Академический Документы
Профессиональный Документы
Культура Документы
Auditoria Computacional
Estudio de Factibilidad
Desarrollo
Adquisicin
Adaptacin
Aprobacin
Implementacin
Mantenimiento
Auditoria Computacional
Definicin de requerimientos
El rea de TI asesora a todos los gerentes y grupos de usuarios en la definicin de requerimientos, con la finalidad de prevenir que se gasten recursos en un sistema que no satisface los requerimientos del negocio. Adoptando los siguientes pasos genricos:
Definir el problema o la necesidad que requiere solucin Definir los requerimientos generales o importantes del sistema para la solucin, por ejemplo
o o o o Controles de acceso Requisitos legales Necesidades de informacin para la Gerencia Otras consideraciones operativas
Si se decide comprar un paquete de software, entonces el usuario debe participar activamente en la evaluacin del sistema y en el proceso de seleccin.
Auditoria Computacional
Definicin de requerimientos
Auditoria Computacional
Estudio de Factibilidad
La decisin de compra o desarrollo debe estar precedida de un estudio de factibilidad para determinar los beneficios estratgicos de implementar el sistema en base en los beneficios en la productividad o bien evitando costos en el futuro. Considera entre otros elementos, los siguientes:
Definir un perodo de tiempo para el que se requiere la solucin; Determinar si se requiere una solucin automatizada; Determinar si un sistema existente puede corregir la situacin (con o sin modificaciones); Determinar si la solucin encaja en la estrategia del negocio; Determinar si el producto se comprar o desarrollar, considerando adems fecha en que se requiere la solucin y el costo involucrado.
Auditoria Computacional
Adquisicin
La adquisicin no es considerada una fase estndar en el ciclo de vida de desarrollo de una aplicacin, sin embargo es una alternativa vlida que tiene la empresa y considera:
El estudio de factibilidad debe contener la documentacin que respalde la decisin de adquirir el software; Constituir un equipo de proyecto de adquisicin, con personal tcnico y usuarios para redactar una solicitud de propuesta la que es enviada a los vendedores para determinar la mejor solucin de acuerdo a la relacin precio/calidad; Analizar las propuestas (se considerar visitas a terreno) a clientes que usan la solucin; Negociar y firmar el contrato.
Auditoria Computacional
Adquisicin
Respeto a la etapa de adquisicin, el rea de TI ofrece apoyo a la administracin de la empresa y usuarios efectuando:
1. Identificacin de los posibles proveedores. 2. Establecer contacto con los proveedores identificados 3. Evaluar alternativas. 4. Evaluacin de Inversin 5. Asesorar en la implementacin de las soluciones.
Auditoria Computacional
Desarrollo
La fase de desarrollo de soluciones de TI es aplicable en aquellas organizaciones que disponen de un rea informtica con un equipo de analistas, programadores, verificadores de calidad, polticas, procedimientos y recursos correspondientes.
Ambiente de Desarrollo Ambiente de Pruebas Ambiente de Produccin
Programas Ejecutables
VB
OK?
SI
Custodia de Fuentes
Auditoria Computacional
Pruebas
La creacin del nuevo sistema o la versin modificada del existente es extrada del ambiente de custodia y trasladada al ambiente de pruebas, lo compila y deja disponible el programa ejecutable junto con un set de datos de pruebas con la finalidad de que usuarios apoyados por un responsable de control de calidad de sistemas jueguen con los sistemas para detectar posibles falencias y solucionables, si esto ocurre el usuario no da su conformidad al sistema y se notifica a los desarrolladores para efectuar las modificaciones pertinentes repitiendo las sub-etapas anteriores y su ciclo relacionado. Este proceso se repite hasta que el usuario otorgue su conformidad al sistema de acuerdo a sus necesidades
Auditoria Computacional
Implementacin
El sistema se traspasa al ambiente de produccin para que preste los servicios a los que fue destinado. Una copia de esta versin final es enviada al responsable de custodia el cual adems de resguardarla llevar un control de las versiones.
Mantenimiento
Los sistemas se ven afectados por la obsolescencia, esto es, las funcionalidades no cumplen a cabalidad o satisfacer los requerimientos del usuario por lo cual es necesario que permanentemente se estn actualizando, ya sea sistemas desarrollados internamente o adquiridos a un proveedor externo. En este caso se considera una modificacin y se siguen los pasos descritos en modificacin.
Auditoria Computacional
Durante los ltimos aos para las empresas se les ha convertido en un problema llevar por s mismas el servicio de soporte de su infraestructura de TI debido a los constantes cambios tecnolgicos, cada da salen al mercado nuevos productos y el personal del rea de sistemas requiere ser capacitado constantemente para adaptarse a estos cambios.
Por esta razn la tendencia de las organizaciones es dejar que el servicio de tecnologa de la informacin lo preste un tercero, es decir, una compaa proveedora de tecnologa que para ello cuenta con personal tcnico certificado en las distintas marcas que garantiza a sus clientes un servicio de calidad a menor costo de lo que podra representar a la empresa mantenerlo por s misma.
