PRIMERA EDICION

Auditoría a la Gestión

Informática Propuesta Metodológica

Milton Efraín Guamán

Quito, Enero del 2016

2

DATOS DEL AUTOR

Ing. Milton Efraín Guamán Msc. MBA

Profesión: Ingeniero Informático

Magister en Finanzas y Gestión de Riesgos

Magister en Dirección de Empresas

Docencia: Universidad Central del Ecuador

Universidad Politécnica Salesiana

Universidad Internacional del Ecuador

Instituto de Altos Estudios Nacionales – IAEN

Fundación Tecnológicas de Latinoamérica – FATLA

Correo: milton.guaman@live.com

3

INTRODUCCIÓN

La Auditoría a la Gestión Informática es ejecutada por profesionales capacitados para el efecto, consiste en recopilar y evaluar evidencias para determinar en un sistema computacional muchos factores como los siguientes: Integridad de los datos, Uso eficiente de los recursos, Flujos de información y emisión de resultados, etc. El país posee una infinidad de empresas que se dedican a brindar servicios y realizar operaciones comerciales de todo tipo, por tal razón, para lograr el cumplimiento de los objetivos establecidos por estas empresas, deben contar con un sistema computacional que les permita controlar y optimizar el uso y costo de los recursos humanos, materiales, económicos y sus operaciones financieras. De la misma forma los sistemas computacionales deben asegurar el correcto ingreso de sus datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados. La importancia de esta asignatura, radica en que su

análisis y estudio permite fomentar en el estudiante

la capacidad de desarrollar y utilizar metodologías,

técnicas y herramientas tecnológicas para auditar

los sistemas computacionales.

4

IMPORTANCIA

La Auditoría a la Gestión Informática es aquella que se dedica a la revisión técnica, especializada y exhaustiva de los sistemas computacionales, evaluando el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de los mismos y la emisión oportuna de sus resultados en la empresa.

Se enfoca en el conocimiento de los requerimientos que son necesarios para lograr una administración y un control adecuado de TI, este modelo ha sido alineado y armonizado con otros estándares y mejores prácticas contenidas en los estándares más avanzados.

5

INDICE DE CONTENIDOS

CAPÍTULO I ................................................................................................................................. 6

1. PROCESO DE AUDITORIA ........................................................................................... 6

1.1. GENERALIDADES ................................................................................................. 6

1.2. PROCESO DE AUDITORIA – NO-CONFORMIDAD/ OBSERVACIONES/

RECOMENDACIONES .................................................................................................... 10

1.3. PLAN PARA PREPARAR AUDITORIAS TRIMESTRALES /

SEMESTRALES ............................................................................................................... 11

CAPÍTULO II ............................................................................................................................. 18

2. PROPUESTA METODOLÓGICA ................................................................................ 18

2.1. PROPUESTA METODOLÓGICA ....................................................................... 18

2.1. INFORME DE AUDITORÍA (PUNTOS CLAVE Y EJEMPLO) ....................... 19

2.1. FECHA DE CIERRE / ESTADO DE NO-CONFORMIDADES ...................... 23

BIBLIOGRAFÍA Y NETGRAFÍA ............................................................................................. 26

BIBLIOGRAFIA ..................................................................................................................... 26

NETGRAFIA .......................................................................................................................... 26

6

CAPÍTULO I

1. PROCESO DE AUDITORIA

1.1. GENERALIDADES

Beneficios de una Auditoria:

Permite examinar parámetros vitales que aseguran la salud general del proyecto

Como cualquier examen, la cooperación del auditados es necesaria

Identificar riesgos que el proyecto debe impedir

Identificar acciones que deben ser tomadas en cuenta para mejorar la salud del

proyecto

Proceso de Auditoria de acuerdo a ISO 9001:2008 - ETVX:

Que es un proceso:

Un proceso es un conjunto de actividades o eventos (coordinados u organizados) que

se realizan bajo ciertas circunstancias con un fin determinado.

ETVX entry/task/validation/exit:

Criterio de Entrada (entry): Lista de condiciones que se debe cumplir antes de iniciar

la actividad

Tareas (task): Conjunto de tareas que se debe realizar

7

Validación (validation): Verificar la calidad de los items de trabajo

Salidas(exit): Condiciones que se debe cumplir antes de entregar la actividad

ETVX entry/task/validation/exit de una auditoria:

PROPOSITO:

Garantizar que los proyectos y/o actividades se ejecuten según sus planes de proyecto

ENTRADAS (entry):

Planes de proyecto

Auditoria del proyecto.

Auditoria de otros registros del proyecto.

TAREAS / VALIDACIONES (validation):

Auditado: Elaborar la presentación de global de su proyecto. Enviar la presentación un

día antes de la reunión de auditoria.

