03 objetivosplanprograma

1

Auditoría de Tecnologías de la

Información: Enfoque Gubernamental

Ing. Jesús León [email protected]

3

TEMARIO 1. Marco Conceptual. Objetivos. La planificación de la auditoría.

Objetivos y Actividades de Auditoría. 2. La Labor del auditor. Aspectos operativos y gerenciales. Marco

general de la auditoría en Tecnologías de la Información. Trabajo en equipo.

3. Enfoque sistémico; Auditoría departamental y/o gerencial. Criterios a usar. Requerimientos mínimos y máximos; Diferencias. Software de auditoría.

4. Planes Estratégicos (PE), Planes Estratégicos de Sistemas de Información (PESI) y Planes Operativos (PO). Alineamiento entre ellos.

5. La investigación y recopilación de la información. Información estructurada y no estructurada. La búsqueda de antecedentes. Herramientas.

6. Técnicas y herramientas a usar para el trabajo de campo. Comunicación de hallazgos u observaciones. Papeles de trabajo.

7. Auditoría al Hardware, Software y recurso humano.8. Normas Técnicas de Control Gubernamental. Un enfoque para su uso

adecuado.9. El informe final. Estructura y desarrollo.

4

SISTEMA DE INFORMACIÓN (Andreu, Ricart y Valor, 1991):

Conjunto integrado de procesos, principalmente formales, desarrollados en un entorno usuario-ordenador (recomendable a fin de aprovechar su potencial), que operan sobre un conjunto de datos estructurados (bdatos) de una organización. Recopilan, procesan y distribuyen selectivamente la información necesaria. para la operatividad habitual de la organización y las actividades propias de la dirección de la misma.

LAS DECISIONES EN LA EMPRESA Y LOS SISTEMAS DE INFORMACIÓN

5

Características de un Sistema de Información:

PRECISIÓN: Información sin errores. OPORTUNIDAD: Información cuando se

necesita. CAPACIDAD DE PROCESO: Información completa. CONCISIÓN: Resúmenes. RELEVANCIA: Establecer niveles y prioridades. DISPONIBILIDAD: Evolución y flexibilidad del

sistema. SEGURIDAD.


6

Elementos del Sistema de Información (Isidro de Pablo, 1989): LA INFORMACIÓN, LOS USUARIOS Y LOS EQUIPOS (vehículos, procesadores, difusores y almacenes).

TIPOS DE INFORMACIÓN: DIRECCIÓN GENERAL PLANIFICACIÓN

ESTRATÉGICA DIRECCIÓN FUNCIONAL CONTROL DE GESTIÓN DIRECCIÓN OPERATIVA CONTROL OPERATIVO

EL SISTEMA DE INFORMACIÓN Y EL RESTO DE SUBSISTEMAS FUNCIONALES.

LA CADENA DE VALOR DE LA EMPRESA. EL DESARROLLO DE LAS TI Y LA CONSECUCIÓN DE DISTINTOS

OBJETIVOS DIFERENCIAN DISTINTOS SISTEMAS DE INFORMACIÓN.


7

LA INFORMACIÓN EN LA EMPRESA

El Sistema de Información Organizacional

Alta dirección

Dirección

Trabajadores delconocimiento

Trabajadores de los datos

Información estratégica

Información táctica

Información delconocimiento

Determinación de objetivos

Supervisión, coordinación y control

Diseño del producto/servicioAdministración de la información

Producción Finanzas Marketing Personal

TrabajadoresMEDIOS-Hadware-Software-Telecomunicaciones

CONOCIMIENTOS DE TI

KNOW-HOW:TALENTO, HABILIDADES YCREATIVIDAD CON LAS TI

8

SISTEMA DE INFORMACIÓN GERENCIAL:

TRATAN DE INTEGRAR EN UN ÚNICO SISTEMA TODOS LOS SUBSISTEMAS ANTERIORES.

TRATAN DE GENERAR INFORMACIÓN ÚTIL PARA LOS DISTINTOS NIVELES DE GESTIÓN (FUNCIONAL Y JERÁRQUICO).


9

La palabra auditoría viene del latín “auditorius” y de esta proviene la palabra “auditor”, que tiene la virtud de oir y revisar cuentas.

Auditoría de las Tecnologías de la Información

Examen objetivo, crítico, sistemático, eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a la eficiencia en la utilización de los recursos informáticos; la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.

10

¿Qué es la Auditoría de Tecnologías de la Información?

1) Verificación de controles. Evaluar su efectividad y presentar recomendaciones a la Gerencia.

2) Verificar y juzgar la información.

3) Evaluación de los procesos del Area de Sistemas (grado de eficiencia, efectividad y economía de los sistemas).

