DEFINICIÓN DE AUDITORÍA DE SISTEMAS
DEFINICIÓN DE
AUDITORÍA DE SISTEMAS
Es un proceso formal que es llevado adelante por especialistas en
auditoría y en informática a efectos de verificar y asegurar que los recursos y
procesos involucrados en la construcción y explotación de los sistemas de
información cumplen con los procedimientos establecidos y se ajustan a
criterios de integridad, eficiencia, seguridad, efectividad y legalidad.
Revisar y
Evaluar los controles, sistemas, procedimientos de informática; de los equipos
de cómputo, su utilización, eficiencia y seguridad, de la organización que
participan en el procesamiento de la información, a fin de que por medio del
señalamiento de cursos alternativos se logre una utilización más eficiente y
segura de la información que servirá para una adecuada toma de decisiones.
Auditoría interna es una actividad independiente, objetiva y de
consultoría diseñada para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus objetivos aportando un
enfoque sistemático, disciplinado para evaluar y mejorar la efectividad de la
administración del riesgo, el control y los procesos de conducción.
ENFOQUE A UTILIZAR
La
presente acción de control, se realiza de acuerdo con el organismo central y
rector de los Sistemas Nacionales de Estadística e Informática, responsable de
normar, supervisar y evaluar los métodos, procedimientos y técnicas
estadísticas e informáticas utilizados por los órganos del Sistema INEI
(Instituto Nacional de Estadística e Informática), Normas Internacionales de
Auditoria (NIA); habiéndose aplicado
procedimientos de Auditoria que se consideraron necesarios de acuerdo a las
circunstancias.
Impacto
de los Sistemas de Información.
·
La creciente dependencia en información y en los sistemas que proporcionan
dicha información.
·
La creciente vulnerabilidad y un amplio espectro de amenazas, tales como
las "ciber amenazas" y la guerra de información
·
La escala y el costo de las inversiones actuales y futuras en información
y en tecnología de información;
·
El potencial que tienen las tecnologías para cambiar radicalmente las
organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir
costos.
Problemas que surgen de los diagnósticos
organizacionales
•
En el plan de
negocios no se suele tener presente al área de informática.
•
Problemas de procesos
(duplicidad de tareas, falta de conexión entre procesos, etc.)
•
Problemas de actualización
tecnológica soft, hard y recursos humanos.
•
Falta del integración
del usuario al proceso de desarrollo e implementación.
•
Mal uso de recursos
del negocio falta de priorización de los proyectos.
•
Falta de
Formalización de los procesos
Principales
Áreas de Actividad de la Auditoria Sistemas
•
Auditoría de la
dirección (Plan Estratégico de Sistemas)
•
Auditoría del
desarrollo (gestión de proyecto)
•
Auditoría de la
Adquisición
•
Auditoría Seguridad
(Seguridad Física – Plan de Contingencias, evaluación de riesgos, seguridad
lógica)
•
Auditoría de la
explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios
de programas)
Organización del Área de Auditoría Informática
•
Departamento de Auditoría Interna.
Independencia Funcional
Coordinación con Auditoría Tradicional
•
Dirección de Informática
Dependencia Funcional
Problemas de administración por parte del Gerente de Informática
Brinda mayor apoyo al área de informática
•
Staff de la Gerencia General
Mayor apoyo a la alta
dirección
Mayor compromiso con
los objetivos del negocio
Problemas para el
seguimiento de las actividades del área por parte de la Gerencia General
•
Externa
Imposibilidad de contar con un área propia
Mayor experiencia y amplitud de visión
Mayor nivel tecnológico y de conocimientos
Problemas con el conocimiento del negocio
Organización del Área de Auditoría Informática –
Principales Funciones
•
Evaluación y
verificación de controles y procedimientos relacionados con la función de
informática
•
Verificación del uso
eficiente de los SI.
•
Desarrollo de las
actividades del área de auditoría inf. de acuerdo a estándares normativos.
•
Evaluación de las
áreas de riesgo y en consecuencia planificación de las tareas del área.
•
Realizar el monitoreo
permanente de las actividades del área.
