Plantillas de auditor´ıa para el desarrollo de sistemas informáticos.

Anuncio
Plantillas de auditorı́a para el desarrollo de sistemas
informáticos.
Liz Irene Báez1 y Yolanda Espı́nola2 .
Facultad Politécnica, Universidad Nacional del Este.
Ciudad del Este, Paraguay.
1 lizbaez71@gmail.com 2 espinolayolanda@gmail.com
Resumen
El objeto del presente trabajo de investigación es implementar plantillas de trabajo de auditorı́a en la fase de desarrollo de sistemas informáticos, con relación a controles y aplicaciones
de auditorı́a informática.
Para los efectos de prueba, evaluación y aplicación de las plantillas de trabajo, se eligió una
empresa del área de desarrollo de software. Se creó un plan de auditorı́a a ser aplicado a la
misma, luego se procedió a realizar el trabajo de campo.
Posteriormente se llevó a cabo el análisis comparativo y evaluativo de los datos recabados
en las plantillas. Finalmente se presentaron los resultados y se extrajeron las conclusiones
donde se destacan las fortalezas y debilidades de la empresa en cuanto a su gestión. Se
ha probado la prácticidad y facilidad de aplicación de las plantillas implementadas. Como
cierre se formulan algunas sugerencias y recomendaciones de buenas prácticas de desarrollo
de sistemas informáticos.
Descriptores: plantilla de auditorı́a, cuestionario de checklist, auditoria informática, desarrollo de software.
Abstract
The purpose of this work is to implement audit work templates in the development stage of
computer systems, with relation to controls and auditing computer applications.
For purposes of testing, evaluating and implementing the working templates, a company of
software development area was chosen. An audit plan to be applied to it was created, then
the fieldwork proceeded.
Subsequently, a comparative evaluative analysis of data collected on the forms was carried
out. Finally the results are presented and conclusions which highlights the strengths and
weaknesses of the company management. The audit forms probed to be easy and agile
to use. As closing, some suggestions and recommendations for good practice in systems
development are formulated.
Keywords: audit template, check list questionnaire, computing audit, software development.
1. Introducción.
Actualmente, cuando las compañı́as buscan
cumplir eficiente y eficazmente sus objetivos de
forma transparente, la auditorı́a informática adquiere fundamental importancia para el logro de
sus metas. Este trabajo ofrece un soporte al auditor para controlar y evaluar los pasos que fueron
realizados conforme a las normas y conceptos para
auditar sistemas de información.
Desde tiempos inmemoriales ha existido la figura del revisor, que hoy se lo conoce con el nombre de Auditor. Los revisores de sistemas de infor-
mación han venido utilizando normas y métodos
ajustados al nivel de desarrollo tecnológico de su
momento. Como consecuencia de la continua evolución y revolución del mundo informático (cada
vez se consiguen ordenadores más pequeños, más
rápidos y más baratos), la auditoria debe estar al
dı́a con los avances de las nuevas tecnologı́as.
La auditorı́a de desarrollo se encarga de llevar
a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en
una empresa para mejorar la confiabilidad, oportunidad, seguridad y confidencialidad de los datos
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
que se procesan a través de los sistemas de información. La auditorı́a de desarrollo es una rama
especializada que promueve y aplica conceptos de
auditorı́a en el área de sistemas de información [1].
La auditorı́a de sistemas de información se define como cualquier auditorı́a que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes.
Este trabajo aborda los conceptos de auditorı́a
informática y las mejores prácticas sobre el control de sistemas de información, lo cual posibilitarı́a a un auditor y a un gerente la comprensión
y administración de los riesgos relacionados con la
tecnologı́a de la información y ası́ mismo establecer el enlace entre los procesos de administración,
aspectos técnicos, la necesidad de controles y los
riesgos asociados. Finalmente lo que se pretende
es detectar las falencias y evaluar la eficiencia de
una sección o de un organismo para lograr los objetivos propuestos.
− Elaborar un plan de trabajo de campo para
la aplicación de las plantillas construidas.
− Elaborar una guı́a para la práctica de auditoria de desarrollo de sistema informático.
