de asistencia tcnica, la obsolescencia tecnolgica, el impacto
negativo en la calidad del software, el deterioro de la imagen empresarial y los ataques
intencionales14.

27.4.3. La proteccin jurdica de las bases de datos35

Una base de datos es un depsito comn de documentacin, til, para diferentes

usuarios y distintas aplicaciones, que permite la recuperacin d e la informacin
adecuada, para la resolucin de un problema planteado en una consulta. E s decir,
contiene datos, pero proporciona informacin. De nuevo nos encontramos con la
figura jurdica de los derechos de autor como la adecuada para su posicionamicnto.
por la carga de creatividad que conlleva. Iero. adems, surge la denominada
proteccin mediante un d e re cl ir g rn tris d e las bases de datos, pues se pretende
garantizar la proteccin de la inversin en la obtencin, verificacin o presentacin del
contenido de una base de datos, evitando que una copta de los contenidos de una base
de datos determinada sometidos a unos criterios distintos de almacenamiento,
indizacin, referencias y mtodos de recuperacin constituya una nueva base de datos
que quede asim ismo amparada bajo la figura d e los derechos de autor.

Se establecen asim ismo como requisitos necesarios para que la base d e datos sea
susceptible de dichas proteccin la existencia de un autor o autores id en tific ares y
relacionados con la obra realizada y el trabajo original que ha dado lugar a dicha base
de datos.

En el planteamiento de los bienes y derechos objeto d e proteccin, habr que

atender, de un lado, los derechos de los titulares de los documentos almacenados, de
otro lado, los derechos de los productores de la base, pocs su creacin tiene tambin
una carga de intelectualidad, y. por ltimo, el derecho del titular de la base a impedir
la extraccin o rcutilizacin total o parcial.

M(M i dt Auduort* dt Sofaturr Original, RuncM Sotove Altante. Mjtlnd. 2000. pfn 2 y

Dara Rodrigue/. M. . U a u if dt Otrrtho Informtico, op. <it pigiiu IJJ y s.

 www.FreeLibros.me
t ! AUMTCTtU INFORMATICA: UN ENKXX'B P*ACUCO___________________________ c*w>

Pues bien, la auditora en este c a to tendr del mismo m odo que atender a los tres
casos expuestos, analizando el cumplimiento para todos ello* de los controles
establecidos, evitando por lo tanto copias o extracciones no autorizadas, y verificando
la gestin y actualizacin por las personas competentes y autorizadas para ello.

IU auditor debe en primer lugar analizar la metodologa d e distilo para determinar

su aceptabilidad y luego comprobar su correcta utilizacin, drspos tendr que
exam inar si los disertos se han realizado correctamente, una vez pursto en explotacin
deber comprobar los procedimiento* de explotacin y mantenimiento, y finalmente
deber establecer un plan para despus d e la implantacin. D d mismo modo, la
formacin del personal a lo largo de la vida del producto consituye un elemento
permanente e indispensable*.

27.4.4. Contratacin electrnica37

Entendemos por contratacin electrnica toda aquella que s: realiza por algn
medio electrnico. C on la generalizacin del uso de Internet el ajge d e este tipo de
contratacin empieza a ser consultable. Pero no slo esta red mundial acapara el
perfeccionamiento de contratos electrnico*, aunque e s cieno que ha sido su
implantacin la que ha relegado al anterior sistema EDI (Electron; Data Intcrthange)
utilizado principalmente para transacciones intracmpresariales ".

Hoy en da. en el com ercio electrnico concretamente, y entendido en su m is

amplio sentido como cualquier forma de transaccin o intercambio d e informacin
comercial basada en la transmisin de datos sobre redes de comunicacin romo
Internet, se habla de la segmentacin en la utilizacin de estos medios electrnicos en
tres sentidos: en la direccin empresa-consumidor final (busiiKss to consummer.
B2C). en la direccin empresa-empresa (business to business B2B). y finalmente, en
la direccin empresa-administraciones pblicas (business to adrainiurations. B2A).
Adems podram os separar al consumidor final o usuario como artfice activo d e dicha
contratacin y aftadir la contratacin entre consumidores (consuntner to consummer.
C2C) y la gestin de las relaciones administrativas de los administrados
electrnicamente.

