Auditoría de Tecnología de Información
-
Upload
jiban-remi-hinostroza-avalos -
Category
Documents
-
view
214 -
download
0
description
Transcript of Auditoría de Tecnología de Información
Universidad Nacional Agraria "La Molina" 1
Auditoría de las Tecnologías de la
Información
Ing. Jesús León [email protected]
Universidad Nacional Agraria "La Molina" 2
Universidad Nacional Agraria "La Molina" 3
La Empresa bajo un Enfoque sistémico
INGRESOSINGRESOS
RECURSO SRECURSO S
GESTION SISTEMASGESTION SISTEMAS
GESTION PROCESOSGESTION PROCESOS
BIENESBIENES
SERVICIOSSERVICIOS
Universidad Nacional Agraria "La Molina" 4
Políticas
EstructuraClima
Cultura
E
N
T
O
R
N
O
E
X
T
E
R
N
O
E
N
T
O
R
N
O
I
N
T
E
R
N
O
UPC – Diseño de la Estructura Organizacional – Daniel Arrieta
LA ORGANIZACIÓN Y SU ENTORNO
ORGANIZACIÓNORGANIZACIÓN
ENTORNOENTORNOOPERACIONALOPERACIONAL
ENTORNOENTORNOGENERALGENERAL
SOCIALSOCIAL ECONÓMICOECONÓMICO
TECNOLÓGICOTECNOLÓGICOPOLÍTICPOLÍTICOO
LEGALEGALL
PROVEEDORESPROVEEDORES
COMPETENCICOMPETENCIAA
CLIENTECLIENTESS
LABORALABORALL
INTERNACIONALINTERNACIONAL
Universidad Nacional Agraria "La Molina" 6(Esquema Juan Antonio Pérez López) - UPC – Diseño de la Estructura Organizacional – Daniel Arrieta
¿QUÉ ES UNA ORGANIZACIÓN?¿QUÉ ES UNA ORGANIZACIÓN?¿QUÉ ES UNA ORGANIZACIÓN?¿QUÉ ES UNA ORGANIZACIÓN?
Es un conjunto de personas cuyos esfuerzos (acciones) se coordinan para conseguir un cierto resultado u objetivo que interesa a todas ellas, aunque
su interés pueda deberse a motivos muy diferentes.
EntornoExterno
EntornoInterno
EstrategiaSistemas deDirección
EstructuraFormal
ObjetoEstilo deDirección
EstructuraReal
MisiónExterna
Valores deLa Dirección
MisiónInterna
Universidad Nacional Agraria "La Molina" 7
LA CADENA DE VALOR DE LA EMPRESA (PROCESOS)
LOGISTICA DE
ENTRADA I & D
PRODUC- CION
MKT. Y VENTAS
LOGISTICADE
SALIDA
RECURSOS FINANCIEROSRECURSOS FINANCIEROS
RECURSOS HUMANOSRECURSOS HUMANOS
RECURSOS TECNOLOGICOS ( INFORMATICOS )RECURSOS TECNOLOGICOS ( INFORMATICOS )
RECURSOS FISICOS ( INFRA ESTRUCTURA )RECURSOS FISICOS ( INFRA ESTRUCTURA )
RECURSOS GERENCIALESRECURSOS GERENCIALES
POST VENTA
Visióny
Misión Compar
tida
Universidad Nacional Agraria "La Molina" 8
El Sistema de Información Organizacional
Alta Dirección
Dirección
Trabajadores delconocimiento
Trabajadores de los datos
Información Estratégica
Información táctica
Información delconocimiento
Determinación de objetivos
Supervisión, coordinación y control
Diseño del producto/servicioAdministración de la información
Producción Finanzas Marketing Personal
TrabajadoresMEDIOS-Hardware-Software-Telecomunicaciones
CONOCIMIENTOS DE TI
KNOW-HOW:Talento, Habilidades yCreatividad con las T.I.
Universidad Nacional Agraria "La Molina" 9
Conjunto integrado de procesos, principalmente formales, desarrollados en un entorno usuario-ordenador que operan sobre un conjunto de datos estructurados de una organización.
Recopilan, procesan y distribuyen selectivamente la información necesaria. para la operatividad habitual de la organización y las actividades propias de la dirección de la misma.
SISTEMA DE INFORMACIÓN(Andreu, Ricart y Valor, 1991)
Universidad Nacional Agraria "La Molina" 10
Auditoría
Proviene del latín “auditorius”, de la cual proviene la palabra “auditor” (oir y revisar cuentas).
Auditoría de las Tecnologías de la Información
a.- Examen objetivo;b.- Crítico;c.- Sistemático;d.- Eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos (opinión respecto a la eficiencia en la utilización de los recursos informáticos);e.- Evaluar la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.
Universidad Nacional Agraria "La Molina" 11
Áreas de Interés para el Auditor de Tecnologías de la Información
• La Gerencia de Sistemas.• La organización y el personal.• El área del computador.• Las aplicaciones.• Los estándares de documentación y desarrollo. • La operación del computador.• Los planes de desarrollo informático. • Los controles y la seguridad en general. • Los archivos maestros y de transacciones. • La Red de Comunicaciones y de Datos. • La Internet / Intranet.• Las microcomputadoras. • La Transferencia Electrónica de Documentos (EDI).• Otras.
Universidad Nacional Agraria "La Molina" 12
El Proceso de la Auditoría Fases específicas mediante las cuales se desarrolla este proceso:
Universidad Nacional Agraria "La Molina" 13
La Planeación de la Auditoría
Universidad Nacional Agraria "La Molina" 14
Planeación de la Auditoría
Se debe definir:
• Objetivos y el alcance del trabajo; • Técnicas y Herramientas a utilizar; • Recursos humanos y técnicos que se emplearán; y• Plazos para realizar el examen.
¿ Qué se busca ?
• Conocimiento de los Sistemas de Información; • Evaluación preliminar de sus fortalezas y debilidades y, • Lista de materias relacionadas con el área auditada.