− Probar la usabilidad de las plantillas y de la
guı́a de aplicación elaboradas, mediante un
estudio de caso consistente en su empleo en
la auditorı́a de una empresa de desarrollo de
sistemas informáticos.
− Elaborar un informe de auditorı́a interna
conforme a los resultados obtenidos en la
aplicación de las plantillas.
De acuerdo con [1], la Auditorı́a Informática es
una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de
computadoras, mantener la integridad de los datos
y lograr los objetivos de la organización en forma
eficaz y eficiente. Es la verificación de los controles en las tres siguientes áreas de la organización
(informática) [2]:
− aplicaciones (programas de producción),
1.1. Formulación del problema.
− desarrollo de sistemas e
En la actualidad los temas relativos a la auditorı́a informática cobran cada vez más relevancia,
debido a que la información se ha convertido en
el activo más importante de las empresas, representando su principal ventaja estratégica, por lo
que estas invierten enormes cantidades de dinero
y tiempo en la creación de un sistema de información, con el fin de obtener mayor productividad y
calidad.
La necesidad de que una organización cuente
con procedimiento de control interno es aceptada
ampliamente como garantı́a de una gestión eficaz
orientada a la consecución de los objetivos marcados. La función auditora es precisamente la encargada de comprobar la existencia de estos procedimientos de control y de verificar su correcta
definición y aplicación determinando las deficiencias que existan al respecto y los riesgos asociados
a estas carencias de control.
La auditorı́a del desarrollo informático tratará de verificar la existencia y aplicación de procedimientos de controles adecuados que posibiliten
garantizar que el desarrollo de sistemas de información se ha llevado a cabo según estos principios
de ingenierı́a, o por el contrario determinar las deficiencias existentes en este sentido.
− instalación de centro de proceso.
1.2. Objetivos
− Construir plantillas de auditorı́a informática para recabar información relevante a la
práctica del desarrollo de sistemas de información.
Por tanto, se puede decir que auditorı́a en informática “es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente, confiable y segura de la información que servirá para
una adecuada toma de decisiones” [3].
Se trata de establecer unas bases sólidas que
tienen que ver, principalmente con la auditoria, y
uno de los campos o herramientas de la auditorı́a
informática que “es el proceso de recoger, agrupar
y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente
los fines de la organización y utiliza eficientemente
los recursos. De este modo la auditorı́a informática
sustenta y confirma la consecución de los objetivos
tradicionales de la auditorı́a” [4].
2. Materiales y métodos
2.1. Creación de las plantillas de trabajo
de auditorı́a
Para la elaboración e implementación de plantillas de trabajos de auditorı́a en la fase de desarrollo de sistemas informáticos se ha llevado a cabo una investigación exhaustiva de varios autores,
investigaciones, experiencias y trabajos anteriores,
56
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
para ello se han utilizado varias técnicas de recolección de los datos, análisis y sı́ntesis con la utilización de fichas bibliográficas. Este proceso posi-
bilitó la elaboración de los cuadros (cuestionarios
de checklist) presentados más abajo (Fig. 1).
Figura 1. Metodologı́a para la creación de Plantillas de Trabajo de Auditorı́a.
2.2 Auditoria de Desarrollo de Sistemas
(ADS).
En este apartado se presentan los objetivos de
control aplicables a cualquier proyecto, si bien la
experiencia del auditor debe determinar los objetivos más importantes en función de las caracterı́sticas del proyecto y las fases a auditar. La auditorı́a
de cada proyecto de desarrollo tendrá un plan distinto dependiendo de los riesgos, complejidad y
recursos disponibles para realizar la auditorı́a.
Una vez conocidas las tareas que se deben realizar en el área de desarrollo, se aborda la ADS
desglosándola en cuatro fases que son las siguientes:
− Auditorı́a de la fase Análisis del sistema
de información (ASI): pretende obtener
un conjunto de especificaciones detalladas
del sistema de información que satisfaga las
necesidades de información de los usuarios
y sirva de base para el posterior diseño del
sistema y de forma independiente al entorno
técnico, que consiste en una especificación
detallada que posibilite describir con precisión el sistema de información.
