1

GUIA PARA: GESTION DE LA AUDITORÍA INFORMÁTICAProfesor: Sergio Bravo Silva

INTRODUCCIÓNEste apunte: Origen y propósito

Parte 1-Definiciones iniciales y propuestas

Entropía; Riesgo; SeguridadMatriz de ImpactoCobiT 1 y CobiT 5

Octave, Magerit1, Magerit2Seguridad Informática

C.O.S.O.Balanced Scorecard

Contexto de Auditoría Tipos y Fases de Auditoria Informática

Tipos y objetos de Auditoría InformáticaPlanillas (papeles) de trabajo

Auditoría Informática: Contexto-Propuestas-AutoresContexto de Auditoría Informática

Propuesta CobiT de ISACFPropuesta CMM del SEI

Propuesta C.O.S.O.

Texto: “Diseño de Sistema Interactivos” Jeff RuskinTexto: “Matrices de Sistemas Interactivos” Jerry Fitzgerald (Matrices)Texto: “Principios de Interfaces” Paul NielsenTexto: “Principios de Interfaces” Jeff RuskinTexto: “Auditoria en Informática” Enrique Hernández H.Texto: “Auditoría en Informática” José Antonio Echeñique Robert Benjamín “Control del Ciclo de Desarrollo de SI”Leandro SanhuezaBernardo Caviglia

Métodologia para Auditoría Informática y

Caracterización de una Auditoría InformáticaMétodo para una Auditoría Informática

EjercicioTercera Parte: Desarrollo de una Auditoría Informática

INTRODUCCIÓN

Baja de la página de la asignatura el ejercicio 1.0, el cual contiene una serie de conceptos generales que debemos discutir y documentar

El propósito de esta asignatura es motivar al alumno a introducirse en la investigación de un campo

que reviste primordial interés para las empresas, directores de proyectos informáticos e ingenieros

informáticos. Estos últimos forman parte de los equipos de proyectos atendidos por las grandes firmas

auditoras de nivel mundial, y aportan los conocimientos sobre información y tecnologías de información

en las auditorías. Para los ingenieros informáticos la auditoría informática representa una opción

especialmente promisoria e interesante.

Se dan por conocidos los siguientes conceptos de administración que vale la pena comentar

Conceptos de nivel estratégico

Gestión y Administración Análisis FODA, Visión, Misión, Objetivos estratégicos, Plan Estratégico Comité Informático-Plan Informático-Políticas de Control Interno

Areas Funcionales institucionales

Área de PersonalÁrea de Finanzas

2

Área de MarketingÁrea de Ventas

Área de AbastecimientoÁrea de Producción

Área Informática

La Gestión de la auditoría informática, la entenderemos como hace referencia a acciones exitosas de

la empresa o proyecto para la realización de auditorías internas y enfrentar auditorías externas

destinadas a apoyar la disponibilidad de información de calidad (ver CobiT), que apoye al logro de

garantice el cumplimiento de los objetivos de la empresa, y de las normas internas y leyes de la

república.

El éxito en esta asignatura requiere motivación de los alumnos por incursionar e investigar en los

diversos temas que se incluyen, no descartando la posibilidad futura de certificarse en (ISACA).

La presente guía digital nos ayuda a poner en acción los contenidos del programa a través de un

método activo colaborativo de aprendizaje, en que se privilegia la capacidad de: leer investigar,

interpretar, ejemplificar, resumir y presentar los ejercicios realizados

Para ingresar a la página de esta asignatura, hemos ingresado en un navegador: “sbravo” y luego

seleccionado “index” y finalmente seleccionado la asignatura

Creamos tu portafolio digital, como se indica en la figura de abajo.

-Baja los siguientes elementos y guárdalos en la carpeta de portafolio (con un click)

POR-AUD-[Apellido, Nombre]

Tomando como base esta la guía digital, participa en la discusión de temas, y en base a ello, y resuelve

los ejercicios, resumiendo la materia y/o tus diseños. Luego incluye hipervínculos desde palabras

claves de la guía, hacia los ejercicios.

