auditoría de tecnología de información

Universidad Nacional Agraria "La Molina" 1

Auditoría de las Tecnologías de la

Información

Ing. Jesús León [email protected]


La Empresa bajo un Enfoque sistémico

INGRESOSINGRESOS

RECURSO SRECURSO S

GESTION SISTEMASGESTION SISTEMAS

GESTION PROCESOSGESTION PROCESOS

BIENESBIENES

SERVICIOSSERVICIOS


Políticas

EstructuraClima

Cultura

E

N

T

O

R

N

O

E

X

T

E

R

N

O

E

N

T

O

R

N

O

I

N

T

E

R

N

O

UPC – Diseño de la Estructura Organizacional – Daniel Arrieta

LA ORGANIZACIÓN Y SU ENTORNO

ORGANIZACIÓNORGANIZACIÓN

ENTORNOENTORNOOPERACIONALOPERACIONAL

ENTORNOENTORNOGENERALGENERAL

SOCIALSOCIAL ECONÓMICOECONÓMICO

TECNOLÓGICOTECNOLÓGICOPOLÍTICPOLÍTICOO

LEGALEGALL

PROVEEDORESPROVEEDORES

COMPETENCICOMPETENCIAA

CLIENTECLIENTESS

LABORALABORALL

INTERNACIONALINTERNACIONAL

Universidad Nacional Agraria "La Molina" 6(Esquema Juan Antonio Pérez López) - UPC – Diseño de la Estructura Organizacional – Daniel Arrieta

¿QUÉ ES UNA ORGANIZACIÓN?¿QUÉ ES UNA ORGANIZACIÓN?¿QUÉ ES UNA ORGANIZACIÓN?¿QUÉ ES UNA ORGANIZACIÓN?

Es un conjunto de personas cuyos esfuerzos (acciones) se coordinan para conseguir un cierto resultado u objetivo que interesa a todas ellas, aunque

su interés pueda deberse a motivos muy diferentes.

EntornoExterno

EntornoInterno

EstrategiaSistemas deDirección

EstructuraFormal

ObjetoEstilo deDirección

EstructuraReal

MisiónExterna

Valores deLa Dirección

MisiónInterna


LA CADENA DE VALOR DE LA EMPRESA (PROCESOS)

LOGISTICA DE

ENTRADA I & D

PRODUC- CION

MKT. Y VENTAS

LOGISTICADE

SALIDA

RECURSOS FINANCIEROSRECURSOS FINANCIEROS

RECURSOS HUMANOSRECURSOS HUMANOS

RECURSOS TECNOLOGICOS ( INFORMATICOS )RECURSOS TECNOLOGICOS ( INFORMATICOS )

RECURSOS FISICOS ( INFRA ESTRUCTURA )RECURSOS FISICOS ( INFRA ESTRUCTURA )

RECURSOS GERENCIALESRECURSOS GERENCIALES

POST VENTA

Visióny

Misión Compar

tida


El Sistema de Información Organizacional

Alta Dirección

Dirección

Trabajadores delconocimiento

Trabajadores de los datos

Información Estratégica

Información táctica

Información delconocimiento

Determinación de objetivos

Supervisión, coordinación y control

Diseño del producto/servicioAdministración de la información

Producción Finanzas Marketing Personal

TrabajadoresMEDIOS-Hardware-Software-Telecomunicaciones

CONOCIMIENTOS DE TI

KNOW-HOW:Talento, Habilidades yCreatividad con las T.I.


Conjunto integrado de procesos, principalmente formales, desarrollados en un entorno usuario-ordenador que operan sobre un conjunto de datos estructurados de una organización.

Recopilan, procesan y distribuyen selectivamente la información necesaria. para la operatividad habitual de la organización y las actividades propias de la dirección de la misma.

SISTEMA DE INFORMACIÓN(Andreu, Ricart y Valor, 1991)


Auditoría

Proviene del latín “auditorius”, de la cual proviene la palabra “auditor” (oir y revisar cuentas).

Auditoría de las Tecnologías de la Información

a.- Examen objetivo;b.- Crítico;c.- Sistemático;d.- Eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos (opinión respecto a la eficiencia en la utilización de los recursos informáticos);e.- Evaluar la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.


Áreas de Interés para el Auditor de Tecnologías de la Información

• La Gerencia de Sistemas.• La organización y el personal.• El área del computador.• Las aplicaciones.• Los estándares de documentación y desarrollo. • La operación del computador.• Los planes de desarrollo informático. • Los controles y la seguridad en general. • Los archivos maestros y de transacciones. • La Red de Comunicaciones y de Datos. • La Internet / Intranet.• Las microcomputadoras. • La Transferencia Electrónica de Documentos (EDI).• Otras.


El Proceso de la Auditoría Fases específicas mediante las cuales se desarrolla este proceso:


La Planeación de la Auditoría


Planeación de la Auditoría

Se debe definir:

• Objetivos y el alcance del trabajo; • Técnicas y Herramientas a utilizar; • Recursos humanos y técnicos que se emplearán; y• Plazos para realizar el examen.

¿ Qué se busca ?

• Conocimiento de los Sistemas de Información; • Evaluación preliminar de sus fortalezas y debilidades y, • Lista de materias relacionadas con el área auditada.


