Nombre del Curso: AUDITORIA DE SISTEMAS
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
OBJETIVOS
·
Identificar,
conocer y comprender que es la auditoria de sistemas para determinar las
implicaciones y beneficios que adquiere una empresa al aplicarla.
·
Identificar la importancia de realizar el proceso de auditoría
en una empresa u organización.
·
Describir
de manera General De La Contraloría General De La Republica y realizar una
descripción general de los sistemas de información existentes y los procesos asociados
a los mismos.
·
Identificar los recursos auditables, los criterios de
información, los dominios y procesos del estándar de mejores prácticas COBIT
4.1
INTRODUCCIÓN
La auditoría a las
empresas son un conjunto de actividades que se realizan con el fin de evaluar
los procesos internos de una entidad y poder realizar verificación de la información
generada, identificar los posibles problemas que se presentan, y poder realizar
las correcciones que permitan la mejora de los procesos.
El proceso de
auditoría informática es relativamente nuevo en comparación con otras
actividades realizadas en las empresas, y por ende se están realizando ajustes
permanentemente a su metodología y aplicación, es necesario el entender estos
procesos con el fin de poderlos aplicar correctamente en nuestro ámbito
profesional.
Con este documento,
pretendemos hacer un análisis inicial al proceso de auditoría informática, con
el fin de conocer sus características más relevantes e identificar los procesos
que se realizan para llevar a cabo una auditoría en una empresa, y de esta
manera identificar las actividades y características que permitirán llevar a
cabo satisfactoriamente esta tarea.
La aplicación de este
proceso en nuestro ámbito profesional, nos permitirá ampliar nuestro campo de
acción al momento de aportar nuestros conocimientos, esperamos que con este
trabajo se abarque toda la información referente al tema y se tenga un
conocimiento general sobre el mismo.
AUDITORIA DE SISTEMAS
¿Qué es la auditoria
de sistemas, en que consiste y porque es importante? Para responder a esta
interrogante debemos ir al génesis del
asunto; desde tiempos remotos ha existido la figura de revisor, la cual
conocemos hoy en día con el nombre de auditor, estos revisores de sistemas de
información han creado y utilizado métodos y normas ajustadas al momento tecnológico de su tiempo.
Como consecuencia de
la evolución continua, mejor dicho de la revolución del mundo informático, cada
día se generan avances tecnológicos y el auditor debe estar al día, debe
conocerlos, dominarlos y estar al tanto de los riesgos inherentes que esta
tecnología conlleva, además debe cubrir los objetivos genérales de la auditoria
para poder prestarla de forma íntegra.
En el estado actual
de la tecnología, la responsabilidad y deberes del auditor es triple, toda vez
que debe poner en manifiesto a la dirección o gerencia de la empresa que
audita, sobre los cambios que se están produciendo y aconsejar sobre los
riesgos que esto conlleva y sugerir una posible solución, luego el auditor debe
evaluar la efectividad de los nuevos controles como consecuencia del uso de
nuevas tecnologías.
Conociendo ya el rol
y las cualidades del auditor en materia de auditoria informática, ahora
conoceremos sobre que se trata y de que se compone la auditoria informática:
Así como la Auditoría
Contable controla los sistemas y registros de la contabilidad de una empresa,
la auditoría informática es la encargada de verificar que los sistemas y
procesos informáticos funcionen adecuadamente para las funciones que han sido
programados y los activos digitales se encuentren debidamente protegidos.
Muchas organizaciones,
no conocen los recursos tecnológicos que poseen o no los utilizan
adecuadamente, lo que les representa ineficiencia en sus procesos.
La auditoría de
sistema se basa en las siguientes revisiones fundamentales, con el ánimo de
conocer y evaluar los procesos en materia informática:
a) Revisión y evaluación de los sistemas, procedimientos
y controles informáticos.
b) Revisión del equipamiento, utilización, eficiencia y
seguridad
c) Relevamiento del personal interviniente en todos los
procesos informáticos, a efectos de recomendar las mejoras necesarias para una
utilización más eficiente y segura de los sistemas informáticos.
Esto permitirá
confiar en la información que los mismos brindan y tomar mejores decisiones
para los negocios de la organización.
