INFORME INDEPENDIENTE DE AUDITORIA DE SISTEMA DECLARACIN ELECTRNICA DE TRIBUTOS TECNO AIRE, S.A DE C.V.

, AO 2009
Sr. Accionista Representante Legal Tecno Aire, S.A. de C.V. Presente

ALCANCE
Hemos efectuado procedimientos de auditoria al Sistema Declaracin Electrnica de Tributos incluyendo las reas siguientes: Marco Legal, Percepcin de Usuarios, Niveles de Seguridad, Funcionamiento del Sistema y Planes de Contingencia, en Marco Legal se evaluaron las leyes y reglamentos aplicables, con especial atencin a las leyes tributarias, los controles administrativos aplicables a la realizacin de las actividades del personal que conforma cada rea usuaria del sistema, las normas y procedimientos que rigen la interaccin con dicho sistema y su respectivo manual de usuario, verificando su contenido y disponibilidad; en la Percepcin de Usuarios se evaluaron aquellos aspectos que los usuarios consideraban relevantes respecto de su interaccin con el sistema, es decir, sus expectativas, sugerencias y necesidades; en Niveles de Seguridad, se evalu la suficiencia de las medidas de control adoptadas por la entidad, en el lugar que se encuentra el equipo usuario a fin de detectar que las condiciones sean las apropiadas para el funcionamiento ptimo del sistema, incluyendo la seguridad fsica, la seguridad lgica, el panorama tcnico, los valores parametrizables y las pistas de auditora; en el Funcionamiento del Sistema se evaluaron las cuatro etapas por las que pasan los datos en el sistema hasta convertirse en informacin, que son: origen de datos, entrada de datos, proceso de datos y salida de informacin; y en los Planes de Contingencia evalu la existencia de un plan de contingencia completo el cual permita implementar operaciones de emergencia rpida, eficiente y efectiva, desarrollado de acuerdo con las necesidades de la entidad, asegurando oportunamente la continuidad de las operaciones en caso de desastre e incluyendo la verificacin de que se cuente con back up para controlar desastres en el procesamiento de informacin en el caso de existir fallas en el sistema y la existencia de estructuras y/o dispositivos de almacenamiento para los respaldos de la informacin, y a la vez verificar los controles que sobre estos se ejerzan.

O B J E T IV O S D E A U D I T O R I A Objetivo General
El objetivo general de la auditoria fue concluir sobre la eficiencia y eficacia del programa informtico denominado Declaracin Electrnica de Tributos (DET), aplicado en la empresa TECNO AIRE, S.A. DE C.V., mediante un estudio exhaustivo de sus procesos, basado en la normativa internacional establecida para tal efecto, especficamente Normas Internacionales de Auditoria, Normas de Auditoria de Sistemas, de igual manera los modelos de gestin de TI, tal es el caso del enfoque COBIT (Control Objectives for Information and related Technology) e ITIL ( IT

Infraestructure Library), indispensables para un completo anlisis de los sistemas informticos. De igual manera se esperaba contribuir a la vigilancia y medicin de riesgos informticos mediante la verificacin de la existencia de niveles de seguridad adecuados, proporcionando anlisis objetivos y evaluaciones que ayuden a la entidad a cumplir los objetivos para los cuales fue creada.

Objetiv os E spec fic os

Los objetivos especficos de la auditora fueron los siguientes: Efectuar un estudio de acuerdo a las Normas de Auditoria de Sistemas, de la gestin operativa, control y funcionamiento del sistema informtico DET Verificar que el sistema informtico DET cumpla las medidas de seguridad mediante la revisin detallada de las reas susceptibles de riesgo. Verificar el proceso de salvaguarda de los Activos de la empresa tanto en el hardware, software. Emitir informes sobre las fortalezas y debilidades de DET, donde resumiremos todas nuestras recomendaciones para contribuir con la gerencia en el mejoramiento y aprovechamiento de su sistema de informacin mejorar la seguridad de la informacin. Emitir informes y cartas de gerencia necesarias a fin de sealar a la administracin los hallazgos encontrados respecto a las debilidades en los controles internos, incumplimiento de polticas contables que rigen el rea informtica. 2

P E R IO D O D E C O B E R T U R A
La auditoria del Sistema Declaracin Electrnica de Tributos se desarroll en el periodo comprendido del 13 de octubre al 20 de noviembre de 2009.

NATU RAL E Z A, P L AZ O Y E XTE N S I N DE L AS L AB ORE S DE AU DI TO RI A R E A L IZ A D A S N a t u r a l e za

Los criterios de evaluacin en la auditora al Sistema DET fueron extrados de las Normas de Auditoria de Sistemas emitidas por la Asociacin de Auditora y Control de Sistemas de Informacin y los modelos de gestin de Tecnologas de Informacin emitidos por el Information Technology Government Institute (ITGI) que es COBIT 4.1 y por el Office of Government Commerce que es ITIL en su versin 3.

Plazo
El plazo durante el cual se llev a cabo la auditora al Sistema DET comprendi desde el 13 de octubre de 2009 hasta el 20 de noviembre del mismo ao.

