Professional Documents
Culture Documents
XIV Concurso Anual de Investigacin de OLACEFs 2011, denominado Auditoria de Gestin a las Tecnologas de Informacin y Comunicaciones.
NDICE
CAPITULO I .................................................................................... 2 GENERALIDADES DE LA INVESTIGACIN ....................................... 2 1. MARCO TERICO ........................................................................... 2 1.1 Titulo de la Investigacin ......................................................... 2 1.2 Definicin del Problema ........................................................... 2 1.3 Objetivos de la Investigacin. ................................................... 2 1.4 Alcance. ................................................................................. 3 1.5 Metodologa de Investigacin utilizada. ...................................... 3 1.6 Antecedentes. ........................................................................ 4 1.7 Definicin de Auditora de Gestin a las TICs. ............................. 4
CAPITULO II ................................................................................... 6 DESARROLLO DE LA INVESTIGACIN ............................................. 6 1. PROCESO DE LA AUDITORA ........................................................... 6 1.1 Objetivo del Manual. ................................................................ 6 1.2 Elaboracin y Organizacin de Papeles de Trabajo Electrnicos. .... 6
de
Gestin
las
Tecnologas
de
Informacin
1.2.1 Informacin mnima deben contener los papeles de trabajo electrnicos................................................................... 7 1.3 Naturaleza de la Documentacin de Auditora. ............................ 9 1.4 Forma, Contenido y Extensin de la Documentacin de Auditora. 10 2. FASES DEL PROCESO DE AUDITORA ............................................. 12 2.1 Objetivos de la Auditoria de Gestin a las Tecnologas de Informacin y Comunicaciones. ............................................. 12 Objetivo General. ................................................................. 12 Objetivos Especficos ............................................................ 12 2.2 Estndares Internacionales que influyen en el proceso de una Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones. ............................................................... 13 Mejores Prcticas ................................................................. 14 2.3 Supervisin en el Proceso de una Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones..................16
CAPITULO III ............................................................................... 16 DE LA PLANIFICACIN ................................................................. 18 1. Conocimiento de la Entidad y Entorno del rea de Tecnologa de Informacin y Comunicacin. ....................................................... 16 1.1 Organizacin de rea TIC. ...................................................... 17
de
Gestin
las
Tecnologas
de
Informacin
1.2 Infraestructura Tecnolgica de la entidad auditada. ................... 18 1.3 Plan Maestro de tecnologa de informacin y comunicaciones...... 19 1.4 Planes Operativos ................................................................. 20 1.5 Planes de Continuidad ........................................................... 21 1.6 Planes de Mantenimiento. ...................................................... 21 1.7 Presupuesto Tecnolgico. ....................................................... 22 1.8 Planificacin de TACCs. .......................................................... 22 2. Seguimiento a Recomendaciones de Auditoras Anteriores. ............... 23 3. Anlisis, Evaluacin e Incorporacin de Hallazgos de Auditora elaborados por la Unidad de Auditora Interna y Firmas Externas de Auditora..24 4. Plan de Trabajo de Auditoria TICs. ............................................... 25 5. Anlisis Previo. ............................................................................ 26 5.1 reas preliminares a examinar. ............................................... 26 5.1.1 Organizacin y Planificacin de TI .................................... 26 5.1.2 Procesamiento Electrnico de Datos ................................. 27 5.1.3 Evaluacin de los Sistemas. ............................................ 29 5.1.4 Controles de Sistema en Desarrollo y Produccin............... 29 5.1.5 Evaluacin de los equipos ............................................... 31 5.1.6 Evaluacin de la Seguridad de la Informacin. .................. 33
de
Gestin
las
Tecnologas
de
Informacin
5.2 Indicadores de Gestin (Eficiencia, Eficacia, Efectividad y Economa) aplicados al rea de Tecnologa de Informacin y Comunicaciones ........................................................................................... 34 5.3 Evaluacin de Riesgos Tecnolgicos. ......................................... 36 5.4 Evaluacin de Control Interno Tecnolgico. ................................ 38 5.5 Normativa Tcnica de Control Interno y Fuentes de Informacin. .. 41 5.6 Comunicacin de Asuntos de Importancia Relativa de TICs. .................................................................. 42 5.7 Informe Ejecutivo de Anlisis Previo. ......................................... 43 6. Conclusiones y Recomendaciones...46
CAPITULO IV ................................................................................ 47 DE EJECUCIN .............................................................................. 47 1. Pruebas de Auditora asistidas por Computadora. ............................. 47 1.1 Pasos para desarrollar una TAAC. ............................................. 48 1.2 Seguridad de datos y Tcnicas de Auditora Asistidas por Computadora. ....................................................................... 48 2. Evaluacin y recoleccin de Evidencia............................................. 49 3. Cumplimiento de Polticas y procedimientos. ................................... 51 4. Carta de Salvaguarda. .................................................................. 52
de
Gestin
las
Tecnologas
de
Informacin
CAPITULO V .................................................................................. 52 DE INFORME ................................................................................. 52 1. Resultados Preliminares de Auditora (Informe Previo). ..................... 52 2. Carta de Gerencia de Asuntos de Importancia Relativa. .................... 53 3. Informe de Auditora. .................................................................. 54
II. CONCLUSIONES ....................................................................... 57 III. APLICABILIDAD EN EL CAMPO DEL CONTROL GUBERNAMENTAL. ................................................................... 58 IV. BIBLIOGRAFA ........................................................................ 59 V. ANEXOS .................................................................................... 60 ANEXO 1 Formato de Papeles de Trabajo .................................................... 61 ANEXO 2 ............................................................................................ Criterios Tcnicos del rea de Tecnologas de la Informacin y Comunicaciones. ........................................................................ 62
de
Gestin
las
Tecnologas
de
Informacin
RESUMEN EJECUTIVO
El presente manual de auditora de gestin a las tecnologas de informacin y comunicaciones describe procedimientos que los auditores deben utilizar para verificar el uso de los recursos tecnolgicos,
confidencialidad, confiabilidad, integridad, disponibilidad de la informacin procesada por los sistemas de informacin automatizados y apoyo en la automatizacin de los procesos operativos y administrativos de la entidad para llegar a medir los indicadores de gestin de eficiencia, efectividad y economa de las por tecnologas la de informacin y presentar y comunicaciones conclusiones y
implementadas
institucin
recomendaciones oportunas y acertadas que sirvan de gua para corregir las deficiencias que pueden llegar a existir y lograr mejorarlas.
El Captulo I, describe las generalidades de la investigacin como: ttulo de la investigacin, definicin del problema, los objetivos de la
investigacin, el alcance de
auditora de gestin a las tecnologas de informacin y comunicaciones, la metodologa utilizada, los antecedentes de las tecnologas de la
informacin y comunicaciones en las diferentes entidades del sector pblico y municipal que trabajan continuamente con sistemas
informticos.
En el Captulo II Desarrollo de la investigacin, se describen los objetivos del manual, el diseo, preparacin y conservacin de papeles de trabajo y la naturaleza de la documentacin de auditora en formato electrnico en cada ente fiscalizador, adems de los procedimientos que deben desarrollar los auditores en la fase de planificacin de auditora y de
i Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
los estndares internacionales que intervienen en el proceso de una auditora de gestin a las tecnologas de informacin y comunicaciones.
El Captulo III de la Planificacin, describe el desarrollo de una auditora de gestin a las TICs, en la fase de planificacin, obtenindose un entendimiento y comprensin de los aspectos siguientes: entorno de la entidad y del rea de Tecnologa de Informacin, procesos sistematizados, administracin de riesgos, evaluacin de indicadores de gestin, control interno y organizacin del rea de tecnologa de informacin y
comunicaciones, pues dicho conocimiento le brinda un marco conceptual, que le permite evaluar si la organizacin sigue un enfoque estructurado de gestin informtica y si el mismo es adecuado, adems el seguimiento a recomendaciones de auditoras anteriores, la elaboracin de un plan de trabajo de auditora y de la ejecucin de gua de procedimientos de anlisis previo y la elaboracin del informe ejecutivo de anlisis previo que contendr los asuntos de importancia identificados y agrupados por proyectos de las reas vulnerables o de impacto determinados.
En el Captulo IV de la Ejecucin, se describen las pruebas asistidas por computadora que se pueden aplicar para investigacin y la obtencin de evidencia de las causas que originan una debilidad en gestin tecnolgica, la evaluacin y recoleccin de evidencia suficiente y apropiada que permitan emitir las conclusiones acerca de la operatividad de la gestin en tecnologa de informacin y comunicaciones.
El Capitulo V de Informe, describe la estructura que debe de contener un informe de resultados preliminares, la carta de gerencia, que dar a conocer a la administracin todos aquellos asuntos de menor importancia,
ii Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
estos asuntos de menor importancia son riesgos que pueden ser administrados y que a juicio del auditor no son de impacto en la gestin de las tecnologas de la informacin y comunicaciones, al haber garantizado el derecho de defensa a la administracin, analizado las respuestas y comentarios, se emite el informe de auditora que sustenta las
conclusiones del auditor sobre el uso de las tecnologas de informacin y comunicaciones y medicin de los indicadores de gestin de eficiencia, eficacia y economa de la entidad pblica.
INTRODUCCIN
La
creciente
disponibilidad
de
informacin
electrnica
procesos
soportados por recursos informticos y de comunicacin que son capaces de satisfacer las circunstancias tanto funcionales como econmicas, de oportunidad y efectividad de las entidades pblicas, hacen que el auditor se vea en la necesidad de poseer el conocimiento suficiente de los sistemas de informacin por computadora para planear, dirigir, supervisar, y revisar el trabajo a desarrollar. La naturaleza especializada de la auditora de gestin a las tecnologas de la informacin y comunicaciones (TICs), requiere de habilidades y conocimientos tcnicos informticos, para desarrollar este tipo de
auditoras, adems es necesario para el desarrollo de la auditoria, la implementacin de normativa legal y tcnica en el rea de Tecnologa de Informacin y Comunicaciones de la administracin pblica y municipal y promulgacin de normas generales para la auditora a los sistemas de informacin. Para realizar auditora de gestin a las tecnologas de informacin y comunicaciones requiere realizar una adecuada planeacin de la auditora, se debe tener un conocimiento general razonable que permita determinar el alcance, tamao y caractersticas de cada rea de Tecnologa de la Informacin y Comunicacin dentro de la organizacin que se auditar, sus sistemas, procesos sistematizados, normativa tcnica utilizada por la entidad, adopcin e implementacin de estndares internacionales
relacionados con seguridad de la informacin, control interno y servicios tecnolgicos, organizacin y equipo fsico y lgico. 1
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Los Entes Fiscalizadores no poseen una metodologa apropiada a seguir para el desarrollo de auditoras de gestin a las tecnologas de informacin y comunicaciones.
