mÓdulo iii auditoria de adquisiciones auditorÍa informÁtica

MÓDULO IIIAUDITORIA DE ADQUISICIONES

AUDITORÍA INFORMÁTICA

Adquisiones de Equipo, Programas, Materiales y Recurso

Humano La mayoría de las empresas privadas e La mayoría de las empresas privadas e

instituciones de gobierno invierten sumas instituciones de gobierno invierten sumas considerables de dinero durante el proceso de considerables de dinero durante el proceso de adquisición de software, hardware y servicios adquisición de software, hardware y servicios que ofrecen los proveedores de sistemas de que ofrecen los proveedores de sistemas de tecnología de informacióntecnología de información


Humano

Este hecho incrementa en forma potencial el Este hecho incrementa en forma potencial el riesgo de que ocurran fallas operativas de software riesgo de que ocurran fallas operativas de software y hardware y que las personas incompetentes sean y hardware y que las personas incompetentes sean los que brinden este servicio.los que brinden este servicio.

Para minimizar este riesgo se deben establecer Para minimizar este riesgo se deben establecer controles apropiados durante el proceso de controles apropiados durante el proceso de adquisición.adquisición.


Humano La participación de auditores en sistemas de La participación de auditores en sistemas de

información desde el inicio de este proceso, podrá información desde el inicio de este proceso, podrá ser de gran ayuda en la determinación de áreas ser de gran ayuda en la determinación de áreas problemáticas y, contribuir de esta forma manera, problemáticas y, contribuir de esta forma manera, a un uso eficiente de los recursos de la a un uso eficiente de los recursos de la organizaciónorganización


Humano

Objetivos de la auditoríaObjetivos de la auditoría– Los objetivos que persique la revisión de la Los objetivos que persique la revisión de la

adquisición es la de asegurar que los recursos adquisición es la de asegurar que los recursos (dinero y tiempo) serán usados en la forma más (dinero y tiempo) serán usados en la forma más económica y eficiente durante el proceso de:económica y eficiente durante el proceso de:


Humano

ContinuaciónContinuación– Adquisición de hardware, equipo periférico, Adquisición de hardware, equipo periférico,

software de aplicación y contratación de recurso software de aplicación y contratación de recurso humanohumano

– Contratación de servicios de consultores en el Contratación de servicios de consultores en el desarrollo de nuevos sistemas desarrollo de nuevos sistemas


Humano

Objetivos y Técnicas de ControlObjetivos y Técnicas de Control– Existen dos áreas de suma importancia donde se Existen dos áreas de suma importancia donde se

deben ejercer controles:deben ejercer controles:» Hardware y software (incluye comunicaciones)Hardware y software (incluye comunicaciones)

» ServiciosServicios


Humano

HARDWARE Y SOFTWAREHARDWARE Y SOFTWARE– Objetivos de control: Los objetivos de control de la Objetivos de control: Los objetivos de control de la

adquisión de hardware y software están orientados a adquisión de hardware y software están orientados a asegurar que se establezcan controles apropiados que asegurar que se establezcan controles apropiados que permitan:permitan:

» Que los recursos de la organización estén siendo utilizados en Que los recursos de la organización estén siendo utilizados en forma económica y razonableforma económica y razonable

» Que los riesgos potenciales que se pudieran presentar sean Que los riesgos potenciales que se pudieran presentar sean minimizadosminimizados


Humano

Tecnicas de control para este objetivo:Tecnicas de control para este objetivo:– a) Papel y alcance de participación del auditor de sistemas a) Papel y alcance de participación del auditor de sistemas

durante el proceso de adquisición.durante el proceso de adquisición.» 1) Participar en el proceso de adquisición, modificación, 1) Participar en el proceso de adquisición, modificación,

adaptación e instalación del software formando parte del equipo adaptación e instalación del software formando parte del equipo de trabajo asignado. El auditor de sistemas deberá ser un de trabajo asignado. El auditor de sistemas deberá ser un miembro activo de dicho equipo (con voz pero sin voto), como lo miembro activo de dicho equipo (con voz pero sin voto), como lo son los analistas, programadores y usuarios. Sin embargo, se le son los analistas, programadores y usuarios. Sin embargo, se le considerará usuario para efectos de diseño de pistas y reportes de considerará usuario para efectos de diseño de pistas y reportes de auditoría.auditoría.


Humano

Continuación objetivos del auditor:Continuación objetivos del auditor:» 2) Revisar o definir los requerimientos de control para auditar el 2) Revisar o definir los requerimientos de control para auditar el

proceso de adquisición.proceso de adquisición.

» 3) Revisar que se evalúe la opción de adquirir paquetes de 3) Revisar que se evalúe la opción de adquirir paquetes de software versus desarrollo de sistemas.software versus desarrollo de sistemas.

» 4) Expresar opinión sobre si el software reúne los requerimientos 4) Expresar opinión sobre si el software reúne los requerimientos definidos.definidos.

» 5) Evaluar que se revisen las características, funciones y 5) Evaluar que se revisen las características, funciones y capacidades del software para determinar si cumplen con lo capacidades del software para determinar si cumplen con lo requerimientos del usuario.requerimientos del usuario.


Humano

Continuación objetivos del auditor:Continuación objetivos del auditor:» 6) Revisar que se evalúe la documentación suministrada 6) Revisar que se evalúe la documentación suministrada

por el proveedor del software y del hardware para por el proveedor del software y del hardware para determinar si está completa y es adecuada.determinar si está completa y es adecuada.

