Lección 5
Etapa de Exploración y Planificación Para realizar una Auditoria de Sistemas de Información se debe realizar cuatro (4) etapas:
Exploración
Planificación
Ejecución
Informe
Fig.
5.1
Etapa de Exploración
La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoría con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos. Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar. También posibilita valorar el grado de fiabilidad del control interno (contable, administrativo y de los sistemas de información) así como que en la etapa de planeamiento se elabore un plan de trabajo más eficiente y racional para cada auditor, lo que asegura que la Auditoria de Sistemas de Información habrá de realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena medida, el éxito de su ejecución. ejecución. En la entidad se deben efectuar entrevistas con los principales dirigentes con el propósito de explicarles el objetivo de la Auditoria de Sistemas de Información, Información, y conocer o actualizar en detalle los datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la actividad que desarrolla, flujo de la producción o de los servicios que presta y, otros antecedentes imprescindibles para un adecuado planeamiento del trabajo a ejecutar. 5.1.1 Estudio inicial inicial del entorno entorno auditable
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer, entre otras ot ras cosas: a. Organización Organizació n del área de TI b. Relaciones Relaciones Jerárquicas Jerárquicas y funcionales funcionales entre órganos de la Organización El Equipo Auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectara, por ejemplo: si algún empleado tiene dos jefes, si hay hay duplicidad de funciones funciones en dos áreas distintas, etc. La Jerarquía implica la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinadas. c. Flujos de información Además de las corrientes verticales intradepartamentales, intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. d. Número de de Puestos de trabajo y el Perfil de cada puesto El auditor de sistemas comprobará si el personal que trabaja en el área de TI es idóneo y cumple con el perfil de cada puesto. Además verificará si realiza las labores (funciones) que corresponde al puesto que está ocupando. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, idénticas, lo cual implica la existencia de funciones operativas redundantes. e. Número de personas que conforman el área de TI El determinar el número de personas por puesto de trabajo es un parámetro que los auditores de sistemas deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer, entre otras ot ras cosas: a. Organización Organizació n del área de TI b. Relaciones Relaciones Jerárquicas Jerárquicas y funcionales funcionales entre órganos de la Organización El Equipo Auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectara, por ejemplo: si algún empleado tiene dos jefes, si hay hay duplicidad de funciones funciones en dos áreas distintas, etc. La Jerarquía implica la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinadas. c. Flujos de información Además de las corrientes verticales intradepartamentales, intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. d. Número de de Puestos de trabajo y el Perfil de cada puesto El auditor de sistemas comprobará si el personal que trabaja en el área de TI es idóneo y cumple con el perfil de cada puesto. Además verificará si realiza las labores (funciones) que corresponde al puesto que está ocupando. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, idénticas, lo cual implica la existencia de funciones operativas redundantes. e. Número de personas que conforman el área de TI El determinar el número de personas por puesto de trabajo es un parámetro que los auditores de sistemas deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
Ejemplo: Recursos humanos distribuidos en el área de TI. f.
Entorno operacional El Equipo de Auditoria de Sistemas de Información debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente fundamentalmente los siguientes extremos: f.1 Situación geográfica de los Sistemas Se determinará la ubicación geográfica de los distintos Centros de Proceso Pro ceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada uno de ellos, así como el uso de los mismos estándares de trabajo. f.2 Arquitectura y configuración configuración del Hardware y Software Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un Sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las empresas. Los auditores en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. f.3 Inventario de Hardware y Software El auditor recabará información, en donde figuren todos los elementos físicos y lógicos de la instalación. Hardware En cuanto al Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc.
Fig.
En una organización la distribución del hardware va depender de las políticas que se han establecido y la necesidad de cada unidad orgánica.
Área de TI Fig. Ejemplo del organigrama de la empresa B, donde se ubica el área de Tecnología de Información, dentro de la Gerencia de Desarrollo e Investigación, en este caso.
Grupo Funcional
Notebooks
Directorio Gerencia de Auditoria Interna Gerencia General Gerencia de Recursos Humanos Gerencia de Finanzas Gerencia de Logística y Servicios Gerencia de Desarrollo e Investigación Gerencia de Proyectos y Obras
8
TOTAL GENERAL
Pentium II
Pentium III
Pentium IV
Servers
Totales 8
9
12
5
4
1
31
2
11
2
6
2
23
3
3
6
7
3
22
13
4
7
8
1
33
2
5
8
3
1
19
25
9
2
1
15
52
5
8
3
5
3
24
67
52
33
34
26
212
Cuadro Ejemplo de la distribución de plataforma de cómputo personal. Fuente Elaboración propia.
Grupo Funcional Directorio Gerencia de Auditoria Interna Gerencia General Gerencia de Recursos Humanos Gerencia de Finanzas Gerencia de Logística y Servicios Gerencia de Desarrollo e Investigación Gerencia de Proyectos y Obras
Inyección 2 5 7 2 3 6 5 4
Láser 3 1 2 3 4 5 6 5
Matricial
5 6 5 4 2
Totales 5 6 9 10 13 16 15 11
TOTAL GENERAL
34
29
22
85
Software
Cuadro Ejemplo de la distribución de las impresoras Fuente Elaboración propia.
El software es una serie de instrucciones para que una computadora ejecute uno o varios procesos, como mostrar textos, manipular números, copiar o eliminar documentos. Al igual que el Hardware empresarial, en una organización, la forma de adquirirlos y distribuirlos representa uno de los mayores retos. Para su adquisición es necesario considerar lo establecido en el Plan Estratégico de Tecnología de Información y/o Plan de Sistemas. Clasificación del software en la organización Existen dos (2) maneras de clasificar el software en la organización: a. Software Base o de Sistema b. Software de Aplicaciones
Software de A licación
Software de Sistema
Hardware
Fig. Clasificación del software en la organización. (Gómez: 2008, 23) 1
a. Software Base o de Sistema “Software de Sistema esta constituido por los programas que se encargan del control y
administración de los recursos de cómputo, y por los que permiten la interacción entre los usuarios y los sistemas de aplicación o el hardware. Ejemplo: los traductores (compiladores, interpretes y ensambladores) y los sistemas operativos como Windows, XP o vista y varias versiones de Unix, por ejemplo AIX de IBM o Solaris de Sun”. (Gómez: 2008, 23)
2
Los softwares de sistemas mas utilizados (comerciales) son:
Microsoft Windows Es el nombre de una serie de sistemas operativos desarrollados por Microsoft desde 1981, año en que el proyecto se denominaba "Interface Manager ".
Fig.
Linux Es un sistema operativo diseñado por cientos de programadores de todo el planeta, aunque el principal responsable del proyecto es Linus Tovalds. Su objetivo inicial es propulsar el software de libre distribución junto con su código fuente para que pueda ser modificado por cualquier persona, dando rienda suelta a la creatividad.
1 Andrés
Gómez De Silva Garza (2008) “Introducción a la Computación”, Cengage Learning Editores S.A., México D.F.