1) Proponer criterios tcnicos tecnolgicos en el desarrollo de auditoras de gestin a las tecnologas de informacin y comunicaciones. 2) Estandarizar una metodologa para el desarrollo de auditoras de gestin a las tecnologas de informacin y comunicaciones. 3) Implementar procedimientos para el desarrollo de las
2
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
1.4 Alcance.
El alcance que tendr la investigacin comprende todo el proceso de auditora de gestin a las tecnologas de informacin y comunicaciones, e incluye las fases de planificacin, ejecucin e informe.
La Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones, comprender un examen a los controles
generales y especficos TICs y procedimientos sustantivos y administrativos de la entidad, apoyados por recursos tecnolgicos, para el cumplimiento de sus objetivos estratgicos y operativos, con el propsito de mejorar la efectividad, eficiencia, economa y confidencialidad de la informacin y la prestacin de los servicios en las entidades pblicas y municipales.
La metodologa de investigacin ser documental, la cual permite elaborar un marco terico conceptual para formar un cuerpo de ideas sobre el tema investigado, incluye el uso de instrumentos definidos segn la fuente documental a que hacen referencia.
Estas fuentes de informacin son los documentos que registran o corroboran el conocimiento inmediato de la investigacin, dentro de los cuales estn: libros, revistas, informes tcnicos, tesis, internet, entre otros. 3
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Elegido el tema de estudio se procede a la recopilacin y lectura bibliogrfica sobre la temtica de inters, la cual permite fortalecer los conocimientos tericos y conceptuales.
La investigacin contar con el ttulo de la investigacin, definicin del problema, los objetivos, el alcance de la investigacin y los antecedentes.
1.6 Antecedentes.
En todas las reas de la gestin pblica y municipal, las tecnologas de informacin y comunicaciones han transformado la manera de prestar los servicios al pblico, optimizando los recursos y volvindose ms productivos, siendo capaces de producir mucho ms, de mejor calidad, invirtiendo mucho menos tiempo.
Las Tecnologas de Informacin y Comunicaciones, tambin conocidas como TIC, son el conjunto de tecnologas desarrolladas para gestionar informacin y enviarla de un lugar a otro. Incluyen las tecnologas para almacenar informacin y recuperarla despus, enviar y recibir informacin de un sitio a otro, o procesar informacin para poder calcular resultados y elaborar informes.
Las Tecnologas de la Informacin y la Comunicacin estn presentes en nuestras vidas y la han transformado. 4
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Esta revolucin ha sido propiciada por la aparicin de la tecnologa digital. La tecnologa digital, unida a la aparicin de ordenadores cada vez ms potentes, ha permitido a la humanidad progresar muy rpidamente en la ciencia y la tcnica desplegando nuestro arma ms poderosa: la informacin y el conocimiento.
La Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones, consiste en el examen de carcter objetivo (independiente), selectivo crtico de (evidencia), las sistemtico normas, (normas) y
(muestral)
polticas,
funciones,
actividades, procesos e informes de una entidad, con el fin de emitir una opinin profesional (imparcial) con respecto a:
eficiencia en el uso de los recursos informticos, validez y oportunidad de la informacin, efectividad de los controles establecidos y la optimizacin de los recursos tecnolgicos.
Este enfoque es totalmente compatible con las prcticas y controles contenidos en COBIT, ITIL, estndares o normativa que relaciona el enfoque COSO, SAC, NIAS, Estndares de Seguridad de la Informacin (ISO 27000) entre otros, que hacen referencia a las pistas de auditora en los sistemas informticos, controles de acceso a los sistemas, bases de datos, reas de Tecnologa de la Informacin y Comunicaciones (TICs) rea de servidores,
deteccin y mitigacin de intrusos, entre otros; estos estndares no proporcionan un criterio legal aplicable si no han sido adoptados por la entidad, pero s procedimientos de auditora para examinar la gestin tecnolgica en las diferentes organizaciones del sector pblico.
1. PROCESO DE LA AUDITORA
Proveer
los
auditores
tecnolgicos
lineamientos
para
la
realizacin de una auditora de gestin a las tecnologas de informacin y comunicaciones que coadyuven a la buena gestin de la disponibilidad de los servicios sistematizados prestado a la poblacin en general, con el uso de la tecnologa proporcionando seguridad, disponibilidad, confiabilidad y oportunidad de la
Organizacin
de
Papeles
de
Trabajo
Cada
ente
pblico
disear
implementar
formatos
para
El auditor deber preparar y conservar los papeles de trabajo adecuados, los cuales le ayudan en la planeacin, desempeo, supervisin y revisin de la auditora, y registran la evidencia obtenida para apoyar la opinin de auditora.
La documentacin de auditora es conocida tambin como: "papeles de trabajo. Y se refiere al registro de los
procedimientos desarrollados en la auditora, es decir, la evidencia ms relevante obtenida en el transcurso de la misma; incluyendo las conclusiones a las que lleg el auditor.
1.2.1 Informacin mnima que deben contener los papeles de trabajo electrnicos.
Los papeles de trabajo electrnicos que elaborarn los auditores de sistemas informticos sern en forma
electrnica y deben ser completos, de tal forman que muestren: la informacin y los hechos concretos, el alcance del trabajo efectuado, las fuentes de la informacin obtenida y las conclusiones respectivas. ANEXO 1.
Como anteriormente se mencion, la forma de documentar la evidencia va a depender del auditor, pero hay que tomar 7
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
en cuenta, las leyes que rigen cada pas para presentar la documentacin en forma electrnica o fsica.
A efecto de clasificar y organizar el archivo corriente y permanente de los papeles de trabajo originados en la auditora de gestin a las TICs, a continuacin se presenta un ejemplo de cmo realizarlo:
la entidad
Manual de Manual de Funciones
y software
Sistemas operativos
organizacin
Manual de Descripcin Bases de datos
de Puestos
Polticas y Aplicaciones
procedimientos TICs
Contratos
de
de Planes de contingencia
nombramiento
Instructivos Formularios Diagrama de Red
8
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Marco Legal
Percepcin de usuarios
Niveles de seguridad
Funcionamiento
Planes de contingencia
La documentacin de la auditoria puede hacerse en papel, medios electrnicos, u otros medios. Para este caso el medio ser electrnico y documental respecto a la evidencia de respaldo sobre las deficiencias encontradas por el auditor, la cual debe de estar impresa (Fsico) y con la suficiente seguridad razonable que es la 9
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
autorizada y proporcionada por el servidor pblico auditado, mientras no se tenga una legislacin que avale la documentacin en formato electrnico.
La documentacin de auditora debe ser preparada y archivada de tal manera que si en determinado momento otro auditor con experiencia necesite tener acceso a ella por cualquier motivo, pueda entender: la naturaleza, oportunidad y extensin de los procedimientos de auditora desempeados; los resultados y la evidencia de auditora obtenida, as como las conclusiones
Los papeles de trabajo deben ser preparados lo suficientemente completos y detallados con el fin de que haya una mejor comprensin de la auditora. Las Normas de Auditora de la Organizacin Internacional de Entidades Fiscalizadoras (INTOSAI), en los acpites 153 a 158, destacan la importancia de la documentacin del trabajo de auditora, resaltamos lo sealado en los acpites 156 y 158: 156. Los auditores deben justificar documentalmente, de manera adecuada, todos los hechos relativos a la fiscalizacin, incluso los antecedentes, y la extensin de la planeacin, del trabajo realizado y de los hechos puestos de manifiesto.; 158. El auditor debe tener en cuenta que el contenido y la disposicin de los 10
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
documentos
de
trabajo
reflejan
su
grado
de
preparacin,
experiencia y conocimiento. Los documentos de trabajo deben ser lo suficientemente completos y detallados como para permitir a un auditor experimentado, que no haya tenido previa relacin con la auditora, descubrir a travs de ellos el trabajo realizado para fundamentar las conclusiones.
P L A N I F I C A C I N
EJECUCIN
INFORME
INFORME DE AUDITORIA
11
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Objetivo General.
El objetivo de la auditora de gestin a las tecnologas de informacin y comunicaciones es evaluar la eficiencia, economa, efectividad y confiabilidad de la informacin, para la toma de decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
Objetivos Especficos.
Asegurar
la
integridad,
confidencialidad,
confiabilidad
oportunidad de la informacin. Seguridad de los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de tecnologa de informacin en los procesos sistematizados. Conocer la situacin actual del rea informtica para el logro de objetivos estratgicos y operativos de la institucin. Apoyo de funcin del rea de tecnologa de informacin y comunicaciones a las metas y objetivos de la organizacin. seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente tecnolgico. 12
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Incrementar la satisfaccin de los usuarios que reciben los servicios sistematizados. Buscar una mejor relacin costo-beneficio de los sistemas automatizados.
2.2 Estndares Internacionales que intervienen en el proceso de una Auditora de Gestin a las Tecnologas de
Informacin y Comunicaciones.
El auditor de las tecnologas de informacin y comunicaciones, deber de tener conocimientos de los diferentes estndares que ayudan al control, operacin y administracin de los recursos tecnolgicos, control de inversiones en tecnologa de informacin y comunicaciones a nivel fsico y lgico y procesos documentados de tecnologa de informacin y comunicaciones. Dichos estndares inciden en el proceso de la auditoria, ya que las entidades de gobierno los implementan segn sus necesidades de resguardo, uso y proteccin de la informacin, que es un activo importante dentro de la organizacin para asegurarse que la informacin se encuentre disponible, oportuna y utilizada por los funcionarios autorizados.