» 7) Participar activamente en las pruebas del software para 7) Participar activamente en las pruebas del software para determinar si está acorde con los requerimientos del determinar si está acorde con los requerimientos del usuario y las especificaciones del proveedor.usuario y las especificaciones del proveedor.


Humano

Otras tecnicas de control objetivo de Otras tecnicas de control objetivo de adquisición Hardware y software adquisición Hardware y software – b) La participación del auditor de sistemas durante b) La participación del auditor de sistemas durante

la adquisición, modificación, adaptación e la adquisición, modificación, adaptación e instalación del software debe incluir:instalación del software debe incluir:

» 1. Las aplicaciones1. Las aplicaciones

» 2. Los sistemas operativos2. Los sistemas operativos


Humano

Continuación:Continuación:» 3. Las herramientas gerenciales:3. Las herramientas gerenciales:

Los procesadores de palabrasLos procesadores de palabras Los paquetes de gráficosLos paquetes de gráficos Las hojas electrónicasLas hojas electrónicas Los paquetes para consulta e imprimir la información contenida Los paquetes para consulta e imprimir la información contenida

en los archivos de datos.en los archivos de datos. Utilitarios de uso administrativoUtilitarios de uso administrativo


Humano

Continuación otras tecnicas de controlContinuación otras tecnicas de control– c) El auditor de sistemas deberá revisar que se emplee c) El auditor de sistemas deberá revisar que se emplee

una metodología sistemática y objetiva para realizar la una metodología sistemática y objetiva para realizar la evaluación, selección y adquisición del software y el evaluación, selección y adquisición del software y el hardware.hardware.

– d) Los aspectos más importantes que debe aplicar la d) Los aspectos más importantes que debe aplicar la administración, para el desarrollo de la metodología de administración, para el desarrollo de la metodología de evaluación, selección y adquisición son los siguientes: evaluación, selección y adquisición son los siguientes:


Humano

Continuación otras técnicas de controlContinuación otras técnicas de control» 1. Definir los criterios de software1. Definir los criterios de software» 2. Establecer criterios de selección de software2. Establecer criterios de selección de software» 3. Identificar varios paquetes y sistemas hechos a la medida3. Identificar varios paquetes y sistemas hechos a la medida» 4. Redactar los términos de referencia de la propuesta4. Redactar los términos de referencia de la propuesta» 5. Avalar paquetes de software acordes con las funciones de los 5. Avalar paquetes de software acordes con las funciones de los

usuariosusuarios» 6. Avalar a los suministradores de software con base en la 6. Avalar a los suministradores de software con base en la

estabilidad financiera y reputación en el mercadoestabilidad financiera y reputación en el mercado


Humano

Continuación otras tecnicas de controlContinuación otras tecnicas de control» 7. Efectuar un estudio de mercado de satisfacción de clientes 7. Efectuar un estudio de mercado de satisfacción de clientes

en relación con los proveedores.en relación con los proveedores.

» 8. Avalar las funciones de sistemas y técnicas de los paquetes 8. Avalar las funciones de sistemas y técnicas de los paquetes de software para asegurarse de que la organización pueda ser de software para asegurarse de que la organización pueda ser autosuficiente en el mantenimiento.autosuficiente en el mantenimiento.

» 9. Avalar la documentación suministrada por el proveedor9. Avalar la documentación suministrada por el proveedor

» 10. Avalar la seguridad, auditabilidad y los puntos fuertes de 10. Avalar la seguridad, auditabilidad y los puntos fuertes de control del paquete de softwarecontrol del paquete de software


Humano

Continuación otras tecnicas de controlContinuación otras tecnicas de control» 11. Efectuar un análisis de costo-beneficio11. Efectuar un análisis de costo-beneficio

» 12. Seleccionar el paquete que reúna los mejores requisitos12. Seleccionar el paquete que reúna los mejores requisitos

» 13. Redactar y firmar los términos contractuales y adquirir el 13. Redactar y firmar los términos contractuales y adquirir el paquete.paquete.

– e) Los usuarios y los req. del software muestran los e) Los usuarios y los req. del software muestran los objetivos y la necesidad para que el software y el hardware objetivos y la necesidad para que el software y el hardware sea desarrollado y documentado antes de que el proceso de sea desarrollado y documentado antes de que el proceso de adquisición sea iniciado.adquisición sea iniciado.


Humano

Los requerimientos de los sistemas de aplicación Los requerimientos de los sistemas de aplicación han sido organizados en 20 categorías: han sido organizados en 20 categorías: – 1) Requerimientos del usuario: Se deben considerar los 1) Requerimientos del usuario: Se deben considerar los

tipos de medios de entrada requeridos tales como:tipos de medios de entrada requeridos tales como:» a) Un documento fuente.a) Un documento fuente.

» b) Una terminal de pantalla de despliegue visual.b) Una terminal de pantalla de despliegue visual.

» c) Una lectora óptica de documentos.c) Una lectora óptica de documentos.

» d) Una lectora de caracteres magnéticos.d) Una lectora de caracteres magnéticos.


Humano

Continuación requerimientos usuarios, medios Continuación requerimientos usuarios, medios entrada:entrada:

» e) Un lector de discos compactos (Unidad de CD)e) Un lector de discos compactos (Unidad de CD)» f) Comunicacionesf) Comunicaciones» g) Otros métodos de captura de datos que existan.g) Otros métodos de captura de datos que existan.