Auditoria Computacional
No hay duda que hoy el factor de servicio especializado en TI se ha convertido en un diferenciador entre un producto de TI y otro, al momento que una empresa decide comprar una plataforma tecnolgica, pues segn los expertos las empresas desarrolladoras de tecnologa ofrecen prcticamente las mismas herramientas y es precisamente el servicio en TI lo que ahora tiene un mayor valor, pues anteriormente se enfocaban ms en buscar el mejor precio. El rea de TI representa a la organizacin frente al proveedor o prestador externo de los servicios actuando como administrador de contratos.
Auditoria Computacional
Evaluacin de Proveedores
Nuevas Tendencias: Cumplimiento Seccin 404 ley SOX
El uso de una Organizacin de Servicios (OS), no reduce la responsabilidad de la administracin para mantener un efectivo control interno.
Contrata servicios
OU
OS
Organizacin de Servicios Ej.: Empresa XXX
13
Auditoria Computacional
Evaluacin de Proveedores
PCAOB Organizaciones de Servicio
Cuando los servicios de la OS forman parte del Control Interno de la OU sobre la informacin financiera que se reporta, la OU debe considerar las actividades realizadas por la OS. La OU y su auditor deben ejecutar los siguientes procedimientos sobre los procesos de la OS:
Obtener un entendimiento detallado de los controles: en la OU sobre las actividades de la OS, en la OS, que son relevantes para su control interno.
Una forma de cubrir los requerimientos que caen sobre la OS, es la obtencin del SAS 70, un Reporte del Auditor de la OS sobre los controles puestos en operacin y pruebas de su efectividad operacional (B18-B24 del PCAOB confirma que el SAS70 es un formato aceptable. 14
Auditoria Computacional
Se pronuncia sobre los 5 componentes del control interno asociados a los procesos de servicios a terceros (excluye los estados financieros de la Organizacin de Servicios):
Entorno de Control Proceso de Evaluacin de Riesgo Informacin y Comunicacin Actividades de Control Monitoreo
Evaluacin de Proveedores
Contenido de Reportes SAS 70
Tipo I:
Descripcin de los procesos y servicios que ofrece la Organizacin de Servicios. Descripcin del ambiente de control interno, control en las aplicaciones, controles generales de tecnologa y del entorno. Descripcin detallada de los controles especficos, polticas y procedimientos existentes a la fecha. Una opinin del auditor externo a una fecha especfica sobre la efectividad y aplicacin del diseo del Control Interno (no de su operacin). Informacin adicional provista por la Organizacin de Servicios (opcional: temas que no son de control pero relevantes, como Planes de Contingencia, inversiones tecnolgicas, otros).
16
Auditoria Computacional
Evaluacin de Proveedores
Ejemplo de Procesos a cubrir en el SAS 70 de Cliente
Controles Generales de TI
Organizacin y administracin Desarrollo, mantencin y documentacin de aplicaciones Control de cambios Acceso fsico y controles ambientales Acceso Lgico Explotacin y respaldos
Telecomunicaciones
17
Auditoria Computacional
Evaluacin de Proveedores
Diferencias de Escenarios de Auditoras
Auditor de Servicios
Desarrollo de SAS 70
OS
OU OU
OU OU OU OU OU
OS
SAS 70
OU OU
OU
Evita que la OS reciba mltiples requerimientos de auditora por parte de los distintos clientes en forma paralela. Genera sinergias, reduciendo significativamente los esfuerzos y recursos por parte de la OS.
18
Auditoria Computacional
A.
Definicin y aprobacin del alcance de servicios a cubrir por parte de las OU y los objetivos de control correspondientes. Preparacin y documentacin de declaraciones: objetivos de control y descripcin de controles especficos. Perodo de pruebas de los controles y obtencin de evidencia, bajo la revisin del Reporte SAS 70. Desarrollo del Reporte SAS 70. Entrega del Reporte Final SAS 70 con la opinin de los auditores independientes:
Reporte sobre los controles puestos en operacin y pruebas de efectividad operacional de los Sistemas de Procesamiento de Tarjetas Bancarias
B.
C.
D. E.
19
Auditoria Computacional
Materias a acordar
Cada OU (con su auditor) debe evaluar cmo el SAS 70 a emitir por el cliente y se ajusta y adecua con su estrategia de cumplimiento de la 404, y si el reporte provee suficiente evidencia para soportar su Evaluacin del Control Interno:
Enero, 2005
20
Auditoria Computacional
Auditoria Computacional
de contramedidas: rentable para proteger los activos de la organizacin. Pruebas de penetracin: Utilizar las pruebas para identificar las diferentes maneras en que un individuo no autorizado puede tener acceso a la organizacin. Respuesta a incidencias: Un buen plan de respuesta a incidencias detalla los procedimientos especficos que se deben seguir. Alcance de las tareas para asegurar los activos: Definir la cantidad total de trabajo, incluso el tiempo, el esfuerzo y el dinero necesarios para ofrecer la seguridad suficiente y para mantener la infraestructura desde el punto de vista del soporte y usuario final.
