Adquisicin, desarrollo y mantencin de soluciones de TI

Auditoria Computacional

Adquisicin, desarrollo y mantencin de soluciones de TI

Definicin de Requerimientos

Estudio de Factibilidad

Desarrollo

Adquisicin

Diseo y Programacin Pruebas

Adaptacin

Aprobacin

Implementacin

Mantenimiento
Auditoria Computacional

Definicin de requerimientos
El rea de TI asesora a todos los gerentes y grupos de usuarios en la definicin de requerimientos, con la finalidad de prevenir que se gasten recursos en un sistema que no satisface los requerimientos del negocio. Adoptando los siguientes pasos genricos:

Definir el problema o la necesidad que requiere solucin Definir los requerimientos generales o importantes del sistema para la solucin, por ejemplo
o o o o Controles de acceso Requisitos legales Necesidades de informacin para la Gerencia Otras consideraciones operativas

Si se decide comprar un paquete de software, entonces el usuario debe participar activamente en la evaluacin del sistema y en el proceso de seleccin.

Auditoria Computacional

Definicin de requerimientos

Auditoria Computacional

Estudio de Factibilidad
La decisin de compra o desarrollo debe estar precedida de un estudio de factibilidad para determinar los beneficios estratgicos de implementar el sistema en base en los beneficios en la productividad o bien evitando costos en el futuro. Considera entre otros elementos, los siguientes:

Definir un perodo de tiempo para el que se requiere la solucin; Determinar si se requiere una solucin automatizada; Determinar si un sistema existente puede corregir la situacin (con o sin modificaciones); Determinar si la solucin encaja en la estrategia del negocio; Determinar si el producto se comprar o desarrollar, considerando adems fecha en que se requiere la solucin y el costo involucrado.

Auditoria Computacional

Adquisicin

La adquisicin no es considerada una fase estndar en el ciclo de vida de desarrollo de una aplicacin, sin embargo es una alternativa vlida que tiene la empresa y considera:

El estudio de factibilidad debe contener la documentacin que respalde la decisin de adquirir el software; Constituir un equipo de proyecto de adquisicin, con personal tcnico y usuarios para redactar una solicitud de propuesta la que es enviada a los vendedores para determinar la mejor solucin de acuerdo a la relacin precio/calidad; Analizar las propuestas (se considerar visitas a terreno) a clientes que usan la solucin; Negociar y firmar el contrato.
Auditoria Computacional

Adquisicin

Respeto a la etapa de adquisicin, el rea de TI ofrece apoyo a la administracin de la empresa y usuarios efectuando:
1. Identificacin de los posibles proveedores. 2. Establecer contacto con los proveedores identificados 3. Evaluar alternativas. 4. Evaluacin de Inversin 5. Asesorar en la implementacin de las soluciones.

Considera el poblamiento de las BD, capacitacin y soporte de usuarios.

6. Evaluacin posterior a la compra del Software seleccionado

Auditoria Computacional

Desarrollo
La fase de desarrollo de soluciones de TI es aplicable en aquellas organizaciones que disponen de un rea informtica con un equipo de analistas, programadores, verificadores de calidad, polticas, procedimientos y recursos correspondientes.
Ambiente de Desarrollo Ambiente de Pruebas Ambiente de Produccin
Programas Ejecutables

Compilacin Programas Fuentes v2 Programas Fuentes Programas Fuentes v2 Prueba.exe

VB

OK?

SI

NO El usuario No est CONFORME

Custodia de Fuentes

Auditoria Computacional

Pruebas
La creacin del nuevo sistema o la versin modificada del existente es extrada del ambiente de custodia y trasladada al ambiente de pruebas, lo compila y deja disponible el programa ejecutable junto con un set de datos de pruebas con la finalidad de que usuarios apoyados por un responsable de control de calidad de sistemas jueguen con los sistemas para detectar posibles falencias y solucionables, si esto ocurre el usuario no da su conformidad al sistema y se notifica a los desarrolladores para efectuar las modificaciones pertinentes repitiendo las sub-etapas anteriores y su ciclo relacionado. Este proceso se repite hasta que el usuario otorgue su conformidad al sistema de acuerdo a sus necesidades

Auditoria Computacional

Implementacin
El sistema se traspasa al ambiente de produccin para que preste los servicios a los que fue destinado. Una copia de esta versin final es enviada al responsable de custodia el cual adems de resguardarla llevar un control de las versiones.

Mantenimiento
Los sistemas se ven afectados por la obsolescencia, esto es, las funcionalidades no cumplen a cabalidad o satisfacer los requerimientos del usuario por lo cual es necesario que permanentemente se estn actualizando, ya sea sistemas desarrollados internamente o adquiridos a un proveedor externo. En este caso se considera una modificacin y se siguen los pasos descritos en modificacin.

