Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clases de Auditoria Informatica FINAL
Clases de Auditoria Informatica FINAL
AUDITORÍA INFORMÁTICA
EDITORA
© EMPRENDIMIENTOS NORA RUOTI S.R.L.
Tte. Héctor Vera Nº 1761 e/ Bélgica y Viena - Villa Morra - Asunción
Teléfonos: (595 21) 660 088 R.A. Fax: (595 21) 612 753 www.ruoti.com.py
Autor
Ing. Jorge Antonio Fernández Franco
conintegral@gmail.com
Cel.: (0971) 309351 - (0982) 976406
Edición General
Mauro Mascareño
mauro@noraruoti.com.py
Diseño y Diagramación
Gustavo Ravetti
publicidad@noraruoti.com.py
Impresión
A.G.R. Servicios Gráficos S.A.
Distribución y Ventas:
Emprendimientos Nora Ruoti S.R.L.
Marzo 2011
Asunción - Paraguay
El presente material forma parte de la Colección de Apuntes para Clases desarrollado por
los profesores de diversas cátedras en el Instituto Superior de Formación Tributaria y
Empresarial (FOTRIEM). El contenido del mismo es didáctico e ilustrativo. La Editora ni
el autor se responsabilizan por las consecuencias de su uso.
Es allí donde nos damos cuenta el gran aporte de las herramientas informáticas para
el trabajo de auditoría, contabilidad y para la administración general del Instituto.
Es como recordarnos los temas básicos y elementales, pero no por ello menos
importantes. Debo reconocer que he leído este material preparado brillantemente
por el Profesor Jorge Antonio Fernández, varias veces y cada vez me sorprendía
más y más lo que que se puede “descubrir” con simples cruces o “los riesgos” a
los que estamos expuestos.
Índice General
Capítulo I
La Auditoría de Sistemas de Información
Capítulo II
Auditoría en el Ambito Judicial - Auditoría Forense
Capítulo III
Estandares Internacionales - COBIT (Control Objectives for Information and
related Technology), Cobit versión 4.1 - Derechos de autor (Copyright ©) 2007 por el IT
Governance Institute.
Capítulo IV
ITIL (Biblioteca de Infraestructuras de Tecnologías de Información)
1. Concepto 66
2. El alcance de ITIL 66
3. Niveles de certificación ITIL para profesionales 67
Capítulo V
MCIIEF - Manual de Control Interno Informático para Entidades Financieras de la
Superintendencia de Bancos, del Banco Central del Paraguay
1. Planificación y Organización 68
2. Adquisición e Implementación 70
3. Producción y Servicios 71
4. Monitoreo 73
5. Indíce del Manual de Control Interno Informático para Entidades
Financieras de la Superintendencia de Bancos 73
Capítulo VI
Modelo de Redacción de NCI
Capítulo VII
Ejercicios Prácticos
Capítulo VIII
Directrices y papeles de trabajo para la realización de una Auditoría Informática
Capítulo IX
Glosario de Términos Técnicos
Capítulo X
Anexos
Programa de Postgrado
Especialización en Auditoría
Módulo Auditoría Informática
Fundamentación
ÍNDICE GENERAL
• Cuando hemos efectuado una planeación del enfoque de confiabilidad, efectuamos
pruebas de los controles generales para hacer una evaluación sobre la efectividad
de los mismos.
• El auditor encargado es responsable de obtener entendimiento y recopilar infor-
mación descriptiva sobre la instalación del área informática y de los controles
generales que en ella son realizados.
• Normalmente el entendimiento y la información descriptiva acerca de la ins-
talación y de los controles generales se obtienen por medio de indagación, Ob-
servación e inspección limitada de documentos. Dichos procedimientos también
puede proveer evidencia de la auditoría sobre la efectividad del diseño y la ope-
ración de los procedimientos pertinentes de control y servir prueba de control.
Objetivos
Metodología
Contenido
Capítulo I
1.1 La Auditoría de Sistemas de Información
1.2 La auditoría
1.3 El alcance de la Auditoría de Sistemas de Información
1.4 Características de la Auditoría de Sistemas de Información
1.5 Síntomas de necesidad de una Auditoría de Sistemas de Información
1.6 Tipos y clases de Auditoría de Sistemas de Información
1.7 Auditoría Informática de Explotación
1.8 Auditoría Informática de Desarrollo de Proyectos o Aplicaciones
1.9 Auditoría Informática de Sistemas
1.10 Auditoría Informática de Comunicaciones y Redes
1.11 Auditoría de la Seguridad informática
1.12 Perfil del Auditor de Sistemas de Información
Capítulo II
2.1. Escenarios de la Auditoría de Sistemas de Información
2.1.1 Ambiente de Informática
2.2.2 Organización
2.2.3 Aplicativos
2.2.4 Base de datos
2.2.5 Redes de comunicación y micro computadores
2.2.6 Desarrollo de sistemas
Capítulo III
3. Auditoría en el ambito Judicial - Auditoría Forense
Capítulo IV
4. Estandares Internacionales - COBIT
4.1 COBIT cubre cuatro dominios
4.1.1 Planificación y Organización
4.1.2 Adquisición e Implementación
4.1.3 Servicios y Soporte
4.1.4 Monitoreo
Capítulo V
Programa de auditoría de evaluación de TI y descripción de indicadores
Sistema de Evaluación
Las evaluaciones de los participantes están establecidas con base en un total de 100 puntos.
Estos puntos podrán otorgados de la siguiente manera:
A – Asistencia y Participación:
Esto implica que los alumnos deberán emitir sus opiniones, criticas, experiencias,
anécdotas, sugerencias, etc. Todo esto dentro de un marco de respeto profesional
hacia los compañeros y el docente.
B – Desarrollo de Trabajo
Será desarrollado una auditoría real a empresa del medio, considerando las áreas
del entorno informático con la elaboración de los papeles de trabajos y los informes
respectivos, el trabajo será encuadernado y presentado en clase, sobre esta base
considerará la evaluación académica, así mismo se desarrollará dos casos prácticos
presentado por el instructor y que será anexado al trabajo principal.