Universidad Nacional Agraria "La Molina" 15
Actividades importantes:
a. Conocimiento General de la Entidad.b. Evaluación del Sistema de Control Interno de la Gerencia de Sistemas de Información.C. Programa de Auditoría.
a) Conocimiento General de la Entidad
Conocer y estudiar la Entidad y la función informática :
Información relacionada con la organización, sus Objetivos, Reglamentos, Normas, Funciones, Estructura del área de Sistemas, Equipos, Aplicaciones, etc.
MODELO DE ANÁLISIS DE FUERZAS COMPETITIVAS DE PORTER
A25%
B35%
C10%
D30%
NUEVOSCOMPETIDORES
AMENAZA DESUSTITUTOS
PODER DE LOSPROVEEDORES
PODER DE LOSCOMPRADORES
COMPETENCIA
ACTUAL
Conocimiento General de la Entidad
RESULTADOS
OBTENIDO
S• Financieros• Posición competitiva• Marketing y Ventas
DIAGNOSTICO ESTRATEGICO
ENTORNOENTORNO GENERALGENERAL
• Demográfico• Económico• Político• Legal• Tecnológico• Climático, etc.
CAPACIDADES
Y CARENCIAS• Gerenciales• Innovación• Producción• Comerciales• Logísticas• Financieras
ANALISIS INTERNO
MERCADOMERCADO• Tamaño• Tendencias• Segmentos• AtractividadCLIENTESCLIENTES - Intermedios - Finales
COMPETENCICOMPETENCIAA
• Grupos • Posición comp.• Capacidades y carencias• Características• Estruct. Costos• Estrategias
ANALISIS EXTERNO
FORTALEZAS Y DEBILIDADES
OPORTUNIDADES Y AMENAZAS
FORTALEZAS• • •
LINEAMIENTOS ESTRATÉGICOS GENERALES
OPORTUNIDADES• • •
AMENAZAS • • •
ESTRATEGIAS ESTRATEGIAS F / O F / A ( DE ATAQUE ) ( DE DEFENSA )
ESTRATEGIAS ESTRATEGIAS D / O D / A ( DE REFUERZO ) ( DE PREVENCIÓN /
SUPERVIVENCIA )
DEBILIDADES• • •
Universidad Nacional Agraria "La Molina" 19
b) Evaluación del Sistema de Control Interno de la Gerencia de Sistemas de Información
• Métodos y procedimientos de administración y protección de recursos informáticos.• Confiabilidad de los registros.• Eficiencia de las operaciones.• Adhesión a las políticas informáticas establecidas por la organización.
Universidad Nacional Agraria "La Molina" 20
c) Programa de Auditoría
Aspectos a cubrir en la fase de ejecución de la Auditoría y la disposición en tiempo, modo y lugar de los recursos necesarios para llevarla a cabo:
a. Evaluación de Organización en el Área de Sistemas.b. Evaluación de la Seguridad Física y Planes de Contingencia de la Oficina de Sistemas.c. Evaluación de Bases de Datos, Archivos y Datos.d. Evaluación de Operaciones (Centro de Procesamiento y Área de atención a usuarios).e. Evaluación de Desarrollo y Mantenimiento de Sistemas.f. Evaluación de Redes de Comunicaciones.
Universidad Nacional Agraria "La Molina" 21
• Organización del área informática.• Plan de Sistemas de Información.• Controles de Datos fuente, de operación y de salida.• Mantenimiento de equipos de cómputo.• Seguridad de programas, de datos y equipos de cómputo.• Plan de Contingencias.• Aplicaciones de técnicas de Intranet.• Gestión óptima de software adquirido a medida por entidades públicas.
Normas de Control Interno para Sistemas Computarizados (Rubro 500)
NORMAS TÉCNICAS DE CONTROL INTERNO PARA EL SECTOR PÚBLICO
(R.C. N° 072-98-CG, Lima, Viernes 18 de Diciembre de 1,998)
Universidad Nacional Agraria "La Molina" 22
Organización del Área Informática (500-01)
Evaluar las políticas para la organización adecuada del área informática:
a. Alineamiento con el Plan Operativo (Gestión Institucional) .b. Mantener la operatividad de la entidad (Funciones y responsabilidades).c. Constitución funcional: Producción, Desarrollo y Soporte Técnico (Hardware, Software, Telecomunicaciones).
Universidad Nacional Agraria "La Molina" 23
Implementar un plan de sistemas de información con el fin de contribuir al logro de los objetivos institucionales:
a. La entidad debe recibir el soporte del sistema de información, de acuerdo con sus necesidades.b. Diagnóstico de la situación informática; Objetivos y estrategias de sistemas; generación, ordenamiento y priorización de los proyectos; programación de los tiempos requeridos para la puesta en marcha.c. La dirección debe participar en la elaboración, aprobación y puesta en funcionamiento del plan de sistemas de información.
Plan de Sistemas de Información (500-02)
PLANIFICACION ESTRATEGICA Y OPERATIVA
PLAN ESTRATEGICO DE T.I.PLAN ESTRATEGICO DE T.I.
Año nAño nAño nAño nAño 4Año 4Año 3Año 3Año 0HOY
Año 0HOY Año 1Año 1
PLANES PLANES OPERATIVOSOPERATIVOS
DIVISIONALESY FUNCIONALES
de CORTO PLAZO
PLANES PLANES OPERATIVOSOPERATIVOS
DIVISIONALESY FUNCIONALES
de CORTO PLAZOLO URGENTE!!!
LO IMPORTANTE
PLAN ESTRATEGICO EMPRESARIALPLAN ESTRATEGICO EMPRESARIAL
Universidad Nacional Agraria "La Molina" 25
Salvaguardar los datos fuente, operaciones de proceso y salida de información:
a. Deben establecerse políticas que definan niveles de seguridad de las claves de acceso. b. Procedimientos de controles de operación.c. Copias de información en otros locales.