Las áreas sujetas a
Auditoría Informática son, entre otras:
Hardware
a) Redes y Comunicaciones
b) Infraestructura eléctrica
c) Soporte y Mantenimiento
d) Seguridad Lógica y Física
Software
a) Desarrollo de sistemas
b) Procesamiento de datos
c) Normas, Procedimientos y Documentación
d) Recursos humanos intervinientes en los procesos
informáticos y sus responsabilidades.
e) Costos
En
cuanto a la eficacia de la auditoria informática, esta vendrá determinada,
básicamente, por la aportación a la empresa de una información válida, exacta,
completa, actualizada y oportuna que ayude a la adopción de decisiones, y todo
ello medido en términos de calidad, plazo y coste. Sin el adecuado control,
mediante la realización de auditorías al sistema de información, esos objetivos
serían difíciles de conseguir, con la siguiente repercusión en una adecuada
dirección y gestión en la empresa.
CONCLUSIONES FRUTO DE LA
DISCUSIÓN GRUPAL
A. El proceso de auditoria es muy importante, en cuento a que permite a las
organizaciones tener un diagnóstico sobre la calidad de los procesos
desarrollados, con el ánimo que la gerencia pueda crear e implementar medidas
para corregir, mejorar o mitigar errores en la implementación de los procesos
B. Dentro de las empresas el proceso de auditoría permite a la dirección,
realizar procesos de control y verificación, que ayudan a la detección de
problemas, identificación de causas y aplicación de diferentes soluciones.
C. Las auditorías no deben verse como procesos de "cacería de
brujas", sino como una actividad necesaria, que le ayuda tanto al empleado
como al directivo a identificar y solucionar problemas, no encontrar culpables.
D. La auditoría permite evaluar el grado de eficiencia y eficacia con que
se desarrolla las tareas administrativas.
E.
La auditoría permite a
las organizaciones mejorar el desempeño de sus funciones.
Contraloría General de la Republica
La Contraloría
General de la Republica se encuentra ubicada en el norte de la ciudad de Santiago de Cali, Valle
del Cauca, en la Avx N # xx -xx, su Nit: xxxxxxxx, tiene la misión de
procurar el buen uso de los recursos y bienes públicos y contribuir a la
modernización del Estado, mediante acciones de mejoramiento continuo en las
distintas entidades públicas.
La Constitución Política de 1991, en su artículo 267, establece que: "El control fiscal es una función pública que ejercerá la Contraloría General de la República, la cual vigila la gestión fiscal de la administración y de los particulares o entidades que manejan fondos o bienes de la Nación".
La Constitución Política de 1991, en su artículo 267, establece que: "El control fiscal es una función pública que ejercerá la Contraloría General de la República, la cual vigila la gestión fiscal de la administración y de los particulares o entidades que manejan fondos o bienes de la Nación".
En la Carta Política, el control fiscal a la gestión pública pasó de ser previo y perceptivo, a posterior y selectivo. No obstante, el nuevo enfoque del control permite la aplicación de un control de advertencia o de prevención, para que el administrador público conozca en tiempo real las inconsistencias detectadas por la Contraloría y, mediante la aplicación de un control de corrección, proceda a subsanarlas, con lo cual lograremos entidades más eficientes y eficaces, cumpliendo con el fin último del control que es el mejoramiento continuo de las entidades públicas.
Misión
Fortalecer el control y la
vigilancia de la gestión fiscal con enfoque preventivo en el marco de la
Constitución y la Ley, para garantizar el buen manejo de los recursos públicos,
en la búsqueda de la eficiencia y la eficacia de la gestión pública, con
participación de la ciudadanía, para el logro de los fines del Estado.
Visión
En el año
2018, la Contraloría General de la República será reconocida como una entidad
autónoma e independiente que, con el fortalecimiento del control y la
vigilancia de la gestión fiscal, contribuyó al buen manejo de los recursos
públicos y a la eficacia en el cumplimiento de los fines del Estado.
Descripción general de los sistemas de información existentes y los
procesos asociados a los mismos
Ítem
|
Aplicativo
|
Dependencia
|
Proceso
|
Descripción
|
1
|
Sistema de Gestión Documental - SIGEDOC
|
Imprenta, Archivo Y Correspondencia
|
Archivo Y Correspondencia
|
Este sistema tiene como propósito el control de las comunicaciones
oficiales, en este aplicativo se radicar las comunicaciones Internas enviadas
IE, Externas enviadas EE y Externas Recibidas ER, adicionalmente optimiza la
gestión y tramite de estas ya que se digitalizan para ser manejadas en ámbito
digital y garantiza la conservación del física ya que se remite directamente
al archivo
|
2
|
Sistema de Aseguramiento de Expedientes Electrónicos - SAE
|
Oficina De Investigaciones y Juicios Fiscales
|
Investigaciones y Juicios Fiscales
|
Este aplicativo permite el manejo de los expedientes correspondientes
a los procesos de investigaciones y juicios fiscales que se adelantan por
parte de la CGR, en un ambiente electrónico con altos niveles de seguridad,
garantizando así su reguardo y contribuyendo a la eficiente gestión de las
actuaciones que lo componen.