Como apoyo se mencionan las siguientes propuestas reconocidas mundialmente, y algunos textos de

Auditoría Informática de autores americanos. Investigar sobre ellos te ayudará a contextualizar la

Ejercicios Guía

1-

2-

Ej.:1

Ej.:2

3

disciplina, para luego profundizar en los elementos específicos del dominio de la Gestión de

empresas, al cual pertenece la Auditoría Informática.

o CobiT (Control Objectives for Information and Related Technology)o CMM (Capability Maturity Model) del SEIo C.O.S.O (Commite of Sponsorizing of the Threadway Commission)o Matrices de Fitzgeraldo “Diseño de Sistemas Interactivos” Jeff Raskin (Pearson Education)

-La importancia de la relación con las computadoras o “Principios del diseño de Interfaces” Paul Nielsen

(SEI-Software Engineering Institute)

El curso ha rescatado algunos conceptos elementales en los siguientes libros de auditoría informática:

“Entendiendo la Auditoría” Enciclopedia Cashin (Ed. Original Mc Graw Hill)

“Auditoría en Informática-Un enfoque Metodológico Enrique Hernández H. (CECSA-México)

“Auditoría en Informática” José Antonio Echeñique García (Mc. Graw Hill)

“Controles Internos para sistemas de Computación” Jerry Fitzgerald (Editorial Limusa-México)

“Control del Ciclo de Desarrollo de Sistemas de Información”

Robert I. Benjamín (Editorial Limusa-México)

“Guía para Auditoría Informática” (Una orientación para el ejecutivo)

Leandro Sanhueza L. (Auspicio: Autoridad Informática del Gobierno de Chile)

“Control Interno y Auditoría Computacional Bernardo Caviglia

A los conceptos rescatados les agregamos valor aplicándolos al diseño de una metodología, e

instrumento aplicables a una auditoría Informática simple, en un ambiente empresarial específico.

La Parte 1: de esta guía presenta los conceptos de Entropía, Control, Auditoría y Control Interno.

La Parte 2: está dedicada a la revisión de propuestas y libros que fundamentan nuestros enfoques en

Del tema y la definición de tipos de auditorías y los aspectos a auditar y los pasos metodológicos

generales de una auditoría

La Parte 3: está destinada a la configuración de un método para un ejercicio final de auditoría

vinculados a un tipo de empresa elegido, sus objetivos y los factores críticos de éxito del o las áreas

incluidas que formará parte de un ejercicio final.

4

PARTE 1: ENTROPÍA RIESGO; SEGURIDAD

1-Entropía-Control-Auditoría1a- Entropía; Riesgo; Seguridad

1b-Conceptos de Control 1c-Contexto de Auditoría

1d-Tipos de Auditoría 1e-Aspectos a ser auditados

1a-ENTROPÍA; RIESGO; SEGURIDAD

Entropía : Ley de la naturaleza referida a los fenómenos de desorganización, caos y

desinformación.

Se hace presente en todas las manifestaciones de la naturaleza, sociedad incluyendo

los seres vivos y genera riesgos frente a los cuales el ser humano debe defender

Riesgo : Probabilidad de que algo indeseado ocurra, provocando impactos (daños)

Seguridad : Disciplina que se preocupa de: Analizar y jerarquizar los riesgos y sus

fenómenos asociados; evaluar los impactos que provoca la consumación del riesgo, y

establecer medidas de seguridad para administrar los riesgos situándolos en el nivel

aceptado. También la Seguridad establece la forma de enfrentar los impactos,

incluyendo planes de contingencia para enfrentar desastres.

1b- CONCEPTOS DE CONTROL

La teoría del Control (Cibernética) define sistemas de control aplicables tanto a los

seres vivos, como a la máquina.

Un sistema, están compuestos por los siguientes subsistemas El Sub-Sistema de Dirección, establece objetivos a lograr, directrices y estímulos.

El Sub-Sistema Regido cumple los objetivos, en respuesta a los estímulos de la Dirección

Sub-Sistema de Control verifica el cumplimiento, utilizando:

Los objetivos de Dirección que operan como patrones de comparación

Instrumentos de medición de los resultados, en las mismas unidades de los patrones

Sub Sistema de control, que establece desviaciones entre logros y patrones establecidos

Acciones de Dirección para estimular corrección de desviaciones (o corregir metas)El Control verifica el grado de cumplimiento de las metas (empresas, proyectos,

áreas) lo que nos permite reconocer y registrar las principales desviaciones, y

estadísticamente dimensionar los riesgos a fin de establecer medidas de seguridad.