Podramos tambin diferenciar entre com ercio electrnico directo como aquel que
consiste en la obtencin del bien o servicio ntegramente por el medio electrnico, por

Punini Velthuiv M . Auditoril <Je Lu de Dolo y de lo Almacene* de tXilot"

<datiwarcbc*cI, oxiferetKia proouiKiada en Semitono Auditoria de los Siurmn de lncemi y
Coecrol tatemo (AUDISI 2000). orfanindo por Intormkxoi turopeo lUpcrio Madrid, Febrero 2000
" Datara RnM[ur>. M. A.. La pnxeeetfi Je loi intereses Jet romurajor M e fui mn-ioi uuenut
Je o w rr w riri ukko. fcd Cco/ederacV F.sjuAoU de Orgim/Kiooei de Anu de Caa.
Convocadores y Ikuirnn (CEACCU). Madrid, 2000. plgmas }? y
Del Pcvx F.. "Audiloril jurdtci de k nbxtk infcemltko- . en /(femirlii v Dereeho. n 19-
22.199X. pfiru 614 y u.
 www.FreeLibros.me
c t w __________________________________CAPTULO27: ELCONTRATODEAUWTORlA ft

ejemplo, la compra de un libro en formato electrnico, o el com ercio electrnico

indirecto e n el que alguna de las actividades que perfeccionan la adquisicin del bien o
v er'icio no .se realiza por medios electrnico*, ya sea el transpone, el pago o cualquier
otra.

En la contratacin electrnica hay que atender a tres aspectos fundamentales: en

primer lugar a la inmediatez, de las relaciones, cuestin que se solventar en caso de
relacin mercantil por el momento de emisin de la aceptacin y en caso de otro tipo
de relacin por el momento en que llega a conocimiento del oferente, en segundo lugar
a la calidad del dilogo, y excluyendo el telfono o la videoconferencia habr que
asemejar la aceptacin a la hecha por correspondencia escrita en soporte papel, y. en
tercer lugar, desde el punto de vista d e la seguridad. Pasamos a dedicar un especial
prrafo a este aspecto.

En lo que a seguridad se refiere, en las transmisiones electrnicas d e datos se

busca garantizar la autenticidad, la integridad y el no repudio (en origen y en destino)
de las mismas. Actualmente existe un mecanismo que puede garantizar estos
extremos: la firma digital. Espaa ha sido una vez ms pionera en estos temas
regulatorios de los aspectos jurdicos de la denominada sociedad de la informacin. En
efecto, antes de que .se apruebe la Directiva europea sobre firma electrnica, se aprob
el Real Decreto-cy 14/1999. de 17 de septiembre, sobre firma electrnica, y la Orden
de 21 de febrero de 2000 aprob en su A nexo el Reglamento d e acreditacin de
prestadores de servicios d e certificacin y de certificacin d e determinados productos
de firma electrnica. Aunque no e s objeto d e este trabajo su anlisis exhaustivo no
queremos dejar de m encionar las caractersticas ms im portantes de esta novedosa
normativa. E l Real Decreto ley 14/1999 distingue entre dos clases de firma
electrnica, la sim ple y la avanzada o digital. La firma digital tiene que cumplir una
serie de requisitos, entre otros el ser emitida por un prestador de servicios acreditado y
su eficacia jurdica es idntica a la d e la firma manuscrita. El prestador de servicios, en
term inologa comunitaria ahora adoptada por la legislacin nacional que ha preferido
no utilizar la calificacin de autoridad de certificacin y despojarle as d e ninguna
pretendida competencia pblica, se constituye en una tercera porte de confianza,
crendose el "fedatario electrnico , que puede identificar y autenticar a' las panes
intervinientes. por medio de tcnicas de cifrado de claves con las arquitecturas de
clave pblica o Public Key Infraestructura (PK I) que se basan en la utilizacin de
algoritmos de clave asimtrica d e entre los cuales destaca el R-S.A, garantizar la
integridad de los mensajes transmitidos, y asegurar el no repudio de las
comunicaciones, en origen, que quien hizo la oferta lo niegue, y en destino, que quien
la acept lo haga. Adems se puede a/ladir la funcin de sellado temporal en la que se
cenifique focha y hora del perfeccionamiento de dicho acuerdo. N o obstante, estas
funciones nicamente las puede garantizar un prestador d e servicios acreditado, pues
si bien la constitucin de estos prestadores se realiza en un rgimen d e libre
competencia sin que la falta d e acreditacin puesta conllevar la inexistencia de tal
prestador, slo los acreditados podrn expedir certificados reconocidos que lleven
aparejada dicha firma digital que tiene plenos efectos jurdicos.
 www.FreeLibros.me
W AlDTTOtlA IMOftMTlCA; l'S EMOQtai MtCTICO____________________________OU4B