2 Andrés
Gómez De Silva Garza (2008) “Introducción a la Computación”, Cengage Learning Editores S.A., México D.F.
Fig.
Novell (Inc.) es una compañía de origen estadounidense dedicada al software, específicamente en el área de sistemas operativos de redes, como Novell Netware.
Fig.
b. Software de Aplicaciones “Software de Aplicación esta compuesto por los programas que le permiten a una
computadora realizar actividades especificas de procesamiento de información y ofrecer una funcionalidad a los usuarios finales”. (Gómez: 2008, 24)
3
Este tipo de software puede ser clasificado en las siguientes categorías:
Software de Productividad, ejemplo: los procesadores de texto, hojas de calculo, administradores de bases de datos, editores de paginas Web, los programas que soportan el desarrollo de presentaciones multimedia, los programas de estadística y los de ingeniería asistida por computadora. Software para Negocios, pueden ser software Estándar o Especifico. Ejemplo Software Estándar: sistemas de nomina o de finanzas, los sistemas para la Planificación de los Recursos Empresariales (ERP), la cadena de suministro (SCM) y las relaciones con los clientes (CRM). Ejemplo Software Específico: es aquel que es desarrollado a la medida de una empresa para satisfacer necesidades particulares de esta. o
o
Software Educativo, tenemos los libros electrónicos, los programas tutoriales que capacitan al usuario sobre temas específicos y los programas de referencia como las enciclopedias electrónicas.
Software de Entretenimiento, tenemos los juegos electrónicos. Relación de software de aplicaciones personal
3 Andrés
Tipo de Software Procesamiento de texto Hoja de cálculo
Crea, edita e imprime documentos con texto
Word WordPerfect Proporciona una amplia gama de funciones Excel incorporadas para cálculos estadísticos, Lotus 1-2-3 financieros, lógicos, de base de datos, gráficas Quattro Pro y datos y tiempo
Microsoft Corel Microsoft Lotus/IBM Originalmente desarrollado por Barland
Base de datos
Almacena, manipula y recupera datos
Microsoft Lotus/IBM Microsoft Barland
Explicación
Ejemplo
Access Approach FoxPro DBase
Proveedor
Gómez De Silva Garza (2008) “Introducción a la Computación”, Cengage Learning Editores S.A., México D.F.
Servicios de Obtiene una amplia gama de información de los America Online información en servicios comerciales Compuserve línea Prodigy
America Online Compuserve Prodigy
Gráficas
Desarrolla gráficas, ilustraciones y dibujos
Ilustrator FreeHand
Adobe Macromedia
Administración de proyectos
Planea, programa, asigna y controla personas y recursos (dinero, tiempo y tecnología) necesarios para completar un proyecto de acuerdo con el programa
Project for Windows On Target Project Schedule Time Line
Microsoft Symantec Scitor Symantec
Administración financiera
Lleva un registro de los ingresos y los gastos e Managing informa a los monitores, y planea presupuestos Your Money (algunos programas tienen características de Quicken administración de carteras de inversión).
Meca Software
Autoedición
Trabaja con computadoras personales e impresoras de alta resolución para crear salidas impresas de alta calidad, entre ellas textos y gráficas; se pueden integrarse archivos de arte y de textos en las páginas “editadas”
Quark Microsoft Adobe Corel
Creatividad
Ayuda a producir ideas innovadoras y creativas Organizer y a la resolución de problemas. El software no Notes propone soluciones, pero proporciona una estructura que conduce al pensamiento creativo. El software lleva a los usuarios a través de una rutina: primero da nombre a un
QuarkXpress Publisher PageMaker Ventura Publisher
Intuit
Macromedia Lotus
problema, después organiza ideas y “deseos”, y
por último ofrece nueva información para sugerir diferentes ideas o soluciones. Cuadro Software de aplicaciones personal. (Stair: 2000, 158) 4
Relación de software de aplicaciones empresarial Los softwares de aplicaciones de acuerdo al área son:
4
Área de Contabilidad Los sistemas de información para contabilidad incluyen funciones que reflejan el desempeño actualizado de la organización en términos financieros. Los sistemas Contables y Financieros mayormente utilizados son:
Ralph M. Stair (2000), “Principios de Sistemas de Información: Enfoque Administrativo”, International Thomson
Editores S.A., México.
PDT: Es el documento llevado a través de medios electrónicos, presentando mensualmente a través del medio informático desarrollado por la SUNAT, en el que se encuentra registrada la información de los trabajadores, pensionistas, prestadores de servicios, prestador de servicios – modalidad formativa, personal de terceros y derechohabientes. Fig.
SIAF: El Sistema Integrado de Administración Financiera es un sistema asociado a la ejecución del presupuesto anual (gastos, ingresos, control de deuda interna y externa, etc.)
Fig.
SISCONT: Es un sistema contable – financiero, permite gestión de Caja Chica, Gestión de créditos y cobranzas. Con Siscont todos los procesos son ejecutados en línea.
Fig.
Área de Auditoría y Control Los sistemas de Auditoría y Control utilizados son:
SCG (Ex SAGU): El Sistema de Control Gubernamental es un sistema desarrollado por la Contraloría General que permite el registro básico de la información referidos a los Planes de Control (PAC), labores de control e informes de control.
Fig.
EKIPU: Es un sistema que permite administrar electrónicamente las acciones de control, actividades de control y proyectos de gestión.
Fig.
ACL: Es la herramienta CAATT (Herramientas y Técnicas de Auditoría Asistidas por Computador), reconocida por la comunidad global de auditores como la solución de software preferida para la extracción y análisis de datos, detección de errores y fraudes y monitoreo del riesgo.
Fig.
Área de Ingeniería Los sistemas de información para Ingeniería ayudan a los ingenieros a diseñar productos nuevos y a simular como funcionan. Los sistemas para ingeniería son:
GIS: Un Sistema de Información Geográfica es una colección organizada de hardware, software, datos geográficos y personal, diseñado para capturar, almacenar, consultar, analizar, desplegar y mostrar resultados en todas sus formas sobre la información geográficamente referenciada con el fin de resolver problemas complejos de planificación y gestión. En el mercado existe Software GIS: Arc GIS, Map Info, Autodesk Map, Geomedia, entre otros.
Fig.
Autodesk AutoCAD: es un programa de diseño asistido por computadora (CAD "Computer Aided Design" ; en inglés, Diseño Asistido por computadora) para dibujo en 2D y 3D. Actualmente es desarrollado y comercializado por la empresa Autodesk.
Fig.
Área de Recursos Humanos, Logística y Finanzas Uno de los sistemas utilizados es:
SAP R/3: (Systeme, Anwendungen und Produkte y/o Sistemas, Aplicaciones y Productos). Es un sistema integrado de gestión que permite controlar todos los procesos que se llevan a cabo en una empresa, a través de módulos.
