INDICE

INTRODUCCION......................................................................................3
CAPÍTULO 1. - REFLEXIONES TEÓRICAS SOBRE LAS
AUDITORÍAS INFORMÁTICAS............................................................4
PREMISAS FILOSÓFICAS...........................................................................................................................................................4
CARACTERIZACIÓN, FUNCIONES Y ALCANCE DE LA AUDITORÍA INFORMÁTICA...................................................................................5
PRINCIPALES TIPOS DE AUDITORÍA INFORMÁTICA........................................................................................................................6

CAPÍTULO 2. - IMPLEMENTACIÓN Y PERSONALIZACIÓN DE

LA AUDITORÍA INFORMÁTICA EN ETECSA..................................7
ELABORACIÓN Y DESARROLLO DE LA METODOLOGÍA DE TRABAJO...................................................................................................7
Elaboración del programa..........................................................................................................................................11
de Auditoría................................................................................................................................................................11
EXPERIENCIA PRÁCTICA.........................................................................................................................................................18

CAPÍTULO 3. - PROYECCIONES DE TRABAJO PARA ETECSA

EN LAS AUDITORÍAS INFORMÁTICAS...........................................25
CONCLUSIONES....................................................................................27
RECOMENDACIONES..........................................................................29
BIBLIOGRAFÍA......................................................................................30
INTRODUCCION

El trabajo que a continuación se presenta reflexiona sobre el papel de los Sistemas

de Información para el buen gobierno empresarial y por ende la importancia que
reviste auditar los recursos y tecnologías que lo soportan. Se enfatiza en la
importancia del Auditor de Sistemas, el alcance de las funciones que esta llamado a
desempeñar y la implementación o personalización en las condiciones propias de la
Empresa de Telecomunicaciones de Cuba.

Partiendo de nuestras convicciones filosóficas en tal sentido elaboramos nuestra

metodología de trabajo para el desarrollo de las Auditorías Informáticas que reflejara
y respondiera al proceso de re ingeniería en que actualmente se encuentra esta
especialidad internacionalmente y asumiera las principales definiciones que en el
mundo contemporáneo se manejan. Acompañamos dicha metodología con una
experiencia práctica

No dejamos de soslayar y enfatizamos nuestras proyecciones en aras de perfeccionar

y contemporanizar el reto que en nuestro país y en particular la ETECS.A. debe
asumir con la Auditoría Informática y las acciones que en tal sentido nos proponemos
realizar.
Capítulo 1. - Reflexiones teóricas sobre las Auditorías Informáticas

Premisas Filosóficas

Según Alcalde, García: “Informática es la ciencia que estudia el tratamiento automático y

racional de la INFORMACIÓN”. Se creó en Francia en el año de 1962 bajo la
denominación INFORMATIQUE: Información automática.

Cuando se habla de la función informática generalmente se tiende a hablar de tecnologías

modernas y nuevas formas de elaborar información consistente. Sin embargo se suele pasar
por alto la base que hace posible la existencia de estos elementos. Esta base es la
INFORMACION. "Administrar un negocio bien es administrar su futuro; y administrar el
futuro es administrar INFORMACION" Marion Harper Jr.

A finales del siglo XX, los SISTEMAS INFORMATICOS se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los SISTEMAS de INFORMACION
de la empresa.

La Informática hoy esta integrada en la gestión integral de la empresa, tanto para garantizar
la rapidez y eficiencia de las operaciones, así como para facilitar la toma de decisiones
oportunas y seguras al ejecutivo. Es por ello que las normas y estándares informáticos
deben someterse a los generales de la misma.

Por ello la importancia del Auditor Informático:

Informático quien ha de velar por la correcta
utilización de los amplios recursos que la Empresa pone en juego para disponer de un
eficiente, eficaz y seguro Sistema de Información.
Caracterización, funciones y alcance de la Auditoría Informática

La Auditoría es el control de los controles. Su misión es emitir un criterio objetivo sobre el

grado de diseño y uso de controles que garantizan razonablemente que los objetivos del
negocio se alcancen. En el caso de la auditoría informática se centra fundamentalmente en
los controles sobre Tecnologías de Información, no obstante, sin perder de vista el enfoque
sistémico dictamina también sobre los controles manuales que afectan directamente a estas
tecnologías. Para emitir estos criterios el auditor se basa en principios generalmente
aceptados y en documentos regulatorios.

Entre sus Funciones se encuentra:

• Auditorías (Gestión Informática, Sistemas, Seguridad,...)

• Dictamén Técnico como sustento para las Auditorías Financieras.
• Asesorías o Consultorías
• Diagnósticos de riesgos en la aplicación de tecnologías de la información.
• Desarrollo de herramientas informáticas para facilitar las funciones de auditorías,
análisis y monitoreo con apoyo de las tecnologías de información.
• Apoyo en la Administración y Gestión de los servicios computacionales a lo interno
de la Auditoría Interna.