Para la realizacin de una auditora de TICS, existen Normas de relacionadas a la Auditora de Sistemas las cuales son emitidas por el Consejo Normativo de la Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems Audit and Control Association ISACA). 13
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Para
documentar
el
proceso
de
auditora,
la
Organizacin
Internacional de Entidades Fiscalizadoras (INTOSAI), ha emitido lineamientos generales que destacan la importancia de
Mejores Prcticas ITIL Esta metodologa es la aproximacin ms globalmente aceptada para la gestin de servicios de tecnologas de
informacin en todo el mundo, ya que es una recopilacin de las mejores prcticas tanto del sector pblico como del sector privado que se apoyan en herramientas de evaluacin e implementacin.
El objetivo de usar ITIL ITIL como metodologa propone el establecimiento de estndares que ayudan al control, operacin y administracin de los recursos. Plantea hacer una revisin y reestructuracin de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una forma mas eficiente de hacer las cosas), lo que nos lleva a una mejora continua. Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentacin pertinente, ya que esta puede ser de gran utilidad para otros miembros del rea, adems de que quedan asentados todos los movimientos realizados, permitiendo que toda los usuarios estn al tanto de los cambios y no se tome a nadie por sorpresa. 14
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
COBIT conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TIC que son necesarias para alinear TIC con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el
cumplimiento de metas y el nivel de madurez de los procesos de la organizacin y tiene como propsito "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad),
actualizados, e internacionales para el uso continuo de los gestores de negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus sistemas de informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.
La informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha 15
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin.
2.3 Supervisin en el Proceso de una Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones.
Los
entes
fiscalizadores
debern contar
con procedimientos
autorizados para efectuar la supervisin y control de calidad del proceso de auditora que incluya las fases de planificacin, ejecucin e informe, con el objetivo de identificar y corregir errores en el proceso y agregar valor a los resultados que debern presentarse a la entidad auditada. La supervisin puede ser conducida por funcionarios
independientes al equipo de auditora instalado en la entidad auditada, a efecto de recomendar mejoras objetivas e imparciales, acertadas, oportunas y que brinden calidad al proceso de auditora, logrndose cumplir con las expectativas del ente auditado. CAPITULO III DE LA PLANIFICACIN
Para el desarrollo de una auditora de gestin a las TICs, es muy importante que el auditor, conozca el entorno de la entidad y del rea de Tecnologa de la Informacin, procesos sistematizados, organizacin 16
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
del rea de tecnologa de informacin y comunicaciones, planes estratgicos de TIC, planes operativos, planes de contingencia y/o continuidad del negocio relacionado con la tecnologa de la informacin, planes de mantenimiento preventivo y correctivo de la plataforma tecnolgica con la que cuenta la entidad, de manera que le permita una adecuada planificacin de su trabajo, pues ese conocimiento le brinda un marco conceptual, que le permite evaluar si la organizacin sigue un enfoque estructurado de gestin informtica y si el mismo es adecuado.
1.1 Organizacin de rea TIC. El auditor debe de conocer, comprender y analizar la arquitectura organizacional de la Entidad de manera general, identificando las ideas rectoras, organizacin, instrumentos administrativos,
recursos humanos (principales funcionarios), productos y servicios de la entidad, as como la relacin que mantiene con otras organizaciones y del conocimiento de la funcin del rea de Tecnologa de Informacin y Comunicaciones principalmente en aspectos como: Arquitectura Organizacional, Ideas Rectoras, Objetivos y metas operativas, Instrumentos Administrativos, Organizacin y funcin, Procesos, Productos y/o Servicios,
Insumos y el entorno de la funcin de Tecnologa de Informacin y Comunicaciones (clientes), aplicando procedimientos generales tales como: Revisar y evaluar si la funcin de TIC est alineada con la misin, visin, valores, objetivos y estrategias de la 17
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
organizacin y deber revisar el desempeo esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento. Revisar y evaluar la eficacia de los recursos de TIC y el desempeo de los procesos administrativos. Se debe utilizar un enfoque basado en riesgos para evaluar la funcin de TIC. Se deber revisar y evaluar el ambiente de control de la organizacin. Se deber de revisar las reas fsicas de TICs, con el propsito si est en condiciones para la operatividad de las Tecnologas de la Informacin y Comunicaciones. Se deber de revisar las funciones de cada uno de los tcnicos para comprobar si estos para cuentan realizar con su herramientas trabajo y de y la
condiciones
necesarias
optimizacin de los recursos tecnolgicos. Se deber de verificar y analizar el Manual de funciones sea aplicable y acorde a la realidad de las funciones desarrolladas por el capital humano del rea de Tecnologa de Informacin y Comunicaciones.
1.2 Infraestructura Tecnolgica de la entidad auditada. El auditor debe conocer, comprender y analizar de forma general la Gestin en Tecnologa de la Informacin, la infraestructura o plataforma tecnolgica y los sistemas de informacin aplicados a la entidad, tales como: Granja de Servidores y sus caractersticas Seguridad Perimetral 18
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Estructura de redes Sistemas Operativos Software y hardware de seguridad El inventario de Hardware y Software con el propsito de establecer el nivel de obsolescencia o actualizacin. Servicios tercerizados contratados por la entidad y vinculados con la tecnologa de la informacin y comunicaciones. Adquisiciones (Inversiones) en recursos de Tecnologa de la informacin. Infraestructura elctrica, entre otras. Sistemas de Informacin (Aplicaciones) Procesos y/o funciones (sustantivos, apoyo y administrativos) de la entidad, que estn soportados con tecnologa de informacin y comunicaciones. La Administracin de Sistemas y Bases de Datos. Adopcin de Metodologas de Anlisis y desarrollo de Sistemas. Lenguajes de programacin Aplicaciones en produccin y desarrollo Gestores de bases de datos.
1.3 Plan
Maestro
de
tecnologa
de
informacin
comunicaciones. Como producto del proceso de gestin, el rea de tecnologa de informacin y comunicaciones debe elaborar un plan maestro, definido como un documento a largo plazo que contenga la estrategia de proyectos de modernizacin de los procesos 19
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
institucionales a travs de los recursos tecnolgicos, con el objetivo de brindar con calidad el servicio ofrecido a los usuarios (Clientes) de la entidad, entre los aspectos mnimos que
conforman dicho plan se encuentran los siguientes: Objetivos estratgicos institucionales Misin Visin Acciones estratgicas Procesos que sern automatizados Usuarios que intervienen en el proceso Recursos humanos, materiales, financieros y tcnicos Cronograma de implementacin de proyectos
1.4 Planes Operativos Los planes operativos son un instrumento de control a corto plazo que el auditor debe revisar, y que stos contengan el desgloce de las actividades y acciones a desarrollar que conforman cada lnea estratgica del plan maestro, plasmndose lo siguiente: Objetivo general Objetivos especficos Lneas estratgicas y acciones a corto plazo Responsables de los proyectos a desarrollar. Recursos humanos, materiales, financieros y tcnicos Cronogramas de actividades a desarrollar en el periodo.
20
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
1.5 Planes de Continuidad Es un conjunto de tareas que el rea de TIC debe realizar en caso de fallas en los sistemas impidan el normal funcionamiento de los servicios TIC, el fin es recuperar a la brevedad las operaciones de la organizacin.
El auditor debe conocer y analizar el plan de contingencia implementado por la entidad para poder auditarlo, con el propsito de determinar el grado de efectividad y eficiencia para brindar continuidad en los servicios de TIC y minimizar la probabilidad y el impacto de interrupciones en los servicios, funciones y procesos claves del negocio.
Adems se debe de conocer y comprender que el rea de TICs ha requerido procedimientos para los planes de contingencia de servicios tecnolgicos y de comunicaciones contratados con terceros con el propsito garantizar la continuidad del negocio, alinear los procesos de recuperacin y determinar el impacto de la contingencia; para esto deber de realizar con los proveedores pruebas de contingencia para determinar la veracidad del plan presentado.
mantenimiento de la Infraestructura o plataforma Tecnologa (hardware y software) implementado por el rea de TIC, con el objetivo de verificar que la plataforma tecnolgica garantice un 21
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
1.7 Presupuesto Tecnolgico. El auditor debe revisar que las inversiones en recursos
tecnolgicos hechas por las entidades del sector pblico, han contribuido a maximizar el desempeo de la organizacin y si stas fueron administradas adecuadamente.
El rea de Tecnologa de Informacin y Comunicaciones debe concentrar un presupuesto tecnolgico institucional que considere todas las necesidades de (hardware y software), para lo que, el auditor debe verificar que toda contratacin se incluya y se autorice en el plan anual de compras.
El auditor con base a este plan debe evaluar el proceso de contratacin, priorizando en el cumplimiento de las
especificaciones tcnicas, recepcin del bien o servicio y utilidad de los mismos de acuerdo a las necesidades requeridas por las unidades solicitantes.
1.8 Planificacin de TAACs. Se debe evaluar una combinacin apropiada de tcnicas manuales y TAACs. Al determinar que se utilizarn Tcnicas de Auditora Asistidas por Computadora, debe considerarse lo siguiente: Conocimientos de computadoras, destreza y experiencia del auditor de TICs. 22
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Eficiencia y efectividad para el uso de las Tcnicas de Auditora Asistidas por Computadora y tcnicas manuales. Nivel de riesgo de auditora.
El auditor de TICs deber obtener informes de auditoras anteriores relacionadas con la gestin de las tecnologas de informacin y comunicacin con el propsito de efectuar el seguimiento al
cumplimiento de recomendaciones. En este caso, el auditor solicitar a los funcionarios actuantes para los comentarios el y las acciones de las
implementadas
comprobar
cumplimiento
recomendaciones y la evidencia que las respaldan, y se analizar para establecer una base de estos y el grado de cumplimiento de las referidas recomendaciones.
El auditor al comprobar que las recomendaciones se encuentran cumplidas, comunicar por escrito los resultados del seguimiento a los funcionarios involucrados con el cumplimiento, hacindoles mencin que se han implementado acciones tendientes al mejoramiento del control interno o de la gestin tecnolgica en la entidad y deber incluir en el informe final de auditora un prrafo estableciendo que la entidad cumpli con las recomendaciones plasmadas en el informe de auditora anterior.
