FATLA PROGRAMA DE EXPERTO EN ELEARNING
AUDITORIA INFORMATICA INFORMA TICA
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
INTRODUCCION
La proliferación de la tecnología de información ha incrementado la demanda de control de los sistemas de información, como el control sobre la privacidad de la información y su integridad, y sobre los cambios de los sistemas,. Además hay una preocupación sobre la caída de los sistemas y sobre la seguridad de la continuidad del procesamiento de la información, en caso de que los sistemas se caigan. Otra área de preocupación es la proliferación de subsistemas incompatibles y el ineficiente uso de los recursos de sistemas. La informática ha sido un área que ha cambiado drásticamente en en los últimos años. En una generación, la tecnología ha cambiado tanto que lo que sorprendió hace algunos años, hoy vemos como algo muy familiar. No basta conocer una parte o fase del sistema, como pueden ser los equipos de computo, que tan sólo vienen a ser una herramienta dentro de un sistema total de información.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
AUDITORIA INFORMATICA Los auditores dependen de la existencia y conservación de un trayecto de la auditoría; la naturaleza de la cual ha cambiado con el advenimiento del computador para procesar datos financieros. Para conservar su efectividad, los los auditores han han desarrollado técnicas de auditoría a través de sistemas computarizados (Software). Estos sistemas, ayudan a determinar si los programas y procedimientos aprobados se usan y observan los principios y normas legales, y si los resultados son consistentes con la información fuente reflejada en los asientos contables. Para sustentar sus opiniones y recomendaciones los contadores tienen que planear cuidadosamente su trabajo, organizar y documentar la evidencia de sus hallazgos. DEFINICIONES Auditoria sistema de información información de una “Es el examen critico, sistemático y detallado del sistema empresa o parte de ella, realizado con independencia y utilizando técnicas determinadas, con el propósito de emitir una opinión profesional sobre la misma,
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
propósito de emitir un informe profesional sobre la eficacia, eficiencia y economicidad en el manejo de los recursos para la toma de decisiones que permitan la mejora de la productividad del mismo.” “La
Auditoria operacional consiste en el examen”
Auditoria Integral: “Es el examen critico, sistemático y detallado de los sistemas de información financiera, de gestión y legal de una organización, realizado con independencia y utilizando técnicas específicas con el propósito de emitir un informe profesional sobre la razonabilidad de la información financiera, la eficacia, eficiencia y economicidad en el manejo de los recursos y el apego de las operaciones económicas a las normas contables, administrativas y legales que le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la organización.”
Auditoria de Sistemas de Información Automática (Auditoría en Informática): Informática) : “Es la revisión y evaluación de los controles, sistemas y procedimientos de informática; de los equipos de computo, su utilización, eficiencia y seguridad, de la
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
La auditoria informática comprende:
Evaluación de los centros de computo
Evaluación de las aplicaciones
Evaluación de los procedimientos específicos
Evaluación de los sistemas de información, entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Auditoria de Calidad: Calidad: Es realizar las auditorias anteriormente descritas, con un convencimiento total de que las actividades profesionales del auditor son siempre de calidad. ¿Y qué es calidad en auditoría? - Es saber llegar a la gente para que sea nuestro colaborador y no nuestro enemigo. - Es decir las cosas en el justo momento y no cuando ya es tarde. - Es tener fundamento y evidencia suficiente antes de pronunciarse. - Es ser honesto consigo mismo para poder serlo con los demás. - Es evaluar las obras y no las personas. - Es ser justo y equilibrado. - Es realizar las pruebas sobre muestras técnicamente seleccionadas.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
La tendencia actual es el control, entonces empezaremos hablar de control informático o de sistemas informáticos, control financiero, control operacional, control interno, control externo, control ambiental, control de gestión, control fiscal, control global, control internacional y control de calidad. El Auditor debe dar un vuelco vuelco total para prestar asesorías dinámicas que faciliten a la administración la implementación del control y no la búsqueda de culpables del fraude o de la ineficiencia o el listado de errores o fallas. EL CONTROL
Concepto general de Control.Control.- Todo sistema que se encuentre operando requiere que su funcionamiento sea regulado para de esta manera cumplir con los objetivos que el mismo se propone. La regulación consiste en medir el el desempeño del sistema para efectuar las correcciones necesarias que permitan el logro de las metas y objetivos propuestos. “Al conjunto de acciones, procedimientos, normas o técnicas que aseguran la
regulación de un sistema es lo que se denomina Control.”3 Para que exista control
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
ELEMENTOS DEL SISTEMA DE CONTROL
La clasificación más aceptada es la Johansen Bertoglio4, la cual se ha adicionado con terminología diferente y aumentando un elemento más así:
Un conjunto de normas o estándares que determinan los objetivos a lograr por el sistema o Variables a controlar, controlar, Un mecanismo que suministre energía o información al sistema o Fuente de Energía, Energía,
Un mecanismo de medición del desempeño del sistema o Mecanismo Sensor, Sensor, Un mecanismo que compare lo medido con los estándares establecidos o Mecanismo Comparador, Comparador,