Su Alcance trasciende a:
• Proceso de emisión de políticas y directrices para administrar la aplicación de las
tecnologías de Información en calidad de consultores dada su experiencia en la
aplicación del Control Interno.

• La evaluación de los Procesos y Controles aplicados a las Tecnologías de

Información, así como las etapas de Concepción, Desarrollo e Implementación de
los Sistemas Informáticos.

• Verificación de los Procesos inherentes a la red telemática y los servicios de

telecomunicaciones que soportan los servicios informáticos.
Principales tipos de Auditoría Informática

Un Sistema de Información mal diseñado puede convertirse en una herramienta harto

peligrosa para la Empresa: como las máquinas obedecen ciegamente a las órdenes
recibidas y la empresa está prácticamente modelada por sus Sistemas Informáticos, la
gestión y la organización de la empresa no puede depender de un Software y Hardware mal
diseñados. Este concepto obvio es a veces olvidado por muchas empresas. En este caso
interviene la AUDITORIA DE SISTEMAS EN DESARROLLO.

Las tecnologías de la información, y dentro de éstas, la informática, ha vivido durante los

últimos años una época dorada dentro de las organizaciones, en la que cualquier persona
que trabajase en procesos de datos, gozaba de una inmunidad casi total, en gran parte por la
existencia de una relación inversa entre "formación" informática del personal directivo de
la organización y dependencia hacia éstas.

La necesidad de toda organización de garantizar sus inversiones en este tipo de activos,

sobre todo cuando crece la dependencia hacia ellos ha potenciado la aparición de la
AUDITORÍA A LA GESTIÓN INFORMÁTICA para garantizar un grado de eficacia y
eficiencia en la utilidad que estos reportan.

Un fenómeno que se ha ido incrementado paulatinamente en los últimos años es el hecho

que las computadoras y los Centros de Proceso de Datos se han convertido en blancos
apetecibles para el espionaje de información. Por otra parte se suele perder de vista que
los Sistemas Informáticos creados para procesar y difundir información elaborada pueden
producir resultados erróneos si los datos de entrada en un proceso son, a su vez, erróneos.
Para impedir estas situaciones y por ende garantizar que la información se mantenga
confidencial, integra y disponible se realizan AUDITORÍA A LA SEGURIDAD de tales
sistemas.
Capítulo 2. - Implementación y personalización de la Auditoría
Informática en ETECSA

Elaboración y desarrollo de la metodología de trabajo.

En nuestra Empresa dado el creciente y acelerado desarrollo de la tecnología se hizo

necesario adoptar la personalización de las Auditorías Informáticas y las modalidades que
ésta asumiría para el desempeño de la Auditoría en general, el reto consistía en barrer los
tiempos de silencio informático de la Dirección de Auditoría acometiendo aceleradamente
el desarrollo de las Auditorías Informáticas asumiendo además la capacitación e
informatización del resto de los auditores.

Para comenzar en este empeño era imprescindible comprender los procesos de re

ingeniería de esta especialidad y personalizar los cambios que en ella se plantean por
organizaciones internacionales en aras de insertarnos en la teoría más moderna y eficiente
que garantizara el enfoque sistémico en el análisis de los procesos a Auditar argumentados
en el Capítulo I de este documento.

Para dirigir nuestro estudio y esfuerzos comenzamos por hacer un levantamiento de la

situación en el Area de las Telecomunicaciones, la Informática y la posición de esta
especialidad en el ámbito nacional e interno.

 En cuanto a las Telecomunicaciones la digitalización ha alcanzado más del 85 % de

instalación en la ETECS.A., ampliándose cada vez más nuestras redes de
telecomunicaciones ofreciendo servicios tales como telefonía, transmisión de datos, video
conferencias, servicios de voz y datos integrados, servicios suplementarios sobre la
telefonía, entre otros aspectos.
 En el Area de Informática la Empresa posee en explotación aplicaciones como el
SAP/R3, aplicación contable que se explota en aproximadamente 40 países desarrollados,
el Sistema de Facturación Nacional, el Sistema de Facturación Internacional, entre otros,
personalizados a partir de la experiencia del socio extranjero y que técnicamente se
gestionan centralizadamente sobre servidores UNIX-DIGITAL empleando como Gestor
de Base de Datos el ORACLE. Para la comunicación de las más de 3 000 computadoras se
emplean INTRANETs gestionadas en cada Entidad así como un punto de servicio que
conecte a la Empresa con el resto del país y el exterior con el empleo de un equipamiento
y tecnología de punta.

 En el marco organizativo nuestro grupo está formado por 4 Especialistas, de ellos 3

graduados en Informática y 1 Ingeniero en Telecomunicaciones. En el marco
gubernamental se carece de documentos normativos propios de la especialidad para
ejercer sus funciones, además de aquellos que rijan la actividad de informática en cada
una de las etapas de las aplicaciones.

