UNIVERSIDAD SAN MARCOS

Licenciatura en Contaduría Publica

Auditoria en sistemas de información

Trabajo Investigativo 2

Identificar y comprender los elementos que conforman el Marco

legal de Auditoría de Sistemas de información en Costa Rica

Estudiante
Valeria Castro Zeledon
Introducción

La auditoría de sistemas de información en Costa Rica se ha convertido en una

necesidad para muchas empresas. Esto se debe al hecho de que los sistemas de
información son cada vez más complejos y los riesgos asociados con el uso de
estos sistemas aumentan cada día. Los auditores de sistemas de información
ayudan a las empresas a entender los riesgos y cómo mejorar los procesos de
seguridad para proteger los datos críticos.

Estos auditores también ayudan a establecer controles y procedimientos

adecuados para asegurar la seguridad de la información.

La auditoría de sistemas de información también ayuda a las empresas a

identificar las debilidades en los sistemas existentes y proporciona
recomendaciones para mejorar la seguridad de la información.

Menciono algunas leyes importantes de las cuales se compone el marco legal en

Costa Rica:

 Ley General de Contabilidad: Esta ley establece los requisitos y

procedimientos para la contabilidad y la preparación de informes
financieros. Esta ley es la base para el marco legal de la auditoría de
sistemas de información en Costa Rica.
 Ley de Auditoría de Sistemas de Información: Esta ley establece los
requisitos y procedimientos para la auditoría de sistemas de información.
Esta ley establece los principios y la ética de la profesión, los requisitos
para obtener la certificación como auditor de sistemas de información y las
responsabilidades de los auditores.
 Normas Internacionales de Auditoría: Estas normas establecen los
requisitos y procedimientos para realizar una auditoría de sistemas de
información. Estas normas incluyen los principios y la ética de la profesión,
 los procedimientos de auditoría y los requisitos para la preparación de
informes financieros.
 Ley de Protección de Datos Personales: Esta ley establece los requisitos
para la recopilación, el almacenamiento y el uso de datos personales. Esta
ley es esencial para el marco legal de la auditoría de sistemas de
información, ya que los auditores deben asegurar que los datos personales
sean tratados de forma segura y confidencial.
Desarrollo

El marco legal de Auditoría de Sistemas de Información en Costa Rica se

compone de:

1. Ley de la Contraloría General de la República y del Sistema Nacional de

Control Interno.
2. Reglamento de la Ley de la Contraloría General de la República y del
Sistema Nacional de Control Interno.
3. Reglamento de la Ley de Protección de Datos Personales. .
4. Código de Ética Profesional del Auditor de Sistemas de Información.

5. Normas Internacionales de Auditoría de Sistemas de Información.

6. Reglamentos de la Ley de Protección de la Competencia.

7. Reglamento de la Ley de Transparencia y Acceso a la Información
Pública.
8. Reglamento de la Ley de Probidad Gubernamental.
9. Normas y Lineamientos para la Auditoría de Sistemas de Información.

A continuación detallo cada componente:

Ley de la Contraloría General de la República y del Sistema Nacional

de Control Interno.
Artículo 1. Esta Ley establece los principios y disposiciones básicas para el
funcionamiento de la Contraloría General de la República de Costa Rica y
del Sistema Nacional de Control Interno.
Artículo 2. El objetivo de la Contraloría General de la República de Costa
Rica, es velar por el cumplimiento de la legalidad y por el buen uso de los
recursos públicos de todas las entidades que integran el Estado de Costa
Rica.
Artículo 3. La Contraloría es un organismo autónomo que se encarga de
realizar auditorías, inspecciones, vigilancia y evaluaciones sobre el manejo
de los recursos públicos.
Artículo 4. La Contraloría, en el ejercicio de sus facultades, respetará los
principios de legalidad, imparcialidad y objetividad.
Artículo 5. La Contraloría está facultada para realizar auditorías,
inspecciones, vigilancia y evaluaciones a todas las entidades que integran
el Estado de Costa Rica.
Artículo 6. La Contraloría tendrá como principal función la de velar por el
cumplimiento de la legalidad y por el buen uso de los recursos públicos por
parte de todos los organismos estatales.
Artículo 7. La Contraloría tendrá como atribuciones: a) Realizar auditorías,
inspecciones, vigilancia y evaluaciones a todas las entidades que integran
el Estado de Costa Rica. b) Elaborar y emitir los informes correspondientes.
c) Recomendar medidas de carácter preventivo y correctivo para lograr el
cumplimiento de la legalidad y el buen uso de los recursos públicos. d)
Elaborar propuestas de reformas legales a fin de mejorar el manejo de los
recursos públicos. e) Ejercer el control fiscal de los recursos públicos. f)
Promover y garantizar el cumplimiento de los principios de transparencia,
rendición de cuentas y buen gobierno. g) Formular y ejecutar proyectos de
control interno. h) Establecer mecanismos de vigilancia, seguimiento y
evaluación de los proyectos de control interno. i) Promover el desarrollo de
la cultura de control interno. j) Realizar cualquier otra actividad relacionada
con el control interno.
Artículo 8. La Contraloría está facultada para solicitar a las entidades
públicas la información necesaria para el desarrollo de sus funciones.
Artículo 9. La Contraloría deberá rendir un informe anual al Congreso de la
República sobre el desempeño de sus funciones.
Artículo 10. La Contraloría está facultada para sancionar a las entidades
públicas que incurran en alguna irregularidad en el uso de los recursos
públicos. Disposición Transitoria Única. La Contraloría deberá someterse a
una evaluación externa de sus actividades cada dos años, a fin de
determinar el grado de cumplimiento de sus objetivos.

Reglamento de la Ley de la Contraloría General de la República y del

Sistema Nacional de Control Interno de Costa Rica

Capítulo I

Disposiciones generales
Artículo 1. Objeto La presente Ley tiene por objeto establecer la Contraloría
General de la República y el Sistema Nacional de Control Interno, con el fin
de contribuir al buen ejercicio de la administración pública, y garantizar una
gestión transparente y responsable de los recursos públicos.

Artículo 2. Definiciones Para los efectos de la presente Ley, se entiende

por:
a) Contraloría: La Contraloría General de la República a que se refiere el
artículo 3 de la Ley.
b) Sistema Nacional de Control Interno: El conjunto de políticas,
procedimientos y mecanismos de control interno que se establecen para el
buen manejo de los recursos públicos.
c) Entidades: Todos los organismos, entes y dependencias del Estado, así
como las entidades que reciban recursos públicos.

Artículo 3. Institución Se establece la Contraloría General de la República,

como ente rector del Sistema Nacional de Control Interno, encargado de
velar por el buen uso de los recursos públicos. La Contraloría tendrá
autonomía técnica, administrativa y financiera, y será responsable ante el
Congreso de la República.

Capítulo II Funciones de la Contraloría General de la República

Artículo 4. Funciones La Contraloría General de la República tendrá como

principales funciones: a) Velar por el cumplimiento de las normas contables,
financieras y presupuestarias, así como de la legislación vigente en materia
de contratación. b) Verificar la legalidad y legitimidad de los actos y
contratos de las entidades y realizar auditorías sobre el uso de los recursos
públicos. c) Establecer los mecanismos necesarios para el buen manejo de
los recursos públicos, y dar seguimiento a su ejecución. d) Establecer
mecanismos de control interno en las entidades, con el fin de prevenir y
detectar los actos de corrupción. e) Establecer los mecanismos necesarios
para el fomento de la transparencia y la rendición de cuentas en la gestión
pública. f) Establecer los mecanismos necesarios para la prevención del
lavado de activos y el financiamiento del terrorismo. g) Establecer los
mecanismos necesarios para la prevención de la corrupción en la
contratación pública. h) Establecer los mecanismos necesarios para la
prevención de la corrupción en los procesos electorales. i) Proponer
medidas para mejorar la gestión pública, y velar por la eficiencia y eficacia
del gasto público. j) Establecer los mecanismos necesarios para la
prevención de la corrupción en el ejercicio de los cargos públicos. k)
Establecer los mecanismos necesarios para el fomento de la ética en la
gestión pública. l) Establecer los mecanismos necesarios para el fomento
de la cultura de la legalidad. m) Establecer los mecanismos necesarios para
el fomento de la participación ciudadana en la gestión pública.