Desarrollo de Contenido
La Auditoría de Sistemas de Información
La auditoría
Presentación del curso, objetivos, metodología, esquema Presentación-
II de trabajo y evaluaciones. docente
Desarrollo de contenido
Escenarios de la auditoría de sistemas de información Presentación-
Ambiente de Informática docente
Organización
Aplicativos
Base de datos
Redes de comunicación y micro computadores
Desarrollo de sistemas
Auditoría en el ambito judicial - auditoría forense
Definición y alcance de la auditoría forense
Auditoría forense: ¿quiénes demandan este servicio?
Evidencia Digital
Características de una evidencia digital
Desarrollo de casos práctico I - II
III Estandares Internacionales - COBIT Presentación-
docente
COBIT cubre cuatro dominios
Planificación y Organización
Adquisición e Implementación
Servicios y Soporte
Monitoreo
Programa de Auditoría Informática
Programa de auditoría de evaluación de TI y descripción de
indicadores
Presentación-
Cuestionario 01 - Evaluación de la estructura
docente
Cuestionario 02 - Sistemas de Información
IV Programa de Auditoría Informática Presentación-
Programa de auditoría de evaluación de TI y descripción de docente
indicadores
Cuestionario 03 - Seguridad Lógica
Cuestionario 04 - Seguridad Física
Cuestionario 05 - Documentaciones de TI
Cuestionario 06 - Evaluación de RR.HH.
V Desarrollo y revisión de trabajos Trabajo en
grupo
VI Presentación de los trabajos de investigación Presentación-
en plenaria
Bibliografía Nacional
Bibliografía Extranjera
Webgrafía
www.ilo.org/public/spanish/region
www.ub.es/geocrit
www.iso.org/iso
www.iso.org/iso/en/Standards
www.ieee.org
www.ieee.org.mx
www.computer.org
www.iee.org
Capítulo I
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información de
la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a
los generales de la misma. En consecuencia, las organizaciones informáticas forman
parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe
aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, existe la Auditoría Informática.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas
colegiado. En un principio esta definición carece de la explicación del objetivo
fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Prof. Jorge Antonio Fernández F. - Auditor de Sistemas de Información 25
conintegral@gmail.com
www.ruoti.com.py
De todo esto sacamos como deducción que la auditoría es un examen crítico pero
no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un
organismo.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al
control correspondiente, o al menos debería estarlo. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.
2. Nacimiento Auditoría
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar
con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar
sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible
y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la
gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que
suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente
por las empresas auditoras, ya que son activos importantes de su actividad. Las
Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si
son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a
los esperados por la empresa auditora. La Check List puede llegar a explicar cómo
ocurren los hechos pero no por qué ocurren.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él
mismo.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoría de Inversión Informática
en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser
Desarrollo o Técnica de Sistemas.
28 Material editado para el desarrollo de las clases de postgrado de FOTRIEM
y otros que deseen utilizarlo con mención de la fuente.
Apuntes para Clases de
AUDITORÍA INFORMÁTICA
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan
en una auditoría parcial. De otra manera: cuando se realiza una auditoría del área
de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese
Desarrollo existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
Seguridad Lógica.
Seguridad Física.
Confidencialidad.
Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales.
Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la
empresa, y después se van reciclando.
Cada Área Específica puede ser auditada desde los siguientes criterios
generales:
Análisis funcional
Diseño
Análisis orgánico (Pre programación y Programación)
Pruebas
Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario,
además del disparo de los costos, podrá producirse la insatisfacción del usuario.
Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido
de garantizar que los ejecutados por la maquina sean exactamente los previstos y no
otros.
Como este sistema para auditar y dar el alta a una nueva Aplicación es bastante
ardua y compleja, hoy (algunas empresas lo usarán, otras no) se utiliza un sistema
llamado U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de
esta Aplicación use la Aplicación como si la estuviera usando en Producción para
que detecte o se denoten por sí solos los errores de la misma.
Auditoría tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del
usuario sea un Sign Off por todo.
Deben revisarse los parámetros variables de las Librerías más importantes de los
Sistemas, por si difieren de los valores habituales aconsejados por el constructor.
Es fundamental para el auditor conocer los productos de software básico que han
sido facturados aparte de la propia computadora. Esto, por razones económicas y por
9.4. Tunning
* Optimización:
Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene
nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando,
la Aplicación se va poniendo cada vez más lenta; porque todas las referencias a
tablas es cada vez más grande, la información que está moviendo es cada vez
mayor, entonces la Aplicación se tiende a poner lenta. Lo que se tiene que hacer
es un análisis de performance, para luego optimizarla, mejorar el rendimiento de
dicha Aplicación.
El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones
y hechos alejados entre sí, y está condicionado a la participación del monopolio
telefónico que presta el soporte.
Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas”
o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad
de transmisión del virus. El uso inadecuado de la computadora comienza desde la
utilización de tiempo de máquina para usos ajenos de la organización, la copia de
programas para fines de comercialización sin reportar los derechos de autor hasta
el acceso por vía telefónica a bases de datos a fin de modificar la información con
propósitos fraudulentos.
acceso a información confidencial. Dichos paquetes han sido populares desde hace
muchos años en el mundo de las computadoras grandes, y los principales proveedores
ponen a disposición de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para linux,
que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser:
accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía
permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los
servidores, fecha y hora, accesos con password equivocada, cambios de password,
etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.
Elementos administrativos:
• Definición de una política de seguridad
• Organización y división de responsabilidades
• Seguridad física y contra catástrofes (incendio, terremotos, etc.)
• Prácticas de seguridad del personal
Elementos técnicos y procedimientos:
• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Ejemplo:
Impacto Amenaza 1: Improbable
Error Incendio Sabotaje 2: Probable
Destrucción
- 1 1 3: Certeza
de Hardware
Borrado de -: Despreciable
3 1 1
Información ……..
El cuadro muestra que si por error codificamos un parámetro que ordene el borrado
de un fichero, éste se borrará con certeza.
• Observación
• Realización de cuestionarios
• Entrevistas a auditados y no auditados
• Muestreo estadístico
• Flujogramas
• Listas de checkeo
• Mapas conceptuales
Este tipo de auditoría cubre las áreas de seguridad física y lógica, planes de
contingencias y operación de TI.
13.2. Organización
Este tipo de auditoría engloba aspectos generales, tales como: políticas, normas,
y procedimientos de la Compañía, responsabilidades organizacionales del Área se
Informática, gerencia de personal, y planeamiento de capacidad.