− Auditorı́a de la fase Diseño del sistema
de información (DSI): su objetivo es definir la arquitectura del sistema y del entorno
tecnológico que lo va a soportar, conjuntamente con una especificación detallada de los
componentes, que posibiliten definir una arquitectura fı́sica para el sistema, coherente
con la especificación funcional que se disponga y con el entorno tecnológico; aparte de
generar todas las especificaciones necesarias
para la construcción del sistema de información.
− Auditorı́a de la fase Construcción del sistema de información (CSI): en esta fase
se desarrollan componentes de software que
deben satisfacer las necesidades identificadas
y cumplir con los requisitos especificados en
la fase de diseño. Ası́ mismo se ponen en
marcha todos los procedimientos necesarios
para que los usuarios puedan trabajar con
el nuevo sistema. Al desallar tales componentes o módulos se deben emplear técnicas
de programación correctas; los proyectos de
desarrollo deben definir los procedimientos y
57
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
la formación necesaria de los usuarios para
que éstos puedan utilizar el nuevo sistema
adecuadamente.
− Auditorı́a de la fase Implantación y aceptación del sistema (IAS): En esta fase
se verifica si el sistema cumple con los requisitos establecidos en la fase de análisis.
Una vez aprobado y aceptado se pone en explotación, considerando los siguientes ejes de
objetivos de control: a) El sistema debe ser
aceptado formalmente por los usuarios antes
de ser puesto en explotación; b) Al poner el
sistema en explotación formalmente, pasa a
mantenimiento sólo cuando haya sido aceptado y esté preparado todo el entorno en que
se lo ejecutará.
2.3. Programa de Auditoria
Esta investigación está orientada a la auditoria
de desarrollo de sistemas informaticos. Inicia con
la entrevistas y observación para levantamiento de
datos validados por la evidencia.
2.3.1. Plan de Auditorı́a para aplicación
del trabajo.
La auditorı́a comprende la revisión y el análisis de la estructura y gestión de la gerencia de
la empresa, especı́ficamente al sector de sistema.
No se contempla: auditoria fı́sica de sistemas informáticos, auditorı́a administrativa de la empresa, evaluación del desempeño de funcionarios con
herramientas propias de psicologı́a laboral. La entrega a los auditores de los documentos y datos
solicitados son de exclusiva responsabilidad de la
empresa, por lo cual ella deberá propiciar un ambiente de trabajo de colaboración con los auditores
(Tabla 1).
Tabla 1. Programa de trabajo de auditorı́a.
Objetivo
Alcance
Recursos
Pasos
seguir
a
Obtener la información referente al cumplimiento los papeles de trabajos creados en
la investigación.
Se aplicará a una empresa de ingenierı́a informática.
Dos Auditores, una computadora tipo Notebook y un cuestionario de evaluación de
los controles (papeles de trabajos).
1. Solicitar los estándares utilizados, manuales de procedimiento, planes y documentaciones de la empresa, además de la estructura orgánica.
2. Evaluar los documentos solicitados en el punto 1) del área, caso sea necesarios
después de realizar un análisis, prepare y actualice los documentos.
3. Realizar entrevistas con todos los gerentes y funcionarios de la empresa.
4. Aplique el cuestionario de control (los papeles de trabajo) por separado a cada
uno de los empleados especificados en el numeral anterior.
5. Anotar las respuestas a cada pregunta en el espacio correspondiente del cuestionario.
6. Evaluar la información recopilada en el punto 5, compilar las respuestas de todos
los empleados y extraer conclusión.
7. Redactar resumen de fortalezas y debilidades de control de la empresa.
2.3.2. Aplicación del plan de trabajo para
la fase de desarrollo.
Para la aplicación de plantilla en la fase de
desarrollo de sistema de información, se presenta
en forma gráfica el plan de trabajo, relacionado a
la ejecución de la auditoria.
Las plantillas de trabajo ya creadas son en-
viadas con una solicitud de aprobación; una vez
aprobadas se procede a realizar las entrevistas pertinentes con relación a la auditoria de desarrollo
de sistema. Finalizadas las entrevistas (plantillas
de trabajos) se procede a analizar los resultados,
detallar los resultados obtenidos y en base a esto
obtener el informe final de la auditoria, véase el
diagrama de la Fig. 2.