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Durante el año de 1989 se realizó un estudio tendiente a establecer un nuevo concepto de Control Interno, el cual fue dado a conocer en el mes de octubre de 1992, en el seno del XIV Congreso Mundial de Contadores celebrado en Washington. Este estudio titulado “Control INTERNO – Un Marco de Trabajo Integrado” (INTERNAL CONTROL – INTEGRATED FRAMEWORK emitido por COMMITEE OF SPONNSORING ORGANIZATIONS OF THE TREADWAY COMMISSION – COSO), fue adoptado plenamente por el Consejo técnico de Contaduría Publica de Colombia, el cual realizó un detallado análisis del mismo siendo plasmado en el pronunciamiento No. 7 estableciéndose la siguiente definición del nuevo concepto de control interno: “Es un proceso, ejercido por la junta directiva o consejo de administración, por la gerencia y por el resto del personal de una entidad, diseñado específicamente para proporcionarles seguridad razonable de conseguir en la empresa las tres siguientes categorías de objetivos: a) Efectividad y eficiencia eficiencia en las operaciones (control de gestión) b) Suficiencia y confiabilidad confiabilidad de información financiera (control financiero – auditoria integral)
AUDITORIA INFORMATICA
COMPONENTES
a) AMBIENTE CONTROL
CONCEPTO La organización debe establecer un entorno que permita el estimulo y produzca influencia en la actividad DE del recurso humano respecto al control de sus actividades. Para que este ambiente de control se genere se requiere de otros elementos asociados al mismo los cuales son:
Toda organización se encuentra sumergida en un medio ambiente cambiante y turbulento muchas b) EVALUACION DE veces hostiles, por lo tanto es de RIESGOS vital importancia la identificación y análisis de los riesgos de importancia para la misma, de tal manera que los mismos puedan ser manejados. La evaluación de los riesgos presenta los siguientes elementos: Las actividades de una organización se manifiestan en las políticas, sistemas y c) ACTIVIDADES DE procedimientos, siendo realizadas
Ing Cesar Villa Maura MsC
ELEMENTOS Integridad y valores éticos. Competencia. Experiencia y dedicación de la alta administración. Filosofía administrativa y estilo de operación. Objetivos Riesgos Análisis de riesgos y su proceso. Manejo de cambios
Aprobación Autorización Verificación Inspección
AUDITORIA INFORMATICA
e) SUPERVISION SEGUIMIENTO
Ing Cesar Villa Maura MsC
normatividad para así lograr su manejo y control. Un sistema de control interno debe ser vigilado constantemente para observar los resultados obtenidos por el mismo. Todo sistema por Y perfecto que parezca, es susceptible de deteriorarse por múltiples circunstancias y tiende con el tiempo a perder su efectividad. El control interno debe estar bajo continua supervisión para determinar sí:
Las políticas están siendo interpretadas y se llevan a cabo. Los cambios en operación han hecho de los procedimientos obsoletos e inadecuados. Oportuna y efectivas medidas de corrección cuando sucedan tropiezos en el sistema.
OBJETIVOS DEL CONTROL INTERNO EN SISTEMAS DE INFORMACION AUTOMATICA
Los objetivos generales del control interno en sistemas informáticos son:
Integración controlada de información a través de las bases de datos.
Transferencia electrónica de información encriptada.
Auditabilidad de las transacciones
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
La mejor ubicación de la función de auditoría en informática en una empresa es la división de Auditoría Interna, porque se trabaja de manera más independiente. Algunos opinan que si depende de la Gerencia de Sistemas el flujo de información y las comunicaciones van a ser mejores, pero se pierde en cierto grado, esa independencia de criterio criterio que es fundamental para el auditor. Se comenta además que es mejor depender directamente de la Gerencia General porque permite adoptar acciones correctivas más rápidas y evitar distorsiones en el contenido de las recomendaciones. De todas maneras el auditor de sistemas informáticos debe trabajar con el gerente de sistemas informáticos, con el gerente administrativo y con el auditor interno general, para conocer las áreas sobre las cuales va a desarrollar sus funciones y hacer que sus sugerencias lleguen a feliz término en un período de tiempo más corto. Además es bastante útil y adecuado que la gerencia de sistemas informáticos forme parte de todo proceso administrativo donde se coordinan las actividades, los esfuerzos, se distribuyen las responsabilidades, para que se vean los resultados de manera integral en todo el contexto organizacional empresarial de acuerdo con los
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
momento para establecer los controles de dichos sistemas informáticos. El papel del auditor debe ser de asesor y no de critico, de colaborador y no de ordenador, además se deben crear las pistas de auditoria para facilitar el ejercicio o la práctica de la misma posteriormente. 2. Auditoria de Aplicaciones.- La participación en las auditorías de las aplicaciones se refiere a evaluar los controles de las aplicaciones en funcionamiento. Cuando la Auditoría Interna de Sistemas no esta establecida en la empresa contratan a una persona natural o jurídica para que a través de un proceso metodológico realice su trabajo, determine los puntos críticos, las áreas reales de riesgo, lleve a cabo las pruebas de cumplimiento y sustantivas del caso y de sus sugerencias y recomendaciones. 3. Revisión de la integridad de la información.información.- Evaluar que la información sea completa, exacta, autorizada, consistente y relevante (importante). Es preciso verificar si los procedimientos de control interno y las pistas administrativas, de procesos y de auditoria aseguran el control administrativo y la evidencia de auditoria de que la información cumple con los requisitos anotados.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