13.3. Aplicativos
Esta es el área de TI que más se desarrolló en los últimos años. Para realizar un buen
trabajo, se debe identificar primeramente las tecnologías utilizadas por la unidad
a ser auditada y capacitarse antes de iniciar la auditoría. En este tipo de auditoría
serán verificadas las actividades de la gerencia, operación y seguridad de redes de
comunicaciones y micro computadoras. También serán analizados los controles de
software de red y de micros.
Es el conjunto de elementos lógicos necesarios para que se puedan realizar las tareas
encomendadas al mismo.
Ideas
Software Datos o informaciones
Conjunto de órdenes
Entradas:
• Datos generales del cliente: nombre, dirección, tipo de cliente, etc.
• Políticas de créditos: límite de crédito, plazo de pago, etc.
• Facturas (interfase automático).
• Cobros contado, créditos etc.
Proceso:
• Cálculo de antigüedad de saldos.
• Cálculo de intereses moratorios.
• Cálculo del saldo de un cliente.
Almacenamiento:
• Movimientos del mes (pagos, depuraciones).
• Catálogo de clientes.
• Datos Facturas.
Salidas:
• Reporte de pagos.
• Estados de cuenta.
• Asientos contables (interfase automática)
• Consultas de saldos en pantalla de una terminal – Modo WEB.
Los Sistemas de Información cumplen tres objetivos básicos dentro de las or-
ganizaciones:
Capítulo II
http://www.interamericanusa.com/articulos/Auditoría/Audi-fore-tec-inv.htm.
Una revisión del sistema criminal de justicia para determinar los crímenes
económicos en el sector público y toda la legislación relevante con una visión para
identificar cualquier deficiencia material y reportarla adecuadamente;
Entidades de carácter público como son las compañías que cotizan sus valores
en bolsas de comercio, cuyos accionistas pueden estar expuestos en sus intereses,
especialmente aquellos accionistas minoritarios que no tienen injerencia en las
decisiones de la compañía.
3. Evidencia Digital
a) Es volátil
b) Es anónima
c) Es duplicable
d) Es alterable y modificable
e) Es eliminable
Capítulo III
1.1. Misión
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control
de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
1.2. Visión
COBIT ofrece una visión y ámbito de aplicación mucho más allá de una auditoría.
* Planificación y Organización
* Adquisición e Implementación
* Servicio y Soporte
* Monitoreo
* Planificación y Organización
Para llevar a cabo la estrategia de TI, las soluciones deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes.
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
56 Material editado para el desarrollo de las clases de postgrado de FOTRIEM
y otros que deseen utilizarlo con mención de la fuente.
Apuntes para Clases de
AUDITORÍA INFORMÁTICA
2.4. Monitoreo
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Los estándares y las mejores prácticas no son una panacea y su efectividad depende de
cómo hayan sido implementados en realidad y de cómo se mantengan actualizados.
Son más útiles cuando se aplican como un conjunto de principios y como un punto
de partida para adaptar procedimientos específicos.
Para lograr la alineación de las mejores prácticas con los requerimientos del
negocio, se recomienda que COBIT se utilice al más alto nivel, brindando así un
marco de control general basado en un modelo de procesos de TI que debe ser
aplicable en general a toda empresa.
Las prácticas y los estándares específicos que cubren áreas discretas, se pueden
58 Material editado para el desarrollo de las clases de postgrado de FOTRIEM
y otros que deseen utilizarlo con mención de la fuente.
Apuntes para Clases de
AUDITORÍA INFORMÁTICA
COBIT está orientado a los objetivos y al alcance del gobierno de TI, asegurando que
su marco de control sea integral, que esté alineado con los principios de Gobierno
Corporativo y, por lo tanto, que sea aceptable para los consejos directivos, para la
dirección ejecutiva, para los auditores y reguladores.
En el Apéndice II, se ofrece un mapa que muestra cómo los objetivos de control
detallados de COBIT se relacionan con las cinco áreas de enfoque del gobierno de
TI y con las actividades de control de COSO.
• La sección 1 contiene una descripción del proceso que resume los objetivos del
proceso, con el objetivo de control de alto nivel representado en formada de
cascada. Esta página también muestra el mapeo de este proceso con los criterios
de información, con los recursos de TI y con las áreas de enfoque de gobierno
de TI, indicando con una P la relación primaria y con una S la secundaria.
• La sección 2 contiene los objetivos de control detallados para este proceso.
• La sección 3 contiene las entradas y salidas del proceso, la matriz RACI, las
metas y las métricas.
• La sección 4 contiene el modelo de madurez para el proceso.
• Las entradas del proceso son lo que el dueño del proceso requiere de otros.
• Los objetivos de control en la descripción del proceso describen lo que el
dueño requiere hacer.
• Las salidas del proceso son lo que el dueño debe entregar.
• Las metas y las métricas describen cómo se debe medir el proceso.
• La matriz RACI define qué se debe delegar y a quién.
• El modelo de madurez muestra qué se debe hacer para mejorar.
Los roles en la matriz RACI están clasificados para todos los procesos como sigue:
• Director ejecutivo (CEO)
• Director financiero (CFO)
• Ejecutivos del negocio
• Director de Informática (CIO)
• Dueño del proceso de negocio
• Jefe de operaciones
• Arquitecto en jefe
• Jefe de desarrollo
Ciertos procesos específicos tienen un rol adicional especializado específico para ese
proceso, Ej., mesa de servicio/administrador de incidentes para DS8.
Todos los usuarios potenciales se pueden beneficiar del uso del contenido de COBIT
como una aproximación completa a la gestión y gobierno de TI, junto con otros
modelos de estándares detallados como:
Las entradas y salidas se han añadido para ilustrar lo que los procesos necesitan de
otros y lo que típicamente generan.
También se proporcionan actividades y responsabilidades asociadas. Las entradas
y las metas de las actividades reemplazan a los factores críticos de éxito de COBIT
3ra Edición.
Las métricas ahora se basan en una cascada consistente de metas de negocio, metas
de TI, de proceso y de actividades. El juego de métricas de COBIT 3ra Edición
también se corrigió y mejoró para hacerlo más representativo y medible.