Auditor/Auditado: generan la entrevista de acuerdo a calendario

Auditor: genera informe de auditoria con hallazgos o no-conformidades NCRs

Auditado: Gestionar el cierre de las NCRs.

Auditor: Genera seguimiento de cierre de NCRs.

8

SALIDAS (exit):

1. Presentación global de su proyecto

2. Realización de la entrevista de auditoria

3. Reporte de auditoria

NOTA: La Auditoria se realiza de acuerdo a periodos: cada tres meses (Quarter) para

aéreas que manejan procesos principales y cada seis meses (Half Year) para grupos

de soporte

Auditoría:

Verificar si la información financiera, operacional, administrativa y tecnológica que se

presenta es confiable, veras y oportuna. Es revisar que los hechos, fenómenos y

operaciones se den en la forma como fueron planeados y que las políticas y

lineamientos establecidos por la Corporación hayan sido respetados.

Auditoría de Sistemas Informáticos y de Calidad:

Actividad que se realiza para comprobar, mediante el examen y la evaluación de

evidencias objetivas, que el Sistema de Calidad es adecuado y haya sido desarrollado,

documentado y efectivamente implantado de acuerdo con los requisitos especificados.

Auditor:

Persona calificada para manejar y realizar auditorías, encargada de validar la evidencia

entregada por el auditado.

Auditado:

Persona o grupos de personas que muestran evidencias objetivas del cumplimiento de

políticas y lineamientos establecidos por la Corporación

9

A que procesos tecnológicos vamos a auditar?

De acuerdo a la cadena de valor, existen procesos de Gobierno, Procesos Principales y

procesos de Soporte. Si el proceso Tecnológico es de soporte, e desglose tecnológico es de

acuerdo a la siguiente imagen:

Definición de Año Fiscal (fiscal year – FY)

El año fiscal inicia en Enero y termina en Diciembre

El año fiscal esta compuesto por cuatro trimestres (cuatro Quarter)

El año fiscal esta compuesto por dos semestres (dos Half Year)

Año Fiscal (Fiscal Year – FY) -> para el año 2017 seria FY2017

10

Periodicidad de las auditorias:

La Auditoria se realiza de acuerdo a periodos: cada tres meses (Quarter) para aéreas

que manejan procesos principales y cada seis meses (Half Year) para grupos que

manejan procesos de soporte.

AUDITORIAS CADA TRES MESES (CADA QUARTER)

AUDITORIAS CADA SEIS MESES (CADA HALF YEAR)

Procesos Principales Procesos de Soporte Gestión de Marketing Gestión de Ventas Gestión de Productos y Servicios Gestión de Servicio al Cliente

Administración de las Finanzas Administración de los recursos humanos Provisión de materiales y servicios Desarrollo y mantenimiento de sistemas y tecnología manejo de servicios e infraestructura corporativa manejo de aspectos ambientales planificación y administración administración de los servicios legales

1.2. PROCESO DE AUDITORIA – NO-CONFORMIDAD/

OBSERVACIONES/ RECOMENDACIONES

En el informe de auditoría se debe registrar los hallazgos encontrados, el auditor deberá indicar al auditado que los hallazgos son "oportunidad de mejora", en el informe debe existir: no-conformidades, no-conformidades escalables, observaciones y recomendaciones.

NO CONFORMIDADES (NCR):

El auditor encuentra insatisfacción a las exigencias especificadas o con los requisitos

pre establecidos.

Ejemplos:

Ausencia de un contrato firmado

No existe un cronograma de capacitaciones o cronograma de vacaciones

Incumplimiento de una actividad dentro de un proceso

NO CONFORMIDADES ESCALABLES (NCRE):

Si auditor observa un incumplimiento con las exigencias especificadas o con los

requisitos pre establecidos, pero pertenece a otra área diferente a la auditada.

Ejemplos:

11

No muestra el plan de carrera (este tema es de RRHH)

No muestra la utilidad $$ de su Unidad (este tema es del Financiero)

OBSERVACIONES:

Cuando el auditor observa una situación específica que no implica desviación ni

incumplimiento de requisitos, pero que constituye una oportunidad de mejora.

Ejemplos:

Mejora o aumento de la memoria RAM de los equipos de computo

Simplificación de la documentación

Mejora de manuales de usuario o manuales de procesos

RECOMENDACIONES:

Sugerencia que el Auditor puede realizar a los auditados.

Las recomendaciones son más constructivas cuando se encaminan a atacar las causas de

los problemas observados, se refieren a acciones específicas y van dirigidas a quienes

deben emprender esas acciones

1.3. PLAN PARA PREPARAR AUDITORIAS TRIMESTRALES /

SEMESTRALES

El plan de auditorías será preparado por el auditor y compartido al auditado, este tiene dos días

para solicitar cambiar fecha/hora. El plan contiene: nombre del proyecto, nombre del auditado y

auditor, fecha/hora propuesta, lugar (ver ejemplo)

12

PROCESOS COMUNES

Para ejemplificar, se tomara algunos procesos de la “ISO 9001:2008-Gestión de Calidad

(Quality Management)” y “ISO 22301:2012-Gestión de Riesgos y Plan de Continuidad

(Business Continuity Plan)” escogemos solamente a 31 procesos que los vamos a

considerar como procesos comunes.