Actividades importantes:

a. Conocimiento General de la Entidad.b. Evaluación del Sistema de Control Interno de la Gerencia de Sistemas de Información.C. Programa de Auditoría.

a) Conocimiento General de la Entidad

Conocer y estudiar la Entidad y la función informática :

Información relacionada con la organización, sus Objetivos, Reglamentos, Normas, Funciones, Estructura del área de Sistemas, Equipos, Aplicaciones, etc.

MODELO DE ANÁLISIS DE FUERZAS COMPETITIVAS DE PORTER

A25%

B35%

C10%

D30%

NUEVOSCOMPETIDORES

AMENAZA DESUSTITUTOS

PODER DE LOSPROVEEDORES

PODER DE LOSCOMPRADORES

COMPETENCIA

ACTUAL

Conocimiento General de la Entidad

RESULTADOS

OBTENIDO

S• Financieros• Posición competitiva• Marketing y Ventas

DIAGNOSTICO ESTRATEGICO

ENTORNOENTORNO GENERALGENERAL

• Demográfico• Económico• Político• Legal• Tecnológico• Climático, etc.

CAPACIDADES

Y CARENCIAS• Gerenciales• Innovación• Producción• Comerciales• Logísticas• Financieras

ANALISIS INTERNO

MERCADOMERCADO• Tamaño• Tendencias• Segmentos• AtractividadCLIENTESCLIENTES - Intermedios - Finales

COMPETENCICOMPETENCIAA

• Grupos • Posición comp.• Capacidades y carencias• Características• Estruct. Costos• Estrategias

ANALISIS EXTERNO

FORTALEZAS Y DEBILIDADES

OPORTUNIDADES Y AMENAZAS

FORTALEZAS• • •

LINEAMIENTOS ESTRATÉGICOS GENERALES

OPORTUNIDADES• • •

AMENAZAS • • •

ESTRATEGIAS ESTRATEGIAS F / O F / A ( DE ATAQUE ) ( DE DEFENSA )

ESTRATEGIAS ESTRATEGIAS D / O D / A ( DE REFUERZO ) ( DE PREVENCIÓN /

SUPERVIVENCIA )

DEBILIDADES• • •


b) Evaluación del Sistema de Control Interno de la Gerencia de Sistemas de Información

• Métodos y procedimientos de administración y protección de recursos informáticos.• Confiabilidad de los registros.• Eficiencia de las operaciones.• Adhesión a las políticas informáticas establecidas por la organización.


c) Programa de Auditoría

Aspectos a cubrir en la fase de ejecución de la Auditoría y la disposición en tiempo, modo y lugar de los recursos necesarios para llevarla a cabo:

a. Evaluación de Organización en el Área de Sistemas.b. Evaluación de la Seguridad Física y Planes de Contingencia de la Oficina de Sistemas.c. Evaluación de Bases de Datos, Archivos y Datos.d. Evaluación de Operaciones (Centro de Procesamiento y Área de atención a usuarios).e. Evaluación de Desarrollo y Mantenimiento de Sistemas.f. Evaluación de Redes de Comunicaciones.


• Organización del área informática.• Plan de Sistemas de Información.• Controles de Datos fuente, de operación y de salida.• Mantenimiento de equipos de cómputo.• Seguridad de programas, de datos y equipos de cómputo.• Plan de Contingencias.• Aplicaciones de técnicas de Intranet.• Gestión óptima de software adquirido a medida por entidades públicas.

Normas de Control Interno para Sistemas Computarizados (Rubro 500)

NORMAS TÉCNICAS DE CONTROL INTERNO PARA EL SECTOR PÚBLICO

(R.C. N° 072-98-CG, Lima, Viernes 18 de Diciembre de 1,998)


Organización del Área Informática (500-01)

Evaluar las políticas para la organización adecuada del área informática:

a. Alineamiento con el Plan Operativo (Gestión Institucional) .b. Mantener la operatividad de la entidad (Funciones y responsabilidades).c. Constitución funcional: Producción, Desarrollo y Soporte Técnico (Hardware, Software, Telecomunicaciones).


Implementar un plan de sistemas de información con el fin de contribuir al logro de los objetivos institucionales:

a. La entidad debe recibir el soporte del sistema de información, de acuerdo con sus necesidades.b. Diagnóstico de la situación informática; Objetivos y estrategias de sistemas; generación, ordenamiento y priorización de los proyectos; programación de los tiempos requeridos para la puesta en marcha.c. La dirección debe participar en la elaboración, aprobación y puesta en funcionamiento del plan de sistemas de información.

Plan de Sistemas de Información (500-02)

PLANIFICACION ESTRATEGICA Y OPERATIVA

PLAN ESTRATEGICO DE T.I.PLAN ESTRATEGICO DE T.I.

Año nAño nAño nAño nAño 4Año 4Año 3Año 3Año 0HOY

Año 0HOY Año 1Año 1

PLANES PLANES OPERATIVOSOPERATIVOS

DIVISIONALESY FUNCIONALES

de CORTO PLAZO

PLANES PLANES OPERATIVOSOPERATIVOS

DIVISIONALESY FUNCIONALES

de CORTO PLAZOLO URGENTE!!!