– También se deben considerar los tipos de cálculos que el También se deben considerar los tipos de cálculos que el computador debe efectuar con elementos críticos de datos computador debe efectuar con elementos críticos de datos y la secuencia de eventos y transacciones a procesar.y la secuencia de eventos y transacciones a procesar.


Humano

Continuación requerimientos usuarios, medios entrada:Continuación requerimientos usuarios, medios entrada:– Es importante también tomar en cuenta los medios de salida que se Es importante también tomar en cuenta los medios de salida que se

requerirán:requerirán:» a) Impresoras lineales y de matriz de tinta, láser.a) Impresoras lineales y de matriz de tinta, láser.

» b) Terminalesb) Terminales

» c) Microfilmadorasc) Microfilmadoras

» d) Disqueted) Disquete

» e) Comunicacionese) Comunicaciones

» f) Cintasf) Cintas

» g) Grabadores de disco compacto (CD Writer)g) Grabadores de disco compacto (CD Writer)


Humano

Los efectos financieros que pueden producir leyes del Los efectos financieros que pueden producir leyes del gobierno, impuestos y efectos contables especiales, gobierno, impuestos y efectos contables especiales, deben ser tomados en cuenta como requerimientos deben ser tomados en cuenta como requerimientos del usuariosdel usuarios

También es importante considerar los datos de También es importante considerar los datos de entrada y los requerimientos de proceso de manejo y entrada y los requerimientos de proceso de manejo y corrección de errores, en relación con el sistema corrección de errores, en relación con el sistema manual versus automatizado.manual versus automatizado.


Humano

Se debe considerar el uso de parámetros manejables y Se debe considerar el uso de parámetros manejables y tangibles en cuanto a las características del software tangibles en cuanto a las características del software en relación con agregar o borrar datos que permitan en relación con agregar o borrar datos que permitan mantener flexibilidad y fácil mantenimiento a los mantener flexibilidad y fácil mantenimiento a los archivosarchivos

Se debe dar énfasis al software que permita opciones Se debe dar énfasis al software que permita opciones por omisión (default) para asegurar la integridad de por omisión (default) para asegurar la integridad de los datoslos datos


Humano

También se debe identificar el nivel y tipo de También se debe identificar el nivel y tipo de habilidades que deben tener los usuarios y los habilidades que deben tener los usuarios y los esfuerzos requeridos para preparar datos de esfuerzos requeridos para preparar datos de entrada y revisar reportes de salidaentrada y revisar reportes de salida

Es importante tomar en cuenta el período de Es importante tomar en cuenta el período de vida del paquete de softwarevida del paquete de software


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 2) Requerimientos técnicos del sistema2) Requerimientos técnicos del sistema

» Se deben considerar las necesidades del sistema operativo, Se deben considerar las necesidades del sistema operativo, compiladores, lenguajes y herramientas de desarrollo, técnicas de compiladores, lenguajes y herramientas de desarrollo, técnicas de acceso y administración de archivos, utilitarios y software de soporte. acceso y administración de archivos, utilitarios y software de soporte. También es necesario tomar en cuenta la dependencia del software de También es necesario tomar en cuenta la dependencia del software de dispositivos y pruebas que contenga el software. Transportabilidad o dispositivos y pruebas que contenga el software. Transportabilidad o compatibilidad que ofrezca el software para pasar de un computador a compatibilidad que ofrezca el software para pasar de un computador a otro. Considerar la facilidad de desarrollo de programas, incluyendo otro. Considerar la facilidad de desarrollo de programas, incluyendo los cambios que se puedan efectuar a un programa ya elaborado. los cambios que se puedan efectuar a un programa ya elaborado.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 3) 3) Requerimientos de productividad del softwareRequerimientos de productividad del software

» Se deben considerar y establecer medidas de productividad del software, tales comoSe deben considerar y establecer medidas de productividad del software, tales como :: Tiempos de respuestaTiempos de respuesta Tiempos de procesoTiempos de proceso Capacidad de multitareasCapacidad de multitareas Velocidad y capacidad de pseudoimpresorasVelocidad y capacidad de pseudoimpresoras Velocidad de manejo de colas de salidaVelocidad de manejo de colas de salida Tiempos de transf. datos para redes y líneas de comunicaciones.Tiempos de transf. datos para redes y líneas de comunicaciones. Comparación de indicadores resultantes de benchmarkingComparación de indicadores resultantes de benchmarking


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 4) Requerimientos de procesamiento4) Requerimientos de procesamiento

» Es conveniente tomar en cuenta los tipos de transacciones de entrada y salida, el Es conveniente tomar en cuenta los tipos de transacciones de entrada y salida, el volumen y las tendencias de crecimiento de las transacciones y archivos volumen y las tendencias de crecimiento de las transacciones y archivos maestros. También se debe considerar la capacidad actual y potencial de la maestros. También se debe considerar la capacidad actual y potencial de la memoria, los discos, cintas y cualquier otro medio de almacenamiento masivo.memoria, los discos, cintas y cualquier otro medio de almacenamiento masivo.

