UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES IBARRA”

FACULTAD DE SISTEMAS MERCANTILES

CARRERA DE SISTEMAS

INFORME DE AUDITORÍA INFORMÁTICA

TEMA: Conocimientos previos antes de la auditoria en soporte TI

AUTOR:

CARLOS DANIEL RUANO QUIROZ

TUTOR:

ING. LADY GARCIA.MSC

OCTAVO SISTEMAS

ABRIL 2016 – SEPTIEMBRE

IBARRA – ECUADOR

Definición de los objetivos

Objetivo General:

Determinar cuáles son conocimientos previos antes de la auditoria en soporte TI.

Objetivos Específicos:

Analizar el los conocimientos previos que lleva una auditoria en las empresas.

Determinar cuáles son los beneficios al momento de implementar este sistema de

comercio electrónico en la empresa.

Contenido:

Conocimientos previos antes de la auditoria en soporte TI

Fundamentos

La auditoría nace como un órgano de control de algunas instituciones estatales y

privadas. Su función inicial es estrictamente económico-financiero, y los casos

inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables

expertos por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo,

ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones

pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición

de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción

para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en

el Informe final reciben el nombre de Recomendaciones.

(Nelson, 2011)

Definición

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en

la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de

procesos naturalmente agrupados para proveer la información pertinente y confiable que

requiere una organización para lograr sus objetivos.

Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y

actualizado de objetivos de control para tecnología de información que sea de uso

cotidiano para gerentes y auditores

USUARIOS:

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de

los productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI,

su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de

negocio en su responsabilidad de controlar los aspectos de información del proceso, y

por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Características:

Orientado al negocio

Alineado con estándares y regulaciones "de facto"

Basado en una revisión crítica y analítica de las tareas y actividades en TI

Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios:

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para

dar soporte a los procesos de negocio y considerando a la información como el resultado

de la aplicación combinada de recursos relacionados con las TI que deben ser

administrados por procesos de TI.

Requerimientos de la información del negocio

Para alcanzar los requerimientos de negocio, la información necesita satisfacer

ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los

reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La información debe ser relevante y pertinente para los procesos del

negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la

forma más productiva y económica).

Confiabilidad: proveer la información apropiada para que la administración tome las

decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales

está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Protección de la información sensible contra divulgación no

autorizada

Integridad: Refiere a lo exacto y completo de la información así como a su validez de

acuerdo con las expectativas de la empresa.

Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del

negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los

objetivos de negocio:

Datos: Todos los objetos de información. Considera información interna y externa,

estructurada o no, gráficas, sonidos, etc.

Aplicaciones: entendido como los sistemas de información, que integran procedimientos

manuales y sistematizados.

Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de

administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas

de información.

Recurso Humano: Por la habilidad, conciencia y productividad del personal para

planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de

Información.

Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los

recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un

conjunto de procesos agrupados de forma natural para que proporcionen la información

que la empresa necesita para alcanzar sus objetivos".

COBIT se divide en tres niveles:

Dominios

Procesos

Actividades

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o

una responsabilidad organizacional.

Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las

TI. Estos procesos están agrupados en cuatro grandes dominios que se detallan a

continuación junto con sus procesos y una descripción general de las actividades de

cada uno:

PLAN DE AUDITORIA

La auditoria estará enfocada a los siguientes procesos:

AI2 Adquirir y mantener software aplicativo PO10 Administrar proyectos AI5 Adquirir recursos de TI DS12 Administrar el ambiente físico ME4 Proporcionar gobierno de TI

Después de evaluar los resultados obtenidos se socializarán con el grupo auditado, para después enviar el documento depurado a la parte contratante.

Para realizar la auditoria se utilizaron herramientas como encuestas y cuestionarios, que fueron resueltos por Sebastián Soche López y Andrés Felipe Marín Pinto.

La auditoría busca que se cumpla con los siguientes objetivos de control:

AI2 Adquirir y mantener software aplicativo

AI2.1 Diseño de Alto Nivel.

AI2.2 Diseño Detallado.

AI2.3 Control y Posibilidad de Auditar las Aplicaciones.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones.

AI2.5 Configuración e Implantación de Software Aplicativo Adquirido.

AI2.6 Actualizaciones Importantes en Sistemas Existentes.

AI2.7 Desarrollo de Software Aplicativo.

AI2.8 Aseguramiento de la Calidad del Software.

AI2.9 Administración de los Requerimientos de Aplicaciones.

AI2.10 Mantenimiento de Software Aplicativo.

PO10 Administrar proyectos

PO10.1 Marco de Trabajo para la Administración de Programas.

PO10.2 Marco de Trabajo para la Administración de Proyectos.

PO10.3 Enfoque de Administración de Proyectos.

PO10.4 Compromiso de los Interesados.

PO10.5 Declaración de Alcance del Proyecto.

PO10.6 Inicio de las Fases del Proyecto.

PO10.7 Plan Integrado del Proyecto.

PO10.8 Recursos del Proyecto.

PO10.9 Administración de Riesgos del Proyecto.

PO10.10 Plan de Calidad del Proyecto.

PO10.11 Control de Cambios del Proyecto.

PO10.12 Planeación del Proyecto y Métodos de Aseguramiento.

PO10.13 Medición del Desempeño, Reporte y monitoreo del proyecto

AI5 Adquirir recursos de TI

AI5.1 Control de Adquisición.

AI5.2 Administración de Contratos con Proveedores.

AI5.3 Selección de Proveedores.

AI5.4 Adquisición de Recursos de TI.

DS12 Entregar y dar soporte

DS12.1 Selección y diseño del centro de datos

DS12.2 Medidas de seguridad física

DS12.3 Acceso Físico

DS12.4 Protección contra factores ambientales

DS12.5 Administración de instalaciones Físicas

ME4 Proporcionar gobierno de TI

ME4.1 Establecimiento de un Marco de Gobierno de TI.

ME4.2 Alineamiento Estratégico.

ME4.3 Entrega de Valor.

ME4.4 Administración de Recursos.

ME4.5 Administración de Riesgos.

ME4.6 Medición del Desempeño.

ME4.7 Aseguramiento Independiente.

Conclusiones:

Principalmente, con la realización de este trabajo práctico, la principal conclusión a la que hemos podido llegar, es que toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, el 90 por ciento de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente.

Bibliografía:

ALCA (Área de Libre Comercio de las Américas). Impuestos y pagos: Aspectos prácticos de la

recaudación fiscal. Comité Conjunto de Expertos del Gobierno y del Sector Privado Sobre

Comercio Electrónico. 1999.

Asociación Latinoamericana de Integración, Estado de Situación del Comercio Electrónico en

Argentina. Montevideo, 2001.

Conferencia Interamericana de Contabilidad, XXIV, Uruguay, 2001. E-Business: ¿Oportunidad o

riesgo peligroso de nuevas formas de hacer negocios para el Contador del nuevo Milenio?.

Ivonne, Huertas.

Conferencia Interamericana de Contabilidad, XXIV, Uruguay, 2001. Comercio

Electrónico y Auditoría un relacionamiento posible y necesario, Ricardo Villamarzo

y Otros.