LO IMPORTANTE

PLAN ESTRATEGICO EMPRESARIALPLAN ESTRATEGICO EMPRESARIAL


Salvaguardar los datos fuente, operaciones de proceso y salida de información:

a. Deben establecerse políticas que definan niveles de seguridad de las claves de acceso. b. Procedimientos de controles de operación.c. Copias de información en otros locales.

Controles de Datos Fuente, de Operación y de Salida (500-03)


Políticas respecto al mantenimiento de los equipos de computación:

a. Deben considerarse el mantenimiento correctivo y preventivo.b.Mantenimiento correctivo: mantenimiento de emergencia (menor tiempo posible).c.Mantenimiento preventivo (programado). d.Bajo tres factores: (Periodicidad, acceso inmediato al mantenimiento correctivo y la protección de los dispositivos de almacenamiento).e.Establecer las políticas sobre mantenimiento de los equipos.

Mantenimiento de Equipos de Computación (500-04)


Mecanismos de seguridad en los programas y datos del sistema para proteger la información procesada por la entidad:

a.Seguridad lógica. 1) Acceso a los archivos y programas para los programadores, analistas u operadores. 2) claves de acceso (password); 3) copias de respaldo de manera periódica y descentralizada; 4) contar con un sistema de seguridad (software); y, 5) mantener programas antivirus actualizados.

b.Seguridad física de los equipos (Personal de vigilancia, alarmas, extinguidores y demás dispositivos).

Seguridad de Programas, de Datos y equipos de cómputo (500-05)


Elaborar el Plan de Contingencias de la entidad:

a. Describe los procedimientos que debe seguir la Oficina de Informática para actuar en caso de una emergencia se interrumpa la operatividad del sistema de cómputo.b.Considera todos los puntos por separado y en forma integral como sistema (Documentación actualizada, Suscribir convenios).c.Debe efectuarse sobre la base de que la emergencia existe. d. Se distribuye entre el personal responsable de su operación. e. Informática elabora, mantiene y actualizar el Plan.

Plan de Contingencias (500-06)


Implementación de las técnicas de INTRANET (previa evaluación del costo-beneficio):

a. Establecer niveles de seguridad para información especifica que es compartida entre múltiples usuarios dentro de una entidad.b. Permite construir rápidamente una base de conocimientos capaz de ayudar al crecimiento de la entidad.c. Pautas técnicas para iniciar una Intranet (Protocolo de comunicaciones, servidor; organización de la información, software de manipulación de la información y Base de datos).

Aplicación de Técnicas de Intranet (500-07)

Limitación al alcance


Políticas sobre el software a medida adquirido por las entidades:

a. Contratos con terceros para el desarrollo e implementación de aplicaciones computarizadas.b. La dirección debe establecer las políticas que permitan registrar los derechos de propiedad a nombre del Estado.c. Procedimientos que permitan compartir entre las distintas entidades públicas, la utilización del software adquirido a medida para sus actividades.

Gestión Óptima de Software adquirido a medida por Entidades Públicas (500-08)


Objetivos a considerar para la elaboración del Programa para Evaluación de Organización

en el Área de Sistemas

a. Segregación de funciones.

b. Mantenimiento de manuales y custodia de bienes.

c. Controles sobre exactitud de los datos (E/S).

d. Administración adecuada de los recursos informáticos.

e. Verificar la buena planificación; organización; control; estandarización.

f. Que todos los proyectos sean abordados mediante Estudios de Factibilidad, evitar la MODA (ERP-SIGA-BI-B2B-Datawarehouse,etc.)


Objetivos a considerar para la elaboración del Programa para Evaluación de Organización

en el Área de Sistemas

g. Comprobar los elementos de la planificación (Cronogramas de actividades; Información individual de las actividades; Racionalización; Informes de cumplimiento,etc.).

h. Existencia de planificación y de una metodología de Desarrollo, Mantenimiento y control (Dificultades, Evitar los “imprescindibles”, reducir exceso de tiempo o injustificación de atrasos en el desarrollo de los sistemas, problemas de cumplimiento).

i. Garantizar que estén descritos los procedimientos de planificación, desarrollo, mantenimiento y operación de los sistemas y que estén controlados con métodos simples y funcionales.


REGLA DE HOROWITZ

La sabiduría consiste en saber cuándo se debe evitar la perfección.


“Gerencia temporal de un medio ambiente diseñado para entregar un producto terminado, que busca solucionar un caso específico de negocios”.

Características:

Único.

Diseñado para el logro de un objetivo específico.

Contiene recursos definidos.

Tiene un inicio y final definidos.

Generalmente se requiere un rango de habilidades.

¿Qué es un proyecto?


UN OBJETIVO ES...

- UN RESULTADO ESPECÍFICO Y CUANTIFICABLE- POSIBLE DE ALCANZAR EN UN DETERMINADO PERÍODO DE TIEMPO.

Los objetivos deben estar basados en el Diagnóstico y no ser expresiones de buenos deseos ni meras extrapolaciones de tendencias históricas.

DEFINICION DE OBJETIVO


Requisitos de un objetivo

Debe estar orientado a resultados. Debe ser alcanzable. Medible para poder ser evaluable. Aceptables por todos para que sean

participativos. Motivadores y desafiantes. Flexibles. Coherentes con la misión de la empresa.


El Estudio de Factibilidad e Iniciación del Proyecto

Informe

Plan de Trabajo

Estudio de Factibilidad

?

