Carrera de Ingeniería de
Sistemas Computacionales
1
Bach. Arturo Fernando Granados Rodríguez
Capítulo I:
PLAN DE
INVESTIGA...
Carrera de Ingeniería de
Sistemas Computacionales
2
Bach. Arturo Fernando Granados Rodríguez
I. GENERALIDADES
1.1. AUTOR
B...
Carrera de Ingeniería de
Sistemas Computacionales
3
Bach. Arturo Fernando Granados Rodríguez
Cronograma de trabajo en Micr...
Carrera de Ingeniería de
Sistemas Computacionales
4
Bach. Arturo Fernando Granados Rodríguez
1.10. PRESUPUESTO
Costo total...
Carrera de Ingeniería de
Sistemas Computacionales
5
Bach. Arturo Fernando Granados Rodríguez
II PLAN DE INVESTIGACION
2.1....
Carrera de Ingeniería de
Sistemas Computacionales
6
Bach. Arturo Fernando Granados Rodríguez
2.1.3. Antecedentes del Probl...
Carrera de Ingeniería de
Sistemas Computacionales
7
Bach. Arturo Fernando Granados Rodríguez
Obtener Titulo de: Contador P...
Carrera de Ingeniería de
Sistemas Computacionales
8
Bach. Arturo Fernando Granados Rodríguez
Institución: Universidad Priv...
Carrera de Ingeniería de
Sistemas Computacionales
9
Bach. Arturo Fernando Granados Rodríguez
• Asesor
2.2. HIPÓTESIS
La ap...
Carrera de Ingeniería de
Sistemas Computacionales
10
Bach. Arturo Fernando Granados Rodríguez
Capacitación a usuarios, Mon...
Carrera de Ingeniería de
Sistemas Computacionales
11
Bach. Arturo Fernando Granados Rodríguez
Fase de
Implantación y
Acept...
Carrera de Ingeniería de
Sistemas Computacionales
12
Bach. Arturo Fernando Granados Rodríguez
Capítulo II:
MARCO TEÓRICO
Carrera de Ingeniería de
Sistemas Computacionales
13
Bach. Arturo Fernando Granados Rodríguez
II. MARCO TEORICO
2.1 ¿Qué e...
Carrera de Ingeniería de
Sistemas Computacionales
14
Bach. Arturo Fernando Granados Rodríguez
Es el eslabón indispensable ...
Carrera de Ingeniería de
Sistemas Computacionales
15
Bach. Arturo Fernando Granados Rodríguez
“Todos interactuamos en form...
Carrera de Ingeniería de
Sistemas Computacionales
16
Bach. Arturo Fernando Granados Rodríguez
Figura Nº05 Actividades de u...
Carrera de Ingeniería de
Sistemas Computacionales
17
Bach. Arturo Fernando Granados Rodríguez
Figura Nº06 Sistema de Infor...
Carrera de Ingeniería de
Sistemas Computacionales
18
Bach. Arturo Fernando Granados Rodríguez
humana – muy automatizadas (...
Carrera de Ingeniería de
Sistemas Computacionales
19
Bach. Arturo Fernando Granados Rodríguez
a través de la organización....
Carrera de Ingeniería de
Sistemas Computacionales
20
Bach. Arturo Fernando Granados Rodríguez
Los inicios de la Auditoría ...
Carrera de Ingeniería de
Sistemas Computacionales
21
Bach. Arturo Fernando Granados Rodríguez
de una manera objetiva y pro...
Carrera de Ingeniería de
Sistemas Computacionales
22
Bach. Arturo Fernando Granados Rodríguez
1. Formalidad
• Responsabili...
Carrera de Ingeniería de
Sistemas Computacionales
23
Bach. Arturo Fernando Granados Rodríguez
EI auditor de sistemas de in...
Carrera de Ingeniería de
Sistemas Computacionales
24
Bach. Arturo Fernando Granados Rodríguez
amplitud del trabajo de audi...
Carrera de Ingeniería de
Sistemas Computacionales
25
Bach. Arturo Fernando Granados Rodríguez
dispuesto en las Normas Técn...
Carrera de Ingeniería de
Sistemas Computacionales
26
Bach. Arturo Fernando Granados Rodríguez
Los procedimientos de adquis...
Carrera de Ingeniería de
Sistemas Computacionales
27
Bach. Arturo Fernando Granados Rodríguez
Cuando existen síntomas de d...
Carrera de Ingeniería de
Sistemas Computacionales
28
Bach. Arturo Fernando Granados Rodríguez
Esta referido fundamentalmen...
Carrera de Ingeniería de
Sistemas Computacionales
29
Bach. Arturo Fernando Granados Rodríguez
Gestión de la calidad (TQM)
...
Carrera de Ingeniería de
Sistemas Computacionales
30
Bach. Arturo Fernando Granados Rodríguez
• Objetivos de protección de...
Carrera de Ingeniería de
Sistemas Computacionales
31
Bach. Arturo Fernando Granados Rodríguez
Tabla Nº4 Similitudes y Dife...
Carrera de Ingeniería de
Sistemas Computacionales
32
Bach. Arturo Fernando Granados Rodríguez
Existen tres formas para que...
Carrera de Ingeniería de
Sistemas Computacionales
33
Bach. Arturo Fernando Granados Rodríguez
computadores; es decir, en e...
Carrera de Ingeniería de
Sistemas Computacionales
34
Bach. Arturo Fernando Granados Rodríguez
Según Mario Piattini Velthui...
Carrera de Ingeniería de
Sistemas Computacionales
35
Bach. Arturo Fernando Granados Rodríguez
Figura Nº09 Objetivos de Aud...
Carrera de Ingeniería de
Sistemas Computacionales
36
Bach. Arturo Fernando Granados Rodríguez
• Auditoría de la fase de es...
Carrera de Ingeniería de
Sistemas Computacionales
37
Bach. Arturo Fernando Granados Rodríguez
Capítulo III:
METODOLOGÍA
Carrera de Ingeniería de
Sistemas Computacionales
38
Bach. Arturo Fernando Granados Rodríguez
III. METODOLOGIA
3.1 Tipo de...
Carrera de Ingeniería de
Sistemas Computacionales
39
Bach. Arturo Fernando Granados Rodríguez
3.7 Para determinar el Desar...
Carrera de Ingeniería de
Sistemas Computacionales
40
Bach. Arturo Fernando Granados Rodríguez
Capítulo IV:
DESARROLLO
Carrera de Ingeniería de
Sistemas Computacionales
41
Bach. Arturo Fernando Granados Rodríguez
IV. ASPECTOS GENERALES DE LA...
Carrera de Ingeniería de
Sistemas Computacionales
42
Bach. Arturo Fernando Granados Rodríguez
4.3.3 Vista Satelital
Figura...
Carrera de Ingeniería de
Sistemas Computacionales
43
Bach. Arturo Fernando Granados Rodríguez
4.4 ORGANIGRAMA
La estructur...
Carrera de Ingeniería de
Sistemas Computacionales
44
Bach. Arturo Fernando Granados Rodríguez
Figura Nº13 Estructura Orgán...
Carrera de Ingeniería de
Sistemas Computacionales
45
Bach. Arturo Fernando Granados Rodríguez
4.5. ANÁLISIS DE LA ENTIDAD ...
Carrera de Ingeniería de
Sistemas Computacionales
46
Bach. Arturo Fernando Granados Rodríguez
Administración Pública y aut...
Carrera de Ingeniería de
Sistemas Computacionales
47
Bach. Arturo Fernando Granados Rodríguez
El Personal del CIS deberá a...
Carrera de Ingeniería de
Sistemas Computacionales
48
Bach. Arturo Fernando Granados Rodríguez
4.7 ESTRUCTURA ORGÁNICA INTE...
Carrera de Ingeniería de
Sistemas Computacionales
49
Bach. Arturo Fernando Granados Rodríguez
4.9 PROBLEMÁTICA DEL CENTRO ...
Carrera de Ingeniería de
Sistemas Computacionales
50
Bach. Arturo Fernando Granados Rodríguez
D4. Desconocimiento por part...
Carrera de Ingeniería de
Sistemas Computacionales
51
Bach. Arturo Fernando Granados Rodríguez
facilitando el acceso a la
i...
Carrera de Ingeniería de
Sistemas Computacionales
52
Bach. Arturo Fernando Granados Rodríguez
4.12 APLICACIÓN DE AUDITORÍA...
Carrera de Ingeniería de
Sistemas Computacionales
53
Bach. Arturo Fernando Granados Rodríguez
sistemas debe contar con rec...
Carrera de Ingeniería de
Sistemas Computacionales
54
Bach. Arturo Fernando Granados Rodríguez
• Se difunde a todo el staff...
Carrera de Ingeniería de
Sistemas Computacionales
55
Bach. Arturo Fernando Granados Rodríguez
departamento adoptadas por e...
Carrera de Ingeniería de
Sistemas Computacionales
56
Bach. Arturo Fernando Granados Rodríguez
y tiene uno o varios índices...
Carrera de Ingeniería de
Sistemas Computacionales
57
Bach. Arturo Fernando Granados Rodríguez
4.13 AUDITORÍA DE PROYECTOS ...
Carrera de Ingeniería de
Sistemas Computacionales
58
Bach. Arturo Fernando Granados Rodríguez
P1-C4: Una vez determinado e...
Carrera de Ingeniería de
Sistemas Computacionales
59
Bach. Arturo Fernando Granados Rodríguez
• Existen hojas de registro ...
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01
Upcoming SlideShare
Loading in...5
×

1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01

318

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
318
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "1 Tesis auditoradeldesarrollodesistemasdeinformacin-121016213905-phpapp01"

  1. 1. Carrera de Ingeniería de Sistemas Computacionales 1 Bach. Arturo Fernando Granados Rodríguez Capítulo I: PLAN DE INVESTIGACIÓN
  2. 2. Carrera de Ingeniería de Sistemas Computacionales 2 Bach. Arturo Fernando Granados Rodríguez I. GENERALIDADES 1.1. AUTOR Bach. Arturo Fernando Granados Rodríguez 1.2. ASESOR Ing. Hugo Alejandro Pérez Quiroz 1.3. TITULO AUDITORÍA DEL DESARROLLO DE SISTEMAS DE INFORMACIÓN EN EL GOBIERNO REGIONAL CAJAMARCA. 1.4. INSTITUCIÓN A LA QUE PERTENECE EL PROYECTO Universidad Privada del Norte, Facultada de Ingeniería, Carrera de Ingeniería de Sistemas Computacionales 1.5. LUGAR DE EJECUCION DEL PROYECTO Área de sistemas del Gobierno Regional Cajamarca, 1.6. TIPO DE INVESTIGACION 1.6.1 De acuerdo al propósito de la investigación: Aplicada 1.6.2 De acuerdo a su grado de profundidad: Descriptivo - Correlacional 1.6.3 De acuerdo al método y técnicas de investigación: Ex post - facto 1.7. DURACION Se realizo en un tiempo de 4 meses (Marzo a Julio del 2012) 1.8. CRONOGRAMA DE TRABAJO
  3. 3. Carrera de Ingeniería de Sistemas Computacionales 3 Bach. Arturo Fernando Granados Rodríguez Cronograma de trabajo en Microsoft Project. Figura N°01: Cronograma de Actividades Fuente Propia 1.9. RECURSOS 1.9.1. Humanos Director del CIS Staff. Área de planeamiento estratégico Área de sistemas Asesor Tesista 1.9.2. Materiales Materiales de escritorio y oficina Fotocopias Memoria USB Computadora de Escritorio Tintas para impresora Canon 1.9.3. Tecnológicos Paquete Office 2007 (Microsoft Word, Microsoft Power Point, Microsoft Excel y Microsoft Project) Internet Speedy 2 MB Telefonía Impresora
  4. 4. Carrera de Ingeniería de Sistemas Computacionales 4 Bach. Arturo Fernando Granados Rodríguez 1.10. PRESUPUESTO Costo total del proyecto, teniendo en cuenta los recursos utilizados en el desarrollo del mismo. Recursos Unidad Cantidad Costo uni(S/.) Costo total(S/.) Humanos - Asesor Asesor 1 300 300 Sub-Total 300 Materiales - Papel Bond Atlas de 80 gr Millar 1 30 30 - Bolígrafos Faber Castell 0.35 Unidad 4 0.50 2.00 - Corrector Faber Castell Unidad 1 3 3 - Lápiz de Grafito Faber Castell Unidad 4 0.50 2.00 - Fotocopias Unidad 1000 0.067 67 - Memoria USB de 8GB Unidad 1 32 32 - Tintas para Impresora Canon Unidad 2 53 106 - Computadora de Escritorio (Intel Core 2 Quad, 2GB RAM, 300GB Disco Duro), Monitor Samsung 22’’, Mouse & Teclado Logitech, Parlantes 5.1 Logitech) Unidad 1 1 3200 Sub-Total 3442 Tecnológicos - Impresora Multifuncional Canon Mp190 Unidad 1 180 180 - Línea Tarifa Semi-Plana + Speedy 2 MB Unidad 1 139 139 Sub-Total 319 Costo Total 4061 Tabla N°01: Presupuesto Fuente: Elaboración Propia 1.11. FINANCIAMIENTO El presente proyecto será autofinanciado.