4) Proceso de recolección y evaluación de evidencia:a. Daños internos y/o externos.b. Salvaguardar activos de la Destrucción.c. Uso no autorizado de recursos (Información y

equipos).d. Robo de información.e. Mantener integridad de la Información (Precisión

de los datos).

11

¿Qué es la Auditoría de Tecnologías de la Información?

(Continuación)

1) Proceso de recolección y evaluación de evidencia (Continuación):a. Oportunidad de los datos.b. Confiabilidad de la información.c. Contribución de la función informática a las metas

organizac.d. Uso de recursos eficientemente en el

procesamiento de la información.

• Examen de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados.

12

Objetivos de la Auditoría de las Tecnologías de la Información

El propósito del trabajo de auditoría está enmarcado en uno o más de los siguientes puntos: • Cumplimiento de políticas, normas y procedimientos de orden gubernamental e institucional (adquisición, contratación e instalación de servicios para el desarrollo de la función informática). 1,2,6 y 7

• Comprobar el adecuado uso y resguardo de los recursos informáticos de la entidad. 8

• Verificar que se efectúa el mantenimiento preventivo y correctivo de los recursos informáticos, para obtener la confiabilidad e integridad de los sistemas.

• Grado de confiabilidad y privacidad del ambiente informático.

13

Objetivos de la Auditoría de las Tecnologías de la Información (Continuación)• Garantizar la seguridad (personas, datos, programas y los equipos).

• Verificar controles de seguridad física y ambiental.

• Evaluar controles establecidos para administrar la infraestructura tecnológica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.). 3, 4, 5

• Sistemas de información correspondan a los objetivos y requerimientos de la entidad. 3

• Comprobar la consistencia y confiabilidad de los sistemas. 3

• Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones. 3

• Verificar que las rutinas de cálculo ejecutadas por las aplicaciones se apliquen correctamente. 3

14

Motivos para efectuar una Auditoría de Tecnologías de la

Información

Entre los principales justificativos o motivos de una auditoríaencontramos:

1) Aumento del presupuesto del Departamento de procesamiento de datos.

2) Desconocimiento de la situación informática de la empresa.

3) Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal , equipos e información.

4) Descubrimientos de fraudes efectuados con el uso del computador.

5) Falta de una planificación informática. Falta de visión.6) Organización que no funciona correctamente, debido a

falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano.

7) Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados.

8) Falta de documentación o documentación incompleta de sistemas.

15

Alcance de la Auditoría

1.- Evaluar los controles de entrada, procesamiento y salidaa) Compatibilidad, exactitud, rangos específicos,

verificación de seguridad para el acceso a terminales, programas, archivos, datos e información confidencial.

b) Totalidad de los datos sean procesados.c) Los datos procesados estén debidamente autorizados. d) Adecuada distribución de las salidas otorgadas por el

sistema.

2.- Definir los controles que deben implantarseGarantizar la integridad y confidencialidad de la información:a) Controles sobre el acceso del usuario. b) Controles de claves de acceso. c) Controles de datos ingresados. d) Controles de transacciones mal efectuadas, entre

otros.

3.- Establecer Recomendaciones a la Gerencia.Informe (propuesta de mejoras).¿Eso es todo?

16

Entre los problemas más comunes en los aplicativos tenemos:

1) Falta de estándares en el desarrollo, análisis y la programación.

2) Inadecuadas especificaciones técnicas.3) Diseño deficiente. 4) Problemas en la conversión e implementación. 5) Control débil en las fases de elaboración del sistema sobre el sistema en sí. 6) Inexperiencia en el análisis y la programación.7) Nueva tecnología no usada o usada incorrectamente.

Verificaciones necesarias para que los sistemas y programas sean probados exhaustivamente para asegurar su consistencia con las especificaciones originales, no exista descontento de los usuarios y se realicen las transacciones correctamente.

17

Una empresa puede solicitar el análisis de los siguientes puntos:

A. Mejorar las seguridades lógicas del Sistema i. Establecimiento de seguridades lógicas a los

sistemas.ii. Garantizar el acceso al computador sólo de personas

autorizadas al mismo.iii. Seguridad de los sistemas a fin de contar con

información relevante en el momento preciso .

B. Asegurar una mayor confidencialidad de la información i. Información con caracteres reservados y exclusivos a

los funcionarios autorizados.ii. Acceso de datos e información sólo a personal

autorizado.iii. Transacciones realizadas por un usuario queden

registradas.

C. Mejorar el funcionamiento del Sistema i. Los programas deben ser probados con datos de

prueba. ii. Los sistemas deben ser desarrollados dentro de un

proceso adecuadamente planificado.iii. Entrenamiento y elaboración de manuales

respectivos, que garanticen el buen uso del sistema.

