Índice - auditoriachihuahua.gob.mx · administración de ti y sirven como facilitadores para...
Post on 20-Oct-2018
217 Views
Preview:
TRANSCRIPT
Índice
PLANEACIÓN ESTRATÉGICA Página 2
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
Introducción .............................................................................................................................. 4
I. Justificación ........................................................................................................................... 5
I.1. Filosofía ........................................................................................................................... 7
II. Antecedentes ....................................................................................................................... 8
III. Objetivos .............................................................................................................................. 9
III.1. General .......................................................................................................................... 9
III.2. Específicos ................................................................................................................... 10
IV. Marco Teórico ................................................................................................................... 10
V. Análisis de Situación Actual .............................................................................................. 12
V.1. Análisis FODA .............................................................................................................. 12
V.2. Metas Estratégicas ...................................................................................................... 14
VI. Problema Eje ..................................................................................................................... 14
VII. Proyectos de Acciones a Realizar ................................................................................... 15
VII.1. Proyección a Corto Plazo .......................................................................................... 15
VII.2. Proyección a Mediano Plazo .................................................................................... 20
VII.3. Proyección a Largo Plazo .......................................................................................... 20
PLANEACIÓN ESTRATÉGICA Página 3
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
PLANEACIÓN ESTRATÉGICA Página 4
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
Introducción
La auditoría de tecnologías de información se define de manera general como cualquier
otra auditoría: un proceso sistemático por el cual un equipo o una persona calificada,
competente e independiente obtiene y evalúa objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular
e informar sobre el grado de cumplimiento en que se implementa dicha afirmación.
Para realizar este tipo de auditoría se deben aplicar normas técnicas y buenas prácticas
dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la información tratada y almacenada a través del computador y
equipos afines, así como de la eficiencia, eficacia y economía con que la administración
de un ente está manejando dicha información y todos los recursos físicos y humanos
asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y
almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo
cual se aplican técnicas de auditoría de general aceptación y conocimiento técnico
específico.
En cuanto a especialidad profesional, debe ser apoyada por un conjunto de
conocimientos acerca de la tecnología informática, de técnicas y procedimientos de
auditoría y de conocimientos contables suficientes, para evaluar la calidad, fiabilidad y
seguridad de un entorno informático, así como brindar seguridad razonable acerca de
la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un
juicio al respecto, complementariamente, el trabajo desarrollado, deberá permitir la
emisión de un juicio u opinión acerca de lo adecuado del control informático.
PLANEACIÓN ESTRATÉGICA Página 5
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
Por lo que resulta necesario constatar que se sigan acciones que aseguren la integridad,
confidencialidad, confiabilidad y disponibilidad de la misma, para lo cual existen
normas, técnicas y mejores prácticas dedicadas a la evaluación y aseguramiento de la
calidad, seguridad, razonabilidad y disponibilidad de la información utilizada y
almacenada a través de la infraestructura tecnológica, así como de la eficiencia, eficacia
y economía con que la administración de una organización están manejando dicha
información y todos los recursos físicos y humanos asociados para su adquisición,
captura, procesamiento, distribución, uso, servicio y almacenamiento.
I. Justificación
Con la creciente proyección que tiene la tecnología de información en las funciones
directivas, administrativas y operativas de todo tipo de organizaciones y empresas, sin
importar su tamaño, sector o giro, ésta se perfila desde los años setentas como un
ámbito de participación del auditor a través de una de sus ramas que es la Auditoría en
Tecnologías de Información.
La información es un recurso clave para todas las empresas y desde el momento en que
la información se crea hasta que es destruida, la tecnología juega un papel importante,
la tecnología de la información está avanzando cada vez más y se ha generalizado en las
empresas y en entornos sociales, públicos y de negocios.
Durante la pasada década, el término “gobierno de TI” ha pasado a la vanguardia del
pensamiento empresarial como respuesta a algunos ejemplos que han demostrado la
importancia del buen gobierno y, en el otro extremo de la balanza, a incidentes
corporativos a nivel global. Empresas de éxito han reconocido que el comité y los
ejecutivos deben aceptar las tecnologías de información como cualquier otra parte
PLANEACIÓN ESTRATÉGICA Página 6
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
importante de hacer negocios. Los comités y la dirección tanto en funciones de negocio
como de tecnologías de información deben colaborar y trabajar juntos, de modo que se
incluya a éstas en el enfoque del gobierno y la gestión. Además, cada vez se aprueba
más legislación y se implementan regulaciones para cubrir esta necesidad.