Controles de Datos Fuente, de Operación y de Salida (500-03)
Universidad Nacional Agraria "La Molina" 26
Políticas respecto al mantenimiento de los equipos de computación:
a. Deben considerarse el mantenimiento correctivo y preventivo.b.Mantenimiento correctivo: mantenimiento de emergencia (menor tiempo posible).c.Mantenimiento preventivo (programado). d.Bajo tres factores: (Periodicidad, acceso inmediato al mantenimiento correctivo y la protección de los dispositivos de almacenamiento).e.Establecer las políticas sobre mantenimiento de los equipos.
Mantenimiento de Equipos de Computación (500-04)
Universidad Nacional Agraria "La Molina" 27
Mecanismos de seguridad en los programas y datos del sistema para proteger la información procesada por la entidad:
a.Seguridad lógica. 1) Acceso a los archivos y programas para los programadores, analistas u operadores. 2) claves de acceso (password); 3) copias de respaldo de manera periódica y descentralizada; 4) contar con un sistema de seguridad (software); y, 5) mantener programas antivirus actualizados.
b.Seguridad física de los equipos (Personal de vigilancia, alarmas, extinguidores y demás dispositivos).
Seguridad de Programas, de Datos y equipos de cómputo (500-05)
Universidad Nacional Agraria "La Molina" 28
Elaborar el Plan de Contingencias de la entidad:
a. Describe los procedimientos que debe seguir la Oficina de Informática para actuar en caso de una emergencia se interrumpa la operatividad del sistema de cómputo.b.Considera todos los puntos por separado y en forma integral como sistema (Documentación actualizada, Suscribir convenios).c.Debe efectuarse sobre la base de que la emergencia existe. d. Se distribuye entre el personal responsable de su operación. e. Informática elabora, mantiene y actualizar el Plan.
Plan de Contingencias (500-06)
Universidad Nacional Agraria "La Molina" 29
Implementación de las técnicas de INTRANET (previa evaluación del costo-beneficio):
a. Establecer niveles de seguridad para información especifica que es compartida entre múltiples usuarios dentro de una entidad.b. Permite construir rápidamente una base de conocimientos capaz de ayudar al crecimiento de la entidad.c. Pautas técnicas para iniciar una Intranet (Protocolo de comunicaciones, servidor; organización de la información, software de manipulación de la información y Base de datos).
Aplicación de Técnicas de Intranet (500-07)
Limitación al alcance
Universidad Nacional Agraria "La Molina" 30
Políticas sobre el software a medida adquirido por las entidades:
a. Contratos con terceros para el desarrollo e implementación de aplicaciones computarizadas.b. La dirección debe establecer las políticas que permitan registrar los derechos de propiedad a nombre del Estado.c. Procedimientos que permitan compartir entre las distintas entidades públicas, la utilización del software adquirido a medida para sus actividades.
Gestión Óptima de Software adquirido a medida por Entidades Públicas (500-08)
Universidad Nacional Agraria "La Molina" 31
Objetivos a considerar para la elaboración del Programa para Evaluación de Organización
en el Área de Sistemas
a. Segregación de funciones.
b. Mantenimiento de manuales y custodia de bienes.
c. Controles sobre exactitud de los datos (E/S).
d. Administración adecuada de los recursos informáticos.
e. Verificar la buena planificación; organización; control; estandarización.
f. Que todos los proyectos sean abordados mediante Estudios de Factibilidad, evitar la MODA (ERP-SIGA-BI-B2B-Datawarehouse,etc.)
Universidad Nacional Agraria "La Molina" 32
Objetivos a considerar para la elaboración del Programa para Evaluación de Organización
en el Área de Sistemas
g. Comprobar los elementos de la planificación (Cronogramas de actividades; Información individual de las actividades; Racionalización; Informes de cumplimiento,etc.).
h. Existencia de planificación y de una metodología de Desarrollo, Mantenimiento y control (Dificultades, Evitar los “imprescindibles”, reducir exceso de tiempo o injustificación de atrasos en el desarrollo de los sistemas, problemas de cumplimiento).
i. Garantizar que estén descritos los procedimientos de planificación, desarrollo, mantenimiento y operación de los sistemas y que estén controlados con métodos simples y funcionales.
Universidad Nacional Agraria "La Molina" 33
REGLA DE HOROWITZ
La sabiduría consiste en saber cuándo se debe evitar la perfección.
Universidad Nacional Agraria "La Molina" 34
“Gerencia temporal de un medio ambiente diseñado para entregar un producto terminado, que busca solucionar un caso específico de negocios”.
Características:
Único.
Diseñado para el logro de un objetivo específico.
Contiene recursos definidos.
Tiene un inicio y final definidos.
Generalmente se requiere un rango de habilidades.
¿Qué es un proyecto?
Universidad Nacional Agraria "La Molina" 35
UN OBJETIVO ES...
- UN RESULTADO ESPECÍFICO Y CUANTIFICABLE- POSIBLE DE ALCANZAR EN UN DETERMINADO PERÍODO DE TIEMPO.
Los objetivos deben estar basados en el Diagnóstico y no ser expresiones de buenos deseos ni meras extrapolaciones de tendencias históricas.
DEFINICION DE OBJETIVO
Universidad Nacional Agraria "La Molina" 36
Requisitos de un objetivo
Debe estar orientado a resultados. Debe ser alcanzable. Medible para poder ser evaluable. Aceptables por todos para que sean
participativos. Motivadores y desafiantes. Flexibles. Coherentes con la misión de la empresa.
Universidad Nacional Agraria "La Molina" 37
El Estudio de Factibilidad e Iniciación del Proyecto
Informe
Plan de Trabajo
Estudio de Factibilidad
?
Redimensionamiento oAbandono
Continua
Planeamiento Estratégico
Iniciación del Proyecto
Universidad Nacional Agraria "La Molina" 38
El Estudio de Factibilidad
Los objetivos son: Desarrollar definiciones precisas del problema. Gane la aprobación de usuario Decidir si el problema...