13

14

PROCESOS INFRAESTRUCTURA TECNOLÓGICA (HW/SW)

Para ejemplificar, se tomara algunos procesos de la “ISO 20000:2005:Gestión de servicios

tecnológicos (IT Service Management)” y “ISO27001:2005:Gestión de Seguridad de la

Información (IT Security Information Management)” y ‘ISO 22301:2012-Gestión de Riesgos y

Plan de Continuidad (Business Continuity Plan)” e “ITIL (Information Technology Infrastructure

Library” se escoge a 36 procesos.

15

16

17

18

CAPÍTULO II

2. PROPUESTA METODOLÓGICA

2.1. PROPUESTA METODOLÓGICA

Enfoque de la auditoria:

El enfoque de la auditoria se relaciona a tomar una muestra de los 31 procesos

comunes + 36 procesos IS tecnológica (en este ejemplo se escogió en total 7 procesos

para auditar)

Ejecución de la reunión de auditoría:

DURANTE LA ENTREVISTA

Responda al auditor de manera cordial y resalte los aspectos positivos de su trabajo y

de la organización

Responda únicamente a lo que el Auditor le pregunta y presente la evidencia

estrictamente necesaria para demostrar lo que Usted está afirmando.

Demuestre interés por las necesidades y expectativas del Auditor y colabórele en lo

que esté a su alcance

En lo posible resuelva a la mayor brevedad las no-conformidades que sean

encontradas durante el transcurso de la Auditoría

19

Feedback del auditor al auditado:

El auditor debe crear un ambiente favorable para el desarrollo de la Auditoria

El auditor debe establecer una relación fructífera entre el Auditor y el Auditado

No debe generar conflictos entre el Auditor y el Auditado

El Auditor debe comunicar todos los hallazgos/no-conformidades que se van encontrando y

comunicar la forma de cierre de estos hallazgos/no-conformidades.

El auditor debe compartir las mejores practicas con el auditado

El Auditado debe saber responder su proceso/actividad que realiza para cumplir con las normas ISO/COSO/ITIL/COBIT.

Feedback al auditor – infraestructura:

Caso: El proyecto ha solicitado un software especial XYZ hace unos 3 meses, sin

embargo la solicitud aún sigue abierta, razón por la cual el cronograma del proyecto se

encuentra afectado.

Identificación/provisión/mantenimiento de la infraestructura tecnológica necesaria

Esto puede ser una no-conformidad para el grupo de Infraestructura tecnológica, debido a

que no se han cumplido las fechas del cronograma.

El auditor debe también validar el cumplimiento de las actividades:

Gestión de Incidentes (Incident Management)

Gestión de Problemas (Problem Management)

Gestión de Configuraciones (Configuration Management)

Gestión de Cambios (Change Management)

Gestión de Entregas (Release Management)

La Auditoría ayuda a que el proyecto o área disminuya sus riesgos y problemas

2.1. INFORME DE AUDITORÍA (PUNTOS CLAVE Y EJEMPLO)

Luego de la ejecución de la reunión de auditoria, el auditor deberá presentar en los próximos 5

días el INFORME DE AUDITORIA, que debe contener:

* fecha de la auditoria,

20

* nombre del auditor,

* nombre del auditado,

* nombre del proceso (ver dentro de la cadena de valor proceso principal/soporte);

* y además cumplir la siguiente estructura:

1.ARTEFACTOS AUDITADOS:

2.OBJETIVO:

3.ALCANCE:

4.ANTECEDENTES:

5.INFORME DE AUDITORIA:

6.NO CONFORMIDADES (NCR) / OBSERVACIONES / RECOMENDACIONES

6.1. FORMA DE CIERRE

7. FIRMA AUDITOR AUDITADO

21

Seguimiento de cierre de no-conformidades:

El auditor genera un reporte de seguimiento de cierre de NCRs que fueron levantadas,

lo registra en un Excel en la auditoria y se sugiere realizar un seguimiento de cierre

quincenal.

Seguimiento de cierre de no-conformidades:

22

El auditor genera un reporte de seguimiento de cierre de NCRs al 19/05/2015. La

NCR2 esta en amarillo porque tiene 2 días para su vencimiento, la NCR3 y NCR4

están en verde porque aun no vence.