Fig.
f.4 Comunicación y Redes de Comunicación En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la empresa. Es importante mencionar que las telecomunicaciones son esenciales para las operaciones empresariales, ya que nos permite la transmisión de datos e información de un punto a otro.
f.5 Diseño de las Aplicaciones, base de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: a. Volumen, antigüedad y complejidad de las Aplicaciones b. Metodología del Diseño en las Aplicaciones Se clasificará globalmente la existencia total o parcial de metodologías en el desarrollo de las aplicaciones. Si se han utilizado varias a lo largo del tiempo se pondrá de manifiesto. Interfaz: En software, parte de un programa que permite el flujo de información entre un usuario y la aplicación. Esa parte de un programa está constituida por un conjunto de comandos y métodos que permiten estas intercomunicaciones. Una interaz puede ser del tipo GUI, o línea de comandos, etc. También puede ser a partir de un hardware, por ejemplo, el monitor, el teclado y el mouse, son interfaces entre el usuario y el ordenador.
Código fuente:
Fig.
El código fuente de un programa informático (o software) es un conjunto de líneas de texto que son las instrucciones que debe seguir la computadora para ejecutar dicho programa. El código fuente de un programa está escrito por un programador en algún lenguaje de programación, pero en este primer estado no es directamente ejecutable por la computadora, sino que debe ser traducido a otro lenguaje (el lenguaje máquina o código objeto) que sí pueda ser ejecutado por el hardware de la computadora. Para esta traducción se usan los llamados compiladores, ensambladores, intérpretes y otros sistemas de traducción.
Fig.
Cumpliendo con estándares de programación Cuando se programa (código fuente) se debe hacer respetando los estándares de programación a fin de que cualquier programador, analista, etc. lo pueda comprender. A continuación se muestra el estándar para una subrutina interna 5:
Fig.
c. Documentación La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye el mantenimiento de los mismos. d. Cantidad y complejidad de la Base de Datos 6 y Ficheros 7 5 6
7
Definición de Subrutina: es una porción de código que forma parte de un programa más grande. Esa porción de código realiza una tarea específica, relativamente independiente del resto del código. Definición de Base de Datos: es un conjunto de datos pertenecientes a un mismo contexto y almacenados sistemáticamente para su posterior uso. Definición de Fichero: es una unidad de información en la que se almacena el resultado.
El auditor recabará información de tamaño y características de las bases de datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática.
Fig.
Fig.
5.2
Etapa de Planificación
El trabajo del auditor debe ser adecuadamente planificado a fin de asegurar la realización de una auditoria de alta calidad y debe estar basado tanto en el conocimiento de la actividad que desarrolla la entidad a examinar como de las disposiciones legales que la afectan. “La Planificación de la auditoria comporta el desarrollo de una estrategia global en base
al objetivo y alcance del encargo y la forma en que se espera que responda la organización de la entidad”. (Mira: 2006, 21) 8 8
Juan Carlos Mira Navarro (2006) “Apuntes de Auditoria”, VimLatex, España.
“Consiste fundamentalmente en prever el futuro y con base en ello plantear cursos
alternativos de acción, evaluarlos y así definir lo adecuado a seguir para alcanzar determinado objetivo. Por lo tanto, puede comprender el establecimiento de políticas, procedimientos, programas, presupuestos, pronósticos o de cualquier otro elemento que tiende a precisar las características y condiciones del curso de acción. Al planear se decide de antemano que hacer, como hacerlo, cuando y quien deberá llevarlo a cabo”. (Cardozo: 2006, 21)
9
La planificación de una auditoria implica desarrollar una estrategia general para su conducción a fin de asegurar que el auditor tenga un cabal conocimiento y comprensión de las actividades, sistemas de control e información y disposiciones legales aplicables a la entidad; que le permitan evaluar el nivel de riesgo de auditoria así como determinar y programar la naturaleza, oportunidad y alcance de los procedimientos a aplicar. La planificación de la auditoria debe incluir la evaluación de los resultados de la gestión de la entidad a examinar, en relación a los objetivos, metas y programas previstos. La información que necesita el auditor para planificar la auditoria varia de acuerdo con los objetivos de la misma y con la entidad sujeta a examen. En determinados casos se puede realizar un estudio preliminar (“Exploración”) de la entidad antes
de preparar el plan para ejecutar el trabajo de campo. El estudio preliminar constituye un método de apoyo eficaz para seleccionar las áreas específicas donde se va a practicar la auditoria y para obtener información sobre la organización, programas, actividades y funciones de la entidad, aunque sin someterla a una verificación detallada. Al concluir la recolección y estudio de información del auditor documentará su trabajo mediante la descripción de las actividades de la entidad, resumidas en los papeles de trabajo, sustentadas con la documentación obtenida de la entidad, como flujogramas sobre los procedimientos de las áreas más significativas, etc.
5.2.1 Definición de Planeación de la Auditoria de Sistemas de Información (Tamayo: 2003, 21) 10 La planeación de la Auditoria de Sistemas de Información debe entenderse como la proyección del trabajo de auditoria, definiendo su norte e indicando las pautas a seguir para lograr su 9 Hernán
Cardozo Cuenca (2006) “Auditoria del sector solidario: Aplicación de normas internacionales”, Ecoe Ediciones, Colombia. Tamayo Alzate (2003) “ Auditoria de Sistemas de Información: una visión práctica”, Centro de Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia. 10 Alonso
desarrollo, por lo tanto debe responder a los siguientes interrogantes: ¿Qué se debe hacer? ¿Qué aspectos se van a auditar? ¿Cuándo se debe hacer? ¿Cómo se va a realizar? ¿Qué recursos demandará? ¿De qué recursos se dispone?, cuestionamientos que de ser respondidos adecuada y oportunamente, conducen a la optimización de recursos, evitando la improvisación y desfases en la estimación.
5.2.2 Objetivos de la Planeación de la Auditoria de Sistemas de Información (Tamayo: 2003, 21-22) 11
Brindar un plan que oriente el desarrollo de la Auditoria de Sistemas de Información mediante la identificación de requerimientos, de tal forma que contribuya eficiente y eficazmente en la realización de todas las actividades, minimizando costos y evitando duplicidad de esfuerzos. Comparar las actividades o tareas ejecutadas con las actividades proyectadas, retroalimentando el sistema mediante el análisis de las desviaciones encontradas y determinando sus posibles causas, para posteriormente realizar los ajustes necesarios. Comprometer a los directivos de la empresa con su desarrollo, asignación de recursos y puesta en marcha de la función de auditoria. Suministrar información consistente, actualizada, permanente y necesaria, propiciando el desarrollo armónico de la Auditoria de Sistemas de Información. Propender por la optimización de recursos técnicos, humanos, económicos, logísticos y tiempo. Evitar la improvisación.
Una manera de representar lo expuesto seria:
Fig.