E x t e n s i n de l a s l a b o r e s de a u di t o r i a r e a l i za da s
Las labores de auditora incluyeron los cinco componentes del alcance (Marco Legal, Percepcin de Usuarios, Niveles de Seguridad, Funcionamiento del Sistema y Planes de Contingencia), con sus respectivos diecisis elementos, en las pruebas se incluyeron pruebas del tipo documental, pruebas a travs de capturas de pantalla para las reas lgicas y fotografas para las reas fsicas del entorno del sistema, y tambin Tcnicas de Auditora Asistidas por Computadora (TAAC) en lo que respecta a los clculos realizados por el sistema; todas las pruebas con el objetivo de encontrar deficiencias, sobrecargar el sistema y lograr un mal funcionamiento del mismo para as recomendar modificaciones que contribuyan a subsanar dichas deficiencias.

R E S P O N S A B IL ID A D D E L A A D M IN IS T R A C I N
La responsabilidad de la Administracin es el funcionamiento adecuado del sistema, de la misma forma el diseo, implementacin, mantenimiento de polticas y procedimientos tendientes a salvaguardar el sistema, su entorno material y lgico en adicin a la informacin en ste ingresada, procesada y almacenada. 3

R E S P O N S A B IL ID A D D E L A U D I T O R
Nuestra responsabilidad es concluir acerca de la confiabilidad y la eficiencia y eficacia del Sistema Declaracin Electrnica de Tributos.

HALLAZGOS
HALLAZGO DE AUDITORIA N 1 CARENCIA DE CONTROLES ADMINISTRATIVOS EN AREAS USUARIAS DEL SISTEMA DET

CONDICIN El sistema DET tiene las siguientes deficiencias relativas a controles administrativos: 1. Se carece de programas de capacitacin que oriente a los empleados para el uso adecuado del sistema DET. 2. No cuenta con programas de evaluacin del desempeo del personal relacionados con la aplicacin de la tecnologa de informacin. CRITERIO COBIT PO 7.4 Entrenamiento del personal de TI Proporcionar a los empleados de TI la orientacin necesaria al momento de la contratacin y entrenamiento continuo para conservar su conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel requerido para alcanzar las metas organizacionales. COBIT ME 1.4 Evaluacin del Desempeo Comparar de forma peridica el desempeo contra las metas, realizar anlisis de la causa raz e iniciar medidas correctivas para resolver las causas subyacentes.

CAUSA No se han definido programas por parte de la administracin referentes a capacitacin y evaluacin del desempeo del personal respecto al manejo y a la aplicacin de tecnologas de informacin. EFECTO Dificultad para el nuevo personal respecto a conocer el uso del sistema DET. HALLAZGO DE AUDITORIA N 2 CARENCIA DE CONTROL EN VERSIONES DEL SISTEMA DET CONDICIN En entrevista realizada al encargado del soporte del sistema, se evidenci carencia de controles sobre las versiones distribuidas del sistema DET a las dependencias usuarias del mismo. CRITERIO COBIT AI1.4 Requerimientos, Decisin de Factibilidad y Aprobacin Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los requisitos de negocio, tanto funcionales como tcnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la decisin final con respecto a la eleccin de la solucin y al enfoque de adquisicin. CAUSA El encargado del mantenimiento del sistema DET no lleva un control detallado de las versiones del sistema que son distribuidas a los usuarios. EFECTO Incompatibilidad en la informacin generada por cada usuario a travs del sistema DET debido a modificaciones o cambios ocurridos en el sistema con las bases de datos del Ministerio de Hacienda.

HALLAZGO DE AUDITORIA N 3 AUSENCIA DE UNA LIBRERA DE TIPOS QUE IMPIDE LA EJECUCIN EN WINDOWS VISTA CONDICIN Al instalar el Sistema DET en Microsoft Windows Vista, ste no funcion correctamente hasta que no fue instalada la librera de tipos msstdfmt.dll. CRITERIO El apartado 4.4 de ITIL V3 denominado Procesos de transicin de servicio, y el sub apartado Gestin del Cambio, sealan que cuando se realiza un cambio debe asegurarse que los cambios sean informados, evaluados, autorizados, priorizados, planeados, probados, implantados, documentados y revisados, asegurando as su compatibilidad. Al respecto, COBIT en su objetivo de control AI3.4 Ambiente de Prueba de Factibilidad, seala que debe establecerse el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integracin de aplicaciones e infraestructura, en las primeras fases del proceso de adquisicin y desarrollo. Hay que considerar la funcionalidad, la configuracin de hardware y software, pruebas de integracin y desempeo, migracin entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad. CAUSA El Sistema Operativo Microsoft Windows Vista carece de la librera de tipos msstdfmt.dll, sin embargo, los desarrolladores del Sistema Declaracin Electrnica de Tributos pudieron incluir en el archivo de instalacin el dll antes mencionado. EFECTO Al carecer del archivo msstdfmt.dll el equipo con el sistema operativo Windows Vista, no es posible cargar las versiones de los aplicativos del Sistema DET al equipo, lo que se traduce en una interrupcin de las labores de ingreso de datos de contribuyente, y de elaboracin y generacin de declaraciones juradas de determinacin y pago de los distintos impuestos que es posible procesar a travs del Sistema DET.