5

1c- CONTEXTO DE LA AUDITORÍA El siguiente gráfico pretende contextualizar esta disciplina, incluyendo aspectos que se relacionan y

definen a la Auditoría:Elementos Teoría delControl Control Auditores Auditores Auditores ElementosInterno Internos Externas de Gobierno a auditar (Procesos, recursos) Normas Tipos y Entorno Auditoría

Auditoría Métodos de auditoría Principios Auditoría Instrumentos de Auditoría

Normas Auditoría Accountability (Ley y moral)

Entropía, riesgos Niveles institucionales

ALGUNOS DETALLES SOBRE EL CONTEXTO DE AUDITORÍA

CONTROL INTERNO

El control Interno de la empresa se preocupa de evaluar la existencia y el grado de

cumplimiento de procedimientos de control en los diversos procesos de la empresa, a

fin de lograr la calidad y reducir los riesgos presentes en los procesos humanos y

automatizados, a fin de lograr el cumplimiento de sus objetivos. Para ello, es

necesario focalizarse en los siguientes elementos:1d-RIESGOS Y SEGURIDAD

Riesgo: Probabilidad de ocurrencia de algo indeseado

Vulnerabilidad: Debilidad

Exposición: Grado en que el o lo afectado se expone al riesgo

Consumación del riesgo: Ocurrencia de la situación no deseada

Impacto: Magnitud del daño, en términos cuantitativos

Medidas de seguridad: Decisiones y acciones tendientes a llevar el riesgo a valores aceptados

ELEMENTOS QUE CONCIERNEN A LOS AUDITORES

Puestos de trabajo: Habilidades (competencias de los auditores)

Informacion y comunicación

Supervisión de Controles Internos

1.1AUDITORÍA

6

Evaluacion del Riesgo: Progresos Tecnológicos-Cambios-Códigos de Conducta-Cumplimiento Metas-Alineamiento de TIC al negocio

Planes y procedimientos para salvaguardar activos, contabilidad, operación y reglas, Modelo COSO

Naturaleza: Acumular y evaluar evidencias, de errores y fraudes, añadiendo validez al objeto de

revisión

o Filosofía : Evidencias-Debido cuidado-Presentación adecuada-Independencia-Conducta ética

Ambiente de Control Interno de la empresa : El estado de los elementos anteriores

1d-Algunos tipos de auditorías:

Según el origen del cuerpo de auditores

o Auditoría Externa: Profesional, Independiente (Dictámen-Responsabilidad civil y penal-Periódica)

o Auditoría Interna: Función de la empresa (No participa en funciones operativas-Revisa los controles

internos (adecuacion, efectividad, eficiencia del CI)-Asesora a Dirección (Crítica constructiva).

Comprobar si los procedimientos operativos y métodos se utilizan tal y como está establecido en las

normas de la empresa. Determinar si los Controles Internos proporcionan la protección necesaria

Según el método de la auditoría

o Alrededor del Ordenador (entradas/salidas-Seguridad Física (accesos, copias de Seguridad, incendios)

o A través del ordenador: Se revisan y verifican datos a traves del ordenador, usando utilitarios

Según el objeto de la auditoría

o Auditoría al Desarrollo de Sistemas de Información

o Controles generales en los sistemas para verificar cumplimiento de las normas internas en vigor

o Verificación de cumplimiento legales aplicables-Controles de las aplicaciones informáticas instaladas

para evaluar su fiabilidad.

o Eficacia operativa de los controles de las aplicaciones informáticas instaladas para evaluar su fiabilidad

procesando datos a tiempo, de forma exacta y completa

1e-Posibles aspectos a ser auditados:

7

Construiremos tablas con agrupaciones de aspectos típicos posibles de ser considerados

en auditorías informáticas. Ello a partir de material rescatado de las propuestas y

textos antes mencionados. Esas tablas podremos reagruparlas posteriormente cuando

abordemos la realización del ejercicio de auditoría informática a un tipo de empresa

específica.

Parte2-AUDITORÍA INFORMÁTICA: CONTEXTO-PROPUESTAS-AUTORES

2a-Contexto de la Auditoría Informática2b-Propuesta CobiT2c-Propuesta CMM

2e-PropuestaMatrices de Fitzgerald

2a-CONTEXTO DE LA A UDITORÍA INFORMÁTICA

Así como la Auditoría, la Auditoría informática es una disciplina instrumental, que heredan los

conceptos del mundo del control y los aplican en la evaluación de una empresa o proyecto.