Objetivos de la Planeación de la Auditoria de Sistemas de Información (Tamayo: 2003, 22) 12
Tamayo Alzate (2003) “ Auditoria de Sistemas de Información: una visión práctica”, Centro de Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia. 12 Alonso Tamayo Alzate (2003) “ Auditoria de Sistemas de Información: una visión práctica”, Centro de Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia. 11 Alonso
5.2.3
Plan de Auditoria de Sistemas de Información “El memorándum de Planeamiento, resume las decisiones más significativas del proceso
de planeamiento de la auditoria. La preparación del memorándum de Planeamiento es responsabilidad del auditor encargado y del supervisor, la revisión y aprobación a los niveles gerenciales competentes”. (Contraloría General: 1998, 57) 13 En esta etapa se elabora el Plan de Auditoria de Sistemas de Información cuya estructura básica contendrá: a. b. c. d. e. f. g. h. i.
Origen de la Auditoria de Sistemas de Información Antecedentes de la Entidad Objetivos de la Auditoria de Sistemas de Información Alcance de la Auditoria de Sistemas de Información Criterios de Auditoria a utilizar Recursos de Personal Presupuesto de tiempo Informes a emitir y fechas de entrega. Fecha y firma
A continuación se detalla la estructura del Plan de Auditoria de Sistemas de Información: a. Origen de la Auditoria de Sistemas de Información Se menciona el sustento que motivó realizar dicha Auditoria de Sistemas de Información. “La Contraloría General de la República y los Órganos de Auditoría Interna conformantes
del Sistema Nacional de Control, planificarán sus actividades de auditoría a través de sus Planes Anuales, aplicando criterios de materialidad, economía, objetividad y oportunidad, y evaluarán periódicamente la ejecución de sus planes”. (Contraloría General: 1995,
134409) 14 Ejemplo:
“La Auditoria de Sistemas de Información se lleva a cabo en cumplimiento del Plan Anual
de Control 2008 del Órgano de Control Institucional de INICTEL, el mismo que fuera visado en principio por el Titular de la Empresa y posteriormente aprobado por la Contraloría General de la República, mediante Resolución de Contraloría No. 006-2008- CG de fecha 09.Ene.2008”.
Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 14 Contraloría General de la República (1995) “Resolución de Contraloría N° 162 -1995-CG Normas de Auditoria Gubernamental”, publicado por la CGR en el diario oficial “El Peruano”, Perú. 13
b. Antecedentes de la Entidad “Se menciona una breve descripción de la entidad y sus actividades principales”.
(Contraloría General: 1998, 57) 15 Ejemplo:
“ AGUAS ANDINAS, es una Empresa Estatal, creada mediante Decreto Legislativo No.182,
constituida como Sociedad Anónima e inscrita en la Ficha No. 38655 de los Registros Públicos de Lima.
Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las excepciones señaladas en la Ley de la Actividad Empresarial del Estado y su Reglamento y las disposiciones que rigen a las entidades prestadoras de Servicio de Saneamiento y las demás normas aplicables. Con fecha 19 de abril del 2002, la Junta General de Accionistas de AGUAS ANDINAS, aprobó la modificación de los artículos 5°, 7° y 34° de su Estatuto, los cuales fueron inscritos el 10 de abril del 2005, en la Partida No. 01205409 Asiento B00007 del Registro de Personas Jurídicas de los Registros Públicos de Lima. La actividad principal de AGUAS ANDINAS es la captación, potabilizacion y distribución de agua para uso doméstico, industrial y comercial, servicios de Alcantarillado Sanitario y Pluvial, Servicios de disposición sanitaria de excretas y acciones de protección del medio ambiente, vinculadas a los proyectos que ejecuta para el cumplimiento de sus fines; siendo su responsabilidad la provincia de Huaral” .
c. Objetivos de la Auditoria de Sistemas de Información “Los Objetivos del examen son los resultados que se espera alcanzar”. (Contraloría
General: 1998, 57)
16
Los objetivos se dividen en dos (2): Objetivos Generales.El Objetivo General es el propósito primordial que se quiere alcanzar al realizar la Auditoria de Sistemas de Información, expresándose de manera global. Objetivos Específicos.Contraloría General de la República (1998) “Resolución de Contraloría N° 152-1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 16 Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 15
Describen los aspectos específicos, los que sumados dan respuesta al objetivo general de la Auditoria. Representación matemática: Oe1 + Oe2 + ………… + OeN = OG
Ejemplo: Empresa AGUAS ANDINAS Objetivo General Evaluar la Gestión del Equipo Informática respecto al cumplimiento de metas, planes y normas vigentes. Así como, el grado de asesoramiento y asistencia técnica que brinda a la empresa AGUAS ANDINAS; y el grado de seguridad física y lógica que existe respecto a la custodia del hardware y software. Objetivos Específicos o
o
o
Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática. Evaluar el asesoramiento y asistencia técnica que brinda el Equipo Informática como órgano de asesoramiento y asistencia técnica a la empresa AGUAS ANDINAS. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa.
Ejemplo: Empresa INICTEL Objetivo General Verificar que la Entidad cumpla con las medidas para garantizar la legalidad de las adquisiciones de programas de software. Objetivos Específicos o
o
o
Determinar si la estructura del control interno establecido asegura que el software utilizado sea legal y que se utilice en cumplimiento de los términos de la licencia. Establecer la idoneidad de los procesos para controlar los costos asociados con el activo. Determinar si los planes y acciones están contribuyendo a mejorar el rendimiento de los activos y la organización.
Ejemplo: Universidad Privada José Carlos Mariategui Objetivo General Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Objetivos Específicos o o o
o
o o
Evaluar el diseño y prueba de los sistemas del área de Informática Determinar la veracidad de la información del área de Informática Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs. Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.
Relación de los Objetivos Generales y los Específicos
Los Objetivos Generales dan origen a los objetivos específicos. Los Objetivos Específicos identifican las acciones que el auditor informático va a realizar para alcanzar el objetivo general. Los Objetivos Específicos no deben sobrepasar en el “contexto” al Objetivo General.
Si la relación de Objetivos Específicos planteados son incompletos respecto al Objetivo General, entonces la investigación también lo será. Los objetivos Específicos son los que se realizan y no el Objetivo General.
Aspectos a considerar para formular los Objetivos de la Auditoria de Sistemas de Información Para formular los objetivos se debe considerar:
Criterio del Auditor Informático. Deben estar dirigidos a los elementos básicos del problema a solucionar. Deben ser medibles y observables. Deben ser claros y precisos.