Auditoria Computacional

Administracin de contratos con terceros

Durante los ltimos aos para las empresas se les ha convertido en un problema llevar por s mismas el servicio de soporte de su infraestructura de TI debido a los constantes cambios tecnolgicos, cada da salen al mercado nuevos productos y el personal del rea de sistemas requiere ser capacitado constantemente para adaptarse a estos cambios.
Por esta razn la tendencia de las organizaciones es dejar que el servicio de tecnologa de la informacin lo preste un tercero, es decir, una compaa proveedora de tecnologa que para ello cuenta con personal tcnico certificado en las distintas marcas que garantiza a sus clientes un servicio de calidad a menor costo de lo que podra representar a la empresa mantenerlo por s misma.
Auditoria Computacional

Administracin de contratos con terceros

No hay duda que hoy el factor de servicio especializado en TI se ha convertido en un diferenciador entre un producto de TI y otro, al momento que una empresa decide comprar una plataforma tecnolgica, pues segn los expertos las empresas desarrolladoras de tecnologa ofrecen prcticamente las mismas herramientas y es precisamente el servicio en TI lo que ahora tiene un mayor valor, pues anteriormente se enfocaban ms en buscar el mejor precio. El rea de TI representa a la organizacin frente al proveedor o prestador externo de los servicios actuando como administrador de contratos.
Auditoria Computacional

Evaluacin de Proveedores
Nuevas Tendencias: Cumplimiento Seccin 404 ley SOX
El uso de una Organizacin de Servicios (OS), no reduce la responsabilidad de la administracin para mantener un efectivo control interno.

Contrata servicios

OU

OS
Organizacin de Servicios Ej.: Empresa XXX

Organizacin Usuaria Ej.: Banco

13
Auditoria Computacional

Evaluacin de Proveedores
PCAOB Organizaciones de Servicio
Cuando los servicios de la OS forman parte del Control Interno de la OU sobre la informacin financiera que se reporta, la OU debe considerar las actividades realizadas por la OS. La OU y su auditor deben ejecutar los siguientes procedimientos sobre los procesos de la OS:

Obtener un entendimiento detallado de los controles: en la OU sobre las actividades de la OS, en la OS, que son relevantes para su control interno.

Obtener evidencia que los controles se encuentran operando efectivamente:

en la OU, sobre las actividades de la OS,

en la OS, a travs de la realizacin de pruebas.

Una forma de cubrir los requerimientos que caen sobre la OS, es la obtencin del SAS 70, un Reporte del Auditor de la OS sobre los controles puestos en operacin y pruebas de su efectividad operacional (B18-B24 del PCAOB confirma que el SAS70 es un formato aceptable. 14
Auditoria Computacional

Evaluacin de Proveedores Qu es un Reporte SAS 70?

Statement on Auditing Standards (SAS) No.70, Services Organizations
Desarrollado por la American Institute of Certified Public Accountants (AICPA). Provee informacin a las OU y a sus auditores, para asistirlos en la evaluacin del sistema de control interno relacionados con los servicios de la OS.

Se pronuncia sobre los 5 componentes del control interno asociados a los procesos de servicios a terceros (excluye los estados financieros de la Organizacin de Servicios):
Entorno de Control Proceso de Evaluacin de Riesgo Informacin y Comunicacin Actividades de Control Monitoreo

Existen dos tipos de reporte, llamados Tipo I y Tipo II. 15

Auditoria Computacional

Evaluacin de Proveedores
Contenido de Reportes SAS 70
Tipo I:
Descripcin de los procesos y servicios que ofrece la Organizacin de Servicios. Descripcin del ambiente de control interno, control en las aplicaciones, controles generales de tecnologa y del entorno. Descripcin detallada de los controles especficos, polticas y procedimientos existentes a la fecha. Una opinin del auditor externo a una fecha especfica sobre la efectividad y aplicacin del diseo del Control Interno (no de su operacin). Informacin adicional provista por la Organizacin de Servicios (opcional: temas que no son de control pero relevantes, como Planes de Contingencia, inversiones tecnolgicas, otros).

Tipo II, contiene adicionalmente:

Descripcin de las pruebas, revisiones o actividades de inspeccin a aplicar a estos controles especficos, polticas y procedimientos, para constatar su efectiva operacin. Resultados de estas pruebas, revisiones o inspeccin y eventualmente los planes de accin de la Organizacin para enmendar desviaciones detectadas o recomendaciones de mejora. Una opinin del auditor sobre la efectividad, cumplimiento y aplicacin del Control Interno diseado a lo largo de un perodo de tiempo (mnimo seis meses).