Centralizamos nuestra atención, luego del conocimiento del entorno en la definición de la

Visión de la Auditoría Informática en ETECS.A. a partir de la cual trazar la Misión y los
Objetivos específicos, sustentado en la visión general que de nuestros estudios anteriores
se derivara y atemperado a las condiciones concretas de nuestra Entidad.

Como Visión de Auditoría Informática definimos conceptualmente:

El conjunto de procedimientos que permiten evaluar el establecimiento de un Sistema de

Control Interno asociado a las Tecnologías de Información, para determinar su grado
de Seguridad, Auditabilidad, Controlabilidad, así como la eficiencia y eficacia de sus
operaciones en correspondencia con los objetivos generales del negocio y acorde al
cumplimiento de las normativas vigentes.
Esto conllevó a priorizar ante todo, dos aspectos en los cuales sustentar nuestro trabajo:

1°- Obtener una base evaluativa confiable o principios generalmente aceptados que
sustentaran aquellos aspectos que sobre la tecnología de información debían ser
evaluados en su correspondiente enfoque sistémico.
2°- Definir una metodología adecuada de trabajo que permitiera elaborar nuestros propios
programas de Auditoría con la dinámica que estos exigen y adecuado a las
características en concreto de cada lugar atemperado al concepto más amplio de
Sistemas de Información soportados sobre las tecnologías de información en su
concepto más amplio.

Para la consecución de la Primera tarea trazada estudiamos modelos internacionales tales

como COSO, COCO, SAC, etc., como referencia para auditar sistemas complejos y
altamente automatizados, arrojando que el Modelo Cobit diseñado para el buen gobierno
de las Tecnologías de Información era el adecuado para la evaluación de la misma.
Es necesario ahondar sobre el Modelo Cobit por cuanto constituye un Modelo de Control
Interno dirigido a las necesidades de Control de las Tecnologías de Información, es una
herramienta innovadora que ayuda tanto a los Directivos a comprender y administrar los
riesgos asociados con estas tecnologías así como a los Auditores a evaluar acertadamente
el cumplimiento de estas políticas en aras de obtener informaciones con la calidad y
seguridad que la alta Dirección necesita para emitir criterios que faciliten el cumplimiento
de los Objetivos propuestos.
Consta de 302 Objetivos de Control detallados agrupados en 4 Dominios:
 Planeación u Organización,
 Adquisición e implementación
 Entrega y Soporte
 Monitoreo
Los cuales aparecen explícitamente en la Ponencia: Implementación del Modelo Cobit
en las Auditorías Informáticas, donde se expone la experiencia de su implementación en
la Empresa así como en las Bibliografías que se relacionan al final.
Una vez definido el Modelo standard de trabajo el próximo paso lo constituyó la
definición de la Metodología de trabajo a aplicar para el desarrollo de las Auditorías
Informáticas.
A continuación exponemos en un pequeño Diagrama los pasos de que consta dicha
Metodología, explicándose estos posteriormente y al concluir se ilustrará detalladamente a
través de un ejemplo práctico en una Auditoría a una Central Telefónica Digital.
 Pasos de la Metodología.

Diagrama Informativo-Operacional

Determinación de las Areas de alta exposición

Determinación de los procesos críticos

Determinación de los riesgos agrupados en los 4 dominios de Cobit

Determinación de Elaboración del

Formular la Estrategia,
técnicas de prueba
Alcance y Nivel de Riesgo programa

Ejecución del Plan y análisis de resultados

Elaboración del Informe

Diagrama Informativo Operacional:

En la fase de Exploración debe conciliarse el alcance del Sistema asociado a las

tecnologías de información dentro del contexto de los objetivos del auditado, conociendo
el Flujo Informativo Operacional y de Control con el correspondiente movimiento de la
información de entrada y salida e incidencia en la operación de las Tecnologías de
información, así como los objetivos, funciones, preparación del personal, capacitación,
composición, definición de funciones, estructura, entre otros aspectos del auditado.
Se concluye la etapa para su archivo en el expediente de la Auditoría con la elaboración de
un Flujograma aplicando las técnicas de diseño elaboradas para estos fines.
Por ende el ciclo de entrevistas debe estar orientado al siguiente axioma final: Claridad
entre la información y la tecnología en función de los Objetivos del Auditado.

La etapa de Planeamiento de la Auditoría se comienza con la:

Determinación de las Areas de mayor exposición dentro del Sistema Informativo
Operacional: Teniendo en cuenta los objetivos claves definidos para la Auditoría
considerando como Area de mayor exposición aquellas donde se genera, modifica y
elimina la información que procesan las tecnologías de información. Las Areas críticas se
evalúan en dependencia del impacto que ellas puedan poseer dentro del Sistema
Informativo del Auditado, por tanto, puedo tener más de un Area con diferentes valores de
criticidad, donde la calidad de la información o el flujograma que se haya obtenido en la
etapa anterior disminuye la subjetividad que pueda incorporarse en la evaluación de las
Areas críticas.
Determinación de los procesos críticos asociados a las Areas críticas definidas,
planteándolos como los procesos más importantes asociados a las Tecnologías de
Información para la consecución de los objetivos trazados en la Auditoría. Es importante
señalar que los procesos críticos no tienen que estar obligatoriamente relacionados con las
Areas críticas, es poco probable pero no imposible que algún proceso evaluado como
crítico en la tecnología no pertenezca al Area crítica, el criterio para su valoración está
dado en la definición de los objetivos claves del auditado.

Determinación de los Riesgos: Previa definición de las Areas y procesos de mayor

exposición partiendo de los objetivos claves trazados para la Auditoría se determina, en
primera instancia, cuál o cuáles dominios correspondientes al Modelo Cobit deben ser
evaluados, decidiendo posteriormente, de los Objetivos de Control detallado para cada
Dominio cuáles constituirían nuestra atención. La aplicación de Cobit constituye un marco
de referencia a partir del cual elaborar los riesgos pero no excluye la personalización o
adición de riesgos propios asociados a los objetivos específicos de la Auditoría y del
Sistema de Información que estemos auditando.

Al concluir los pasos anteriores hemos focalizado los aspectos que deben ser verificados o
evaluados acorde a las características o Sistema existente en el objeto de Auditoría.

Las interrogantes que pueden decidir los pasos a seguir tales como:
 ¿Cuál es la relación Costo Beneficio acorde a la importancia que se le atribuye a la
Auditoría?
 ¿Cuál es el nivel de riesgo del auditor aceptable para los resultados?
 ¿Cómo medir los resultados del Auditor?
 ¿Cuál es el tiempo definido para la Auditoría y la consideración de si este debe ser
reconsiderado?
 ¿Qué fuerzas son necesarias emplear para el desarrollo de la Auditoría?
 ¿Es necesario la incorporación de especialistas específicos que dictaminen sobre
aspectos concretos?
Esto implica que las variables:
 Estrategia,
 Alcance,
 Nivel de riesgo tolerable del Auditor
Deben ser definidos antes de elaborar el Plan de Acción o Programa de Auditoría, por
cuanto de estas respuestas depende la rentabilidad y eficiencia de la Auditoría así como la
calidad de la información y las pruebas que se obtengan.

Este es un paso muy importantes en el sentido que es aquí dónde se moldea la Estrategia
y las premisas claves de la Auditoría, se obtiene el punto de vista y las sugerencias del
Jefe de Grupo, se determina cuán importante es la Auditoría para la Entidad y qué nivel de
riesgo de Auditoría se puede aceptar en relación con la importancia del Area o Sistema
que representa el Auditado. Se refleja además en la calidad de la opinión necesaria para
minimizar la posibilidad de arribar a una opinión equivocada que pudiera afectar la
credibilidad e integridad del auditor.

De la Estrategia, los Objetivos Generales de Auditoría y el nivel de riesgo de Auditoría

tienen mucho que ver con el enfoque de prueba que posteriormente debía considerarse.

Determinación del Enfoque de Prueba: Para la determinación de las técnicas de prueba

nos auxiliamos de una matriz cuyas filas recogen 65 Herramientas o Técnicas de
Prueba posibles y en las columnas los 8 Tipos de Sistemas:
1- Manual
2- En lote
3- En desarrollo
4- En Línea
5- Disperso de Red
6- Distribuido Cliente/Servidor
7- Microcomputadoras
8- Probabilístico
donde en cada escaque se define el nivel de efectividad que la herramienta posee para ese
tipo de sistema y además si se corresponde con una Prueba de Cumplimiento o una
Prueba Sustantiva.
Es importante destacar que al usar un enfoque de prueba equivocado se pueden obtener
resultados de prueba que no sean indicativos del verdadero riesgo inherente al sistema.

Elaboración del Programa de Auditoría: Está claro que en esos momentos ya hemos
definido:
 Los Objetivos que hay que verificar,
 Los riesgos que son necesarios evaluar y
 Las Técnicas que vamos a emplear.
Para la consecución de los aspectos anteriores se pueden plantear el empleo de programas
específicos propios de la tecnología existente tales como los que obran en la bibliografía
del Manual de la Corporación CIMEX, “La Auditoría Informática: un enfoque práctico”,
entre otras referencias, pero particularizado el Plan de Acción a las condiciones concretas
del Auditado.
Queremos señalar que no siempre es posible encontrar en la literatura Programas de
Auditoría a algunos procesos específicos siendo necesario elaborar los mismos, en nuestra
experiencia lo realizamos a través de la elaboración de un documento que cuenta con la
siguiente estructura:

OBJETIVOS DE RIESGOS OBJETIVOS DE TÉCNICAS DE

CONTROL AUDITORÍA PRUEBA
Y PRUEBA ESPECÍFICOS
El contenido de cada columna y fila se detallará posteriormente en el ejemplo pues en
dicho caso no se encontró literatura con programas específicos para las Centrales
Digitales.
Lo que no cabe duda es que estos programas son diseñados a la medida del Auditado y de
las condiciones concretas y materiales con que cuenta el Auditor, lo que no implica que la
especialización de este Programa de Acción dé al traste con la posibilidad de consultar
este plan cuando sea necesario en otra Auditoría, por el contrario estriba en la justeza de
sus acciones y en la experiencia documental que transmite y ayuda para el desarrollo de
otras auditorías.

Ejecución del Plan, Análisis de los resultados y Elaboración del Informe de

Auditoría: En este aspecto nos centramos fundamentalmente en los aspectos que deben
tenerse en cuenta para la elaboración del Informe de Auditoría, ya que la ejecución del
plan y el análisis de los resultados se corresponde con las acciones que siempre en este
apartado se realizan.
Entre las consideraciones que tenemos en cuenta para la elaboración de los Informes se
encuentra:
 Deben contener un lenguaje sencillo y comprensible por los directivos sin
exageraciones técnicas.
 No renunciar al lenguaje técnico pero asequible para la persona que los vaya a leer,
acompañado de ser necesario de un glosario de definiciones.
 Debe contabilizar los aspectos que sean posibles, cuantificando gastos o pérdidas
monetarias en las tecnologías ante el impacto de los riesgos verificados.
 Acompañarlo del Análisis de Riesgo y el programa de Auditoría realizados con el
objetivo de que el auditado posea una herramienta que le permita auto evaluarse.
 Promover el conocimiento del Modelo Cobit a través de los informes de Auditoría,
focalizando las deficiencias acorde a los dominios establecidos por éste.
La intención de la Metodología propuesta y que aplicamos en la Empresa es elaborar
programas o planes de Auditoría en función de la evaluación de los riesgos y los objetivos
generales del negocio, sin pretender que este sea estático sino un traje a la medida en
correspondencia con la situación concreta que estemos analizando.
En nuestra Empresa los resultados de nuestro enfoque se han hecho palpables toda vez que
es mayor el número de directivos que solicitan el apoyo de nuestra especialidad para el
desarrollo e implementación de nuevas tecnologías conscientes de que el desarrollo
acelerado de las tecnologías de información requieren de metas ambiciosas e integradoras.
Esta Metodología que se aplica en ETECSA se simplificará en la medida que los
auditados elaboren sus propios análisis y evaluación de riesgos, los cuales podremos
emplear en la elaboración de nuestros programas y no partiendo de cero como trabajamos
en la actualidad, nuestros resultados los incorporamos como valor agregado de la actividad
anexándolo al informe en aras de contribuir con los auditados.
Experiencia práctica

Experiencia práctica de la Metodología en una Auditoría a una Central Digital

Telefónica.

Objetivos claves de la Auditoría

♦ Gestión de Tarifas
♦ Control sobre la información de los Abonados
♦ Cumplimiento de normativas internas

En el Diagrama Informativo-Operacional resultado de la etapa de exploración anterior se

observa el flujo informativo que se establece en el Sistema Objeto de Auditoría,
apreciándose los datos de entrada y salida que son procesados por la Central Telefónica y
supervisados centralmente por el Centro de Supervisión, relacionados con 4 Entidades
donde se puede observar con facilidad que existen principios contables violados toda vez
que la fijación de las responsabilidades sobre el Documento Orden de Servicio recae
sobre dos Entidades que actúan sobre el Centro de Supervisión y Gestión Regional
(CSGR-M).
Diagrama Informativo-Operacional
Vicepresidencia
Comercial
VPON Solicitud de

Cumplimiento de normativas internas

Servicio

Orden
Orden de de Servicio
Trabajo Orden de
Trabajo

Centro
Telefónico Centro de Supervisión
y Gestión

Tráfico a
Facturar Cumplimiento
Indicadores

Dirección Oficina
Facturación Comercial

Cumplimiento
Indicadores Tráfico Abonados
Como parte además de la fase de investigación preliminar o etapa de exploración se muestra la
arquitectura funcional de la Central Telefónica desde le punto de vista de los macro procesos que la
componen.
SUBSISTEMA
DE
AGRUPACIÓN
DE ABONADOS
LR
CSNL MATRIZ
STS
PCM CENTRAL
CSND LR
DE
PCM SMT
CSED CONEXIÓN