5. Revisión de procedimientos generales de operación.- Es muy típico del auditor de sistemas informáticos externo, verificar todos los procedimientos de producción de todas las aplicaciones, evaluando los puntos de control de cada procedimiento (evitar posibles riesgos). 6. Revisión del sistema operacional.- Para lograrlo hay que tener un conocimiento del funcionamiento del sistema operacional desde su configuración inicial, sus usos, sus procesos, sus seguridades seguridades y los usuarios. Este campo forma parte de la auditoria informática especializada. 7. Revisión administrativa.- Su objetivo es evaluar la gestión del administrador no el administrador, es bastante difícil lograrlo, pero es importante involucrar los conceptos de eficiencia, eficacia y costos vs beneficios. CONOCIMIENTOS REQUERIDOS REQUERIDOS POR EL AUDITOR DE SISTEMAS
ADMINISTRACION.- Conocer la factibilidad administrativa para la implementación de
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PROCESAMIENTO ELECTONICO DE DATOS (PED).(PED).- Modalidades de procesamiento en redes, en ambientes de bases de datos, utilización de sistemas operacionales, transferencias de archivos. ESTADISTICA.- Métodos de muestreo estadísticos: a) Muestreo por proporción: nos permite estimar el porcentaje de elementos del universo que posee una determinada característica o atributo, se utiliza para las pruebas de cumplimiento. b) Muestreo de valor: busca estimar el valor de una población, se utiliza en las pruebas sustantivas. c) Muestreo de estimación de atributos: pretende medir la proporción real de elementos del universo que tiene una característica dada. Este método se puede utilizar de dos maneras, así: Para estimar el porcentaje de error en una actividad Previo al muestreo de estimación de valor para estimar un aspecto del universo. d) Muestreo de aceptación: el método consiste en tomar una muestra muestra de lotes, y contar el número de elementos erróneos de la muestra. Si el número número de estas
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
aplicación es necesario conocer el tamaño del universo y el grado de homogeneidad de la variable que se investiga, lo que implica el valor de la desviación estándar. g) Muestreo de unidad monetaria: como en todos los sistemas de muestreo estadístico, el enfoque básico consiste en calcular un tamaño de muestra, seleccionar aleatoriamente la muestra y estimar el valor del error en la población a partir de la muestra. Sin embargo no es necesario conocer el número de unidades en el universo, ni la desviación estándar del mismo. CONOCIMIENTO DE LA EMPRESA.EMPRESA.- El auditor debe conocer íntegramente a la empresa, principalmente los siguientes aspectos:
Políticas y planes estratégicos administrativos.
Estructura organizacional, de capital, corporativa, etc.
Administración de sistemas de información.
Naturaleza del negocio
Manejo de inventarios
CONOCIMIENTO DEL ENTORNO ECONÓMICO DONDE SE MUEVE LA
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Si bien el auditor no de be ser un técnico en computación, en la actualidad requiere tener conocimiento general sobre ciertos aspectos de esta técnica moderna, debido a que la mayor parte de las aplicaciones de una empresa son automatizadas, y en segundo lugar se hace cada vez mas imperiosa la necesidad de evaluar los procedimientos computacionales a fin de establecer su eficiencia y efectividad y dar recomendaciones practicas a la administración. Con este antecedente antecedente considero que los aspectos que debe conocer son:
Estructura y funcionamiento del hardware del sistema: unidades de entrada, unidades de salida, procesador, memoria real, posibilidad de ampliación, etc. Conocimiento a cerca del software: clases, usos, aplicaciones. Lenguajes de programación, sin exigir que el profesional auditor sea experto programador, debe tener conocimientos generales sobre los lenguajes utilizados en su empresa, a fin de que pueda comprender los resultados obtenidos. Formas de procesamiento de datos, en batch, en línea, interactivos, en tiempo real, y en tiempo compartido (multiusuario). Archivos magnéticos, medios de almacenamiento, organización, formas de acceso.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
de datos, graficadores, software de auditoria, etc. Para facilitar la labor del auditor en auditorías financieras, exámenes especiales e inclusive en auditorias operacionales. 2. Participar en el diseño de sistema, sin descuidar la independencia que debe guardar con relación a la responsabilidad de implantación de controles, es decir limitándose a: a) Conocer sobre las diferentes fases del desarrollo de los sistemas, lo que facilitara su evaluación posterior, si consideramos sobre todo, que existen marcadas diferencias entre un sistema y otro. b) Asesorar en materia de control interno, en lo cual los analistas tienen sus limitaciones, y c) Lograr que se incluyan rutinas, campos, registros, registros, archivos, programas, etc., que serán utilizados posteriormente en la función de control. 3. Finalmente, con esta formación formación estará en capacidad de realizar auditorias al área de PED, siguiendo los procedimientos y metodología, motivos de este estudio. RESPONSABILIDAD DEL AUDITOR
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
control a establecerse cuando el PED es clave en el sistema de información del cliente. El interés del auditor en conocer los tipos de control en el entorno PED y en el sistema general de control interno, consiste en determinar los controles en que puede confiar y el alcance de estos a fin de establecer o poner un limite a la auditoria y con especial referencia al monto de las pruebas necesarias. Como resultado de lo lo que el pronunciamiento No. 3 se refiere a la fase preliminar de la revisión del auditor, este deberá obtener:
Un conocimiento del flujo de transacciones tanto de la parte manual como de la parte automática del sistema contable. Conocimiento del alcance del uso de aplicaciones contable automáticas.
