Índice - auditoriachihuahua.gob.mx · administración de ti y sirven como facilitadores para...

Índice

PLANEACIÓN ESTRATÉGICA Página 2

AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN

Introducción .............................................................................................................................. 4

I. Justificación ........................................................................................................................... 5

I.1. Filosofía ........................................................................................................................... 7

II. Antecedentes ....................................................................................................................... 8

III. Objetivos .............................................................................................................................. 9

III.1. General .......................................................................................................................... 9

III.2. Específicos ................................................................................................................... 10

IV. Marco Teórico ................................................................................................................... 10

V. Análisis de Situación Actual .............................................................................................. 12

V.1. Análisis FODA .............................................................................................................. 12

V.2. Metas Estratégicas ...................................................................................................... 14

VI. Problema Eje ..................................................................................................................... 14

VII. Proyectos de Acciones a Realizar ................................................................................... 15

VII.1. Proyección a Corto Plazo .......................................................................................... 15

VII.2. Proyección a Mediano Plazo .................................................................................... 20

VII.3. Proyección a Largo Plazo .......................................................................................... 20



Introducción

La auditoría de tecnologías de información se define de manera general como cualquier

otra auditoría: un proceso sistemático por el cual un equipo o una persona calificada,

competente e independiente obtiene y evalúa objetivamente la evidencia respecto a las

afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular

e informar sobre el grado de cumplimiento en que se implementa dicha afirmación.

Para realizar este tipo de auditoría se deben aplicar normas técnicas y buenas prácticas

dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y

disponibilidad de la información tratada y almacenada a través del computador y

equipos afines, así como de la eficiencia, eficacia y economía con que la administración

de un ente está manejando dicha información y todos los recursos físicos y humanos

asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y

almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo

cual se aplican técnicas de auditoría de general aceptación y conocimiento técnico

específico.

En cuanto a especialidad profesional, debe ser apoyada por un conjunto de

conocimientos acerca de la tecnología informática, de técnicas y procedimientos de

auditoría y de conocimientos contables suficientes, para evaluar la calidad, fiabilidad y

seguridad de un entorno informático, así como brindar seguridad razonable acerca de

la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un

juicio al respecto, complementariamente, el trabajo desarrollado, deberá permitir la

emisión de un juicio u opinión acerca de lo adecuado del control informático.



Por lo que resulta necesario constatar que se sigan acciones que aseguren la integridad,

confidencialidad, confiabilidad y disponibilidad de la misma, para lo cual existen

normas, técnicas y mejores prácticas dedicadas a la evaluación y aseguramiento de la

calidad, seguridad, razonabilidad y disponibilidad de la información utilizada y

almacenada a través de la infraestructura tecnológica, así como de la eficiencia, eficacia

y economía con que la administración de una organización están manejando dicha

información y todos los recursos físicos y humanos asociados para su adquisición,

captura, procesamiento, distribución, uso, servicio y almacenamiento.

I. Justificación

Con la creciente proyección que tiene la tecnología de información en las funciones

directivas, administrativas y operativas de todo tipo de organizaciones y empresas, sin

importar su tamaño, sector o giro, ésta se perfila desde los años setentas como un

ámbito de participación del auditor a través de una de sus ramas que es la Auditoría en

Tecnologías de Información.

La información es un recurso clave para todas las empresas y desde el momento en que

la información se crea hasta que es destruida, la tecnología juega un papel importante,

la tecnología de la información está avanzando cada vez más y se ha generalizado en las

empresas y en entornos sociales, públicos y de negocios.

Durante la pasada década, el término “gobierno de TI” ha pasado a la vanguardia del

pensamiento empresarial como respuesta a algunos ejemplos que han demostrado la

importancia del buen gobierno y, en el otro extremo de la balanza, a incidentes

corporativos a nivel global. Empresas de éxito han reconocido que el comité y los

ejecutivos deben aceptar las tecnologías de información como cualquier otra parte



importante de hacer negocios. Los comités y la dirección tanto en funciones de negocio

como de tecnologías de información deben colaborar y trabajar juntos, de modo que se

incluya a éstas en el enfoque del gobierno y la gestión. Además, cada vez se aprueba

más legislación y se implementan regulaciones para cubrir esta necesidad.