Desde Entradas
PO5 Reportes de costo / beneficio
PO9 Evaluación de riesgo
PO10 Portafolio de proyectos actualizado
DS1 Requerimientos de servicio nuevos / actualizados; portafolio de servicios actualizado
* Estrategia y prioridades del negocio
* Portafolio de programas
ME1 Entradas a desempeño de planeación de TI
ME4 eporte del estado del gobierno de TI; dirección estratégica de la empresa para TI
* Entradas provenientes de fuentes externas a COBIT
Salidas Hacia
Plan estratégico de TI PO2... PO6 PO8 PO9 AI1 DS1
Plan táctico de TI PO2...PO6 PO9 AI1 DS1
Portafolios de proyectos de TI PO5 PO6 PO10 AI6
Portafolio de servicios de TI PO5 PO6 PO9 DS1
Estrategia de contratación externa de TI DS2
Estrategia de adquisición de TI AI5
Matriz RACI
Funciones
Capítulo IV
1. Concepto
2. El alcance de ITIL
La ITIL está dividida en nueve áreas, que abarcan todos los problemas encontrados
por los administradores de sistemas de TI. Los dos primeros se consideran el núcleo
del método ITIL:
Capítulo V
De modo a demostrar y comentar las normativas que afectan a la seguridad del área
de informática, en nuestro mercado la única instancia de control, y que se encuentra
implementado para las entidades regidas por la Superintendencia de Bancos del
Banco Central del Paraguay, es el Manual de Control Interno para Entidades
Financieras, aprobado por resolución Nº 188 del año 2002.
1. Planificación y Organización
2. Adquisición e Implementación
Para poner en práctica las estrategias definidas se deben identificar soluciones de TI,
adquirirlas o desarrollarlas, y por supuesto hacerlas operativas, implementando e
integrándolas como procedimientos del día a día.
Forman parte de esta área todas las modificaciones que hacen posible la continuidad
operativa de lo implantado, tanto para adecuaciones que devienen de cambios en el
entorno como aquellas que se refieren a mejoras operativas.
3. Producción y Servicios
Esta área abarca las actividades que relacionadas con los sistemas en producción
de los servicios de TI, engloban las actividades tradicionales de producción, las de
entrenamiento, los procedimientos para garantizar la continuidad de los servicios,
operaciones de seguridad, etc.
También abarcan las actividades de soporte a los sistemas en producción. Esta área
incluye el procesamiento de los datos por sistemas de aplicación.
4 Monitoreo
Capítulo I
Instrucciones para uso del manual 1
1. Uso del manual 1
1.1 Contenido 1
1.2 Formato 2
1.2.1 Encabezado
1.2.2 Texto
1.2.3 Pie
2. Actualizaciones 3
2.1 Versión
2.2 Revisiones
2.3 Reemplazo de Paginas
2.4 Inclusión de Pagina
Capítulo II
Introducción 4
Capítulo III
Objetivos 6
Capítulo IV
Marco De Referencia MCIIEF 8
Capítulo V
Planificación y Organización 9
Definición del Plan Estratégico de TI 9
Definición de la arquitectura de información 12
Determinación de la dirección tecnológica 14
Definición de la organización de la Unidad de TI 16
Administración de la inversión en TI 20
Administración de Recursos Humanos 22
Cumplimiento de requisitos externos 25
Administración de proyectos 27
Administración de la calidad 31
Capítulo VI
Adquisición e Implementación 35
Identificación de soluciones 35
Adquisición y mantenimiento de software de aplicación 38
Adquisición y mantenimiento de tecnología 42
Importante
Capítulo VI
2. Organización de la Estructura de TI
• Brindar una estructura sólida para la seguridad física del área informática
resultado un Plan de TI a Largo Plazo de alta calidad, el cual cubra las cuestiones
básicas respecto a que, quien, cómo y cuándo.
El Plan de TI a largo plazo debe estar alineado con el Plan de Negocios a largo plazo
de la Empresa.
plazos establecidos. Además, debe adecuar el Plan a los cambios que acontecen en
TI y a los cambios en los Planes a largo Plazo de la Entidad.
El Plan de TI a corto plazo debe estar alineado con el Plan de Negocios a corto plazo
de la Entidad.
Además, debe adecuar el Plan a los cambios que acontecen en TI y a los cambios en
los Planes a largo Plazo de la Entidad.
4. Sistemas de Información
4.1. Integración de módulos – ERP (Los Sistemas del tipo ERP (Enterprise
Resource Planning) se han definido como un sistema global de planifica-
ción de los recursos y de gestión de la información)
4.3. Pruebas del sistema en forma paralela antes del traspaso a producción
Riesgo: Están los riesgos de dar la aceptación final sin tener los requerimientos
necesarios del sistema en donde al empresa proveedora podría dejar de realizar los
cambios exigidos por la entidad al tener el documento de conformidad final de los
mismos.
Se requiere cumplir con todos los procedimientos que formalicen la calidad del
sistema antes de dar la aceptación final.
Objetivo de control: Los propietarios de datos, deben definir criterios a aplicar para
el cierre de los sistemas principales, facturación, contabilidad, caja entre otros
Chequeo de los controles asumidos por las dependencias { }, en los sistemas { }, por
los órganos creados para la misma dentro de la entidad.
Riesgo: Perdida de información o errores en los datos que pueden provocar una gran
pérdida a la entidad en materia de producción.
Se podrían presentar riesgos en las distintas fases del ciclo de vida del sistema.
7. Seguridad Física
Observación:
102 Material editado para el desarrollo de las clases de postgrado de FOTRIEM
y otros que deseen utilizarlo con mención de la fuente.
Apuntes para Clases de
AUDITORÍA INFORMÁTICA
Riesgo:
Recomendación:
Riesgo: Se puede violar fácilmente los controles en sitios de alta complejidad para
la continuidad del negocio de la Entidad como en la parte Técnica, Administrativa,
Comercial y la Gerencia de TI.
Observación: Hemos observado que no existe un servidor espejado fuera del recinto
principal.
Riesgo: Los servidores podrían no cumplir con los servicios apropiadamente, o ser
inútiles de acuerdo al uso que se desee darle.
Se debería especificar una garantía del sistema operativo libre “Linux / Otros” en
cuanto a soporte pos-funcionamiento.
“Todo cableado de red debe estar certificado por la empresa que ha desarrollado el
cableado estructurado. La certificación se realiza a través de equipos especiales, que
emiten un reporte de la calidad de la señal a través de rangos”.