16
Auditoria Computacional

Evaluacin de Proveedores
Ejemplo de Procesos a cubrir en el SAS 70 de Cliente
Controles Generales de TI
Organizacin y administracin Desarrollo, mantencin y documentacin de aplicaciones Control de cambios Acceso fsico y controles ambientales Acceso Lgico Explotacin y respaldos

Telecomunicaciones

Sistemas de Procesamiento de Tarjetas Bancarias

Recepcin y autorizacin de transacciones Captura de transacciones Procesamiento de transacciones de tarjetas de dbito Procesamiento de transacciones de tarjetas de crdito Abono y liquidacin e Establecimientos Comerciales Liquidacin de comisiones de Establecimientos Comerciales a Emisores Facturacin a Emisores

17
Auditoria Computacional

Evaluacin de Proveedores
Diferencias de Escenarios de Auditoras
Auditor de Servicios
Desarrollo de SAS 70

OS
OU OU
OU OU OU OU OU

OS
SAS 70

OU OU

OU

Evita que la OS reciba mltiples requerimientos de auditora por parte de los distintos clientes en forma paralela. Genera sinergias, reduciendo significativamente los esfuerzos y recursos por parte de la OS.
18
Auditoria Computacional

Etapas del proceso del SAS 70

SAS 70 Ao 2005
Ene A Feb B Mar Abr May Jun C Jul Ago Sept Oct D Nov E Dic

A.

Definicin y aprobacin del alcance de servicios a cubrir por parte de las OU y los objetivos de control correspondientes. Preparacin y documentacin de declaraciones: objetivos de control y descripcin de controles especficos. Perodo de pruebas de los controles y obtencin de evidencia, bajo la revisin del Reporte SAS 70. Desarrollo del Reporte SAS 70. Entrega del Reporte Final SAS 70 con la opinin de los auditores independientes:
Reporte sobre los controles puestos en operacin y pruebas de efectividad operacional de los Sistemas de Procesamiento de Tarjetas Bancarias

B.

C.

D. E.

Para el perodo del 1 de Abril 2005 al 30 de Septiembre de 2005.

19
Auditoria Computacional

Materias a acordar
Cada OU (con su auditor) debe evaluar cmo el SAS 70 a emitir por el cliente y se ajusta y adecua con su estrategia de cumplimiento de la 404, y si el reporte provee suficiente evidencia para soportar su Evaluacin del Control Interno:

Alcance del Reporte: procesos / servicios, aplicaciones a cubrir.

Lista de objetivos de control para cada proceso, servicio y/o aplicacin.

Perodo de tiempo cubierto en las pruebas de controles.

Enero, 2005

20
Auditoria Computacional

Asegurar Continuidad de los Servicios

Corresponde a uno de los principales servicios del rea de TI y tambin a uno de los principales objetivos de control interno informtico. Consiste en asegurar la disponibilidad, confidencialidad e integridad de la informacin. Entre las actividades comprendidas en este servicio se encuentran: Requisitos de seguridad para los activos: Definir todos los componentes de la infraestructura de la organizacin que requieran algn grado de proteccin, Anlisis de amenazas: elaborar una lista con las ms comunes en el entorno. Identificacin de exposiciones: La identificacin y definicin del valor de prdida potencial de cada exposicin Evaluacin de vulnerabilidad: Elaborar una lista completa de todas las vulnerabilidades existentes.

Auditoria Computacional

Asegurar Continuidad de los Servicios

Desarrollo

de contramedidas: rentable para proteger los activos de la organizacin. Pruebas de penetracin: Utilizar las pruebas para identificar las diferentes maneras en que un individuo no autorizado puede tener acceso a la organizacin. Respuesta a incidencias: Un buen plan de respuesta a incidencias detalla los procedimientos especficos que se deben seguir. Alcance de las tareas para asegurar los activos: Definir la cantidad total de trabajo, incluso el tiempo, el esfuerzo y el dinero necesarios para ofrecer la seguridad suficiente y para mantener la infraestructura desde el punto de vista del soporte y usuario final.

Auditoria Computacional

Administrar el desempeo y capacidad

La administracin de servicios de TI se preocupa por la entrega y soporte de servicios cuidando las necesidades de la organizacin. Una de la preocupaciones es poder dar una seguridad a la organizacin de que pueda seguir su continuidad sin verse alterada en su desarrollo diario. La medicin de la calidad del rea de TI no es un evento sino un proceso continuo y un estado mental. Se recomienda la utilizacin de los principios del crculo de calidad para efectuar este proceso en forma efectiva. Cuando se define el proyecto, el grupo de trabajo debe entender los trminos de calidad de la informacin impuesto por el cliente y estar consignados en un plan de trabajo que tenga como objetivo proveer un servicio de calidad dentro de las reas de TI.