Dada la importancia que tiene la información hoy en día y lo relevante y vital que es

para cualquier organización, es necesario implementar estándares de control basados

en las mejores prácticas y metodologías internacionales que garanticen la integridad de

la información.

Para los municipios son varios los factores que implican no estar involucrados con estas

metodologías, por desconocimiento, ya que no están al día en cuáles son las mejores

prácticas de procedimientos informáticos, la falta de recursos tanto económicos como

humanos, falta de interés y/o que la administración municipal no cuenta con el tiempo

suficiente (gestión de su administración de 3 años) para lograr la implementación de

estas metodologías y mejores prácticas.

Basados en el marco de Control COBIT (Objetivos de Control para la Información y

Tecnologías Relacionadas), que busca desarrollar, publicar y promover un autoritario y

actualizado conjunto internacional de objetivos de control de tecnologías de

información, generalmente aceptadas, para el uso diario por parte de gestores de

negocio y auditores; los entes pueden llegar a generar las mejores prácticas de las

administración de TI y sirven como facilitadores para establecer el Gobierno de TI y

cumplir con el constante incremento de requerimientos regulatorios.



I.1. Filosofía

Misión

Brindar a través de las auditorías, la información suficiente y competente, que permita la

implementación de controles para una mejora continua que ayude a la prevención de

delitos informáticos en los entes a fiscalizar.

Visión

El Área de Auditoría de Tecnologías de Información vigila y controla los recursos

informáticos de los entes fiscalizables, logrando un conocimiento del inventario de

Infraestructura Tecnológica del Estado de Chihuahua. Cumpliendo así con las metas

institucionales de la Auditoría Superior del Estado.



Principios Éticos

Honestidad

Objetividad

Razonabilidad

Confiabilidad

Imparcialidad

Institucionalidad

II. Antecedentes

La Auditoría Superior del Estado es el Órgano del Poder Legislativo del Estado de

Chihuahua que por disposición de la Constitución Estatal y de conformidad con la ley

que la crea, tiene la función de auditar el ingreso y la aplicación de los recursos públicos

de los tres poderes de Gobierno del Estado, los Ayuntamientos, los organismos que por

disposición constitucional estén dotados de autonomía, los organismos públicos

descentralizados, empresas de participación y fideicomisos de la administración pública

o privada, que reciba, maneje, recaude o administre recursos públicos, con la finalidad

de coadyuvar al desarrollo permanente de la eficiencia, eficacia, economía y

transparencia de la gestión pública.

Con el modelo multidireccional que la Auditoría Superior del Estado de Chihuahua está

implementando para desarrollar su facultad de fiscalización de la cuenta pública,

incorpora el Área de Auditoría de Tecnologías de Información, en donde una de las

funciones de esta área, es conocer la situación en la cual se encuentran las tecnologías

de información de los entes públicos.



La fiscalización de los recursos públicos debe realizarse desde el punto de vista

financiero, contable, presupuestal, técnico de obra, legalidad y de gestión; la revisión

de las cuentas públicas se realizaba de manera bidireccional, es decir solo desde el

punto de vista financiero y de obra, lo que ocasionaba que la gestión gubernamental

dejara de ser evaluada bajo la óptica de varias disciplinas para cumplir con mayor

eficiencia la función que nos han encomendado, es indispensable incorporar en los

procesos de auditoría disciplinas tales como: Tecnologías de Información, Ambiental,

Legalidad y Desempeño, logrando así que el recurso público sea auditado y fiscalizado

bajo la perspectiva multidisciplinaria, dando la pauta a la fiscalización multidireccional.

III. Objetivos

III.1. General

Promover y elevar la cultura del aprovechamiento en el uso de las Tecnologías de

Información en los Entes a fiscalizar, constatando que se lleven a cabo las mejores

prácticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad,

confiabilidad y disponibilidad de la información, garantizando de esta manera la

prevención ante posibles contingencias que puedan impedir la continuidad del uso de

los recursos informáticos.