Desde el pumo de vista de Ion controles a los que se puede someter este tipo de
contratacin se requiere un axesoramiento tcnico para que la redaccin jurdica se
adece a la ingente potencialidad de la herram ienta utilizada que hace que la mera
traslacin de las categoras conceptuales tradicionales al medio virtual no sea posible
sin el previo sometimiento a unas especificaciones y aclaracin d e todo punto
imprescindibles en virtud del modo de perfeccionarse e u o s contraros que. sin ser un
elemento esencial com o hemos mencionado para los restantes tipos contractuales, se
hace necesario por las consecuencias jurdicas q u e se pueden derivar de su inobser
vancia.

E s decir, la aparicin de estas nuevas form as de contratacin, traspasa las

fronteras de la mera forma para constituirse en elementos definitorios de cuestiones
tan relevantes en la prctica contractual com o la delimitacin y en s i caso exoneracin
de responsabilidades, la prestacin de garantas o la divisin d e obligaciones entre las
partes que no pueden sin m is asemejarse a las categoras convenc ocales, entre otras
cosa* por la globalizacin y por tanto interseccin de legislaciones nacionales. Ni
siquiera los trminos tradicional mente constituidos en usos del conercio. que segn
nuestra legislacin mercantil tienen carcter d e fuente de Derecho son absolutamente
trasladables a este entorno, y ejemplo claro de ello es el intento de definicin de unos
"c-tem is", en una clara regulacin paralela a los utilizados y reconccidos incoterms en
el trfico mercantil internacional.

27.4.5. La contratacin informtica*9

Definindola como la contratacin de bienes o servicios informticos. Bienes

informticos son todos aquellos elementos que forman el sistema en cuanto al
hardware, ya sea la unidad central de proceso o su perifricos, s como todos los
equipos que tienen una relacin directa de uso con respecto a ellos y que. en conjunto,
conforman el soporte fsico del elemento informtico. Asimismo, se consideran bienes
informticos los bienes inmateriales que proporcionan las rdenes, datos, procedi
mientos e-instrucciones en el tratamiento automtico d e la informacin y que, en su
conjunto, conforman el soporte lgico del elemento informtico. Los servicios
informticos son todos aquellos que sirven d e apoyo y complemento a la actividad
informtica en una relacin de afinidad directa con ella.

Podemos dividir en dos grandes grupos diferenciados: res pee al objeto, debido
a las caractersticas especiales d e lo s distintos objetos sobre los que pueden versar
extos contratos, y respecto al negocio jurdico, debido a que los cottratos informticos
ms comnmente realizados se han llevado a cabo bajo in a figura jurdica
determinada (compraventa, arrendamiento financiero, mantenimiento, prstamo...) en

* Diva* Rodrigue?. M . <t Oernho InformJnto. op t i ! . pljira 191 y t.

 www.FreeLibros.me
CAPlTl'I.O 21:FJ. CONTRATO PE ACPT<)lA

U que han encontrado acomodo pero que en casi lodos los casos ha sido necesario
adecuar.