Auditoria Computacional
La administracin de servicios de TI se preocupa por la entrega y soporte de servicios cuidando las necesidades de la organizacin. Una de la preocupaciones es poder dar una seguridad a la organizacin de que pueda seguir su continuidad sin verse alterada en su desarrollo diario. La medicin de la calidad del rea de TI no es un evento sino un proceso continuo y un estado mental. Se recomienda la utilizacin de los principios del crculo de calidad para efectuar este proceso en forma efectiva. Cuando se define el proyecto, el grupo de trabajo debe entender los trminos de calidad de la informacin impuesto por el cliente y estar consignados en un plan de trabajo que tenga como objetivo proveer un servicio de calidad dentro de las reas de TI.
Por ejemplo, en la entrega de software, se sabe que es difcil que est completamente libre de fallas, por lo que se puede definir que se da por aceptado con fallas de forma, ms no de fondo.
Auditoria Computacional
Capacitacin de usuarios
En una gran medida en las empresas quienes deciden cuando de debe capacitar al usuario de TI es la Gerencia de TI ahora si en algn caso la organizacin ve que nuestra capacitacin esta sobrepasando los costos estimados que tenan en dicha inversin es el Gerente General o Subgerente General es quien toma las decisiones ligadas a TI. En la adquisicin, desarrollo y/o manutencin de los sistemas, los usuarios deben ser capacitados en las funcionalidades incluidas en estas soluciones de TI con la finalidad de maximizar los beneficios de la inversin realizada
Auditoria Computacional
El rea informtica es responsable de controlar, resguardar y mantener el hardware, las redes y las instalaciones relacionadas con la gestin de TI. Por lo tanto debe apoyar a la empresa en los procesos de adquisicin mantenimiento cambio en custodia de estos recursos, especficamente controlando las condiciones ambientales de acceso fsico y acceso lgico
Auditoria Computacional
Control de licenciamiento
El rea de TI esta encargada de materializar el cumplimiento de las normativas que protegen la propiedad intelectual de los proveedores de soluciones de TI. Para ello es responsable de establecer un proceso continuo de control sobre las licencias instaladas en sus plata formas. Este proceso incluye actividades tales como:
Redaccin, publicacin y manutencin de polticas y procedimientos relacionados a la instalacin de software Control permanente de las versiones adquiridas, instaladas y obsoletas de software Establecer controles preventivos, defectivos y correctivo en caso de vulnerar los derechos de autor Fomentar la acreditacin de entes externos relacionados a control de licenciamiento.
Auditoria Computacional
Revisar diagramas de flujo del sistema para verificar si se ajusta al diseo general, si se han modificado deben tener las autorizaciones respectivas Revisar los controles de ingreso, procesamiento y salida de datos Entrevistar a usuarios claves para determinar la comprensin y participacin en el proyecto Revisar los resultado de control de calidad del programa Verificar que se hayan efectuado las correcciones de los errores detectados
Auditoria Computacional
Etapa de Pruebas
Revisar
el plan de pruebas para verificar si est completo y con evidencias de participacin de usuarios Revisar los reportes errneos Verificar que los controles y seguridad del sistema est funcionando
Implementacin
Verificar
que se hayan obtenido las firmas (autorizaciones) de aprobacin apropiadas antes de la implementacin; Revisar los procedimientos programados para poner en funcionamiento el sistema; Revisar la completitud de la documentacin del sistema; Verificar que la conversin de datos es correcta. Analizar la documentacin a partir del estudio de factibilidad para determinar que la decisin de adquirir una solucin fue apropiadamente documentada y si consider la conveniencia para la empresa; est visado por los abogados de la empresa.
Auditoria Computacional
Implementacin
Revisar
las propuestas de los proveedores analizados Determinar si el vendedor seleccionado cumple con los requisitos estipulados en la propuesta; Revisar el contrato del vendedor antes de su firma para asegurarse que incluye puntos de control en beneficio de la empresa; Asegurarse que el contrato est visado por los abogados de la empresa.
Auditoria Computacional
si los procedimientos de la organizacin para autorizar, priorizar y rastrear cambios al sistema son los adecuados; Identificar los cambios al sistema y verificar que se haya dado la autorizacin debida conforme a las normas de la organizacin; Revisar la documentacin del programa, para asegurarse que se mantienen instaladas las pistas de auditoria; Determinar si se ha actualizado la documentacin del sistema (tcnica y la de usuario); Evaluar los procedimientos de control de cambios a programas; Evaluar si las restricciones de acceso de seguridad de los mdulos fuentes y los ejecutables en produccin son los adecuadas; Evaluar si los procedimientos para atender los cambios de emergencias a los programas son los adecuados.
Auditoria Computacional
si los procedimientos para probar los cambios a los sistemas son los adecuados; Revisar los procedimientos establecidos para asegurar la integridad del cdigo ejecutable y fuente; Revisar los mdulos ejecutables en produccin y verificar que haya una sola versin del fuente del programa.
Auditoria Computacional