Riesgo: Perdida paquetes mientras se envía información por la red. Podría existir
perdida de intensidad de la señal de comunicaciones. Los datos podrían no estar
disponibles en momentos necesarios.
Objetivo de control:
Observación: Hemos observado que la sala de servidores no cuentan con ups a fin
de suministrar la energía necesaria en caso de falta de la misma.
Recomendación: Los manuales de usuarios deben ser exigidos por las autoridades
al Proveedor en tiempo y forma para asegurar su elaboración a los usuarios finales.
Riesgo: El riesgo de salir del cronograma de la ejecución del contrato por burocracias
en las gestiones en el medio de la solicitud de reajustes y su vaivén en el proceso de
aceptación.
Recomendación: Se recomienda confirmar los controles que hacen los fiscales para
el fiel cumplimiento de los plazos en los trabajos establecidos en la ejecución del
contrato.
Capítulo VII
Ejercicios Prácticos
¿Podría haberse evitado esto? Quizá ¿Podrían haberse minimizado los daños y el
tiempo de no operación por medio de unos mejores procedimientos de seguridad?.
Definitivamente si.
El auto de acusación por dos cargos que se anuncio en el distrito Federal de los Estados
Unidos, en Newark, Nueva Jersey, determina que Lloyd causó intencionalmente un
daño irreparable al sistema computacional de Omega al activar una bomba lógica
que borró de manera permanente todos los avanzados programas de software de la
empresa. Una bomba lógica es un programa doloso que se fija para que sea activado
en un determinado momento.
Prof. Jorge Antonio Fernández F. - Auditor de Sistemas de Información 119
conintegral@gmail.com
www.ruoti.com.py
Esto es exactamente lo que sucedió dice Aldi Francesco, director de recursos humano
de Omega tres semanas después de que Lloyd fuera despedido nuestros empleados
llegaron a trabajar y no pudieron hacer trabajar sus computadores, dice el. La empresa
descubrió rápidamente que todos los archivos de la red habían sido borrados. Al
igual que muchas otras compañías que habían sido víctimas de este tipo de ataque,
Omega creía que tenía mecanismos de seguridad adecuados en funcionamiento.
Entonces, ¿qué es lo que salió mal? Para empezar además de ser el diseñador
jefe de los programas de redes computacionales de Omega, Lloyd también era el
administrador de redes de la empresa. Y sus 11 años en el cargo significa que
conocía todos los pormenores del sistema y tenía todos los privilegios de supervisión
para hacer ediciones cambios y eliminaciones dentro de las redes.
A raíz del daño ocasionado por la bomba lógica, omega ha instalado lo último en
sistemas de seguridad y la empresa ya no volverá a poner todos los huevos en una
sola canasta. Nos estamos asegurando de duplicar todas nuestras informaciones de
la base de datos, el código de software y los archivos además almacenaremos, todo
esto fuera del sitio dijo DiFrancesco.
conlleva una multa máxima que podría fluctuar entre $$ 250,000 y el doble de la
pérdida o ganancia del delito, informó en una declaración el despacho del procurador
de los Estados Unidos.
Seguro de Cesantía
Demanda a la Victima
Fraude a Texaco
El Zuperzap
Empleado Inexistente
Cumbre de Presidentes
Negocios Extras
Correo de Votantes
Los archivos pudieron ser recuperados después de cierto trabajo, puesto que no
existían respaldos muy actualizados.
Las cintas en cuestión contenían el código fuente de una versión del sistema operativo
UNIX. El valor en el mercado negro de las cintas podrá ser de varios millones de
dólares. El mencionado, Ingeniero quedó en libertad con una fianza de USS 10.000.
Aparentemente, alguien que conocía el sistema, tenía programada una bomba lógica,
la cual no destruyó datos pero retrasó el procesamiento. La investigación continuó,
sin encontrarse culpables.
Frye no supo exactamente como había llegado el listado a manos de ACME, pero
si conocía el valor que éste representaba. Frye no había implantado las medidas
correctas que permitieran disminuir el riesgo de un robo. Actualmente todos los
listados son firmados por los empleados. Además, la empresa tiene un contrato
con una firma que recoge los restos de listados importantes que se encuentran
distribuidos en la firma.
En Chile, conocimos el caso de una empresa comercial, donde uno de sus operadores
computacionales respaldó a cinta la base de clientes de la empresa. Esta fue
ofrecida a una serie de empresas de la competencia de las cuales varias accedieron
a comprarla.
La transacción fue denunciada por una de las empresas a las que se le ofreció la
información, iniciándose acciones legales contra el operador y los ejecutivos de las
empresas compradoras. La acción legal fue bajo la Ley Nº 19923 que tipifica los
delitos relativos a la Informática, sin embargo, ninguno de los inculpados terminó
con penas de presidio.
Usando los nombres de los empleados que trabajaban “sobre tiempo” (horas
extras) frecuentemente, este funcionario llenó formularios de “sobre tiempo”, pero
en muchos de ellos usó su propio número de empleado.
De este modo, obtuvo varios miles de dólares en el año por concepto de “sobre
tiempo”. Fue, finalmente descubierto por un auditor que notó el valor inusual del
monto de la renta durante una revisión del sistema de remuneraciones.
La pena para Mr. Russo fue de cuatro años de prisión. El sumario que se siguió
en este caso también alcanzó a la División Sistemas de Story Brook y los cargos
contra ella alcanzaron una pena de US$ 100.000.
llamarlo al medio día si no, lo lamentaría”. El señor Finnerty hizo la llamada, pero
usó un teléfono del departamento de policía de Minneapolis. De este modo aquella
conversación fue grabada.
El programador. Mr. P., deseaba recibir un salario de US$ 3000 por semana hasta que
encontrara trabajo. Si el dinero no se pagaba, el podía hacer funcionar una bomba
lógica cuando deseara. De este modo, alegaba tener poder sobre los archivos de
datos, con valor de US$ 500.000 para la firma. Puesto que Mr. P. había escrito la
mayoría de todos los sistemas de Tipboard, su amenaza fue tomada en serio.
La bomba lógica estaba en un archivo que tenía una protección de password que
cambiaba todos los días. Pero los consultores fueron capaces de eludir el password
y accesar el archivo, y de esta forma, la bomba lógica fue localizada y removida del
sistema.
El sistema estaba enganchado a Internet, de tal modo que era fácil que Mr. P.
planeara hacer funcionar su bomba desde una instalación remota.