HALLAZGO DE AUDITORIA N 4 FALTA DE INTEGRACIN DEL MDULO BASE CON LOS APLICATIVOS EN EL MOMENTO DE SU INSTALACIN. CONDICIN El proceso de instalacin del Sistema DET, consta de dos pasos, primeramente se instala el mdulo base, que es el programa que le dar soporte a los mdulos de declaraciones de impuestos que se utilizarn, y seguidamente deben instalarse uno a uno los mdulos a utilizar por el contribuyente. CRITERIO El objetivo de control de COBIT 4.1 AI2.4 Seguridad y Disponibilidad de las Aplicaciones aborda la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en lnea con la clasificacin de datos, la arquitectura de la informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos de la organizacin. El apartado 3.3.2 de ITIL V3 incluye consideraciones acerca de la Perspectiva de Diseo de Servicio enlaces, entradas y salidas, donde seala que cada vez que una nueva solucin es producida debe cotejarse con las dems facetas para asegurar que se integrar con todos los otros servicios ya existentes. CAUSA El diseo del Sistema Declaracin Electrnica de tributos responde a una perspectiva de separacin entre el mdulo base y los aplicativos del mismo cuya funcin es operar cada uno con datos para el cumplimiento de una obligacin formal o sustantiva, dicha separacin es con el objetivo de instalar cada aplicativo segn las necesidades del contribuyente. EFECTO La no integracin al momento de instalarse el mdulo base y los aplicativos representa un sustancial consumo de tiempo, ya que debe seleccionarse los mdulos a utilizar, obtenerse uno a uno y, instalarse uno a uno, segn corresponda. 7

HALLAZGO DE AUDITORIA N 5 CARENCIA DE OPCIONES PARA ACTUALIZACIN DE MDULO BASE Y APLICATIVOS CONDICIN El proceso de actualizacin del mdulo base del Sistema DET y de sus distintos aplicativos, se realiza descargndolos del sitio web del Ministerio de Hacienda o bien obtenindolos en la Unidad de Asistencia al Contribuyente, para posteriormente desinstalar las versiones anteriores e instalar la versin ms reciente. CRITERIO COBIT 4.1 en su objetivo de control AI2.6 Actualizaciones Importantes en Sistemas Existentes, establece que en caso de cambios importantes a los sistemas existentes que resulten en cambios significativos al diseo actual y/o funcionalidad, deben seguir un proceso de desarrollo similar al empleado para el desarrollo o implementacin de sistemas nuevos, tambin en el objetivo de control AI2.10 Mantenimiento de Software Aplicativo debe desarrollarse una estrategia y un plan para el mantenimiento de aplicaciones de software. Y el objetivo de control DS13.1 Procedimientos e Instrucciones de Operacin, deben definirse, implementarse y mantenerse procedimientos estndar para operaciones de TI y garantizar que el personal de operaciones est familiarizado con todas las tareas de operacin relativas a ellos. Los procedimientos de operacin deben incluir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operacin, procedimientos de escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones. El apartado 4.4 de ITIL V3 denominado Procesos de transicin de servicio, y el sub apartado Gestin del Cambio, sealan que cuando se realiza un cambio debe asegurarse que los cambios sean informados, evaluados, autorizados, priorizados, planeados, probados, implantados, documentados y revisados, asegurando as su compatibilidad. CAUSA El Sistema DET no cuenta con una funcin de actualizacin automtica que permita conectarse peridicamente con el servidor del Ministerio de Hacienda para verificar si existen nuevas versiones tanto del mdulo base como de los aplicativos. 8

EFECTO Al ser completamente manual el proceso de actualizacin de mdulos, puede caer en obsolescencia del sistema, afectando el cumplimiento de las obligaciones tributarias formales y sustantivas para cuya facilitacin fue concebido el sistema. Dicha obsolescencia puede ponerse de manifiesto, por ejemplo, con la entrada en vigencia de modificaciones a las tasas impositivas, techos mximos gravables y deducibles, aparicin de nuevos impuestos o incluso el establecimiento de nuevas obligaciones de informar datos de inters fiscal. HALLAZGO DE AUDITORIA N 6 CARENCIA DE MECANISMOS DE CAPACITACIN EN EL MANEJO DEL SISTEMA CONDICIN No existen procedimientos de capacitacin formal y presencial respecto del manejo del Sistema DET, sino que todo se reduce a la publicacin de la Gua de Instalacin y Funcionalidad del Sistema DET y vdeos explicativos en el sitio web del Ministerio de Hacienda. CRITERIO COBIT 4.1 establece en los objetivos de control AI4.2 Transferencia de Conocimiento a la Gerencia, AI4.3 Transferencia de Conocimiento a Usuarios Finales, AI4.4 Transferencia de conocimiento al personal de operaciones y soporte, donde en lneas generales se pretende que los actores antes mencionados sean capaces de tomar posesin del sistema, utilizarlos eficiente y eficazmente y que mantenga la aplicacin de acuerdo a los niveles de servicio requeridos. DS7.2 Imparticin de Entrenamiento y Educacin Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los mecanismos de imparticin eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeo. DS7.3 Evaluacin del Entrenamiento Recibido, al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepcin y retencin del conocimiento, costo y valor. Los resultados de esta evaluacin deben contribuir en la definicin futura de los planes de estudio y de las sesiones de entrenamiento. 9