Por ejemplo, en la entrega de software, se sabe que es difcil que est completamente libre de fallas, por lo que se puede definir que se da por aceptado con fallas de forma, ms no de fondo.
Auditoria Computacional

Capacitacin de usuarios

En una gran medida en las empresas quienes deciden cuando de debe capacitar al usuario de TI es la Gerencia de TI ahora si en algn caso la organizacin ve que nuestra capacitacin esta sobrepasando los costos estimados que tenan en dicha inversin es el Gerente General o Subgerente General es quien toma las decisiones ligadas a TI. En la adquisicin, desarrollo y/o manutencin de los sistemas, los usuarios deben ser capacitados en las funcionalidades incluidas en estas soluciones de TI con la finalidad de maximizar los beneficios de la inversin realizada

Auditoria Computacional

Administracin del hardware e instalaciones

El rea informtica es responsable de controlar, resguardar y mantener el hardware, las redes y las instalaciones relacionadas con la gestin de TI. Por lo tanto debe apoyar a la empresa en los procesos de adquisicin mantenimiento cambio en custodia de estos recursos, especficamente controlando las condiciones ambientales de acceso fsico y acceso lgico

Auditoria Computacional

Control de licenciamiento
El rea de TI esta encargada de materializar el cumplimiento de las normativas que protegen la propiedad intelectual de los proveedores de soluciones de TI. Para ello es responsable de establecer un proceso continuo de control sobre las licencias instaladas en sus plata formas. Este proceso incluye actividades tales como:

Redaccin, publicacin y manutencin de polticas y procedimientos relacionados a la instalacin de software Control permanente de las versiones adquiridas, instaladas y obsoletas de software Establecer controles preventivos, defectivos y correctivo en caso de vulnerar los derechos de autor Fomentar la acreditacin de entes externos relacionados a control de licenciamiento.

Auditoria Computacional

Orientaciones para auditor informtico

Asegurar que el auditor de TI pueda evaluar la metodologa y los procesos por medio de los cuales se abordan el desarrollo, la adquisicin, la implementacin y el mantenimiento de los sistemas de aplicaciones del negocio para asegurar que los mismos satisfagan los objetivos de negocios de la organizacin Diseo y Programacin

Revisar diagramas de flujo del sistema para verificar si se ajusta al diseo general, si se han modificado deben tener las autorizaciones respectivas Revisar los controles de ingreso, procesamiento y salida de datos Entrevistar a usuarios claves para determinar la comprensin y participacin en el proyecto Revisar los resultado de control de calidad del programa Verificar que se hayan efectuado las correcciones de los errores detectados

Auditoria Computacional

Orientaciones para auditor informtico

Etapa de Pruebas
Revisar

el plan de pruebas para verificar si est completo y con evidencias de participacin de usuarios Revisar los reportes errneos Verificar que los controles y seguridad del sistema est funcionando

Implementacin
Verificar

que se hayan obtenido las firmas (autorizaciones) de aprobacin apropiadas antes de la implementacin; Revisar los procedimientos programados para poner en funcionamiento el sistema; Revisar la completitud de la documentacin del sistema; Verificar que la conversin de datos es correcta. Analizar la documentacin a partir del estudio de factibilidad para determinar que la decisin de adquirir una solucin fue apropiadamente documentada y si consider la conveniencia para la empresa; est visado por los abogados de la empresa.
Auditoria Computacional

Orientaciones para auditor informtico

Implementacin
Revisar

las propuestas de los proveedores analizados Determinar si el vendedor seleccionado cumple con los requisitos estipulados en la propuesta; Revisar el contrato del vendedor antes de su firma para asegurarse que incluye puntos de control en beneficio de la empresa; Asegurarse que el contrato est visado por los abogados de la empresa.

Auditoria Computacional

Orientaciones para auditor informtico

Evaluar los procesos de mantenimiento a los sistemas de informacin

Evaluar

si los procedimientos de la organizacin para autorizar, priorizar y rastrear cambios al sistema son los adecuados; Identificar los cambios al sistema y verificar que se haya dado la autorizacin debida conforme a las normas de la organizacin; Revisar la documentacin del programa, para asegurarse que se mantienen instaladas las pistas de auditoria; Determinar si se ha actualizado la documentacin del sistema (tcnica y la de usuario); Evaluar los procedimientos de control de cambios a programas; Evaluar si las restricciones de acceso de seguridad de los mdulos fuentes y los ejecutables en produccin son los adecuadas; Evaluar si los procedimientos para atender los cambios de emergencias a los programas son los adecuados.

Auditoria Computacional

Orientaciones para auditor informtico

Evaluar los procesos de mantenimiento a los sistemas de informacin

Evaluar

si los procedimientos para probar los cambios a los sistemas son los adecuados; Revisar los procedimientos establecidos para asegurar la integridad del cdigo ejecutable y fuente; Revisar los mdulos ejecutables en produccin y verificar que haya una sola versin del fuente del programa.

Auditoria Computacional