Como un elemento más, Minnesota Tipboard había pagado por crear su propio
monstruo Mr. P. había recibido todos sus conocimientos computacionales gracias
a la compañía. Mr. P. no fue arrestado. Un representante legal señaló que los cargos
por extorsión fueron eliminados.
Los cargos contra el estudiante, sin embargo, fueron eliminados puesto que
su abogado acusó de negligencia a la Universidad debido al pobre sistema de
seguridad que tenía implantado en sus sistemas.
El director del centro de cómputos desconocía el hecho que los archivos de notas no
se encontraban debidamente protegidos.
El fraude fue descubierto durante una auditoría interna. Sin embargo, los auditores
tenían dos problemas:
Una vez hecha la verificación con el Banco, los auditores pudieron determinar que el
poseedor de la cuenta tenía la misma dirección que el funcionario de remuneraciones.
El empleado fue despedido juzgado, acusado y enviado a prisión.
Se desconoce quien hizo tal “broma”, aún cuando hay rumores que esta pudo venir
de un “hacker” en Suecia o desde la red de la Universidad de Chile.
Un caso similar conocimos en Chile, hace unos años, cuando el gerente de una empresa
textil contrató a unos consultores para que seleccionaran un nuevo computador
que reemplazara al viejo WANG, ya que estaba copado. Durante el relevamiento
de antecedentes, se comprobó que en verdad el computador estaba absolutamente
copado (falta tiempo de proceso, espacio en disco y tiempo de impresión).
Sin embargo, uno de los consultores, que se quedó un día a trabajar fuera de
las horas normales, descubrió que durante la noche le llevaban la contabilidad a
una industria electrónica, usando los mismos programas de la empresa textil con
algunas modificaciones.
El “San Francisco Examiner”, reportó que el Comité Watergate del Senado, estaba
investigando el uso secreto de un computador de propiedad de Herbcrt Kalm Bach,
secretario personal del Presidente Nixon.
Este computador fue usado para accesar el sistema de correos del comité “Mc Govern
for President” de California. El servicio computacional tenía por función destruir o
Prof. Jorge Antonio Fernández F. - Auditor de Sistemas de Información 129
conintegral@gmail.com
www.ruoti.com.py
retardar y, en algunos casos, modificar el archivo con el correo, de tal forma que la
literatura con la propaganda política llegar a la residencia de los votantes uno o más
días después de las elecciones municipales.
Relevamiento de Hardware
Relevamiento de Software
Relevamiento de RR.HH.
Problemas detectados
Hardware
• Un servidor dedicado Pentium IV 3000 Mhz, con 1 Gb. de memoria RAM
• Un Servidor dedicado Pentium III 2000 Mhz, con 540 Mb. de memoria RAM
• Veinte estaciones Clientes Pentium III 1000 Mhz. con 128 memoria RAM
• Diez estaciones de impresión, impresora LX 300 matricial
• Cinco impresora HP 3650 inyección de tinta
Software
• Sistema operativo de red Windows 2003 Server, Sistema de red
• Windows XP con licencia para 3 usuarios
• Office XP con licencia para 3 usuarios
• Sistemas de producción: Contabilidad, Control presupuestario, Aportes,
Solidaridad, Jubilaciones, Sueldos y Jornales, Tesorería, Préstamos.
RR.HH
• Encargado del Centro de Cómputo: Pedro Paredes. Estudiante de Administración.
• Sub-encargado: 3 Analistas de sistemas.
Parametro Institucional
• Sede central: Asunción
• Sucursales en el interior: CDE y Concepción
• Cantidad de Funcionarios: 46
• Cantidad de Funcionarios con requerimientos de informática: 39
Prof. Jorge Antonio Fernández F. - Auditor de Sistemas de Información 133
conintegral@gmail.com
www.ruoti.com.py
Problemas identificados:
Tarea: Se solicita:
Capítulo VIII
Modelo II
1.4 No se dispone
1.5 Está desactualizado
Observación:
2 – Identificación del responsable de la Gerencia de TI.
2.1 Presidente
2.2 Gerente General
2.3 Gerente Administrativo
2.4 Administrador
2.5 Contador
2.6 Otros
Observación:
3 - Organización de la Gerencia de TI.
3.1 Gerente
3.2 Analista Funcional
3.3 Analista Programador
3.4 Administrador de BD
3.5 Administrador de Redes
3.6 Programador
3.7 Soporte Técnico
Observación:
23.3 No disponible
Observación:
24 – Software propietario sin licencias.
24.1 Disponibilidad de software propietario sin licencia,
instalado en los servidores y estaciones de trabajos.
24.2 No existen software propietario sin licencias.
Observación:
25 – Conexión LAN.
25.1 Topología.
25.2 Protegido.
25.2 No existe un plano de instalación.
Observación:
26 – Aplicación de intranet.
26.1 Administrado por un responsable, para evitar accesos a páginas
no permitidas, así como programación para disminuir los SPAN.
26.2 No existe un responsable.
Observación:
27 – Conexión externa.
27.1 Tipo de conexión.
27.2 Criterios de seguridad aplicado.
Observación:
55 – Normalización de datos.
55.1 Se encuentran normalizados
55.2 No se encuentran normalizados
Observación:
56 – Mecanismos y procedimientos para actualizar la documentación, cuando se
producen cambios en los sistemas.
56.1 Existen mecanismos para la actualización
de los manuales de documentaciones.
56.2 No existen mecanismos.
Observación:
57 – Definición de la cantidad de personas de informática asignadas al desarrollo y
mantenimiento de los sistemas.
57.1 Es suficiente la cantidad de
desarrolladores, considerando los proyectos.
57.2 No son suficientes.
Observación:
58 – Dominio acabado de los sistemas por parte del personal de desarrollo.
58.1 Los analistas tienen dominio acabado de
los sistemas y herramientas de desarrollo.
58.2 Es necesario más capacitaciones.
Observación:
59 – Capacitación adecuada de los usuarios para la utilización de los sistemas.
59.1 Se ha desarrollado capacitaciones adecuadas.
59.2 No se ha desarrollado capacitaciones.
59.3 No existe una capacitación adecuada y un
mecanismo de capacitaciones para nuevos usuarios.
Observación:
60 – Procedimientos para creación de usuarios de red.