Conocimiento de la estructura fundamental del control contable. A partir de ello, el auditor podrá determinar los controles (automáticos y no automáticos) en que puede confiar en el proceso de auditoria para poder evaluarlos y probarlos.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
HABILIDADES DEL AUDITOR DE SISTEMAS
PRESPECTIVA ADMINISTRATIVA Tener un punto de vista macro de las actividades. ANALITICO Capacidad para hacer análisis de situaciones, riesgos y controles. RELACIONES INTERPERSONALES Mantener buenas relaciones interpersonales a todo nivel. FACIL COMUNICACION Capaz de vender ideas sobre controles y alternativas de solución, adaptable fácilmente al trabajo en grupo. CREATIVO Generar nuevas ideas (agente de cambio) CONSTRUCTIVO Evaluar las cosas en su justa dimensión y con objetividad (critico constructivo) POSITIVO Asesor, solucionador de problemas. TACTO
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Ejecutar su trabajo de acuerdo con los principios morales adecuados y el código de ética profesional.
EL AUDITOR DE SISTEMAS Y EL CONTROL
La mayor responsabilidad por el control no es del auditor.
La mayor responsabilidad es de la administración.
El control previene, detecta y corrige el riesgo.
El computador cambia la naturaleza del control.
Los problemas y/o pérdidas crea la conciencia concien cia del control.
En procesamiento se requieren controles mejorados.
La auditoría es un control administrativo esencial.
Los auditores deben participar en el desarrollo de sistemas informáticos.
Los auditores deben verificar los controles antes y después de la instalación de un sistema.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
3. Controles Correctivos.- Ayudan a la investigación investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil difícil e ineficiente, siendo siendo necesaria la implantación e controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores. CAMPO DE LA AUDITORIA EN INFORMATICA
El campo de acción de la auditoria en informática es:
La evaluación administrativa del área de informática. La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. La evaluación de la la eficiencia con la que se trabaja. La evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la información.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Integración de los recursos materiales y técnicos.
Dirección
Costos y controles presupuéstales
Controles administrativos del área de procesos electrónicos
b) Evaluación de los sistemas y procedimientos y de la eficiencia y eficacia que se tienen en el uso de la información, lo cual comprende:
Evaluación del análisis de los sistemas y sus diferentes etapas.
Evaluación del diseño lógico del sistema
Evaluación del desarrollo físico del sistema
Facilidades para la elaboración de los sistemas.
Control de proyectos
Control de sistemas y programación
Instructivos y documentación
Formas de implantación
Seguridad física y lógica de los sistemas.
AUDITORIA INFORMATICA
Seguridad del personal
Seguros
Seguridad en la utilización de los equipos
Ing Cesar Villa Maura MsC
Plan de contingencias y procedimientos de respaldo para casos de desastre. Restauración de equipo y de sistema
Los principales objetivos de la auditoria en informática son los siguientes: Salvaguardar los activos. Se refiere a la protección del hardware, software y recursos humanos Integridad de datos. Los datos deben mantener consistencia y no duplicarse Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la organización Eficiencia de sistemas. Que se cumplan los objetivos con los menores recursos. Seguridad y confidencialidad. Para que sea eficiente la auditoria en informática, ésta se debe realizar también durante el procesos de diseño de sistema. Los diseñadores de sistemas tienen la
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PLAN DE TRABAJO PARA UNA AUDITORIA INFORMATICA
I.
ANTECEDENTES. (Anotar los antecedentes específicos del proyecto de auditoria)
I.
OBJETIVOS DE LA AUDITORIA EN INFORMATICA. (Anotar el objetivo específico de la auditoria)
II. ALCANCES DEL PROYECTO. El alcance del proyecto comprende: 1. Evaluación de la dirección dirección de informática en lo lo que corresponde a:
Su organización.
Funciones.