  5. 5. Carrera de Ingeniería de Sistemas Computacionales 5 Bach. Arturo Fernando Granados Rodríguez II PLAN DE INVESTIGACION 2.1. EL PROBLEMA 2.1.1. Realidad Problemática La investigación surge a raíz que en todo ámbito institucional se requiere información oportuna y confiable, para la toma de decisiones realidad que ha permitido el desarrollo de sistemas de información. Usualmente, la mayoría de las instituciones, y en este caso, el Gobierno Regional de Cajamarca, en el desarrollo de sistemas de información carece de un análisis técnico profesional, lo cual ha generado una información poco confiable, inoportuna e inconsistente a la hora de tomar decisiones. El Gobierno Regional Cajamarca, entra en vigencia por la Constitución Política del Estado Peruano y la Ley Nº 27867 el año 2003, y su modificatoria Ley Orgánica de Gobiernos Regionales. Esta, indica que es un organismo público con personería jurídica de derecho público, con autonomía política, económica y administrativa en asuntos de su competencia. El Gobierno Regional cuenta con departamento de sistemas el cual lo denominan Centro de Información y Sistemas – CIS, el mismo que da soporte técnico a los diversos procesos administrativos de la institución. Después de haber tenido entrevistas con el Director del CIS (Centro de Información y Sistemas) así como con su staff, dieron a conocer algunos de los problemas que se mencionan a continuación: - Falta de una metodología y procedimientos estándares para el desarrollo de sistemas de información: gestión y planificación del proyecto, viabilidad, análisis, diseño, construcción, implantación y mantenimiento. - Carencia de procedimientos de control interno, como garantía para una gestión eficaz orientada a la consecución de los objetivos del CIS y de la institución. - Falta de documentación para la gestión del cambio, problemas e incidentes en el desarrollo del proyecto software. - Falta de mecanismos de comunicación debidamente documentados entre el staff. Ante estos problemas nace el presente trabajo de investigación aplicativo que permitirá mejorar el Área de Sistemas del Gobierno Regional Cajamarca. 2.1.2. Formulación del Problema ¿En qué medida la Aplicación de una Auditoría del Desarrollo de Sistemas de Información garantiza la integridad, confiabilidad de la información del Gobierno Regional Cajamarca?
  6. 6. Carrera de Ingeniería de Sistemas Computacionales 6 Bach. Arturo Fernando Granados Rodríguez 2.1.3. Antecedentes del Problema Presento algunos antecedentes de casos de instituciones a Nivel Internacional y Nacional que han desarrollado Auditorías Informáticas con mucho éxito. Nivel Internacional 1. Autor: Carlos Giovanni Guzmán de León Título: “Lineamientos Generales para una Auditoría de Sistemas en el Centro de Información de una Institución Bancaria” – Agosto 2000 Institución: Universidad Mariano Gálvez de Guatemala Obtener Grado Académico: MAGISTER ARTIUM EN SISTEMAS con Énfasis en Finanzas Resumen u Objetivo: Importancia que tiene la función de la Auditoría de Sistemas, en las instituciones financieras, así como la necesidad de planificarla y desarrollarla. 2. Autor: Guillermo Ramón Caal Chupina Título: “Planeación de la Auditoría Operacional en el Área de Ingresos de una empresa que utiliza el Comercio Electrónico” – Octubre 2006 Institución: Universidad de San Carlos de Guatemala Obtener Titulo de: Contador Público y Auditor en el Grado de Licenciado Resumen u Objetivo: Los elementos del proceso administrativo y la necesidad de considerar la participación de un especialista en Auditoría; asimismo, apoyar la actualización e innovación de herramientas electrónicas y metodológicas para el desarrollo de la actividad del Contador Público y Auditor en la planeación y ejecución de una Auditoría operacional. 3. Autor: Francisco Dagoberto Xiloj Charuc Título: “Auditoría Externa en un Ambiente de Sistemas de Información Computarizado en el Área de Ingresos de una Empresa Comercializadora de Vehículos” – Agosto 2008 Institución: Universidad de San Carlos de Guatemala
  7. 7. Carrera de Ingeniería de Sistemas Computacionales 7 Bach. Arturo Fernando Granados Rodríguez Obtener Titulo de: Contador Público y Auditor Resumen u Objetivo: La importancia de comprender los procedimientos y técnicas de Auditoría a aplicarse en una empresa Comercializadora de Vehículos, así mismo saber cómo aplicar los procedimientos y las técnicas más eficientes para Auditar estos nuevos y cada vez más complejos sistemas de información, con la ayuda de la tecnología. Nivel Nacional 1. Autor: José A. Rau Álvarez Título: “Auditoría Estratégica y Plan de Negocios de una Empresa de Confecciones de Calcetines” – 2004 Institución: Pontificia Universidad Católica del Perú Obtener Grado de Máster en: Administración de Negocios Resumen u Objetivo: Efectúa una auditoría estratégica, que analiza factores tales como la recesión que es uno de los más importantes a nivel macro, el estudio recomienda aprovechar los actuales espacios que existen para reducir costos. Debe introducirse mejoras tecnológicas y de capacitación para una mejor asignación de costos y reducción de los mismos. Así, con un desarrollo de un mejor control de calidad y manejo de mermas podría reducirse costos y ofrecer artículos con un mayor valor para el cliente. 2. Autor: Liliana Antonieta Palomino Chávez Título: “Auditoría de Gestión en la Escuela de Ingeniería de Sistemas” Institución: Universidad Nacional de Trujillo Obtener Titulo de: Ingeniero Informático Resumen u Objetivo: Identifica aspectos prioritarios en la parte de Gestión, aplicando Tecnologías Informáticas que mejoren el proceso que más incurren en incidencias que es el proceso de Matriculas de la Facultad de Ingeniería de Sistemas. 3. Autor: Gissela Karina Chávez García Título: “Auditoría Informática Aplicada al Sistema Integrado de Gestión Comercial, Comercializadora y Distribuidora Jiménez S.A. de la Empresa Distribuidora Codijisa - Trujillo” - 2008
  8. 8. Carrera de Ingeniería de Sistemas Computacionales 8 Bach. Arturo Fernando Granados Rodríguez Institución: Universidad Privada del Norte – Trujillo Obtener Titulo de: Ingeniero de Sistemas Resumen u Objetivo: La aplicación de una Auditoría Informática permite mejorar el sistema, minimizando los errores en un 88.33%. . 2.1.4. Justificación del Problema La confiabilidad de la información cobra cada vez mayor importancia en la sociedad, pues se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la información. La seguridad informática comprende software, bases de datos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. La presente investigación es necesaria pues la administración del Gobierno Regional de Cajamarca, demanda sistemas de información que le permita realizar la gestión con eficacia y eficiencia. Esto conlleva al desarrollo de un sistema de información, que controle, evalúe y fortalezca la validez y confiabilidad de procesamiento de la Información. El estudio ha permitido identificar las principales deficiencias, que actualmente carece de procedimientos de control, verificar su correcta definición y aplicación que garanticen la integridad y confiabilidad de la información. Por ello, es conveniente realizar la mejora a través de la Auditoría del desarrollo de sistemas de información, que permita identificar y minimizar los riesgos de la información. La presente investigación se justifica en los siguientes aspectos: Justificación Académica 1. El presente proyecto de tesis ayudará a profundizar el conocimiento en investigación acerca de la realización de una Auditoría del Desarrollo de Sistemas de Información en el Gobierno Regional de Cajamarca. 2. El desarrollo de la tesis permitirá hacer uso de los conocimientos adquiridos durante el transcurso de la carrera profesional de Ingeniería de Sistemas. 3. Servirá como base, aporte y guías de futuras tesis y proyectos relacionadas al campo de Auditoría Informática. Justificación Operativa • Staff del área de sistemas del Gobierno Regional Cajamarca • Tesista
  9. 9. Carrera de Ingeniería de Sistemas Computacionales 9 Bach. Arturo Fernando Granados Rodríguez • Asesor 2.2. HIPÓTESIS La aplicación de una Auditoría del Desarrollo de Sistemas de Información permite mejorar la integridad y confiabilidad de la información en el área de Sistemas en el Gobierno Regional Cajamarca. 2.3. OBJETIVOS 2.3.1. Objetivo General Realizar una Auditoría del Desarrollo de Sistemas de Información para mejorar la integridad y confiabilidad de la información en área de Sistemas en el Gobierno Regional Cajamarca. 2.3.2. Objetivos Específicos ---- Analizar el contexto en el que actúa el área de sistemas del Gobierno Regional. ---- Diseñar una metodología para la aplicación de la Auditoría para mejorar la integridad y confiabilidad de la información. en el área de sistemas del Gobierno Regional de Cajamarca. ---- Desarrollar encuestas dirigidas al staff del área de sistemas del Gobierno Regional. ---- Aplicar la Auditoría del desarrollo de sistemas de información ---- Evaluar los resultados y hallazgos de la autoría aplicada al desarrollo de sistemas de información al área de sistemas del Gobierno Regional de Cajamarca. 2.4. VARIABLES 2.4.1. Variable Independiente: Auditoría del Desarrollo de Sistemas. Definición conceptual.- Auditoría del Desarrollo de Sistemas Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad de los sistemas de información durante todo el proceso de desarrollo. Definición operacional.- Se medirá a través de los siguientes indicadores: Documentación, Ciclo de vida, Equipo Técnico, Alcance del proyecto, Situación actual del proyecto, Modelo del Sistema, Interfaces, Plan de pruebas, Validación de requisitos, Arquitectura del Sistema, Migración y carga inicial de datos, Entorno de desarrollo y pruebas, Técnicas de programación, Programación de componentes, Pruebas de integración de componentes, Plan de formación y aceptación por usuarios,
  10. 10. Carrera de Ingeniería de Sistemas Computacionales 10 Bach. Arturo Fernando Granados Rodríguez Capacitación a usuarios, Monitorear nivel de servicio, Registro de peticiones de mantenimiento 2.4.2. Variable Dependiente: Mejorar la Integridad y Confiabilidad Definición Conceptual.- El término integridad se refiere a la corrección de los datos. Y la confiabilidad está referida a la calidad de la información que produce y también a la eficiencia con la que ese sistema funciona. Definición operacional.- Se medirá a través de los siguientes indicadores: Errores encontrados, Errores corregidos. 2.5. INDICADORES El proceso se ha llevado a cabo a través de una encuesta cuyo instrumento de recopilación de datos ha sido el cuestionario diseñado en concordancia con los indicadores seleccionados: VARIABLE INDEPENDIENTE: Auditoría del Desarrollo de Sistemas DEFINICIÓN DIMENSIONES INDICADORES INSTRUMENTO Es una disciplina encargada de aplicar un conjunto de técnicas y procedimientos con el fin de evaluar la seguridad de los sistemas de información durante todo el proceso de desarrollo. Gestión y planificación del proyecto • Documentación • Ciclo de vida del proyecto • Equipo Técnico Observacional, a través de encuestas, cuestionarios, entrevistas al staff. Fase de Viabilidad • Alcance del proyecto • Situación actual del proyecto Fase Análisis • Modelo del Sistema • Interfaces • Plan de pruebas • Validación de requisitos Fase Diseño • Arquitectura del Sistema • Migración y carga inicial de datos Fase Construcción • Entorno de desarrollo y pruebas • Técnicas de programación • Programación de componentes • Pruebas de integración de componentes
  11. 11. Carrera de Ingeniería de Sistemas Computacionales 11 Bach. Arturo Fernando Granados Rodríguez Fase de Implantación y Aceptación • Plan de formación y aceptación por usuarios • Capacitación a usuarios Fase de Mantenimiento • Monitorear nivel de servicio • Registro de peticiones de mantenimiento. Tabla N°2 Indicadores de Variable Independiente Fuente: Elaboración Propia VARIABLE DEPENDIENTE: Mejorar la Integridad y Confiabilidad DEFINICIÓN DIMENSIONES INDICADORES INSTRUMENTO El término integridad se refiere a la corrección y completitud de los datos en una base de datos. Y la confiabilidad de un Sistema de Información está referida a la calidad de la información que produce y también a la eficiencia con la que ese sistema funciona. Integridad • Eficacia • Fiabilidad • Validez • Consistencia Porcentaje. Confiabilidad • Funcionamiento • Seguridad • Desempeño • Relevancia • Calidad Tabla N°3 Indicadores de Variable Dependiente Fuente: Elaboración Propia 2.6. Limitaciones de la Investigación El dominio de la investigación está delimitado al Gobierno Regional Cajamarca en el área de sistemas. Y el periodo de estudio caracteriza a la investigación como trasversal, porque se realizará en un momento determinado del tiempo, durante los meses de marzo a julio del 2012.