60.1 Solicitud documentada por los usuarios
solicitantes, y autorizados por la jefatura inmediata, y
aprobada por la Gerencia de TI.
60.2 No se encuentra documentado, verbal.
Observación:
76.3 No se dispone.
Observación:
77 – Climatización adecuada del ambiente de la sala de servidores.
77.1 Existe una climatización adecuada.
77.2 No existe una climatización adecuada.
Observación:
78 – Control de acceso al departamento de informática, registros de bitácoras de
accesos.
78.1 Existe un control restringido, y se deja una bitácora
de acceso.
78.2 Existe una restricción de acceso, pero no se deja una
bitácora de acceso.
78.3 No existe control alguno.
Observación:
Conclusion de la Auditoría
.....................................................
RESPONSABLE
Fecha:........./................/..................
__ de _________ de 20......
Señores
****El Cliente****
Dirección
De nuestra consideración:
4.1. Objetivo
Nuestro plan buscará asegurar que los objetivos de auditoría se cumplan en tiempo
y de una manera eficiente.
Para cumplir con los objetivos trazados inicialmente, nuestro examen comprenderá,
entre otros los siguientes procedimientos:
• Relevamiento organizacional: Análisis del área informática recursos
humanos, hardware, software y comunicaciones.
• Auditoría a programas y usos de tablas: Seguimiento a la auditoría de
programas y tablas.
• Sistemas de archivos: Seguridad respecto a la posibilidad de recuperación de
los archivos dañados por corte de energía eléctrica, contaminación de virus
etc. Evaluación de los usuarios que acceden a las bases de datos.
• Evaluación de la seguridad: Del ambiente informático, de los distintos
niveles de accesos a los menús de los sistemas, confidencialidad de los datos,
seguridad de acceso físico al centro de cómputo, procedimientos a seguir en
casos de imprevistos; políticas sobre copias de seguridad y resguardo de
información, políticas sobre mantenimiento de hardware y software.
• Evaluación de los procedimientos: administrativos, segregación de funciones,
4.4. Metodología
Esta oferta tiene validez hasta 30 días de haber sido presentada la propuesta.
Fecha...........,.............................de 20..........
Señor……
Presidente……….
El cliente…………….
Ciudad
De nuestra consideración:
Atentamente,
Capítulo IX
Este documento fue extraído del Manual de Control Interno Informático para
Entidades Financieras, de la Superintendencia del Bancos del Banco Central del
Paraguay, de la dirección web – www.bcp.gov.py/sb-bcp.py, documento de uso
público.
Acceso lógico: Se refiere a la acción del usuario que le lleva a utilizar y/o visualizar,
y/o modificar y/o borrar datos o programas. Para que el usuario tenga acceso lógico,
en ocasiones no es necesario que tenga acceso físico a los medios computacionales,
pues el usuario que se encuentra en una ubicación remota respecto a los sistemas
computacionales a los cuales desea tener acceso lógico, puede tener dicho acceso a
través de sistemas de comunicación que hacen posible el acceso.
Data Mining: Software que accede a bases en modo OLAP o Data Warehouse, y es
capaz de ejecutar algoritmos avanzados tales como los de análisis de perspectivas
con distribución activa de la información. Utilizan masivamente algoritmos de
inteligencia artificial, tales como los de redes neuronales, lógica difusa, análisis
avanzado de regresión, teoría del caos, técnicas estadísticas, clustering, árboles de
decisión, etc. Se utilizan principalmente para predicción en base a grandes volúmenes
de datos. Soluciona incluso problemas en los cuales resulta difícil aislar variables
determinísticas.
definiciones lógicas tienen efecto físico de creación de las estructuras en los medios,
por lo general en disco, también, las definiciones tienen efecto en todo el sistema,
puesto que sin volver a hacerlas en los programas, ya están disponibles dentro de
los mismos para su utilización directa, y por último, y lo que es más importante,
las reglas de integridad son implementadas automáticamente por los motores de
datos, de manera que ellas son respetadas aunque no hayan sido programadas en
los programas de aplicación. Ver Métodos formales de definición y evaluación
de diccionarios de datos en: Análisis Estructurado Moderno – Edward Yourdon –
Editora Campus: Capítulo 10; Análisis Estructurado de Sistemas – Chris Gane y
Trish Sarson – Editorial el Ateneo: Capítulo 4 Construcción y uso de un Diccionario
de Datos, y Capítulo 6, Definir el contenido de los Almacenamientos de Datos.
y mantenimiento.
para efectuar cierto tipo de operaciones. Se pueden dar como ejemplo: Acceso a
programas de aplicaciones, acceso al software de programación, acceso al software
de administración de datos, acceso al software de administración del sistema, acceso
de consulta y manipulación de bases de datos, etc.
Nivel de Servicio: Está dado por los valores de una serie de parámetros cuya
medición es capaz de determinar objetivamente el mayor o menor grado de eficacia
de los servicios de TI prestados. Ver: en La Auditoría de Sistemas, de Julio Novoa
Bermejo, 15.3. El Nivel de Servicio, en el compendio Auditoría Informática – Un
Enfoque Práctico, Editora: RA-MA.
Plan Estratégico de TI: Los cuerpos colegiados más destacados a nivel mundial,
que emiten directrices respecto al Control Interno en actividades de TI, establecen
que el Plan Estratégico de TI se refiere a las previsiones de la utilización de las
tecnologías de la información en la empresa, los cuales dependen de la Misión,
Objetivos y Planes Estratégicos de la propia empresa. Según el período que abarca,
el Plan Estratégico de TI puede dividirse en: Planes de TI a corto y largo plazo. Ver:
10.2.1 Plan Estratégico de Sistemas de Información, en Auditoría de la Dirección, de
Juan Miguel Ramos Escobosa, en el Compendio: Auditoría Informática, Un enfoque
Práctico, Editorial RA-MA; y Capítulo 18: Plan Estratégico de TI, en Introducción al
Análisis y Diseño de Sistemas de I.T.Hawryszkiewycz, Editorial Anaya.
quedado fuera de servicio, a fin de cumplir con los niveles de servicio establecidos.
Adaptabilidad evolutiva del Plan: El Plan de Contingencia que forma parte del Plan
de Infraestructura Tecnológica debe estar en constante revisión y evolución, puesto
que ello llevará a soluciones de mayor calidad, es decir que permitan sobrellevar de
mejor manera las situaciones de contingencia, lo cual posibilita mejores niveles de
servicio en estos casos, y en consecuencia acarrea costos menores.