Objetivos.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Evaluación de los diferentes sistemas en operación (flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de los sistemas, opiniones de los usuarios). Evaluación de avances de los sistemas en desarrollo y congruencia con el diseño general, control de proyectos, modularidad de los sistemas. Seguridad lógica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organización. Evaluación de las bases de datos.
3. Evaluación de los equipos.
Adquisición
Estandarización
Controles
Nuevos proyectos de adquisición
Almacenamiento Comunicación.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Plan de contingencias y procedimientos en caso de desastre.
IV. METODOLOGÍA. La metodología de investigación a utilizar en el proyecto se presenta a continuación: 1. Para la evaluación de la dirección dirección de informática informática se llevará a cabo las siguientes actividades:
Solicitud de los manuales administrativos, organización, funciones, planes, políticas, estándares utilizados y programas de trabajo.
Solicitud de costos y presupuestos de informática.
Elaboración de un cuestionario para la evaluación de la dirección
Entrevista a lideres de proyectos y a usuarios más relevantes de la dirección de informática Análisis y evaluación de la información
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Solicitud de licencias y derechos de autor
Plan de contingencias y recuperación en casos de desastre
Recopilación y análisis de los procedimientos administrativos de cada sistema
Análisis de bases de datos
Análisis de seguridad lógica y confidencialidad
Evaluación de los proyectos en desarrollo, prioridades y personal asignado.
Evaluación de la participación de auditoria interna.
Evaluación de controles
Evaluación de las licencias, la obtención de derechos de autor y de la confidencialidad de la información. Entrevista con usuarios de los sistemas Evaluación directa de la información obtenida contra las necesidades y requerimiento de los usuarios
Análisis objetivo de la estructuración y flujo de los programas.
Análisis y evaluación de la información compilada
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Elaboración de cuestionarios sobre la utilización de equipos, archivos, unidades de entrada/salida, equipos periféricos y su seguridad Visita de las instalaciones y a los lugares de almacenamiento de archivos magnéticos Visita técnica de comprobación de seguridad física y lógica de las instalaciones. Evaluación técnica del sistema eléctrico y ambiental de los equipos del local utilizado y en general de las instalaciones. Evaluación de los sistemas de seguridad de acceso Evaluación de la información recopilada, obtención de gráficas, porcentajes de utilización de los equipos y su justificación. Elaboración de informes.
4. Elaboración del informe informe final, presentación y discusión del mismo y presentación de conclusiones y recomendaciones.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PROGRAMA DE AUDITORIA INFORMATICA ORGANISMO: FECHA DE FORMULACIÓN : FASE
DESCRIPCIÓN
HOJA NUM ACTIVIDAD
NUM. DEL PERSONAL PARTICIPANTE
PERIODO ESTIMADO INICIO TERMINO
DE DIAS HAB EST.
DIAS HOM EST.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
COMUNICACIÓN DEL INICIO DE EXAMEN
PARA: (Destinarío) DE: Auditor General ASUNTO: Comunicación Inicio de Examen. FECHA:
Cúmpleme comunicarle que la Dirección de Auditoria Interna dio inicio a la Auditoria Operativa al Área de Informática del Instituto de Investigación y tecnologías, el 1 de mayo del presente año, por el período comprendido entre el 1 de enero del 2000 y hasta la presente fecha.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PROGRAMA DE AUDITORIA FASE I: ESTUDIO PRELIMINAR ACTUACIÓN: AUDITORIA INFORMATICA AMBITO: DIVISIÓN DE INFORMATICA OBJETIVO: Obtener información básica sobre las actividades informáticas de la institución. NO
PROCEDIMIENTO
1
Elabore un formulario para visita previa
2
Elabore las comunicaciones del inicio del examen para todos los funcionarios involucrados en la auditoria
3
Entrevista al personal del del área de informática
4
Obtenga organigramas estructurales y funcionales del área objeto del examen
5
Obtenga información básica utilizando el formulario de visita previa
6
Determine el cumplimiento de objetivos y políticas
REF. P/T
ELABORADOR POR AUDITOR
FECHA
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
FORMULARIO DE VISITA PREVIA
1.- DATOS GENERALES DENOMINACION DE LA UNIDAD: UNIDAD: División de Informática del Instituto de Investigación y Tecnología. OBJETIVOS DE LA UNIDAD: Procesamiento Automático de la Información. FECHA DE LA CREACIÓN DE LA L A UNIDAD: UNIDAD: 30 de Abril 1999. FUNCIONARIO RESPONSABLE: RESPONSABLE: Ing NN UBICACIÓN: Av. 12 de octubre Nº 55 Patria. 2.- ORGANIZACIÓN ESTRUCTURAL Ver (P/T) 4/5 La división de Personal está organizada en tres áreas: Programación, Organización y Métodos y Producción.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Capacitación: Existe un plan de capacitación elaborado y aprobado al inicio del año, pero no ha podido cumplirse en un 15% debido a la falta de recursos económicos.