PCM SMX
LR
BSC*
PCM SMA
RCP*

CIRCUITOS Y PCM MAS

MAS
MAQUINA DE
MENSAJES
OTRAS
CENTRALES
SUBSISTEMA DE SMC
CONEXIÓN
Y MANDO

MIS

CSED: CONCENTRADOR SATELITE ELECTRONICO

DISTANTE
CSND: CONCENTRADOR SATELITE DIGITAL DISTANTE
CSNL: CONCENTRADOR SATELITE DIGITAL LOICAL
MAS : MULTIPLEX DE ACCESO A LAS ESTACIONES SMM
MIS : MULTIPLEX ENTRE ESTACIONES
REM : RED DE EXPLOTACIÓN/MANTENIMIENTO DISTANTE
SMA : ESTACIÓN MULTIPROCESADOR DE AUXILIARES REM ALARMAS
SMC : ESTACIÓN MULTIPROCESADOR DE CONTROL
SMM: ESTACIÓN MULTIPROCESADOR MANTENIMIENTO POSICIÓN
SMT : ESTACIÓN MULTIPROCESADOR DE TERMINACIÓN PCM GENERAL DE
SMX : ESTACIÓN MULTIPROCESADOR DE CONEXIÓN SUPERVISIÓN
STS : ESTACIÓN DE TIEMPO Y SINCRONIZACIÓN PGS
BSC : CONTROLAROR DE ESTACIÓN BASE
SUBSISTEMA DE EXPLOTACIÓN
RCP : PUNTO DE CONTROL RADIO MOVIL Y MANTENIMIENTO
A continuación enfocamos las Areas de mayor exposición de riesgos teniendo en cuenta
los objetivos claves de la Auditoría: La Tasación y la Información de los Abonados,
apreciándose que las Areas del Centro de Supervisión y Gestión así como el Centro de
Facturación constituyen las Entidades de más interés para nuestra Auditoría, las cuales
aparecen circuladas en rojo en el Diagrama.

Vicepresidencia
VPON Solicitud de Comercial
Servicio

Orden
Orden de de Servicio
Trabajo Orden de
Trabajo

Centro
Telefónico Centro de Supervisión
y Gestión

Tráfico a
Facturar Cumplimiento
Indicadores

Dirección Oficina
Facturación Comercial

Cumplimiento
Indicadores Tráfico Abonados
En la Tecnología destacamos el SMC por ser el Subsistema de Multiprocesadoras encargada de llevar el control de las
funciones de los Abonados, la Tasación , el Traductor, entre otros, y a éste están conectados las estaciones de trabajo que
opera y gestiona el hombre las que actúan directamente sobre la Central Telefónica.
SUBSISTEMA
DE
AGRUPACIÓN
DE ABONADOS
LR
CSNL MATRIZ
STS
PCM CENTRAL
CSND LR
DE
PCM SMT
CSED CONEXIÓN

PCM SMX
LR
BSC*
PCM SMA
RCP*

CIRCUITOS Y PCM MAS

MAS
MAQUINA DE
MENSAJES
OTRAS
CENTRALES
SUBSISTEMA DE SMC
CONEXIÓN
Y MANDO

MIS

CSED: CONCENTRADOR SATELITE ELECTRONICO

DISTANTE
CSND: CONCENTRADOR SATELITE DIGITAL DISTANTE
CSNL: CONCENTRADOR SATELITE DIGITAL LOICAL
MAS : MULTIPLEX DE ACCESO A LAS ESTACIONES SMM
MIS : MULTIPLEX ENTRE ESTACIONES
REM : RED DE EXPLOTACIÓN/MANTENIMIENTO DISTANTE
SMA : ESTACIÓN MULTIPROCESADOR DE AUXILIARES REM ALARMAS
SMC : ESTACIÓN MULTIPROCESADOR DE CONTROL
SMM: ESTACIÓN MULTIPROCESADOR MANTENIMIENTO POSICIÓN
SMT : ESTACIÓN MULTIPROCESADOR DE TERMINACIÓN PCM GENERAL DE
SMX : ESTACIÓN MULTIPROCESADOR DE CONEXIÓN SUPERVISIÓN
STS : ESTACIÓN DE TIEMPO Y SINCRONIZACIÓN PGS
BSC : CONTROLAROR DE ESTACIÓN BASE
SUBSISTEMA DE EXPLOTACIÓN
RCP : PUNTO DE CONTROL RADIO MOVIL Y MANTENIMIENTO
Luego de determinar las Area y procesos a verificar debemos definir la relación de riesgos
que deben ser evaluados determinando ante todo los dominios del Modelo Cobit que
deben ser empleados, en este caso: Entrega y Soporte y Monitoreo.
A continuación relacionamos algunos de los riesgos asociados:

Algunos Riesgos asociados:

1- Inadecuada política para la gestión de terminales como por ejemplo definir
adecuadamente las clases asignadas a cada terminal, seleccionar los mandos a
proteger por contraseñas, etc.