Respaldo: Back-up copia de archivos de datos o de software igual a aquella que será
o está siendo utilizada. Los Respaldos se almacenan en Medios de Almacenamiento
en la Biblioteca y/o otros lugares a fin de utilizarlos para restaurar la funcionalidad
en caso de pérdida parcial o total que torne no operativos a los datos o software en
el ambiente de producción.
Salida: Todo dato o información producidos por la TI puede ser llamado Salida. Las
Salidas pueden estar impresas en papel, grabadas en medios magnéticos, ópticos, o
diversos otros medios.
Tratamiento y Retención de Salidas: Las leyes y normas vigentes, así como las
prácticas habituales de la Entidad pueden requerir la Retención, almacenamiento
172 Material editado para el desarrollo de las clases de postgrado de FOTRIEM
y otros que deseen utilizarlo con mención de la fuente.
Apuntes para Clases de
AUDITORÍA INFORMÁTICA
en archivo de las Salidas por un período específico. Por otra parte, deben existir
procedimientos que indiquen el tratamiento que se debe dar a cada Salida, puesto
que las mismas no tan sólo podrían ser confidenciales implicando su divulgación
perjuicios para la Entidad o para Terceros, sino que ello podría violar leyes y normas
vigentes. Especial cuidado requieren las Salidas que comportan en sí mismas valores,
tales como las tarjetas de crédito o débito.
Capítulo X
Visto: Los Artículos 186, 189 (texto actualizado) y 192 de la Ley N° 125/91”Que
establece el Nuevo Régimen Tributario”; y del Titulo III de la Ley Nº 1034/83 “Del
Comerciante”,y las Resoluciones N° 33/92 y 168/92; y
Que la utilización del Libro Mayor facilitará la tarea del control y verificación
del cumplimiento de la obligación tributaria, resultando una medida conveniente
para que la Administración cumpla con mayor eficiencia y celeridad su función
fiscalizadora.
libros contables que se detallan a continuación, sin perjuicio de los libros que por
disposiciones especiales estén obligados a llevar:
• Libro Mayor,
• Libros de Ventas y de Compras.
Artículo 3°.- Contabilidades Analíticas. En caso de contabilidades analíticas o
libros auxiliares (tales como: caja, compras, ventas y otros), podrán efectuarse en el
libro diario asientos sintéticos comprensivos de operaciones realizadas en períodos
de tiempo no mayores de un mes. Para ello será necesario que en los libros auxiliares
se asienten en forma detallada, las operaciones diarias, según el orden en que se
hubieran efectuado, de acuerdo con los principios aceptados en la técnica contable,
considerándose parte integrante del Diario, debiendo el libro auxiliar optado ser
rubricado previamente por el Registro Público de Comercio.
El Libro Mayor debe estar numerado en todas sus hojas, las cuales deberán estar
rubricadas o selladas, antes de su utilización, por el Registro Público de Comercio,
de conformidad a lo dispuesto en el artículo 78 de la Ley 1034/83.
Artículo 6°.- Libros de ventas y de compras. Los Contribuyentes que deban llevar
registros contables, de acuerdo a lo establecido en los Artículos 1º y 2º de esta
1.- Plan de Cuentas: Este deberá considerar cuentas o sub cuentas representa-
tivas de las obligaciones tributarias que le afecte, tales como: IVA, Impuesto
a la Renta, Retenciones (IVA, Renta, Ganado); Impuestos Varios (Selectivo
al Consumo, Actos y Documentos, Inmobiliario, otros);
2.- Diagrama de flujo de datos (DFD):
3.- Diagrama de Entidad - Relación (DER):
4.- Diccionario de datos del sistema contable, con la siguiente información:
a) La Información general de la base de datos.
b) Las definiciones de todos los esquemas en la BD (tablas, índices, vistas,
clusters, sinónimos, secuencias, procedimientos, funciones, paquetes,
tiggers, etc).
c) El nombre del sistema, si lo posee.
5.- Descrípción de las medidas de seguridad para resguardo de la información;
6.- Rutina del proceso para recuperar el sistema en caso de falla de energía, o
problemas técnicos y otros accidentes que impidan el normal funcionamiento
del equipo;
El resto de los libros auxiliares pueden ser llevados mediante el mecanismo que el
contribuyente estime conveniente.
Artículo 14°.- Vigencia. Esta Resolución entrara a regir desde el día siguiente a su
publicación en dos diarios de circulación nacional, de acuerdo a lo que dispone el
articulo 188 (texto actualizado) de la Ley N° 125/91, con excepción de lo relativo a
la obligatoriedad de contar con el Libro Mayor que deberá ser aplicado a partir del
1° de enero de 2005.
Artículo 16°.- Derogaciones. Derogase los artículos 13°, 17° y 18° de la Resolución
N° 33/92 y la Resolución N° 168/92.
Art. 1º.- Del Libro Mayor: Dispónganse que los contribuyentes no serán pasibles de
sanciones por atraso en la registraciones en su Libro Mayor durante todo el ejercicio
fiscal 2005.
Art. 2º.- Libro Compra – Venta iva: La rubricación por parte del Registro Publico
de Comercio, del Libro Compra – Venta IVA es obligaciones para el contribuyente
que opte por registrar sus operaciones en el Libro Diario a través del método sintético
y el libro referencia sea utilizado como auxiliar del Diario.
Art. 3º.- De los Informes Técnicos: Aclarar el alcance de los informes técnicos
estipulados en el artículo 10º de la Resolución Nº 412/04:
Art. 6º.- Prórroga: Disponer que la vigencia del articulo 12º de la Resolución Nº
412/04 sea obligatoria a partir del 1º de Enero de 2006.
Art. 2º.- Modifíquense los Artículos 8º y 13º de la Resolución Nº 412 del 1 de octubre
de 2004, los cuales quedan redactados de la siguiente forma (texto inserto en la RG
Nº 412/04).
Art. 10º.- Deróganse los Artículos 9º y 11º de la Resolución Nº 412 del 1 de octubre
de 2004 y el Art. 5º de la Resolución Nº 535 del 2 de Diciembre de 2004.
Entidad:
Ref.
P.T.:
Período: