auditoría a la gestión informática...fundación tecnológicas de latinoamérica – fatla correo:...
TRANSCRIPT
PRIMERA EDICION
Auditoría a la Gestión
Informática Propuesta Metodológica
Milton Efraín Guamán
Quito, Enero del 2016
2
DATOS DEL AUTOR
Ing. Milton Efraín Guamán Msc. MBA
Profesión: Ingeniero Informático
Magister en Finanzas y Gestión de Riesgos
Magister en Dirección de Empresas
Docencia: Universidad Central del Ecuador
Universidad Politécnica Salesiana
Universidad Internacional del Ecuador
Instituto de Altos Estudios Nacionales – IAEN
Fundación Tecnológicas de Latinoamérica – FATLA
Correo: [email protected]
3
INTRODUCCIÓN
La Auditoría a la Gestión Informática es ejecutada por profesionales capacitados para el efecto, consiste en recopilar y evaluar evidencias para determinar en un sistema computacional muchos factores como los siguientes: Integridad de los datos, Uso eficiente de los recursos, Flujos de información y emisión de resultados, etc. El país posee una infinidad de empresas que se dedican a brindar servicios y realizar operaciones comerciales de todo tipo, por tal razón, para lograr el cumplimiento de los objetivos establecidos por estas empresas, deben contar con un sistema computacional que les permita controlar y optimizar el uso y costo de los recursos humanos, materiales, económicos y sus operaciones financieras. De la misma forma los sistemas computacionales deben asegurar el correcto ingreso de sus datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados. La importancia de esta asignatura, radica en que su
análisis y estudio permite fomentar en el estudiante
la capacidad de desarrollar y utilizar metodologías,
técnicas y herramientas tecnológicas para auditar
los sistemas computacionales.
4
IMPORTANCIA
La Auditoría a la Gestión Informática es aquella que se dedica a la revisión técnica, especializada y exhaustiva de los sistemas computacionales, evaluando el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de los mismos y la emisión oportuna de sus resultados en la empresa.
Se enfoca en el conocimiento de los requerimientos que son necesarios para lograr una administración y un control adecuado de TI, este modelo ha sido alineado y armonizado con otros estándares y mejores prácticas contenidas en los estándares más avanzados.
5
INDICE DE CONTENIDOS
CAPÍTULO I ................................................................................................................................. 6
1. PROCESO DE AUDITORIA ........................................................................................... 6
1.1. GENERALIDADES ................................................................................................. 6
1.2. PROCESO DE AUDITORIA – NO-CONFORMIDAD/ OBSERVACIONES/
RECOMENDACIONES .................................................................................................... 10
1.3. PLAN PARA PREPARAR AUDITORIAS TRIMESTRALES /
SEMESTRALES ............................................................................................................... 11
CAPÍTULO II ............................................................................................................................. 18
2. PROPUESTA METODOLÓGICA ................................................................................ 18
2.1. PROPUESTA METODOLÓGICA ....................................................................... 18
2.1. INFORME DE AUDITORÍA (PUNTOS CLAVE Y EJEMPLO) ....................... 19
2.1. FECHA DE CIERRE / ESTADO DE NO-CONFORMIDADES ...................... 23
BIBLIOGRAFÍA Y NETGRAFÍA ............................................................................................. 26
BIBLIOGRAFIA ..................................................................................................................... 26
NETGRAFIA .......................................................................................................................... 26
6
CAPÍTULO I
1. PROCESO DE AUDITORIA
1.1. GENERALIDADES
Beneficios de una Auditoria:
Permite examinar parámetros vitales que aseguran la salud general del proyecto
Como cualquier examen, la cooperación del auditados es necesaria
Identificar riesgos que el proyecto debe impedir
Identificar acciones que deben ser tomadas en cuenta para mejorar la salud del
proyecto
Proceso de Auditoria de acuerdo a ISO 9001:2008 - ETVX:
Que es un proceso:
Un proceso es un conjunto de actividades o eventos (coordinados u organizados) que
se realizan bajo ciertas circunstancias con un fin determinado.
ETVX entry/task/validation/exit:
Criterio de Entrada (entry): Lista de condiciones que se debe cumplir antes de iniciar
la actividad
Tareas (task): Conjunto de tareas que se debe realizar
7
Validación (validation): Verificar la calidad de los items de trabajo
Salidas(exit): Condiciones que se debe cumplir antes de entregar la actividad
ETVX entry/task/validation/exit de una auditoria:
PROPOSITO:
Garantizar que los proyectos y/o actividades se ejecuten según sus planes de proyecto
ENTRADAS (entry):
Planes de proyecto
Auditoria del proyecto.
Auditoria de otros registros del proyecto.
TAREAS / VALIDACIONES (validation):
Auditado: Elaborar la presentación de global de su proyecto. Enviar la presentación un
día antes de la reunión de auditoria.