Deben ser expresados en verbos en infinitivo: Identificar, Evaluar, Determinar, Establecer, Distinguir, Medir, Analizar, etc.
d. Alcance de la Auditoria de Sistemas de Información Se determina como alcance al: “Grado de extensión de las labores de auditoría que incluye áreas, aspectos y periodos a examinar”. (Contraloría General: 1998, 57) 17
La determinación del alcance implica la selección de aquellas áreas o asuntos que serán revisados y la profundidad que tendrán las pruebas a realizar en la fase de ejecución. Esta decisión debe ser adoptada teniendo en cuenta la materialidad, sensibilidad, riesgo y costo de la auditoría, así como la trascendencia de los posibles resultados a informar. Asimismo, a efectos de acotar el trabajo del auditor, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la Auditoria, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Ejemplo: “ De acuerdo a los asuntos que serán examinados, se ha determinado evaluar
selectivamente las operaciones realizadas en las siguientes unidades orgánicas: Gerencia de Desarrollo e Investigación Equipo Informática o
Gerencia de Logística y Servicios Equipo Planeamiento y Adquisición de Bienes Equipo Servicios Generales o o
Gerencia Comercial Equipo(s) Comercial(es) Equipo Micromedición y Registros Equipo Servicios y Clientes Especiales Equipo Gestión Comercial” o o o o
e. Criterios de Auditoria a Utilizar
Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 17
“Es la Normativa aplicable a la entidad, especialmente relacionadas con las áreas materia de evaluación”. (Contraloría General: 1998, 57) 18
Ejemplo: “Las principales disposiciones legales y reglamentación interna, que regula las
actividades de las unidades orgánicas examinadas y que tienen relación con el alcance y objetivos de la presente acción de control, son entre otras las siguientes:
Decreto Legislativo N° 822 del 23.Abr.1996, Ley sobre el Derecho de Autor.
Norma Técnica Peruana “NTP -ISO/IEC 17799:2007 EDI. Tecnología de la
Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2ª. Edición” en todas las entidades integr antes del Sistema Nacional de Informática aprobada por Resolución Ministerial N° 246-2007-PCM de fecha de publicación 25.Ago.2007.
Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), encargado de investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de Gerentes y auditores. Normas de Control Interno para el Sector Público, aprobadas por Resolución de Contraloría N° 320-2006-CG de fecha de publicación 03.Nov.2006; y el Código Marco de Control Interno de las empresas del Estado aprobado mediante Acuerdo de Directorio N° 001-2006/028-FONAFE. Resolución Ministerial N° 073-2004-PCM del 16.Mar.2004, Guía para la Administración Eficiente del Software Legal en la Administración Pública. Resolución de Gerencia General de SEDAPAL N° 264-2002-GG del 31.Jul.2002, Guía para la Actualización de la Página Web de la Empresa. Resolución Jefatural N° 229-95-INEI, que aprueba la Directiva N° 011-95-INEI/SJI “Recomendaciones Técnicas para la elaboración de Planes de Sistemas de Información en la Administración Pública” del 14.Set.1996.
Plan de la Gestión Corporativa de Tecnologías de Información y Comunicaciones para las empresas bajo el ámbito del FONAFE: Periodo 2008 _ 2011”, aprobado a través
de la Resolución de Dirección Ejecutiva N° 059-2008/DE-FONAFE del 21.Oct.2008. f. Recursos de Personal
Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 18
“Personal, nombre y categoría de los auditores que conforman el Equipo de Auditoria de
Sistemas de Información. Asimismo, las tareas asignadas a cada uno, de acuerdo a su capacidad y experiencia. Asimismo, considerar la participación de otros profesionales y/o especialistas, de acuerdo a las áreas materia de evaluación”. (Contraloría General: 1998, 57) 19 Ejemplo: La conformación del equipo de auditores designados para la realización del presente examen especial es el siguiente: Nombres y Apellidos
Cargo
Función
ING. Walter Zuñiga Paredes
Gerente de Auditoria Interna
Gerente
CPC. Felix Sandoval Linares
Jefe de Equipo Auditoria
Supervisor
ING. Mario Muñoz Rojas
Auditor Principal
Auditor Encargado
ING. José Zapata Poma
Especialista de Auditoria
Integrante
ING. Sara Rina gamboa
Especialista de Auditoria
Integrante
Cuadro Fuente: Elaboración propia.
Equipo de Auditoria de Sistemas de Información
El personal de auditoría representa el material humano más importante para el desempeño de esta función. El logro de altos niveles de calidad en el ejercicio de la auditoría gubernamental depende de la profesionalidad, capacidad, experiencia, disciplina y mística de los auditores. Las responsabilidades funcionales de los cargos de Supervisor, Auditor encargado y el resto de personal de auditoría son: Funciones del Equipo de Auditoria de Sistemas de Información (Contraloría General: 1998, 16-17) 20 Responsabilidades del supervisor El Supervisor asiste a los niveles gerenciales en las tareas de auditoría que requieren un alto nivel de experiencia y juicio profesional. Por lo tanto, es responsable de:
revisar y aprobar los procedimientos de auditoría planeados, según se documente en el Programa de Auditoría antes del comienzo del trabajo significativo en el campo;
Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 19
Contraloría General de la República (1998) “Resolución de Contraloría N° 152-1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 20
concertar la programación del personal profesional para mantener la oportunidad en el desempeño de la auditoría; vigilar el progreso de la auditoría, en comparación con los presupuestos de tiempo aprobados y, controlar los costos de la auditoría; solucionar los problemas identificados por el Jefe de Equipo y el personal de auditoría; supervisar y asesorar al Jefe de Equipo y proveer orientación a otros miembros del personal profesional cuando se requiera; y, supervisar la elaboración del Informe de Auditoría; y, revisar los papeles de trabajo de la auditoría. Cautelar el cumplimiento de las normas de auditoría gubernamental-NAGU y las orientaciones contenidas en el Manual de Auditoría Gubernamental aprobado por la Contraloría General de la República.
Responsabilidades del auditor encargado El Jefe de Equipo trabaja con el personal de auditoría en las oficinas de la entidad auditada, administra el trabajo en el campo y desarrolla los procedimientos de auditoría que considere son los más apropiados. Por lo tanto, es responsable de:
preparar los documentos relacionados con la fase de planeamiento; identificar los problemas de contabilidad y auditoría para discutirlos con el supervisor; brindar supervisión, asesoramiento y asistencia al personal de auditoría con rapidez, ayudándole a comprender los objetivos y las implicancias del trabajo; revisar los papeles de trabajo que prepare el personal de auditoría, efectuar el seguimiento de los aspectos importantes resultantes de la revisión y evaluar la suficiencia y propiedad de la evidencia obtenida; redactar el informe de auditoría. cumplir y hacer cumplir las normas de auditoría gubernamental-NAGU y las orientaciones contenidas en el Manual de Auditoría Gubernamental aprobado por la Contraloría General de la República.
Responsabilidades del personal de auditoría (Integrantes) El personal de auditoría es responsable de desempeñar el trabajo que se le encargue en el transcurso del examen y rinde informe ante el Jefe de Equipo. Sus responsabilidades están referidas a:
comprender y desempeñar los procedimientos de auditoría que le sean asignados; elaborar los papeles de trabajo en forma apropiada. informar al Jefe de Equipo sobre asuntos o problemas en aspectos de auditoría o contabilidad que detecte; y, formular recomendaciones para mejorar la metodología y el desarrollo de la auditoría; cumplir con las normas de auditoría gubernamental-NAGU en el ejercicio de su trabajo y las orientaciones contenidas en el Manual de Auditoría Gubernamental aprobado por la Contraloría General de la República.