18

D. Incrementar la satisfacción de los usuarios

i. Falta de entendimiento y coordinación de necesidades y el divorcio marcado de los elementos que intervienen, entre los que brindan y reciben el servicio.

ii. Resultados de un Sistema no están acorde con las necesidades del usuario.

iii. El usuario prefiere no usar el sistema debido a los continuos inconvenientes que éste le genera.

iv. Es importante tener en cuenta que los sistemas razonablemente concebidos, correctamente probados y eficazmente controlados pueden desgastarse y convertirse en otro sistema o programa remendado, irracional, ineficiente e incontrolado que originará malestar en los usuarios finales.

v. Es importante analizar los sistemas, encontrar las falencias y mejorarlas para incrementar la satisfacción de los sistemas.

19

Perfil del Auditor de Tecnologías de la Información

Los cambios permanentes en la tecnología informática obligan a que el auditor de sistemas se mantenga al día, capacitándose en aspectos tales como bases de datos, sistemas abiertos, sistemas distribuidos y comunicaciones. Además de los conocimientos tecnológicos, debe tener una despierta curiosidad intelectual, una mentalidad investigativa y conservar un alto espíritu de imparcialidad.

20

Áreas de Interés del Auditor de Tecnologías de la Información

Si se tiene en cuenta que el objetivo básico que se busca con la adquisición y utilización del computador es el de entregar información confiable, útil y oportuna, el ámbito del auditor debe abarcar áreas donde hace presencia el computador y aquéllas que puedan afectar el cumplimiento de dicho objetivo, tales como:

• La Gerencia de Sistemas.• La organización y el personal.• El área del computador.• Las aplicaciones.• Los estándares de documentación y desarrollo. • La operación del computador.• La gerencia financiera. • Los planes de desarrollo informático. • Los controles y la seguridad en general. • Los archivos maestros y de transacciones. • La Red de Comunicaciones y de Datos. • La Internet / Intranet.• Los microcomputadores. • La Transferencia Electrónica de Documentos.• Otros.

21

ADMINISTRACIÓN DE LA FUNCIÓN TECNICA: Una propuesta La Oficina de Sistema, efectúa la Coordinación y Supervisión Técnica de los profesionales asignados para el desarrollo de esta actividad, así como también, la revisión del informe final.

22

El Proceso de la Auditoría de Tecnologías de la Información Toda acción de auditoría sigue ciertas fases específicas mediante las cuales se desarrolla el trabajo. Se deben seguir básicamente las siguientes fases:

23

Componentes de un plan anual

a) Resumen del plan a largo plazo.b) Objetivos del programa para el año entrante.c) Detalles de las actividades relacionadas con estos objetivos.d) Asignación de recursos.e) Plan de seguimiento y evaluación del programa.f) Presupuesto anual (incluyendo fuentes de

financiamiento).

24

¿Cómo hacer para preparar un plan anual de trabajo?

1. Decidir quién participará en la preparación del nuevo plan.

2. Organizar reuniones de planeación al menos tres meses antes de que finalice el plan actual.

3. Revisar el plan de trabajo actual con el grupo de planeación.

4. Discutir con el equipo si las actividades actuales necesitan modificarse.

5. Si fuera necesario, proponer un ejercicio de "lluvia de ideas" para crear nuevas actividades.

6. Describir cada actividad en detalle.7. Determinar quién será el responsable de llevar a

cabo cada actividad.8. Decidir qué recursos se necesitarán para realizar

las actividades propuestas y cómo se obtendrán.9. Revisar el presupuesto para asegurar que estén

disponibles los fondos necesarios para cada una de las actividades.Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html

25

Desarrollar y organizar las actividades

Asegurarse de contestar a las siguientes preguntas:

Cuál - ¿ Cuál es la actividad?Quién - ¿Quién es (quiénes son) responsable(s) de

llevar a cabo la actividad?Cómo - ¿Qué recursos son necesarios?Cuándo - ¿En qué fecha se inicia y termina la actividad?Dónde - ¿Dónde se llevará a cabo la actividad?

Cuando se desarrollan las actividades para el programa u

organización

a) Fundamentar las actividades en los objetivos establecidos;

b) Establecer claramente la actividad;c) Indicar cuándo se llevará a cabo la actividad;d) Asignar responsabilidades al personal apropiado;e) Asegurarse de que los recursos necesarios estén

disponibles.Fuente: http://erc.msh.org/fpmh_spanish/chp2/p2.html

26

Características de un proyecto

1.- Tener un principio y un fin.2.- Tener un calendario definido de ejecución.3.- Plantearse de una sola vez.4.- Necesitar la concurriencia de varias personas en

función de unas necesidades especificas.6.- Contar con un conjunto limitado de recursos.