El auditor genera un reporte de seguimiento de cierre de NCRs al 10/06/2015. La

NCR2 esta en rojo con estado PROGRESO porque envió incompleto la evidencia, pero

aún no ha enviado toda la evidencia, la NCR4 esta en rojo con estado ABIERTO

porque no ha enviado ninguna evidencia para cierre de la NCR.

23

Fecha de cierre / estado de no-conformidades

2.1. FECHA DE CIERRE / ESTADO DE NO-CONFORMIDADES

Para el campo “FECHA MAXIMA CIERRE” se va a manejar por colores:

Para el campo “ESTADO” va a manejar:

EJEMPLO DE SEGUIMIENTO PARA MOSTRAR COLORES Y ESTADOS-FECHA:

20/05/2015

MINUTA DE REUNIÓN CON GERENCIA

Al 10/06/2015, la NCR2 y NCR4 están en color rojo, la una porque envió incompleto evidencia,

y la NCR4 no ha enviado ninguna evidencia. Con este input se genera una reunión con la

Gerencia y se mostrara las no-conformidades que no han cumplido la “fecha máxima cierre”, en

esta reunión se logra compromisos y nuevas fechas de cierre. Luego de la reunión debe existir

una “MOM - minuta de reunión”.

24

SEGUIMIENTO DE CIERRE DE NO-CONFORMIDADES

El auditor genera un reporte de seguimiento de cierre de NCRs al 12/06/2015, luego de la

reunión con Gerencia. La NCR2 y NCR4 tienen nuevas “fechas máxima cierre”.

25

Atributos de un auditor:

BUEN AUDITOR

• Objetivo. • De amplio criterio. • Cortéz pero firme. • Oyente paciente. • Puntual. • Preparado. • Buen comunicador • De mente abierta • Imparcial

MAL AUDITOR • Obstinado. • Subjetivo. • Cínico. • Crédulo. • Perezoso. • Juzga por las apariencias sin investigar • Sin preparación. Sin interés

Expectativas de los auditores:

Se requiere de los auditores que:

Verifiquen el cumplimiento y eficacia de procesos

Brinden sugerencias, que añadan valor basados en experiencia.

Destaquen cuestiones e inquietudes mediante el informe de auditoría.

Compartan las mejores prácticas - a y de proyectos.

Sugieran mejoras a los procesos de calidad

Generen los informes de auditoría dentro de 5 días laborables.

Participen de manera activa en las auditorías, se comprometan a las fechas de

auditoría dentro de la programación de auditoría

Porqué debo realizar auditorías?

Experiencia de aprendizaje

Sentido de autoridad, empoderamiento

Compartir experiencias y apoyo

Contribución a las actividades de la organización

26

BIBLIOGRAFÍA Y NETGRAFÍA

BIBLIOGRAFIA

1. Piattini,MarioG.,DelPeso,EMILIO, AuditoríaInformática-UnEnfoquePráctico,

EditorialAlfaomega,SEGUNDA EDICIÓN. (Disponible enla bibliotecade laFacultad de Ciencias

Administrativas delaUniversidadCentral)

2. Muñoz RazoCarlos,AuditoríaenSistemasComputacionales,Pearson

Educación,PRIMERAEDICIÓN,deC.V.,MéxicoDF.

Sistemas de Información Gerencial de Laudon K. y Laudon J., décimo segunda edición

Laudon K. y Laudon J., Sistemas de Información Gerencial, Décimo segunda edición

3. EcheniqueGarcía, JoséAuditoríaenInformática.MéxicoDF,McGraw-Hill.2001

4. HernándezHernándezEnrique,AuditoríaenInformática,-Unenfoquemetodológico,

primeraedición,CompañíaEditorial Continental,S.A.deC.V.,1995, México,D.F.

5. AsolísMontes,GustavoAdolfo,Reingeniería de la Auditoría Informática, Editorial Trillas

S.A.deC.V.2002,MéxicoD.F.

NETGRAFIA

1. Introducciónala AuditoríadeSistemas,video

http://www.youtube.com/watch?v=u3L3C7qaMaE

2. ApuntessobreAuditoríaInformática.

http://auditoriasistemas.com/auditoria-informatica

3. Texto:Auditoria Informática.Unenfoquepráctico -Mario Piattini[PDF |Español]

http://libroscompletos.com/informatica/auditoria-informatica-un-enfoque-practico-mario-piattini-

(pdf-espanol)

4. AuditoríaInformática- Programa Expertos E-Learning

Ing Cesar Villa Maura MsC - FATLA 2010

27

5. Tipos de AuditoríasInformáticas

http://es.scribd.com/doc/18646089/TIPOS-Y-CLASES-DE-AUDITORIAS-INFORMATICAS

5. Metodologíade unaAuditoríade Sistemas

http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Archivos/METODLOGIA%20DE%2

0UNA%20AUDITORIA%20DE%20SISTEMAS.pdf