Reglamento de la Ley de Protección de Datos Personales en auditoria

de sistemas en Costa Rica

1. Definiciones
a. Datos Personales: Toda información relacionada con una persona natural
identificada o indentificable.

b. Auditoría de Sistemas: La evaluación de los procesos y sistemas

informáticos para verificar la seguridad, la confiabilidad y la integridad de los
datos almacenados.
c. Ley de Protección de Datos Personales: La Ley No. 8993, Ley de
Protección de Datos Personales, promulgada el 18 de agosto de 2004.

2. Objetivos

Este Reglamento tiene por objeto establecer las normas y procedimientos

que deben ser seguidos por todos aquellos que realicen auditorías de
sistemas en Costa Rica para garantizar la protección de los datos
personales de los interesados.
3. Normas Generales
a. Todos los auditores de sistemas deberán cumplir con los requisitos
establecidos en la Ley de Protección de Datos Personales y todos los
principios y normas que se establecen en este Reglamento.
b. Los auditores de sistemas están obligados a respetar los derechos de los
interesados cuando se trata de la recopilación, almacenamiento,
procesamiento, transferencia y divulgación de datos personales.
c. Los auditores de sistemas deben mantener la confidencialidad de la
información recopilada en el marco de una auditoría de sistemas.
d. Los auditores de sistemas deben garantizar que los datos personales
sean recopilados, almacenados, procesados y transferidos de manera
segura.
e. Los auditores de sistemas deben garantizar que la información
recopilada no sea utilizada para fines diferentes a los establecidos en el
contrato o acuerdo establecido con el responsable del tratamiento de los
datos.
f. Los auditores de sistemas están obligados a destruir o devolver todos los
datos personales recopilados una vez que se haya finalizado la auditoría de
sistemas.

4. Responsabilidades
a. El responsable del tratamiento de los datos personales es responsable
de asegurarse de que se cumplan todos los requisitos establecidos en el
Reglamento. b. El auditor de sistemas es responsable de garantizar que se
cumplan todos los principios y normas establecidos en el Reglamento.
c. El responsable del tratamiento de los datos personales es responsable
de notificar a los interesados sobre el uso que se hace de sus datos
personales.
d. El responsable del tratamiento de los datos personales es responsable
de adoptar todas las medidas necesarias para garantizar la seguridad de
los datos personales almacenados.

5. Sanciones
Los auditores de sistemas que incumplan con las disposiciones
establecidas en el Reglamento pueden ser sancionados con multas o la
imposición de otras sanciones previstas en la Ley de Protección de Datos
Personales.

Código de Ética Profesional del Auditor de Sistemas de Información

1. El auditor de sistemas de información debe actuar con integridad,

honradez y objetividad en la ejecución de sus actividades.
2. El auditor de sistemas de información debe mantener la confidencialidad
de la información que recoja durante el desempeño de sus actividades.
3. El auditor de sistemas de información debe respetar los derechos
humanos y las libertades fundamentales.
4. El auditor de sistemas de información debe mantener un alto nivel de
competencia profesional, actualizando sus conocimientos y habilidades y
asegurando que sus métodos, técnicas y herramientas sean apropiados
para sus actividades.
5. El auditor de sistemas de información debe evitar cualquier conflicto de
interés entre sus actividades profesionales y sus intereses personales,
financieros o de otra índole.
6. El auditor de sistemas de información debe ser objetivo e imparcial en
sus juicios.
7. El auditor de sistemas de información debe asegurarse de que sus
informes sean precisos, completos y pertinentes.
8. El auditor de sistemas de información debe actuar de manera profesional
y ética con los clientes, empleados, representantes de la empresa y con los
demás profesionales de la industria.
9. El auditor de sistemas de información debe respetar los principios de la
ética y la legalidad.
Normas Internacionales de Auditoría de Sistemas de Información