Redimensionamiento oAbandono

Continua

Planeamiento Estratégico

Iniciación del Proyecto


El Estudio de Factibilidad

Los objetivos son: Desarrollar definiciones precisas del problema. Gane la aprobación de usuario Decidir si el problema...

Puede solucionarse.No puede solucionarse.

Identificar las alternativas para solucionar el problema.

LEY DE GORDONSi una investigación no merece la pena, tampoco merece la pena hacerla bien.


El Informe del Estudio de Factibilidad

Se trata del producto final del Estudio de Factibilidad.

Debe explicar: ¿Porqué es necesario el Sistema? ¿Qué negocio busca satisfacer? ¿Cuáles son las alternativas? ¿Qué opción se prefiere (y por qué)? ¿Cómo puede medirse un eventual

éxito del proyecto?


Análisis Empresarial

Para cada opción considere (y compare...) Cualquier premisa importante. Encaje con la estrategia de SI/TI. Los riesgos de una realización exitosa. Tiempo de entrega. Retorno de la inversión.

Esbozo del proyecto y presupuestos.


Estimación de la Inversión

Técnicas para identificar las opciones de mayor “valor del dinero”

Involucra: Analizar Costos, Beneficios, TIR. Considerar opciones de financiamiento. Sopesar los riesgos ligados a cada opción. Evaluar el equilibrio entre las opciones. Seleccionar la opción óptima.


Herramientas de Evaluación de la Inversión

Costo Hundido

Costo irrecuperable en que ya se ha incurrido.

Tiene relevancia para las decisiones futuras.

Costo de Oportunidad

Utilidad máxima que podría haberse obtenido de la inversión en cualquiera de sus usos alternativos; el dinero, el tiempo y el trabajo cuestan.

Los costos hundidos y los costos de oportunidad son dos caras de una moneda que no podemos ignorar.


Análisis de Costo / Beneficio

Compara intervenciones o programas que tienen un resultado común en una situación donde,

para un nivel dado de recursos, los encargados de adoptar las decisiones desean maximizar las

prestaciones.

Análisis Costo Beneficio* Identificación de los Costos* Costos Operacionales* Beneficios Tangibles* Beneficios Intangibles


Iniciación del Proyecto

Objetivo: Establecer el mando en la dirección. Llevar a cabo la valoración de los riesgos. Distribuir roles & responsabilidades. Describir productos finales & entregables. Plan de actividades & distribución de recursos.

Colocar los resultados en un documento de iniciación del proyecto.


En relación a los proyectos y a su gestión.....

LEY DE HENDRICKSON

Si a causa de un problema se convocan muchas reuniones, las reuniones llegarán a

ser más importantes que el problema.

TEOREMA FUNDAMENTALLos nuevos sistemas generan nuevos

problemas.


Derivación de los Proyectos

Plan Corporativo

Proyecto Proyecto

Proyecto

Satisfacción de las

Necesidades del Negocio

Programa

Estrategias de TI

Programa

Necesidades del Negocio


Problemas comunes de los Proyectos

Poco involucramiento de la Alta Dirección. La envergadura del Proyecto sobrepasa los

límites organizacionales. Inexperiencia en la gerencia del Proyecto. Presión en el equipo por personal ajeno al

proyecto. Fracaso en el control de los costos. Producción del personal no tiene continuidad.


Riesgos de un Proyecto de T.I.

El sistema podría ……

Nunca ser entregado. Ser entregado tarde y/o que exceda el

presupuesto. Ser “poco amigable”, carente de funcionalidad. Ser inestable (errores) una vez puesto en

funcionamiento. Difícil / Costoso de manejar, mantener y

mejorar. No trabaje como se espera.

No interconectado con otros sistemas, falto de integración.

No cumpla con las cambiantes expectativas.


Controlando los riesgos del proyecto

Distribuir roles y responsabilidades. Establecer buenas comunicaciones. Reducir el proyecto en etapas manejables. Planear cada etapa en detalle. Planear “entregables” no “actividades”. No inicie una nueva etapa hasta que una etapa

previa haya concluido. No sea ambicioso más allá de lo normal.

LEY DE PATTONUn buen plan es mejor HOY que un plan perfecto

MAÑANA.


Controlar los requerimientos de cambios del usuario.

Revisar frecuentemente:Progresos contra presupuestos y fechas

límites.Calidad contra estándares y requerimientos.¿Es el proyecto aún viable?

Involucre a los usuarios finales a través de todo el proyecto.

Controlando los riesgos del proyecto


Algunas verdades en la Gerencia de Proyectos

Lo que no esta en el papel no se ha dicho !. La palabra más valiosa y menos usadas en el

vocabulario de un gerente de proyectos es “NO”.

Los problemas que hacen daño son aquellos que se desconoce hasta que se presentan.

Demasiadas personas en un proyecto crean más problemas de los que solucionan.

Lo más ridículo respecto a las fechas límites es agregarles más costos con la intención de alcanzarlas.


Consideraciones para auditar el Proyecto

¿Está el proyecto soportado en un levantamiento de procesos válido (Análisis Empresarial)?

¿El Comité del Proyecto ha establecido el control firme acerca del proyecto?

¿Los riesgos del proyecto han sido identificados conjuntamente con las soluciones apropiadas?