» Es importante determinar los tiempos bajos y picos requeridos para el Es importante determinar los tiempos bajos y picos requeridos para el procesamiento de todas las transacciones y los tiempos para efectuar respaldos procesamiento de todas las transacciones y los tiempos para efectuar respaldos de información. Asimismo, considerar la modalidad de procesamiento (línea-de información. Asimismo, considerar la modalidad de procesamiento (línea-lotes) y la organización de los archivos (archivos planos y base de datos)lotes) y la organización de los archivos (archivos planos y base de datos)


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 5) Requerimientos de seguridad 5) Requerimientos de seguridad

» Se deben considerar todas las necesidades de seguridad, privacidad y controles de Se deben considerar todas las necesidades de seguridad, privacidad y controles de acceso para terminales, archivos, programas, bibliotecas y procesamientos acceso para terminales, archivos, programas, bibliotecas y procesamientos utilizando niveles múltiples de palabras claves y otros tipos de identificaciones para utilizando niveles múltiples de palabras claves y otros tipos de identificaciones para el sistema y las personas.el sistema y las personas.

» En caso de enlaces o redes entre micros y minis o mainframes, se deben tomar en En caso de enlaces o redes entre micros y minis o mainframes, se deben tomar en cuenta los controles de acceso, respaldo, recuperación y reinicio y otras alternativas cuenta los controles de acceso, respaldo, recuperación y reinicio y otras alternativas para restaurar operaciones.para restaurar operaciones.

» También se deben tomar en cuenta técnicas de encriptación y bitácoras También se deben tomar en cuenta técnicas de encriptación y bitácoras automatizadas de los eventos que ocurran durante el procesamiento de la automatizadas de los eventos que ocurran durante el procesamiento de la información. Proc. línea consider uso firewallinformación. Proc. línea consider uso firewall


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 6) Requerimientos de auditoría6) Requerimientos de auditoría

» Es necesario considerar la disponibilidad de módulos de auditoría pertinentes a las Es necesario considerar la disponibilidad de módulos de auditoría pertinentes a las circunstancias de operación de la empresa, selección de transacciones y módulos circunstancias de operación de la empresa, selección de transacciones y módulos de auditoría protegidos tales como extensiones de registros en el software.de auditoría protegidos tales como extensiones de registros en el software.

» Se debe considerar la inclusión de “salidas de usuario” en puntos críticos de Se debe considerar la inclusión de “salidas de usuario” en puntos críticos de procesamiento cuando no existen dichos módulos de auditoría.procesamiento cuando no existen dichos módulos de auditoría.

» El software debe contener pistas de auditoría (en papel o en forma electrónica) El software debe contener pistas de auditoría (en papel o en forma electrónica) requeridas.requeridas.

» También se deben considerar la compatividad de las estructuras de los archivos También se deben considerar la compatividad de las estructuras de los archivos entre los paquetes de auditoría generalizadas y el software de análisisentre los paquetes de auditoría generalizadas y el software de análisis


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 7) Requerimientos de Control7) Requerimientos de Control

» Se debe considerar la necesidad de los programas Se debe considerar la necesidad de los programas automatizados de procesamiento de control interno automatizados de procesamiento de control interno requeridos en términos de edición y validación de rutinas requeridos en términos de edición y validación de rutinas y controles de corrida a corrida. En caso de no existir y controles de corrida a corrida. En caso de no existir estos programas se deben identificar los controles estos programas se deben identificar los controles manuales para sustituir los controles automatizados.manuales para sustituir los controles automatizados.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 8) Requerimientos de hardware y equipo periférico8) Requerimientos de hardware y equipo periférico

» Se debe considerar el número y tipo de unidades centrales Se debe considerar el número y tipo de unidades centrales de proceso (UPC), discos(flexibles, duros, compactos, dvd, de proceso (UPC), discos(flexibles, duros, compactos, dvd, etc) y cintas magnéticas requeridas.etc) y cintas magnéticas requeridas.

» También se debe considerar los equipos de comunicaciones También se debe considerar los equipos de comunicaciones tales como: modems, líneas de comunicación, tales como: modems, líneas de comunicación, concentradores y cualquier otro tipo de equipo relacionado. concentradores y cualquier otro tipo de equipo relacionado.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 9) Requer. de adaptaciones o modif al software9) Requer. de adaptaciones o modif al software

» Se debe consider la naturaleza y alcance de las adaptaciones o Se debe consider la naturaleza y alcance de las adaptaciones o modificaciones de mayor o menor grado que se deben efectuar al software.modificaciones de mayor o menor grado que se deben efectuar al software.

» El equipo de trabajo deberá estar más interesado en entender las políticas El equipo de trabajo deberá estar más interesado en entender las políticas del proveedor del software en relación con las modificaciones, y en del proveedor del software en relación con las modificaciones, y en determinar las consecuencias y los impactos de las modificaciones con determinar las consecuencias y los impactos de las modificaciones con

respecto a las obligaciones que se contraen con la firma del contratorespecto a las obligaciones que se contraen con la firma del contrato..» Los detalles de las modificaciones podrán ser determinados una vez que el Los detalles de las modificaciones podrán ser determinados una vez que el

software sea adquirido.software sea adquirido.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 10) Requerimientos de interfaces con otros sistemas10) Requerimientos de interfaces con otros sistemas

» Se deben considerar cuáles sistemas o programas Se deben considerar cuáles sistemas o programas requieren de interfaces, dónde, cómo y cuándo se requieren de interfaces, dónde, cómo y cuándo se aplicarán las interfaces y qué criterios serán utilizados. aplicarán las interfaces y qué criterios serán utilizados.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 11) Requerimientos de conversión11) Requerimientos de conversión

» Se deben consider los nombres y tipos de archivos de datos y su Se deben consider los nombres y tipos de archivos de datos y su origen (papel o medios electrónicos), procesamientos de control de origen (papel o medios electrónicos), procesamientos de control de trabajos y los programas que se requerirán convertir con el estimado trabajos y los programas que se requerirán convertir con el estimado de tiempos de conversión.de tiempos de conversión.