  12. 12. Carrera de Ingeniería de Sistemas Computacionales 12 Bach. Arturo Fernando Granados Rodríguez Capítulo II: MARCO TEÓRICO
  13. 13. Carrera de Ingeniería de Sistemas Computacionales 13 Bach. Arturo Fernando Granados Rodríguez II. MARCO TEORICO 2.1 ¿Qué es un Sistema? Según el Ing. Villanueva Sánchez Grover en su Tesis “Sistema de Gestión Estratégica aplicando el Enfoque Sistémico y las Tecnologías de la Información para lograr Ventajas Competitivas en el Instituto Nacional de Cultura de La Libertad”. Ref. Tes [2]. "Un sistema es una entidad autónoma dotada de una cierta permanencia, y constituida por elementos interrelacionados, que forman subsistemas estructurales y funcionales. Se transforma, dentro de ciertos límites de estabilidad, gracias a regulaciones internas que le permiten adaptarse a las variaciones de su entorno específico". Brian Wilson sostiene que el vocablo sistema “tiene varias interpretaciones, dependiendo del contexto en el que es usado”. Por otra parte, Stafford Beer refiere que “hablar de un sistema es hablar de la cohesión de un cierto número de entidades llamadas partes de un sistema. Un sistema no es algo dado por la naturaleza sino definido por la inteligencia”. Rodríguez Ulloa (1994) Por lo tanto, “se define a un Sistema como un conjunto de elementos interrelacionados que responden a un propósito determinado que como un todo tiene característica que sus partes separadamente no tienen. Está conectado, interactúa y es influenciado por su entorno”. Villanueva Sánchez (2008) Figura Nº 02: Definición de Sistema Fuente Tes [1] 2.2 Información Según John Burch & Gary Grudnitski en su libro "Diseño de sistemas de información" Ref. Lib [1].
  14. 14. Carrera de Ingeniería de Sistemas Computacionales 14 Bach. Arturo Fernando Granados Rodríguez Es el eslabón indispensable que une a todos los componentes de la organización para una mejor operación y para su supervivencia en un ambiente competitivo y poco amigable. Figura Nº03 El Ciclo de la Información (Burch) Lib[1]. Pag.20 Además hace mención que la calidad de la información está en base a: exactitud (inf. clara y libre de tendencias o desviaciones) oportunidad (dentro del marco de tiempo necesario) y relevancia (importancia). Figura Nº04 Atributos de la Calidad de la Información Lib[1]. Pag.20 2.3 Sistema de Información (SI) Según Ralph M. Stair, en su libro “Principios de SISTEMAS DE INFORMACION – Enfoque Administrativo”. Ref. Lib [02] “Un Sistema de Información (SI) es un conjunto de componentes interrelacionados para recolectar, manipular y diseminar datos e información y para disponer de un mecanismo de retroalimentación útil en el cumplimiento de un objetivo”.
  15. 15. Carrera de Ingeniería de Sistemas Computacionales 15 Bach. Arturo Fernando Granados Rodríguez “Todos interactuamos en forma cotidiana con sistemas de información, para fines tanto personales como profesionales; utilizamos cajeros automáticos, los empleados de las tiendas registran nuestras compras sirviéndose de códigos de barras y escáner u obtenemos información en módulos equipados con pantallas sensibles al tacto, las muy famosas touch screen. Las principales compañías gastan en la actualidad más de 1 000 millones de dólares al año en tecnología de información y el futuro dependeremos aún más de los sistemas de información“ Según Kenneth Laudon. & Jane Laudon en su libro “Sistemas De Información Gerencial”. Ref. Lib [03] “Un sistema de información se puede definir técnicamente como un conjunto de componentes interrelacionados que recolectan (o recuperan), procesan, almacenan y distribuyen información para apoyar la toma de decisiones y el control en una organización. Además de apoyar la toma de decisiones, la coordinación y el control, los sistemas de información también pueden ayudar a los gerentes y trabajadores a analizar problemas, visualizar asuntos complejos y crear productos nuevos”. Los sistemas de información contienen información acerca de gente, lugares y cosas importantes dentro de la organización o en el entorno que se desenvuelven. Por información se entiende los datos que se han modelado en una forma significativa y útil para los seres humanos. En contraste, los datos son consecuencia de los hechos en bruto y representan eventos que ocurren en las organizaciones o en el entorno físico antes de ser organizados y ordenados en una forma que las personas puedan entender y utilizar. Hay tres actividades en un sistema de información que producen la información que las organizaciones necesitan para tomar decisiones, controlar operaciones, analizar problemas y creas nuevos productos o servicios. Estas actividades son entrada, procesamiento y salida. La entrada captura o recolecta datos en bruto tanto al interior de la organización como de su entorno externo. El procesamiento convierte esta entrada de datos en una forma significativa. La salida transfiere la información procesada a la gente que lo usará o a las actividades para las que se utilizará. Los sistemas de información también requieren retroalimentación que es la salida que se devuelve al personal adecuado de la organización para ayudarle a evaluar o corregir la etapa de entrada.
  16. 16. Carrera de Ingeniería de Sistemas Computacionales 16 Bach. Arturo Fernando Granados Rodríguez Figura Nº05 Actividades de un Sistema de Información Fuente: Sistemas de Información Gerencial Lib [03] Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06]. Pg. 346. En un sentido amplio se puede considerar que un SI es un conjunto de elementos que interactúan para que la empresa pueda alcanzar sus objetivos satisfactoriamente. Según COBIT los componentes o recursos de un SI son los siguientes: Datos En general se consideran datos tanto los estructurados como los no estructurados, las imágenes, los sonidos, etc. Aplicaciones Se incluyen las aplicaciones manuales y las informáticas Infraestructura En infraestructura se incluyen las tecnologías y las instalaciones (por ejemplo hardware, sistemas operativos, sistema de gestión de base de datos, sistemas de red, multimedia y el medio en el que se ubican) que permiten que se procesen las aplicaciones. Personal Los conocimientos que ha de tener el personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionarlos
  17. 17. Carrera de Ingeniería de Sistemas Computacionales 17 Bach. Arturo Fernando Granados Rodríguez Figura Nº06 Sistema de Información Fuente: “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06]. Pg. 347. Para comprobar que el sistema de información está funcionando según lo previsto, este habrá de disponer de un sistema de control interno que prevenga los eventos no deseados o en su defecto los detecte y los corrija. Es conveniente recordar que el resultado de la Auditoría parcial de un sistema de información no se puede extrapolar al conjunto del sistema. EI funcionamiento inadecuado de alguno (o algunos) de los procesos y recursos que intervienen en otras partes del sistema (subsistemas) puede invalidar el sistema de información. 2.4 Clasificación de los Sistemas de Información Según Vinceç Fernández Alarcón, en su libro “Desarrollo de Sistemas De Información – Una metodología basada en el modelado”. Ref. Lib [04]. Propone diversos criterios para la clasificación de los Sistemas de Información: 1. Por el grado de formalidad: Sistemas de Información Formales y los Informales 2. Por el nivel de automatización conseguido: En las organizaciones, pueden existir sistemas que necesitan una alta participación de los trabajadores – poco automatizadas (Por ejemplo, los sistemas para responder a preguntas personalizadas a través de un e-mail) -, mientras que otros sistemas son capaces de trabajar sin la intervención
  18. 18. Carrera de Ingeniería de Sistemas Computacionales 18 Bach. Arturo Fernando Granados Rodríguez humana – muy automatizadas (por ejemplo, las centrales telefónicas totalmente automatizadas). 3. Por su relación con la toma de decisiones Una de las funciones que deben cumplir los sistemas de información es colaborar en la toma de decisiones. En función del lugar jerárquico en donde se tomen las decisiones, los sistemas de información se podrán clasificar en estratégicos, de control u operativos 4. Por la naturaleza de sus entradas y salidas Un sistema de información puede recibir información de diversas fuentes de información (personas, empresas, otros sistemas de información, etc.) así como en distintos formatos (a través de un teclado, por la red, de un disquete, memoria USB, CD, DVD etc.) del mismo modo, los Sistema de Información pueden proporcionar información a través de distintos formatos (impreso, por pantalla, en internet, etc.) 5. Por el origen y el grado de personalización En las empresas se pueden encontrar Sistemas de Información que han sido diseñados e implementados sólo para ellos, o también sistemas comprados que son utilizados por otras empresas. 6. Por el valor que representan para las organización El sistema que contiene la información de los clientes suele tener una mayor importancia que el sistema de información de presupuestos (ya que este es más sencillo y se puede hacer manualmente). 2.5 Tipos de Sistemas de Información Según Kenneth Laudon. & Jane Laudon en su libro “Sistemas De Información Gerencial”. Ref. Lib [03] Plantean cuatro principales tipos de sistemas de información que dan servicio a los diferentes niveles de la organización: sistemas a nivel operativo, sistemas a nivel del conocimiento, sistemas a nivel administrativo y sistemas a nivel estratégicos. 2.5.1 Los sistemas a Nivel Operativo apoyan a los gerentes operativos en el seguimiento de las actividades y transacciones elementales de la organización como ventas, ingresos, depósitos en efectivo, nómina, decisiones de crédito y flujo de materiales en una fábrica. El objetivo principal de los sistemas a este nivel es responder las preguntas de rutina y seguir el flujo de las transacciones
  19. 19. Carrera de Ingeniería de Sistemas Computacionales 19 Bach. Arturo Fernando Granados Rodríguez a través de la organización. ¿Cuántas partes hay en el inventario? ¿Qué pasó con el pago del señor Gutiérrez? En general, para contestar este tipo de preguntas la información debe estar a la mano y ser actual y precisa. Entre los ejemplos de sistemas a nivel operativo están un sistema para registrar los depósitos realizados en un cajero automático o uno que lleve el registro del número de horas trabajadas cada día por los empleados de una fábrica. 2.5.2 Los sistemas a Nivel del Conocimiento apoyan a los trabajadores del conocimiento y de datos de una organización. El propósito de estos sistemas es ayudar a las empresas comerciales a integrar el nuevo conocimiento en los negocios y ayudar a la organización a controlar el flujo del trabajo de oficina. Los sistemas a nivel del conocimiento, especialmente en forma de estaciones de trabajo y sistemas de oficina, están entre las aplicaciones de crecimiento más rápido en los negocios actuales. 2.5.3 Los sistemas a Nivel Administrativo sirven a las actividades de supervisión, control, toma de decisiones y administrativas de los gerentes de nivel medio. La pregunta principal que plantean estos sistemas es ¿van bien las cosas? Por lo general este tipo de sistemas proporcionan informes periódicos más que información instantánea de operaciones. Un ejemplo es un sistema de control de reubicación que informe los costos totales de mudanza, búsqueda de vivienda y financiamiento de vivienda para empleados de todas las divisiones de la compañía y notifique cualquier costo actual que exceda los presupuestos. 2.5.4 Los sistemas a Nivel Estratégico ayudan a los directores a enfrentar y resolver aspectos estratégicos y tendencias a largo plazo, tanto en la empresa como en el entorno externo. Su función principal es compaginar los cambios del entorno externo con la capacidad organizacional existente. ¿Cuáles serán los niveles de empleo dentro de cinco años? ¿Cuáles son las tendencias a largo plazo de los costos de la industria y dónde encaja nuestra empresa? ¿Qué productos deberemos estar elaborando dentro de cinco años? Los sistemas de información también apoyan las principales funciones empresariales como ventas y marketing, manufactura, finanzas, contabilidad, y recursos humanos. Una organización típica tiene sistemas a nivel operativo, administrativo, del conocimiento y estratégico para cada área funcional. 2.6 AUDITORÍA. 2.6.1 Definición de Auditoría En su libro, Carlos Muñoz Razo. “Auditoría en Sistemas Computacionales”, Ref. Lib [05]