El siguiente gráfico presenta el contexto de Auditoría ya presentado, seguido del contexto de

auditoría Informática, dando a entender que el contexto de Auditoría Informática hereda los

conceptos esenciales de Auditoría, agregando elementos específicos del área que la definen y

diferencian:Elementos ModeloControl Control Auditorias Auditoría Auditoria ElementosInterno Internas Externas Gobierno a auditar Normas Tipos y Entorno Auditoría

Auditoría Métodos de auditoría Principios Auditoría Instrumentos de Auditoría

Accountability (Ley y moral)

Propuestas (CobiT-C.O.S.O-Fitzgerald-CMM)Recursos Informáticos

Procesos Informáticos Bibliografía

Dominios Resultados

Errores, fraudes

Planes Informáticos

OrganizaciónÁrea Informática

Metodológia Aspectos Equipo Objetivo de Plan de Método Ad Hocde A.Informática a auditar A. Inform. La A.Inform. A.Inform. para la A, Inform.

1.1AUDITORÍA

1.2aAUDITORÍAINFORMÁTICA

8

En lo que sigue examinaremos algunas propuestas que desde sus propias perspectivas,

contribuyen, tanto a la elaboración de una metodología general de auditoría informática,

como para apoyar metodologías para auditorías específicas. Por otra parte las propuestas

ayudan a elaborar listas de aspectos a auditar. Posteriormente clasificaremos los aspectos

a auditar para considerarlos al desarrollar el ejercicio de Auditoría Informática con que

concluimos esta guía (Capítulo 3).

Ejercicio 2a: -Incluye un análisis personal sobre, comentando cada elemento del contexto planteado.

2b-Propuesta CobiT

o D1:Planeación y Organización: (de la empresa y de la función de datos)

(Definir P.E. de TI; Arquitectura de información; Dirección Tecnológica; Definir organización y

relaciones TI; Manejo de inversión TI; Comunicación directrices gerenciales; Administración recurso

humano; Cumplimiento de requerimientos externos; Evaluación de riesgos; Administración Proyectos;

Administración de calidad

o D2: Adquisición e Implementación:

(Identificación de soluciones; Adquisición y mantenimiento de SW de aplicación; Adquisición y

mantenimiento de TI; Desarrollo y mantenimiento de Procedimientos TI; Instalación y acreditación de

sistemas; Administración de cambios)

o D3: Servicio y Soporte:

(Definición de nivel de servicio; Administración de servicios de terceros; Administración de la

capacidad y desempeño; Asegurar el servicio continuo; Garantizar la seguridad del sistema;

Identificación y asignación de costos; Capacitación de usuarios; Soporte a los clientes de TI;

Administración de la configuración; Administración de problemas e incidentes; Administración de

datos; Administración de instalaciones; Administración de operaciones)

o D4: Seguimiento:

(Seguimiento de los procesos, evaluando lo adecuado del control interno; obtener aseguramiento

independiente; Proveer una auditoría independiente)

-Elabora una hoja EXCEL que contenga los dominios y procesos CobiT y columnas que faciliten la

auditoría a una farmacia cuyo control de fechas de los medicamentos no está funcionando. Incluye el

resultado en la carpeta “Ejercicios” con el nombre de “Ejercicio 1.2b

Ejercicio 2b:

-Investiga la propuesta CobiT y presenta los resultados en el ejercicio.

9

-Incluye tablas en Word, elaboradas con los elementos de CobiT

-Rescata algunos elementos posibles de auditar, que se desprendan de la propuesta y agrégalos en el

Ejercicio para considerar en la aplicación de se desarrollará al final del curso.

2c-Propuesta CMM /SEI) (CMM= Capability Maturity Model SEI=Software Engineering Institute)

Baja desde la página principal (punto 1.2c) la presentación propuesta por el SEI (Software Engineery Institute),

divulgada mundialmente, e infórmate como esta propuesta permite evaluar los grados de madurez del Desarrollo

de Sistemas de Información en las empresas que desarrollen SW. Allí verá los siguientes niveles de madurez

propuestos:

o Nivel inicial: Procesos inmaduros, no medidos ni controlados nunca:

(Organization typically does not provide a stable environment for developing and maintaining SW; The benefits of good SW

engineering practice are undetermined by ineffective planning and reaction –driven commitment systems

During a crisis, projects typically abandon planned procedures and revert to coding and testing.

o Segundo Nivel (repetible): Centrado en la administración de proyectos.