En el caso que al realizar el anlisis de las acciones implementadas en la entidad, stas no son suficientes para cumplir con las 23
y
de
Gestin
las
Tecnologas
de
Informacin
recomendaciones hechas en el informe auditoria anterior, se deber de desarrollar un asunto de importancia relativa, que deber incluirse en el informe final de auditora, en un apartado donde se haga referencia a los resultados sobre el seguimiento a las recomendaciones de la auditora anterior; detallando lo siguiente: a) Identificacin. Har referencia al informe y perodo auditado al que se le est efectuando seguimiento. b) Condicin. Incluir la situacin encontrada en la auditora anterior. c) Recomendacin. Incluir la recomendacin planteada en la auditora anterior. d) Comentarios de la administracin. Debe describir la situacin actual de las acciones tomadas por la administracin, para cumplir con la recomendacin. e) Grado de cumplimiento Debe indicarse el grado de cumplimiento actual.
3. Anlisis, Evaluacin e Incorporacin de Hallazgos de Auditora elaborados por la Unidad de Auditora Interna y Firmas Externas de Auditora.
El auditor debe obtener de la entidad auditada los informes y papeles de trabajo de auditora de tecnologas de informacin y comunicaciones emitidos por la Unidad de Auditora Interna y las Firmas Externas de Auditora, con el objetivo de analizar y evaluar los hallazgos con los respectivos atributos, su impacto, importancia relativa y la evidencia 24
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
de soporte, y as determinar los hallazgos que sern incorporados en el informe de auditora. El proceso de anlisis y evaluacin deber plasmarse en papeles de trabajo que elaborar el auditor informtico.
Despus que los auditores han conocido la entidad y el rea de tecnologa de informacin y comunicaciones e identificado posibles asuntos de importancia (lneas preliminares a examinar) que hayan llamado la atencin, se listan y se agruparn por proyectos, deber de incluir su conocimiento y anlisis en un documento metodolgico que evidencia la estrategia y alcance de la auditora, el contenido se describe a continuacin: Antecedentes la entidad y el rea TIC Organigrama de TIC Objetivos general y especficos de TIC Naturaleza y alcance de la auditoria Estrategia de la auditora Enfoque de la auditoria Fundamento de la auditora Agrupacin de Asuntos de Importancia y Determinacin de
Proyectos a Examinar en la Fase de Anlisis Previo. Leyes aplicables al proceso de la auditoria Recursos (humanos, materiales y tcnicos) del equipo de auditoria Cronograma de trabajo Programa de auditora para iniciar la etapa de anlisis previo. 25
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
5. Anlisis Previo.
Como resultado de los procedimientos aplicados al conocimiento y comprensin del rea de Tecnologa de Informacin y Comunicacin y de la Plataforma Tecnolgica de la entidad, se elaborarn programas de auditora dirigidos a examinar lo que a criterio del equipo de auditora les llam la atencin, para dirigir de forma adecuada los procedimientos que desarrollarn los objetivos de la auditoria.
El auditor debe de realizar una evaluacin y anlisis de la estructura organizativa y la planificacin del rea de TIC, con el propsito obtener una definicin clara de las funciones, lneas de autoridad y responsabilidad de las diferentes unidades que conforman el rea de Tecnologa de Informacin y
Comunicaciones, adems se debe analizar si es recomendable la ubicacin actual dentro del organigrama institucional o amerite que el rea de tecnologa de informacin y comunicaciones debe estar al ms alto nivel de la pirmide administrativa para cumplimiento de sus objetivos y cuente con el apoyo necesario de la mxima autoridad.
El auditor debe de constatar y analizar que el rea de TIC ha implementado y est cumpliendo con los controles siguientes: Se debe evitar que una misma persona tenga el control de toda una operacin. 26
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Las
funciones
de
operacin,
programacin
diseo
de
sistemas deben estar claramente delimitadas. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas. Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente definidos por escrito. Las instrucciones deben impartirse por escrito.
5.1.2 Procesamiento Electrnico de Datos. Los auditores debern revisar los controles en las operaciones del procesamiento electrnico de datos en los siguientes aspectos: 1.- Revisin de controles en el equipo. Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado
peridicamente. 2.- Revisin de programas de operacin. Se verificar que el cronograma de actividades para procesar los datos, asegure la utilizacin efectiva del computador. 3.- Revisin de controles ambientales.
27
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Se hace para verificar si los equipos tienen un ambiente fsico adecuado, es decir si se cuenta con aire acondicionado, fuentes de energa continua, extintores de incendios, etc. 4.- Revisin del plan de mantenimiento. Se verificar que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. 5.- Revisin del sistema de administracin de archivos. Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estn
respaldados, as como asegurar que el uso que le dan es el autorizado. 6.- Revisin del plan de contingencias. En esta seccin se verificar si el plan de contingencia es apropiado para garantizar la continuidad del negocio, las operaciones y la recuperacin de informacin ante
contingencias humanas o naturales que puedan poner en peligro las operaciones, prdida de informacin, infecciones de virus entre otras, el cual debe de contener como requisitos mnimos los siguientes: Considera requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperacin de todos los servicios crticos de TI. Cubre los lineamientos de uso, los roles y
Considera los requerimientos de respuesta y recuperacin para diferentes niveles de prioridad, por ejemplo, de una a cuatro horas, de cuatro a 24 horas, ms de 24 horas y para periodos crticos de operacin del negocio. Se ha centrado la atencin en los puntos determinados como los ms crticos en el plan de continuidad para construir resistencia y establecer prioridades en
situaciones de recuperacin. Procedimientos de control de cambios, para asegurar que el plan de continuidad se mantenga actualizado y que refleje de manera contina los requerimientos actuales del negocio.
5.1.3 Evaluacin de los Sistemas Informticos. Evaluacin operacin de los diferentes de sistemas informticos en
(flujo
informacin, organizacin
procedimientos, de archivos,
documentacin,
redundancia,
estndares de programacin, controles, utilizacin de los sistemas). Evaluacin del avance de los sistemas informticos en
desarrollo y congruencia con el diseo general. Seguridad fsica y lgica de los sistemas informticos, su confidencialidad y respaldos.
5.1.4 Controles de Sistema en Desarrollo y Produccin El auditor debe de verificar y asegurarse que el rea de Tecnologa de Informacin y Comunicaciones ha justificado que los sistemas 29
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
informticos adquiridos a terceros y desarrollados internamente han sido la mejor opcin para la entidad y que proporcionen oportuna y efectiva informacin, y se han desarrollado bajo un proceso planificado y se encuentren debidamente documentado.
Procedimientos a seguir: Asegurarse que los usuarios han participado en el diseo e implantacin de los sistemas informticos, pues aportan
conocimiento y experiencia de su rea y esta actividad coadyuva a una mejor cultura tecnolgica en el cambio de los procesos institucionales. Verificar que el rea de auditora interna ha formado parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de huellas de auditora. Evaluar si el desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas del ciclo de vida de desarrollo de sistemas, procedimientos y en general a
normativa escrita y aprobada. Evaluar si cada fase concluida esta aprobada y documentada por los usuarios mediante actas u otros mecanismos, a fin de evitar reclamos posteriores. Constatar si los aplicativos antes de pasar a produccin son probados con datos que agoten todas las excepciones posibles. Comprobar si todos los sistemas informticos estn
30
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Evaluar
si
han
implantado
procedimientos
de
solicitud,
aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo. Verificar si el sistema informtico es entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos
Para el procesamiento electrnico de datos en los sistemas informticos el auditor debe de considerar: Evaluar la validacin de datos de entrada, procesamiento y salida, este proceso es realizado en forma automtica. Verificar que la preparacin de los datos de entrada sea responsabilidad correccin. Verificar la adopcin de acciones necesaria para correcciones de errores. Evaluacin de la planificacin del mantenimiento del hardware y aplicativos informticos, tomando todas las medidas de seguridad para garantizar la integridad. de los usuarios y consecuentemente su
31
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
El auditor debe de constatar que el rea de la Tecnologa de Informacin y Comunicaciones ha implementado controles tales como:
Controles de Adquisicin El propsito es asegurar que el hardware y software adquirido a terceros proporcione mayores beneficios que cualquier otra
alternativa y garantizar la seleccin adecuada de equipos y sistemas informticos. Procedimientos a seguir: Revisin de un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios informticos incluyendo un estudio costo-beneficio. Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios informticos. Este proceso debe enmarcarse en normas y disposiciones legales. Revisar el respaldo de mantenimiento y asistencia tcnica de los equipos informticos.
Controles en el uso de Computadoras de Escritorio y Porttiles. Es la tarea ms difcil pues son equipos ms vulnerables, de fcil acceso, de fcil explotacin pero los controles que se implementen 32
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
ayudarn a garantizar la integridad y confidencialidad de la informacin. Por lo que, el auditor mediante sus procedimientos de auditora debe asegurase que el rea de tecnologa de informacin ha realizado lo siguiente: Adquisicin de equipos de proteccin como reguladores de voltaje y de ser posible UPS. Vencida la garanta de mantenimiento del proveedor del equipo se debe proporcionar mantenimiento preventivo y correctivo. Establecimiento de procedimientos para la realizacin de respaldos de la informacin. Procedimientos e informes de revisin del software contenido en el computador, para asegurarse que el software instalado cuente con la respectiva licencia de uso. Mantener programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos. Procesos de estandarizacin de sistemas operativos, software de ofimtica, manejadores de base de datos y mantener actualizadas las versiones respectivas.
5.1.6 Evaluacin de la Seguridad de la Informacin. Los equipos informticos son instrumentos que estructuran
grandes cantidades de informacin, la cual puede ser confidencial para la entidad y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta; adems pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de las 33
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
actividades
de
procesamiento
electrnico
de
datos.
Esta
informacin puede ser de suma importancia, y al no contar con ella en el momento preciso puede provocar retrasos sumamente costosos. Al auditar los sistemas informticos, el auditor debe verificar y constatar lo siguiente: Que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de virus. Que se hayan implementado procesos fsicos y lgicos para la proteccin del hardware y datos procesados, as como a las instalaciones de ingreso al rea de procesamiento de datos y servidores. Contemplando las situaciones de incendios,
sabotajes, robos, catstrofes naturales, etc. Implementacin de mecanismos para garantizar la seguridad lgica del software, a la proteccin de los datos e informacin, procesos y programas, as como la restriccin de usuarios no autorizados al acceso de la informacin.
5.2 Indicadores de Gestin (Eficiencia, Eficacia, Efectividad y Economa) aplicados al rea de Tecnologa de Informacin y Comunicaciones
Los indicadores son semforos de alarma, contienen informacin vital que alertan si la entidad gubernamental est administrando en forma deficiente sus objetivos estratgicos e identifica reas dbiles que pueden sujetas a una mejora continua. 34
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Estos indicadores deben ser diseados e implementados por las entidades pblicas, la responsabilidad del auditor, es medirlos e interpretar los resultados obtenidos, para mejorar la gestin del rea de Tecnologa de la Informacin y Comunicaciones (TICs).