ITIL V3, en el apartado 4.4.2. Gestin de la Configuracin & Activos de Servicio pone de manifiesto que entre los roles del Gestor de Activos de Servicio se encuentran el de reclutar y entrenar al personal. CAUSA El Ministerio de Hacienda no ha establecido capacitaciones presenciales para el manejo del sistema DET, sino que ante cualquier duda de funcionamiento puede el usuario contactarse con el Call Center del Ministerio de Hacienda en el horario de oficina durante los das hbiles. EFECTO Una deficiente capacitacin en el manejo del sistema puede causar un llenado incorrecto de las declaraciones por parte de los usuarios y enfrentar a la entidad a multas y fiscalizaciones, adems del consumo de tiempo que le significar al usuario aprender a usar el sistema a travs del denominado Aprendizaje por descubrimiento. HALLAZGO DE AUDITORIA N 7 CARENCIA DE ACCESOS RESTRINGIDOS AL REA USUARIA DEL SISTEMA CONDICIN El rea usuaria del sistema DET no tiene accesos restringidos exclusivamente para los

responsables y/o colaboradores de las mismas. CRITERIO En COBIT 4.1, el objetivo de control DS12.3 Acceso Fsico establece la definicin e implementacin de procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y reas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.

10

CAUSA La ubicacin del equipo donde se utiliza el Sistema DET es en el departamento de contabilidad, pudiendo acceder a dicho espacio fsico todas aquellas personas que laboran en la entidad. EFECTO Es posible que debido a la no restriccin del acceso al rea de contabilidad puedan presentarse daos al equipo donde corre el sistema. HALLAZGO DE AUDITORIA N 8 DEFICIENCIAS EN LA SEGURIDAD LGICA DEL SISTEMA DECLARACIN ELECTRNICA DE TRIBUTOS CONDICIN Se encontraron las siguientes deficiencias en el rea de seguridad lgica del Sistema Declaracin Electrnica de Tributos: 1. La entidad carece de manuales de polticas de Administracin de Tecnologa de Informacin, incluyendo el rea de administracin de recursos informticos, lo que implica que en las interacciones de los encargados del rea informtica con el sistema, empleen su criterio profesional. 2. El Sistema Declaracin Electrnica de Tributos carece de un mdulo para la asignacin de acceso a usuarios, pudiendo ser manipulado por cualquier persona que acceda al equipo donde est instalado. 3. Es factible acceder a travs del Explorador de Windows a la carpeta de instalacin del sistema y alcanzar las bases de datos del mismo. 4. Es factible acceder y modificar las bases de datos del Sistema DET, ya que stas se encuentran en el formato Microsoft Access Data Base (*.mdb), esto a travs del software Microsoft Office Access 2003. 5. El Sistema DET carece de los niveles mnimos de seguridad lgica, ya que por el hecho de no tener un mdulo que permita asignar accesos a usuarios, no puede existir identificacin de los mismos, tampoco existen la palabra clave de acceso y los niveles de

11

autorizacin que delimiten lo que puede cada usuario realizar en su interaccin con el sistema. CRITERIO En COBIT 4.1 el objetivo de control PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento, establece la propiedad y responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado, debe definirse y asignarse roles crticos para administrar los riesgos de TI, incluyendo la responsabilidad especfica de la seguridad de la informacin, la seguridad fsica y el cumplimiento. Deben establecerse responsabilidades sobre la administracin del riesgo y la seguridad a nivel de toda la organizacin para manejar los problemas a nivel de toda la empresa. El objetivo de control AI2.4 Seguridad y Disponibilidad de las Aplicaciones aborda la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en lnea con la clasificacin de datos, la arquitectura de la informacin, la arquitectura de seguridad de la informacin y la tolerancia a riesgos de la organizacin. Objetivo de control DS5.1 Administracin de la Seguridad de TI Administrar la seguridad de TI al nivel ms alto apropiado dentro de la organizacin, de manera que las acciones de administracin de la seguridad estn en lnea con los requerimientos del negocio. En lo relativo a la identificacin de usuario, el objetivo de control DS5.3 Administracin de Identidad, asegura que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, entorno de TI, operacin de sistemas, desarrollo y mantenimiento) deben ser identificables de manera nica. Permitir que el usuario se identifique a travs de mecanismos de autenticacin. Confirmar que los permisos de acceso del usuario al sistema y los datos estn en lnea con las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo estn adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan tcnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso. DS5.7 Proteccin de la Tecnologa de Seguridad, garantizar que la tecnologa relacionada con la seguridad sea resistente al sabotaje y no revele documentacin de seguridad innecesaria. 12

CAUSA 1. La razn por la cual no se cuenta con polticas de administracin de tecnologa de informacin es que como entidad no se le brinda importancia significativa debido a que se maneja un nmero reducido de equipos de cmputo, considerando el equipo en el que corre el sistema DET. 2. Debido a que se trata de un sistema de libre distribucin, resulta impracticable al Ministerio de Hacienda agregarle un mdulo para el registro de usuario y por ende para el establecimiento de los siguientes niveles de seguridad: palabra clave de acceso y mecanismos de autorizacin. 3. Al momento de instalar el sistema DET, ste no tiene la opcin de ocultar la ubicacin de la carpeta de instalacin. 4. Las bases de datos del sistema DET fueron creadas en Microsoft Office Access 1997, por lo tanto, si se puede acceder a la carpeta raz de instalacin, y se cuenta con cualquier versin de Microsoft Office Access igual o superior a 1997, entonces es factible la modificacin de dichas bases de datos. 5. La ausencia de un mdulo para la asignacin de usuarios hace que resulte imposible el establecimiento de los niveles mnimos de seguridad con los que debe contar un sistema. EFECTO 1. De no contar con polticas de administracin de tecnologa de informacin, puede darse el caso de que el rea informtica caiga en abandono y, por ende, deje de drsele mantenimiento al rea lgica del sistema, cayendo en obsolescencia y afectando las presentaciones de declaraciones de impuestos ante bases de datos de contribuyentes del Ministerio de Hacienda ms actualizadas, con las consiguientes sanciones. 2. Al no contar con forma alguna de asignar accesos a usuarios, cualquier persona que tenga acceso al equipo donde est instalado el sistema DET puede ingresar al mismo y crear e incluso modificar declaraciones de impuestos en l almacenadas, afectando as el inters fiscal. 3. Debido a que es fcilmente localizable la carpeta de instalacin del sistema DET, cualquier persona con conocimientos informticos puede acceder a ella y borrar los archivos

13

ejecutables, bases de datos o cualquier otro archivo vital para el funcionamiento del sistema. 4. Cualquier persona que tenga conocimientos de Microsoft Office Access y que logre acceder a las bases de datos puede modificar la informacin de los contribuyentes almacenados en el sistema, modificar todas y cada una de las casillas de todos los formularios de declaracin y pago de impuestos, con el correspondiente perjuicio del inters fiscal. 5. Por el hecho de carecer de los niveles mnimos de seguridad, el sistema se vuelve vulnerable ante las manipulaciones de cualquier persona con un mnimo de conocimientos informticos y la intencin de perjudicar o el inters fiscal o el prestigio de la entidad a travs de la modificacin, creacin o eliminacin de la informacin tributaria almacenada en el sistema DET. HALLAZGO DE AUDITORIA N 9 CARENCIA DE BITCORA DE REGISTRO DE EVENTOS CONDICIN El Sistema Declaracin Electrnica de Tributos no cuenta con un log que registre las distintas operaciones realizadas por los usuarios del mismo. CRITERIO El objetivo de control de COBIT 4.1 DS13.1 Procedimientos e Instrucciones de Operacin, establece la necesidad de definir, implementar y mantener procedimientos estndar para

operaciones de TI y garantizar que el personal de operaciones est familiarizado con todas las tareas de operacin relativas a ellos. Los procedimientos de operacin deben cubrir los procesos de entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operacin, procedimientos de escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones. ME2.2 Revisiones de Auditoria, establece el monitoreo y evaluacin de la eficiencia y efectividad de los controles internos de revisin de la gerencia de TI.

14

En ITIL V3, el apartado 4.4.2. Gestin de la Configuracin & Activos de Servicio define la creacin de los procesos y procedimientos de la Gestin de Activos y de la Configuracin. Esto incluye procedimientos de registro de CI, controles de acceso y privilegios. Asegura que se definan correctos roles y responsabilidades en los planes y procedimientos de la Gestin de Activos y de la configuracin. CAUSA En el diseo del sistema no fue considerada una bitcora de registro de eventos por la facilidad con que dicho sistema sera distribuido, adems de no contar con opciones para la creacin de perfiles de usuario. EFECTO No pueden determinarse los procedimientos efectuados en el sistema, los datos ingresados, los datos eliminados, los documentos generados o incluso impresos. Quedando cubierta cualquier acto ilegal practicado. HALLAZGO DE AUDITORIA N 10

LA DOCUMENTACION GENERADA INTERNAMENTE CARECE DE CONTROLES DE EMISION Y DE CALCULOS.

CONDICIN La informacin que se genera internamente, en el caso de planillas para el pago de salarios, bonificaciones, horas extras u otro emolumento a los empleados, son elaborados en hojas electrnicas o de texto, para lo cual no existe un control de correlativos de la documentacin para la verificacin posterior sobre los egresos generados en determinado periodo y los clculos son aplicados con formulas ingresadas manualmente.