2-Incongruencia entre las tarifas definidas por Comercial y las existentes en la

Central Telefónica.

3- Inconsistencia en la información referente a los abonados según contrato y

la definida a los mismos en la Central Telefónica.

4- Deficiente análisis periódico de la información contenida en las bitácoras de

.
la Central Telefónica con miras a la prevención de los problemas
La Estrategia, Alcance y Nivel de Riesgo del auditor fueron analizados cuidadosamente
toda vez que no poseíamos experiencia en este sentido ni literatura que propiciara indicios
de cómo actuar en estas circunstancias, determinando que debíamos elaborar programas
que formalizaran la información de la Central, redefinimos los objetivos claves en aras de
una relación eficaz Costo/Beneficio y creamos condiciones para futuras actuaciones los
procesos asociados a una Central Digital.
Esto permitió disminuir considerablemente el nivel de riesgo, minimizando el nivel de
riesgo y revisando sistemáticamente la estrategia trazada evaluando la efectividad de la
misma.
Las técnicas y herramientas a emplear están en dependencia de la caracterización del tipo
de sistema que estemos auditando, nos encontrábamos ante un sistema En Línea dónde se
plantea que entre otras herramientas de prueba más eficaces se encuentran, entre otros:
 Documentación de Especificaciones del Sistema
 Simulador de terminal batch.
 Facilidad integrada de Prueba.
 Programas implantados para colectar datos de prueba
 Reconocimiento en línea.
 Prueba de transacciones virtuales.
 Módulos de Auditabilidad implantados
 Módulos de Simulación de Sistemas

Por consiguiente, luego de definir los Riesgos y técnicas de prueba a emplear definimos el
Programa de Auditoría a emplear del cual adjuntamos algunos aspectos del mismo.
OBJETIVOS DE RIESGOS OBJETIVOS DE TÉCNICAS DE
CONTROL AUDITORÍA Y PRUEBA/PASOS
PRUEBA
ESPECÍFICOS
E.S. 11 Administración de• Inconsistencia entre las tarifas•Verificar si seAplicación de softwares
Datos definidas en Comercial y las corresponden la Ordenesespecíficos para el análisis
existentes en la Central Digital de Trabajo con los datosde las Bases de Datos.
• Error en las zonastarifarias de la Central Elaboración de programas
definidas por Comercial y las• Conciliación de Bases deque normalicen las Bases de
definidas en la Central. Datos para verificar suDatos de la Central
exactitud, suficiencia y
validez con Bases
análogas.
E.S. 11.28 Garantizar la• Inconsistencia en la•Verificación de laAplicación de softwares
integridad en el información referente a los integridad de laespecíficos como elWinIdea
procesamiento de datos. abonados según contrato y la información a través deo ACL
definida a los mismos en la la técnica del muestreo.
Central Telefónica.
E.S. 13.6 Realizar la• Deficiente análisis periódico•Interrogación de mandosSelección de los mandos a
revisión del llenado de las de la información contenida y revisión de modelosverificar.
bitácoras de operaciones en las bitácoras de la Central con el objetivo deAplicación de softwares de
mediante interrogación en con miras a la prevención de verificar elselección
sus salvas sistemáticas. los problemas. cumplimiento de esta
tarea.
Capítulo 3. - Proyecciones de trabajo para ETECSA en las Auditorías
Informáticas

 Promover con nuestros resultados la participación en la concepción de los Sistemas

Informáticos que se elaboren en la Empresa con el objetivo de:
• Obtener sistemas que cuenten con el cumplimiento de las Normativas,
Regulaciones y las exigencias del Control Interno a fin de que su controlabilidad
sea más eficaz para la dirección que concibe el mismo.
• Crear condiciones que nos permitan a los auditores trabajar con menos costo y
mayor eficiencia toda vez que los sistemas son más auditables.

 Fomentar con la discusión de nuestros informes con los directivos el papel

preponderante que en nuestros tiempos le asiste a la Información y por consiguiente a la
consistencia de esta para dirigir y proyectar el futuro.

 Impulsar el conocimiento del Modelo Cobit a través de la capacitación que se realiza a

los directivos por los resultados internaciones que este ha demostrado para el buen
gobierno de las Empresas.

 Continuar con el desarrollo de nuestro sitio WEB haciéndolo más dinámico como
alternativa de promover y dar a conocer los fundamentos, resultados y principales
riesgos y deficiencias de la Empresa.

 Transitar, gradualmente, hacia la aplicación de la Auditoría de Sistemas de Información

como meta de la integración de la Auditoría de nuestros tiempos.