Puede solucionarse.No puede solucionarse.
Identificar las alternativas para solucionar el problema.
LEY DE GORDONSi una investigación no merece la pena, tampoco merece la pena hacerla bien.
Universidad Nacional Agraria "La Molina" 39
El Informe del Estudio de Factibilidad
Se trata del producto final del Estudio de Factibilidad.
Debe explicar: ¿Porqué es necesario el Sistema? ¿Qué negocio busca satisfacer? ¿Cuáles son las alternativas? ¿Qué opción se prefiere (y por qué)? ¿Cómo puede medirse un eventual
éxito del proyecto?
Universidad Nacional Agraria "La Molina" 40
Análisis Empresarial
Para cada opción considere (y compare...) Cualquier premisa importante. Encaje con la estrategia de SI/TI. Los riesgos de una realización exitosa. Tiempo de entrega. Retorno de la inversión.
Esbozo del proyecto y presupuestos.
Universidad Nacional Agraria "La Molina" 41
Estimación de la Inversión
Técnicas para identificar las opciones de mayor “valor del dinero”
Involucra: Analizar Costos, Beneficios, TIR. Considerar opciones de financiamiento. Sopesar los riesgos ligados a cada opción. Evaluar el equilibrio entre las opciones. Seleccionar la opción óptima.
Universidad Nacional Agraria "La Molina" 42
Herramientas de Evaluación de la Inversión
Costo Hundido
Costo irrecuperable en que ya se ha incurrido.
Tiene relevancia para las decisiones futuras.
Costo de Oportunidad
Utilidad máxima que podría haberse obtenido de la inversión en cualquiera de sus usos alternativos; el dinero, el tiempo y el trabajo cuestan.
Los costos hundidos y los costos de oportunidad son dos caras de una moneda que no podemos ignorar.
Universidad Nacional Agraria "La Molina" 43
Análisis de Costo / Beneficio
Compara intervenciones o programas que tienen un resultado común en una situación donde,
para un nivel dado de recursos, los encargados de adoptar las decisiones desean maximizar las
prestaciones.
Análisis Costo Beneficio* Identificación de los Costos* Costos Operacionales* Beneficios Tangibles* Beneficios Intangibles
Universidad Nacional Agraria "La Molina" 44
Iniciación del Proyecto
Objetivo: Establecer el mando en la dirección. Llevar a cabo la valoración de los riesgos. Distribuir roles & responsabilidades. Describir productos finales & entregables. Plan de actividades & distribución de recursos.
Colocar los resultados en un documento de iniciación del proyecto.
Universidad Nacional Agraria "La Molina" 45
En relación a los proyectos y a su gestión.....
LEY DE HENDRICKSON
Si a causa de un problema se convocan muchas reuniones, las reuniones llegarán a
ser más importantes que el problema.
TEOREMA FUNDAMENTALLos nuevos sistemas generan nuevos
problemas.
Universidad Nacional Agraria "La Molina" 46
Derivación de los Proyectos
Plan Corporativo
Proyecto Proyecto
Proyecto
Satisfacción de las
Necesidades del Negocio
Programa
Estrategias de TI
Programa
Necesidades del Negocio
Universidad Nacional Agraria "La Molina" 47
Problemas comunes de los Proyectos
Poco involucramiento de la Alta Dirección. La envergadura del Proyecto sobrepasa los
límites organizacionales. Inexperiencia en la gerencia del Proyecto. Presión en el equipo por personal ajeno al
proyecto. Fracaso en el control de los costos. Producción del personal no tiene continuidad.
Universidad Nacional Agraria "La Molina" 48
Riesgos de un Proyecto de T.I.
El sistema podría ……
Nunca ser entregado. Ser entregado tarde y/o que exceda el
presupuesto. Ser “poco amigable”, carente de funcionalidad. Ser inestable (errores) una vez puesto en
funcionamiento. Difícil / Costoso de manejar, mantener y
mejorar. No trabaje como se espera.
No interconectado con otros sistemas, falto de integración.
No cumpla con las cambiantes expectativas.
Universidad Nacional Agraria "La Molina" 49
Controlando los riesgos del proyecto
Distribuir roles y responsabilidades. Establecer buenas comunicaciones. Reducir el proyecto en etapas manejables. Planear cada etapa en detalle. Planear “entregables” no “actividades”. No inicie una nueva etapa hasta que una etapa
previa haya concluido. No sea ambicioso más allá de lo normal.
LEY DE PATTONUn buen plan es mejor HOY que un plan perfecto
MAÑANA.
Universidad Nacional Agraria "La Molina" 50
Controlar los requerimientos de cambios del usuario.
Revisar frecuentemente:Progresos contra presupuestos y fechas
límites.Calidad contra estándares y requerimientos.¿Es el proyecto aún viable?
Involucre a los usuarios finales a través de todo el proyecto.
Controlando los riesgos del proyecto
Universidad Nacional Agraria "La Molina" 51
Algunas verdades en la Gerencia de Proyectos
Lo que no esta en el papel no se ha dicho !. La palabra más valiosa y menos usadas en el
vocabulario de un gerente de proyectos es “NO”.
Los problemas que hacen daño son aquellos que se desconoce hasta que se presentan.
Demasiadas personas en un proyecto crean más problemas de los que solucionan.
Lo más ridículo respecto a las fechas límites es agregarles más costos con la intención de alcanzarlas.
Universidad Nacional Agraria "La Molina" 52
Consideraciones para auditar el Proyecto
¿Está el proyecto soportado en un levantamiento de procesos válido (Análisis Empresarial)?
¿El Comité del Proyecto ha establecido el control firme acerca del proyecto?
¿Los riesgos del proyecto han sido identificados conjuntamente con las soluciones apropiadas?
¿El Comité del Proyecto ha designado medidas de control de calidad?
¿El Comité del Proyecto ha asignado fechas para la revisión del avance del proyecto?