1. Establecer una política de seguridad de la información y proporcionar un

ambiente seguro para el manejo de la información.
2. Establecer procedimientos para la recolección y almacenamiento de
información confidencial.
3. Establecer procedimientos para la seguridad del sistema, incluyendo la
protección contra el acceso no autorizado, el uso indebido y la modificación
de la información.
4. Establecer procedimientos para el monitoreo de los sistemas y la
detección de intentos de violación de la seguridad.
5. Establecer procedimientos para la identificación y documentación de los
riesgos asociados con el uso de la información.
6. Establecer procedimientos para garantizar que la información
almacenada sea exacta, completa y oportuna.
7. Establecer controles para garantizar la integridad de los datos.
8. Establecer procedimientos para asegurar los registros de auditoría y el
seguimiento de los registros.
9. Establecer procedimientos para verificar la integridad de los sistemas y la
seguridad de los datos.
10. Establecer procedimientos para evaluar la efectividad de los controles
de seguridad.
Reglamentos de la Ley de Protección de la Competencia

1. Objetivo
Estos Reglamentos tienen por objeto establecer las normas para la
aplicación de la Ley de Protección de la Competencia en Costa Rica
(LPCR).
2. Definiciones
A. Acuerdo de Concentración: se entiende por acuerdo de concentración
a la fusión, adquisición o cualquier otra unión entre empresas o entre
empresas y personas jurídicas o naturales relacionadas con ellas, que
tenga por objeto la adquisición o control de una o más empresas
mediante cualquier forma de asociación, fusiones, adquisiciones,
participaciones, controles internos o externos, o cualquier otra forma de
asociación.
B. Autoridad de la Competencia: se entiende por Autoridad de la
Competencia al organismo encargado de aplicar y hacer cumplir la
LPCR.

3. Proceso de Acuerdos de Concentración

A. Las empresas interesadas en celebrar un acuerdo de concentración
deberán notificar al Autoridad de la Competencia de su intención y
presentar una solicitud de autorización para el acuerdo.
 B. La Autoridad de la Competencia realizará una evaluación de la
solicitud para determinar si el acuerdo está en cumplimiento con la
LPCR.
C. Si la Autoridad de la Competencia determina que el acuerdo no está
en cumplimiento con la LPCR, podrá requerir a las partes interesadas la
modificación de los términos del acuerdo para asegurar el cumplimiento
de la LPCR.
D. Si la Autoridad de la Competencia determina que el acuerdo está en
cumplimiento con la LPCR, emitirá una autorización para el acuerdo.
4. Sanciones
A. Aquellas empresas que incumplan con la LPCR estarán sujetas a
sanciones establecidas por la Autoridad de la Competencia.
B. Las sanciones pueden incluir la imposición de multas, la suspensión
de actividades comerciales, la revocación de licencias y/o
certificaciones, la cancelación de acuerdos, entre otros.

Reglamento de la Ley de Transparencia y Acceso a la Información

Pública.

Título I Disposiciones generales

Artículo 1.- Objeto El Reglamento tiene por objeto establecer las normas y
procedimientos para la aplicación de la Ley de Transparencia y Acceso a la
Información Pública, Ley N° 9096 y sus reformas.

Artículo 2.- Ámbito de aplicación El presente Reglamento se aplicará a todas las

entidades públicas y, en su caso, a las particulares y privadas, a las entidades de
derecho privado con fines de interés público y a las sociedades de economía mixta
que presten servicios públicos, que reciban fondos públicos o que ejerzan una
función pública.

Artículo 3.- Definiciones Para los efectos del presente Reglamento se entenderá
por:
a) Entidad: Toda persona física o jurídica, pública o privada, que se encuentre en
el ámbito de aplicación de la Ley.

b) Entidad Pública: Toda persona física o jurídica de derecho público o privado,

titular de la función administrativa, sea esta ejercida por el Estado, los organismos
autónomos, las municipalidades, los entes descentralizados, las entidades de
derecho privado con fines de interés público y las sociedades de economía mixta
que prestan servicios públicos, reciben fondos públicos o ejercen una función
pública.

c) Solicitante: Toda persona física o jurídica, nacional o extranjera, que solicite

información a una entidad.

d) Documento: Cualquier soporte en el cual se contenga información, ya sea en

formato impreso, digital, magnético, óptico, audiovisual, u otro.

e) Información: Cualquier dato, conocimiento, concepto o manifestación contenida

en un documento.

f) Archivo: El conjunto de documentos que contengan información relacionada con

la gestión de la entidad.

g) Clasificación de la información: La determinación de la clase y nivel de

confidencialidad de la información de acuerdo con lo establecido en el artículo 9
de la Ley.

h) Clasificación de los archivos: La determinación de la clase y nivel de

confidencialidad de los archivos de acuerdo con lo establecido en el artículo 12 de
la Ley.

i) Difusión: El proceso de dar a conocer una información a la comunidad de forma

gratuita. j) Publicación: El proceso de dar a conocer una información a la
comunidad sin necesidad de que la misma sea solicitada.

k) Reserva: La determinación de una información como clasificada por la entidad.