Reglas para la dirección de un proyecto (Trabajo en

equipo)

1.- Establecer un Gran Designio (Fijar una meta para nuestros colaboradores y para nosotros; Crear un consenso y una aspiración común)

2.- Determinar Objetivos del proyecto.3.- Establecer los puntos de control, las actividades, la

Relaciones y las estimaciones de tiempo.

Fuente: http://monografias.com

27

Reglas para la dirección de un proyecto (Trabajo en

equipo)

4.- Dibujar graficamente el esquema del proyecto.5.- Dirigir a las personas individualmente y como equipo

de proyecto.6.- Reforzar el sentido de responsabilidad y moral del

grupo del proyecto.7.- Mantener informados a todos los elementos

efectuados.8.- Vitalizar a los componentes del grupo mediante la

construcción de un consenso.9.- Encausar el poder propio y el de los demás

elementos del equipo.10.- Favorecer la asunción de riesgo y la creatividad.

28

La Ejecución de la Auditoría

29

Diferencia entre Controles y Seguridades

Se entiende por controles al conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Al hablar de seguridades nos referimos a todas las actividades realizadas con el fin de mantener la reserva de la información: en el manipuleo, proceso, archivo y uso de la información por parte del personal que opera y administra el sistema.

30

Controles de Carácter GeneralControles de Adquisición, Organización, Desarrollo, Administración física y lógica, Documentación y de

Seguridad.

Controles de Carácter EspecíficoControles de Aplicaciones (Entrada, Procesamiento y

Salida), Bases de Datos, de Procesamiento Distribuido y de Microcomputadoras.

31

Entonces....se evalúa a través de Controles de Carácter General y/o Controles de Carácter Específico.

Recomendación: Se debe ir de lo general a lo particular

¿ Cómo ir de lo general a lo particular ?

El auditor debe identificar, verificar y evaluar los métodos de control en el proceso de obtención de la evidencia adecuada, para fundamentar las conclusiones de auditoría a través de pruebas de cumplimiento y/o sustantivas.

32

Pruebas de Cumplimiento Se usan para determinar si un procedimiento de control prescrito está funcionando efectivamente y consisten en verificar:

a) La aplicación de leyes o reglamentos y de los procedimientos establecidos en los

manuales que éstos se encuentren actualizados. b) El conocimiento por parte del personal, de los manuales y de las políticas del ambiente informático.c) La existencia de informes o memorandos preparados por el Departamento de Informática.d) Si han sido implantadas las recomendaciones emitidas por auditorías anteriores.

33

Pruebas Sustantivas

Se diseñan para proveer una seguridad razonable sobre la validez de la información producida. El desarrollo de las pruebas es logrado mediante la aplicación de una o varias técnicas de auditoría, ya sea simultánea o secuencialmente, tales como:

a) Analizar registros.b) Hacer operaciones. c) Comparar archivos. d) Estratificar archivos.e) Seleccionar una muestra aleatoria.f) Resumir información. g) Generar reportes. h) Construir archivos de prueba.i) Extraer información de un archivo.j) Realizar análisis estadísticos. k) Simular parte del sistema o el sistema completo.

34

Técnicas de Auditoría Asistidas por Computador, TAAC's (o CAAT´s)

Técnicas de auditoría asistidas por computador (ó TAAC's): se orientan a:

•Datos;•Aplicaciones; •Equipos y programas.

Permiten seleccionar y procesar la información necesaria para fines específicos:

•Métodos de muestreo estadístico; •Aumentar el alcance de las pruebas y •Verificar la integridad de los datos en la población auditada.

35

Herramientas automatizadas de apoyo a la auditoría (CAAT´s)El propósito de estos herramientas es auxiliar en la consulta y los cálculos básicos sobre los archivos magnéticos que anteriormente se realizaban con registros en forma manual (Ej. paquete IDEA - Interactive Data Extraction Analysis). Principales funciones:1) Lectura de archivos. 2) Validación de campos. 3) Pruebas parciales. 4) Lectura salteada de los registros. 5) Identificación de registros duplicados. 6) Chequeo de ausencia de registros en una secuencia. 7) Ordenamiento de intercalación de los datos. 8) Obtención de totales y sub-totales. 9) Ejecución de cálculos. 10) Búsqueda de tablas. 11) Clasificación por períodos de vencimiento. 12) Selección de registros. 13) Generación de archivos de salida. 14) Comparación de archivos.

36

Seguimiento

Esta fase cierra el ciclo del proceso de auditoría, en la cual se efectuará el análisis y evaluación del acatamiento de las entidades del estado a las recomendaciones formuladas por la Contraloría General de la República.

Para su ejecución se debe cumplir todo el ciclo de auditoría.

03 objetivosplanprograma

Software

Transcript of 03 objetivosplanprograma