¿El Comité del Proyecto ha designado medidas de control de calidad?

¿El Comité del Proyecto ha asignado fechas para la revisión del avance del proyecto?


ALGUNAS LEYES UNIVERSALES SOBRE LOS MÉTODOS RECOMENDADOS POR EL COMITÉ DE

LA SOCIEDAD DE LOS INGENIEROS FILÓSOFOS PARA INGENIEROS INGENUOS

1. Cualquier error de cualquier cálculo, será el que más daños produzca.

2. Si sólo existe una oferta para un determinado proyecto, lo más seguro es que el precio no sea razonable.

3. Todas las promesas sobre los plazos de entrega deben multiplicarse por un factor igual a 2,0.

4. Los cambios importantes de diseño se solicitarán cuando el proceso de fabricación este a punto de terminar.


5. Las especificaciones sobre el rendimiento se deben multiplicar por un factor igual a 0,5 (50% de lo planeado).

6. Si hay más de una persona a la que se le pueda echar la culpa de un error, la culpa no será de nadie.

7. Aparatos idénticos que han tenido el mismo comportamiento en las pruebas, no se comportarán igual en la práctica.

8. Las cláusulas de garantía expiran al pago de la factura.


Objetivos a considerar para la elaboración delPrograma para Evaluación de la Seguridad

Física y Planes de Contingencia de la Oficina de Sistemas

a. Establecer la continuidad de operaciones de negocio que se apoyan en la OFICINA DE SISTEMAS, mediante la verificación de los planes para la "Prevención y Recuperación de Desastres”.

b.Comprobar el diseño y la implantación de un plan de contingencia.


Plan de Contingencia

Objetivo : recuperar el servicio en un tiempo aceptable

Tipo de Plan regulado por el Impacto del negocio.

Los planificadores necesitan considerar:

Diferentes tipos de fallas en el servicio (hardware, software, comunicaciones, utilitarios, etc.).

Desastres (Fuego, Inundaciones, Huelgas, Epidemias, etc).

Restaurar el servicio de la computadora.

Reubicar usuarios y personal de apoyo.


Verificar la existencia de controles sobre el acceso físico y de procedimientos de respaldo:

a. Utilización no autorizada de los elementos computacionales.

B. Robo de información, programas, equipos o archivos de la entidad.

c. Destrucción, modificación o revelación premeditada o accidental de información, programas o equipos.

d. Pérdida de grandes cantidades de información histórica o del período corriente, de difícil recuperación o elevado costo.

Objetivos a considerar para la elaboración delPrograma para Evaluación de la Seguridad

Física y Planes de Contingencia de la Oficina de Sistemas


Acerca de los Riesgos....según el MAGU...

• Riesgo bajo El auditor considera que los controles preverán o detectarán cualquier aseveración errónea que pudiera ocurrir.

• Riesgo medio El auditor considera que es más probable que los controles no prevean o detecten cualquier aseveración errónea que pudiera ocurrir.

• Riesgo alto El auditor considera que es más probable que loscontroles no prevean o detecten cualquier aseveración errónea que pudiera ocurrir.


Objetivos a considerar para la elaboración del Programa para Evaluación de Bases de

Datos, Archivos y Datos

a. Verificar que la información almacenada en entidad, esté protegida contra su pérdida o robo.

b. Comprobar la seguridad para la protección accidental o intencional de los datos.

c. Identificar las medidas de seguridad empleadas para conservar correctos los datos en la base de datos.

d. Copia de seguridad de cada archivo en prevención de posibles fallas.

e. Examinar procedimientos con los que cuenta el sistema para evitar la inconsistencia de los datos, preservando la integridad de los datos.


Un sistema de Información comprende muchos componentes.

Es importante mantener el control de:

Documentos de diseño.

Programas de computadora.

Planes.

Manuales.

Computadoras y equipos de comunicaciones.

Administrando el Centro de Documentación


Documentación a guardar:

* Donde se encuentran estos ítems (Programas de computadora).* ¿Quién o quienes los poseen?* Su estado (Ej. en desarrollo, prueba, piloto, archivado).* Historia de los problemas y cambios.* Relaciones con otros componentes (subprocesos).



Infraestructura de IT

Hardware Software Redes Documentación

Suite 1 Suite 2

Programa 1-1

Programa 1-3

Programa 1-2

Módulo1 - 2 - 1

Módulo1 - 2 - 2



Objetivos a considerar para la elaboración del Programa para Evaluación de Operaciones en

el Centro de Procesamiento y Área de Atención a Usuarios

a. Control del área de operaciones de los centros de procesamiento de datos y las áreas de atención a usuarios.

b. Controlar que estas áreas sean eficientes y eficaces, es fundamental, ya que tiene consecuencias inmediatas en la continuidad de las operaciones.


Acuerdos de Nivel de Servicio

Acuerdo formal entre proveedores y usuarios del servicio.

Nivel de soporte:

Tipos de servicios a ser provistos.

Tiempos disponibles y situaciones cubiertas.

Medición en la entrega del servicio.

Control de cambios.

Personal de enlace.

Cargos y penalidades.