U contratacin <le bienes y la prestacin de servicios informticos n o tiene una

calificacin uniforme para situarla en un modelo o tipo d e contrato. Los contratos
informticos estn formados por elementos tan dispares que exigen la m ezcla o unin
d e dos o ms tipos de contratos. Asim ismo, el desconocimiento por e l usuario, en
trminos generales, de las posibilidades y lm ites de la informtica, hace que no todo
e n el contrato pueda estar basado e n el principio de autonoma de la voluntad de las
panes. En muchas ocasiones son contratos de adhesin, en los que una de las pones
fija las clusulas del contrato y la otra se adhiere a las mismas, sin tener posibilidad de
modificar ninguna de ellas.

I-a contratacin informtica resulta extremadamente complicada en la redaccin

d e los contratos y en la fijacin de los derechos y obligaciones d e las panes. A ello
hay que aadir la inexistencia de una normativa adecuada a los mismos y la dificultad
en la fijacin del bjeio cuando son contratos complejos. Se deben redactar teniendo
en cuenca un equilibrio de prestaciones y evitar en lo posible la existencia de clusulas
oscuras. Y es aqu, de nuevo, donde la figura del auditor informtico cobra toda su
importancia asesorando c implantando en dicho acuerdo los requisitos tcnicos y los
trminos especficos que delimitan y concretan los aspectos imprescindibles cuyo
cumplimiento debe ser objeto de los controles a los que se someta este tipo de
contratacin cuyas particularidades requieren un ascsoram icnto especializado y
experto.

27.4.6. Transferencia electrnica de fondos40

Este es un tema comn a la contratacin electrnica, a la proteccin de datos de

carcter personal y al pago electrnico. En concreto este ltim o adquiere una
relevancia en la prctica inusitada y en constante crecim iento. Esta relevancia y sus
particularidades justifican su tratamiento independiente. N os referirem os en concreto a
los medios de pago electrnicos ya conocidos, esto es. las tarjetas de crdito y de
iVhlrt. o rl ruin p.-irlirulnr I xuvtwUs a un rtrl^rmifinrln ntaMnminiln
mercantil pora la realizacin de compras en el mismo, y slo mencionamos aqu el
naciente fenmeno de los micropagos y del dinero electrnico propiamente dicho y de
las consecuentes entidades emisoras de dinero electrnico.

N o obstante, y dado que una ve* ms tenemos que recordar el objeto de este
captulo, no es ste el lugar donde analizar las fases de la transferencia electrnica de
fondos, ni los derechos y obligaciones de las distintas panes implicadas, el emisor del
instrumento de pago y el usuario, ni la nueva situacin de desequilibrio derivada de la

" IXnu i R<iripuc/. M A . Manual <UDrmho tnformAtKO, ap. rrt. pigmjn 237 y u.
 www.FreeLibros.me
Mt AUDfTORlA INFORMATICA UN fcNK)QC.'li HtACtlCO

utilizacin de nuevo de kw contratos de adhesin, ni la confidencialidad ni seguridad

de los dalos de carcter personal involucrados, ni la delimitacin de las
responsabilidades y riesgos existentes en el uso d e este medio d e pago.

La tarea especifica de este mbito para el auditor informtico, aparte de la posible

y probable interseccin de alguno de los otro* mbitos especificados, reside en la
comprobacin de la inieropenibilidad entre los sistemas de lectura de las tarjetas y las
redes de comunicaciones.