» Se deben establecer los criterios de verificación de la conversión y Se deben establecer los criterios de verificación de la conversión y asignar responsabilidades durante la etapa de conversiónasignar responsabilidades durante la etapa de conversión

» También se deben identificar las herramientas de conversiónTambién se deben identificar las herramientas de conversión


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 12) Requerimientos de documentación12) Requerimientos de documentación

» Se deben considerar los tipos, niveles y cantidades de Se deben considerar los tipos, niveles y cantidades de manuales de documentos del software requerido.manuales de documentos del software requerido.

» También se deben identificar las necesidades y También se deben identificar las necesidades y requerimientos de la documentación de las interfaces del requerimientos de la documentación de las interfaces del software con otras aplicaciones y si se ajustan y cumplen software con otras aplicaciones y si se ajustan y cumplen con los estándares definidos para el área de cómputo.con los estándares definidos para el área de cómputo.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 13) Requerimientos de servicio y soporte del 13) Requerimientos de servicio y soporte del

proveedorproveedor» Se deben considerar el nivel, tipo y tamaño del equipo de Se deben considerar el nivel, tipo y tamaño del equipo de

soporte técnico del suministrador en cuanto a conversión soporte técnico del suministrador en cuanto a conversión y entrenamiento requerido durante la instalación y post y entrenamiento requerido durante la instalación y post instalación del sistema.instalación del sistema.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 14) Requerimientos de instalación de software: Se debe 14) Requerimientos de instalación de software: Se debe

considear:considear:» Los procedimientos de carga y descarga del plan de instalación Los procedimientos de carga y descarga del plan de instalación

del softwaredel software» El personal interno requeridoEl personal interno requerido» El personal técnico del suministrado del softwareEl personal técnico del suministrado del software» El localEl local» El tiempo requerido para implantarlo. El tiempo requerido para implantarlo.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 15) Requerimientos de entrenamiento15) Requerimientos de entrenamiento

» Se deben considerar el nivel, tipo y tiempo de Se deben considerar el nivel, tipo y tiempo de entrenamiento requerido dentro y fuera de la entrenamiento requerido dentro y fuera de la organización.organización.

» Se deben identificar los participantes requeridos, tanto Se deben identificar los participantes requeridos, tanto usuarios directos del sistema como usuarios indirectos, así usuarios directos del sistema como usuarios indirectos, así como el personal de operaciones del computador.como el personal de operaciones del computador.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 16) 16) Requerimientos de pruebas del software. Se debe considerar:Requerimientos de pruebas del software. Se debe considerar:

» La naturaleza y extensión de las pruebas requeridas (programas, prueba integrada, La naturaleza y extensión de las pruebas requeridas (programas, prueba integrada, aceptación y paralelo)aceptación y paralelo)

» Prueba de criteriosPrueba de criterios

» Plan de pruebasPlan de pruebas

» Prueba de casosPrueba de casos

» Prueba de datosPrueba de datos

» Prueba de resultados esperadosPrueba de resultados esperados

» Prueba de evaluacón de resultadosPrueba de evaluacón de resultados

» Las acciones correctivas a tomarLas acciones correctivas a tomar


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 17) Requerimientos del contrato17) Requerimientos del contrato

» Se debe considerar una garantía de cumplimiento del Se debe considerar una garantía de cumplimiento del suministrador del software que tenga una vigencia de suministrador del software que tenga una vigencia de por lo menos tres períodos después de la puesta en por lo menos tres períodos después de la puesta en marcha de sistema.marcha de sistema.

» También es importante dividir los pagos en relación a También es importante dividir los pagos en relación a los tiempos de cumplimiento de las etapas del sistema.los tiempos de cumplimiento de las etapas del sistema.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 18) Requerimientos de operación18) Requerimientos de operación

» Se deben considerar el número y tipos requeridos de discos, cintas, Se deben considerar el número y tipos requeridos de discos, cintas, casettes, disquettes, etc.casettes, disquettes, etc.

» También se deben identificar los volúmenes y consumos de También se deben identificar los volúmenes y consumos de papelería y suministros y de algunas fórmulas especiales papelería y suministros y de algunas fórmulas especiales requeridas. Debe considerarse el suministro oportuno de tinta o requeridas. Debe considerarse el suministro oportuno de tinta o tonner para las impresoras. Asimismo, se deben identificar los tonner para las impresoras. Asimismo, se deben identificar los itinerarios de los trabajos del computador que se requieran y el itinerarios de los trabajos del computador que se requieran y el personaje de digitación.personaje de digitación.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 19) Requerimientos futuros de software19) Requerimientos futuros de software

» Se debe considerar las necesidades y requerimientos de Se debe considerar las necesidades y requerimientos de información futuras que se relacionen con el software en estudio.información futuras que se relacionen con el software en estudio.