(Policies for managing new projects and procedures to implement those policies are established. Planning and managing

new projects is based on experience with similar projects. An objective in achieving Level 2 is to institutionalize effective

management processes for software projects, which allow organization to repeat successful practices developed on earlier

projects, although the specific process implemented by the projects may differ. .An effective process can be characterized as

practiced, documented, enforced, trained, measured, and able to improve.

o Tercer Nivel (definido): Centrado en el proceso de ingeniería

(At this level, the standard process for developing and maintaining software across the organization is documented including

both software engineering and management process, and those processes are integrated into a coherent whole. This standard

process is referred to throughout the CMM as the organization’s standard software process. Processes established at Level 3

are used to help the software managers and technical staff performs more effectively. The organization exploits effective

software engineering practices when standardizing its software process. There is a group that is responsible for the

organization software process activities. An organization –wide training program is implemented to ensure that the staff and

managers have the knowledge and skills required to fulfill their assigned roles. Because the software process is well defined,

management has good insight into technical progress on all projects.

o Cuarto nivel (gestionado)

(The organization sets quantitative quality goals both software product and process. Productivity and quality are measured

for important software Process activities across all projects as part of an organizational measurement program. An

organizational-wide software process database is used to collect and analyze the data available from the project´s defined

software processes. Software processes are instrumented with well defined and consistent measurements that establish the

quantitative foundation for evaluating the project’s software processes and products by narrowing the variation in their

process performance to fall within acceptable quantitative boundaries. Meaningful variations in process performance can be

distinguished from random variation (noise) particularly within established product lines. The risks involved in moving up

the learning curve of a new application domain are known and carefully managed.

o Quinto nivel (Optimizado)

(The entire organization is focused on continuous process improvement. The organization has the means to identity weakness

and strengthens the process proactively, with the goal of preventing the occurrence of defects. Data on the effectiveness of

10

the software process is used to perform cost benefit analyses on new technologies and proposed changes to the organization

´s software process. Innovations that exploit the best software engineering practices are identified and transferred

throughout the organization. Software project teams analyze defects to determine their causes. Software processes are

evaluated to prevent known types of defects from recurring, and lessons learned are disseminated to other projects.

Organizations at this level are characterized as continuously improving.

Ejercicio 2c: -Presenta la propuesta CMM. -Incluye tablas elaboradas en SW ofimático con los elementos de CMM-Rescata algunos elementos posibles de auditar, que se desprendan de la propuesta y agrégalos en el Ejercicio para considerar en la aplicación de se desarrollará al final del curso.

2d: Propuesta: Controles Internos para Sistemas de Computación (Matrices de Fitzgerald)

o M2: Controles Generales Organizativos (Para la empresa y en especial la función de datos)

o M3:Control de las entradas (Para los sistemas computacionales transaccionales (dispositivos;

operación; personal; medios magnéticos o manuales; formas)

o M4:Control de Comunicación de datos (Sistema central; Software; Procesador frontal de

comunicaciones) (Multiplexor, Conmutador, Concentrador; Circuitos (líneas) de comunicación;

Circuito local; Módems; Personal; Terminales (inteligencia distribuida).

o M5:Control de Programas/procesos de la Computadora (SW básico y de Aplicación) (Sistemas y

programas de aplicación; Integridad de registros de datos: Integridad de las salidas; Sistema Central;

Programas de Software)

o M6:Controles de salidas (En línea y paquetes)

(Dispositivos de salida; Personal; Almacenamiento y disposición de los registros;

(Sistemas y programas de aplicación; Integridad de registros de datos: Integridad de las salidas;

Sistema Central; Programas de Software)

o M7:Control de terminales en línea y distribuídos (En caso Batch, también M3)

(Terminales; Inteligencia distribuida; Personal; Sistema Central)

o M8:Control de Seguridad Física (del proceso de datos de la Organización)

(Actitud de la Gerencia; Facilidad de Construcción; Generadores y motores eléctricos; Aire

acondicionado; Planes de Contingencia; Programas de entrenamiento; Personal; Seguros)

o M9:Control de Bases de Datos (Integridad de medios de almacenamiento)

(Administrador de la Base de Datos; Software de Base de Datos; Registros y Reportes; Estándares

operativos de la BD; Seguridad Física del equipo y los datos; Personal)

o M10:Control del SW del sistema (Software básico)

(SW de: Sistema operativo; Comunicación de Datos; y otros básicos)

A partir de los apuntes distribuidos en el curso y genera en una hoja EXCEL los siguientes elementos:

-Una primera tabla con la información de una de las matrices, a tu elección. En el cruce de los elementos

sujetos a riesgos (Recursos/Activos), con el tipo de riesgos a que están sometidos (Concierne a/Expuesto

a), incluir los números indicados en cada cruces.