4.- SISTEMA DE INFORMACIÓN No se desarrolla sistemas propiamente dichos, sino más bien aplicaciones aisladas que solucionen aspectos puntuales sistemas existentes. 5.- HARDWARE En equipamiento informático dispone de: 1 Computador Pentium I de 300 MHZ 1 Computador Pentium II de 800 MHZ 1 Computador Pentium IIII de !800 MHZ 1 Impresora EPSON LQ- 1070
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Utilizados: Word, Excel Sistemas Operativos: Windows 95.98,2000 7.- PLANIFICACIÓN DE ACTIVIDADES Existe un plan anual de actividades actividades el cual es aprobado por el H. Consejo Politécnico, no existe Evaluación del cumplimiento del mismo.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PROGRAMA DE AUDITORIA FASE II: REVISION Y EVALUACIÓN DE CONTROLES ACTUACIÓN: AUDITORIA INFORMATICA AMBITO: DIVISIÓN DE INFORMATICA OBJETIVO: Revisar y evaluar los controles y seguridades implantadas en el área de PAD. Precisar las áreas críticas a ser examinadas en la siguiente fase. NO
PROCEDIMIENTO
1
Revisar el procedimiento seguido para la selección y contratación del personal personal técnico y establezca las inconsistencias producidas.
2
Verifique selectivamente que se cumpla la estructura y funciones del Reglamento Orgánico Funcional aprobado.
3
Determine el grado de satisfacción de los usuarios de los sistemas computarizados mediante la aplicación de cuestionarios o listas de chequeo.
REF. P/T
ELABORADOR POR AUDITOR
FECHA
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PROGRAMA DE AUDITORIA FASE III: EXAMEN DETALLADO DE AREAS CRÍTICAS ACTUACIÓN: AUDITORIA INFORMATICA AMBITO: DIVISIÓN DE INFORMATICA DEL MINISTERIO OBJETIVO: Realizar un examen detallado de las áreas críticas y desarrollar los hallazgos con las deficiencias encontradas.. NO
PROCEDIMIENTO
GENERALES 1
Elabore el plan Especifico de la Auditoria.
2
Elabore el cronograma de actividades a llevarse a cabo durante la fases III y IV SISTEMAS
3
Mediante diagramas de flujo evalúe el control interno de los sistemas identificados como críticos en las fases anteriores.
4
Obtenga copias de los reportes y formatos de
REF. P/T
ELABORADOR POR AUDITOR
FECHA
AUDITORIA INFORMATICA
10
Analice la frecuencia y el procedimiento adoptado por el centro de computo para la obtención de respaldo t determine los problemas producidos. FINALES.
11
Elabore las hojas de apuntes de las desviaciones obtenidas incluyendo los elementos de un hallazgo
12
Elabore P/T para evidenciar los errores encontrados
13
Prepare el informe de cumplimiento de la fase. Dirigida al Auditor general.
14
Aplique otros procedimientos que sen necesarios para el cumplimiento de los objetivos planteados para esta fase.
Ing Cesar Villa Maura MsC
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
HOJA DE APUNTES Nº 1
TITULO DE HALLAZGO: MANUAL DE FUNCIONES
Condición El manual de funciones desarrollado por la unidad no es debidamente legalizado para su ejecución, pero esta estructura es la que se viene aplicando en la práctica.
Criterio El manual debe estar aprobado por los funcionarios establecidos en el reglamento administrativo interno según normar 234 del Ley de carrera civil.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
HOJA DE APUNTES Nº 2
TITULO DE HALLAZGO: DOCUMENTACIÓN DE SISTEMAS
Condición No existe documentación que sustente los sistemas desarrollados en la Unidad o en otros casos esta es incompleta o desactualizada. Criterio Conforme a las políticas de Control Interno sobre desarrollo de sistemas. Estos deben mantenerse adecuadamente documentadas.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PROGRAMA DE AUDITORIA FASE IV:
COMUNICACIÓN DE RESULTADO
ACTUACION: AMBITO:
AUDITORIA INFORMATICA DIVISION DE INFORMATICA
OBJETIVO:
COMUNICAR LOS RESULTADOS DE LA AUDITORIA Y ELEBORE EL INFORME FINAL
ELABORADOR POR Nº
PROCEDIMIENTO 1
Preparar una estructura de informe y someta a la aprobación del supervisor del equipo y auditor general.
2
A base de lasa hojas de apuntes y de la estructura aprobada elabore el borrador del informe.
3
Prepare convocatorias a sesión final de lectura del bo0rrador del informe a todos los funcionarios relacionados con el examen.
4
Conjuntamente con el Auditor General y el Supervisor asista asista a la sesión final de comunicación de resultados y elabore una acta de esta actuación
REF. P/T
AUDITOR
FECHA
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
CRONOGRAMA DE ACTIVIDADES DIAGRAMA DE GANTT
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
PERIODO 15 AL 27 DE FEBRERO AL 2003 15 16 17 18 19 20
Elaboración del Cuestionario de Control Interno.