  20. 20. Carrera de Ingeniería de Sistemas Computacionales 20 Bach. Arturo Fernando Granados Rodríguez Los inicios de la Auditoría se remontan a la revisión y el diagnóstico que se practicaba a los registros operacionales contables de las empresas; después se pasó al análisis, verificación y evaluación de sus aspectos financieros; posteriormente se amplió al examen de algunos rubros de la administración, siguiendo con el análisis de aquellos aspectos que intervenían en todas sus actividades y, por último, su alcance se incrementó conforme se avanzó en la llamada revisión integral. Nos muestra además una definición de auditoría: Auditoría es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación. En la página Web del INEI: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Ref. URL [1] Hare referencia a: La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero da sugerencias, y sus conclusiones deben tomarse en cuenta en la toma de decisiones. La auditoría se apoya de herramientas de análisis, verificación y exposición conformando así elementos de juicio, los cuales permitirán determinar las debilidades y disfunciones. Es muy probable que se afecte la susceptibilidad del personal auditado, debido a que se interrumpe de alguna manera sus tareas, en el momento de realizar la auditoría, además esta actitud es comprensible. Pero los sistemas en ocasiones son muy sofisticados, lo cual hace que el auditor disponga de un nivel técnico adecuado e insuficiente frente al tiempo que tiene para realizar su trabajo. Como parte de la auditoría esta la evaluación del personal, para esto existe el Chek List, que es un cuestionario, el cual es archivado bajo estrictas medidas de seguridad por las empresas que se encargan de realizar este trabajo de Auditoría, por considerarse información confidencial y activos muy importantes que respaldan su actividad. La evaluación debe ceñirse de acuerdo a las normas o reglas implantadas y se considera que debe aplicarse una metodología que pueda resolver los problemas que puedan presentarse. Francisco Dagoberto Xiloj Charuc, en su Tesis Ref. Tes [03]: “Auditoría Externa en un Ambiente de Sistemas de Información Computarizado en el Área de Ingresos de una Empresa Comercializadora de Vehículos”. Nos menciona: La Auditoría consiste en un examen sistemático de los libros, documentos y demás registros contables de una entidad, con el objeto de obtener elementos de juicio y evidencia comprobatoria suficiente y competente para fundamentar
  21. 21. Carrera de Ingeniería de Sistemas Computacionales 21 Bach. Arturo Fernando Granados Rodríguez de una manera objetiva y profesional la opinión que el Contador Público y Auditor, emite sobre los estados financieros preparados por la entidad, a una fecha determinada y el resultado de las operaciones por un período terminado en esa fecha, así como los estados de flujos de efectivo y patrimonio de los accionistas. 2.7 Auditor En su libro, Carlos Muñoz Razo. “Auditoría en Sistemas Computacionales”, Ref. Lib [05] Del latín Auditor, oris s.m. 1. Persona capacitada para realizar auditorías en empresas u otras instituciones. Pertenece a un colegio oficial. Del latín auditor; el que oye, del verbo audire. Oír. Anteriormente oyente El autor del libro propone la siguiente definición para la Auditoría: “Es la revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la Auditoría, con el propósito de evaluar su correcta realización y, con base en ese análisis, poder emitir una opinión sobre la razonabilidad de sus resultados y cumplimiento de sus operaciones” Según la Página Web, ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Del Instituto Nacional De Estadística e Informática (INEI). Ref URL [1]. Pg 11 “Si nos remontamos al campo de la etimología veremos que auditoría viene del latín auditorius, proviniendo de aquí la palabra auditor, la misma que significa o que se refiere a aquel que tiene la virtud de oir”. 2.8 ISACA (Information Systems Audit and Control Association - Asociación de Control y Auditoría de Sistemas de Información) Ref. URL [5]: Desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales del gobierno, control, seguridad y auditoría de información. Sus normas de auditoría y control de SI son seguidos por profesionales de todo el mundo y sus investigaciones abordan temas profesionales que son desafíos para sus constituyentes. 2.9 Principios de Auditoría En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06]. Pg. 349, 350, 351, 352. Algunos de los principios publicados por ISACA son:
  22. 22. Carrera de Ingeniería de Sistemas Computacionales 22 Bach. Arturo Fernando Granados Rodríguez 1. Formalidad • Responsabilidad, atribuciones y obligaciones Las responsabilidades, atribuciones y obligaciones que abarca la función de auditoría de los sistemas de información deben documentarse de manera apropiada (formal) en unos estatutos de auditoría en el caso de la auditoría interna, o en una carta de encargo o contrato en el caso de la auditoría externa. 2. Independencia • Independencia profesional En todas las cuestiones relacionadas con la Auditoría, el auditor de sistemas de información debe ser independiente de la organización auditada tanto en actitud como en apariencia. • Relación con la organización La función de auditoría de los sistemas de información debe ser lo suficientemente independiente del área que se esté auditando para permitir realizar de manera objetiva la Auditoría. 3. Ética y normas profesionales • Condigo de Ética profesional Al igual que en otros colectivos profesionales, distintos organismos han publicado unos códigos de conducta o normas deontológicas que el auditor de sistemas de información ha de cumplir. Así el auditor que sea miembro de ISACA debe acatar el Código de Ética Profesional de ISACA, de lo contrario se pueden se pueden tomar medidas disciplinarias. • Diligencia profesional En todos los aspectos del trabajo del auditor de sistemas de información, se debe ejercer la atención profesional correspondiente y el cumplimiento de las normas aplicables de auditoría profesional. 4. Idoneidad • Habilidades y conocimientos
  23. 23. Carrera de Ingeniería de Sistemas Computacionales 23 Bach. Arturo Fernando Granados Rodríguez EI auditor de sistemas de información debe ser técnicamente idóneo y tener la experiencia y los conocimientos necesarios para realizar el trabajo de auditor. • Formación profesional continúa EI auditor de sistemas de información debe mantener la idoneidad técnica mediante su formación profesional continua. 5. Planificación • Planificación de la Auditoría EI auditor de sistemas de información debe planificar el trabajo de auditoría para satisfacer los objetivos de la Auditoría y para cumplir con las normas de auditoría aplicables a la profesión. 6. Ejecución de la Auditoría • Evidencia Durante el transcurso de una Auditoría, el auditor de sistemas de información debe obtener evidencia adecuada (fiable, relevante y útil) y suficiente para lograr los objetivos de la Auditoría. Los hallazgos y conclusiones de la Auditoría se deben basar en el análisis e interpretación apropiados de dicha evidencia. • Documentación EI proceso de Auditoría deberá documentarse, describiendo las labores de auditoría realizadas y la evidencia de auditoría que respalda los hallazgos y conclusiones del auditor. • Supervisión EI personal de auditoría de SI debe ser supervisado para brindar una garantía razonable de que se lograran los objetivos de la Auditoría y que se cumplirán las normas profesionales de auditoría aplicables. 7. Información • Contenido y formato de los informes En el momento de completar el trabajo de auditoría, el auditor de sistemas de información debe proporcionar un informe con un formato apropiado a los destinatarios. EI informe de auditoría debe enunciar el alcance, los objetivos, el periodo de cobertura y la naturaleza y
  24. 24. Carrera de Ingeniería de Sistemas Computacionales 24 Bach. Arturo Fernando Granados Rodríguez amplitud del trabajo de auditoría realizado. El informe debe identificar al auditarlo (cliente), los destinatarios en cuestión y cualquier restricción con respecto a su circulación. EI informe debe enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideración que tuviera el auditor con respecto a la Auditoría. 2.10 Objetivos Generales de la Auditoría En el Libro “Auditoría en Sistemas Computacionales”, de Carlos Muñoz Razo. Ref Lib [05]. Entre los objetivos más relevantes, encontramos a los siguientes: Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados. Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de la empresa. Evaluar el cumplimiento de los planes, programas, políticas, y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como evaluar las actividades que se desarrollan en sus áreas y unidades administrativas. Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones. 2.11 Alcance de la Auditoría En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06]. Pg. 352. EI auditor debe determinar el alcance de su trabajo de acuerdo con las Normas Técnicas y decidir los procedimientos de auditoría, así como su extensión, el auditor utilizará su juicio profesional, teniendo en cuenta, muy especialmente, los conceptos de importancia relativa y los riesgos. EI concepto de importancia relativa es inherente al trabajo del auditor. En consecuencia, los procedimientos diseñados para soportar la opinión técnica en aquellas aéreas más significativas y en las que sea más probable que se puedan producir errores importantes deben ser más amplios y extensos que en aquellas otras en que no se den estas circunstancias. EI auditor debe requerir del auditado (cliente) cuanta información precise para realizar los trabajos de auditoría. Cualquier limitación al trabajo impuesta por el auditado o sobrevenida a lo largo del trabajo que impida la aplicación de lo
  25. 25. Carrera de Ingeniería de Sistemas Computacionales 25 Bach. Arturo Fernando Granados Rodríguez dispuesto en las Normas Técnicas debe ser considerada en el informe de auditoría como una limitación al alcance. Para planificar y organizar la actividad de auditoría de sistemas de información, el auditor debe incluir en el alcance de la Auditoría los procesos relevantes y los procesos para supervisar esa actividad así como todos los recursos relacionados con el SI. 2.12 Implantación de sistema de control interno informático Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06] 2.12.1 Controles de desarrollo, adquisición y mantenimiento de sistemas de información Permiten alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones: Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá garantizar a la alta Dirección que se alcanzaran los objetivos definidos para el sistema. Estos son algunos controles que deben existir en la metodología: La alta Dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida del desarrollo de sistemas y revisar esta periódicamente. La metodología debe establecer los papeles y responsabilidades de las distintas aéreas del Departamento de Informática y de los usuarios, así como la composición y responsabilidades del equipo del proyecto. Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo. Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis coste-beneficio -de cada alternativa-. Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costes. Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc. Plan de validación, verificación y pruebas. Estándares de prueba de programas, de pruebas de sistemas Plan de conversión; prueba de aceptación final.