Título II De los procedimientos para el acceso a la información
Artículo 4.- Solicitud de información Toda solicitud de información deberá ser
presentada por escrito mediante un formulario debidamente llenado, el cual se
podrá obtener en cualquier oficina de la entidad, así como en la página web de la
entidad.

Artículo 5.- Trámite de la solicitud Una vez presentada la solicitud de información,

la entidad deberá examinar y evaluar la misma para determinar si la información
solicitada se encuentra en su posesión y si está clasificada o no.

Artículo 6.- Plazo para la respuesta La entidad deberá responder a la solicitud de

información dentro de los quince (15) días hábiles posteriores a la recepción de la
misma. El plazo podrá ser prorrogado por un plazo igual en caso de que la
información solicitada esté clasificada o tenga un nivel de confidencialidad superior
al que se le asignó inicialmente.

Artículo 7.- Reserva de la información La entidad podrá reservar la información de

acuerdo al artículo 9 de la Ley, siempre que el solicitante se encuentre en alguno
de los supuestos previstos en el artículo 8 de la citada Ley.

Artículo 8.- Notificación de la reserva En caso de que la entidad reserve la

información solicitada, ésta deberá notificar la reserva al solicitante dentro de los
quince (15) días hábiles posteriores a la recepción de la solicitud.

Título III Disposiciones finales

Artículo 9.- Vigencia El presente Reglamento entrará en vigencia a partir de su

aprobación.

Artículo 10.- Derogatoria Quedan derogadas todas las disposiciones que se

opongan al presente Reglamento.

Reglamento de la Ley de Probidad Gubernamental

Esta Ley tiene por objeto regular la Probidad Gubernamental en Costa Rica, con el
fin de evitar la corrupción en el servicio público y garantizar una adecuada gestión
de los recursos del Estado.
Esta Ley establece un marco normativo que permite a los servidores públicos
desempeñar sus actividades con honradez, transparencia y eficiencia,
promoviendo el desarrollo social equitativo y sostenible de la Nación.

TITULO I DEFINICIONES

Artículo 1.- A los efectos de la presente Ley, se entiende por: a) Probidad

Gubernamental: El conjunto de normas, principios y prácticas que guían la
actuación de los servidores públicos en el desempeño de sus funciones, con el fin
de lograr una adecuada gestión de los recursos del Estado.

b) Servidor Público: Toda persona que desempeña un cargo en el servicio público

de Costa Rica, sea por nombramiento, contratación o designación. c) Acto de
Corrupción: Toda acción o omisión que vulnere los principios y normas de
Probidad Gubernamental, con el fin de obtener un beneficio económico o de otra
índole para sí mismo o para un tercero.

TITULO II PRINCIPIOS DE PROBIDAD GUBERNAMENTAL

Artículo 2.- Los principios de Probidad Gubernamental que rigen la actuación de

los servidores públicos en el desempeño de sus funciones son los siguientes:

a) Honradez: los servidores públicos deben actuar con la mayor honradez en el

desempeño de sus cargos, evitando en todo momento cualquier acto de
corrupción.

b) Transparencia: los servidores públicos deben actuar con la mayor transparencia

en el desempeño de sus funciones, permitiendo el acceso a la información
relacionada con la gestión de los recursos del Estado.

c) Eficiencia: los servidores públicos deben actuar con la mayor eficiencia en el

desempeño de sus funciones, asegurando que los recursos del Estado sean
utilizados de manera adecuada.