27.4.7. El delito informtico41

ste es un tem a debatido en la doctrina tanto en su definicin, ms all, en

cuanto a su existencia legal, como en su clasificacin. De un lado, los elementos
integrantes d e la definicin estricta de delito en la doctrina crim inalista, son
difcilmente cnconirablcx e n la utilizacin de medios informticos, en su ms amplio
sentido, en la comisin de ilcitos. De otro lado, en la clasificacin de todas las
acciones ilegales dolosos instrum entali/adas d e este modo tampoco existe unanimidad
Parece claro que son los fraudes los que ms importancia cualitativa y cuantitativa
encuentran dentro de este delito. Peto tampoco en la ordenacin d e los mismos se
especifica una seleccin nica. A modo de ejemplificacin. baste enumerar los virus
informticos, la actuacin de los llamados piratas informticos, o el mero robo y otras
acciones fsicas similares contra los elementos fsicos y lgicos de los equipos
informticos, donde destaca sobremanera, la piratera del software ya mencionada ms
arriba*'.

Com o no es el objeto d e este capitulo el desarrollo intenso de este tema,

remitimos de nuevo a la parte especfica de esta obra donde se detalla su contenido y
pasamos a intentar circunscribir el mbito d e la auditora de sistemas de informacin
con relacin al denominado delito informtico. La intervencin del auditor informtico
reviste aqu, sin lugar a dudas, una especial utilidad. Si. com o hemos mencionado, en
cuanto a los errores c irregularidades detectables en la auditora de cuentas tiene un
deber de diligencia y cuidado profesional que determina su comunicacin a la empresa
auditada, en cuanto a la deteccin de delitos existe una prescripcin legal que, por la
experiencia y profes tonalidad, del auditor le constituye en el sujeto idneo para no
slo la constatacin de estos delitos sino tambin para ayudar en su delimitacin
conceptual a efectos de su inclusin en una u otra categora, otorgndole, por otra
parte, por estas mismas consideraciones una especial responsabilidad en dicha
deteccin.
 www.FreeLibros.me
QK**>_________________________________ CAPTULO!lgCOfZmATOCCAUDfTORU t i l

27.5. C A USA

Para terminar con el anlisis d e los elementos esenciales de iodo contrato,

pasamos a examinar la causa del contrato de auditora.

De todo lo anterior cabe deducir que la exigencia LEGAL de la Auditora de los

Sistemas de Informacin en la actualidad es. en puridad, nula. No e:iMc ni una sola
disposicin de ningn rango que determine la realizacin de una auditora de estas
caractersticas.

No obstante, toda la actual regulacin en materia de proteccin de datos de

carcter personal aconseja y suena a su imposicin. No cabe, hcrmenuticamente
hablando, la posibilidad de que se est refiriendo en este cuerpo normativo a una
auditora de las convencionales". A parece, de este modo, la "figura legal" de la
Auditora Informtica, si se opta por no someterse a la literalidad de la Ley. en cuyo
caso conducira a la nica auditora existente por el momento a efectos de
reconocimiento legal: la auditora d e cuentas, y acudir a la y a tradicbnal y aceptada
corriente de interpretacin del espritu de la norma, a efectos de conseguir una
conclusin ms adecuada y realista, que lleva ineludiblemente a la iceptacin de la
Auditora Informtica como la idnea para este anlisis.

Por lo tanto, e s posible, en nuestra opinin, concluir que la causa puede tener en
este contrato, dentro de su licitud, sus dos orgenes: de un lado, partiendo de la
autonoma de la voluntad, principio rector en materia de Derecho contactual prescrito
en el artculo I2SS del actual Cdigo Civil, puede ser solicitada a simple voluntad de
la empresa auditada, y. de otro lado, com o cumplimiento de la exigencia legal prevista
en la normativa de proteccin de datos de carcter personal y en concreto en el artculo
17 del Reglamento de Seguridad.

27.6. EL INFORME DE AUDITORA

El informe de auditora constituye el producto final del trabajo de auditora y la

nica documentacin que va a llegar a quien la ha encargado. Sus objetivos
principales consisten en permitir al que revisa entender el trabaje realizado, las
circunstancias que afectan a i fiabilidad y las conclusiones del aulitor. as como
prevenir una interpretacin errnea del grado de responsabilidad tsum ido por el
auditor1 .