  26. 26. Carrera de Ingeniería de Sistemas Computacionales 26 Bach. Arturo Fernando Granados Rodríguez Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la Organización y dichos productos deberán ser probados y revisados antes de pagar por ellos y ponerlos en uso. La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto. Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario. Explotación y mantenimiento: el establecimiento de controles asegurara que los datos se tratan de forma congruente y exacta y que el contenido de sistemas solo será modificado mediante autorización adecuada. Estos son algunos de los controles que se deben implantar: Procedimientos de control de explotación Sistema de contabilidad para asignar a usuarios los costos asociados con la explotación de un sistema de información. Sistema de contabilidad para asignar a usuarios los costes asociados con la explotación de un sistema de información. Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información. 2.13 Motivos para Efectuar una Auditoría de Tecnologías de Información Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 15, 16, 17 Entre los principales justificativos o motivos de una auditoría, encontramos: Aumento del presupuesto del Departamento de procesamiento de datos. Desconocimiento de la situación informática de la empresa. Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información. Descubrimientos de fraudes efectuados con el uso del computador. Falta de una planificación informática. Falta de visión. Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano. Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados. Falta de documentación o documentación incompleta de sistemas. Dentro de los motivos para efectuar una Auditoría, el INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA? Ref. URL [1]. Hace referencia a:
  27. 27. Carrera de Ingeniería de Sistemas Computacionales 27 Bach. Arturo Fernando Granados Rodríguez Cuando existen síntomas de debilidad en la empresa, éstas acuden a las auditorías externas para poder determinar en donde están las falencias. Estos síntomas se pueden agrupar clases: Cuando existe Desorganización y Descoordinación: - Los promedios conseguidos no se habitúan a los estimados, por que los parámetros de productividad no son respetados y sufren un desvío. - Los objetivos que la empresa persigue, no coinciden con los obtenidos. - Esto puede darse debido a un cambio masivo de personal, o también porque un área tuvo una mala reestructuración, también puede deberse a una norma importante que haya sido modificada. Cuando hay insatisfacción del cliente y una mala imagen: - Cuando no hay capacidad de satisfacer las necesidades del cliente. - Las fallas en hardware no son reparadas, ni se resuelven las incidencias en plazos establecidos y razonables, ocasionando un descontento en el usuario por sentirse abandonado. - Los resultados periódicos no son entregados en los plazos establecidos. Las pequeñas imprecisiones pueden ocasionar que la información no refleje lo real y que la actividad que ejerce el usuario se vea afectada por este motivo. Debilidades Económico-Financieras: - Elevación de costos de forma repentina y desmesurada. - Cuando se da la necesidad de justificar las inversiones informáticas. - Cuando se dan otras prioridades en el aspecto presupuestario. - Costos y plazos de nuevos proyectos. Cuando existe inseguridad: Se da una evaluación de nivel de riesgos, la que contempla los puntos siguientes: • Seguridad Lógica. • Seguridad Física. • Aspectos de confidencialidad. - La continuidad en el servicio es importante. En ocasiones se considera más importante que los aspectos de seguridad. - Si existen problemas en los que el centro de procesamiento de datos se encontrara fuera de control, una auditoría no tendría sentido por considerarse inútil, por eso deben tomarse en cuenta los más mínimos indicios para su aplicación. 2.14 CONTROL INTERNO Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22
  28. 28. Carrera de Ingeniería de Sistemas Computacionales 28 Bach. Arturo Fernando Granados Rodríguez Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparición del negocio. Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06] Pag. 05, 06 El Control Interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales. La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. Como principales objetivos podemos indicar los siguientes: • Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. • Asesorar sobre el conocimiento de las normas. • Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al Grupo. • Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados. 2.14.1 Componentes del Control Interno Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [2]. Pg. 22. La nueva economía ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en: Restructuración de los procesos empresariales (BPR: Business Process Re-engineering)
  29. 29. Carrera de Ingeniería de Sistemas Computacionales 29 Bach. Arturo Fernando Granados Rodríguez Gestión de la calidad (TQM) Redimensionamiento por reducción o crecimiento hasta el nivel correcto Outsourcing Descentralización Los cambios que se mencionan, se deben a fuerzas externas que presionan a la empresa (ver Figura N°5). Ante esta situación, l as empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopción de la tecnología disponible. Los Sistemas de información constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta dirección. Esto origina también un aumento de las necesidades de control y Auditoría. Es en este escenario que aparecen 2 conceptos fundamentales: El control interno y la Auditoría informática Figura Nº07 Actividades de un Sistema de Información 2.15 AUDITORÍA INFORMÁTICA En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06] Pag. 07 La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias parar determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la Auditoría Informática sustenta y confirma la consecución de los objetivos tradicionales de la Auditoría:
  30. 30. Carrera de Ingeniería de Sistemas Computacionales 30 Bach. Arturo Fernando Granados Rodríguez • Objetivos de protección de activos e integridad de datos • Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia. En el Libro “Auditoría en Sistemas Computacionales”, de Carlos Muñoz Razo. Ref Lib [05]. Es la revisión técnica especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos de periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medias de seguridad y de los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. El INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?. Ref. URL [1]. Hace referencia a los objetivos fundamentales de la Auditoría informática: La Auditoría debe iniciar su actividad cuando los Sistemas están operando, éste es el principal objetivo, el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los sistemas ha de constituir entonces la principal preocupación del Auditor informático. Para conseguirla hay que acudir a la realización de Controles técnicos generales de operatividad y Controles técnicos específicos de operatividad, previos a cualquier actividad de aquel. 2.15.1 Control Interno y Auditoría Informática: Campos Análogos El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.
  31. 31. Carrera de Ingeniería de Sistemas Computacionales 31 Bach. Arturo Fernando Granados Rodríguez Tabla Nº4 Similitudes y Diferencias entre Control Interno y Auditoría Informática 2.16 Técnicas y Herramientas Usadas por la Auditoría Informática El INEI en su página Web: ¿QUÉ ES LA AUDITORÍA INFORMÁTICA?. Ref. URL [1]. Hace referencia a: Cuestionarios La información recopilada es muy importante, y esto se consigue con el levantamiento de información y documentación de todo tipo. Los resultados que arroje una auditoría se ven reflejadas en los informes finales que estos emitan y su capacidad para el análisis de situaciones de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de campo consiste en que el auditor busca por medio de cuestionarios recabar información necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser sustentados por hechos demostrables, a quienes se les llama evidencias. Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios lo que son pre impresos, los cuales son dirigidas a las personas que el auditor considera más indicadas, no existe la obligación de que estas personas sean las responsables de dichas áreas a auditar. Cada cuestionario es diferente y muy específico para cada área, además deben ser elaborados con mucho cuidado tomando en cuenta el fondo y la forma. De la información que ha sido analizada cuidadosamente, se elaborará otra información la cual será emitida por el propio Auditor. Estas informaciones serán cruzadas, lo que vine a ser uno de los pilares de la auditoría. Muchas veces el auditor logra recopilar la información por otros medios, y que estos pre impresos podían haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la auditoría. Entrevistas
  32. 32. Carrera de Ingeniería de Sistemas Computacionales 32 Bach. Arturo Fernando Granados Rodríguez Existen tres formas para que el auditor logre relacionarse con el personal auditado. La solicitud de la información requerida, esta debe ser concreta y debe ser de la materia de responsabilidad del auditado. En la entrevista no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. La entrevista es un medio por el que el auditor usará metodologías las que han sido establecidas previamente con la finalidad de encontrar información concreta. La importancia que la entrevista tiene en la auditoría se debe a que, la información que recoge es mayor y se encuentra mejor elaborada, y es más concreta que las que pueden proporcionar los medios técnicos o los cuestionarios. La entrevista personal entre el auditor y el personal auditado, es basada en una serie de preguntas específicas en las que el auditado deberá responder directamente. El sistema de interrogación se establece previamente y el auditor tendrá mucho cuidado, esta entrevista se debe dar de una forma muy cordial y bajo los parámetros de lo correcto, esto se hace con la finalidad de que sea lo menos tensa posible, y que el auditado conteste de la forma más natural, con mucha sencillez. Sólo que esta sencillez con la que se elaboran las preguntas deberán tener un fondo muy profundo, el cual es distinto en cada caso. El auditor cuando es ducho en la materia y tiene mucha experiencia, realiza un trabajo de reelaboración de sus cuestionarios de acuerdo a la situación y al escenario auditado. Este es un personaje que sabe que es lo que busca, debido a que tiene bien en claro lo que necesita, y porque lo necesita. Su trabajo es el pilar fundamental para el análisis, cruce y elaboración posterior del informe final, pero esto no indica que el auditado tenga que ser sometido a un interrogatorio automatizado lo cual no ofrece ningún camino. Por el contrario el auditor realiza la entrevista de tal forma que el auditado pueda responder a las preguntas formuladas de manera normal, lo que servirá para llegar al cumplimiento de los cuestionarios de sus Check Lists. 2.17 AUDITORÍA DE SISTEMAS DE INFORMACIÓN Según Alonso Tamayo Alzate en su Libro “Auditoría de Sistemas – Una visión práctica”. Ref Lib [07] “La Auditoría de sistemas es la parte de la auditoría interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para logar confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de
  33. 33. Carrera de Ingeniería de Sistemas Computacionales 33 Bach. Arturo Fernando Granados Rodríguez computadores; es decir, en estas evaluaciones se está involucrado tanto los elementos técnicos como humanos que intervienen en el proceso de información” Figura Nº08 Definición de Auditoría de Sistemas Según el Instituto Nacional de Estadística e Informática (INEI) en su investigación “Auditoría de Sistemas”. Ref. URL [2]. “La Auditoría de Sistemas es el conjunto de técnicas que permiten detectar deficiencias en las organizaciones de informática y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computación, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten. Se verifica la existencia y aplicación de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el ámbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectúan Auditorías de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de informática, así como la confiabilidad y seguridad de sus sistemas.” Según el Mg. Ing. Alberto Mendoza De Los Santos, en una presentación de sus clases de la Universidad Privada del Norte. Ref. PPT [1]. Pg. 05 La Auditoría de Tecnologías de Información es un “Examen objetivo, crítico, sistemático, eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a la eficiencia en la utilización de los recursos informáticos; la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.”