Contratos y Acuerdos de Nivel de Servicio

USUARIO

DEPARTAMENTO DE SERVICIOS DE IT

SISTEMAS DE COMPUTADORA

Hardware Software aplicativo

Medio ambiente Comunicaciones

Proveedores & Mantenimiento

USUARIO USUARIO USUARIO


Objetivos a considerar para la elaboración del Programa para Evaluación de Desarrollo y

Mantenimiento de Sistemas

a. Verificar los procedimientos que permitan al Grupo de desarrollo garantizar que los sistemas sean eficientes, eficaces, y confiables, cuando entren en producción normal (explotación).

b. Comprobar que los procedimientos incluyen pistas de Auditoría y Control en los sistemas.


Una buena especificación del Sistema

...Debería ser:

Exacta

Clara

Concisa

Inequívoca

Relevante

Adecuada

Completa

Efectiva


El analista de sistemas

UsuarioAnalista de

Sistemas Programador

El Analista de Sistemas traduce las necesidades de los usuarios en términos

técnicos

LEY DE JORDANUn informante (usuario) que nunca proporciona información equivocada es demasiado anormal

como para confiar en él.


POSTULADOS FUNDAMENTALES DE LA TEORÍA AVANZADA DE SISTEMAS

1. Todo es un sistema.

2. Todo es parte de un sistema mayor.

3. El Universo está infinitamente sistematizado, tanto hacia arriba (sistemas más grandes) como hacia abajo (sistemas más pequeños).

4. Todos los sistemas son infinitamente complejos (La ilusión de que son simples proviene de centrar la atención en una o pocas variables).


Diseño de Sistemas

Diseño Lógico : “Diseño Conceptual” Implementar los requerimientos de los

usuarios. Ningún detalle físico. “Portable”.

Diseño Físico : Diseño del “mundo real”. Hardware, Software, comunicaciones,

personas.


Diseño Lógico

Otros requerimientos son :

* “Diccionario de datos

Guardar “definiciones” y “descripciones” de los datos.

Provee referencia cruzada.* “Algoritmos” - Definir las entradas y

salidas: Describe brevemente la operación del proceso.

Las herramientas CASE simplifican el diseño lógico.


Diseño Físico

Define el proceso en detalle

Decide acerca de los componentes físicos del sistema:

Programas de computadora.

Estructuras de datos.

Plataforma tecnológica.


Diagrama de Flujo – Inventario(Demostración de un método para documentación de un diagrama

de flujo usando un sistema de inventario como ejemplo)

Inventario

Proceso de transacciones

Cliente ComunicarGeneración de la orden

Gerente

Proveedor


Modelo de desarrollo de Sistemas “Cascada”

Especificarnecesidades

Diseño

Desarrollo

Prueba

Implementación

Fija

El proceso de diseño traduce los requisitos de una representación del software que puede ser establecida de forma que se obtenga la calidad requerida antes de iniciar la codificación.


Ciclo de Vida del Desarrollo de Sistemas

Plan

Implementación yRevisión

Construcción y Pruebas

Desarrollo/Obtención

Especificar necesidades

Iniciación delproyecto

Estudio de Factibilidad ?

Aproximación al modelo”Cascada”

Continuación o redefinición del alcance


Modelo “Cascada” - Ventajas

Bueno para requisitos estables y conocidos.

Bueno para procesos computacionales complejos.

Encaja bien con el modelo tradicional “Top-Down”.

Rápido y eficiente si en producto final es conocido.

Medida clara del progreso del proyecto.

Fácil de dividirse en sub-contratos.


Completar las especificaciones son tareas de tiempo completo.

Ninguna convicción que se ha hecho con precisión hasta la comprobación de aceptación.

Cambiantes necesidades del negocio.

Alto costo de corregir errores.

Gran esfuerzo de mantenimiento.

Muy lento. Pasa mucho tiempo antes que los usuarios vean un producto funcionando.

Modelo “Cascada” – Desventajas


El alto costo de los cambios en los sistemas

Tiempo

Costo

Especif. Diseño Desarrollo Prueba Implementación Post-Implem.


Qué involucra el Desarrollo Rápido de Aplicaciones (RAD)?

Compromiso de la Alta Dirección.

Equipos pequeños y mucho “Empowerment”.

Requerimientos Mínimos en el más corto tiempo.

Talleres (sesiones de “Desarrollo de Sistemas conjunto”).

Se requiere gran confianza en la automatización (“CASE”).

Prototipeo, iteración y re-uso.


Ciclo de Vida – Diseño Rápido de Aplicaciones (RAD)

Desarrollo delSistema

Verificación yValidación

DefinirRequerimientos

Entrega delSistema

DocumentaciónDel Sistema

3

1 5

4

6

Diseño delSistema

2


Software Asistido por Computadora (CASE)

Herramientas de apoyo de software a cubrir:

1 Actividades técnicas:

- Análisis & Diseño.

- Construcción y Mantenimiento.

2 Administración de los procesos de desarrollo:

- Gerencia del proyecto.

- Estimaciones.

- Administración de la configuración. Ambiente Integrado de Apoyo al Programa –

cubre todo.