» Normalmente estos requerimientos si no se determinan, luego se Normalmente estos requerimientos si no se determinan, luego se olvidan. Por ejemplo, contemplar la compra de un paquete de olvidan. Por ejemplo, contemplar la compra de un paquete de planillas ahora cuando el usuario está planeando sustituir todo el planillas ahora cuando el usuario está planeando sustituir todo el sistema financiero por un paquete integrado en un futuro cercano y sistema financiero por un paquete integrado en un futuro cercano y la planilla es parte de este paquete.la planilla es parte de este paquete.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– 19) 19) Requerimientos de organización: Se deben considerar el Requerimientos de organización: Se deben considerar el

tiempo y la naturaleza de la adquisición de nuevos negocios y tiempo y la naturaleza de la adquisición de nuevos negocios y fusiones que puedan impactar la instalación e implementación de fusiones que puedan impactar la instalación e implementación de software.software.

» Establecer un comité denominado “Comité de Informática o de Establecer un comité denominado “Comité de Informática o de Sistemas”, de alto nivel que se responsabilice de iniciar, guiar y Sistemas”, de alto nivel que se responsabilice de iniciar, guiar y supervisar los planes de adquisición, el proceso del proyecto y supervisar los planes de adquisición, el proceso del proyecto y resuelva los problemas que se pudieran presentar. El comité resuelva los problemas que se pudieran presentar. El comité debe ser presidido por la gerencia general.debe ser presidido por la gerencia general.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– Continuación requerimientos de organizaciónContinuación requerimientos de organización

» Se debe controlar la proliferación de microcomputadoras. Se debe controlar la proliferación de microcomputadoras. Cualquier adquisición de este tipo de equipo deberá ser Cualquier adquisición de este tipo de equipo deberá ser revisado y llevar el Visto Bueno del responsable de T.I y revisado y llevar el Visto Bueno del responsable de T.I y el comité de Informática.el comité de Informática.

» Se debe efectuar un análisis financiero para determinar si Se debe efectuar un análisis financiero para determinar si el retorno de la inversión es aceptable para la adquisiciónel retorno de la inversión es aceptable para la adquisición


Humano


» El hardware y el software solo será adquirido si va a El hardware y el software solo será adquirido si va a producir más ventajas, ahorros y beneficios que otra producir más ventajas, ahorros y beneficios que otra alternativa de procesamiento (sistemas manuales, alquiler alternativa de procesamiento (sistemas manuales, alquiler de servicios, tiempo compartido, etc)de servicios, tiempo compartido, etc)

» La decisión gerencial de adquisición deberá estar soportada La decisión gerencial de adquisición deberá estar soportada por un análisis de medición del desempeño del equipo por un análisis de medición del desempeño del equipo basado en herramientas de software confiablebasado en herramientas de software confiable


Humano


» Se debe aplicar un apropiado criterio de selección y ponerlo a Se debe aplicar un apropiado criterio de selección y ponerlo a disposición de los proveedores como términos de referencia disposición de los proveedores como términos de referencia para recibir propuestas formales de dichos proveedores.para recibir propuestas formales de dichos proveedores.

» Los términos y aspectos legales de la contratación deben ser Los términos y aspectos legales de la contratación deben ser cuidadosamente analizados por abogados antes de llevar a cuidadosamente analizados por abogados antes de llevar a cabo la selección final y también deberán ser revisadas por el cabo la selección final y también deberán ser revisadas por el auditor de sistemasauditor de sistemas


Humano


» Se deben obtener los programas fuente del software para Se deben obtener los programas fuente del software para asegurarse la no dependencia del proveedor. (Debe asegurarse la no dependencia del proveedor. (Debe considerarse el lenguaje de desarrollo)considerarse el lenguaje de desarrollo)

» Se debe preparar un estudio de factibilidad, el cual debe Se debe preparar un estudio de factibilidad, el cual debe ser revisado por los usuarios, el personal de cómputo y el ser revisado por los usuarios, el personal de cómputo y el auditor de sistemas.auditor de sistemas.


Humano


» Se deben establecer los criterios de competencia (Benchmark) Se deben establecer los criterios de competencia (Benchmark) y enviarlos a los proveedores de equipo y los resultados deben y enviarlos a los proveedores de equipo y los resultados deben ser evaluados y retenidos.ser evaluados y retenidos.

» Se debe efectuar un estudio de costo-beneficio del software Se debe efectuar un estudio de costo-beneficio del software ofrecido.ofrecido.

» Los costos del software deben ser clasificados en costos no Los costos del software deben ser clasificados en costos no recurrentes (una sola vez) y costos recurrentes. recurrentes (una sola vez) y costos recurrentes.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– Costos no recurrentes:Costos no recurrentes:

» El precio básico del paquete de software y el pago de la licencia El precio básico del paquete de software y el pago de la licencia de uso.de uso.

» Costos de opciones especiales antes y después de la instalación.Costos de opciones especiales antes y después de la instalación.» Honorarios de abogados y consultores externos.Honorarios de abogados y consultores externos.» Gastos de viajes, hospedajes y alimentación.Gastos de viajes, hospedajes y alimentación.» Costos de entrenamiento en la utilización del paquete.Costos de entrenamiento en la utilización del paquete.


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– Costos no recurrentes:Costos no recurrentes:

» Costos de modificación al software.Costos de modificación al software.

» Costos de compra del computador, equipo periférico, etcCostos de compra del computador, equipo periférico, etc

» Contratación de nuevos empleados y los costos asociados Contratación de nuevos empleados y los costos asociados al entrenamiento.al entrenamiento.