  34. 34. Carrera de Ingeniería de Sistemas Computacionales 34 Bach. Arturo Fernando Granados Rodríguez Según Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. En su libro “Auditoría de Tecnologías y Sistemas de Información”. Ref Lib [06] Pag. 33 En la década del 1970 (concretamente se funda en 1967) se consolida la que hoy se llama Information Systems Audit and Control Association (ISACA), siendo aun hoy la Única entidad, a nivel mundial, de los auditores de SI, y que gestiona una certificación en esta materia: Certified Information Systems Auditor (CISA). Esta asociación, que está presente en más de 140 países, a través de más de 170 capítulos (Chapters, en inglés) en todo el mundo, establece normas y procedimientos para la función de la Auditoría de SI y los profesionales que las realizan. Las preocupaciones fundamentales con respecto a la tecnología aludida anteriormente siguen siendo GIS mismas o se han incrementado con la evolución tecnológica. Estas inquietudes tanto de la Dirección de una entidad, como de sus accionistas o de la sociedad en general, se pueden concretar en: • La veracidad de la información, en cuanto a su totalidad y exactitud, procesada por los sistemas de tecnología. • La utilización racional y ajustada a las necesidades reales de los recursos tecnológicos. • EI "mantenimiento" o "sostenibilidad" de la estructura tecnológica y su crecimiento no debe ser traumático en el soporte de nuevas actividades. • La confidencialidad de la información • La protección de sus activos, especialmente el software y la información. 2.18 Objetivos de la Auditoría de Sistemas Según Alonso Tamayo Alzate en su Libro “Auditoría de Sistemas – Una visión práctica”. Ref Lib [07] A continuación se exponen los objetivos que persigue la Auditoría de sistemas, los cuales se presentan agrupados en objetivos generales y objetivos específicos, de la siguiente forma:
  35. 35. Carrera de Ingeniería de Sistemas Computacionales 35 Bach. Arturo Fernando Granados Rodríguez Figura Nº09 Objetivos de Auditoría de Sistemas Objetivos Generales • Evaluar las políticas generales sobre la planeación, ambiente laboral, entrenamiento y capacitación, desempeño, supervisión, motivación y remuneración del talento humano. • Evaluar políticas generales de orden técnico con respecto al software, hardware, desarrollo, implantación, operación y mantenimiento de sistemas de información- • Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de contingencias. • Evaluar los recursos informáticos de la empresa con énfasis en su nivel tecnológicos, producción de software y aplicaciones más comúnmente utilizadas. • Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con los sistemas de información, de tal forma que el proceso de toma de decisiones se efectúe lo más acertadamente posible. • Conocer las políticas generales y actitudes de los directivos frente a la Auditoría y seguridad de los sistemas de información y proceder a hacer las recomendaciones pertinentes. 2.19 Planteamiento y Metodología En el libro “Auditoría de Tecnologías y Sistemas de Información” de Mario Piattini Velthuis, Emilio Del Peso Navarro y Mar Del Peso Ruíz. Ref Lib [06] Pag. 575 La Auditoría se desglosa en: • Auditoría de la organización y gestión del área de desarrollo y mantenimiento • Auditoría de la planificación y gestión del proyecto
  36. 36. Carrera de Ingeniería de Sistemas Computacionales 36 Bach. Arturo Fernando Granados Rodríguez • Auditoría de la fase de estudio de viabilidad • Auditoría de la fase de análisis • Auditoría de la fase de diseño • Auditoría de la fase de construcción • Auditoría de la fase de implantación • Auditoría de la fase de mantenimiento La metodología que se aplica es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en COBIT (Control Objectives for Information and Related Technologies), la cual proporciona un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las TIC. COBIT está basado en la evaluación de riesgos, de manera que partiendo de los riesgos potenciales a los que está sometida la actividad, en este caso el desarrollo o mantenimiento de SI, se determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos. Para cada objetivo de control de alto nivel, agrupados por cada una de las fases del ciclo de vida del software identificadas en Métrica versión 3 (MAP, 2007), se especifican uno o más objetivos de control de detalle o también denominadas practicas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de alto nivel; para lo cual se ha basado también en la propuesta de Rodero (2001). Así mismo, se aportan una serie pruebas de cumplimiento que permitan comprobar la existencia y correcta aplicación de dichos controles. Será la función del auditor determinar el grado de cumplimiento y madurez de cada uno de ellos.
  37. 37. Carrera de Ingeniería de Sistemas Computacionales 37 Bach. Arturo Fernando Granados Rodríguez Capítulo III: METODOLOGÍA
  38. 38. Carrera de Ingeniería de Sistemas Computacionales 38 Bach. Arturo Fernando Granados Rodríguez III. METODOLOGIA 3.1 Tipo de Investigación: El presente estudio es una investigación aplicada- descriptivo – correlacional; el diseño es Ex post - facto de corte transversal, porque la naturaleza del problema no es de causalidad, pues se realiza sin manipular deliberadamente las variables, puesto que solo se observaron los hechos como se presentan en su contexto. 3.2 Ámbito de Estudio: El presente trabajo de investigación se desarrolló en el área de sistemas del Gobierno Regional de Cajamarca. 3.3 Población y muestra: Está conformado por el área de sistema del Gobierno Regional de Cajamarca. Por ser el número de unidades de análisis pequeña (07 miembros del staff) se han considerado a todos ellos. 3.4 Unidad de Análisis: Está conformada por el total del personal del área y desarrollo del sistema de información del Gobierno Regional de Cajamarca 3.5 Técnica e Instrumentos de Recolección de Datos: − Técnicas: Durante el proceso de ejecución del presente estudio, se revisaran trabajos de investigación relacionados con el tema, así como fuentes bibliográficas primarias. − Instrumentos y Recolección de Datos: Para realizar la Auditoría y plantear las mejoras al desarrollo del sistema de información, se ha elaborado un cuestionario, el cual consta de 47 preguntas. − Para la Auditoría: La metodología que se aplica es la propuesta por la ISACA (Information Systems Audit and Control Association), que está basada en COBIT (Control Objectives for Information and Related Technologies), la cual proporciona un conjunto estructurado de buenas prácticas y metodologías para su aplicación, cuyo objetivo es facilitar el gobierno de las Tecnologías de Información y Comunicaciones. COBIT está basado en la evaluación de riesgos, de manera que partiendo de los riesgos potenciales a los que está sometida la actividad, en este caso el desarrollo o mantenimiento de SI, se determinan una serie de objetivos de control de alto nivel que minimicen esos riesgos. Para cada objetivo de control de alto nivel, se agrupa por cada una de las fases del ciclo de vida del software identificadas en Métrica versión 3 (MAP, 2007), se especifican uno o más objetivos de control de detalle o también denominadas practicas de control, que contribuyen a lograr el cumplimiento de dicho objetivo de control de alto nivel. Así mismo, se aportan una serie pruebas de cumplimiento que permitan comprobar la existencia y correcta aplicación de dichos controles. 3.6 Procesamiento, análisis e interpretación de datos: Luego de aprobado el tema de tesis, se procedió a recolectar los datos; de la encuesta dirigida al staff. Estos datos son vaciados al programa Microsoft Excel; cuyos resultados son presentados en gráficos. En el análisis y discusión se tomará en cuenta el marco teórico y los antecedentes de estudio.
  39. 39. Carrera de Ingeniería de Sistemas Computacionales 39 Bach. Arturo Fernando Granados Rodríguez 3.7 Para determinar el Desarrollo de Sistemas de Información. Se realizó a través de la evaluación de sus fases de desarrollo de sistemas, cumplimiento de estándares y normas de control interno.
  40. 40. Carrera de Ingeniería de Sistemas Computacionales 40 Bach. Arturo Fernando Granados Rodríguez Capítulo IV: DESARROLLO
  41. 41. Carrera de Ingeniería de Sistemas Computacionales 41 Bach. Arturo Fernando Granados Rodríguez IV. ASPECTOS GENERALES DE LA ENTIDAD 4.1. IDENTIFICACIÓN DE LA ENTIDAD AUDITADA El Gobierno Regional Cajamarca, al amparo de la Constitución Política del Estado y la Ley Nº 27867, Ley Orgánica de Gobiernos Regionales y modificatorias, es un organismo público con personería jurídica de derecho público, con autonomía política, económica y administrativa en asuntos de su competencia; constituyendo para su administración económica y financiera un pliego presupuestal. 4.2. Direccionamiento Estratégico 4.2.1 MISIÓN El Gobierno Regional de Cajamarca, en cumplimiento de sus competencias exclusivas, compartidas y delegadas, contribuye al desarrollo integral y sostenible de la región, organizando y conduciendo democrática, descentralizada y desconcentradamente la gestión pública regional, en el marco de las políticas nacionales y sectoriales. 4.2.2 VISIÓN Institución pública regional con identidad propia, capital humano calificado y nivel tecnológico avanzado, capaz de administrar y brindar con calidad recursos y servicios públicos, propiciar condiciones favorables para el desarrollo de la inversión privada y liderar procesos de concertación con la sociedad civil, en el marco de una efectiva lucha contra la pobreza y la defensa del medio ambiente y sus recursos. 4.3 Ubicación Geográfica 4.3.1 LOGO Figura Nº10 Logo Institucional Fuente: Gobierno Regional Cajamarca 4.3.2 DIRECCIÓN Jr. Santa Teresa de Journet 351- Urb. La Alameda Teléfonos: 599000 - 599001 - 599002
  42. 42. Carrera de Ingeniería de Sistemas Computacionales 42 Bach. Arturo Fernando Granados Rodríguez 4.3.3 Vista Satelital Figura Nº11 Vista Satelital del Gobierno Regional Cajamarca Fuente: Google Maps 4.3.4 Exteriores del Gobierno Regional Figura Nº12 Exteriores del Gobierno Regional Cajamarca Fuente: Gobierno Regional Cajamarca Gobierno Regional Cajamarca
  43. 43. Carrera de Ingeniería de Sistemas Computacionales 43 Bach. Arturo Fernando Granados Rodríguez 4.4 ORGANIGRAMA La estructura orgánica del Gobierno Regional Cajamarca, fue aprobada mediante la Ordenanza Regional Nº 020-2005-GR.CAJ-CR de fecha 18 de octubre del año 2005, de acuerdo con las disposiciones legales vigente y en amparo del artículo 9 inciso a) de la Ley Orgánica de Gobiernos Regionales Ley Nº 27867, donde se dispone que los Gobiernos Regionales son competentes para aprobar su organización interna. Es necesario indicar que la actual estructura orgánica es el resultado de haber modificado la anterior que estuvo vigente el año 2005, dadas las condiciones y para un mejor funcionamiento del Gobierno Regional.