•
Realizar el monitoreo
de la seguridad.
•
Monitoreo de la
aplicación de procedimientos.
•
Realizar una adecuada
información y seguimiento de las observaciones realizadas.
Para
hacer una adecuada planeación de la auditoría en informática, hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización y equipo.
En el caso de la auditoría en
informática, la planeación es fundamental, pues habrá que hacerla desde el
punto de vista de los dos objetivos:
·
Evaluación
de los sistemas y procedimientos.
- Evaluación de los equipos de cómputo.
Para
hacer una planeación eficaz, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para
ello es preciso hacer una investigación preliminar y algunas entrevistas
previas, con base en esto planear el programa de trabajo, el cual deberá
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:
ADMINISTRACIÓN
Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.
PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:
A NIVEL DEL ÁREA DE INFORMÁTICA
Objetivos a corto y largo plazo.
RECURSOS MATERIALES Y TECNICOS
Solicitar documentos sobre los equipos, número de ellos, localización y características.
·
Estudios
de viabilidad.
- Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
- Fechas de instalación de los equipos y planes de instalación.
- Contratos vigentes de compra, renta y servicio de mantenimiento.
- Contratos de seguros.
- Convenios que se tienen con otras instalaciones.
- Configuración de los equipos y capacidades actuales y máximas.
- Planes de expansión.
- Ubicación general de los equipos.
- Políticas de operación.
- Políticas de uso de los equipos.
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.
·
Manual
de formas.
- Manual de procedimientos de los sistemas.
- Descripción genérica.
- Diagramas de entrada, archivos, salida.
- Salidas.
- Fecha de instalación de los sistemas.
- Proyecto de instalación de nuevos sistemas.
Se solicita la información y se ve que:
·
No
tiene y se necesita.
- No se tiene y no se necesita.
·
No
se usa.
- Es incompleta.
- No esta actualizada.
- No es la adecuada.
- Se usa, está actualizada, es la adecuada y está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
·
Estudiar
hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento)
- Investigar las causas, no los efectos.
- Atender razones, no excusas.
- No confiar en la memoria, preguntar constantemente.
- Criticar objetivamente y a fondo todos los informes y los datos recabados.
Una
de las partes más importantes dentro de la planeación de la auditoría en
informática es el personal que deberá participar y sus características.
Uno
de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan esté debidamente capacitado, con alto sentido de
moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le
retribuya o compense justamente por su trabajo.
Con
estas bases se debe considerar las características de conocimientos, práctica
profesional y capacitación que debe tener el personal que intervendrá en la
auditoría. En primer lugar se debe pensar que hay personal asignado por la
organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoría, proporcionar toda la información que se solicite y programar las
reuniones y entrevistas requeridas.
Éste
es un punto muy importante ya que, de no tener el apoyo de la alta dirección,
ni contar con un grupo multidisciplinario en el cual estén presentes una o
varias personas del área a auditar, sería casi imposible obtener información en
el momento y con las características deseadas.
También
se debe contar con personas asignadas por los usuarios para que en el momento
que se solicite información o bien se efectúe alguna entrevista de comprobación
de hipótesis, nos proporcionen aquello que se está solicitando, y complementen
el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista
de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como
colaboradores directos en la realización de la auditoría se deben tener
personas con las siguientes características:
·
Técnico
en informática.
- Experiencia en el área de informática.
- Experiencia en operación y análisis de sistemas.
- Conocimientos de los sistemas más importantes.
En
caso de sistemas complejos se deberá contar con personal con conocimientos y
experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no
significa que una sola persona tenga los conocimientos y experiencias
señaladas, pero si deben intervenir una o varias personas con las características
apuntadas.
Una
vez que se ha hecho la planeación, se puede utilizar el formato señalado en el
anexo 1, el figura el organismo, las fases y subfases que comprenden la
descripción de la actividad, el número de personas participantes, las fechas
estimadas de inicio y terminación, el número de días hábiles y el número de
días/hombre estimado. El control del avance de la auditoría lo podemos llevar
mediante el anexo 2, el cual nos permite cumplir con los procedimientos de
control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el
programa de auditoría, con los recursos estimados y en el tiempo señalado en la
planeación.