 Capacitar a nuestros auditores en especialidades como la Contabilidad, las Finanzas, las

Telecomunicaciones, y los principios del Control Interno que coadyuven a la evaluación
eficiente de los procesos con el enfoque sistémico adecuado, lo que redundará un valor
agregado para la especialidad toda vez que haremos más tangible nuestros resultados.
 Fomentar el análisis de riesgo como herramienta de consecución de objetivos de la
dirección, demostrándolo con los resultados de su aplicación en el desarrollo de las
Auditoria Informáticas

 Comenzar la preparación de programas de Auditoria que nos pongan a tono con las
aspiraciones del país y la Empresa en aspectos tales como el Comercio Electrónico,
Servicios de videoconferencia, Gestión Integrada de Tecnologías, entre otros.

 Elaborar herramientas informáticas que faciliten la conversión de los datos asociados a

las Telecomunicaciones a formatos entendibles por los softwares de Auditoría con que
contamos: WinIdea y ACL.
CONCLUSIONES

No cabe duda de que nuestra línea de acción es adecuada por el empuje que la Auditoria
Informática ha obtenido en nuestra Empresa en el escaso término de 3 años.

Resulta sincero plantear que, a priori, la metodología planteada es costosa en tiempo

porque ella requiere de una preparación en nuestros auditores, sin embargo en nuestro
marco una Auditoría Integral a la Dirección de Telefonía Pública elaborada en el 2000
requirió de 3 meses incluyendo la elaboración del Informe, lo que se redujo en cuanto a
tiempo en una Auditoría a una Central Telefónica Digital la cual empleó 1 mes, por el
grado de pericia y el conocimiento que los auditores actuantes han adquirido. Además, en
estos momentos nos encontramos explorando Herramientas que permiten evaluar
automatizadamente las Areas y Procesos de mayor exposición así como la aplicación del
Modelo Cobit en la Entidad auditada.

No transitar hacia el desarrollo no puede estar avalado por una valoración de

Costo/Beneficio inadecuada, este es innegable y requiere de una inversión en preparación
que debemos estar dispuestos a pagar.

No es posible continuar realizando en las Auditorias Informáticas dictámenes que calcen el

trabajo de los Auditores Financieros en la era de los Sistemas de información, las
exigencias del mundo contemporáneo nos llaman a evaluar los Sistemas Informáticos en
toda su dimensión y a medir su eficiencia y eficacia en fusión de los Objetivos de la
Empresa y no como un proceso aislado enmarcado solamente en la tecnología.
Las metas ambiciosas trazadas requieren del esfuerzo mancomunado de todos: El respaldo
legal que permita tipificar y enjuiciar el delito informático en su justa medida, los
documentos regulatorios que normen las acciones cuando se conciben Sistemas
Informáticos, Planes de estudio en nuestras Universidades que enfatizan es esta
Especialidad a los que luego ejercerán la Informática, preparar una vanguardia de
Auditores Informáticos para enfrentar la correcta evaluación de la Telemática, trabajar de
conjunto en aras del desarrollo organizado de la Informática pues su negación es una
aberración.

No obstante, no existe justificación para que transitemos en nuestras Entidades por el

camino correcto e impulsemos acertadamente la Auditoria Informática en función del
primer nivel de la Empresa.

Trabajar de acuerdo a la frase de John Donne:

“ Ningún ser humano es una isla en sí mismo; cualquier ser humano forma parte del todo.”
RECOMENDACIONES

COM
Consideramos conveniente, en nuestra opinión, la generalización e implantación del
Modelo Cobit en el conocimiento de las Auditorías Informáticas como principio
generalmente aceptable para la evaluación de los Sistemas Informáticos. Su
aprendizaje nos permitirá transitar nuestro conocimiento hacia valoraciones más
integradoras en el desarrollo de la especialidad.

Debemos pronunciarnos, ahora y no después, por impulsar la actividad informática en

todas las Areas del país especialmente las Auditorías Informáticas si queremos
estar a tono con la acción de las Dirección del gobierno y brindarle los resultados
que ellos esperan con el impulso e la Informatización que hoy se está llevando a
cabo

Impulsar la aplicación de esta Metodología en otras Entidades, discutirla, enriquecerla y

ajustarla a las particularidades de cada uno.
BIBLIOGRAFÍA

• Grupo de Trabajo de la AHCIET: Manual de Auditoría Interna para las Empresas de

Telecomunicaciones.

• Kuong, Javier: Seguridad, Control y Auditoría de las Tecnologías de Información.

• Peña, Eloy: Evolución de los sistemas de información y su auditoría.

• Peña, Eloy: Programa de Auditoría Informática

• Piattini, Mario y Del Peso, Emilio: Auditoría Informática, un enfoque práctico.

• Documentos obtenidos de INTERNET:

 CoBit: Resumen Ejecutivo. Abril de 1998 2da Edición.

 CoBit: Marco Referencial. Abril de 1998. 2da edición

 CoBit: Guías de Auditorías. Mayo 1999.

 Boletín Oficial No. 29.198 en Argentina

 Auditoría Informática en http://www.gestiopolis.com/