|
3
|
Sistema de Control de Actividades - SICA
|
Oficina de Vigilancia Fiscal
|
Vigilancia Fiscal Macro y Vigilancia Fiscal Micro
|
Este aplicativo permite la identificación de las entidades en con
riesgo de detrimento patrimonial, atreves de matrices de riesgos, permite la
planeación de las auditorias, la creación de asignaciones de trabajo (AT)
dentro de la auditoria al grupo auditor o a un funcionario específico y la
creación de los informes mensuales de actividades (IMAs) para controlar el avance
de las mismas.
|
4
|
Mesa de Ayuda
|
Oficina de Sistemas e Informatice
|
Seguridad y Aseguramiento Tecnológico e Informático
|
Este aplicativo permite el registro de requerimientos e incidencias
correspondientes al soporte en materia de Hardware y Software por parte de
los funcionarios, para que sean atendidos por la oficina de sistemas e
informática de la gerencia, así como también permite la gestión de garantías
y agendas de trabajo.
|
5
|
Sistema de Participación Ciudadana -
SIPARC
|
Oficina de Participación Ciudadana
|
Veeduría y Participación Ciudadana - PQRS
|
En esta aplicación se registran, gestionan y monitorean, todas las
peticiones, quejas, reclamos, solicitudes y denuncias, que provienen de la
ciudadanía que ejercen su derecho a ser veedores del interés común de todos y
cada uno de los colombianos.
|
COBIT® 4.1
(Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas)
La reingeniería, la reestructuración
y el outsourcing entre otros, son cambios que afectan la manera en que trabajan
las organizaciones, así como también las entidades gubernamentales, estas
tendencias han implicado profundos cambios en las estructuras administrativas
de las entidades en todo el mundo, partiendo de lo anterior podemos definir
COBIT como un modelo de control de tecnologías de Información (TI), que se diseñó
como una fuente de instrucción para los profesionales dedicados a las prácticas
de control, COBIT posee estándares para mejorar dichas prácticas de control y
la seguridad de las tecnologías de información.
Teniendo en claro lo
anterior y partiendo de esto, lo primero que se debe hacer es identificar los recursos auditables en materia de
tecnologías de información de la
organización o empresa objeto de control o de auditoria.
Los recursos de TI
identificados en COBIT se pueden definir como sigue:
a. Las
aplicaciones incluyen tanto
sistemas de usuario automatizados como procedimientos manuales que procesan información.
b. La
información son los datos
en todas sus formas, de entrada, procesados y generados por los sistemas de
información, en cualquier forma en que sean utilizados por el negocio.
c. La
infraestructura es la
tecnología y las instalaciones (hardware, sistemas operativos, sistemas de
administración de base de datos, redes, multimedia, etc., así como el sitio
donde se encuentran y el ambiente que los soporta) que permiten el
procesamiento de las aplicaciones.
d. Las
personas son el personal
requerido para planear, organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y los servicios de información. Estas pueden
ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
Entendido y
comprendido los recursos que plante COBIT
podemos hablar de los criterios
de información que no es más que las características que deben tener la
información de la organización con el ánimo que pueda adaptarse a ciertos
criterios de control y así satisfacer sus propios objetivos; a continuación
veremos y describiremos cada una de ellas:
a) Efectividad: este criterio plantea que la información debe estar
completamente orientada a los procesos de la organización de manera correcta,
oportuna, consistente y utilizable.
b) Eficiencia: esta plantea que la información debe ser usada y
manejada de la manera más productiva posible y se deben utilizar la menor
cantidad de recursos.
c) Confidencialidad: consiste en la protección de la información contra
la revelación de información no autorizada que pueda atentar contra los
intereses o políticas de la organización.
d) Integridad: esta criterio se refiere a que la información debe
ser lo más completa posible ya que debe cumplir con todos y cada uno de los
valores y expectativas de la organización.
e) Disponibilidad: consiste en propender por que la información esté
disponible en cualquier momento que sea
requerida por un proceso de la organización.
f) Cumplimiento: consiste en acatar todos los cuerdos a los cuales
está sujeta la organización, leyes y reglamentos, así como también todas las
políticas internas de la entidad.
g) Confiabilidad: esta se refiere a que la información debe ser
brindada de forma acertada para que la gerencia pueda administrar la
organización de manera responsable, tomando las mejores decisiones producto de
la información real y concisa.