Universidad Nacional Agraria "La Molina" 53
ALGUNAS LEYES UNIVERSALES SOBRE LOS MÉTODOS RECOMENDADOS POR EL COMITÉ DE
LA SOCIEDAD DE LOS INGENIEROS FILÓSOFOS PARA INGENIEROS INGENUOS
1. Cualquier error de cualquier cálculo, será el que más daños produzca.
2. Si sólo existe una oferta para un determinado proyecto, lo más seguro es que el precio no sea razonable.
3. Todas las promesas sobre los plazos de entrega deben multiplicarse por un factor igual a 2,0.
4. Los cambios importantes de diseño se solicitarán cuando el proceso de fabricación este a punto de terminar.
Universidad Nacional Agraria "La Molina" 54
5. Las especificaciones sobre el rendimiento se deben multiplicar por un factor igual a 0,5 (50% de lo planeado).
6. Si hay más de una persona a la que se le pueda echar la culpa de un error, la culpa no será de nadie.
7. Aparatos idénticos que han tenido el mismo comportamiento en las pruebas, no se comportarán igual en la práctica.
8. Las cláusulas de garantía expiran al pago de la factura.
Universidad Nacional Agraria "La Molina" 55
Objetivos a considerar para la elaboración delPrograma para Evaluación de la Seguridad
Física y Planes de Contingencia de la Oficina de Sistemas
a. Establecer la continuidad de operaciones de negocio que se apoyan en la OFICINA DE SISTEMAS, mediante la verificación de los planes para la "Prevención y Recuperación de Desastres”.
b.Comprobar el diseño y la implantación de un plan de contingencia.
Universidad Nacional Agraria "La Molina" 56
Plan de Contingencia
Objetivo : recuperar el servicio en un tiempo aceptable
Tipo de Plan regulado por el Impacto del negocio.
Los planificadores necesitan considerar:
Diferentes tipos de fallas en el servicio (hardware, software, comunicaciones, utilitarios, etc.).
Desastres (Fuego, Inundaciones, Huelgas, Epidemias, etc).
Restaurar el servicio de la computadora.
Reubicar usuarios y personal de apoyo.
Universidad Nacional Agraria "La Molina" 57
Verificar la existencia de controles sobre el acceso físico y de procedimientos de respaldo:
a. Utilización no autorizada de los elementos computacionales.
B. Robo de información, programas, equipos o archivos de la entidad.
c. Destrucción, modificación o revelación premeditada o accidental de información, programas o equipos.
d. Pérdida de grandes cantidades de información histórica o del período corriente, de difícil recuperación o elevado costo.
Objetivos a considerar para la elaboración delPrograma para Evaluación de la Seguridad
Física y Planes de Contingencia de la Oficina de Sistemas
Universidad Nacional Agraria "La Molina" 58
Acerca de los Riesgos....según el MAGU...
• Riesgo bajo El auditor considera que los controles preverán o detectarán cualquier aseveración errónea que pudiera ocurrir.
• Riesgo medio El auditor considera que es más probable que los controles no prevean o detecten cualquier aseveración errónea que pudiera ocurrir.
• Riesgo alto El auditor considera que es más probable que loscontroles no prevean o detecten cualquier aseveración errónea que pudiera ocurrir.
Universidad Nacional Agraria "La Molina" 59
Objetivos a considerar para la elaboración del Programa para Evaluación de Bases de
Datos, Archivos y Datos
a. Verificar que la información almacenada en entidad, esté protegida contra su pérdida o robo.
b. Comprobar la seguridad para la protección accidental o intencional de los datos.
c. Identificar las medidas de seguridad empleadas para conservar correctos los datos en la base de datos.
d. Copia de seguridad de cada archivo en prevención de posibles fallas.
e. Examinar procedimientos con los que cuenta el sistema para evitar la inconsistencia de los datos, preservando la integridad de los datos.
Universidad Nacional Agraria "La Molina" 60
Un sistema de Información comprende muchos componentes.
Es importante mantener el control de:
Documentos de diseño.
Programas de computadora.
Planes.
Manuales.
Computadoras y equipos de comunicaciones.
Administrando el Centro de Documentación
Universidad Nacional Agraria "La Molina" 61
Documentación a guardar:
* Donde se encuentran estos ítems (Programas de computadora).* ¿Quién o quienes los poseen?* Su estado (Ej. en desarrollo, prueba, piloto, archivado).* Historia de los problemas y cambios.* Relaciones con otros componentes (subprocesos).
Administrando el Centro de Documentación
Universidad Nacional Agraria "La Molina" 62
Infraestructura de IT
Hardware Software Redes Documentación
Suite 1 Suite 2
Programa 1-1
Programa 1-3
Programa 1-2
Módulo1 - 2 - 1
Módulo1 - 2 - 2
Administrando el Centro de Documentación
Universidad Nacional Agraria "La Molina" 63
Objetivos a considerar para la elaboración del Programa para Evaluación de Operaciones en
el Centro de Procesamiento y Área de Atención a Usuarios
a. Control del área de operaciones de los centros de procesamiento de datos y las áreas de atención a usuarios.
b. Controlar que estas áreas sean eficientes y eficaces, es fundamental, ya que tiene consecuencias inmediatas en la continuidad de las operaciones.
Universidad Nacional Agraria "La Molina" 64
Acuerdos de Nivel de Servicio
Acuerdo formal entre proveedores y usuarios del servicio.
Nivel de soporte:
Tipos de servicios a ser provistos.
Tiempos disponibles y situaciones cubiertas.
Medición en la entrega del servicio.
Control de cambios.
Personal de enlace.
Cargos y penalidades.
Universidad Nacional Agraria "La Molina" 65
Contratos y Acuerdos de Nivel de Servicio
USUARIO
DEPARTAMENTO DE SERVICIOS DE IT
SISTEMAS DE COMPUTADORA
Hardware Software aplicativo
Medio ambiente Comunicaciones
Proveedores & Mantenimiento
USUARIO USUARIO USUARIO
Universidad Nacional Agraria "La Molina" 66
Objetivos a considerar para la elaboración del Programa para Evaluación de Desarrollo y
Mantenimiento de Sistemas
a. Verificar los procedimientos que permitan al Grupo de desarrollo garantizar que los sistemas sean eficientes, eficaces, y confiables, cuando entren en producción normal (explotación).
b. Comprobar que los procedimientos incluyen pistas de Auditoría y Control en los sistemas.
Universidad Nacional Agraria "La Molina" 67
Una buena especificación del Sistema
...Debería ser:
Exacta
Clara
Concisa
Inequívoca
Relevante
Adecuada
Completa
Efectiva
Universidad Nacional Agraria "La Molina" 68
El analista de sistemas
UsuarioAnalista de
Sistemas Programador
El Analista de Sistemas traduce las necesidades de los usuarios en términos
técnicos
LEY DE JORDANUn informante (usuario) que nunca proporciona información equivocada es demasiado anormal
como para confiar en él.
Universidad Nacional Agraria "La Molina" 69
POSTULADOS FUNDAMENTALES DE LA TEORÍA AVANZADA DE SISTEMAS
1. Todo es un sistema.
2. Todo es parte de un sistema mayor.
3. El Universo está infinitamente sistematizado, tanto hacia arriba (sistemas más grandes) como hacia abajo (sistemas más pequeños).
4. Todos los sistemas son infinitamente complejos (La ilusión de que son simples proviene de centrar la atención en una o pocas variables).
Universidad Nacional Agraria "La Molina" 70
Diseño de Sistemas
Diseño Lógico : “Diseño Conceptual” Implementar los requerimientos de los
usuarios. Ningún detalle físico. “Portable”.
Diseño Físico : Diseño del “mundo real”. Hardware, Software, comunicaciones,
personas.
Universidad Nacional Agraria "La Molina" 71
Diseño Lógico
Otros requerimientos son :
* “Diccionario de datos
Guardar “definiciones” y “descripciones” de los datos.
Provee referencia cruzada.* “Algoritmos” - Definir las entradas y
salidas: Describe brevemente la operación del proceso.
Las herramientas CASE simplifican el diseño lógico.
Universidad Nacional Agraria "La Molina" 72
Diseño Físico
Define el proceso en detalle
Decide acerca de los componentes físicos del sistema:
Programas de computadora.
Estructuras de datos.
Plataforma tecnológica.
Universidad Nacional Agraria "La Molina" 73
Diagrama de Flujo – Inventario(Demostración de un método para documentación de un diagrama
de flujo usando un sistema de inventario como ejemplo)
Inventario
Proceso de transacciones
Cliente ComunicarGeneración de la orden
Gerente
Proveedor
Universidad Nacional Agraria "La Molina" 74
Modelo de desarrollo de Sistemas “Cascada”
Especificarnecesidades
Diseño
Desarrollo
Prueba
Implementación
Fija
El proceso de diseño traduce los requisitos de una representación del software que puede ser establecida de forma que se obtenga la calidad requerida antes de iniciar la codificación.
Universidad Nacional Agraria "La Molina" 75
Ciclo de Vida del Desarrollo de Sistemas
Plan
Implementación yRevisión
Construcción y Pruebas
Desarrollo/Obtención
Especificar necesidades
Iniciación delproyecto
Estudio de Factibilidad ?
Aproximación al modelo”Cascada”
Continuación o redefinición del alcance
Universidad Nacional Agraria "La Molina" 76
Modelo “Cascada” - Ventajas
Bueno para requisitos estables y conocidos.
Bueno para procesos computacionales complejos.
Encaja bien con el modelo tradicional “Top-Down”.
Rápido y eficiente si en producto final es conocido.
Medida clara del progreso del proyecto.
Fácil de dividirse en sub-contratos.
Universidad Nacional Agraria "La Molina" 77
Completar las especificaciones son tareas de tiempo completo.
Ninguna convicción que se ha hecho con precisión hasta la comprobación de aceptación.
Cambiantes necesidades del negocio.
Alto costo de corregir errores.
Gran esfuerzo de mantenimiento.
Muy lento. Pasa mucho tiempo antes que los usuarios vean un producto funcionando.
Modelo “Cascada” – Desventajas
Universidad Nacional Agraria "La Molina" 78
El alto costo de los cambios en los sistemas
Tiempo
Costo
Especif. Diseño Desarrollo Prueba Implementación Post-Implem.
Universidad Nacional Agraria "La Molina" 79
Qué involucra el Desarrollo Rápido de Aplicaciones (RAD)?
Compromiso de la Alta Dirección.
Equipos pequeños y mucho “Empowerment”.
Requerimientos Mínimos en el más corto tiempo.
Talleres (sesiones de “Desarrollo de Sistemas conjunto”).
Se requiere gran confianza en la automatización (“CASE”).
Prototipeo, iteración y re-uso.
Universidad Nacional Agraria "La Molina" 80
Ciclo de Vida – Diseño Rápido de Aplicaciones (RAD)
Desarrollo delSistema
Verificación yValidación
DefinirRequerimientos
Entrega delSistema
DocumentaciónDel Sistema
3
1 5
4
6
Diseño delSistema
2
Universidad Nacional Agraria "La Molina" 81
Software Asistido por Computadora (CASE)
Herramientas de apoyo de software a cubrir:
1 Actividades técnicas:
- Análisis & Diseño.
- Construcción y Mantenimiento.
2 Administración de los procesos de desarrollo:
- Gerencia del proyecto.
- Estimaciones.
- Administración de la configuración. Ambiente Integrado de Apoyo al Programa –
cubre todo.
Universidad Nacional Agraria "La Molina" 82
Controlando los prototipos
Iteración Funcionaldel Prototipo
Diseño & Construccióndel Prototipo
Administración dela Configuración
PrototiposInternos
AcuerdoAcuerdo del
Prototipo
AcuerdoAcuerdo del
Prototipo
Universidad Nacional Agraria "La Molina" 83
Inicio
Parada Recolección yrefinamiento derequisitos
Diseñorápido
Producto deIngeniería
Refinamientoprototipo
Evaluación del prototipopor el Cliente
Construcciónprototipo
Modelo de construcción de Aplicativos mediante Prototipos
Universidad Nacional Agraria "La Molina" 84
Trabajar con módulos manejables
Construir el Prototipo con rapidez
Modificar el Prototipo unavez revisado por los usuarios
Enfatizar la Interfaz con el Usuario
Modularidad
Menor Tiempo (1 semana/3 días)
Baja dependencia de los modulos
Amigables y en relación al modelode usuario
Modelo de construcción de Aplicativos mediante Prototipos
Universidad Nacional Agraria "La Molina" 85
Modelo “Espiral” - RAD
Plan Analizar
Opciones
Diseño
ConstrucciónPrueba e
Instalación
Revisión
Definir objetivos
100 99 96 80
Recoleción de requerimientos y planificación del proyecto inicial
Evaluación del cliente
Análisis de riesgos basado en requisitos
Prototipo inicial del software
Decisión de seguir o no hacia el sistema
Universidad Nacional Agraria "La Molina" 86
Especificación de Requerimientos
Las especificaciones generalmente cubren:
Requerimientos funcionales (Obligatorios & Opcionales).
Seguridad de T.I. Documentación. Entrenamiento. Mantenimiento. Rendimiento esperado. Medición del rendimiento. Criterios de prueba y aceptación. ........ etc.
Universidad Nacional Agraria "La Molina" 87
Control de versiones
Todos los desarrolladores necesitan trabajar en la misma versión – No de las últimas semanas
Debe asegurarse que todos los componentes en una versión son compatibles
A veces se necesitan múltiples versiones para diferentes necesidades o plataformas diferentes
Proporciona un medio de regresar atrás; a un estado previamente conocido (“regresión”).
Universidad Nacional Agraria "La Molina" 88
Riesgos asociados a los cambios
Impacto de los cambios no identificados.
Cambio incorrectamente especificado, diseñado o programado.
Cambio de versión incorrecta o lanzada.
Cambio instalado en ubicación equivocada.
Documentación del sistema no actualizada.
Riesgos de seguridad (Ej. virus, analizadores de protocolo, etc.).
Universidad Nacional Agraria "La Molina" 89
Impacto de cambios sin control
Problemas e imprevistos se presenten en todas partes.
El sistema presenta fallas debido a:Errores de programa.Versiones de programa incompatibles.Fallas al instalar el cambio.Documentación del programa incorrecta. Interferencia maliciosa.
Impactos – Pérdida de data; sistema no accesible; revelación de información sensible.
Universidad Nacional Agraria "La Molina" 90
Objetivos a considerar para la elaboración del Programa para Evaluación de Redes de
Comunicaciones
a. Evaluar la forma de comunicación entre los usuarios y sistemas basados en el computador.
b. Evaluar cómo se afecta la seguridad de los datos, a medida en que las comunicaciones y procesamiento de datos continúan expandiéndose.
Universidad Nacional Agraria "La Molina" 91
La Ejecución de la Auditoría
Universidad Nacional Agraria "La Molina" 92
Controles de Carácter GeneralControles de Adquisición, Organización, Desarrollo, Administración física y lógica, Documentación y de
Seguridad.
Controles de Carácter EspecíficoControles de Aplicaciones (Entrada, Procesamiento y
Salida), Bases de Datos, de Procesamiento Distribuido y de Microcomputadoras.
Universidad Nacional Agraria "La Molina" 93
Entonces....se evalúa a través de Controles de Carácter General y/o Controles de Carácter Específico.
Recomendación: Se debe ir de lo general a lo particular
¿ Cómo ir de lo general a lo particular ?
El auditor debe identificar, verificar y evaluar los métodos de control en el proceso de obtención de la evidencia adecuada, para fundamentar las conclusiones de auditoría a través de pruebas de cumplimiento y/o sustantivas.
Universidad Nacional Agraria "La Molina" 94
Pruebas de Cumplimiento
Usadas para determinar si un procedimiento de control prescrito está funcionando efectivamente y consisten en verificar:
a) Aplicación de Leyes o Reglamentos, de procedimientos establecidos en los manuales y que éstos se encuentren actualizados. b) Conocimiento por parte del personal, de los manuales y de las políticas del ambiente informático.c) Existencia de informes o memorandos preparados por el Departamento de Informática.d) Verificar si han sido implantadas las recomendaciones emitidas por auditorías anteriores.
Universidad Nacional Agraria "La Molina" 95
Pruebas Sustantivas
Proveen seguridad razonable sobre la validez de la información producida, mediante la aplicación de una o varias técnicas de auditoría, ya sea simultánea o secuencialmente, tales como:
a) Analizar registros.b) Hacer operaciones. c) Comparar archivos. d) Estratificar archivos.e) Seleccionar una muestra aleatoria.f) Resumir información. g) Generar reportes. h) Construir archivos de prueba.i) Extraer información de un archivo.j) Realizar análisis estadísticos. k) Simular parte del sistema o el sistema completo.
Universidad Nacional Agraria "La Molina" 96
Tipos de evidencia
La evidencia de auditoría puede clasificarse en los tipos siguientes:
• Evidencia física• Evidencia documental• Evidencia testimonial• Evidencia analítica
a. Evidencia física. Ejemplo en la verificación de saldos y/o cruces de información (magnético versus físico).
b. Evidencia documental. Es la información obtenida de la entidad bajo auditoría e incluye, comprobantes de pago, facturas, contratos, cheques y, en el caso de empresas estatales, acuerdos de Directorio. La confiabilidad del documento depende de la forma como fue creado y su propia naturaleza.
Universidad Nacional Agraria "La Molina" 97
Tipos de evidencia
Clasificar los documentos en:• Externos: aquellos que se originan fuera de la entidad.• Internos: aquellos que se originan dentro de la entidad.
c. Evidencia testimonial: Información obtenida de terceros a través de cartas o declaraciones recibidas en respuesta a indagaciones o mediante entrevistas.
d. Evidencia analítica: Se obtiene al analizar o verificar la información. La confiabilidad de evidencia analítica depende en gran parte de la importancia de la información comparable.
Universidad Nacional Agraria "La Molina" 98
ATRIBUTOS DE LA EVIDENCIA
a) Suficiencia: Se refiere al alcance de los procedimientos de auditoría desarrollados.
b) Competencia: Calidad de las evidencias obtenidas, su aplicabilidad respecto a una aseveración en particular, y su confiabilidad.
c) Relevancia (pertinencia): Relación que existe entre la evidencia y su uso. Debe guardar relación lógica y patente con ese hecho.
Universidad Nacional Agraria "La Molina" 99
Son métodos prácticos de investigación y prueba que utiliza el auditor para obtener evidencia que fundamente su opinión. Las técnicas más utilizadas al realizar al realizar pruebas de transacciones y saldos son:
• Técnicas de verificación ocular
• Técnicas de verificación oral
• Técnicas de verificación escrita
• Técnicas de verificación documental
• Técnicas de verificación física
TÉCNICAS DE AUDITORÍA
Universidad Nacional Agraria "La Molina" 100
Técnicas de verificación ocular
Comparación, es el acto de observar la similitud o diferencia existente entre dos o mas elementos.
Observación, es el examen ocular realizado para cerciorarse como se ejecutan las operaciones.
Indagación, es el acto de obtener información verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios responsables de la entidad.
Universidad Nacional Agraria "La Molina" 101
Técnicas de verificación ocular
Las Entrevistas, pueden ser efectuadas al personal de la entidad auditada. Para obtener mejores resultados deben prepararse apropiadamente, especificar quienes serán entrevistados, definir las preguntas a formular, alertar al entrevistado acerca del propósito y puntos a ser abordados.
Las Encuestas pueden ser útiles para recopilar información de un gran universo de datos o grupos de personas.
Universidad Nacional Agraria "La Molina" 102
Técnicas de verificación escrita
Analizar, consiste en la separación y evaluación crítica, objetiva y minuciosa de los elementos o partes que conforman una operación o proceso para establecer su relación y conformidad con los criterios normativos y técnicos existentes.
Confirmación, permite comprobar la autenticidad de los registros y documentos analizados, a través de información directa y por escrito.
Tabulación, consiste en agrupar los resultados obtenidos en áreas, segmentos o elementos examinados, de manera que se facilite la elaboración de conclusiones.
Conciliación, implica hacer que concuerden dos conjuntos de datos relacionados, separados e independientes.
Universidad Nacional Agraria "La Molina" 103
Técnicas de verificación documental
Comprobación, verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas por una entidad, mediante la verificación de los documentos que las justifican.
Computación, verificar la exactitud y corrección aritmética de una operación o resultado. Se prueba solamente la exactitud de un cálculo, por lo tanto, se requiere de otras pruebas adicionales para establecer la validez de las cifras incluidas en una operación.
Rastreo, es utilizada para dar seguimiento y controlar una operación de manera progresiva, de un punto a otro de un proceso interno determinado.
Revisión selectiva, consiste en el examen ocular rápido de una parte de los datos o partidas que conforman un universo homogéneo en ciertas áreas.
Universidad Nacional Agraria "La Molina" 104
Técnicas de verificación física
Inspección, es el examen físico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad.
Universidad Nacional Agraria "La Molina" 105
Técnicas de auditoría usadas para evaluar los programas de cómputo
Pruebas de Recorrido. Comparación de cifras en el sistema. Evaluación operativa y funcional de los Sistemas de
Información. Evaluación de la calidad de la información. Control de datos rechazados. Dígito de verificación. Evaluación de entradas preprocesadas al sistema. Evaluación de transacciones ficticias. Evaluación de controles internos en aplicaciones
críticas. Evaluación de la oportunidad, razonabilidad, privacidad
y seguridad de la información.
Universidad Nacional Agraria "La Molina" 106
La Informe de la Auditoría
Universidad Nacional Agraria "La Molina" 107
El Informe
Es la culminación de una auditoría o revisión. Representa el aspecto crítico del proceso porque es la representación fidedigna, visible en que terceros pueden confiar. Así pues, debe mostrar claramente el alcance del trabajo realizado y la responsabilidad que se asume en cuanto a la razonabilidad de los Sistemas.
Una vez reunida la evidencia, el auditor debe depurar y juzgar con el mayor celo profesional a fin de obtener las conclusiones adecuadas. Al emitir su opinión, terceras personas depositan su confianza en él.
Universidad Nacional Agraria "La Molina" 108
Los informes que se emitan deben tener en consideración los siguientes criterios (Según Según
las MAGUlas MAGU)
• Claridad: los informes deben ser fáciles de entender y estar libres de ambigüedades o vaguedades.
• Objetividad: los informes deben estar libres de prejuicios.
• Precisión: los informes no deben ser más largos de lo necesario. No deben existir párrafos o secciones demasiado detalladas que no se adecuen con claridad al contenido del informe. Muchos detalles quitan mérito al informe y pueden desvirtuar y confundir al usuario de este.
• Equidad: los informes deben ser equilibrados y reflejar un adecuado conocimiento de los problemas significativos sobre la habilidad de la entidad auditada, para administrar sus operaciones.
Universidad Nacional Agraria "La Molina" 109
Papeles de trabajo
Es importante que como constancia física del trabajo realizado se anexe la documentación de mayor prioridad, como producto de la revisión realizada.
Esta puede incluir información de las encuestas realizadas, guías de evaluación formuladas a los usuarios del sistema, así como documentación emitida por el sistema en revisión, que evidencie las novedades encontradas o simplemente las salidas del sistema (reportes).