Realizar las actividades correspondientes a la verificación de los controles internos

establecidos en el área de Sistemas, así como el estudio de seguridad física y lógica, el

análisis de los riesgos a que está expuesta la información y los equipos de cómputo.



III.2. Específicos

Determinar la situación actual del área informática, las actividades y esfuerzos

necesarios para lograr los objetivos propuestos.

Minimizar existencias de riesgos en el uso de Tecnología de información.

Evaluar la dependencia de los sistemas y las medidas tomadas para garantizar su

disponibilidad y continuidad.

Revisar la seguridad de los entornos y sistemas.

Evaluar la suficiencia y eficacia de los planes de contingencia.

Analizar la garantía de calidad de los Sistemas de Información

Brindar una opinión y recomendaciones sobre la utilización eficiente de los

recursos informáticos.

Analizar los controles y procedimientos tanto organizativos como operativos.

Apoyar a las demás áreas de auditoría con la realización de pruebas sustantivas y

de cumplimiento con el uso de las herramientas informáticas.

IV. Marco Teórico

En los últimos años la tecnología de información se ha convertido en el detonador del

crecimiento de las organizaciones alrededor del mundo, permitiéndoles a éstas entrar a

un mercado internacional, a un mundo globalizado. “La tecnología de información (TI)

es una herramienta de la ciencia de la informática capaz de realizar tareas como

almacenar, procesar y trasformar datos de las actividades operativas de una

organización, mediante el uso de equipo de cómputo”. Las inversiones en TI las

podemos ver en todos los sectores; automotriz, textil, banca, construcción, sector

público, etc. Muchas veces estos avances representan para las organizaciones una

ventaja estratégica, una diferenciación o una mejor manera de dar soporte. La



tecnología de información puede ayudar en varios ámbitos: en mejorar un producto, en

ofrecer mejores servicios o en administrar mejor los recursos de una organización.

Gracias a la TI los ejecutivos tienen la posibilidad de administrar con mayor eficiencia y

productividad las organizaciones, disminuyendo tiempos, costos, desperdicios,

incertidumbre y falta de comunicación. La información es el recurso más importante de

las organizaciones hoy en día, si se administra de la mejor manera puede significar una

ventaja competitiva ante las demás organizaciones. Muchas de éstas invierten enormes

cantidades en tecnología de información y se quedan a la mitad de sus proyectos o los

cancelan. Hay que definir métodos para implementar estas tecnologías y evaluar el

impacto que tendrán en la organización.

El marco de Control COBIT (Objetivos de Control para la Información y Tecnologías

Relacionadas), es una metodología que consolida y armoniza las mejores prácticas de

Control Interno de Tecnologías de Información a nivel mundial; se utiliza para planear,

implementar, controlar y evaluar los recursos Informáticos de una organización.

El marco establece el enfoque general y, a partir de ahí, se pueden usar la orientación

proporcionada por normas específicas y buenas prácticas para diseñar políticas,

procesos, prácticas y procedimientos específicos. Al trabajar dentro de un marco y

aprovechar las buenas prácticas, se pueden desarrollar y optimizar los procesos de

gobierno adecuados y otros catalizadores de forma que el gobierno de TI de la

organización funcione de manera eficaz como parte de una práctica de negocio normal

y exista una cultura de apoyar, demostrada por la alta dirección. La alineación con

COBIT también debería ocasionar auditorías externas más rápidas y más eficientes ya

que COBIT es ampliamente aceptado como una base para los procedimientos de

auditoría de TI.



V. Análisis de Situación Actual

Como primera acción se desarrolló e implementó un sistema que permitió la aplicación

de un cuestionario de control interno y la solicitud de inventarios de tecnologías de

información a cada uno de los entes que conforman el sector gubernamental, con la

finalidad de obtener un diagnóstico general de los recursos informáticos (humano,

técnico, y de sistemas) del sector público del Estado de Chihuahua.