  44. 44. Carrera de Ingeniería de Sistemas Computacionales 44 Bach. Arturo Fernando Granados Rodríguez Figura Nº13 Estructura Orgánica del Gobierno Regional Cajamarca Fuente: Gobierno Regional Cajamarca
  45. 45. Carrera de Ingeniería de Sistemas Computacionales 45 Bach. Arturo Fernando Granados Rodríguez 4.5. ANÁLISIS DE LA ENTIDAD AUDITADA El Gobierno Regional Cajamarca cuenta con el Centro de Información y Sistemas, en el cual procesan toda la información necesaria para los Sistemas de Información, pero no figura en su Estructura Orgánica. Según nos relató el Director de dicha oficina; el Centro de Información y Sistemas (CIS) debería estar como una dependencia de la Gerencia de Desarrollo Social. Según Reglamento de Organización y Funciones (ROF) del Gobierno Regional Cajamarca. Artículo 92º El Centro de Información y Sistemas cumple con las funciones siguientes: a. Formular y evaluar el programa de Sistemas de Información, según las necesidades del Gobierno Regional y sobre la base del soporte tecnológico informático. b. Formular, ejecutar y evaluar los programas de control de software y mantenimiento de los equipos de cómputo; y de contingencia. c. Ejecutar y participar en la ejecución de otros programas informáticos definidos por la Alta Dirección del Gobierno Regional o por mandato de norma nacional expresa. d. Mantener actualizado el Portal de Información del Gobierno Regional. e. Otras funciones que le sean asignadas. Fuente: Reglamento de Organización y Funciones, aprobado por Ordenanza Regional Nº 020 – 2005 GRCAJ- CR. 4.6 MARCO LEGAL DEL CENTRO DE INFORMACIÓN Y SISTEMAS El Centro de Información y Sistemas del Gobierno Regional de Cajamarca es integrante del Sistema Nacional de Informática y se desarrolla acorde con los lineamientos, normas y recomendaciones técnicas de la Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros. Incluyendo además las evaluaciones y seguimientos informáticos que realizan las Oficinas de la Contraloría, INDECOPI, y otros organismos reguladores y controladores. Por otro lado el CIS cuenta con la siguiente base legal: 1. Ordenanza Regional 020-2005-GR.CAJ-CR., que aprueba el Reglamento de Organización y Funciones del Gobierno Regional Cajamarca. 2. Resolución Ministerial Nº 073-2004-PCM, Guía para la Administración Eficiente del Software Legal en la Administración Pública. 3. El Centro de Información y Sistema forma parte del Sistema Nacional de Informática, con RESOLUCION MINISTERIAL Nº 206-2004-PCM se Constituyen el Padrón Nacional de Unidades Informáticas de la
  46. 46. Carrera de Ingeniería de Sistemas Computacionales 46 Bach. Arturo Fernando Granados Rodríguez Administración Pública y autorizan ejecución de registro de unidades informáticas del Sistema Nacional de Informática. 4. La Oficina de Derechos de Autor del INDECOPI, es la autoridad nacional competente responsable de cautelar y proteger administrativamente el derecho de autor y propiedad intelectual, mediante Decreto Ley Nº 807 en la que estipula multas y procedimientos a aplicarse en caso de infracciones a los mismos. Durante el proceso de Planificación Estratégica se definió la Misión, Visión de Futuro y Valores que orientarán al Centro de Información y Sistemas del Gobierno Regional de Cajamarca: 1.1. Misión “Planificar, dirigir, ejecutar, supervisar y evaluar el empleo de equipos, soporte, comunicaciones y sistemas de información; contribuyendo con el Gobierno Regional de Cajamarca para que organice y conduzca la gestión pública, en el marco de las políticas nacionales y sectoriales para contribuir al desarrollo integral y sostenible de la región”. 1.2. Visión “El Centro de Información y Sistemas, es capaz de utilizar tecnología de última generación para proporcionar un servicio eficiente, confiable y oportuno, generando confianza y transparencia en la ciudadanía. Así mismo administra todos los recursos informáticos; propone y ejecuta proyectos que simplifican los procesos administrativos, de planeamiento y de evaluación de gestión institucional, que identifican a la institución como una de las más eficientes y modernas”. 1.3. Principios de Conducta Ética Constituyen principios de conducta ética del personal los siguientes: a. Imagen Todo el personal, deberá estar comprometido con el Centro de Información y Sistemas; les corresponde como responsabilidad conjunta, la promoción y preservación de su imagen positiva como un valor que pertenece a todos, que es compartido y del cual se es responsable por el sólo hecho de compartir un ideal común y ser un miembro del CIS. b. Integridad
  47. 47. Carrera de Ingeniería de Sistemas Computacionales 47 Bach. Arturo Fernando Granados Rodríguez El Personal del CIS deberá actuar con rectitud, honradez, y honestidad, procurando satisfacer los intereses legítimos del Gobierno Regional Cajamarca, sus usuarios y la sociedad en su conjunto; desechando el provecho o ventaja personal obtenido por sí o interpuesta por personas. Profesar y practicar un claro rechazo a la corrupción en todos los ámbitos de desempeño de la institución y cumplir cabalmente con sus funciones. c. Eficiencia El personal del CIS brindará calidad en cada una de las labores a su cargo, buscando el resultado más adecuado y oportuno. d. Idoneidad El personal del CIS, se desenvolverá con aptitud técnica, legal y moral en el desempeño de su labor. Propenderá a una formación sólida acorde a la realidad, capacitándose permanentemente para el debido cumplimiento de sus labores. e. Veracidad El personal del CIS se expresará con autenticidad en las relaciones laborales con todos los miembros del Gobierno Regional y con terceros. f. Lealtad y Obediencia El personal del CIS actuará con fidelidad y solidaridad hacia toda la Institución, cumpliendo órdenes que le imparta el superior jerárquico competente, en la medida que reúnan las formalidades del caso y tengan por objeto la realización de actos de servicio que se vinculen con las labores a su cargo, salvo los supuestos de arbitrariedad o ilegalidad manifiestas, los cuales deberá poner en conocimiento de la administración de la institución. Asimismo, actuará con reserva y diligencia en el manejo de la información que conoce. g. Justicia y Equidad El personal del CIS, actuará con permanente disposición para el cumplimiento de sus funciones, otorgando a cada uno lo que le es debido, actuando con equidad en sus relaciones con sus superiores, los subordinados y con la ciudadanía en general. Fuente: Plan Operativo Informático 2012
  48. 48. Carrera de Ingeniería de Sistemas Computacionales 48 Bach. Arturo Fernando Granados Rodríguez 4.7 ESTRUCTURA ORGÁNICA INTERNA DEL CENTRO DE INFORMACIÓN Y SISTEMAS Figura Nº14 Estructura Orgánica del Centro de Información y Sistemas Fuente: Plan Operativo Informático Se debe mencionar que no se cuenta con personal Asistente Administrativo, pero se incluye en el presente organigrama por ser un cargo que se debería considerarse 4.8 RECURSOS HUMANOS DEL CENTRO DE INFORMACIÓN Y SISTEMAS RECURSOS HUMANOS CANTIDAD DIRECCIÓN O GERENCIA Jefe Asistente administrativo 1 1 REDES Y COMUNICACIONES Administrador de Red y Soporte 1 SISTEMAS Analista de Sistemas 1 Web Master 1 Programador de Aplicaciones 1 Diseñador de Interfaces 1 PLANEAMIENTO ESTRATÉGICO INFORMÁTICO Gestor de Proyectos Informáticos 1 Responsable de Investigación y Planeamiento 1 SOPORTE TECNICO Técnico Electrónico 2 Soporte Help Desk 1 TOTAL 12 Cuadro Nº01 Personal del CIS Fuente: Plan Operativo Informático Director Administrador Red Sistemas Web Análisis y Desarrollo Investigación y Gestión de Proyectos Soporte Técnico Apoyo Administrativo
  49. 49. Carrera de Ingeniería de Sistemas Computacionales 49 Bach. Arturo Fernando Granados Rodríguez 4.9 PROBLEMÁTICA DEL CENTRO DE INFORMACIÓN Y SISTEMAS La problemática actual del Centro de Información y Sistemas se presenta mediante el análisis FODA, por medio de este análisis de Fortalezas, Debilidades, Oportunidades y Amenazas, se obtendrá un diagnóstico que permitirá tomar decisiones acordes con los objetivos y políticas que formularemos. SITUACION ACTUAL DESCRIPCION Fortalezas a utilizar F1. Elaboración del Plan Operativo Informático 2012. F2. Personal identificado con el CIS. F3. Coordinación permanente con los diferentes usuarios. F4. Equipo de trabajo eficiente y eficaz. F5. Capacidad de asesoramiento permanente en relación a sistemas informáticos y sus aplicaciones. F6. Implementación de los sistemas de información mediante el desarrollo de software personalizado. F7. Infraestructura física acorde a las exigencias del área. F8. Uso y administración del portal web, que permite fortalecer la imagen institucional. F9. Deseo e iniciativa del personal informático en actualizarse en las nuevas tecnologías informáticas. F10. Decisión institucional para modernizar y estandarizar tecnológicamente el gobierno regional. F11. Adecuación de Data Center y Red de Cómputo de la Sede del Gobierno Regional Cajamarca (Proyecto Gobierno Electrónico). Principales Oportunidades para aprovechar O1. Desarrollo tecnológico que ofrece nuevas oportunidades para lograr mayor eficiencia. O2. Disponibilidad de software en el mercado para la implementación del requerimiento de aplicaciones. O3. Existencia de normatividad estadística e informática a nivel nacional que sirve de referencia para un normal desarrollo de las actividades informáticas. O4. Tendencia a un Modelo de Gobierno Electrónico. O5. Existencia de entidades públicas como INDECOPI, Contraloría, MEF. O6. Potencial productivo que ofrece internet. O7. Mejoramiento de la Red de Datos y Telefónica. O8. Promoción del intercambio de información con la Implementación de MAD y MOD a nivel Regional. Principales Debilidades a superar D1. Uso de software no licenciado. D2.Falta de equipos de contingencia para continuidad de servicios críticos. D3. El CIS no figura dentro de la Estructura Orgánica del Gobierno Regional.
  50. 50. Carrera de Ingeniería de Sistemas Computacionales 50 Bach. Arturo Fernando Granados Rodríguez D4. Desconocimiento por parte del personal del Gobierno Regional Cajamarca acerca del Rol que cumple el CIS Principales Amenazas a neutralizar A1. Situación económica del País, que se expresa en el escaso presupuesto para la adquisición de equipos de cómputo y Licencias de software. A2. Constante amenazas de virus informáticos, correos maliciosos; en la red. A3. Creciente demanda por servicios informáticos relacionados a consultas masivas. A4. La realidad del crecimiento tecnológico trae como consecuencia la obsolescencia de los equipos de cómputo. A5. Débil planificación nacional en el ámbito informático debido a la falta de integración del sector público. A6. Alto costo de software. A7. Inestabilidad laboral. Cuadro Nº02 Análisis FODA - CIS Fuente: Plan Operativo Informático 4.10 Alineamiento con el Plan Estratégico Institucional y Sectorial Las acciones que pretende realizar el Centro de Información y Sistemas se encuentran alineadas con el Plan Estratégico Sectorial Multianual (PESEM 2007-2011) de la Presidencia del Consejo de Ministros (PCM), aprobado mediante Resolución Ministerial N°281- 2007 – PCM : OBJETIVO ESTRATÉGICO SECTORIAL OBJETIVOS INSTITUCIONALES OBJETIVOS ESPECIFICOS INFORMÁTICOS 1. Lograr un estado moderno, eficaz y eficiente que responda a las necesidades de la ciudadanía. a) Contribuir con el incremento de las capacidades de las personas, facilitando la igualdad de oportunidades para la población; impulsando la mejora de la calidad y cobertura de los servicios públicos de educación, salud, saneamiento y la asistencia social, así como la reducción del analfabetismo y la desnutrición infantil y fomentando el desarrollo de la ciencia, la tecnología y la cultura en la Región. b) Lograr niveles de eficiencia y transparencia, en la gestión pública regional, institucionalizando estrategias de rendición de cuentas, a.1 Mejorar la gestión pública y propiciar la descentralización del estado mediante el uso intensivo de las tecnologías de la información y comunicación. b.1. Promover el incremento de capacidades competitivas en la Administración Pública, empresas y ciudadanos por medio del uso de las
  51. 51. Carrera de Ingeniería de Sistemas Computacionales 51 Bach. Arturo Fernando Granados Rodríguez facilitando el acceso a la información pública y promoviendo la vigilancia y Auditoría social. c) Contribuir con la integración de la Región Cajamarca desarrollando la articulación vial, eléctrica, de telecomunicaciones; implementando estrategias de coordinación y cooperación con instituciones públicas y privadas; revalorando la identidad regional y fortaleciendo la Concertación y cooperación interregional a todo nivel. tecnologías de la información. b.2. Fortalecimiento del Órgano Institucional. b.3. Fortalecimiento del Órgano Informático Institucional. c.1.Optimizar el flujo de la información de los sistemas y la comunicación de las estaciones de la red interna a través del mejoramiento, estandarización y actualización de los elementos que conforman la red institucional Cuadro Nº03 Alineamiento con el Plan Estratégico Institucional y Sectorial Fuente: Plan Operativo Informático 4.11 Estrategias para el logro de las metas del Plan Operativo Informático Las siguientes son las principales estrategias planteadas de acuerdo a las diferentes necesidades tecnológicas por las que atraviesa el Gobierno Regional Cajamarca 1. Mejorar la disponibilidad de herramientas tecnológicas. 2. Desarrollar la infraestructura tecnológica. 3. Generar rentabilidad de forma sostenible en el desarrollo de proyectos informáticos. 4. Analizar requerimientos funcionales para incorporarlos a la cadena de valor midiendo el avance hacia sus objetivos. 5. Disponer de personal de sistemas con nivel competitivo y asegurar que dicho nivel se mantenga. 6. Llevar a cabo el cumplimiento de normativas como ente del Sistema Nacional de Informática. 7. Desarrollar programas de capacitación continua a los usuarios 8. Fortalecer las actividades y procesos del Gobierno Regional Cajamarca. 9. Mejorar la atención a los usuarios 10. Desarrollar sistemas de información. 11. Reducir la vulnerabilidad de la red. 12. Integrar por medio de una base de datos institucional los procesos dentro del GRC.