Dada la importancia que tiene la información hoy en día y lo relevante y vital que es
para cualquier organización, es necesario implementar estándares de control basados
en las mejores prácticas y metodologías internacionales que garanticen la integridad de
la información.
Para los municipios son varios los factores que implican no estar involucrados con estas
metodologías, por desconocimiento, ya que no están al día en cuáles son las mejores
prácticas de procedimientos informáticos, la falta de recursos tanto económicos como
humanos, falta de interés y/o que la administración municipal no cuenta con el tiempo
suficiente (gestión de su administración de 3 años) para lograr la implementación de
estas metodologías y mejores prácticas.
Basados en el marco de Control COBIT (Objetivos de Control para la Información y
Tecnologías Relacionadas), que busca desarrollar, publicar y promover un autoritario y
actualizado conjunto internacional de objetivos de control de tecnologías de
información, generalmente aceptadas, para el uso diario por parte de gestores de
negocio y auditores; los entes pueden llegar a generar las mejores prácticas de las
administración de TI y sirven como facilitadores para establecer el Gobierno de TI y
cumplir con el constante incremento de requerimientos regulatorios.
PLANEACIÓN ESTRATÉGICA Página 7
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
I.1. Filosofía
Misión
Brindar a través de las auditorías, la información suficiente y competente, que permita la
implementación de controles para una mejora continua que ayude a la prevención de
delitos informáticos en los entes a fiscalizar.
Visión
El Área de Auditoría de Tecnologías de Información vigila y controla los recursos
informáticos de los entes fiscalizables, logrando un conocimiento del inventario de
Infraestructura Tecnológica del Estado de Chihuahua. Cumpliendo así con las metas
institucionales de la Auditoría Superior del Estado.
PLANEACIÓN ESTRATÉGICA Página 8
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
Principios Éticos
Honestidad
Objetividad
Razonabilidad
Confiabilidad
Imparcialidad
Institucionalidad
II. Antecedentes
La Auditoría Superior del Estado es el Órgano del Poder Legislativo del Estado de
Chihuahua que por disposición de la Constitución Estatal y de conformidad con la ley
que la crea, tiene la función de auditar el ingreso y la aplicación de los recursos públicos
de los tres poderes de Gobierno del Estado, los Ayuntamientos, los organismos que por
disposición constitucional estén dotados de autonomía, los organismos públicos
descentralizados, empresas de participación y fideicomisos de la administración pública
o privada, que reciba, maneje, recaude o administre recursos públicos, con la finalidad
de coadyuvar al desarrollo permanente de la eficiencia, eficacia, economía y
transparencia de la gestión pública.
Con el modelo multidireccional que la Auditoría Superior del Estado de Chihuahua está
implementando para desarrollar su facultad de fiscalización de la cuenta pública,
incorpora el Área de Auditoría de Tecnologías de Información, en donde una de las
funciones de esta área, es conocer la situación en la cual se encuentran las tecnologías
de información de los entes públicos.
PLANEACIÓN ESTRATÉGICA Página 9
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
La fiscalización de los recursos públicos debe realizarse desde el punto de vista
financiero, contable, presupuestal, técnico de obra, legalidad y de gestión; la revisión
de las cuentas públicas se realizaba de manera bidireccional, es decir solo desde el
punto de vista financiero y de obra, lo que ocasionaba que la gestión gubernamental
dejara de ser evaluada bajo la óptica de varias disciplinas para cumplir con mayor
eficiencia la función que nos han encomendado, es indispensable incorporar en los
procesos de auditoría disciplinas tales como: Tecnologías de Información, Ambiental,
Legalidad y Desempeño, logrando así que el recurso público sea auditado y fiscalizado
bajo la perspectiva multidisciplinaria, dando la pauta a la fiscalización multidireccional.
III. Objetivos
III.1. General
Promover y elevar la cultura del aprovechamiento en el uso de las Tecnologías de
Información en los Entes a fiscalizar, constatando que se lleven a cabo las mejores
prácticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad,
confiabilidad y disponibilidad de la información, garantizando de esta manera la
prevención ante posibles contingencias que puedan impedir la continuidad del uso de
los recursos informáticos.
Realizar las actividades correspondientes a la verificación de los controles internos
establecidos en el área de Sistemas, así como el estudio de seguridad física y lógica, el
análisis de los riesgos a que está expuesta la información y los equipos de cómputo.
PLANEACIÓN ESTRATÉGICA Página 10
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
III.2. Específicos
Determinar la situación actual del área informática, las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
Minimizar existencias de riesgos en el uso de Tecnología de información.
Evaluar la dependencia de los sistemas y las medidas tomadas para garantizar su
disponibilidad y continuidad.
Revisar la seguridad de los entornos y sistemas.
Evaluar la suficiencia y eficacia de los planes de contingencia.
Analizar la garantía de calidad de los Sistemas de Información
Brindar una opinión y recomendaciones sobre la utilización eficiente de los
recursos informáticos.
Analizar los controles y procedimientos tanto organizativos como operativos.
Apoyar a las demás áreas de auditoría con la realización de pruebas sustantivas y
de cumplimiento con el uso de las herramientas informáticas.
IV. Marco Teórico
En los últimos años la tecnología de información se ha convertido en el detonador del
crecimiento de las organizaciones alrededor del mundo, permitiéndoles a éstas entrar a
un mercado internacional, a un mundo globalizado. “La tecnología de información (TI)
es una herramienta de la ciencia de la informática capaz de realizar tareas como
almacenar, procesar y trasformar datos de las actividades operativas de una
organización, mediante el uso de equipo de cómputo”. Las inversiones en TI las
podemos ver en todos los sectores; automotriz, textil, banca, construcción, sector
público, etc. Muchas veces estos avances representan para las organizaciones una
ventaja estratégica, una diferenciación o una mejor manera de dar soporte. La
PLANEACIÓN ESTRATÉGICA Página 11
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
tecnología de información puede ayudar en varios ámbitos: en mejorar un producto, en
ofrecer mejores servicios o en administrar mejor los recursos de una organización.
Gracias a la TI los ejecutivos tienen la posibilidad de administrar con mayor eficiencia y
productividad las organizaciones, disminuyendo tiempos, costos, desperdicios,
incertidumbre y falta de comunicación. La información es el recurso más importante de
las organizaciones hoy en día, si se administra de la mejor manera puede significar una
ventaja competitiva ante las demás organizaciones. Muchas de éstas invierten enormes
cantidades en tecnología de información y se quedan a la mitad de sus proyectos o los
cancelan. Hay que definir métodos para implementar estas tecnologías y evaluar el
impacto que tendrán en la organización.
El marco de Control COBIT (Objetivos de Control para la Información y Tecnologías
Relacionadas), es una metodología que consolida y armoniza las mejores prácticas de
Control Interno de Tecnologías de Información a nivel mundial; se utiliza para planear,
implementar, controlar y evaluar los recursos Informáticos de una organización.
El marco establece el enfoque general y, a partir de ahí, se pueden usar la orientación
proporcionada por normas específicas y buenas prácticas para diseñar políticas,
procesos, prácticas y procedimientos específicos. Al trabajar dentro de un marco y
aprovechar las buenas prácticas, se pueden desarrollar y optimizar los procesos de
gobierno adecuados y otros catalizadores de forma que el gobierno de TI de la
organización funcione de manera eficaz como parte de una práctica de negocio normal
y exista una cultura de apoyar, demostrada por la alta dirección. La alineación con
COBIT también debería ocasionar auditorías externas más rápidas y más eficientes ya
que COBIT es ampliamente aceptado como una base para los procedimientos de
auditoría de TI.
PLANEACIÓN ESTRATÉGICA Página 12
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
V. Análisis de Situación Actual
Como primera acción se desarrolló e implementó un sistema que permitió la aplicación
de un cuestionario de control interno y la solicitud de inventarios de tecnologías de
información a cada uno de los entes que conforman el sector gubernamental, con la
finalidad de obtener un diagnóstico general de los recursos informáticos (humano,
técnico, y de sistemas) del sector público del Estado de Chihuahua.