Bajo la tabla escribir el significado de cada número (copiado del apunte)

-Una segunda tabla que pudiera usarse como un instrumento elemental de auditoríaIncluye el resultado en la carpeta “Ejercicios” con el nombre de “Ejercicio 1.2d

Ejercicio 2d:

11

-Investiga y presenta la propuesta Matrices de Fitzgerald

-Incluye tablas elaboradas en SW ofimático con los elementos de la propuesta

-Rescata algunos elementos posibles de auditar, que se desprendan de la propuesta y agrégalos en el

Ejercicio para considerar en la aplicación de se desarrollará al final del curso.

2e-Propuesta C.O.S.O. -Investiga sobre esta propuesta y presenta los resultados en Ejercicio 2e

2f-Propuesta: Principios de Interfaces de Jeff Raskin y Paul NielsenEjercicio 2f:

-Investiga y presenta las propuestas de Rasking y Nielsen

-Incluye tablas elaboradas en SW ofimático con los elementos de la propuesta

-Rescata algunos elementos posibles de auditar, que se desprendan de la propuesta y agrégalos en el

Ejercicio para considerar en la aplicación de se desarrollará al final del curso.

2e-Libro Enciclopedia de la Auditoría

2f-“Auditoría en Informática Enrique Hernández H. (CECSA-México)

“Auditoría en Informática” José Antonio Echeñique García (Mc. Graw Hill)

“Control del ciclo de Desarrollo de Sistemas de Información Robert Benjamín (Limusa)

Leandro Sanhueza

e) Bernardo Caviglia

-Haz un análisis comparativo de los enfoques de todos los libros y presenta los resultados en una tabla en el Ejercicio 2f

2g-Método para la Auditoría Informática

Está constituido por los pasos a seguir para realizar una Auditoría Informática. No obstante existir

condiciones metodológicas de validez general, dictadas por asociaciones de auditoría (estándares, políticas,

necesidad de actualización, etc.), el método de auditoría a usar en cada caso está condicionado a variables

propias que caracterizan el contexto en que se realizará cada auditoría específica. Ellas influyen tanto en el

método, como los posibles instrumentos a usar. Consideremos como método general para realizar una

auditoría informática, los siguientes pasos que deben ser apropiadamente documentados:

o Establecer y documentar el Origen y Objetivo general de la Auditoría Informática

o Caracterizar Empresa: Tamaño-Organización-Políticas-TIC-Normas-Proced. Administrativos

12

o Caracterización de la entidad auditora y la auditoría a realizar

o Auditoría Interna

o Auditoría Independiente

o Auditoría Gubernamental

o Objetivos de la Auditoría Informática específica

o Estado de la Informática y su alineamiento a la empresa

o Métodos y Procedimientos a aplicar: (Metodologías-Documentación

o Posibles Elementos a auditar Salas y Edificios (Accesos-Energía-Equipos-Layout hardware-Emergencias-Alarmas) Hard-Soft (Planes compras-Selección compras-Inventarios-Control consumibles Jefatura Informática (Separación responsabilidades y tareas-Formación-Clima-Presupuesto Autorización y Planificación de trabajos Entrada/salida de datos Caídas de sistema-Fallas de trabajos Integridad física y lógica de los datos Costos de operación por sistemas Aumento de gastos informáticos desproporcionado Mala calidad del servicio a usuarios Fallas en sistemas de alto riesgo Cambios en TIC y modelos de negocios Desinterés por usar el servicio (caso) Reorganización de la Empresa (Caso clínica) Rotación del personal informático Errores-Fraudes-Sabotajes Contingencia y planes existentes (caso Isapre)

Metodología y Diseño modelo de datos para un SW de Auditoría Informática

Objetivo, tipo, aspecto Nivel Empresa Normas

Propuestas Riesgo Plan General Contingencias

1-Objetivos específicos de la Auditoría2-Estudio Inicial del entorno

3-Plan (Recursos, tiempo)4-Programa (Fecha, hora, lugar, actores)

5-Ejecución (Actividades y Papeles de Trabajo (Cuest-Eval-Recomend)6-Informes finales

7-Seguimiento

POSIBLES ENTIDADES DEL MODELO DE DATOS

-Empresa -Plan General de auditoría de la Empresa -Programa de las auditorías -Área Funcional afectada -Función afectada -Nivel del enfoque de la auditoría (Estrat-Tac-Operac) -Tipo de Auditoría -Aspectos a auditar -Cuestionarios -Problemas -Causas