Ejecución de Programas de Auditoria.
Elaboración Borrador del informe Lectura Borrador Informe
Evaluación y presentación del Informe Final.
21
22
23
24
25
26
27
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
CONVOCATORIA A CONFERENCIA FINAL DE COMUNICACIÓN DE RESULTADOS AUDITORÍA INTERNA
CONVOCATORIA
De conformidad con lo dispuesto en el reglamento Interno de la Entidad se convoca a los funcionarios y ex - funcionarios del instituto de investigación tecnológica -a-laconferencia final de Resultados que- se llevará a cabo el día jueves 27 de mayo del presente año, a las 10HOO en las oficina de la Unidad de Auditoria Interna, "ubicadas en el edificio laguna azul, cuarto piso entre !a calle la Primera Constituyente y Loja de la ciudad de Riobamba, en la que se dará a conocer en contenido, dei Borrador del Informe de la Auditoria a la División de Auditoria .
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
INFORME DE AUDITORIA AUDITORIA OPERAC1ONAL A LA DIVISIÓN DE INFORMÁTICA DEL INSTITUTO DE INVESTIGACIÓN I NVESTIGACIÓN Y TECNOLOGÍA. TE CNOLOGÍA. CAPITULO I INFORMACIÓN INTRODUCTORIA
MOTIVO DE LA AUDITORIA La Auditoria Operacional a la División de Informática se llevó a efecto en cumplimiento al Plan Anual de Auditoria, elaborado por la Dirección de Auditoria Interna de! Instituto para e! período del 2003 y de conformidad a la Orden de Trabajo Nº AUD. OT 03.2003 de 2003.03.20. OBJETIVO DE LA AUDITORÍA Establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados implantados en el Instituto. Evaluar el sistema de control interno y las seguridades implantadas en el área Determinar que el personal técnico haya sido seleccionado
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Código de Trabajo Ley de Contratación Pública Reglamento Orgánico Funcional del Instituto Reglamento General de Bienes del Sector Público Resoluciones de la Dirección Nacional de Informática Reglamento Interno de Personal Normas y procedimientos para documentación de sistemas ESTRUCTURA ORGÁNICA DE LA DIVISIÓN DE INFORMÁTICA. Mediante Acuerdo Ministerial No. 0 156 de 2000 03 20, publicado en Registro Oficial No. 367 de 2000 09.15 se creo y se aprobó la organización interna de la División de informática del Instituto dependiendo jerárquicamente de la Subsecretaría Administrativa. FUNCIONES PRINCIPALES, Programación, organización, dirección, coordinación y control de las actividades relacionadas con el Desarrollo Informático de la institución. CAPITULO II
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
RECOMENDACIÓN No. 1 El Ministerio dispondrá que e! Jefe de la División de Informática realice las acciones necesarias para el estudio y aprobación de la estructura orgánica y. funcional del área.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
CUESTIONARIOS DE CONTROL INTERNO DESEMPEÑO Y CUMPLIMIENTO ¿Es suficiente el número de personal para el, desarrollo las funciones del área?. ¿Se deja de realizar alguna actividad por falta de personal?. ¿Está capacitado el personal para realizar con eficiencia sus funciones? ¿Es adecuada la calidad de! trabajo personal?. ¿Es eficaz en el cumplimiento de sus funciones? ¿El personal es discreto en el manejo de información confidencial? ¿En general, acata las personas, las políticas, sistemas y procedimientos establecidos? ¿Alguna de las situaciones anteriores provoca, cargas de trabajo? ¿Que se hace al respecto?. ¿Respeta el personal la autoridad establecida?. ¿Existe cooperación por parte de las personas para la realización de trabajo?. ¿El personal tiene afán de superación?. s uperación?. ¿Presenta el personal sugerencias para mejorar el desempeño desem peño actual? ¿Como se considera las sugerencias?. ¿Que tratamiento se les da? ¿Se toman en cuenta las sugerencias de los empleados? ¿Como se les da respuesta a las l as sugerencias?
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área? ¿Se desarrollan programas de capacitación para el personal del área?. ¿Se evalúan los resultados de los programas de capacitación? Solicite el plan de capacitación para el presente año. SUPERVISIÓN
¿Como se lleva a cabo la supervisión del personal? ¿En caso de no realizarse por que no se realiza? ¿Como se controla el ausentismo y !os retardos del personal? ¿Hora que no se llevan controles? ¿Como se evalúa el desempeño del personal? ¿Por que no se evalúa? ¿Cual es la finalidad de la evaluación del personal? LIMITANTES
¿Cuales son los principales factores "externos que limitan el desempeño del personal del área? ¿Cual es el índice de rotación de personal en: Dirección? ' Análisis? Programación?