Auditor/Auditado: generan la entrevista de acuerdo a calendario
Auditor: genera informe de auditoria con hallazgos o no-conformidades NCRs
Auditado: Gestionar el cierre de las NCRs.
Auditor: Genera seguimiento de cierre de NCRs.
8
SALIDAS (exit):
1. Presentación global de su proyecto
2. Realización de la entrevista de auditoria
3. Reporte de auditoria
NOTA: La Auditoria se realiza de acuerdo a periodos: cada tres meses (Quarter) para
aéreas que manejan procesos principales y cada seis meses (Half Year) para grupos
de soporte
Auditoría:
Verificar si la información financiera, operacional, administrativa y tecnológica que se
presenta es confiable, veras y oportuna. Es revisar que los hechos, fenómenos y
operaciones se den en la forma como fueron planeados y que las políticas y
lineamientos establecidos por la Corporación hayan sido respetados.
Auditoría de Sistemas Informáticos y de Calidad:
Actividad que se realiza para comprobar, mediante el examen y la evaluación de
evidencias objetivas, que el Sistema de Calidad es adecuado y haya sido desarrollado,
documentado y efectivamente implantado de acuerdo con los requisitos especificados.
Auditor:
Persona calificada para manejar y realizar auditorías, encargada de validar la evidencia
entregada por el auditado.
Auditado:
Persona o grupos de personas que muestran evidencias objetivas del cumplimiento de
políticas y lineamientos establecidos por la Corporación
9
A que procesos tecnológicos vamos a auditar?
De acuerdo a la cadena de valor, existen procesos de Gobierno, Procesos Principales y
procesos de Soporte. Si el proceso Tecnológico es de soporte, e desglose tecnológico es de
acuerdo a la siguiente imagen:
Definición de Año Fiscal (fiscal year – FY)
El año fiscal inicia en Enero y termina en Diciembre
El año fiscal esta compuesto por cuatro trimestres (cuatro Quarter)
El año fiscal esta compuesto por dos semestres (dos Half Year)
Año Fiscal (Fiscal Year – FY) -> para el año 2017 seria FY2017
10
Periodicidad de las auditorias:
La Auditoria se realiza de acuerdo a periodos: cada tres meses (Quarter) para aéreas
que manejan procesos principales y cada seis meses (Half Year) para grupos que
manejan procesos de soporte.
AUDITORIAS CADA TRES MESES (CADA QUARTER)
AUDITORIAS CADA SEIS MESES (CADA HALF YEAR)
Procesos Principales Procesos de Soporte Gestión de Marketing Gestión de Ventas Gestión de Productos y Servicios Gestión de Servicio al Cliente
Administración de las Finanzas Administración de los recursos humanos Provisión de materiales y servicios Desarrollo y mantenimiento de sistemas y tecnología manejo de servicios e infraestructura corporativa manejo de aspectos ambientales planificación y administración administración de los servicios legales
1.2. PROCESO DE AUDITORIA – NO-CONFORMIDAD/
OBSERVACIONES/ RECOMENDACIONES
En el informe de auditoría se debe registrar los hallazgos encontrados, el auditor deberá indicar al auditado que los hallazgos son "oportunidad de mejora", en el informe debe existir: no-conformidades, no-conformidades escalables, observaciones y recomendaciones.
NO CONFORMIDADES (NCR):
El auditor encuentra insatisfacción a las exigencias especificadas o con los requisitos
pre establecidos.
Ejemplos:
Ausencia de un contrato firmado
No existe un cronograma de capacitaciones o cronograma de vacaciones
Incumplimiento de una actividad dentro de un proceso
NO CONFORMIDADES ESCALABLES (NCRE):
Si auditor observa un incumplimiento con las exigencias especificadas o con los
requisitos pre establecidos, pero pertenece a otra área diferente a la auditada.
Ejemplos:
11
No muestra el plan de carrera (este tema es de RRHH)
No muestra la utilidad $$ de su Unidad (este tema es del Financiero)
OBSERVACIONES:
Cuando el auditor observa una situación específica que no implica desviación ni
incumplimiento de requisitos, pero que constituye una oportunidad de mejora.
Ejemplos:
Mejora o aumento de la memoria RAM de los equipos de computo
Simplificación de la documentación
Mejora de manuales de usuario o manuales de procesos
RECOMENDACIONES:
Sugerencia que el Auditor puede realizar a los auditados.