CRITERIO El aspecto tcnico que define los elementos que se deben considerar para la evaluacin de la informacin que se procesa, es COBIT, que detalla en el Dominio Monitoreo y

15

Evaluacin (ME), contenido en el proceso ME1 - Monitorear y Evaluar el Desempeo de TI, los siguientes objetivos de Control: ME1.1 - Enfoque del Monitoreo: Establecer un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodologa y el proceso a seguir para medir la solucin y la entrega de servicios de TI, y Monitorear la contribucin de TI al negocio. Integrar el marco de trabajo con el sistema de administracin del desempeo corporativo. ME1.2 - Definicin y Recoleccin de Datos de Monitoreo: Trabajar con el negocio para definir un conjunto balanceado de objetivos de desempeo y tenerlos aprobados por el negocio y otros interesados relevantes. Definir referencias con las que comparar los objetivos, e identificar datos disponibles a recolectar para medir los objetivos. Se deben establecer procesos para recolectar informacin oportuna y precisa para reportar el avance contra las metas. ME1.3 - Mtodo de Monitoreo: Garantizar que el proceso de monitoreo implante un mtodo (Ej. Balanced Scorecard), que brinde una visin sucinta y desde todos los ngulos del desempeo de TI y que se adapte al sistema de monitoreo de la empresa. ME1.4 - Evaluacin del Desempeo: Comparar de forma peridica el desempeo contra las metas, realizar anlisis de la causa raz e iniciar medidas correctivas para resolver las causas subyacentes. ME1.6 - Acciones Correctivas: Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeo, evaluacin y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con: Revisin, negociacin y establecimiento de respuestas de administracin Asignacin de responsabilidades por la correccin Rastreo de los resultados de las acciones comprometidas.

Dichos aspectos tcnicos nos definen la verificacin que sebe realizar a la informacin que sirve de origen para la generacin de reportes en la empresa, aplicando las medidas necesarias para subsanar las deficiencias presentadas por la administracin.

16

CAUSA El procesamiento de la informacin en hojas electrnicas se elabora manualmente cada periodo de pago, para lo cual se aplican las formulas matemticas que calculen los descuentos a aplicar y el correspondiente salario liquido, lo cual es verificado uno por uno cada registro, ya que en cada mes se adicionan nuevos descuentos o se eliminan otros en forma manual. Asimismo, no existe un control numrico de referencia de emisin de las planillas.

De igual forma, la consolidacin de los impuestos a cancelar en el mes son sumados manualmente.

EFECTO Los clculos y modificaciones de formulas en las hojas electrnicas aplicados en forma manual, conllevan a que pueda existir cierto riesgo de aplicar mal un calculo, lo cual seria de agravio a las finanzas de la empresa si se paga de mas algn salario o descuento. Al no numerar las planillas que se elaboran en cada periodo de pago, existe el riesgo de que en determinado momento se duplique un pago, lo cual es una falta a los controles internos que se deberan aplicar.

HALLAZGO DE AUDITORIA N 11 DEFICIENCIAS EN LA ENTRADA DE DATOS DEL SISTEMA DECLARACIN ELECTRNICA DE TRIBUTOS CONDICIN Se encontraron las siguientes deficiencias en el rea de entrada de datos del Sistema Declaracin Electrnica de Tributos: 1. El campo del Nmero de Registro de Contribuyente (NRC), es llenado automticamente en las declaraciones por el sistema pues se ingresa con los datos de contribuyente, pero dicho

17

campo es modificable por el usuario en el sentido de que puede borrarlo y colocar cualquier otro nmero y el sistema lo permite. 2. Los campos de tipo fecha del sistema, pueden ser llenados con datos anteriores a la fecha actual del sistema operativo. 3. En los campos tipo texto no existen restricciones respecto de los datos que se pueden ingresar, incluso si dichos datos no son coherentes con la informacin solicitada por el sistema. 4. Los campos parametrizados tipo combo boxes permiten la seleccin de datos distintos a los previamente ingresados para el contribuyente, por ejemplo, en un campo anterior se escribi la denominacin de la sociedad que es Tecno Aire, S.A de C.V., pero posteriormente solicita en un combo box que seleccione el tipo de sociedad, perfectamente puede elegirse como tipo de sociedad Estado o Sociedad de Personas, igual situacin se presenta con la seleccin del departamento donde se encuentra la empresa, el cual puede diferir de la direccin ya ingresada, por ejemplo, colocar Colonia Escaln en direccin y en departamento elegir La Unin. CRITERIO En COBIT 4.1 se encuentran los siguientes controles de aplicacin relativos a la entrada de datos: AC2 Recoleccin y Entrada de Informacin Fuente. Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvos de los datos que fueron errneamente ingresados se deben realizar sin comprometer los niveles de autorizacin de las transacciones originales. En donde sea apropiado para reconstruccin, retener los documentos fuente originales durante el tiempo necesario. AC3 Chequeos de Exactitud, Integridad y Autenticidad Asegurar que las transacciones son exactas, completas y vlidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea posible. AC4 Integridad y Validez del Procesamiento