DefiniciónMétodo

AuditoríaInformátic

a

13

-Recomendaciones

3-REQUERIMIENTOS QUE DEBE SATISFACER UN SW DE AUDITORIA INFORMÁTICA

Pasos metodológicos (deben incluir formularios para registrar formalmente planes y resultados

a) Planificar la A. Informática (Objetivos específicos, plazos, presupuestos, como realizarla)

Asumiendo que se trata de una empresa que posee sistemas de información de cierta complejidad, y

desea iniciar la función de Auditoría Informática, necesita asesoría externa pada definir los alcances

de esta función. El resultado debería ser la instauración de Planes Anuales de Auditoría

InformáticaSobre esa base planificar

b) Visita preliminar al área informática afectada (Contacto con elementos afectados)

c) Elementos y puntos que se auditarán, fechas y presupuestos

d) Designar grupos de trabajo, fechas y actividades a realizar

e) Elaborar documento formal de guía y de auditoría; determinar métodos y procedimientos para la

realizarla incluyendo papeles de trabajo

f) Documentos e instrumentos de apoyo a la ejecución

g) Diseño de sistemas y métodos de prueba

.o Ejecutar A. Informática: Está condicionada por las características propias, los puntos elegidos y los

requerimientos estimados en la planeación

.o Elaborar Informes de A. Informática: Incluye el dictamen, que es el resultado de la auditoria con los

hallazgos detectados, la elaboración del informe de auditoría, oportunidades detectadas, para ser

discutidas con los auditados

o Informe Final: para presentar a los directivos del área auditada, antes de presentarlo al representante o

gerente de la empresa, con la garantía de que los auditados ya aceptaron las desviaciones encontradas

o Presentación del informe y el dictamen de la auditoria al más alto de los directivos de la empresa. Tanto

el informe como el dictamen La presentación de la misma se hace en una reunión directiva. El informe

debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de

situaciones relevantes y los anexos y cuadros estadísticos

Ejercicio de desarrollo de una auditoría informática

14

Caracterización de la Empresa:

o Gran empresa productora estatal, con administración autónoma

o Varias plantas en el territorio nacional con sistemas de información propios

o Alta ingeniería

o Misión: Atención de calidad a clientes nacionales y extranjero

o Visión: Llegar a constituirse en el principal astillero Sudamericano

o Organización Matricial: La parte administrativa; la productiva es con jefes de proyectos

o Políticas: Trabajo productivo, las 24 horas del día

Niveles Decisionales: o Nivel Dirección: Planifica, decide presupuestos, coordina las Plantas

o Nivel Administrador de Planta: Dirige cumplimiento planes Planta

o Niveles Áreas Funcionales: Cumplen con su parte del plan

(Debería cumplir integradamente con otras áreas)

Caracterización de la Informática

o Desarrollo interno de sistemas de información

o Normas sistemas: Pobres en la actualidad, lo que produce desorden

o Procedimientos Administrativos: Los pocos que existen son de baja calidad

Origen y Objetivo de la Auditoría Informática

La necesidad de la Auditoría se origina en la decisión de la Dirección de abordar el proyecto de

modernización de sus Sistemas de información y TIC, a fin de lograr sistemas integrados, que

provea de información de calidad para apoyar las funciones de producción, reparación y ventas

en forma eficiente y eficaz, logrando mejorar sus utilidades.

Para ello se ha contratado:

a) Un experto de reconocida trayectoria nacional que aporte a la planificación del proyecto,

estudiar su factibilidad, conformación de grupos de trabajo, y el progreso del proyecto.

b) Una empresa auditora que trabajara estrecha coordinación con la Dirección de la Empresa y en

la supervisión a nivel estratégico, táctico y operacional en contribuir con auditar la planificación

estudio de factibilidad y ejecución del proyecto. Entre los resultados iniciales que debe dar la

auditoría (en un trabajo conjunto con los actores de nivel estratégico y táctico de la empresa), es

la evaluación de las condiciones en que se encuentra los equipos tecnológicos y humanos de la

empresa para abordar el proyecto, y entregar recomendaciones de cómo hacerlo factible,

llevarlo a cabo y hacer seguimiento de su progreso.

c)

Entidades que intervienen en la auditoría informática

Asesor externo de gran experiencia para apoyar la Planificación y Control del cambio:

Empresa auditora externa:

o Empresa auditora internacional con sede en Santiago de Chile

o Entre los resultados que se espera de la auditoría está la recomendación de con que personal

abordar el proyecto y que capacitaciones deberá contratarse, además de sigerencias para la

constitución del grupo de trabajo para el proyecto

15

Unidades de Auditoría Interna:

o Unidad de Control Interno

o Unidad de Auditoría Interna

o Contraloría General de la República

Unidad informática (Personal seleccionado)

o Jefatura de Informática

o Unidad de Diseño

Jefaturas y personal seleccionado de Áreas Funcionales

o Área de Finanzas

o Área de Producción

o Área de Personal

o Área de Abastecimiento

o Área de Marketing

o Área de Ventas

Desarrollo de la auditoría informática

Planificación Informática y Control del cambio:

Plan Estratégico Informático (PEI): Que hacer, Plazo y Recursos (términos de referencia). La confección de este plan es responsabilidad del Comité Informático (CI), u otra autoridad informática de la empresa. Debe ser aprobado por el nivel estratégico, garantizando su alineamiento al Plan Estratégico de la empresa. Para su confección debe contar con el apoyo de un grupo de trabajo, incluyendo posible asesoría externa y representantes de las áreas funcionales e informática de la empresa. El PEI Debe ser objeto de permanente revisión y control de cumplimientoPor parte de auditoría.

Diseñar el formulario en donde se exprese el PEI, incluyendo los términos de referencia establecidos, alineados al PE

o Plan Informático de nivel Táctico (PET): Que hacer, Plazo y Recursos (términos de referencia). La confección de este plan compromete a miembros del grupo de proyecto y jefaturas de áreas funcionales. Debe estar alineado al PEI y al PE de la empresa.

Diseñar el formulario en donde se exprese el PET, que incluya términos de referencia alineados a los términos del Plan Estratégico Informático y Plan Estratégico de la Empresa

16

o Plan Informático de nivel Operacional: Que hacer, Plazo y Recursos (términos de referencia). La confección de este plan compromete a miembros del grupo de proyecto y jefaturas de áreas funcionales, incluyendo el nivel Operacional. Debe estar alineado al Plan Estratégico Informático y al Plan Estratégico empresarial. Diseñar el formulario en donde deberá quedar expresado en el Plan Informático a nivel Operacional, que incluya los términos de referencia alineados a los términos del Plan Estratégico Informático y al Plan Estratégico de la Empresa

La siguiente tabla muestra un ejemplo que sintetiza la planificación informática estratégica, táctica y operacional del PEI (metas en letra azul), alineadas entre sí y con metas del PE de la empresa (metas en letra negra entre paréntesis)

(Las metas de la empresa, a las cuales se alinean las metas informáticas se expresan entre paréntesis, bajo estas últimas)

NE Plazo Invers NT Plazo Invers NO Plazo Invers

Base Datos

Integrada

(Datos Áreas

Empresa integradas)

2Años

100Mill

Modelo Datos

(Procesos de áreas empresa)

6Ms

30Mill

Modelo Conceptual Datos

(Flujos de procesos de aéreas)

2Ms 8Mill

Modelo Lógico datos(Códigos, identificadores en áreas)

8Ms 32Mill

Modelo Físico datos(Requerimientos)

2Ms4

MillBD poblada

(Disponibilidad de datos)

14Ms

70Mill

SABD implementado(Ingreso y aprobación de datos)

12Ms

48Mill

En el ejemplo se incluyó metas relativas a la administración de los datos de la empresa, quedando pendiente diversos aspectos relativos al diseño, construcción e implementación de los nuevos sistemas.

Auditoría previa al plan de informática

Auditoría al levantamiento de requerimientos de las distintas áreas:

El equipo de trabajo destinado a hacer el levantamiento de requerimientos por área podría estar constituido por: Directivos del Área, Directivos de informática; asesores externos:

Deben levantarse minutas de cada sesión de trabajo, las cuales finalmente deberán integrarse e incluir todos los detalles necesarios para evaluar su factibilidad de enfrentar el cambio, con detalles del Que hacer, Plazos y Recursos. La confección de este plan es responsabilidad del Comité Informático (CI) y debe ser aprobado por la Dirección.

En la página de la asignatura (Capítulo 3) se proponen bosquejos de formularios a usar en este proceso, y sugerencias para evaluar la factibilidad económica del cambio.

La auditoría consistirá en verificar los antecedentes de requerimientos, valorizaciones y plazos a comprometer en el plan, a fin de avalar el cambio u observarlo.