La informacin utilizada para el desarrollo de indicadores incluye tanto elementos del plan estratgico de la entidad como aspectos operativos, mejor si se identifican con los puntos claves de la cadena causal interna: obtencin de insumos e insumos, procesos o transformacin de insumos, productos y servicios, efectos e impactos.
El auditor deber evaluar el cumplimiento de la estructura de los indicadores de gestin, a la vez desarrollara una matriz de medicin de los mismos, con el propsito de comprobar si estos estn cumpliendo con los propsitos de implementacin.
estructura: 1. Nombre: La identificacin y diferenciacin de un indicador es vital, y su nombre, adems de concreto, debe definir claramente su objetivo y utilidad. 2. Forma de clculo: Generalmente, cuando se trata de
indicadores cuantitativos, se debe tener muy claro la frmula matemtica para el clculo de su valor, lo cual implica la 35
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
identificacin exacta de los factores y la manera como ellos se relacionan. Esto, sin embargo, no es exclusivo de parmetros cuantitativos. 3. Unidades de medida: La manera como se expresa el valor cuantitativo de determinado indicador est dado por las
unidades de medida, las cuales varan de acuerdo con los factores que se relacionan (horas laborales-funcionario, valor monetario, cantidad, das hbiles, etc.). 4. Status, umbral y rango de gestin: Esto requiere conocer las metas de objetivos estratgicos o de alcance institucional (qu, cunto, cmo y cundo), que sern a su vez el referente para la definicin de las metas de los objetivos operativos.
Riesgo Evento fortuito e incierto resultante de acciones humanas o por la accin de una causa externa, que puede intervenir en el cumplimiento de la misin, visin, objetivos y metas que han sido definidos por la entidad gubernamental, causando perjuicios directos o indirectos.
El auditor debe cerciorarse que los riesgos tecnolgicos han sido identificados por el rea de tecnologa de informacin y
comunicaciones, establecindose el impacto y la ocurrencia de los mismos, la probabilidad o frecuencia de tal ocurrencia. 36
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
El auditor comprobar a travs del anlisis de riesgos que la unidad de TIC garantice, de manera razonable, la confidencialidad, integridad y disponibilidad de la informacin, lo que implica protegerla contra uso, acceso, divulgacin o modificacin no autorizados, dao o prdida u otros factores disfuncionales, tanto por parte del personal interno como de terceros, para ello debe acatar lo dispuesto en las Polticas y Normas Institucionales de Seguridad Informtica.
Como resultado del anlisis y gestin de riesgos el auditor obtendr el riesgo residual, orientando su examen a las acciones tomadas por la entidad para reducirlo, aceptarlo o transferirlo, implementndose controles internos para mitigarlo.
El auditor solicitar al rea de tecnologa de informacin y comunicaciones la identificacin, anlisis y gestin de riesgos tecnolgicos que afecten el cumplimiento de los objetivos y metas del rea y la entrega de servicios en la entidad.
Componentes del riesgo: a) Probabilidad: Posibilidad de ocurrencia de un riesgo, medible a travs de criterios de frecuencia o considerando la existencia de factores internos y externos, que propician el riesgo an si ste no ha sucedido. b) Severidad: Magnitud de los efectos o consecuencias que ocasionara a la institucin la ocurrencia de un riesgo. 37
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
c) Nivel de riesgo: Resultado de confrontar la severidad y la probabilidad con los controles existentes. d) Riesgos de Tecnologa: Se asocian con la capacidad de la entidad para que la tecnologa disponible satisfaga las
necesidades actuales y futuras de la institucin y soporten el cumplimiento de la misin. e) Administracin de Riesgos: Proceso estructurado,
consistente y continuo, implementado a travs de toda la entidad para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el logro de los objetivos
institucionales, a fin de proponer soluciones o alternativas para minimizar el impacto de los riesgos en el rendimiento
institucional.
El auditor debe evaluar y supervisar los controles de TIC que son parte integral del entorno de control interno de la organizacin, proponiendo al rea de Tecnologa de Informacin y
Comunicaciones consejos con respecto al diseo, implementacin, operacin y mejora de controles de TICs.
El control interno del rea de tecnologa de informacin y comunicaciones est comprendido por controles generales (CPD, organizacin, implementacin, seguridad de programas y datos, operacin del computador, seguridad de comunicaciones y sistema operativo) diseados para asegurar que los aplicativos 38
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
informticos
funcionan
adecuadamente
controles
de
aplicacin (Control de acceso, origen, entrada, proceso y salida de informacin) procedimientos diseados para asegurar que las transacciones sean administradas de acuerdo con los objetivos especficos de control; que la informacin conserve todos sus atributos y caractersticas, y que los sistemas informticos cumplan con los objetivos para los cuales fueron creados.
El auditor debe asegurarse que los controles internos diseados por la institucin, mitiguen en gran medida los riesgos residuales obtenidos en el anlisis de riesgos, siendo factible y con menor inversin la administracin de stos, valor agregado que podr denotar el auditor de TICs.
La evaluacin de Control Interno aporta a la entidad elementos de medicin de la gestin informtica y de la cultura informtica; al rea de TICs le brinda indicadores de satisfaccin de usuarios, tanto por las aplicaciones, como por el nivel de servicio que proporciona de la seguridad lgica y administracin de plataformas tecnolgicas, que los alerta sobre las posibles fallas de seguridad y le brinda retroalimentacin sobre polticas y medidas de control, que podran mejorar el funcionamiento de los equipos.
Esta revisin permite a la alta gerencia reforzar el rea de tecnologa de informacin y comunicaciones, para que cumpla sus objetivos y soporte, las estrategias del negocio, mientras que al rea de tecnologa de informacin y comunicaciones le brinda la 39
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
oportunidad de definir acciones preventivas y adoptar alternativas de mejora continua de sus servicios.
El factor crtico en el proceso de la auditora es el conocimiento y evaluacin del Control Interno Tecnolgico y la elaboracin de los programas de auditora, por tal motivo es importante que el auditor informtico, realice una revisin y evaluacin detallada del control interno en las de Tecnologas las de Informacin pblicas, en y los
Comunicaciones
(TICs)
entidades
siguientes puntos de control: Gerenciales. Desarrollo y Mantenimiento de Sistemas Informticos. Operacin. Aplicaciones. Tecnologa. Continuidad y Oportunidad del Servicio. Cumplimiento de Objetivos estratgicos y operativos
Se deber realizar una revisin y evaluacin de las condiciones de seguridad lgica y fsica, que garanticen que las medidas de seguridad en las plataformas tecnolgicas estn siendo
administradas de tal forma que cumplan con los propsitos para lo cual fueron diseadas y gestin adecuada de los procesos sustantivos sistematizados de la entidad y las metas de la organizacin y los objetivos de los proyectos tecnolgicos
implementados. 40
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Esta evaluacin tiene un enfoque tcnico y es recomendable como medida preventiva, para reducir el riesgo de los ataques externos e internos hacia la informacin de la entidad, que puede afectar la continuidad de las operaciones. El auditor debe asegurarse que el control interno haya sido implementado por la administracin de la entidad y monitoreado peridicamente como medida preventiva, para anticiparse a situaciones que pongan en peligro la informacin o la continuidad de las operaciones de las entidades pblicas; as como para identificar a tiempo oportunidades de mejora o desviaciones de las estrategias de TICs. 5.5 Normativa Tcnica de Control Interno y Fuentes de
Informacin.
En la nueva era de la informacin electrnica y de los recursos tecnolgicos en las operaciones y prestacin de servicios de las entidades pblicas, es necesario contar con un marco normativo tcnico que regule el uso, seguridad, administracin y gestin de la informacin y de los recursos tecnolgicos, con el propsito de resguardar la informacin ante ataques cibernticos, usurpacin de archivos confidenciales o bien detener por completo los sistemas de la organizacin, daando el software o el hardware de la misma. Estas y otras muchas amenazas forman parte del peligro a los que se ven expuestas las entidades pblicas, no solo por parte de personas ajenas a la institucin, sino que hasta los 41
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
mismos trabajadores de la entidad podran infringir las polticas implementadas y hacerle dao.
La carencia de aspectos tcnicos jurdicos en la aplicabilidad de los procedimientos de auditora en los procesos sistematizados hace que se vuelva vulnerable dicha auditoria, por tal motivo antes de realizar este tipo de auditora, los Entes Fiscalizadores deben implementar en el sector pblico y municipal como primer paso las Normas Tcnicas de Control Interno Tecnolgicas, con el propsito de constituir el marco bsico normativo tcnico, para promover la eficiencia y eficacia en el desarrollo de las actividades y
operaciones tecnolgicas, obtencin de confiabilidad y oportunidad de la informacin, y el cumplimiento con leyes, reglamentos, aspectos administrativos y otras regulaciones aplicables, para proporcionar seguridad razonable en la consecucin de los objetivos establecidos y metas programadas.
La normativa tcnica es elaborada internamente dentro del rea de Tecnologa de Informacin y Comunicaciones, autorizada por la mxima autoridad de la entidad y divulgada a los usuarios de los servicios tecnolgicos. (ANEXO 2)
El auditor en el transcurso de la auditoria, mantendr constante comunicacin con los servidores de la entidad u organismo 42
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
auditado, proporcionndoles oportunidad para que presenten pruebas o evidencias documentadas, con la finalidad de obtener mayores elementos de juicio, que nos permitan brindar
conclusiones y recomendaciones adecuadas y que estos a la vez puedan ser utilizados por los tomadores de decisiones, para mejorar su gestin.
Mencionando
en y
dicha
comunicacin de
que
con
base
a se
los han
procedimientos
pruebas
auditora
aplicados,
identificando asuntos de importancia relativa relacionados a los objetivos de nuestra Auditora de Gestin, los cuales se hacen de su conocimiento, adems se debe de hacer mencin el nombre de la normativa relacionada a la comunicacin con los funcionarios.