Es importante mencionar que por la naturaleza de la Auditoria de Sistemas de Información, se requiere que el personal sea de la Carrera Profesional de Ingeniería de Sistemas. A continuación se especifica algunas especialidades: Especialidad
Actividades y conocimientos deseables
Informático Generalista
Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos
Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Base de datos Administración de las mismas
Experto en Sistemas Operativos y software básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. y Con experiencia en el mantenimiento de Base de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación.
Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Experto en subsistemas de teleproceso. Experto en Explotación y Gestión de Responsable de algún Centro de cálculo. Amplia experiencia en automatización de trabajos. Experto en relaciones humanas. Buenos CPDs conocimientos de los sistemas. Técnico de Organización
Experto organizador y coordinador. Especialista en el análisis de flujos de información.
Técnico de evaluación de Costes
Economista con conocimientos de informática. Gestión de costes. Cuadro
g. Presupuesto de Tiempo Se determina para el cumplimiento de los objetivos planteados el cronograma de ejecución de este Informe. Ejemplo: “Para el desarrollo del presente examen especial, si no se presentan imponderables y/o
imprevistos, se estima la utilización de 68 días útiles, desde el 25 Febrero al 20 de Mayo 2010, desagregado en las siguientes actividades: ETAPAS DE LA AUDITORÍA
Planificación
Periodo Inicio Término 25/02/2010
06/03/2010
Total días útiles 06
Memorándum de Planeamiento
03
Programa de Auditoria
03
Ejecución de la Auditoria de Sistemas 07/03/2010
05/05/2010
52
Revisión de documentos
11
Constataciones Físicas
08
Proceso de Información
23
Comunicación de Hallazgos
05
Evaluación de Descargos
05
Informe Final
06/05/2010
20/05/2010
10
Elaboración del Informe
07
Sustentación del Informe
02
Elevación del Informe
01
TOTAL DE DÍAS ÚTILES
68 Cuadro
h. Informes a emitir y fechas de entrega Se determina la fecha de emisión del Informe Final de la Auditoria de Sistemas de Información realizada y además a quienes va ir dirigido dicho Informe. Ejemplo: , “Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y 4.40 se emitirá un informe que será elevado a la Gerencia de Auditoría Interna, para su aprobación y se estima presentar el informe final el 19 de mayo del 2010, a las entidades siguientes: Contraloría General de la República. FONAFE. Ministerio de Vivienda, Construcción y Saneamiento.
Al Titular de la Entidad”.
i. Fecha y Firma
Finalmente se registra la fecha que se concluye de elaborar el Plan y se suscribe las firmas correspondientes para darle valor.
Ejemplo del Plan de Auditoria Informático. Elaboración propia.
Gerencia de Auditoria Interna
PLAN DE AUDITORIA INFORMATICO “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2009”
I.
ORIGEN DE LA AUDITORIA DE SISTEMAS DE INFORMACIÓN La Auditoria de Sistemas de Información se lleva a cabo en cumplimiento del Plan Anual de Control 2010 del Órgano de Control Institucional de AGUAS ANDINAS, el mismo que fuera visado en principio por el Titular de la Empresa y posteriormente aprobado por la Contraloría General de la República, mediante Resolución de Contraloría No. 010-2010-CG de fecha 09.Ene.2010.
II. ANTECEDENTES DE LA ENTIDAD AGUAS ANDINAS, es una Empresa Estatal de Derecho Privado de propiedad del Estado, creada mediante Decreto Legislativo No.150, constituida como Sociedad Anónima e inscrita en la Ficha No. 3722 de los Registros Públicos de Lima. Se rige por lo establecido en su Estatuto y la Ley General de Sociedades, con las excepciones señaladas en la Ley de la Actividad Empresarial del Estado y su Reglamento y las disposiciones que rigen a las entidades prestadoras de Servicio de Saneamiento y las demás normas aplicables. Con fecha 05 de mayo del 2000, la Junta General de Accionistas de AGUAS ANDINAS, aprobó la modificación de los artículos 10°, 11°, 12°,15°, 20° y 40° de su Estatuto, los cuales fueron inscritos el 14 de agosto del 2002, en la Partida No. 02005000 Asiento B00008 del Registro de Personas Jurídicas de los Registros Públicos de Lima. Posteriormente, con fecha 02 de abril del 2004, la Junta General de Accionistas de AGUAS ANDINAS, aprobó la modificación del artículo 7° del Estatuto, que fue inscrito el 15 de junio del 2004, en la Partida No. 02005409 Asiento B0008 del Registro de Personas Jurídicas de los Registros Públicos de Lima. La actividad principal de AGUAS ANDINAS es la captación, potabilización y distribución de agua para uso doméstico, industrial y comercial, servicios de Alcantarillado Sanitario y Pluvial, Servicios de disposición sanitaria de excretas y acciones de protección del medio ambiente, vinculadas a los proyectos que ejecuta para el cumplimiento de sus fines; siendo su responsabilidad las provincias de Lima y del Callao, pudiendo extenderse a otras jurisdicciones, dichos servicios están regulados por la Ley No. 26338, Ley General de Servicios de Saneamiento promulgada el 24 de julio de 1994 y su Reglamento, aprobado por Decreto Supremo No. 09-95 PRES del 28 de agosto de 1998. AGUAS ANDINAS se encuentra en el ámbito de la Ley No. 24984, Ley de la Actividad Empresarial del Estado, promulgada en diciembre de 1998, modificada por la Ley No. 27170, Ley del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado, publicada en setiembre de 1999, las cuales definen el régimen económico, financiero y laboral de la
empresa, así como la relación con los diversos niveles de gobierno y sistemas administrativos. Asimismo, la Superintendencia Nacional de Servicios de Saneamiento SUNASS, es la encargada de fijar las tarifas y otros aspectos regulatorios. III. OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACIÓN Objetivo General Evaluar la Gestión del Equipo Informática respecto al cumplimiento de metas, planes y normas vigentes. Así como, el grado de asesoramiento y asistencia técnica que brinda a la empresa AGUAS ANDINAS; y el grado de seguridad física y lógica que existe respecto a la custodia del hardware y software. Objetivos Específicos 1.
Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática.
2.
Evaluar el asesoramiento y asistencia técnica que brinda el Equipo Informática como órgano de asesoramiento y asistencia técnica a la empresa AGUAS ANDINAS.
3.
Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la empresa.