El informe debe estar escrito e ir firmado. En l deben constar los antecedentes, el

objetivo del proceso de auditora, las posibles limitaciones, y un resumen para la
 www.FreeLibros.me
M AlrortOHlA INFORMTICA: UNIJOOQUi fUCTICO___________________________ m m

Direccin en trminos no tcnicos. En cada punto debe explicarse por qu es un

incumplimiento o una debilidad, y alguna recomendacin. Ha de discutirse con los
auditados antes de emitir el definitivo. En algunos casos incluso se pueden recoger las
respuestas de los auditados**.

El informe de auditora de cuentas anuales, obligatorio para ciertas entidades que

cumplan unos determinados parmetros, e s un docum ento donde se pone de mani
fiesto la opinin del auditor, respecto de la fiabilidad de la informacin contable
auditada, d e manera que cualquier tercero pueda valorar dicha informacin y. en vu
caso, lomar decisiones sobre la base de la misma con autntico conocimiento d e causa.
Estas caractersticas son. de nuevo, aplicables al informe consecuente de la realizacin
de una auditora informtica.

U n informe debe constar d e las siguientes panes: ttulo, destinatario (a quin va

dirigido y quin efectu el nombramiento), identificacin de la entidad auditada,
prrafo de alcance (N T utilizadas y excluidas en su caso), prrafo de comparabilidad
(respecto a ejercicios anteriores), prrafo d e salvedades (detallando su efecto sobre las
cuentas anuales o su naturaleza), prrafo de nfasis, prrafo de opinin (especialmente
recalcando el principio general contable de representacin d e im agen fiel), prrafo
sobre el informe de gestin, firmas y fecha (que coincida con la de terminacin del
trabajo en la oficina de la entidad auditada)*'.

Para que el auditor pueda transmitir de form a satisfactoria su trabajo a los

colectivos interesados, el informe de auditora debe ser un documento que ha de ser
ledo y comprendido sin que los lectores encuentren dificultad o dudas en la
interpretacin del mensaje que contiene. En trminos generales, se ha producido un
rechazo al informe corto y la aceptacin generalizada d e su alargamiento, de nuevo
como una forma ms. entre otras cosas, de acortar el tan nombrado g ap de
expectativas*'.

27.7. CON CLUSION ES

Estas conclusiones tendrn do partes diferenciadas: En primer lugar,

extraeremos los puntos ms resaltables en cuanto a los elementos del contrato
analizado, y despus pasarem os a realizar un ms extenso anlisis de la situacin
actual normativamente hablando de la auditora informtica, pues e s en este punto
donde encontramos que se debe hacer hincapi a la vista d e lo estudiado
anteriormente.

Rinus Gnuifc/. M. A . Aixtawa infcnnitiu. en IxfionMuca y Drmho. n* 19-22. 199.

65? y .
*' Ltyv/ Crrale. K. "Cumplimknlu de lm nomsts tcnicas en t*m u ta dt informe- . en l'aitrd
M r. n*'H. r.y. itrrixe 1993. (Ugius 68 y u
 www.FreeLibros.me
C A P tnxo:? ll cotohato p e a iix to k u 6

El contrato de auditora informtica, com o todo lo que afecta a la regulacin

jurdica de las Nuevas Tecnologas de la Informacin y las Com unicaciones, no ex
algo que ve encuentre delimitado. La inseguridad jurdica es palpable. El objeto propio
de esta contratacin, adems de su multiplicidad, se caracteriza por la dificultad de su
configuracin jurdica. La profesin d e auditor informtico, apae de su falta de
regulacin, sufre, entre otras cosas, d e intrusismo profesional y d e extralimilacin
de sus funciones. 1.a empresa que solicita una auditora informtica suele tener dudas
en cuanto a su objeto y a su resultado. Ij diferencia de expectativas es aqu mayor
porque ni siquiera se tiene claro lo que se espera, pues se espera todo, se espera una
solucin, no una deteccin d e los problemas. En cuanto a los terceros, menos claro
tienen an la existencia y delimitacin d e la figura. Por otra pane, la causa, como
hemos visto, es escasamente legal en cuanto a periodicidad en la obligacin.