Adems se hace con el propsito de obtener evidencia convincente de las causas que estn originando los asuntos de importancia (condiciones, procedimientos respectiva. deficiencias, de observaciones), a la para de dirigir sus
auditora
obtencin
evidencia
El producto que se obtendr del Anlisis Previo, ser un informe ejecutivo que contendr los asuntos de importancia identificados y agrupados por proyectos de las reas vulnerables o de impacto determinados, al aplicar los procedimientos de auditora de 43
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
El objetivo del informe ejecutivo es que el Director lo autorice y tenga una visin general del proceso de la auditoria, pueda comprender en una sola y lectura los en qu consisten los
procedimientos
aplicados
ASUNTOS DE IMPORTANCIA
Introduccin En esta seccin se presenta, brevemente, el objetivo general de cada proyecto de anlisis previo, objetivos especficos y
restricciones.
1. Datos Generales La descripcin del rea de Tecnologa de la Informacin. En qu consiste rea de Tecnologa de Informacin, los productos o los servicios que ofrecen, cules son sus principales funciones.
Filosofa
del
rea
de
Tecnologa
de
Informacin
objetivos estratgicos, acciones estratgicas, objetivos a corto plazo, metas, indicadores de gestin tecnolgica y ubicacin organizativa del rea de Tecnologa de Informacin y 44
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Comunicaciones.
Proyectos Tecnolgicos ejecutados o a ejecutar. Aquellos que van a desarrollar que sea innovador y novedoso, y que van permitir a sistematizar los procesos de negocio.
El presupuesto de las Inversiones requeridas. Se deben detallar los presupuestos de inversin que se ejecutarn en determinado periodo por parte del rea de tecnologa de informacin y comunicaciones.
Principales logros de la entidad y del rea de Tecnologa de la Informacin y Comunicaciones. Se deben resaltar las realizaciones sobre la implementacin y el uso de las tecnologas de informacin y comunicaciones en los procesos de negocio y de soporte en el cumplimiento de metas y objetivos en el periodo de la auditoria que tenga la entidad o el rea de Tecnologas de Informacin y Comunicaciones.
2. Desarrollo Se deben describir detalladamente los procedimientos de auditora y cmo se fueron desarrollando. Pueden ser necesarias figuras para describir lo realizado en cada etapa. Si el trabajo lo amerita puede dividirse en ms de un punto.
reas de Impacto o Vulnerables. Se deber describir y listar todas las reas y procesos que impactan negativamente la gestin tecnolgica de la entidad y que 45
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
no permiten alcanzar los objetivos y metas previstos en los planes del rea de Tecnologa de Informacin y Comunicaciones,
agrupndolas por proyectos, con el propsito de dirigir la auditoria a las reas de impacto o vulnerables identificadas.
El equipo de trabajo de Auditoria Detallar los auditores con las respectivas profesiones o
especialidades que ejecutaran los proyectos o fases de la auditoria. Anexos Lo que los auditores consideren importante de anexar.
6. Conclusiones y Recomendaciones. Las conclusiones deben redactarse de una forma clara y entendible y no ser interpretadas por un tercero. Los auditores sustentan su trabajo en las conclusiones basadas en indicadores de gestin del rea de Tecnologa de Informacin y Comunicaciones.
Las recomendaciones son emitidas por el Director de Auditoria que tiene a cargo el equipo de auditoria, para agregar valor a la estrategia de auditora, naturaleza y alcance y determinacin de los
46
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
CAPITULO IV DE EJECUCIN
Una vez concluido el anlisis previo, el auditor debe disear un programa de auditora dirigido a las reas de mayor vulnerabilidad y/o impacto identificadas al confrontar los riesgos versus controles
tecnolgicos y se debe investigar a profundidad y obtener evidencia de las causas que originan una debilidad dentro de la Gestin a las Tecnologas de Informacin y Comunicaciones, para lo cual, el auditor podr apoyarse en las Tcnicas de Auditora Asistidas por Computadora (TAACs).
Estas tcnicas son utilizadas en el desarrollo de procedimientos de auditora, incluyendo: Procedimientos de revisin analticos Pruebas de cumplimiento de los controles generales de tecnologa de informacin y comunicacin Pruebas de cumplimiento de los controles de aplicacin de tecnologa de informacin y comunicacin Pruebas de penetracin Verificacin Ocular (Observacin, Comparacin) Verificacin Fsica (Inspeccin) Verificacin Oral (Indagacin, entrevista, encuestas) Verificacin Escrita (Anlisis, Confirmacin, Tabulacin, conciliacin) 47
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
1.1 Pasos para desarrollar una TAAC. 1. Defina detalladamente el objetivo de lo que se va a examinar 2. Determine las tcnicas de auditoria que deber automatizar. 3. Identifique las fuentes de los datos. 4. Identifique sus atributos. 5. Solicite la documentacin de sistema o confeccione el modelo entidad relacin 6. Analice la forma como automatizara las tcnicas de auditoria, solucin lgica. 7. Seleccione la herramienta computacional que ms se adecue a lo requerido. 8. Implemente la herramienta computacional siguiendo los pasos del modelo lgico 9. Prueba y verifique los resultados. 10. Ya tiene confeccionada su TAAC
Cuando las TAACs son utilizadas para extraccin de informacin y anlisis de datos, el auditor de TICs debe verificar la integridad del sistema de informacin y el ambiente tecnolgico donde son extrados los datos. 48
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Las Tcnicas de Auditora Asistidas por Computadora pueden ser utilizadas para extraer programas o sistemas de informacin sensibles y datos en produccin que deben ser mantenidos en forma confidencial.
El auditor de TICs debe entender la clasificacin de informacin de la entidad y polticas llevadas para salvaguardar
adecuadamente los programas y/o sistemas de informacin y datos en produccin con un nivel apropiado de confidencialidad y seguridad. El auditor de TICs debe considerar el nivel de confidencialidad y seguridad requerido por la organizacin propietaria de los datos y cualquier legislacin pertinente, y debe consultar a otros, tanto como el consejo y administracin sea necesaria.
El auditor debe utilizar y documentar los resultados de los procedimientos, para proveer sobre la marcha integridad,
confiabilidad, utilidad y seguridad de la TAACs. Por ejemplo, esto debe incluir una revisin de programas de mantenimiento y control de cambio de programas sobre el software de auditora para determinar que solo los cambios autorizados han sido hechos por las TAACs.
El auditor deber obtener la certeza (evidencia) suficiente y apropiada a travs de la ejecucin de sus procedimientos para permitirle emitir 49
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
las conclusiones para fundamentar su opinin sobre la operatividad de la Gestin en Tecnologa de Informacin y Comunicaciones.
Evidencia Suficiente. Se entiende por suficiente, aquel nivel de evidencia que el auditor debe obtener a travs de sus pruebas de auditora, para llegar a
conclusiones razonables sobre el uso de las Tecnologas de informacin y comunicaciones que se someten a examen. Este profesional no pretende obtener toda la evidencia existente, sino aquella que cumpla, a su juicio profesional, con los objetivos de su examen.
Es necesario confiar en evidencias que son ms convincentes que concluyentes, por tanto, con frecuencia puede buscar evidencia de diferentes fuentes o de distinta naturaleza para apoyar un mismo hecho o dato. La evidencia es adecuada cuando sea pertinente para que el auditor emita su juicio profesional.
El auditor en tal situacin debe valorar que los procedimientos que aplica para la obtencin de la evidencia sean los convenientes en cada circunstancia.
Evidencia adecuada. El concepto de adecuacin de la evidencia es la caracterstica cualitativa, en tanto que el concepto suficiencia tiene carcter cuantitativo. La combinacin de ambos elementos debe proporcionar al auditor el conocimiento necesario para alcanzar una base objetiva de juicio sobre los hechos sometidos a examen. 50
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
La evidencia es adecuada cuando sea pertinente para que el auditor emita su juicio profesional.
Documentacin de la evidencia La evidencia obtenida deber recogerse en los papeles de trabajo del auditor como justificacin y soporte del trabajo efectuado y para documentar todos aquellos asuntos de importancia relativa que no est conforme a la normativa tcnica y legal en la operatividad y uso de las tecnologas de informacin y comunicaciones.
Proteccin y Conservacin La evidencia de auditora deber estar protegida contra el acceso no autorizado y la modificacin. La evidencia de auditora debe mantenerse despus de la finalizacin del trabajo de auditora, mientras sea necesario para cumplir con todas las leyes aplicables, reglamentos y polticas.
En el transcurso de la auditora de gestin a las tecnologas de informacin y comunicaciones, el auditor debe cerciorarse mediante los procedimientos plasmados en los programas de auditora, el
para el uso de la
informacin y de las tecnologas de informacin y comunicaciones (TICs) en la organizacin, y al determinar que no se estn cumpliendo, el auditor lo evidenciar aplicando diferentes tcnicas de auditora y lo comunicar al funcionario pblico responsable del incumplimiento para 51
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
determinar las causales por las cuales no se estn cumpliendo con lo plasmado en la normativa interna y externa aplicable, esto a su vez le sirve al auditor para obtener documentacin que respalde su juicio y su opinin profesional con respecto al uso de la informacin y de la tecnologa de informacin y comunicaciones.
4. Carta de Salvaguarda.
Antes que el equipo de auditora se retire de la entidad, debern obtener la carta de salvaguarda, relacionada con la gestin de tecnologa de informacin y comunicaciones, suscrita por el Titular de la Entidad o por el funcionario a quien l designe, con la finalidad que el equipo de auditores se resguarden que toda la informacin relacionada con las tecnologas de informacin y comunicaciones solicitada, ha sido prevista por la administracin.