IV. ALCANCE DE LA AUDITORIA DE SISTEMAS DE INFORMACIÓN En concordancia con los objetivos previstos, en la presente Auditoria que comprendió la revisión y evaluación selectiva del 01.Ene.2009 a la fecha, a la Gestión del Equipo Informática respecto al cumplimiento de metas, planes y normas vigentes, estandarización de procedimientos, así como su racionalidad en el uso de los recursos. Para efecto del desarrollo del presente examen, se aplicaron normas y criterios técnicos establecidos en las Normas de Auditoria Gubernamental (NAGU), aprobada con Resolución de Contraloría No. 162-95-CG del 22.Set.1995 y su modificatoria Resolución de Contraloría No. 259-2000-CG del 07.Dic.2000; el Manual de Auditoria Gubernamental (MAGU), aprobado con Resolución de Contraloría No. 152-98-CG del 18.Dic.1998 y las Normas de Control Interno aprobadas con Resolución de Contraloría No. 320-2006-CG del 30.Oct.2006, y de otros Procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. De acuerdo a los asuntos que serán examinados, se ha determinado evaluar selectivamente las operaciones realizadas en las siguientes unidades orgánicas: Gerencia de Desarrollo e Investigación
Equipo Informática
Gerencia de Logística y Servicios Equipo Planeamiento y Adquisición de Bienes Equipo Servicios Generales
Gerencia Comercial Equipo(s) Comercial(es) Equipo Micromedición y Registros Equipo Servicios y Clientes Especiales Equipo Gestión Comercial
V.
CRITERIOS DE AUDITORÍA A UTILIZAR Las principales disposiciones legales y reglamentación interna, que regula las actividades de las unidades orgánicas examinadas y que tienen relación con el alcance y objetivos de la presente acción de control, son entre otras las siguientes:
Norma Técnica Peruana “NTP -ISO/IEC 17799:2007 EDI. Tecnología de la Información.
Código de buenas prácticas para la gestión de la seguridad de la información. 2ª. Edición” en todas las entidades integrantes del Sistema Nacional de Informática
aprobada por Resolución Ministerial No. 246-2007-PCM de fecha de publicación 25.Ago.2007.
Normas y Procedimientos Internacionales basados en COBIT (Objetivos de Control para la Información y Tecnologías relacionadas), encargado de investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de Gerentes y auditores. Normas de Auditoria Gubernamental NAGU, aprobado con Resolución de Contraloría General de la República No. 259-2000-CG. del 13.Dic.2000. Normas de Control Interno para el Sector Público, aprobadas por Resolución de Contraloría No. 320-2006-CG de fecha de publicación 03.Nov.2006; y el Código Marco de Control Interno de las empresas del Estado aprobado mediante Acuerdo de Directorio No. 001-2006/028-FONAFE. Decreto Legislativo No. 822 del 23.Abr.1996, Ley sobre el Derecho de Autor. Resolución Ministerial No. 073-2004-PCM del 16.Mar.2004, Guía para la Administración Eficiente del Software Legal en la Administración Pública. Resolución de Gerencia General de AGUAS ANDINAS No. 264-2003-GG del 31.Jul.2002, Guía para la Actualización de la Página Web de la Empresa.
Resolución Jefatural No. 229-95-INEI, que aprueba la Directiva No. 011-95-INEI/SJI
“Recomendaciones Técnicas para la elaboración de Planes de Sistemas de Información en la Administración Pública” del 14.Set.1996.
Manual de Organización y Responsabilidades General (MORG), aprobado con Resolución de Gerencia General No. 505-2007-GG del 25.Jul.2006.
Manual de Auditoria Gubernamental MAGU, aprobado con Resolución de Contraloría General de la República No. 152-98-CG. del 18.Dic.1998.
Plan de la Gestión Corporativa de Tecnologías de Información y Comunicaciones para
las empresas bajo el ámbito del FONAFE: Periodo 2008 _ 2011”, aprobado a través de
la Resolución de Dirección Ejecutiva No. 059-2008/DE-FONAFE del 21.Oct.2008.
VI. RECURSOS DE PERSONAL La conformación del equipo de auditores designados para la realización del presente examen especial es el siguiente: Nombres y Apellidos
Cargo
Función
CPC. Walter Zuñiga Paredes
Gerente de Auditoria Interna
Gerente
ING. Felix Sandoval Linares
Jefe de Equipo Auditoria
Supervisor
ING. Mario Muñoz Rojas
Auditor Principal
Auditor Encargado
ING. José Zapata Poma
Especialista de Auditoria
Integrante
ING. Sara Rina gamboa
Especialista de Auditoria
Integrante
Cuadro
VII. PRESUPUESTO DE TIEMPO Para el desarrollo del presente examen especial, si no se presentan imponderables y/o imprevistos, se estima la utilización de 65 días útiles, desde el 25 Febrero al 20 de Mayo 2009, desagregado en las siguientes actividades:
ETAPAS DE LA AUDITORÍA
Planificación
Periodo Inicio 25/02/2010
Término 06/03/2010
Total días útiles 06
Memorándum de Planeamiento
03
Programa de Auditoria
03
Ejecución de la Auditoria de Sistemas de 07/03/2010 Información
05/05/2010
52
Revisión de documentos
11
Constataciones Físicas
08
Proceso de Información
23
Comunicación de Hallazgos
05
Evaluación de Descargos
05
Informe Final
06/05/2010
20/05/2010
10
Elaboración del Informe
07
Sustentación del Informe
02
Elevación del Informe
01
TOTAL DE DÍAS ÚTILES
68 Cuadro
VIII. INFORME A EMITIR Y FECHA DE ENTREGA Como resultado del examen especial, elaborado de acuerdo a las NAGU 4.10, 4.20, 4.30 y 4.40, se emitirá un informe que será elevado a la Gerencia de Auditoría Interna, para su aprobación y se estima presentar el informe final el 19 de mayo del 2010, a las entidades siguientes:
Contraloría General de la República. FONAFE. Ministerio de Vivienda, Construcción y Saneamiento. Al Titular de la Entidad.
IX. FECHA Y FIRMA Lima, 02 de Marzo del 2010
______________________________ ING. Mario Muñoz Rojas Encargado de Comisión
________________________________ ING. Felix Sandoval Linares Supervisor de Comisión
El Gerente de Auditoría Interna aprueba el presente Plan de la Auditoria de Sistemas de Información a realizarse y luego de las coordinaciones previas hace suyo su contenido.
____________________________________ CPC. Walter Zuñiga Paredes Gerente de Auditoria Interna 5.2.4 Programa de Auditoria “Es un enunciado lógicamente ordenado y clasificado de los procedimientos de auditoría
que han de emplearse e incluyen la extensión que se les ha de dar y la oportunidad en que se han de explicar”. (Cardozo: 2006, 19)
21
Un programa de auditoría es un plan detallado del trabajo que debe comunicar, tan precisamente como sea posible el trabajo a ser ejecutado. También es un listado de procedimientos a ser realizados, con el objeto de comparar los sistemas y controles existentes con criterios de auditoría y, recolectar evidencia para sustentar las observaciones de auditoría. Los programas de auditoría proporcionan una base para la asignación de tiempo y recursos. Los estimados de tiempo son más fáciles de preparar cuando los procedimientos de auditoría han sido identificados. El programa de auditoría es preparado por el auditor encargado y el supervisor, el que señala las tareas específicas que deben ser cumplidas por el equipo de auditoría para llevar a cabo el examen, los responsables de su ejecución, así como los plazos fijados para cada actividad. Por su naturaleza, los programas de auditoría, al igual que el plan de auditoría son reservados, siendo necesario mantener la debida confidencialidad durante y después del trabajo. Ninguna persona no relacionada o autorizada por la supervisión o nivel gerencial correspondiente, debe tener acceso a los programas de trabajo de la auditoría. Finalidad de la Elaboración de los Programas de Auditoria “El Programa de auditoría proporciona al auditor:
Una lista detallada del trabajo a realizar. Ofrece un registro permanente de las pruebas de auditoría llevadas a cabo. Muestra que personas ejecutaron las labores encomendadas. Mediante referencia cruzada asegura que todos los aspectos significativos del sistema de control interno de la entidad han sido cubiertos, con el objeto de determinar si está funcionando de conformidad con lo establecido”. (Contraloría General: 1998, 57-58) 22
21 Hernán Cardozo Cuenca (2006) “Auditoria
del sector solidario: Aplicación de normas internacionales”, Ecoe Ediciones,
Colombia. 22 Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú.