Derivado de la aplicación del cuestionario del control interno, se observa que
actualmente las tecnologías de información dentro de las organizaciones
gubernamentales; no tienen la debida atención por parte de las altas direcciones para
destinar recursos tanto humanos como económicos que permita tener una adecuada
administración de los recursos involucrados con las tecnologías de información (nómina,
almacén, ingresos, egresos, compras, proveedores, etc)
V.1. Análisis FODA
Fortalezas
Anuencia e interés del Auditor Superior en el área de Auditoria a los sistemas
Se cuenta con personal capacitado en el área de auditoria de Tecnologías de
Información.
Motivación del personal del área para realizar y llevar a cabo las funciones que el
Coordinador encomiende.
Compromiso institucional del personal del área para la mejora continua.
Capacidad de revisar gran cantidad de datos electrónicos en poco tiempo por
medio de herramientas electrónicas.
PLANEACIÓN ESTRATÉGICA Página 13
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
Oportunidades
Actualización constante de las Tecnologías de Información que generan un
mayor campo de acción.
Interés por el personal auditado en mejorar los sistemas de información y las
tecnologías así como el control interno.
Debilidades
No se cuenta con el personal suficiente para poder revisar el mayor porcentaje
de Entes Fiscalizables.
Falta de licenciamiento suficiente de paquetes informáticos que ayudan en la
realización de pruebas sustantivas y revisión de los sistemas a los entes
fiscalizables.
Falta de antecedentes de la Auditoría de Tecnologías de Información a nivel
nacional.
Amenazas
Falta de conocimiento por parte del personal de los Entes Fiscalizables.
Falta de presupuesto por parte de los Entes auditados para realizar mejoras a sus
tecnologías.
Tiempo de la gestión municipal reducido.
Surgimiento de nuevas tecnologías.
PLANEACIÓN ESTRATÉGICA Página 14
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
V.2. Metas Estratégicas
Seguimiento al desarrollo del proyecto SIDATI.
Establecer procedimientos para las auditorias de TI.
Establecer procedimientos para las pruebas sustantivas (análisis y validación de la
información, cálculos, cruces, extracción de información, entre otros).
Estandarizar las pruebas sustantivas de las juntas municipales de agua y
saneamiento. (sistema aquadmin, y sistema propio).
Validación y seguimiento al diagnóstico de TI
Certificación CISA (certificación de auditor de sistemas de información)
Capacitación continua
Proyecto de Padrón General de Usuarios y Contribuyentes.
VI. Problema Eje
El vertiginoso avance tecnológico ha incrementado cada vez más la dependencia de las
tecnologías de información en las instituciones, el crecimiento de este fenómeno
aumenta también los riesgos informáticos a los que se enfrentan, los datos como parte
esencial de la información es un activo que hoy en día ha tomado una importancia muy
relevante en el manejo, generación, resguardo y propagación de la misma, la
información es considerada un activo tan importante como cualquier otro en una
organización.
De lo anterior se deriva la importancia que las instituciones del sector público deban
poner énfasis en la administración eficiente de sus recursos informáticos, examinado el
PLANEACIÓN ESTRATÉGICA Página 15
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
panorama de las nuevas tecnologías de la información a través de la identificación de
los principales problemas (económicos, humanos y de infraestructura), que afectan a las
operaciones de las organización por no estar inmersos en las mejores prácticas y
metodologías que involucran las tecnologías de información.
VII. Proyectos de Acciones a Realizar
VII.1. Proyección a Corto Plazo
a) Capacitación para el examen de certificación CISA
b) Certificación para Auditores de Tecnologías de Información proporcionada por
ISACA (Asociación de Control y Auditoría de Sistemas de Información).
c) Capacitación en Visual Basic y Macros en Excel
d) Realización de Cédulas Automatizadas, sobre procesos cotidianos y repetitivos,
para efectuarlos con mayor eficacia.
e) Establecer los procedimientos a elaborar y la información que dichas cédulas
deban mostrar, según los requerimientos antes establecidos entre Auditoría de
TI y las demás Auditorías, todo debidamente documentado.
• Predial
• Servicios personales
• Ingresos
• Almacén
f) Realización de Procedimientos con ACL para la revisión de los Entes.
g) Diagnóstico General Estatal, en base a los resultados obtenidos en la realización
de los Cuestionarios y levantamiento de Inventarios por partes de los Entes del
proyecto SIDATI.
h) Diagnóstico General Estatal, de Catastro e Impuesto Predial.
PLANEACIÓN ESTRATÉGICA Página 16
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
i) Auditar el Área de Sistemas de los Entes fiscalizables que se tomarán como
muestra.