18

Mantener la integridad y validacin de los datos a travs del ciclo de procesamiento. Deteccin de transacciones errneas no interrumpe le procesamiento de transacciones validas. CAUSA 1. El campo NRC es editable en algunos formularios debido a un error de programacin, que lo habilita como campo editable al igual que la mayora de campos de las declaraciones. 2. Los campos fecha pueden ser llenados con datos anteriores debido a la facilidad que brinda el Ministerio de Hacienda en el caso de que las entidades tengan que modificar una o varias declaraciones de impuestos correspondientes a perodos anteriores, dichas modificaciones no se pudiesen realizar de existir restricciones en la fecha de generacin. 3. Los campos tipo texto aceptan datos dispares debido a que no cuentan con validaciones mnimas acerca del contenido que debe ingresarse, por ejemplo: nombres, direcciones, etc. 4. Los campos tipo combo box aceptan la seleccin de datos no conformes con los previamente ingresados, en el caso del tipo de sociedad, porque el campo denominacin no est relacionado con aqul, adems, el campo denominacin es de tipo texto, pudiendo aceptar cualquier dato; respecto de las disparidades entre el combo box de departamento, es posible que el campo direccin no est enlazado con aqul, sin embargo se puede presentar el caso tambin que la sociedad tenga sucursales en lugares del pas distintos al de la casa matriz. EFECTO 1. De presentarse una declaracin de impuestos con un NRC distinto al que aparece en la tarjeta de contribuyente, la declaracin ser irremediablemente rechazada con los consiguientes costos a incurrir por parte de la entidad en cuanto a la modificacin del nmero en la declaracin y la prdida de tiempo asociada. 2. Puede ingresarse por error una fecha que no concuerde con el perodo a declarar, por ejemplo se est elaborando para noviembre 2009 pero por error se coloca enero 2008, el sistema aceptar la fecha, sin embargo, dicha informacin no concordar con la que maneja el Ministerio de Hacienda, rechazando la declaracin.

19

3. Es posible que por un descuido o por dolo del encargado de elaborar las declaraciones, se incluyan absurdos en los campos tipo texto del sistema DET, y, dichos datos errneos sern causal de rechazo de la declaracin o detonantes de fiscalizaciones posteriores. 4. La eleccin errnea del tipo de sociedad influir en el tratamiento que los mdulos impositivos le den a la informacin del contribuyente, pudiendo calcular pagos de impuestos de ms, pagos de impuestos de menos, devoluciones de impuestos inexistentes o bien la situacin de no pago ni devolucin de impuestos, ya que hay tipos de entidades, el Estado por ejemplo, cuyas transacciones no estn gravadas. HALLAZGO DE AUDITORIA N 12 DEFICIENCIAS EN LA SALIDA DE INFORMACIN DEL SISTEMA DECLARACIN ELECTRNICA DE TRIBUTOS CONDICIN De los siete reportes emitidos por el Sistema DET, seis carecen de hora de impresin de dicho informe, y son todos los de declaracin de impuestos y de cumplimiento de obligaciones formales, de igual manera, la totalidad de informes carecen de el atributo que identifica al usuario que lo genera y del nmero de pginas de que consta el reporte, an si stos tienen una extensin de ms de una pgina, el informe que es exclusivamente para cumplir con obligaciones formales no incluye periodo cubierto, fecha y hora de generacin. CRITERIO El objetivo de control ME3.5 Reportes Integrados de COBIT 4.1 plantea el integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras funciones del negocio. CAUSA Respecto de los atributos identificadores del usuario que genera los reportes, no es posible generarlos debido al anonimato en el que se realizan las declaraciones, es decir, que no se identifica ante el sistema el usuario que las elabora. Adems, no se genera la hora en los reportes debido a que hasta cierto punto resulta un dato innecesario para el Ministerio de Hacienda, ya que

20

lo que le interesa principalmente es la fecha, por el asunto del cmputo de plazos. Y la numeracin de pgina se omite debido a que slo un reporte consta de ms de una pgina, y es la declaracin de Impuesto sobre la Renta, el detalle es que dicha declaracin se imprime revs y derecho, por el contrario, las dems declaraciones constan de una tan sola pgina impresa a una sola cara. El atributo de periodo cubierto no es necesario respecto del informe datos del contribuyente porque se puede generar en cualquier momento, y en el formulario de actualizacin de datos, por disposicin legal, se realiza una vez cada ao en los primeros meses. EFECTO El no contener el atributo de identificacin de usuario y la hora de generacin limita las labores de determinacin de la persona que ingres los datos al sistema, por ende no pueden determinarse responsabilidades directas por ese medio. La no inclusin de los elementos nmero de pgina y hora puede afectar la determinacin del momento en que se gener dicho reporte, sin tener mayor trascendencia para efectos impositivos.