Las recomendaciones son más constructivas cuando se encaminan a atacar las causas de
los problemas observados, se refieren a acciones específicas y van dirigidas a quienes
deben emprender esas acciones
1.3. PLAN PARA PREPARAR AUDITORIAS TRIMESTRALES /
SEMESTRALES
El plan de auditorías será preparado por el auditor y compartido al auditado, este tiene dos días
para solicitar cambiar fecha/hora. El plan contiene: nombre del proyecto, nombre del auditado y
auditor, fecha/hora propuesta, lugar (ver ejemplo)
12
PROCESOS COMUNES
Para ejemplificar, se tomara algunos procesos de la “ISO 9001:2008-Gestión de Calidad
(Quality Management)” y “ISO 22301:2012-Gestión de Riesgos y Plan de Continuidad
(Business Continuity Plan)” escogemos solamente a 31 procesos que los vamos a
considerar como procesos comunes.
13
14
PROCESOS INFRAESTRUCTURA TECNOLÓGICA (HW/SW)
Para ejemplificar, se tomara algunos procesos de la “ISO 20000:2005:Gestión de servicios
tecnológicos (IT Service Management)” y “ISO27001:2005:Gestión de Seguridad de la
Información (IT Security Information Management)” y ‘ISO 22301:2012-Gestión de Riesgos y
Plan de Continuidad (Business Continuity Plan)” e “ITIL (Information Technology Infrastructure
Library” se escoge a 36 procesos.
15
16
17
18
CAPÍTULO II
2. PROPUESTA METODOLÓGICA
2.1. PROPUESTA METODOLÓGICA
Enfoque de la auditoria:
El enfoque de la auditoria se relaciona a tomar una muestra de los 31 procesos
comunes + 36 procesos IS tecnológica (en este ejemplo se escogió en total 7 procesos
para auditar)
Ejecución de la reunión de auditoría:
DURANTE LA ENTREVISTA
Responda al auditor de manera cordial y resalte los aspectos positivos de su trabajo y
de la organización
Responda únicamente a lo que el Auditor le pregunta y presente la evidencia
estrictamente necesaria para demostrar lo que Usted está afirmando.
Demuestre interés por las necesidades y expectativas del Auditor y colabórele en lo
que esté a su alcance
En lo posible resuelva a la mayor brevedad las no-conformidades que sean
encontradas durante el transcurso de la Auditoría
19
Feedback del auditor al auditado:
El auditor debe crear un ambiente favorable para el desarrollo de la Auditoria
El auditor debe establecer una relación fructífera entre el Auditor y el Auditado
No debe generar conflictos entre el Auditor y el Auditado
El Auditor debe comunicar todos los hallazgos/no-conformidades que se van encontrando y
comunicar la forma de cierre de estos hallazgos/no-conformidades.
El auditor debe compartir las mejores practicas con el auditado
El Auditado debe saber responder su proceso/actividad que realiza para cumplir con las normas ISO/COSO/ITIL/COBIT.
Feedback al auditor – infraestructura:
Caso: El proyecto ha solicitado un software especial XYZ hace unos 3 meses, sin
embargo la solicitud aún sigue abierta, razón por la cual el cronograma del proyecto se
encuentra afectado.
Identificación/provisión/mantenimiento de la infraestructura tecnológica necesaria
Esto puede ser una no-conformidad para el grupo de Infraestructura tecnológica, debido a
que no se han cumplido las fechas del cronograma.
El auditor debe también validar el cumplimiento de las actividades:
Gestión de Incidentes (Incident Management)
Gestión de Problemas (Problem Management)
Gestión de Configuraciones (Configuration Management)
Gestión de Cambios (Change Management)
Gestión de Entregas (Release Management)
La Auditoría ayuda a que el proyecto o área disminuya sus riesgos y problemas
2.1. INFORME DE AUDITORÍA (PUNTOS CLAVE Y EJEMPLO)
Luego de la ejecución de la reunión de auditoria, el auditor deberá presentar en los próximos 5
días el INFORME DE AUDITORIA, que debe contener:
* fecha de la auditoria,
20
* nombre del auditor,
* nombre del auditado,
* nombre del proceso (ver dentro de la cadena de valor proceso principal/soporte);
* y además cumplir la siguiente estructura:
1.ARTEFACTOS AUDITADOS:
2.OBJETIVO:
3.ALCANCE:
4.ANTECEDENTES:
5.INFORME DE AUDITORIA:
6.NO CONFORMIDADES (NCR) / OBSERVACIONES / RECOMENDACIONES
6.1. FORMA DE CIERRE
7. FIRMA AUDITOR AUDITADO
21
Seguimiento de cierre de no-conformidades:
El auditor genera un reporte de seguimiento de cierre de NCRs que fueron levantadas,
lo registra en un Excel en la auditoria y se sugiere realizar un seguimiento de cierre
quincenal.
Seguimiento de cierre de no-conformidades:
22
El auditor genera un reporte de seguimiento de cierre de NCRs al 19/05/2015. La
NCR2 esta en amarillo porque tiene 2 días para su vencimiento, la NCR3 y NCR4
están en verde porque aun no vence.