  52. 52. Carrera de Ingeniería de Sistemas Computacionales 52 Bach. Arturo Fernando Granados Rodríguez 4.12 APLICACIÓN DE AUDITORÍA DEL DESARROLLO DE SISTEMAS DE INFORMACIÓN EN EL CENTRO DE INFORMACIÓN Y SISTEMAS 4.12.1 AUDITORÍA DE LA ORGANIZACIÓN Y GESTIÓN DEL ÁREA DE SISTEMAS 4.12.2 Objetivo de Control OG1: Procesos, organización y relaciones: El área de sistemas debe tener definidos los procesos de su organización. SI NO Observaciones OG1-C1: Deben establecerse de forma clara las funciones del área. • Existe algún documento que contiene las funciones que son competencia del centro de información y sistemas, está aprobado y se respeta. X OG1-C2: Debe especificarse en el organigrama puestos del área y el staff. • Existe un organigrama con la estructura de organización del área. X OG1-C3: Debe establecerse el marco de trabajo de los procesos del área de sistemas, de modo que permita la ejecución y puesta en práctica del plan operativo informático. • EI marco de trabajo permite la definición y seguimiento de los objetivos de los procesos que han sido definidos e implementados, así como formalmente documentados y aprobados. X OG1-C4: Deben establecerse roles y responsabilidades para la gestión del aseguramiento de la calidad, gestión de riesgos, seguridad y conformidad. • El staff cuenta con los sistemas de aseguramiento de la calidad apropiados, así como los controles y asesoramiento de expertos. X • Las responsabilidades y roles han sido correctamente establecidos, formalizados, documentados y satisfacen los requisitos del área. Son ejecutados por personal con la suficiente formación y experiencia en la materia. X 4.12.3 Objetivo de Control OG2: Gestión de Recursos Humanos: El área de
  53. 53. Carrera de Ingeniería de Sistemas Computacionales 53 Bach. Arturo Fernando Granados Rodríguez sistemas debe contar con recursos humanos adecuados para gestionar el desarrollo y mantenimiento de SI. OG2-C1: Deben existir procedimientos de contratación objetivos. • Las ofertas de puestos del área se difunden de forma suficiente fuera de la organización y las selecciones del personal se hacen de forma objetiva. X • Las personas seleccionadas cumplen los requisitos del puesto al que acceden. X OG2-C2: Debe existir un plan de capacitación que este en consonancia con los objetivos del área y alineados con los objetivos institucionales. • Se tiene aprobado un plan de capacitación a corto, medio y largo plazo que sea coherente con el plan operativo informático X OG2-C3: Debe existir una biblioteca accesible por el personal del área. • Están disponibles un número suficiente de libros, publicaciones periódicos, monografías de reconocido prestigio, ya sea en formato electrónico o papel. El personal tiene acceso a ellos. X OG2-C4: El personal debe estar motivado en la realización de su trabajo. • Existe algún mecanismo que permita a los empleados hacer sugerencias sobre mejoras en la organización del área. X • No existe una gran rotación de personal, existe un buen ambiente de trabajo. X 4.12.4 Objetivo de Control OG3: Plan Estratégico de Tecnologías de la Información del área: El área de sistemas debe participar en la definición del plan estratégico de Tecnologías de la Información OG3-C1: el área debe tener y difundir su propio plan a corto, medio y largo plazo. • Existe el plan estratégico de Tecnologías de la Información. X • Se revisa y actualiza con periodicidad en función de las nuevas situaciones. X
  54. 54. Carrera de Ingeniería de Sistemas Computacionales 54 Bach. Arturo Fernando Granados Rodríguez • Se difunde a todo el staff para que se sientan participes del mismo. X OG3-C2: La realización de nuevos proyectos debe basarse en el plan estratégico de Tecnologías de la Información y en el plan operativo informático en cuanto a objetivos, marco general. • Las fechas de realización coinciden con las del plan estratégico. X • La documentación relativa a cada proyecto que existe en el plan estratégico se pone a disposición del director de proyecto una vez comenzado el mismo. Esta información debe contener los objetivos, los requisitos generales y un plan inicial. X 4.12.5 Objetivo de Control OG4: Gestión de la calidad: El área de sistemas debe disponer de procesos de desarrollo regidos por estándares y principios de ingeniería de software ampliamente aceptados. OG4-C1: Debe existir un registro de problemas que se producen en los proyectos del área, incluyendo los fracasos de proyectos completos. • Existe un catálogo de problemas, incluyendo para cada uno de ellos la solución o soluciones encontradas, proyecto en el que sucedió, persona que lo resolvió. X • EI catálogo es accesible para todos los miembros del área, esta actualizado y tiene uno o varios índices que faciliten la búsqueda. X • Se registran y controlan todos los proyectos fracasados (aquellos que comienzan y no llegan a su fin), así como los recursos invertidos en los mismos. X OG4-C2: Debe mantenerse y comunicarse periódicamente al área las modificaciones del plan de calidad a fin de promover la mejora continua. • El plan existe y se actualiza periódicamente. X • Existen y se ejecutan actividades de mejora continua según los estándares, prácticas, procedimientos y políticas de calidad del X
  55. 55. Carrera de Ingeniería de Sistemas Computacionales 55 Bach. Arturo Fernando Granados Rodríguez departamento adoptadas por el área de sistemas. OG4-C3: Debe existir algún mecanismo de creación y actualización de prácticas y estándares de calidad así como de prácticas, estándares de desarrollo y mantenimiento. • EI mecanismo para la creación y actualización de prácticas y estándares está documentado y es conocido en el área. X • Están definidas las prácticas de análisis y diseño, e incluye las técnicas y herramientas a usar. Así como también hay una guía o prácticas de programación para cada uno de los lenguajes homologados X • Hay un estándar general para toda la documentación generada, incluyendo documentación técnica (análisis, diseño, documentación de los programas), manuales de usuario, etc. X OG4-C4: Debe existir un procedimiento de monitorización y medición del cumplimiento de estándares y prácticas de calidad así como de los de desarrollo y mantenimiento. • Se realizan informes ejecutivos periódicamente sobre la calidad de los SI en el área. X • Están definidas métricas de calidad y éstas están alineadas con los objetivos de calidad del área y ayudan en la consecución de los objetivos del área. X • Se realizan inspecciones en los hitos de los proyectos para verificar el cumplimiento de los estándares y prácticas. X OG4-C5: Debe practicarse la reutilización del software. • Existe un repositorio con todos los productos software susceptibles de ser reutilizados: librerías de funciones, clases de objetos, componentes software, documentos (catálogo de requisitos comunes, arquitecturas). X • EI repositorio o catálogo es conocido y accesible por todos los miembros del área, esta actualizado
  56. 56. Carrera de Ingeniería de Sistemas Computacionales 56 Bach. Arturo Fernando Granados Rodríguez y tiene uno o varios índices que faciliten la búsqueda. X OG4-C6: Debe existir un modelo de la arquitectura de información que se actualice regularmente y defina los sistemas apropiados que optimicen el uso de la información. • Existe un diccionario de datos institucional con las reglas de sintaxis de la organización, el esquema de clasificación de datos y sus niveles de seguridad correspondientes. X • Se garantiza la consistencia y seguridad de la información de los SI con los recursos proporcionales y dicha información se alinea con la estrategia y objetivos de la institución. X OG4-C7: Los lenguajes, compiladores, software de pruebas, software de control de versiones; utilizados en el área deben ser previamente válidos. • Existe un mecanismo para la adquisición y validación de cualquier nuevo producto software usado en el desarrollo. Se deben evaluar al menos los siguientes parámetros: productividad, portabilidad a otros entonos, transición desde los productos actuales, riesgo de cambio, cumplimiento de los estándares del área, compatibilidad con el entono tecnológico, costos, entre otros. X • Cuando se valida un nuevo producto de desarrollo se forma al personal del área que lo vaya a manejar. X • Se registra la información más importante acerca de la configuración de los productos recién adquiridos. X Tabla N°05: Auditoría de la organización y gestión del área de sistemas Fuente: Propia
  57. 57. Carrera de Ingeniería de Sistemas Computacionales 57 Bach. Arturo Fernando Granados Rodríguez 4.13 AUDITORÍA DE PROYECTOS DE DESARROLLO Y MANTENIMIENTO 4.13.1 Auditoría de la gestión y planificación del proyecto SI NO Observaciones 4.13.2 Objetivo de Control P1: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. P1-C1: Debe existir documento de aprobación del proyecto que defina claramente los objetivos, restricciones y las áreas afectadas. • Existe algún documento de aprobación del proyecto autorizada por algún órgano competente. X • En el documento de aprobación están definidos de forma ciara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (recursos técnicos y humanos, presupuesto, entre otros.) y su alineación con el plan estratégico. X • Se han identificado las unidades de la organización a las que afecta. X P1-C2: Debe designarse un responsable o director del proyecto. • La designación se ha llevado a cabo según el procedimiento establecido. X • Se le ha comunicado al director su designación junto con toda la información relevante del proyecto. X P1-C3: El proyecto debe ser catalogado en función de sus características, se debe determinar el modelo de ciclo de vida que seguirá. • Se ha descrito y dimensionado el proyecto según las normas establecidas. X • Se han evaluado los riesgos asociados al proyecto, especialmente cuando se van a usar tecnologías no usadas hasta el momento. X • Se ha elegido el ciclo de vida más adecuado al tipo de proyecto. X • Se ha hecho uso de la información histórica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida. X
  58. 58. Carrera de Ingeniería de Sistemas Computacionales 58 Bach. Arturo Fernando Granados Rodríguez P1-C4: Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que realizará el proyecto y se determinará el plan del proyecto. • La designación del equipo de desarrollo se ha llevado a cabo según el procedimiento establecido. X • Se ha comunicado a todos los miembros del staff de desarrollo los objetivos del proyecto, la responsabilidad que tendrán en el mismo, las fechas en las participaran y la dedicación completa o parcial. X • EI plan de proyecto realizado es realista y utiliza la información histórica de la que se disponga para realizar estimaciones. X 4.13.3 Objetivo de Control P2: El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recursos. P2-C1: Los responsables de las aéreas afectadas por el proyecto deben participar en la gestión del proyecto. • Se ha constituido formalmente el comité de dirección del proyecto y están incluidos los responsables de todas las unidades afectadas. X • EI comité tiene una periodicidad de reunión mínima, y en cualquier caso siempre que lo exija el desarrollo del proyecto, debe tener competencia para asignación de recursos, la revisión de la marcha del proyecto y para modificar el plan del proyecto en función de las revisiones. X • Las reuniones se hacen con un orden del día previo y las decisiones tomadas quedan documentadas en las actas de dicho comité. X • EI número de reuniones y la duración de las mismas no superan un límite razonable comparado con la envergadura del proyecto. X P2-C2: Se debe establecer un mecanismo para la resolución de los problemas que pueden surgir a lo largo del proyecto.
  59. 59. Carrera de Ingeniería de Sistemas Computacionales 59 Bach. Arturo Fernando Granados Rodríguez • Existen hojas de registro de problemas y hay alguna persona del proyecto encargada de su recepción, así como un procedimiento conocido de tramitación. X • Existe un método para catalogar y dar prioridad a los problemas, así como para trasladarlos a la persona que de los debe resolver, informando si es necesario al director del proyecto y al comité de dirección. X • Se controla la solución del problema y se deja constancia del mismo. X P2-C3: Debe existir un control de cambios a lo largo del proyecto. • Existe un mecanismo para registrar los cambios que pudieran producirse, así como para evaluar el impacto de los mismos. X • La documentación afectada se actualiza de forma adecuada y se !leva un control de versiones de cada producto, consignando la ultima fecha de actualización. X • Se remite la nueva versión de los documentos actualizados a los participantes en el proyecto. X P2-C4: Cuando sea necesario reajustar el plan del proyecto, normalmente en un hito al finalizar una fase, debe hacerse de forma adecuada. • Se respetan los límites temporales y presupuestarios marcados al inicio del proyecto. Si no es así debe ser aprobado por el comité de dirección. X • Se ha tenido en cuenta los riesgos del reajuste. X • Se ha hecho uso de la información histórica que se dispone en el área sobre estimaciones. X • Se notifica el cambio a todas las personas que participen en el proyecto y se ven afectados. X P2-C5: Debe hacerse un seguimiento de los tiempos utilizados tanto por tarea como a lo largo del proyecto • Existe algún procedimiento que permite registrar el X

×