Propósitos del Programa de Auditoria “ El programa de auditoría tiene diversos propósitos:
a)
Identifica los procedimientos planeados de auditoría al nivel de detalle que se consideran apropiados para orientar con efectividad y eficiencia al equipo de auditoría; b) Facilita la delegación, supervisión y revisión; c) Coordina el desempeño de los procedimientos de auditoría planeados; y, d) Documenta la ejecución de los procedimientos de auditoría aplicados ”. (Contraloría General: 1998, 58) 23 Ejemplo de Programa de Auditoria de Sistemas de Información de la empresa AGUAS ANDINAS. Elaboración propia.
Gerencia de Auditoría Interna PROGRAMA DE AUDITORIA DE SISTEMAS DE INFORMACIÓN “EVALUACION A LA GESTION DEL EQUIPO INFORMATICA. PERIODO 2009”
Nombre de la Entidad : AGUAS ANDINAS Fecha de Ejecución : Del 25.Feb.2010 al 20.May.2010 Alcance de la Auditoria de Sistemas de Información : Del 01.Ene.2009 al 31.Dic.2009 PROGRAMADO Nombre
PROCEDIMIENTOS
Fecha
EJECUTADO Hecho Fecha Ref. Por P/T
OBJETIVO GENERAL Evaluar la Gestión del Equipo Informática respecto al cumplimiento de metas, planes y normas vigentes. Así como, el grado de asesoramiento y asistencia técnica que brinda a la empresa AGUAS ANDINAS; y el grado de seguridad física y lógica que existe respecto a la custodia del hardware y software.
Contraloría General de la República (1998) “Resolución de Contraloría N° 152 -1998-CG Manual de Auditoria Gubernamental”, publicado por la CGR, Perú. 23
Procedimientos: MMR
1. Remisión del Memorándum al Presidente del Directorio de AGUAS ANDINAS donde se pone de conocimiento el inicio de la Auditoria MMR 25.Feb de Sistemas de Información, solicitándole las facilidades del caso, para el logro de los objetivos de esta Comisión de Auditoria.
25.Feb
MMR JZP
2. Solicitud a las áreas examinadas, información documentada MMR 07.Mar necesaria, para desarrollar el trabajo de campo. JZP
07.Mar
MMR JZP SRG
3. Realizar la Inspección de Campo a fin de obtener información MMR 10.Mar relevante, suficiente y competente que nos permita alcanzar el JZP objetivo de esta actividad. SRG
10.Mar
MMR SRG JZP SRG
MMR
14.Mar
5. Tomar muestras de la documentación a evaluar, de acuerdo a SRG 16.Mar criterios de materialidad.
16.Mar
6. Aplicar procedimientos de Auditoria, para el desarrollo de la JZP 18.Mar Auditoria de Sistemas de Información SRG
18.Mar
14.Mar
4. Formular el Cuestionario de Control Interno.
OBJETIVOS ESPECIFICOS Objetivo Específico N° 1 1. Evaluar el cumplimiento de las metas y objetivos formulados en el Plan Operativo e Indicadores de Gestión, Plan de Sistemas de Información y normativas vigentes aplicables al Equipo Informática.
JZP JZP JZP
1.1 Revisar si se ha cumplido con las metas formuladas en el Plan Operativo e Indicadores. 07.Mar 10.Mar 15.Mar
JZP JZP
20.Mar 30.Mar
JZP
1.2 Revisar si se ha cumplido con el Plan de Sistemas de Información. JZP 1.3
07.Mar 10.Mar
Revisar si se ha cumplido con las normativas principales JZP vigentes aplicables al Equipo Informática.
15.Mar
1.4 Verificar si existe un planeamiento a mediano y largo plazo respecto a la adquisición y servicios que se realiza. JZP
20.Mar
1.5 Verificar el grado de cumplimiento a la Guía para la JZP Administración Eficiente del Software Legal en la Administración Pública, conforme a lo establecido en la Resolución Ministerial No. 073-2004-PCM del 16.Mar.2004.
Objetivo Específico N° 2 2. Evaluar el asesoramiento y asistencia técnica que brinda el Equipo Informática como órgano de asesoramiento y asistencia técnica a la empresa AGUAS ANDINAS.
30.Mar
SRG
SRG
SRG
07.Mar
10.Mar
15.Mar
2.1 Determinar si el grado de desarrollo, operatividad SRG y mantenimiento de los recursos informáticos permite la atención de los requerimientos de servicio informáticos a la Gerencia Comercial de AGUAS ANDINAS para el cumplimiento de sus metas y objetivos. SRG 2.2 Verificar si la entidad efectúa evaluaciones periódicas (comprobaciones y/o encuestas planificadas) a los usuarios del software a fin de determinar sus necesidades futuras que le permita ayudar a identificar y programar la compra de licencias y/o equipos de cómputo. SRG
07.Mar
10.Mar
15.Mar
2.3 Verificar si se efectúa campañas de difusión internas de la prohibición del uso indebido de software y capacitación del personal respecto al uso de determinados sistemas y/o programas.
Objetivo Específico N° 3 JZP SRG JZP SRG
3. Determinar el grado de seguridad física y lógica que custodia el Equipo Informática respecto al hardware y software de la JZP 05.Abr empresa.
05.Abr
15.Abr
Revisar y evaluar la seguridad física de los equipos, SRG programas y sistemas de la Empresa. JZP 3.2 Revisar y evaluar la seguridad lógica para el acceso a la red.
15.Abr
3.3 Verificar el grado de eficiencia en la supervisión por parte SRG del Equipo Informática a Mesa de Ayuda (Help Desk).
15.Abr
05.Abr
3.1
05.Abr
15.Abr
3.4 Verificar si el área de informática cuenta con un Plan de Contingencia, que permita garantizar la continuidad de las operaciones y la integridad de la información.
Lima, 06 de Marzo del 2010
_____________________________ ING. Mario Muñoz Rojas Encargado de Comisión
________________________________ ING. Felix Sandoval Linares Supervisor de Comisión
El Gerente de Auditoría Interna aprueba el presente Plan de la Auditoria de Sistemas de Información a realizarse y luego de las coordinaciones previas hace suyo su contenido.