CAPITULO V DE INFORME
1. Resultados Preliminares de Auditora (Informe Previo). Esta etapa finaliza con los procedimientos de auditora de la fase de ejecucin, y comienza con la elaboracin del Informe previo de Auditora de resultados preliminares (en algunos pases se le conocen como: informe previo, pre-informe, borrador de informe, entre otros), el jefe de equipo agrupa todos los asuntos de importancia ( condiciones, deficiencias, observaciones) que incumplieron las 52
y
de
Gestin
las
Tecnologas
de
Informacin
disposiciones relacionadas con aspectos de control interno y/o de cumplimiento con leyes, reglamentos legales y tcnicos u otras disposiciones aplicables que dieron origen a la condicin (Criterio), con la documentacin que los respaldan y que los auditores determinaron al aplicar sus procedimientos de auditora y se comunicarn a la mxima autoridad de la entidad y a los funcionarios actuantes responsables, esto se hace para garantizarse que dichos funcionarios tuvieron la oportunidad de defensa y convocndolos a una lectura de los resultados obtenidos y previos de auditora para que emitan sus comentarios de defensa respectivos. Para que un asunto de importancia (condiciones, deficiencias,
observaciones), sea incluido en el Informe previo de Auditora de resultados preliminares e Informe de Auditora deber estar
estructurado con todos sus atributos (Condicin, Criterio, Causa, Efecto, Comentarios de la Administracin, Comentarios del Auditor y Recomendaciones). Las recomendaciones y conclusiones hechas por los auditores debern ser viables y factibles para que stas sean atendidas por la
administracin y que sean de fcil comprensin y anlisis para terceras personas y auditores que verificarn el cumplimiento en auditorias recurrentes. El informe previo de Auditora de resultados preliminares deber tener un formato uniforme y estar dividido por secciones para facilitar al funcionario lector una rpida comprensin del contenido del informe, y contendrn los principios y estructuras descrita en el Informe de Auditora. 53
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Al finalizar la fase de ejecucin, se elabora una carta de gerencia, en la cual se comunicar a la administracin todos aquellos asuntos de menor importancia, estos asuntos de menor importancia son riesgos que pueden ser administrados y que a juicio del auditor no son de impacto en la gestin de las tecnologas de informacin y
comunicaciones.
Este documento incluye la descripcin de los asuntos de menor importancia (Condicin) determinados y que no clasifican para
constituirse como hallazgo y requieren de atencin por parte de la administracin para que en el futuro prximo no afecten el
cumplimiento de la Misin, Visin, Objetivos y Metas de la entidad, al detallar estos asuntos menores, debern incluir las disposiciones relacionadas con aspectos de control interno, leyes, reglamentos u otras disposiciones aplicables (Criterio) que se incumplieron y que originaron la condicin, las cuales al ser superadas mejoraran la gestin tecnolgica institucional, fortaleciendo el sistema de control interno, bajo responsabilidad de la mxima autoridad de esa Entidad.
3. Informe de Auditora.
Posterior a la lectura del informe previo de Auditora de resultados preliminares (Pre Informe, Borrador de Informe) se analizan los comentarios y documentacin presentada por la administracin, y se 54
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
elabora el Informe de Auditora que contiene los resultados finales de la auditora que no fuesen superados. Se comunicarn los resultados al mximo nivel de direccin de la entidad auditada y otras instancias administrativas, as como a los funcionarios involucrados en los asuntos de importancia relativa (observaciones) que correspondan, cuando esto proceda. El informe de Auditora debe tener un formato uniforme y estar dividido por secciones para facilitar al funcionario lector una rpida
comprensin del contenido del informe. El informe de Auditora debe cumplir con los principios siguientes:
Que se emita por el jefe de grupo de los auditores actuantes. Por escrito. Oportuno. Que sea completo, exacto, objetivo y convincente, as como claro, conciso y fcil de entender. El hecho de que un Informe sea Conciso, no significa que su contenido sea corto, lo que se quiere es que su contenido sea breve, ya que muchos informes pueden ser amplios porque las
circunstancias as lo requieren; sin embargo no deben incluir hechos impertinentes, superfluos o insignificantes.
Que todo lo que se consigna est reflejado en los papeles de trabajo y que responden a hallazgos relevantes con evidencias suficientes y competentes.
Que refleje una actitud independiente. Que muestre la conclusin u opinin de los resultados o evaluacin de la Auditora.
de
Gestin
las
Tecnologas
de
Informacin
El informe de auditora deber ser estructurado y tendr como mnimo requerido lo siguiente:
Nombre de la organizacin Destinatario del Informe Alcance de la Auditora Objetivos de la Auditora Perodo auditado Naturaleza, plazo y extensin de las labores de auditora Hallazgos Conclusiones Recomendaciones Seguimiento Recomendaciones de Informes de auditoras anteriores (acciones implementadas)
Firma Fecha Distribucin del Informe de acuerdo a los mecanismos de cada Contralora
56
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
II.
CONCLUSIONES
La
auditora
de
Gestin
las
Tecnologas
de
Informacin
Comunicaciones, es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.
La
auditora
de
Gestin
las
Tecnologas
de
Informacin
Comunicaciones, deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especficos, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin, contribuye con la direccin al logro de una administracin ms eficaz, adems de valorar los mtodos y desempeo en todas las reas orientadas a la informtica, los factores de la evaluacin abarcan el panorama econmico, determinar deficiencias causantes de dificultades, sean actuales o en potencia, las irregularidades, descuidos, prdidas innecesarias, actuaciones equivocadas, deficiente colaboracin de lo que es una buena organizacin de la tecnologa de informacin.
57
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
EN
EL
CAMPO
DEL
CONTROL
Este manual de Auditora de Gestin a las Tecnologas de Informacin y Comunicaciones, es aplicable al campo gubernamental por la creciente disponibilidad, transacciones econmicas y uso de informacin en forma electrnica y de procesos sistematizados y de comunicacin que son capaces de satisfacer las necesidades de los usuarios (ciudadanos) que hacen uso de las tecnologas de la informacin y comunicaciones (TICs), es decir, las instituciones gubernamentales dependen cada vez ms de la tecnologa de la informacin para la prestacin de los servicios pblicos y municipales, stas tienen una importancia vital en la misin, visin y en los objetivos de las organizaciones pblicas y municipales y su
aplicabilidad depender del grado de madures en tecnologa que se tenga en cada regin. Es importante mencionar que actualmente en algunas unidades de Auditoria Interna de las entidades pblicas y gubernamentales no se practica como tal una auditoria de gestin a las tecnologas de informacin y comunicaciones, ya que nicamente realizan un tipo de examen de control interno y de cumplimento a leyes y reglamentos aplicables al rea de tecnologa de la entidad.
58
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
IV. BIBLIOGRAFA
http://www.geocities.com/lsialer/NotasInteresantes.htm http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtm http://www.monografias.com/trabajos/maudisist/maudisist.shtml http://www.slideshare.net/alafito/niasauditsist. Propuesta de Criterios Tcnicos de Control Interno del rea de Tecnologa de la Informacin, publicado en la Revista - Transparencia ao 3 No. 7 Enero 2008 y Publicorte No. 27 ao 7 Diciembre de 2007Enero 2008 de la Corte de Cuentas de la Republica de El Salvador www.intosai.org - Normas de Auditora de la Organizacin Internacional de Entidades Fiscalizadoras (INTOSAI) http://www.geocities.com/lsialer/NotasInteresantes.htm. http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml. http://www.monografias.com/trabajos/maudisist/maudisist.shtml Directriz 3 emitida por ISACA, Uso de Tcnicas Asistidas por
Computadora (TAACs) Norma de Auditora de SI, Documento S15, Controles de Tecnologa de Informacin, emitida por ISACA. Norma de Auditora Reporte, Documento S7, emitido por ISACA. Seminario de Auditora de Sistemas de Informacin Computarizados, impartido por el Instituto Salvadoreo de Contadores Pblicos en septiembre de 2010.
59
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
V.
ANEXOS
ANEXO 1 FORMATO DE PAPELES DE TRABAJO En general, todo papel de trabajo electrnico debe contener como mnimo: Ttulo del Ente Fiscalizador y la unidad a la cual pertenece el auditor que elabora los papeles de trabajo con sus respectivos logos de pas y del ente fiscalizador.
Encabezado: incluir el nombre de la entidad pblica, perodo de la auditoria, tipo de auditora y rea o componente especfico, objeto de la auditora.
Referencias: cada papel de trabajo tendr su propia referencia, y deber indicar las hojas de trabajo relacionadas de acuerdo con un sistema de referencias cruzadas.
Fecha e Identificacin de quin prepar el papel de trabajo: Mediante rbrica de la persona que ha contribuido a su elaboracin, as como la fecha de realizacin.
Fecha e Identificacin de quin supervis el trabajo: Mediante iniciales de la persona que revis el trabajo realizado, como constancia de la supervisin efectuada.
60
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
Referencia al paso del programa de trabajo: Para conocer el objetivo de preparacin de la cdula.
El anlisis realizado: Estar en funcin a la ejecucin de los procedimientos de auditora para cumplir con lo definido en los programas de trabajo.
Mtodo de muestreo: Cuando sea aplicable ser necesario hacer referencia al mtodo de muestreo aplicado.
Explicacin de las marcas de auditora utilizadas: En la parte inferior de la cdula se deber realizar una descripcin del significado de las marcas de auditora utilizadas, en el caso de que esta explicacin se encuentre en otra cdula se har referencia a la misma.
Conclusiones: Cuando corresponda, se realizar una exposicin de los resultados logrados con el trabajo, una vez finalizado.
La referencia de papeles de trabajo electrnicos en la auditoria operacional o de gestin se realizar, utilizando las herramientas automticas de ofimtica o bien referencia automatizada de un software especfico.
61
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
ANEXO 2 Criterios Tcnicos del rea de Tecnologas de Informacin y Comunicaciones. Se proponen criterios tcnicos iniciales para gestionar la Infraestructura Tecnolgica y de los procesos sistematizados en el sector pblico y municipal.
El rea de TI debe realizar un proceso de panificacin de TI de acuerdo con la planeacin estratgica institucional, que facilite la consecucin de sus de sus logros futuros. La entidad debe procurar que a travs del Manual de Organizacin, Funciones y Planes de Trabajo, se facilite la consecucin de los objetivos planteados; para esto la entidad debe: a) Velar porque la ubicacin del rea de TI, se encuentre en un nivel razonable de independencia funcional dentro de la estructura
organizacional. b) Definir y mantener actualizado el manual de puestos para el personal de TICs, de manera que las funciones y responsabilidades queden claramente establecidas. c) Definir los procedimientos que permitan la contratacin y adquisicin de recursos de TICs. d) Establecer una metodologa que permita administrar adecuadamente los proyectos internos y externos (outsourcing), de acuerdo con los 62
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
recursos proyectados e invertidos. e) Elaboracin de Presupuesto del rea de tecnologa de la Informacin que incluyan los proyectos tecnolgicos viables a desarrollar el cumplimiento de los objetivos estratgicos y operativos de la
institucin en el periodo financiero y debe de estar acorde con el plan de compras institucional. f) Elaborar un plan de Trabajo diseado de tal manera que defina los objetivos a cumplir y alineado con los objetivos estratgicos y/o operativos institucionales, actividades a desarrollar, programacin, indicadores de cumplimiento.