» Costos de conversión e instalaciónCostos de conversión e instalación

» Costos de documentaciónCostos de documentación


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– Costos recurrentes:Costos recurrentes:

» Costos de soporte del proveedor (mantenimiento anual, Costos de soporte del proveedor (mantenimiento anual, pago de nuevas versiones, pago de modificaciones pago de nuevas versiones, pago de modificaciones después de la implantación, etc).después de la implantación, etc).

» Suministros de cómputo (carretes de cintas, discos, papel, Suministros de cómputo (carretes de cintas, discos, papel, tinta, toner y cintas de impresoras, etc).tinta, toner y cintas de impresoras, etc).

» Actualizaciones a los manuales de documentaciónActualizaciones a los manuales de documentación


Humano

Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)– Costos recurrentes:Costos recurrentes:

» Beneficios cualitativos (mejora en la toma de decisiones Beneficios cualitativos (mejora en la toma de decisiones basadas en la informacion oportuna y relevante que produce el basadas en la informacion oportuna y relevante que produce el sistema) y cuantitativos (reducción de las horas extra o personal sistema) y cuantitativos (reducción de las horas extra o personal asociado al sistema, optimización de los niveles de inventarios) asociado al sistema, optimización de los niveles de inventarios)

» Equipo rentadoEquipo rentado

» Los seguros que se paguen al INS como protección de los Los seguros que se paguen al INS como protección de los productos.productos.


Humano

SERVICIOSSERVICIOS– 1) Objetivos de control: Los objetivos de control para los 1) Objetivos de control: Los objetivos de control para los

servicios en el proceso de adquisición son los de asegurar servicios en el proceso de adquisición son los de asegurar que se han establecido controles apropiados que permitan que se han establecido controles apropiados que permitan verificar que exista:verificar que exista:

» Razonabilidad en el uso económico de los recursos de la Razonabilidad en el uso económico de los recursos de la organización.organización.

» Que los riesgos potenciales negativos que pudieran incidir son Que los riesgos potenciales negativos que pudieran incidir son los mínimos y son inmaterialeslos mínimos y son inmateriales


Humano

Técnica de control, objetivos de control Servicios.Técnica de control, objetivos de control Servicios.– A) Se deben seleccionar y contratar consultores externos que A) Se deben seleccionar y contratar consultores externos que

gocen de prestigio y buena reputación en caso de necesitar sus gocen de prestigio y buena reputación en caso de necesitar sus servicios. Se debe preparar una propuesta de servicios y firmar servicios. Se debe preparar una propuesta de servicios y firmar el respectivo contrato.el respectivo contrato.

– B) Las empresas que brindan servicios de cómputo y tiempo B) Las empresas que brindan servicios de cómputo y tiempo compartido deben ser seleccionadas y contratadas con base en compartido deben ser seleccionadas y contratadas con base en la nueva reputación, experiencia, estabilidad, sólida posición la nueva reputación, experiencia, estabilidad, sólida posición financiera, etcfinanciera, etc


Humano

Técnica de control, objetivos de control Servicios.Técnica de control, objetivos de control Servicios.– C) Las empresas que brindan servicios de cómputo y tiempo C) Las empresas que brindan servicios de cómputo y tiempo

compartido deben ser contratadas solamente si se ha llegado a compartido deben ser contratadas solamente si se ha llegado a la conclusión de que no se puede proveer esos servicios la conclusión de que no se puede proveer esos servicios internamente en una forma económica.internamente en una forma económica.

– D) Se debe firmar un contrato que debe ser revisado por un D) Se debe firmar un contrato que debe ser revisado por un abogado y ser modificado, en caso de ser necesario, si se llega a abogado y ser modificado, en caso de ser necesario, si se llega a contratar empresas que brindan servicios de cómputo y tiempo contratar empresas que brindan servicios de cómputo y tiempo compartido.compartido.


Humano

Programa de trabajo de AuditoríaPrograma de trabajo de Auditoría– El programa de trabajo para la revisión de la El programa de trabajo para la revisión de la

adquisición consiste en los siguientes pasos:adquisición consiste en los siguientes pasos:


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– 1. Completar el trabajo preliminar de la planeación1. Completar el trabajo preliminar de la planeación

» Este paso incluye la identificación y selección del centro de Este paso incluye la identificación y selección del centro de cómputo a ser auditado. (en el caso de que existan varias cómputo a ser auditado. (en el caso de que existan varias localizaciones), basado en la matriz de planeación de localizaciones), basado en la matriz de planeación de auditoria que se presenta al final de este módulo (riesgos auditoria que se presenta al final de este módulo (riesgos potenciales del CC) o en una petición hecha por la gerencia. potenciales del CC) o en una petición hecha por la gerencia. El auditor de sistemas deberá revisar los papeles de trabajo y El auditor de sistemas deberá revisar los papeles de trabajo y los reportes, previo a la intervención donde sea aplicablelos reportes, previo a la intervención donde sea aplicable


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– 2. Identificar las fuentes de información para las 2. Identificar las fuentes de información para las

revisiones de auditorias y la realización de las pruebas.revisiones de auditorias y la realización de las pruebas.» Este segundo paso se relaciona con la identificación de las Este segundo paso se relaciona con la identificación de las

fuentes de información requeridas durante los procesos de fuentes de información requeridas durante los procesos de revisión y las pruebas. Las fuentes juegan un papel muy revisión y las pruebas. Las fuentes juegan un papel muy importante ya que son el soporte y la documentación de las importante ya que son el soporte y la documentación de las evidencias.evidencias.