VII.1.1. Realización de Pruebas Sustantivas
Cabe hacer mención que el área de tecnologías de información brinda apoyo a las
áreas de cumplimiento financiero, realizando procedimientos automatizados.
a) Gobierno del Estado
En los rubros de servicios personales, adquisiciones e ingresos, se validan los cálculos
de los principales conceptos de cada una de las partidas, así como cruces con otras
dependencias para la determinación de inconsistencias, coincidencias y hallazgos
relevantes, entre otros procedimientos que solicite el área de cumplimiento financiero.
b) Descentralizados Estatales
En los rubros de servicios personales, adquisiciones y almacén, se validan los cálculos
de los principales conceptos de cada una de las partidas, así como cruces con otras
dependencias para la determinación de inconsistencias, coincidencias y hallazgos
relevantes, entre otros procedimientos que solicite el área de cumplimiento financiero.
Num. Ente Fiscalizable
1 Pensiones Civiles del Estado
2 Universidad Autónoma de Chihuahua
3 Universidad Autónoma de Juárez
4 Instituto Chihuahuense de Salud
PLANEACIÓN ESTRATÉGICA Página 17
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
5 Servicios Estatales de Salud
6 Servicios Educativos del Estado de Chihuahua
7 Universidad Pedagógica Nacional
c) Entes Municipales
En el rubro del impuesto predial, verificar que los cobros realizados por este concepto
se efectúen correctamente, validando a través de las herramientas informáticas el
cumplimiento a la normatividad correspondiente.
NUM. MUNICIPIO
1 Ahumada
2 Aldama
3 Allende
4 Aquiles Serdán
5 Ascensión
6 Bachíniva
7 Balleza
8 Batopilas
9 Bocoyna
10 Buenaventura
11 Camargo
12 Carichí
13 Casas Grandes
14 Coronado
15 Coyame del Sotol
PLANEACIÓN ESTRATÉGICA Página 18
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
16 La Cruz
17 Cuauhtémoc
18 Cusihuiriachi
19 Chihuahua
20 Chínipas
21 Delicias
22 Dr. Belisario Domínguez
23 Galeana
24 Gómez Farías
25 Gran Morelos
26 Guachochi
27 Guadalupe
28 Guadalupe y Calvo
29 Guazapares
30 Guerrero
31 Hidalgo del Parral
32 Huejotitán
33 Ignacio Zaragoza
34 Janos
35 Jiménez
36 Juárez
37 Julimes
38 López
39 Madera
40 Maguarichi
41 Manuel Benavides
PLANEACIÓN ESTRATÉGICA Página 19
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
42 Matachí
43 Matamoros
44 Meoqui
45 Morelos
46 Moris
47 Namiquipa
48 Nonoava
49 Nuevo Casas Grandes
50 Ocampo
51 Ojinaga
52 Práxedis G. Guerrero
53 Riva Palacio
54 Rosales
55 Rosario
56 San Francisco de Borja
57 San Francisco de Conchos
58 San Francisco del Oro
59 Santa Bárbara
60 Santa Isabel
61 Satevó
62 Saucillo
63 Temósachic
64 El Tule
65 Urique
66 Uruachi
67 Valle de Zaragoza
PLANEACIÓN ESTRATÉGICA Página 20
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
d) Juntas Municipales de Agua y Saneamiento
En el rubro de ingresos por conceptos de pago de agua, drenaje y saneamiento se hace
la validación del cálculo según sus tarifas, apegándose a la normatividad
correspondiente.
Num. Ente Fiscalizable
1 Chihuahua
2 Juárez
3 Cuauhtémoc
4 Guachochi
5 Nuevo Casas Grandes
6 Guerreo
7 Camargo
VII.2. Proyección a Mediano Plazo
a) Seguimiento del diagnóstico general estatal, en base a los resultados obtenidos
en la realización de los cuestionarios y levantamiento de Inventarios por partes
de los Entes del proyecto SIDATI.
b) Auditar el área de sistemas de los Entes fiscalizables, que se tomarán como
muestra.
VII.3. Proyección a Largo Plazo
a) Realización de cursos para capacitar a otros entes fiscalizadores en el tema de
Auditoria de Tecnologías de Información.
PLANEACIÓN ESTRATÉGICA Página 21
AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
top related