La entidad debe procurar que los miembros de la organizacin acten de modo que contribuyan al logro de los objetivos, establecer y comunicar los objetivos de la administracin y las polticas de TICs, a los niveles pertinentes y contar con personal tcnicamente capacitado o en su ausencia contratarlo externamente.
La entidad implantar los mecanismos de control necesarios para la supervisin y control de las tareas del rea de TI; para ello deber:
a) Verificar el cumplimiento de los controles y objetivos establecidos para los procesos de TICs.
b) Contar con un contrato vigente de prestacin de servicios para el caso en que sus servicios de TICs no sean propios, verificando el cumplimiento del mismo. 63
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
c) Velar por el cumplimiento de sus obligaciones legales, regulatorias y contractuales, en los plazos y formas establecidas, as como las que terceros han establecido con la entidad. La entidad que subcontrate parte o la totalidad de su procesamiento de datos en nuestro pas, deber incluir en los contratos que suscriba, una clusula que permita a la entidad auditada la supervisin de las tareas contratadas en las instalaciones del proveedor.
SEGURIDAD LGICA Y ACCESO A LOS DATOS El rea de TICs de la entidad administrar adecuadamente la seguridad lgica de sus recursos; para esto deber:
a. Establecer
polticas
procedimientos
que
permitan
identificar,
autenticar y autorizar el acceso a los sistemas de informacin, sistemas operativos y bases de datos. b. Establecer polticas y procedimientos que permitan dar seguimiento a las transacciones que se ejecutan en los sistemas
Se debe mantener una adecuada seguridad en todos aquellos puntos con acceso a redes pblicas de datos; definiendo controles que permitan restringir el trfico hacia dentro y fuera de la red institucional (Pared de fuego); Establecer polticas y procedimientos de prevencin, deteccin y correccin de virus y Establecer polticas y procedimientos que regulen la utilizacin del correo electrnico. 64
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
SEGURIDAD FSICA El rea de TICs debe establecer polticas y procedimientos relacionados con la ubicacin, construccin, acceso fsico a dicha rea.
El rea de TICs debe contar con procedimientos de control que regulen las condiciones ambientales del rea, que proporcionen un ambiente fsico conveniente para su funcionamiento y protejan los recursos materiales y al personal de TICs contra peligros naturales o fallas humanas.
El rea de TICs debe de elaborar y ejecutar un plan de Mantenimiento de Equipo Informtico; debidamente diseado con objetivos, polticas,
prioridades, programacin de actividades en el que se identifique a los responsables de ejecutarlas y la determinacin de los costos estimados; adems, la identificacin de metas programadas formuladas de manera precisa, factible, viable y medible, para que se pueda ejercer un seguimiento y evaluacin de objetivos sobre su cumplimiento, para la toma de decisiones a efecto de orientar adecuada y oportunamente los recursos asignados. Este plan deber ser autorizado por la mxima autoridad de la entidad y ser comunicado a los niveles pertinentes.
El rea de TICs deber de contar con la documentacin de soporte de las operaciones que realicen (Fsicas o Electrnicas), ya que con sta se justifica e identifica la naturaleza, finalidad y resultado de la actividad realizada; asimismo, contiene datos y elementos suficientes que facilitan su anlisis. La documentacin debe estar debidamente custodiada y contar 65
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
SISTEMAS DE INFORMACIN El rea de TICs debe procurar, a travs de procedimientos, el diseo e implementacin de sistemas de informacin sean eficaces, seguros, ntegros, eficientes y econmicos, que impidan la modificacin no autorizada; asimismo, se ajuste al cumplimento de las leyes, reglamentos y normativa vigente que les sean aplicables; para lo cual ser necesario que se implemente: a) Implementar una metodologa para el ciclo de vida del desarrollo de sistemas, que asegure la calidad de los sistemas de informacin y satisfaga los requerimientos del usuario. b) Definir una adecuada separacin de los ambientes de desarrollo y produccin, de forma que el personal de desarrollo no tenga acceso al ambiente en produccin. c) Se deber definir procedimientos de actualizacin en los manuales de usuario y tcnico, para el uso de los sistema en produccin y que se se encuentra documentado el Control de cambios (versiones del Sistema) y los requerimientos se encuentren autorizados, realizados en el Sistema dentro del sistema. d) Disear lineamientos para verificar que todas las transacciones efectuadas por los usuarios de los sistemas posean huellas o pistas de auditora que permitan rastrear a los responsables de ingresar, eliminar y modificar los registros en las bases de datos.
desempeo de los sistemas de informacin. El rea de TICs debe contar con polticas y procedimientos relacionados con la captura, actualizacin, procesamiento, almacenamiento y salida de los datos, que asegure que los mismos permanezcan completos, precisos, confiables y vlidos.
SOFTWARE Y BASES DE DATOS El rea de TICs administrar adecuadamente sus bases de datos, y se requiere que se realice lo siguiente: a) Definir la arquitectura de informacin para organizar y aprovechar de la mejor forma los sistemas de informacin. b) Establecer polticas y procedimientos actualizados relacionados con la instalacin, administracin, migracin, mantenimiento y seguridad de las bases de datos. c) Definir mecanismos para controlar la integridad, disponibilidad,
seguridad, capacidad y el desempeo de las bases de datos. d) Elaboracin de respaldos y definicin de perodos de almacenamiento y eliminacin de informacin, acorde con los requerimientos legales de la entidad.
El rea de TICs debe definir polticas y procedimientos para la adecuada instalacin, mantenimiento y administracin de software debidamente autorizado. Adems, todo software deber actualizarse con las ltimas mejoras de seguridad publicadas por el proveedor, de la versin que estn utilizando y que todava cuenta con soporte por parte del proveedor. Lo anterior con el fin de reducir su vulnerabilidad, producto de las deficiencias 67
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
en los sistemas de seguridad, sistemas operativos, base de datos, antivirus, entre otros.
HARDWARE, REDES y COMUNICACIONES La entidad debe administrar adecuadamente el hardware, las redes y las lneas de comunicacin. Para lo cual deber: a) Realizar estudios de capacidad y desempeo del hardware y las lneas de comunicacin, que permitan determinar en forma oportuna, necesidades de ampliacin de capacidades o actualizaciones de equipos. b) Establecer mecanismos para procurar que todas las redes instaladas, ya sean elctricas, de voz o de datos, cumplan con los requerimientos mnimos vigentes de cableado estructurado. Entre estos debern considerarse la documentacin, el etiquetado, ductos para el cableado y el aterrizamiento del mismo. c) Establecer polticas y procedimientos para la instalacin y
mantenimiento del hardware y su configuracin base, que proporcionen la plataforma de TICs apropiada para soportar las aplicaciones de la entidad y reduzcan la frecuencia e impacto de las fallas de desempeo del hardware.
El rea de TICs debe administrar adecuadamente los puntos de red y switch es de red, para lo cual ser necesario: a) Establecer polticas y procedimientos para la ubicacin, proteccin y mantenimiento de los puntos de red y switches. b) Mantener en lnea las estaciones de trabajo con los sistemas de 68
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
informacin de la entidad, de tal forma que en todo momento se cuente con la informacin oportuna, confiable y actualizada. c) Establecer polticas y procedimientos para la comunicacin al cliente (usuario) sobre el uso adecuado de las estaciones de trabajo y sistemas lgicos.
CONTINUIDAD DE LAS OPERACIONES El rea de TICs debe establecer y mantener actualizadas polticas y procedimientos para el respaldo y recuperacin de la informacin, que le permitan tener acceso a la misma durante periodos de contingencias, causados por desperfectos en los equipos, prdida de informacin u otras situaciones similares.
El rea de TICs debe establecer un plan de continuidad o contingencia, viable donde se detallen acciones, procedimientos y recursos financieros, humanos y tecnolgicos que considere los riesgos posibles, que afecten de forma parcial o total la operativa normal de los servicios de TICs categorizando el tipo de accin a realizar en cuanto a la medicin en tiempo y recurso financiero para el restablecimiento de las operaciones tecnolgicas. Este plan deber ser autorizado por la mxima autoridad de la entidad y ser comunicado a los niveles pertinentes. Adems, este plan debe probarse y actualizarse atendiendo la realidad tecnolgica de la entidad al menos una vez al ao.
El rea de TICs debe contar con una infraestructura tecnolgica adecuada, que contemple el suministro de energa elctrica para la 69
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
La entidad debe contar con cobertura de seguros para los principales equipos de cmputo y comunicaciones que permita mitigar el riesgo provocado ante cualquier tipo de contingencia y desastre natural
(incendio, impacto de rayo, explosin, explosin, humo, gases o lquidos corrosivos, corto circuito, variaciones de voltaje, huelga, motn, robo, asalto y fenmenos naturales).
SERVICIOS POR INTERNET y Y CORREO ELECTRNICO INTERNO. El rea de TICs debe administrar adecuadamente la seguridad lgica de los servicios por Internet y correo electrnico interno. Para esto se debe: a) Implementar mecanismos de seguridad fsica y lgica que protejan la integridad y privacidad de la informacin sensible cuando el canal de transmisin sea internet. b) Implementar y dar mantenimiento a los mecanismos de seguridad en todos aquellos puntos con acceso al servicio por internet. Estos mecanismos debern probarse al menos dos veces al ao. c) Establecer procedimientos para uso y asignacin del Internet y correo institucional. d) Elaborar procedimientos para la estandarizacin para la creacin y acceso de usuarios de red Institucional.
El rea de TICs debe considerar dentro de plan de continuidad o contingencia, un apartado donde se detallen acciones, procedimientos y recursos que consideren los riesgos posibles, que afecten de forma parcial 70
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y
El rea de TICs debe asegurar la adecuada disponibilidad, capacidad y el desempeo de los servicios por internet.
El
rea
de
TICs
debe
crear
polticas
procedimientos
para
el
mantenimiento y seguridad del Portal o pgina Web en donde se defina la responsabilidad del rea para la actualizacin, elaboracin, creacin y/o diseo de la pgina Web institucional.
71
Manual de Auditora Comunicaciones. de Gestin a las Tecnologas de Informacin y