CON CLUS I ONE S Y RE COM E ND AC I ONE S

CONCLUSIONE S
1. La entidad carece de controles administrativos con respecto al manejo de los recursos informticos. 2. La entidad no cuenta con controles de las distintas versiones del sistema DET instaladas en los equipos de cmputo de la misma. 3. El sistema DET no puede ejecutarse en equipos con sistema operativo ms reciente que Windows XP por un problema con un archivo del sistema operativo. 4. El proceso de instalacin del sistema DET es inadecuado por la separacin en dos partes de sus elementos, lo que dificulta la instalacin integrada de ellos, teniendo que realizar una instalacin por cada aplicativo. 5. El Sistema DET presenta deficiencias en relacin al proceso de actualizacin tanto el mdulo base como de los aplicativos. 21

6. Existen serias deficiencias en el proceso de capacitacin en el manejo del sistema DET debido al aprendizaje por descubrimiento. 7. Las deficiencias del rea de seguridad fsica radican principalmente en la no restriccin del acceso al rea usuaria del sistema. 8. Las deficiencias en el rea de seguridad lgica se encuentran principalmente en la carencia de los niveles mnimos de seguridad con que debe contar un sistema, y la factibilidad de modificar las bases de datos del sistema en cuestin. 9. No se cuenta con un registro de los usuarios que interactan con el sistema ni de las actuaciones que stos llevan a cabo en sus sesiones de trabajo. 10. Respecto a los controles que se aplican a la documentacin generada internamente, tanto de emisin como de clculos, se determin que son inexistentes. 11. Las deficiencias que presenta la entrada de datos del sistema DET se localizan principalmente en los campos tipo fecha, texto y combo boxes, debido a la insuficiencia de validaciones en ellos. 12. Los reportes que emite el sistema DET carecen principalmente de los atributos identificativos que determinan el usuario que los gener, el nmero de pginas, e incluso la hora de generacin.

RE COME N DA CI ONE S
1. Elaborar e implementar una Manual de Polticas y Procedimientos Administrativos orientado al rea de Tecnologas de Informacin. 2. Elaborar un listado de los equipos en los que se encuentra instalado el sistema DET incluyendo el detalle de fecha de instalacin, versin instalada, nmero de mdulos instalados y ubicacin del equipo. 3. Solicitar en los paquetes de instalacin que provee el Ministerio de Hacienda que incluya los archivos necesarios, que faciliten la compatibilidad con los nuevos sistemas operativos. 4. Solicitar al Ministerio de Hacienda que en los paquetes de distribucin del sistema DET incluya todos los componentes (mdulo base y aplicativos) en un tipo de instalacin en un clic, donde se seleccionen de una sola vez los aplicativos a instalar junto al mdulo base.

22

5. Sugerir al Departamento de Informtica del Ministerio de Hacienda que incluya en el prximo release del sistema DET una opcin para comprobar si existen actualizaciones disponibles en el sitio web, descargarlas e instalarlas. 6. Establecer un programa de capacitacin formal, presencial y prctico en el manejo del sistema DET impartido ya sea por personal del Ministerio de Hacienda o por el personal ms experimentado en el manejo de dicho sistema. 7. Implementar controles de acceso al rea de contabilidad, donde se registre al menos quines han ingresado, la hora de ingreso y la hora de salida. 8. Sugerir a la Unidad de Informtica del Ministerio de Hacienda, que en la siguiente versin del sistema DET incluya al menos dos niveles de seguridad, como lo son la identificacin de usuario y la palabra clave de acceso. Adems, que cambie el formato de las bases de datos o al menos que programe al sistema para que cuando se instale, oculte automticamente su carpeta raz. 9. Sugerir a la Unidad de Informtica del Ministerio de Hacienda, que en la siguiente versin del sistema DET incluya una bitcora o archivo log que registre las actuaciones de los usuarios en su interaccin con el sistema. 10. Implementar un registro que incluya informacin sobre los documentos emitidos internamente y el autor de dichos documentos, ordenados correlativamente dichos documentos, y de no ser el caso, una justificacin autorizada por un nivel superior de por qu existe dicha discrepancia. 11. Sugerir a la Unidad de Informtica del Ministerio de Hacienda, que en la siguiente versin del sistema DET incluya validaciones geogrficas en relacin con el domicilio de los contribuyentes que hacen uso del sistema DET, asimismo que bloquee los campos tipo fecha para que automticamente se rellene ese campo con la fecha del sistema operativo en que se elabora la declaracin, y que tambin deje de ser editable el campo NRC en todos los formularios. 12. Sugerir a la Unidad de Informtica del Ministerio de Hacienda, que en la siguiente versin del sistema DET considere incluir los siguientes atributos a los reportes emitidos por el sistema: Ttulo, Encabezado, Perodo Cubierto, Fecha de Generacin, Hora de Generacin, Nombre del Programa que lo Genera, Nombre del Usuario que lo Emite, Numeracin de Pginas y Totales. 23

L IM I T A C I O N E S A L A L C A N C E D E L A A U D I T O R A
La garanta por un auditor de la eficacia de los controles internos es limitada por la naturaleza de los controles internos y las restricciones inherentes a cualquier conjunto de controles internos y sus operaciones. Durante el desarrollo de la auditora no se tuvo a disposicin el cdigo fuente del sistema DET, adems de no poder acceder a la totalidad del Manual Tcnico, dichas limitaciones surgieron en el marco de las polticas de confidencialidad de la Unidad de Informtica del Ministerio de Hacienda.

San Salvador, lunes 23 de noviembre de 2009.

S&B Auditores, S.A de C.V Inscripcin 3871

Carlos Ernesto Snchez Rivas Representante Legal Inscripcin 5039

24