Controlando los prototipos

Iteración Funcionaldel Prototipo

Diseño & Construccióndel Prototipo

Administración dela Configuración

PrototiposInternos

AcuerdoAcuerdo del

Prototipo

AcuerdoAcuerdo del

Prototipo


Inicio

Parada Recolección yrefinamiento derequisitos

Diseñorápido

Producto deIngeniería

Refinamientoprototipo

Evaluación del prototipopor el Cliente

Construcciónprototipo

Modelo de construcción de Aplicativos mediante Prototipos


Trabajar con módulos manejables

Construir el Prototipo con rapidez

Modificar el Prototipo unavez revisado por los usuarios

Enfatizar la Interfaz con el Usuario

Modularidad

Menor Tiempo (1 semana/3 días)

Baja dependencia de los modulos

Amigables y en relación al modelode usuario

Modelo de construcción de Aplicativos mediante Prototipos


Modelo “Espiral” - RAD

Plan Analizar

Opciones

Diseño

ConstrucciónPrueba e

Instalación

Revisión

Definir objetivos

100 99 96 80

Recoleción de requerimientos y planificación del proyecto inicial

Evaluación del cliente

Análisis de riesgos basado en requisitos

Prototipo inicial del software

Decisión de seguir o no hacia el sistema


Especificación de Requerimientos

Las especificaciones generalmente cubren:

Requerimientos funcionales (Obligatorios & Opcionales).

Seguridad de T.I. Documentación. Entrenamiento. Mantenimiento. Rendimiento esperado. Medición del rendimiento. Criterios de prueba y aceptación. ........ etc.


Control de versiones

Todos los desarrolladores necesitan trabajar en la misma versión – No de las últimas semanas

Debe asegurarse que todos los componentes en una versión son compatibles

A veces se necesitan múltiples versiones para diferentes necesidades o plataformas diferentes

Proporciona un medio de regresar atrás; a un estado previamente conocido (“regresión”).


Riesgos asociados a los cambios

Impacto de los cambios no identificados.

Cambio incorrectamente especificado, diseñado o programado.

Cambio de versión incorrecta o lanzada.

Cambio instalado en ubicación equivocada.

Documentación del sistema no actualizada.

Riesgos de seguridad (Ej. virus, analizadores de protocolo, etc.).


Impacto de cambios sin control

Problemas e imprevistos se presenten en todas partes.

El sistema presenta fallas debido a:Errores de programa.Versiones de programa incompatibles.Fallas al instalar el cambio.Documentación del programa incorrecta. Interferencia maliciosa.

Impactos – Pérdida de data; sistema no accesible; revelación de información sensible.


Objetivos a considerar para la elaboración del Programa para Evaluación de Redes de

Comunicaciones

a. Evaluar la forma de comunicación entre los usuarios y sistemas basados en el computador.

b. Evaluar cómo se afecta la seguridad de los datos, a medida en que las comunicaciones y procesamiento de datos continúan expandiéndose.


La Ejecución de la Auditoría


Controles de Carácter GeneralControles de Adquisición, Organización, Desarrollo, Administración física y lógica, Documentación y de

Seguridad.

Controles de Carácter EspecíficoControles de Aplicaciones (Entrada, Procesamiento y

Salida), Bases de Datos, de Procesamiento Distribuido y de Microcomputadoras.


Entonces....se evalúa a través de Controles de Carácter General y/o Controles de Carácter Específico.

Recomendación: Se debe ir de lo general a lo particular

¿ Cómo ir de lo general a lo particular ?

El auditor debe identificar, verificar y evaluar los métodos de control en el proceso de obtención de la evidencia adecuada, para fundamentar las conclusiones de auditoría a través de pruebas de cumplimiento y/o sustantivas.


Pruebas de Cumplimiento

Usadas para determinar si un procedimiento de control prescrito está funcionando efectivamente y consisten en verificar:

a) Aplicación de Leyes o Reglamentos, de procedimientos establecidos en los manuales y que éstos se encuentren actualizados. b) Conocimiento por parte del personal, de los manuales y de las políticas del ambiente informático.c) Existencia de informes o memorandos preparados por el Departamento de Informática.d) Verificar si han sido implantadas las recomendaciones emitidas por auditorías anteriores.


Pruebas Sustantivas

Proveen seguridad razonable sobre la validez de la información producida, mediante la aplicación de una o varias técnicas de auditoría, ya sea simultánea o secuencialmente, tales como:

a) Analizar registros.b) Hacer operaciones. c) Comparar archivos. d) Estratificar archivos.e) Seleccionar una muestra aleatoria.f) Resumir información. g) Generar reportes. h) Construir archivos de prueba.i) Extraer información de un archivo.j) Realizar análisis estadísticos. k) Simular parte del sistema o el sistema completo.


Tipos de evidencia

La evidencia de auditoría puede clasificarse en los tipos siguientes:

• Evidencia física• Evidencia documental• Evidencia testimonial• Evidencia analítica

a. Evidencia física. Ejemplo en la verificación de saldos y/o cruces de información (magnético versus físico).

b. Evidencia documental. Es la información obtenida de la entidad bajo auditoría e incluye, comprobantes de pago, facturas, contratos, cheques y, en el caso de empresas estatales, acuerdos de Directorio. La confiabilidad del documento depende de la forma como fue creado y su propia naturaleza.


Tipos de evidencia

Clasificar los documentos en:• Externos: aquellos que se originan fuera de la entidad.• Internos: aquellos que se originan dentro de la entidad.

c. Evidencia testimonial: Información obtenida de terceros a través de cartas o declaraciones recibidas en respuesta a indagaciones o mediante entrevistas.

d. Evidencia analítica: Se obtiene al analizar o verificar la información. La confiabilidad de evidencia analítica depende en gran parte de la importancia de la información comparable.


ATRIBUTOS DE LA EVIDENCIA

a) Suficiencia: Se refiere al alcance de los procedimientos de auditoría desarrollados.

b) Competencia: Calidad de las evidencias obtenidas, su aplicabilidad respecto a una aseveración en particular, y su confiabilidad.

c) Relevancia (pertinencia): Relación que existe entre la evidencia y su uso. Debe guardar relación lógica y patente con ese hecho.


Son métodos prácticos de investigación y prueba que utiliza el auditor para obtener evidencia que fundamente su opinión. Las técnicas más utilizadas al realizar al realizar pruebas de transacciones y saldos son:

• Técnicas de verificación ocular

• Técnicas de verificación oral

• Técnicas de verificación escrita

• Técnicas de verificación documental

• Técnicas de verificación física

TÉCNICAS DE AUDITORÍA


Técnicas de verificación ocular

Comparación, es el acto de observar la similitud o diferencia existente entre dos o mas elementos.

Observación, es el examen ocular realizado para cerciorarse como se ejecutan las operaciones.

Indagación, es el acto de obtener información verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios responsables de la entidad.


Técnicas de verificación ocular

Las Entrevistas, pueden ser efectuadas al personal de la entidad auditada. Para obtener mejores resultados deben prepararse apropiadamente, especificar quienes serán entrevistados, definir las preguntas a formular, alertar al entrevistado acerca del propósito y puntos a ser abordados.

Las Encuestas pueden ser útiles para recopilar información de un gran universo de datos o grupos de personas.


Técnicas de verificación escrita

Analizar, consiste en la separación y evaluación crítica, objetiva y minuciosa de los elementos o partes que conforman una operación o proceso para establecer su relación y conformidad con los criterios normativos y técnicos existentes.

Confirmación, permite comprobar la autenticidad de los registros y documentos analizados, a través de información directa y por escrito.

Tabulación, consiste en agrupar los resultados obtenidos en áreas, segmentos o elementos examinados, de manera que se facilite la elaboración de conclusiones.

Conciliación, implica hacer que concuerden dos conjuntos de datos relacionados, separados e independientes.


Técnicas de verificación documental

Comprobación, verificar la existencia, legalidad, autenticidad y legitimidad de las operaciones efectuadas por una entidad, mediante la verificación de los documentos que las justifican.

Computación, verificar la exactitud y corrección aritmética de una operación o resultado. Se prueba solamente la exactitud de un cálculo, por lo tanto, se requiere de otras pruebas adicionales para establecer la validez de las cifras incluidas en una operación.

Rastreo, es utilizada para dar seguimiento y controlar una operación de manera progresiva, de un punto a otro de un proceso interno determinado.

Revisión selectiva, consiste en el examen ocular rápido de una parte de los datos o partidas que conforman un universo homogéneo en ciertas áreas.


Técnicas de verificación física

Inspección, es el examen físico y ocular de activos, obras, documentos y valores, con el objeto de establecer su existencia y autenticidad.


Técnicas de auditoría usadas para evaluar los programas de cómputo

Pruebas de Recorrido. Comparación de cifras en el sistema. Evaluación operativa y funcional de los Sistemas de

Información. Evaluación de la calidad de la información. Control de datos rechazados. Dígito de verificación. Evaluación de entradas preprocesadas al sistema. Evaluación de transacciones ficticias. Evaluación de controles internos en aplicaciones

críticas. Evaluación de la oportunidad, razonabilidad, privacidad

y seguridad de la información.


La Informe de la Auditoría


El Informe

Es la culminación de una auditoría o revisión. Representa el aspecto crítico del proceso porque es la representación fidedigna, visible en que terceros pueden confiar. Así pues, debe mostrar claramente el alcance del trabajo realizado y la responsabilidad que se asume en cuanto a la razonabilidad de los Sistemas.

Una vez reunida la evidencia, el auditor debe depurar y juzgar con el mayor celo profesional a fin de obtener las conclusiones adecuadas. Al emitir su opinión, terceras personas depositan su confianza en él.


Los informes que se emitan deben tener en consideración los siguientes criterios (Según Según

las MAGUlas MAGU)

• Claridad: los informes deben ser fáciles de entender y estar libres de ambigüedades o vaguedades.

• Objetividad: los informes deben estar libres de prejuicios.

• Precisión: los informes no deben ser más largos de lo necesario. No deben existir párrafos o secciones demasiado detalladas que no se adecuen con claridad al contenido del informe. Muchos detalles quitan mérito al informe y pueden desvirtuar y confundir al usuario de este.

• Equidad: los informes deben ser equilibrados y reflejar un adecuado conocimiento de los problemas significativos sobre la habilidad de la entidad auditada, para administrar sus operaciones.


Papeles de trabajo

Es importante que como constancia física del trabajo realizado se anexe la documentación de mayor prioridad, como producto de la revisión realizada.

Esta puede incluir información de las encuestas realizadas, guías de evaluación formuladas a los usuarios del sistema, así como documentación emitida por el sistema en revisión, que evidencie las novedades encontradas o simplemente las salidas del sistema (reportes).

auditoría de tecnología de información

Documents