Derivado de la aplicación del cuestionario del control interno, se observa que

actualmente las tecnologías de información dentro de las organizaciones

gubernamentales; no tienen la debida atención por parte de las altas direcciones para

destinar recursos tanto humanos como económicos que permita tener una adecuada

administración de los recursos involucrados con las tecnologías de información (nómina,

almacén, ingresos, egresos, compras, proveedores, etc)

V.1. Análisis FODA

Fortalezas

Anuencia e interés del Auditor Superior en el área de Auditoria a los sistemas

Se cuenta con personal capacitado en el área de auditoria de Tecnologías de

Información.

Motivación del personal del área para realizar y llevar a cabo las funciones que el

Coordinador encomiende.

Compromiso institucional del personal del área para la mejora continua.

Capacidad de revisar gran cantidad de datos electrónicos en poco tiempo por

medio de herramientas electrónicas.



Oportunidades

Actualización constante de las Tecnologías de Información que generan un

mayor campo de acción.

Interés por el personal auditado en mejorar los sistemas de información y las

tecnologías así como el control interno.

Debilidades

No se cuenta con el personal suficiente para poder revisar el mayor porcentaje

de Entes Fiscalizables.

Falta de licenciamiento suficiente de paquetes informáticos que ayudan en la

realización de pruebas sustantivas y revisión de los sistemas a los entes

fiscalizables.

Falta de antecedentes de la Auditoría de Tecnologías de Información a nivel

nacional.

Amenazas

Falta de conocimiento por parte del personal de los Entes Fiscalizables.

Falta de presupuesto por parte de los Entes auditados para realizar mejoras a sus

tecnologías.

Tiempo de la gestión municipal reducido.

Surgimiento de nuevas tecnologías.



V.2. Metas Estratégicas

Seguimiento al desarrollo del proyecto SIDATI.

Establecer procedimientos para las auditorias de TI.

Establecer procedimientos para las pruebas sustantivas (análisis y validación de la

información, cálculos, cruces, extracción de información, entre otros).

Estandarizar las pruebas sustantivas de las juntas municipales de agua y

saneamiento. (sistema aquadmin, y sistema propio).

Validación y seguimiento al diagnóstico de TI

Certificación CISA (certificación de auditor de sistemas de información)

Capacitación continua

Proyecto de Padrón General de Usuarios y Contribuyentes.

VI. Problema Eje

El vertiginoso avance tecnológico ha incrementado cada vez más la dependencia de las

tecnologías de información en las instituciones, el crecimiento de este fenómeno

aumenta también los riesgos informáticos a los que se enfrentan, los datos como parte

esencial de la información es un activo que hoy en día ha tomado una importancia muy

relevante en el manejo, generación, resguardo y propagación de la misma, la

información es considerada un activo tan importante como cualquier otro en una

organización.

De lo anterior se deriva la importancia que las instituciones del sector público deban

poner énfasis en la administración eficiente de sus recursos informáticos, examinado el



panorama de las nuevas tecnologías de la información a través de la identificación de

los principales problemas (económicos, humanos y de infraestructura), que afectan a las

operaciones de las organización por no estar inmersos en las mejores prácticas y

metodologías que involucran las tecnologías de información.

VII. Proyectos de Acciones a Realizar

VII.1. Proyección a Corto Plazo

a) Capacitación para el examen de certificación CISA

b) Certificación para Auditores de Tecnologías de Información proporcionada por

ISACA (Asociación de Control y Auditoría de Sistemas de Información).

c) Capacitación en Visual Basic y Macros en Excel

d) Realización de Cédulas Automatizadas, sobre procesos cotidianos y repetitivos,

para efectuarlos con mayor eficacia.

e) Establecer los procedimientos a elaborar y la información que dichas cédulas

deban mostrar, según los requerimientos antes establecidos entre Auditoría de

TI y las demás Auditorías, todo debidamente documentado.

• Predial

• Servicios personales

• Ingresos

• Almacén

f) Realización de Procedimientos con ACL para la revisión de los Entes.

g) Diagnóstico General Estatal, en base a los resultados obtenidos en la realización

de los Cuestionarios y levantamiento de Inventarios por partes de los Entes del

proyecto SIDATI.

h) Diagnóstico General Estatal, de Catastro e Impuesto Predial.



i) Auditar el Área de Sistemas de los Entes fiscalizables que se tomarán como

muestra.