El estándar COBIT 4.1
define las actividades de TI en un modelo de 34 procesos genéricos agrupados en
4 dominios, los cuales son los
siguientes:
PLANEAR Y ORGANIZAR (PO): Este dominio cubre las estrategias y las tácticas,
y tiene que ver con identificar la manera en que TI puede contribuir de la
mejor manera al logro de los objetivos del negocio. Además, la realización de
la visión estratégica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnológica apropiada. Este dominio cubre los
siguientes cuestionamientos típicos de la gerencia:
a) ¿Están alineadas las estrategias de TI y del negocio?
b) ¿La empresa está alcanzando un uso óptimo de sus
recursos?
c) ¿Entienden todas las personas dentro de la
organización los objetivos de TI?
d) ¿Se entienden y administran los riesgos de TI?
e) ¿Es apropiada la calidad de los sistemas de TI para
las necesidades del negocio?
Los procesos que
corresponden al dominio planear y organizar son los siguientes:
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la
gerencia.
PO7 Administrar recursos humanos de TI.
ADQUIRIR E IMPLEMENTAR (AI): Para llevar a cabo la estrategia de TI, las soluciones
de TI necesitan ser identificadas, desarrolladas o adquiridas así como
implementadas e integradas en los procesos del negocio. Además, el cambio y el
mantenimiento de los sistemas existentes está cubierto por este dominio para
garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
Este dominio, por lo general, cubre los siguientes cuestionamientos de la
gerencia:
a) ¿Es probable que los nuevos proyectos generan
soluciones que satisfagan las necesidades del negocio?
b) ¿Es probable que los nuevos proyectos sean entregados
a tiempo y dentro del presupuesto?
c) ¿Trabajarán adecuadamente los nuevos sistemas una vez
sean implementados?
d) ¿Los cambios no afectarán a las operaciones actuales
del negocio?
Los procesos que
corresponden al dominio adquirir e implementar
son los siguientes:
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
ENTREGAR Y DAR SOPORTE (DS): Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la administración de la
seguridad y de la continuidad, el soporte del servicio a los usuarios, la
administración de los datos y de las instalaciones operativos. Por lo general
cubre las siguientes preguntas de la gerencia:
a) ¿Se están entregando los servicios de TI de acuerdo
con las prioridades del negocio?
b) ¿Están optimizados los costos de TI?
c) ¿Es capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y segura?
d) ¿Están implantadas de forma adecuada la
confidencialidad, la integridad y la disponibilidad?
Los procesos que
corresponden al dominio entregar y dar soporte
son los siguientes:
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
MONITOREAR Y EVALUAR (ME): Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los
requerimientos de control. Este dominio abarca la administración del desempeño,
el monitoreo del control interno, el cumplimiento regulatorio y la aplicación
del gobierno. Por lo general abarca las siguientes preguntas de la gerencia:
a. ¿Se mide el desempeño de TI para detectar los
problemas antes de que sea demasiado tarde?
b. ¿La Gerencia garantiza que los controles internos son
efectivos y eficientes?
c. ¿Puede vincularse el desempeño de lo que TI ha
realizado con las metas del negocio?
d. ¿Se miden y reportan los riesgos, el control, el
cumplimiento y el desempeño?
Los procesos que
corresponden al dominio monitorear y evaluar
son los siguientes:
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
CONCLUSIONES
·
La auditoría
es una herramienta que nos permite revisar y evaluar uno o varios procesos con
el ánimo de corregir un error y proponer soluciones para mitigar sus causas.
·
Lo
ideal para una organización es practicar auditorias informativas en sus
múltiples dependencias y procesos, por lo menos terminada cada vigencia ya que
le permite conocer es estado real de sus procesos y propender a la mejora de
estos.
·
COBIT
es un marco de referencia con el cual se
puede comparar los controles de tecnologías de información con el fin de
mejorarlos.
·
COBIT
ofrece un amplio marco de trabajo con el cual se puede incrementar y fortalecer
la seguridad de la información en las organizaciones.
BIBLIOGRAFÍA
• Fundamentos
Informáticos
Universidad de Cádiz,
Servicio de Publicaciones, 1996
• Informática
Instituto
Hidrográfico de la Marina, Servicio de Publicaciones de la
Armada, 1990
• Llacer
Rubio, Enrique; Informática y Empresa
Editado por la Caja
Rural Provincial de Sevilla, 1983
• Santodomingo,
Adolfo; Introducción a la informática
Editorial Ariel S.A.,
1997
• Thorin,
Marc; La Auditoría Informática: métodos, reglas, normas
Ed. Masson, S.A.,
1989
·
Estándar COBIT 4.1