TITULO III NORMAS DE PROBIDAD GUBERNAMENTAL

Artículo 3.- Los servidores públicos deben cumplir con las siguientes normas de
Probidad Gubernamental:

a) Evitar el conflicto de intereses: los servidores públicos deben evitar el conflicto

de intereses en el desempeño de sus cargos, absteniéndose de realizar cualquier
acto que pueda poner en peligro la objetividad y la imparcialidad en la toma de
decisiones.

b) Referenciar a terceros: los servidores públicos no deben utilizar su cargo para

beneficiar a terceros, sino que deben actuar de acuerdo con los principios de
igualdad y mérito.

c) No aceptar regalos: los servidores públicos no deben aceptar regalos, sobornos

u otras formas de beneficio, con el fin de evitar cualquier acto de corrupción.

d) Cumplir con la ley: los servidores públicos deben cumplir con todas las leyes
vigentes en Costa Rica, así como con los reglamentos aplicables a su cargo.

TITULO IV RESPONSABILIDADES

Artículo 4.- Los servidores públicos son responsables de su actuación y deben

responder por los actos de corrupción que pudieran cometer.

Artículo 5.- Los servidores públicos que cometan actos de corrupción serán
sancionados de acuerdo con la ley vigente en Costa Rica.

Artículo 6.- Los servidores públicos que incurran en actos de corrupción serán
destituidos de sus cargos y tendrán prohibido postular nuevamente para ningún
cargo en el servicio público.

TITULO V DISPOSICIONES FINALES

Artículo 7.- Esta Ley entrará en vigor a partir de su publicación en el Diario Oficial.

Artículo 8.- Esta Ley será de aplicación obligatoria para todos los servidores
públicos de Costa Rica.
Normas y Lineamientos para la Auditoría de Sistemas de Información

1. Las empresas deben contar con un equipo de auditoría de sistemas de

información que esté debidamente certificado.

2. Todos los auditores deben seguir una normativa de auditoría específica para su
trabajo.

3. Todos los auditores deben tener una experiencia mínima de al menos 5 años en
auditoría de sistemas de información.

4. Se deben realizar auditorías periódicas para verificar que los sistemas de

información se estén implementando y operando de manera segura y eficiente.

5. Se deben implementar procedimientos de seguridad adecuados para proteger

los datos y asegurar la confidencialidad de los mismos.

6. Se deben monitorear los sistemas de información para detectar cualquier

actividad sospechosa.

7. Se deben realizar pruebas de penetración para verificar la seguridad de los

sistemas de información.

8. Se deben realizar análisis de riesgos para identificar y evaluar los riesgos

potenciales para los sistemas de información.

9. Se deben realizar auditorías para garantizar que los sistemas de información

estén cumpliendo con las regulaciones aplicables.
10. Se deben establecer políticas y procedimientos de seguridad para garantizar la
adecuada protección de los sistemas de información.

Conclusiones

El marco legal de auditoría de sistemas de información en Costa Rica se basa en

la Constitución Política, en la Ley de Protección de Datos, en la Ley de Protección
de la Información, en la Ley de Protección de la Propiedad Intelectual y en la Ley
General de Protección de Datos.

Estas leyes garantizan la seguridad, la integridad y la confidencialidad de los datos

y la información almacenada en los sistemas informáticos, así como el acceso a la
información por parte de los usuarios autorizados.

La auditoría de sistemas de información es una herramienta de control que

garantiza el cumplimiento de los requisitos establecidos por la legislación
costarricense, facilitando la detección de posibles fallos y vulnerabilidades en los
sistemas informáticos, a fin de corregirlos y mejorar la seguridad y la confianza de
los usuarios.

El marco legal de auditoría de sistemas de información en Costa Rica también

establece una serie de principios y estándares básicos para la seguridad de la
información, así como el deber de las empresas de informar a la Autoridad de
Protección de Datos sobre cualquier violación de datos o información.

La auditoría de sistemas de información es una herramienta útil para garantizar la

seguridad de los sistemas informáticos en Costa Rica, ya que permite a los
auditores realizar una evaluación exhaustiva de los sistemas y detectar posibles
amenazas y vulnerabilidades.
Bibliografía

COSTA RICA. Constitución Política de Costa Rica. San José: La Gaceta, 1949.

Recuperado de:
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.as
px?param1=NRM&nValor1=1&nValor2=66691&strTipM=FN