VII.1.1. Realización de Pruebas Sustantivas

Cabe hacer mención que el área de tecnologías de información brinda apoyo a las

áreas de cumplimiento financiero, realizando procedimientos automatizados.

a) Gobierno del Estado

En los rubros de servicios personales, adquisiciones e ingresos, se validan los cálculos

de los principales conceptos de cada una de las partidas, así como cruces con otras

dependencias para la determinación de inconsistencias, coincidencias y hallazgos

relevantes, entre otros procedimientos que solicite el área de cumplimiento financiero.

b) Descentralizados Estatales

En los rubros de servicios personales, adquisiciones y almacén, se validan los cálculos

de los principales conceptos de cada una de las partidas, así como cruces con otras

dependencias para la determinación de inconsistencias, coincidencias y hallazgos

relevantes, entre otros procedimientos que solicite el área de cumplimiento financiero.

Num. Ente Fiscalizable

1 Pensiones Civiles del Estado

2 Universidad Autónoma de Chihuahua

3 Universidad Autónoma de Juárez

4 Instituto Chihuahuense de Salud



5 Servicios Estatales de Salud

6 Servicios Educativos del Estado de Chihuahua

7 Universidad Pedagógica Nacional

c) Entes Municipales

En el rubro del impuesto predial, verificar que los cobros realizados por este concepto

se efectúen correctamente, validando a través de las herramientas informáticas el

cumplimiento a la normatividad correspondiente.

NUM. MUNICIPIO

1 Ahumada

2 Aldama

3 Allende

4 Aquiles Serdán

5 Ascensión

6 Bachíniva

7 Balleza

8 Batopilas

9 Bocoyna

10 Buenaventura

11 Camargo

12 Carichí

13 Casas Grandes

14 Coronado

15 Coyame del Sotol



16 La Cruz

17 Cuauhtémoc

18 Cusihuiriachi

19 Chihuahua

20 Chínipas

21 Delicias

22 Dr. Belisario Domínguez

23 Galeana

24 Gómez Farías

25 Gran Morelos

26 Guachochi

27 Guadalupe

28 Guadalupe y Calvo

29 Guazapares

30 Guerrero

31 Hidalgo del Parral

32 Huejotitán

33 Ignacio Zaragoza

34 Janos

35 Jiménez

36 Juárez

37 Julimes

38 López

39 Madera

40 Maguarichi

41 Manuel Benavides



42 Matachí

43 Matamoros

44 Meoqui

45 Morelos

46 Moris

47 Namiquipa

48 Nonoava

49 Nuevo Casas Grandes

50 Ocampo

51 Ojinaga

52 Práxedis G. Guerrero

53 Riva Palacio

54 Rosales

55 Rosario

56 San Francisco de Borja

57 San Francisco de Conchos

58 San Francisco del Oro

59 Santa Bárbara

60 Santa Isabel

61 Satevó

62 Saucillo

63 Temósachic

64 El Tule

65 Urique

66 Uruachi

67 Valle de Zaragoza



d) Juntas Municipales de Agua y Saneamiento

En el rubro de ingresos por conceptos de pago de agua, drenaje y saneamiento se hace

la validación del cálculo según sus tarifas, apegándose a la normatividad

correspondiente.

Num. Ente Fiscalizable

1 Chihuahua

2 Juárez

3 Cuauhtémoc

4 Guachochi

5 Nuevo Casas Grandes

6 Guerreo

7 Camargo

VII.2. Proyección a Mediano Plazo

a) Seguimiento del diagnóstico general estatal, en base a los resultados obtenidos

en la realización de los cuestionarios y levantamiento de Inventarios por partes

de los Entes del proyecto SIDATI.

b) Auditar el área de sistemas de los Entes fiscalizables, que se tomarán como

muestra.

VII.3. Proyección a Largo Plazo

a) Realización de cursos para capacitar a otros entes fiscalizadores en el tema de

Auditoria de Tecnologías de Información.

Índice - auditoriachihuahua.gob.mx · administración de ti y sirven como facilitadores para...

Documents