58
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
Figura 2. Aplicación de plantillas de auditorı́a de desarrollo de sistemas informáticos.
3. Presentación de Resultados de
Auditoria.
Las plantillas de trabajo de auditoria en la fase
de desarrollo de sistemas informáticos fueron aplicadas a una empresa desarrolladora de software de
Ciudad del Este.
3.1. Auditorı́a de la fase ASI
En esta fase que se refiere al análisis del sistema informático se han obtenido las especifica-
ciones detalladas del sistema que deben satisfacer las necesidades de información de los usuarios
y que sirven de base para el diseño del sistema,
independientemente del entorno técnico, teniendo
en cuenta el plan detallado de sesiones de trabajos: entrevistas y técnicas que se utilizan para la
recopilación de información más los catálogos de
requisitos. En la tabla 2 se puede observar un despliegue de pantalla de los resultados en cuanto al
cumplimiento de las especificaciones de la fase ASI
por la empresa del estudio de caso de este trabajo.
Tabla 2. Resultado fase ASI.
3.2. Auditorı́a de la fase DSI.
La auditorı́a de esta fase de diseño de sistemas informáticos trata sobre la arquitectura fı́sica
para el sistema diseñado, su coherencia con la especificación funcional y con el entorno tecnológi-
co. Trata también sobre las especificaciones necesarias para la construcción del sistema de información, teniendo en cuenta varios puntos entre
ellos la existencia de catálogos de requisitos, la
presentación de diseños y el entorno tecnológico
como servidores, computadores etc. En la tabla 3
59
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
se puede observar un despliegue de pantalla de los
resultados en cuanto al cumplimiento de las es-
pecificaciones de la fase DSI por la empresa del
estudio de caso de este trabajo.
Tabla 3. Resultado fase DSI.
3.3. Auditorı́a de la fase CSI.
La auditorı́a de esta fase trata sobre la construcción de los componentes o módulos que se
habrán desarrollado usando técnicas de programación correctas. También trata sobre los proyectos
de desarrollo definidos en procedimientos necesarios para la utilización adecuada del nuevo sistema, teniendo en cuenta que cumplan las especifi-
caciones de construcción del sistema obtenida en
la fase de diseño. Además trata el procedimiento
de seguridad y la disponibilidad de los puestos de
trabajo, entre otros. En la tabla 4 se puede observar un despliegue de pantalla de los resultados en
cuanto al cumplimiento de las especificaciones de
la fase CSI por la empresa del estudio de caso de
este trabajo.
60
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
Tabla 4. Resultado de fase CSI.
3.4. Auditorı́a de la fase IAS.
Esta fase es complemento de la fase CSI. En la
tabla 5 se puede observar un despliegue de panta-
lla de los resultados en cuanto al cumplimiento de
las especificaciones de la fase IAS por la empresa
del estudio de caso de este trabajo.
Tabla 5. Resultado de fase IAS.
4. Conclusión.
El aporte del presente trabajo constituye un
soporte de actualización en el área de auditorı́a informática que hace referencia a controles y prácticas. Además, posibilita un conocimiento detallado
de lo que es auditorı́a de desarrollo de sistemas informáticos dentro de los conceptos generales de la
auditorı́a informática. Los objetivos propuestos al
inicio del trabajo han sido cumplidos satisfactoriamente y las pruebas del estudio de caso aplicado a
la empresa que brinda servicio en el área de desa61
Plantillas de auditorı́a para el desarrollo de sistemas informáticos.
rrollo de sistemas informáticos se han efectuado
arrojando resultados satisfactorios.
[2] C. Williams y R. Donald, Control Y Auditorı́a
Del Computador. Instituto Mexicano de Contadores Públicos. México. 1980.
Referencias bibliográficas
[3] E. Garcı́a y J. Antonio. Auditorı́a en Informática. Mc Graw-Hill. 2a. ed. México. 1995.
[1] R. Weber, Prentice Hall, Pearson Mc Graw
Hill, Grupo Editor. 1984.
[4] M. Piattini, y Del Peso Navarro. Un enfoque
práctico. RA-MA. 2a ed. España. 2001.
62
Descargar