No vamos a abandonar en este ltimo apartado el obligado, esperam os que no por

mucho tiempo, esquema comparativo respecto a la auditora d e cuentas que hemos
venido siguiendo, y. por lo tanto, nos aprovecharemos del anlisis de la situacin
actual de la misma e intentaremos sintetizar los puntos m s relevantes para basar
nuestras "reivindicaciones.

Comencemos por resaltar una vez ms lo novedoso de su normativa. Slo a partir

de la LAC (1988) se regula por primera vez la profesin de auditora de cuentas,
determinndose quin puede ser auditor de cuentas, cmo debe actuar el auditor de
cuentas en el ejercicio de su profesin, los plazos para la contratacin, e l rgimen de
incompatibilidades y las responsabilidades y mecanismo sancionado. Para una
profesin que se remonta a los orgenes de las civilizaciones ms antiguas, resulta
cuando menos llamativo.

Pero adems, la auditora tiene an pendientes numerosos problemas que afectan

u n to al contenido de sus normas de trabajo, com o al alcance del mismo, o a la forma
de su expresin como actividad profesional. Temas com o la autorregulacin profe
sional. la unificacin de criterios, la incemacionalizacin de los principios contables,
conceptos como los de empresa en marcha, importancia relativa, fraude e ilegalidad, la
compatibilidad de las funciones de auditor profesional y la consultora. sobre los
procesos de concentracin, las relaciones con las autoridades, los controles
deontolgicos. o la calidad del trabajo. Tambin es necesaria una normativa comn
europea sobre aspectos relacionados con la independencia y objetividad del auditor,
las reglas de contratacin, las responsabilidades cxigiMex, los seguros de responsabi
lidad profesional, y el rgimen de control y supervisin y de sanciones aplicables por
oooductas im propias4'.

Snchez Fdez. t ViWnnnu. I L . judiiorU en el coateu econRKO k*mT. m J/.nKu

ConuNr. n*lroftkftjr>o. 199, pgin 37 y n
 www.FreeLibros.me
6*0 AUDITORIAINFORMATICA: UN EXFOQC'E mXCTKO

Apoyando c s u afirmacin, como hemos visto, el Libro Verde sobre la funcin,

posicin y responsabilidad civil del auditor legal e n la Unin Europea4*, publicado por
la Comunidad en 1996. pone de manifiesto la necesidad de homogeneizar el ejercicio
de La auditora en aspectos como su definicin, la forma y el contenido del informe, la
independencia del auditor legal, la fo m u de realizacin del control de calidad, la
responsabilidad del auditor legal... en orden a establecer las bases que permitan el
desarrollo del mercado interior de los servicios de auditoria. F.1 Parlamento Europeo,
por su parte, analiz el citado Libro Verde y aprob una Resolucin en enero de 1998
en la que consideraba, entre otras cosas, la necesidad d e concretar los objetivos mis
inmediatos, la idoneidad de la constitucin d e un su be o m it tcnico, la necesidad de
armonizar el ejercicio de la auditora en la UE resaltando la relevancia d e las normas
profesionales, la independencia del auditor y el ejercicio del control de calidad, la
responsabilidad civil de los auditores, aconsejando la suscripcin de un seguro
mnimo... En resum en, que para que se desarrolle el mercado interno de los servicios
de auditora es imprescindible que se disponga de un modelo com n de organizacin
de la actividad. La Com isin Europea, como continuacin del anterior anlisis del
Parlamento, present un documento denominado L a auditora legal en Europa: el
camino a seguir, donde se especifica que el fin d e proteccin del inters pblico, el
aumento de la arm onizacin de la informacin financiera y el incremento d e la
fiabilidad de la misma convierten a la auditora en un elemento importante para el
establecimiento y funcionamiento del m ercado nico. La Comisin es consciente de la
falta de unanimidad sobre la funcin, posicin y responsabilidad civil del auditor legal
y de la necesidad de adoptar un modelo comn que a su vez respete los estndares
internacionales en la ejecucin del trabajo, en la emisin d e la opinin y en los
controles establecidos para mejorar la calidad de los citados informes4.