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
¿Como se otorgan los ascensos, promociones y aumentos salariales? ¿Como se controla las faltas y ausentismos? ¿Cuales son las principales causas de faltas y ausentismos? CONDICIONES DE TRABAJO
.Para poder trabajar se requiere que se mayor razón razón en un área en la que se debe hacer un trabajo de investigación e intelectual?. ¿Se apoyan en é! para solucionar los conflictos laborales? ¿Como son las relaciones laborales de! área con el sindicato? ¿Se presentan problemas con frecuencia? ¿Como se resuelven? REMUNERACIONES
Normalmente las personas están inconformes con su remuneración. Es importante evaluar que tan cierta es esta inconformidad o si esta dada por otros malestares aunque sean señalados como inconformidad en las remuneraciones, o poder darle una mejor remuneración. ¿Está el personal adecuadamente remunerado con respecto a: Trabajo desempeñado? Puestos similares en otras organizaciones? Puestos similares en otras áreas?
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
-Limpieza y/o aseo? -instalaciones sanitarias? -Instalaciones de comunicaciones? ORGANIZACIÓN DEL TRABAJO
¿Participa en la selección del personal? ¿Que repercusiones tiene? ¿Se prevén las necesidades de personal con anterioridad? ¿Está prevista la sustitución del personal clave? DESARROLLO Y MOTIVACIÓN
¿Como se lleva a cabo la introducción y ei desarrollo del personal del área? ¿En caso de no realizarse por que no se realiza? ¿Como se realiza la motivación del personal de! área? ¿Como se estimula y se recompensa al personal del área? ¿Existe oportunidad de ascensos y promociones? ¿Que política hay al Respecto? SOFTWARE
¿Quiénes intervienen al diseñar un sistema?. Usuario ()
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Estudio de costo/beneficio () Estudio de factibilidad técnico () Definición de tiempos y costos del proyecto (} Desarrollo del modelo lógico () Propuesta de diferentes alternativas () Especificaciones para el sistema físico () Especificaciones de programas () Diseño de implementación () Diseño de carga de datos () Codificación () Programa de entrenamiento () Estudio de la definición () Elaborar datos de prueba () Previsión de resultados () Documentación () Someter resultados de prueba () ¿Que documentación acompaña al programa cuando se entrega?. ¿Se cuenta con un manual del usuario por sistema?. ¿Que opinión tiene sobre el manual?. ¿De su departamento, quien interviene en el diseño de sistemas?. Existen procedimientos serios para la recuperación del sistema en caso de fallas?.
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
¿Existe un lugar para archivar las bitácoras bi tácoras del sistema del equipo de computo?. ¿Se tienen copias de los archivos magnéticos en otros locales? ¿Donde se encuentra esos locales? ¿Que seguridad física se tiene en locales?. ¿Qué confidencialidad se tiene en esos locales?. ¿Se comunica oportunamente a los usuarios las m odificaciones a los programas de trabajo?. ¿Cómo se comunica? ¿Dentro del programa de trabajo de la máquina ¿se tiene previstas:? Demandas inesperadas? Fallas de maquinas?. Soporte de los usuarios? Mantenimiento preventivo?. Otras (especifique) Los locales asignados a almacenamiento al macenamiento magnéticos tienen: Aire acondicionado Protección contra el fuego Cerradura especial Otro ¿Tiene el almacén de arribos protección automática contra fuego?. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta o disco, el cual fue
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
Indique que instructivo se elaboran? Interno del sistema De captación De usuario de operación Otros ¿Qué porcentaje del personal de programación se dedica dar mantenimiento a los sistemas existentes? SEGURIDAD El edificio donde se encuentra la computadora está situado a salvo de: Inundación? Terremoto? Fuego?. Sabotaje? ¿Esta el centro de computo en un lugar de alto tráfico de personas?. ¿Se tiene materiales o paredes inflamables dentro de! centro de computo? ¿Se tiene paredes que despiden polvo?. ¿Se tiene grandes ventanales orientados a la entrada o salida del sol?. ¿Existe lugar suficiente para los equipos?. ¿Se tiene lugar previsto ¿ este es el adecuado para: Almacenamiento de equipos magnéticos. Formato de papel para impresora
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
¿Se tiene conectado a los contactos de equipo de cómputo otro equipo electrónico?. ¿Se tiene instalación eléctrica de equipo de cómputo independiente de otras instalaciones eléctricas?.
SEGUIMIENTO DE LAS RECOMENDACIONES DE AUDITORIA INFORMATICA NUM OBSERVA
RECOMENDACION
FECHA ESTIMADA DE RESOLU
FECHA REAL
MOTIVO POR EL NO HA SIDO RESULETA
REPLANTAMIENTO
ONSRVACIONES
FECHA PROBABLE DE LA IMPELEMENTACION
AUDITORIA INFORMATICA
Ing Cesar Villa Maura MsC
CONCLUSIONES DE LA AUTITORIA INFORMATICA DIRECCION : AUDITORIA A: FECHA DE TERMINO DE LA AUDITORIA: NUM
PROBLEMAS
CAUSAS
REPERCUSIONES ALTERNATIVA DE OBSERVACIONES SOLUCION
59