Planificación y Gestión de Sistemas de Información Escuela Superior de Informática (UCLM)

2. Introducción

Hoy en día, uno de los aspectos más importantes (y críticos a la vez) para el éxito y la
supervivencia de cualquier organización, es la gestión efectiva de la información así como de las
tecnologías relacionadas con ella (tecnologías de la información TI). En esta sociedad
‘informatizada’, donde la información viaja a través del ciberespacio sin ninguna restricción de tiempo,
distancia y velocidad; esta importancia y criticacalidad surge de los siguientes aspectos:

!"aumento de la dependencia de la información, así como de los sistemas que proporcionan

dicha información;
!"aumento de la vulnerabilidad, así como un amplio espectro de amenazas (como las
amenazas del ciberespacio y la lucha por la información);
!"escala y coste de las inversiones actuales y futuras en información y tecnologías de la
información;
!"potencial de las tecnologías para realizar cambios importantes en las organizaciones y en
las prácticas de negocio, creando nuevas oportunidades y reduciendo costes.

Para muchas organizaciones, la información y las tecnologías que las soportan representan su
medio o recurso más valioso (de hecho, muchas organizaciones reconocen los beneficios potenciales
que la tecnología puede aportar). Además, en los cada vez más cambiantes y competitivos entornos de
negocio que existen en la actualidad, la gestión ha aumentado las espectativas con respecto a las
funciones de liberización de las tecnologías de la información. Verdaderamente, la información y los
sistemas de información están adentrándose a lo largo y ancho de las organizaciones (desde la
plataforma del usuario hasta las redes de area local y ancha, los sistemas cliente/servidor y los grandes
mainframes o supercomputadores). Así, la gestión requiere de un aumento de la calidad, funcionalidad y
facilidad de uso; disminuyendo a la vez los periodos de entrega; y mejorando continuamente los niveles
de servicio (con la exigencia de que esto se lleve a cabo con costes más bajos).

Las organizaciones deben cumplir con los requerimientos de calidad, de informes fiduciarios y de
seguridad, tanto para su información, como para sus activos. La administración deberá obtener un
balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal,
instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con esta responsabilidad, así
como para alcanzar sus expectativas, la administración deberá establecer un sistema adecuado de
control interno. Por lo tanto, este sistema o marco referencial deberá existir para proporcionar soporte a
los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control
satisface los requerimientos de información y puede impactar a los recursos de TI. Este impacto en los
recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a los requerimientos de
información del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad. El control, que incluye políticas, estructuras, prácticas y
procedimientos organizacionales, es responsabilidad de la administración.

De esta forma, la gestión de la información necesita tener una apreciación y un entendimiento

básico de los riesgos y restricciones de las tecnologías de la información, en orden de proporcionar
directrices efectivas así como los controles adecuados, es decir, la realización de un proceso de revisión
y verificación de la información y de las tecnologías que las soportan. Todo este procedimiento es lo que
se conoce como Auditoría que, al estar aplicada sobre el uso y manejo de la información y de sus
tecnologías, será una Auditoría Informática. The COBIT Framework es un conjunto de objetivos de
control que ayudan (dando unas pautas de actuación) en la realización de una Auditoría Informática.

Antes de ver de qué trata y qué elementos contiene este COBIT Framework, veremos en
profundidad que es exactamente una Auditoría (Informática en nuestro caso) y cuales son sus
elementos y pasos de actuación.

3
The Cobit Framework Roberto Sobrinos Sánchez
Planificación y Gestión de Sistemas de Información Escuela Superior de Informática (UCLM)

3. Auditoría

3.1. AUDITORÍA. CONCEPTO

Conceptualmente la auditoría, en general, es la actividad consistente en la emisión de una opinión

profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende
reflejar y/o cumple las condiciones que le han sido prescritas.

Podemos descomponer este concepto en los elementos fundamentales que a continuación se

especifican:

• Contenido: una opinión.

• Condición: profesional.
• Justificación: sustentada en determinados procedimientos. 1
• Objeto: una determinada información obtenida en un cierto soporte.
• Finalidad: determinar si presenta adecuadamente la realidad o ésta responde a las
expectativas que le son atribuidas, es decir, su fiabilidad.

En todo caso es una función que se realiza a posteriori, en relación con actividades ya realizadas,
sobre las que hay que emitir una opinión.

3.2. CLASES DE AUDITORIA

Los dos últimos elementos (objeto y finalidad) distinguen de qué clase o tipo de auditoría se trata.
El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el
estudio, definen el tipo de auditoría de que se trata. Las más importantes (a título ilustrativo) son las
siguientes:

• Financiera: el objeto de esta es revisar las cuentas anuales, y su finalidad es presentar la

realidad de dichas cuentas.

• Informática: es la auditoría que nosotros estudiaremos con más detenimiento. Su objeto es

la revisión de sistemas de aplicación, recursos informáticos, planes de contingencia, etc. La
finalidad es comprobar la operatividad (que esta sea eficiente), según las normas
establecidas.

• Gestión: su objeto es la dirección, y su finalidad es comprobar la eficacia, eficiencia y

economicidad.

• Cumplimiento: el objeto es comprobar las normas establecidas. La finalidad es ver que las
operaciones se adecuan a estas normas.

1
Procedimientos: La opinión profesional, elemento esencial de la auditoría, se fundamenta y justifica por medio de unos
procedimientos específicos tendentes a proporcionar una seguridad razonable de lo que se afirma. Como es natural, cada una
de las clases o tipos de auditoría posee sus propios procedimientos para alcanzar el fin previsto, aún cuando puedan en
muchos casos coincidir. El alcance de la auditoría, concepto de vital importancia, nos viene dado por los procedimientos. La
amplitud y profundidad de los procedimientos que se apliquen nos definen su alcance.

4
The Cobit Framework Roberto Sobrinos Sánchez
Planificación y Gestión de Sistemas de Información Escuela Superior de Informática (UCLM)

3.3. FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA

3.3.1. Control Interno Informático

El control interno informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales. La
misión del control interno informático es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y válidas.

El Control Interno Informático suele ser un órgano staff2 de la Dirección del Departamento de
Informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se
le encomienden. Como principales objetivos del Control Interno Informático, podemos indicar los
siguientes:

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.

• Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al
grupo.

• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados
adecuados del servicio informático, lo cual no debe considerarse como que la implantación
de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique
exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, así como de la implantación de los medios de
medida adecuados.

3.3.2. Auditoría Informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si

un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría
informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría, los cuales
son:

♦ Objetivos de protección de activos e integridad de datos.

♦ Objetivos de gestión que abarcan, no solamente los de protección de activos sino también
los de eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y

procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de
auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los
procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deben emplear
software de auditoría y otras técnicas asistidas por ordenador.

2
Staff: los puestos staff de una organización, son órganos de apoyo que surgen para diferenciar las actividades de la línea
(toma de decisiones), y tienen dos funciones: asesoramiento, sugerencia y orientación para la planificación de objetivos,
políticas y procedimientos; y la realización de actividades de servicios para la línea como el establecimiento de sistemas de
contratación del personal de línea.
5
The Cobit Framework Roberto Sobrinos Sánchez
Planificación y Gestión de Sistemas de Información Escuela Superior de Informática (UCLM)

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y

el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

♦ Participar en las revisiones durante y después del diseño, realización, implantación y

explotación de aplicaciones informáticas, así como en las fases análogas de realización de
cambios importantes.

♦ Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su
adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes.

♦ Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e

información.

La Auditoría Informática y el Control Interno Informático son campos análogos. De hecho, muchos
de los actuales responsables de control interno informático recibieron formación en seguridad
informática tras su paso por la formación en auditoría. Numerosos auditores se pasan al campo de
control interno debido a la similitud de los objetivos profesionales de control y auditoría. Pese a que
ambas figuras tienen objetivos comunes, existen diferencias que conviene matizar. Veamos una tabla
ilustrativa que muestra las similitudes y diferencias entre ambas disciplinas:

CONTROL INTERNO INFORMÁTICO AUDITOR INFORMÁTICO

SIMILITUDES #" Personal interno.

#" Conocimientos especializados en Tecnología de la Información.
#" Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por
la Dirección de Informática y la Dirección General para los sistemas de información.

DIFERENCIAS #" Análisis de los controles en el día a día. #" Análisis de un momento informático
#" Informa a la Dirección del Departamento de determinado.
Informática. #" Informa a la Dirección General de la
#" Sólo personal interno. Organización.
#" El alcance de sus funciones es únicamente #" Personal interno y/o externo.
sobre el Departamento de Informática. #" Tiene cobertura sobre todos los
componentes de los sistemas de información
de la Organización.

Tabla 1. Diferencias y similitudes del Control interno y la Auditoría Informática

6
The Cobit Framework Roberto Sobrinos Sánchez
Planificación y Gestión de Sistemas de Información Escuela Superior de Informática (UCLM)

3.4. SISTEMAS DE CONTROL INTERNO INFORMÁTICO

3.4.1. Definición y tipos de controles internos

Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento
de un sistema para conseguir sus objetivos.

Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos,
simples, fiables, revisables, adecuados y rentables. Respecto a esto último será preciso analizar el
coste-riesgo de su implantación.

Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en
día a medida que los sistemas informáticos se vuelven complejos. Los progresos que se producen en la
tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos
que se emplean tradicionalmente para controlar los procesos de aplicaciones y para gestionar los
sistemas de información.

Para asegurar la integridad, disponibilidad y eficacia de los sistemas, se requieren complejos

mecanismos de control, la mayoría de los cuales son automáticos. Resulta interesante observar, sin
embargo, que hasta en los sistemas cliente/servidor avanzados, aunque algunos controles son
completamente automáticos, otros son completamente manuales, y muchos dependen de una
combinación de elementos de software y de procedimientos.

Históricamente, los objetivos de los controles informáticos se han clasificado en las siguientes
categorías:

• Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.

• Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.

• Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido

incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.

3.4.2. Implantación de un sistema de controles internos informáticos

Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la
Tecnología de la Información exige analizar diversos elementos independientes. Por ello es importante
llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y
herramientas que existen para saber dónde pueden implantarse los controles, así como identificar
posibles riesgos. Para llegar a conocer la configuración del sistema es necesario documentar los
detalles de la red, así como los distintos niveles de control y elementos relacionados:

• Entorno de red: esquema de la red, descripción de la configuración hardware de

comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los ordenadores de entornos de
base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

7
The Cobit Framework Roberto Sobrinos Sánchez
Planificación y Gestión de Sistemas de Información Escuela Superior de Informática (UCLM)

• Configuración del ordenador base: configuración del soporte físico, entorno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto de datos.

• Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de bases de datos

y entornos de procesos distribuidos.

• Productos y herramientas: software para desarrollo de programas, software de gestión de

bibliotecas y para operaciones automáticas.

• Seguridad del ordenador base: identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que definir las
siguientes características:

• Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.

• Administración de sistemas: controles sobre la actividad de los centros de datos y otras

funciones de apoyo al sistema, incluyendo la administración de las redes.

• Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, como son la integridad del sistema, la confidencialidad (control de acceso) y la
disponibilidad.

• Gestión del cambio: separación de las pruebas y la producción a nivel de software y

controles de procedimientos, para la migración de programas software aprobados y
probados.

Figura 1. Control Interno y Auditoría

8
The Cobit Framework Roberto Sobrinos Sánchez