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– Algunas fuentes de información son:Algunas fuentes de información son:

» Papeles de trabajo previos a la intervenciónPapeles de trabajo previos a la intervención

» Informes de auditorías de revisiones anterioresInformes de auditorías de revisiones anteriores

» Recomendaciones de revisiones anterioresRecomendaciones de revisiones anteriores

» Manual de políticas y procedimientos de la empresaManual de políticas y procedimientos de la empresa

» Manual de estándares, políticas y procedimientos del área de Manual de estándares, políticas y procedimientos del área de procesamientos electrónico de datosprocesamientos electrónico de datos

» Manual de auditoría de sistemas de informaciónManual de auditoría de sistemas de información


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– continuación algunas fuentes de información:continuación algunas fuentes de información:

» Todos los contratos firmados con proveedores de equipo, Todos los contratos firmados con proveedores de equipo, software, consultores, etcsoftware, consultores, etc

» Las facturas de pagos a consultores externosLas facturas de pagos a consultores externos

» Carteles o cotizaciones presentadasCarteles o cotizaciones presentadas

» Informes de progreso del estado de los proyectosInformes de progreso del estado de los proyectos

» Planes de implementación de hardware y softwarePlanes de implementación de hardware y software


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– continuación....continuación....

» Informes de estudios de factibilidadInformes de estudios de factibilidad» Resultados de pruebas de competencia (Bench Mark)Resultados de pruebas de competencia (Bench Mark)» Memorandum del establecimiento del comité de sistemas y el Memorandum del establecimiento del comité de sistemas y el

libro de actaslibro de actas» Informes de revisiones de terceras personasInformes de revisiones de terceras personas» Organigrama del área de procesamiento electrónico de datos y Organigrama del área de procesamiento electrónico de datos y

de las áreas usuarias.de las áreas usuarias.


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– continuación....continuación....

» Informes de productividad de la máquina y bitácora del Informes de productividad de la máquina y bitácora del sistemasistema

» Archivos permanentes del auditor de sistemasArchivos permanentes del auditor de sistemas


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– 3. Diseñar y desarrollar los procedimientos3. Diseñar y desarrollar los procedimientos

» Este paso incluye la identificación y selección de la Este paso incluye la identificación y selección de la metodología de verificación y las pruebas que se deberá metodología de verificación y las pruebas que se deberá aplicar para revisar los controles del proceso de adquisiciónaplicar para revisar los controles del proceso de adquisición

» Este paso también incluye la utilización de procedimientos Este paso también incluye la utilización de procedimientos detallados de auditoría hechos a la medida o estándares que detallados de auditoría hechos a la medida o estándares que deben contener listas de chequeo y cuestionarios.deben contener listas de chequeo y cuestionarios.


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría– 4. Ejecutar la revisión y pruebas de cumplimiento 4. Ejecutar la revisión y pruebas de cumplimiento

para los controlespara los controles» A continuación se presentan algunas revisiones de A continuación se presentan algunas revisiones de

auditoría y pruebas de controles:auditoría y pruebas de controles:

» Hardware y Software:Hardware y Software:


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría» a) Revisar el memorando de constitución del comité de a) Revisar el memorando de constitución del comité de

sistemas, las minutas de reuniones y otro tipo de información sistemas, las minutas de reuniones y otro tipo de información disponible para tener un entendimiento de los planes de disponible para tener un entendimiento de los planes de adquisición y el desarrollo de dichos planes.adquisición y el desarrollo de dichos planes.

» b) Revisar el informe del estudio de factibilidad para determinar b) Revisar el informe del estudio de factibilidad para determinar si los objetivos propuestos y los propósitos del sistema son si los objetivos propuestos y los propósitos del sistema son consistentes con la información contenida en las propuestas consistentes con la información contenida en las propuestas solicitantes a los proveedores y a las requisiciones de servicio de solicitantes a los proveedores y a las requisiciones de servicio de los usuarios.los usuarios.


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría» c) Asegurarse de que cada propuesta recibida de los c) Asegurarse de que cada propuesta recibida de los

proveedores fue evaluada con el mismo criterio de selección.proveedores fue evaluada con el mismo criterio de selección.» d) Revisar la correspondencia con los proveedores para d) Revisar la correspondencia con los proveedores para

determinar si la decisión final fue comunicada formalmente a determinar si la decisión final fue comunicada formalmente a todos los proveedorestodos los proveedores

» e) Revisar el resultado de las pruebas de competencia e) Revisar el resultado de las pruebas de competencia (Benchmark) para determinar si se realizó en forma (Benchmark) para determinar si se realizó en forma consistente y válida para llegar a una decisión final.consistente y válida para llegar a una decisión final.


Humano

Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría» f) Asegurarse de que el financiamiento del hardware y f) Asegurarse de que el financiamiento del hardware y

equipo periférico, ya se ha comprado, rentado o alquilado equipo periférico, ya se ha comprado, rentado o alquilado con opción de compra, sea consistente con el plan de con opción de compra, sea consistente con el plan de adquisición de hardware.adquisición de hardware.

» g) Determinar que la conversión del nuevo sistema haya g) Determinar que la conversión del nuevo sistema haya sido llevado a cabo en un ambiente controlado y el sido llevado a cabo en un ambiente controlado y el software haya sido probado completamente con software haya sido probado completamente con resultados prederminadosresultados prederminados

mÓdulo iii auditoria de adquisiciones auditorÍa informÁtica

Documents