El auditor genera un reporte de seguimiento de cierre de NCRs al 10/06/2015. La
NCR2 esta en rojo con estado PROGRESO porque envió incompleto la evidencia, pero
aún no ha enviado toda la evidencia, la NCR4 esta en rojo con estado ABIERTO
porque no ha enviado ninguna evidencia para cierre de la NCR.
23
Fecha de cierre / estado de no-conformidades
2.1. FECHA DE CIERRE / ESTADO DE NO-CONFORMIDADES
Para el campo “FECHA MAXIMA CIERRE” se va a manejar por colores:
Para el campo “ESTADO” va a manejar:
EJEMPLO DE SEGUIMIENTO PARA MOSTRAR COLORES Y ESTADOS-FECHA:
20/05/2015
MINUTA DE REUNIÓN CON GERENCIA
Al 10/06/2015, la NCR2 y NCR4 están en color rojo, la una porque envió incompleto evidencia,
y la NCR4 no ha enviado ninguna evidencia. Con este input se genera una reunión con la
Gerencia y se mostrara las no-conformidades que no han cumplido la “fecha máxima cierre”, en
esta reunión se logra compromisos y nuevas fechas de cierre. Luego de la reunión debe existir
una “MOM - minuta de reunión”.
24
SEGUIMIENTO DE CIERRE DE NO-CONFORMIDADES
El auditor genera un reporte de seguimiento de cierre de NCRs al 12/06/2015, luego de la
reunión con Gerencia. La NCR2 y NCR4 tienen nuevas “fechas máxima cierre”.
25
Atributos de un auditor:
BUEN AUDITOR
• Objetivo. • De amplio criterio. • Cortéz pero firme. • Oyente paciente. • Puntual. • Preparado. • Buen comunicador • De mente abierta • Imparcial
MAL AUDITOR • Obstinado. • Subjetivo. • Cínico. • Crédulo. • Perezoso. • Juzga por las apariencias sin investigar • Sin preparación. Sin interés
Expectativas de los auditores:
Se requiere de los auditores que:
Verifiquen el cumplimiento y eficacia de procesos
Brinden sugerencias, que añadan valor basados en experiencia.
Destaquen cuestiones e inquietudes mediante el informe de auditoría.
Compartan las mejores prácticas - a y de proyectos.
Sugieran mejoras a los procesos de calidad
Generen los informes de auditoría dentro de 5 días laborables.
Participen de manera activa en las auditorías, se comprometan a las fechas de
auditoría dentro de la programación de auditoría
Porqué debo realizar auditorías?
Experiencia de aprendizaje
Sentido de autoridad, empoderamiento
Compartir experiencias y apoyo
Contribución a las actividades de la organización
26
BIBLIOGRAFÍA Y NETGRAFÍA
BIBLIOGRAFIA
1. Piattini,MarioG.,DelPeso,EMILIO, AuditoríaInformática-UnEnfoquePráctico,
EditorialAlfaomega,SEGUNDA EDICIÓN. (Disponible enla bibliotecade laFacultad de Ciencias
Administrativas delaUniversidadCentral)
2. Muñoz RazoCarlos,AuditoríaenSistemasComputacionales,Pearson
Educación,PRIMERAEDICIÓN,deC.V.,MéxicoDF.
Sistemas de Información Gerencial de Laudon K. y Laudon J., décimo segunda edición
Laudon K. y Laudon J., Sistemas de Información Gerencial, Décimo segunda edición
3. EcheniqueGarcía, JoséAuditoríaenInformática.MéxicoDF,McGraw-Hill.2001
4. HernándezHernándezEnrique,AuditoríaenInformática,-Unenfoquemetodológico,
primeraedición,CompañíaEditorial Continental,S.A.deC.V.,1995, México,D.F.
5. AsolísMontes,GustavoAdolfo,Reingeniería de la Auditoría Informática, Editorial Trillas
S.A.deC.V.2002,MéxicoD.F.
NETGRAFIA
1. Introducciónala AuditoríadeSistemas,video
http://www.youtube.com/watch?v=u3L3C7qaMaE
2. ApuntessobreAuditoríaInformática.
http://auditoriasistemas.com/auditoria-informatica
3. Texto:Auditoria Informática.Unenfoquepráctico -Mario Piattini[PDF |Español]
http://libroscompletos.com/informatica/auditoria-informatica-un-enfoque-practico-mario-piattini-
(pdf-espanol)
4. AuditoríaInformática- Programa Expertos E-Learning
Ing Cesar Villa Maura MsC - FATLA 2010
27
5. Tipos de AuditoríasInformáticas
http://es.scribd.com/doc/18646089/TIPOS-Y-CLASES-DE-AUDITORIAS-INFORMATICAS
5. Metodologíade unaAuditoríade Sistemas
http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Archivos/METODLOGIA%20DE%2
0UNA%20AUDITORIA%20DE%20SISTEMAS.pdf