DEFINICIÓN DE AUDITORÍA DE SISTEMAS



DEFINICIÓN DE AUDITORÍA DE SISTEMAS

Es un proceso formal que es llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.




Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Auditoría interna es una actividad independiente, objetiva y de consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático, disciplinado para evaluar y mejorar la efectividad de la administración del riesgo, el control y los procesos de conducción.


ENFOQUE A UTILIZAR
La presente acción de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadística e Informática, responsable de normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose  aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias.

Impacto de los Sistemas de Información.
·         La creciente dependencia en información y en los sistemas que proporcionan dicha información.
·         La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de información
·         La escala y el costo de las inversiones actuales y futuras en información y en tecnología de información;
·         El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.
         


Problemas que surgen de los diagnósticos organizacionales
         En el plan de negocios no se suele tener presente al área de informática.
         Problemas de procesos (duplicidad de tareas, falta de conexión entre procesos, etc.)
         Problemas de actualización tecnológica soft, hard y recursos humanos.
         Falta del integración del usuario al proceso de desarrollo e implementación.



         Mal uso de recursos del negocio falta de priorización de los proyectos.
         Falta de Formalización de los procesos


Principales Áreas de Actividad de la Auditoria Sistemas
         Auditoría de la dirección (Plan Estratégico de Sistemas)
         Auditoría del desarrollo (gestión de proyecto)
         Auditoría de la Adquisición
         Auditoría Seguridad (Seguridad Física – Plan de Contingencias, evaluación de riesgos, seguridad lógica)
         Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)




Organización del Área de Auditoría Informática
         Departamento de Auditoría Interna.
Independencia Funcional
Coordinación con Auditoría Tradicional

         Dirección de Informática
Dependencia Funcional
Problemas de administración por parte del Gerente de Informática
Brinda mayor apoyo al área de informática

         Staff de la Gerencia General
Mayor apoyo a la alta dirección
Mayor compromiso con los objetivos del negocio
Problemas para el seguimiento de las actividades del área por parte de la Gerencia General

         Externa
Imposibilidad de contar con un área propia
Mayor experiencia y amplitud de visión
Mayor nivel tecnológico y de conocimientos
Problemas con el conocimiento del negocio




Organización del Área de Auditoría Informática – Principales Funciones
         Evaluación y verificación de controles y procedimientos relacionados con la función de informática
         Verificación del uso eficiente de los SI.
         Desarrollo de las actividades del área de auditoría inf. de acuerdo a estándares normativos.
         Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del área.
         Realizar el monitoreo permanente de las actividades del área.
         Realizar el monitoreo de la seguridad.
         Monitoreo de la aplicación de procedimientos.
         Realizar una adecuada información y seguimiento de las observaciones realizadas.

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
·         Evaluación de los sistemas y procedimientos.
  • Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:
ADMINISTRACIÓN
Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.


PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:
A NIVEL DEL ÁREA DE INFORMÁTICA
Objetivos a corto y largo plazo.
RECURSOS MATERIALES Y TECNICOS
Solicitar documentos sobre los equipos, número de ellos, localización y características.
·         Estudios de viabilidad.
  • Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
  • Fechas de instalación de los equipos y planes de instalación.
  • Contratos vigentes de compra, renta y servicio de mantenimiento.
  • Contratos de seguros.
  • Convenios que se tienen con otras instalaciones.
  • Configuración de los equipos y capacidades actuales y máximas.
  • Planes de expansión.
  • Ubicación general de los equipos.
  • Políticas de operación.
  • Políticas de uso de los equipos.
SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.
·         Manual de formas.
  • Manual de procedimientos de los sistemas.
  • Descripción genérica.
  • Diagramas de entrada, archivos, salida.
  • Salidas.
  • Fecha de instalación de los sistemas.
  • Proyecto de instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
·         No tiene y se necesita.
  • No se tiene y no se necesita.


Se tiene la información pero:
·         No se usa.
  • Es incompleta.
  • No esta actualizada.
  • No es la adecuada.
  • Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
·         Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
  • Investigar las causas, no los efectos.
  • Atender razones, no excusas.
  • No confiar en la memoria, preguntar constantemente.
  • Criticar objetivamente y a fondo todos los informes y los datos recabados.
PERSONAL PARTICIPANTE
Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.



También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características:
·         Técnico en informática.
  • Experiencia en el área de informática.
  • Experiencia en operación y análisis de sistemas.
  • Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El control del avance de la auditoría lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación.
El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes. Como ejemplo de propuesta de auditoría en informática véase el anexo 3.
III. EVALUACIÓN DE SISTEMAS
La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.
El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes:
  • ¿Cuáles servicios se implementarán?
  • ¿Cuándo se pondrán a disposición de los usuarios?
  • ¿Qué características tendrán?
  • ¿Cuántos recursos se requerirán?
La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados:
  • ¿Qué aplicaciones serán desarrolladas y cuándo?
  • ¿Qué tipo de archivos se utilizarán y cuándo?
  • ¿Qué bases de datos serán utilizarán y cuándo?
  • ¿Qué lenguajes se utilizarán y en que software?
  • ¿Qué tecnología será utilizada y cuando se implementará?
  • ¿Cuántos recursos se requerirán aproximadamente?
  • ¿Cuál es aproximadamente el monto de la inversión en hardware y software?
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.
  • ¿Qué estudios van a ser realizados al respecto?
  • ¿Qué metodología se utilizará para dichos estudios?
  • ¿Quién administrará y realizará dichos estudios?
En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos.
Por último, el plan estratégico determina la planeación de los recursos.
  • ¿Contempla el plan estratégico las ventajas de la nueva tecnología?
  • ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?
El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo.

Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.
En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad
Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
EVALUACIÓN DEL DISEÑO LÓGICO DEL SISTEMA
En esta etapa se deberán analizar las especificaciones del sistema.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el proceso y salida de reportes?
Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo.
Los puntos a evaluar son:
  • Entradas.
  • Salidas.
  • Procesos.
  • Especificaciones de datos.

  • Especificaciones de proceso.
  • Métodos de acceso.
  • Operaciones.
  • Manipulación de datos (antes y después del proceso electrónico de datos).
  • Proceso lógico necesario para producir informes.
  • Identificación de archivos, tamaño de los campos y registros.
  • Proceso en línea o lote y su justificación.
  • Frecuencia y volúmenes de operación.
  • Sistemas de seguridad.
  • Sistemas de control.
  • Responsables.
  • Número de usuarios.

Dentro del estudio de los sistemas en uso se deberá solicitar:
  • Manual del usuario.
  • Descripción de flujo de información y/o procesos.
  • Descripción y distribución de información.
  • Manual de formas.
  • Manual de reportes.
  • Lista de archivos y especificaciones.

Lo que se debe determinar en el sistema:

En el procedimiento:

  • ¿Quién hace, cuando y como?
  • ¿Qué formas se utilizan en el sistema?
  • ¿Son necesarias, se usan, están duplicadas?
  • ¿El número de copias es el adecuado?
  • ¿Existen puntos de control o faltan?
En la gráfica de flujo de información:

  • ¿Es fácil de usar?
  • ¿Es lógica?
  • ¿Se encontraron lagunas?
  • ¿Hay faltas de control?

En el diseño:

  • ¿Cómo se usará la herramienta de diseño si existe?
  • ¿Qué también se ajusta la herramienta al procedimiento?


EVALUACIÓN DEL DESARROLLO DEL SISTEMA
En esta etapa del sistema se deberán auditar los programas, su diseño, el lenguaje utilizado, interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema. Al evaluar un sistema de información se tendrá presente que todo sistema debe proporcionar información para planear, organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma más económica posible. De ese modo contará con los mejores elementos para una adecuada toma de decisiones. Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la información entre nodos. El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, los tipos de mensajes requeridos, el tráfico esperado en las líneas de comunicación y otros factores que afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los niveles de la organización, el tamaño y los recursos que utiliza. Las características que deben evaluarse en los sistemas son:
  • Dinámicos (susceptibles de modificarse).
  • Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo)
  • Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados.
  • Accesibles (que estén disponibles).
  • Necesarios (que se pruebe su utilización).
  • Comprensibles (que contengan todos los atributos).
  • Oportunos (que esté la información en el momento que se requiere).
  • Funcionales (que proporcionen la información adecuada a cada nivel).
  • Estándar (que la información tenga la misma interpretación en los distintos niveles).
  • Modulares (facilidad para ser expandidos o reducidos).
  • Jerárquicos (por niveles funcionales).
  • Seguros (que sólo las personas autorizadas tengan acceso).
  • Únicos (que no duplique información).

CONTROL DE PROYECTOS

Debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la dirección de informática. Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil evaluación, se recomienda que se utilice la técnica de administración por proyectos para su adecuado control.
Para tener una buena administración por proyectos se requiere que el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisado periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado. La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.

Comentarios

Publicar un comentario

Entradas populares de este blog

ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Imagen
ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA Normas de control interno COSO         Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes   realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,   que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados. Descripción de la metodología La presente metodología está estructurada en tres secciones principales: a)     La organización del proyecto b)     Las fases para el desarrollo de sistemas de información c)     La evolución de los sistemas de información En la primera de estas secciones se hace referencia a las funciones y responsabilidades de cada uno de los involucrados en el desarrollo del proy
Leer más

SOFTWARE DE AUDITORIA

Imagen
SOFTWARE DE AUDITORIA El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo. Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería. El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtene
Leer más

INFORME COSO

Imagen
INFORME COSO Es un sistema que permite implementar el control interno en cualquier tipo de entidad u organización. Sus siglas se refieren al Comité De Organizaciones Patrocinadoras De La Comisión De Normas. (Committee of Sponsoring Organizations of The Treadway Commission), quienes evaluaron y llegaron a la conclusión que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar los posibles fraudes o errores que pudieren surgir. La evolución a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del año 1992, en cuyo año se denominó Marco del Control Interno (COSO I), para el año 2004 se da a conocer la mejora en el Sistema de COSO I con el Marco Integral de Riesgos (COSO II ERM), y para el año 2006 se da a conocer el Sistema de COSO III para pequeñas y medianas empresas. Para facilitar a las empresas a evaluar y mejorar
Leer más