En definitiva, si una profesin u n antigua com o la auditora convencional

adolece de u n ta s imperfecciones legales, con tantos problemas y aspectos sin definir y
con extremos tan absoluum cntc indefinidos, y dado el muy superior ritm o de
crecim iento c importancia de la auditora informtica, entendemos que ya se est a un
nivel de importancia, aunque sea pretendidamente soslayada, y de presencia real de la
profesin, como para reclam ar el reconocimiento d e una identidad y particularidad.
As. en un futuro cercano esperam os tener que dejar de realizar anlisis comparativos
nada satisfactorios en el estudio de las caractersticas originales y propias d e esU
profesin.

"Aprovechemos", pues, las sim ilitudes existentes y la indefinicin legal que sufre
en muchos puntos la auditora de cuentas para comenzar un proceso normativo propio
que delimite la figura de la auditora de sistemas de informacin en todos sus aspectos:
desde los subjetivos, definiendo el perfil del auditor informtico, h a su los objetivos.

Libro Ver*. /mcMi. pourin y mpomtaMida <rl del oydOoe te**) en h <M*| Ovnpea
(96021/01)
* C teM Cifu. A.. "Miimo in iitiu n o de la U y de Auditora de Coceen". cu t'arrtJa OobU.
oilmen) W. novvcmtre 199ti. pipan 4 ) u.
 www.FreeLibros.me
*__________________________________ CAFfTtlO?7:ELCONTKATOPCAUPnOWlA 641

en o anlo a la regulacin legal principalm ente, y los instrumentales u organizativos.

E s preciso lograr una regulacin, del tipo que sea. propia y del imitadora, declarativa
que no constitutiva. Je lo que e s una realidad creciente en nm ero c importancia: la
profesin de auditoria informtica.

27.8. L EC TU R A S RECOM ENDADAS

D atara Rodrguez. M. .. M anual de Derecho Informtico. Editorial Aranzadi.

Pamplona. 1997. U i proteccin de los intereses d e l consumidor ante los rutews
sistem as de comercio electrnico. Editorial CEA CCU. Madrid. 2000.

Ramos Gonzlez. M. A., La auditora informtica, en A ctualidad Informtica

Aranzadi. n 14. enero de 1995.

VV.AA.. Del Peso Navarro. E. (Director). M anual de dictm enes y peritajes

informticos: A nlisis de casos prcticos. Ediciones Daz de Santos. Madrid.
1995.

VV.AA.. Del Peso Navarro. E. y Piattini Vclihuis. M. G . (Coordinadores). Auditoria

informtica: un enfoque prctico. Ed. Ra-Ma. I* edicin. Madrid. 1998.

27.9. C U ES TIO N ES DE REPASO

1. Comparativa entre las definiciones legales- de la auditora de cuentas y la

auditora de sistemas de informacin.

2. Cul e s la naturaleza jurdica del contrato de auditora? Por qu?

3. Las Normas Tcnicas de Auditora.

4. Auditora interna frente a Auditora extem a en sistemas de informacin.

5. Las terceras personas o interesistas y la informacin en el contrato de

auditora.

6. Utilidad de los Com its de Auditora.

7. Distintos objetos en el contrato de auditora informtica.

8. La auditoria en la proteccin de datos de carcter personal.

9. La causa en el contrato de auditora.

10. Caractersticas del informe de auditora.