El
hecho de contar con la información del avance nos permite revisar el trabajo
elaborado por cualquiera de los asistentes. Como ejemplo de propuesta de
auditoría en informática véase el anexo 3.
III.
EVALUACIÓN DE SISTEMAS
La
elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se
debe revisar si existen realmente sistemas entrelazados como un todo o bien si
existen programas aislados. Otro de los factores a evaluar es si existe un plan
estratégico para la elaboración de los sistemas o si se están elaborados sin el
adecuado señalamiento de prioridades y de objetivos.
El plan estratégico deberá
establecer los servicios que se presentarán en un futuro contestando preguntas
como las siguientes: - ¿Cuáles servicios se implementarán?
- ¿Cuándo se pondrán a disposición de los usuarios?
- ¿Qué características tendrán?
- ¿Cuántos recursos se requerirán?
- ¿Qué aplicaciones serán desarrolladas y cuándo?
- ¿Qué tipo de archivos se utilizarán y cuándo?
- ¿Qué bases de datos serán utilizarán y cuándo?
- ¿Qué lenguajes se utilizarán y en que software?
- ¿Qué tecnología será utilizada y cuando se implementará?
- ¿Cuántos recursos se requerirán aproximadamente?
- ¿Cuál es aproximadamente el monto de la inversión en hardware y software?
- ¿Qué estudios van a ser realizados al respecto?
- ¿Qué metodología se utilizará para dichos estudios?
- ¿Quién administrará y realizará dichos estudios?
Por último, el plan estratégico determina la planeación de los recursos.
- ¿Contempla el plan estratégico las ventajas de la nueva tecnología?
- ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?
El
proceso de planeación de sistemas deberá asegurarse de que todos los recursos
requeridos estén claramente identificados en el plan de desarrollo de
aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)
deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta
actualmente.
Los
sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente
siguen: requerimientos del usuario, estudio de factibilidad, diseño general,
análisis, diseño lógico, desarrollo físico, pruebas, implementación,
evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al
ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.
La
primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe
analizar si el sistema es factible de realizarse, cuál es su relación
costo/beneficio y si es recomendable elaborarlo.
Se
deberá solicitar el estudio de factibilidad de los diferentes sistemas que se
encuentren en operación, así como los que estén en la fase de análisis para
evaluar si se considera la disponibilidad y características del equipo, los
sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las
formas de utilización de los sistemas, el costo y los beneficios que reportará
el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos
tendrán sobre el sistema y la congruencia de los diferentes sistemas.
En
el caso de sistemas que estén funcionando, se deberá comprobar si existe el
estudio de factibilidad con los puntos señalados y compararse con la realidad
con lo especificado en el estudio de factibilidad
Por
ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y
una serie de beneficios de acuerdo con las necesidades del usuario, debemos
comparar cual fue su costo real y evaluar si se satisficieron las necesidades
indicadas como beneficios del sistema.
Para
investigar el costo de un sistema se debe considerar, con una exactitud
razonable, el costo de los programas, el uso de los equipos (compilaciones,
programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la
práctica son costos directos, indirectos y de operación.
Los
beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en
los costos de operación, la reducción del tiempo de proceso de un sistema.
Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control,
mayor confiabilidad y seguridad.
EVALUACIÓN
DEL DISEÑO LÓGICO DEL SISTEMA
En
esta etapa se deberán analizar las especificaciones del sistema.
¿Qué
deberá hacer?, ¿Cómo lo deberá hacer?, ¿Secuencia y ocurrencia de los datos, el
proceso y salida de reportes?
Una
vez que hemos analizado estas partes, se deberá estudiar la participación que
tuvo el usuario en la identificación del nuevo sistema, la participación de
auditoría interna en el diseño de los controles y la determinación de los
procedimientos de operación y decisión.
Al
tener el análisis del diseño lógico del sistema debemos compararlo con lo que
realmente se está obteniendo en la cual debemos evaluar lo planeado, cómo fue
planeado y lo que realmente se está obteniendo.
Los
puntos a evaluar son: - Entradas.
- Salidas.
- Procesos.
- Especificaciones de datos.
- Especificaciones de proceso.
- Métodos de acceso.
- Operaciones.
- Manipulación de datos (antes y después del proceso electrónico de datos).
- Proceso lógico necesario para producir informes.
- Identificación de archivos, tamaño de los campos y registros.
- Proceso en línea o lote y su justificación.
- Frecuencia y volúmenes de operación.
- Sistemas de seguridad.
- Sistemas de control.
- Responsables.
- Número de usuarios.
Dentro del estudio de
los sistemas en uso se deberá solicitar:
- Manual del usuario.
- Descripción de flujo de información y/o procesos.
- Descripción y distribución de información.
- Manual de formas.
- Manual de reportes.
- Lista de archivos y especificaciones.
Lo que se debe
determinar en el sistema:
En
el procedimiento:
- ¿Quién hace, cuando y como?
- ¿Qué formas se utilizan en el sistema?
- ¿Son necesarias, se usan, están duplicadas?
- ¿El número de copias es el adecuado?
- ¿Existen puntos de control o faltan?
En la gráfica de flujo
de información:
- ¿Es fácil de usar?
- ¿Es lógica?
- ¿Se encontraron lagunas?
- ¿Hay faltas de control?
En el diseño:
- ¿Cómo se usará la herramienta de diseño si existe?
- ¿Qué también se ajusta la herramienta al procedimiento?
En
esta etapa del sistema se deberán auditar los programas, su diseño, el lenguaje
utilizado, interconexión entre los programas y características del hardware
empleado (total o parcial) para el desarrollo del sistema. Al evaluar un
sistema de información se tendrá presente que todo sistema debe proporcionar
información para planear, organizar y controlar de manera eficaz y oportuna,
para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad
en la forma más económica posible. De ese modo contará con los mejores
elementos para una adecuada toma de decisiones. Al tener un proceso
distribuido, es preciso considerar la seguridad del movimiento de la información
entre nodos. El proceso de planeación de sistemas debe definir la red óptima de
comunicaciones, los tipos de mensajes requeridos, el tráfico esperado en las
líneas de comunicación y otros factores que afectan el diseño. Es importante
considerar las variables que afectan a un sistema: ubicación en los niveles de
la organización, el tamaño y los recursos que utiliza. Las características que
deben evaluarse en los sistemas son:
- Dinámicos (susceptibles de modificarse).
- Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo)
- Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas aislados.
- Accesibles (que estén disponibles).
- Necesarios (que se pruebe su utilización).
- Comprensibles (que contengan todos los atributos).
- Oportunos (que esté la información en el momento que se requiere).
- Funcionales (que proporcionen la información adecuada a cada nivel).
- Estándar (que la información tenga la misma interpretación en los distintos niveles).
- Modulares (facilidad para ser expandidos o reducidos).
- Jerárquicos (por niveles funcionales).
- Seguros (que sólo las personas autorizadas tengan acceso).
- Únicos (que no duplique información).
CONTROL DE PROYECTOS
Debido a las características propias
del análisis y la programación, es muy frecuente que la implantación de los
sistemas se retrase y se llegue a suceder que una persona lleva trabajando
varios años dentro de un sistema o bien que se presenten irregularidades en las
que los programadores se ponen a realizar actividades ajenas a la dirección de
informática. Para poder controlar el avance de los sistemas, ya que ésta es una
actividad de difícil evaluación, se recomienda que se utilice la técnica de
administración por proyectos para su adecuado control.
Para
tener una buena administración por proyectos se requiere que el analista o el
programador y su jefe inmediato elaboren un plan de trabajo en el cual se
especifiquen actividades, metas, personal participante y tiempos. Este plan
debe ser revisado periódicamente (semanal, mensual, etc.) para evaluar el
avance respecto a lo programado. La estructura estándar de la planeación de
proyectos deberá incluir la facilidad de asignar fechas predefinidas de
terminación de cada tarea. Dentro de estas fechas debe estar el calendario de
reuniones de revisión, las cuales tendrán diferentes niveles de detalle.
Comentarios
Publicar un comentario