Está en la página 1de 9

Propuesta de implantacin de un rea de auditora en informtica en un rgano legislativo

Tabla de contenidos

Propuesta de creacin del rea de auditora informtica Objetivo Justificacin de la creacin del rea Modificacin a la normatividad existente Estructura orgnica de la Subcontralora de Auditora Misin, visin y funciones del rea de Auditora Informtica. Tipos de auditora que realizar el rea de Auditora Informtica. Requerimientos para creacin del rea de Auditoria Informtica Requerimientos de hardware y software Requerimientos de personal Pasos a realizar para la implantacin del rea Propuesta de mejor prctica Justificacin Objetivo Propuesta de herramienta CAAT
En este captulo, una vez que ya se conoce la conformacin de la H. Cmara de Diputados, mostramos la formacin general de su rgano de Control Interno y cmo encaja la Subcontralora de Auditora dentro de este rgano Legislativo, se detallan las posibilidades en cuanto a mejores prcticas, certificaciones, tcnicas de auditora y herramientas automatizadas y del anlisis a cada uno de ellos, de acuerdo a lo anterior se dan a conocer los resultados a los que se llega en el desarrollo de este informe de seminario de titulacin. Derivado del estudio de costo beneficio y de factibilidad, as como del anlisis de las consecuencias y riesgos a los que se enfrentar el rea al implantar esta rea, as como de cules seran las consecuencias de seguir con la estructura y funciones, misma que se realiza para darle a los Mandos Medios y Superiores de la Contralora Interna una visin a futuro de las mejoras que traera consigo la a daptacin de esta propuesta, benficas para este rgano de Control Interno as como de estar a la vanguardia en las nuevas tendencias de auditora en informtica actuales, y con ello brindarle a la ciudadana una mejor rendicin de cuentas. As, en este captulo, brindamos las bases y una gua completamente prctica del cmo y porqu es recomendable contar con un rea o las funciones encaminadas a realizar auditoras en informtica dentro de este rgano, desde la ptica de las nuevas tendencias mundiales de auditora y tratando de dar cumplimiento a las recientes Leyes de Transparencia y Acceso a la Informacin Pblica Gubernamental.

Propuesta de creacin del rea de auditora informtica


Nuestro informe de seminario concretamente propone la implantacin d un rea de e auditora en informtica dentro de la Subcontralora de Auditora de la H. Cmara de

Diputados. Lo anterior, lo fundamos a lo largo de este informe, los principales motivos son: 1. Implantar esta rea dentro del rgano de Control Interno traer c onsigo la innovacin de la Subcontralora de Auditora para cubrir las funciones de una parte de la Cmara de Diputados que actualmente no es auditada, la Direccin General de Tecnologas de Informacin; 2. La eficiencia, eficacia y calidad de las auditoras que se realizan en el rgano se vern beneficiadas por la capacitacin adecuada del personal y la consecuente automatizacin de procedimientos, que dejarn de ser tradicionales para estar a la vanguardia. 3. El crecimiento constante de la Direccin General de Tecnologas de Informacin eventualmente obligar a la Subcontralora de Auditora a implantar procedimientos para auditarla, es por ello que ser benfico aplicar estos procedimientos antes de ser rebasados en un futuro por esta problemtica, es decir tomas medidas preventivas antes de afrontar una contingencia seria en la Cmara de Diputados. Por lo anterior, en los siguientes puntos detallamos la propuesta especfica que contempla cuales seran las actualizaciones ms adecuadas para lograr este objetivo , comenzando por proponer los cambios pertinentes en la normatividad actual, cul sera su nueva estructura orgnica, proponemos las nuevas funciones del rea de auditora en informtica de acuerdo a las nuevas tendencias de la auditora en Tecnologas de Informacin mundiales; asimismo, de entre las diferentes herramientas y tcnicas de auditora en informtica, seleccionamos aquellas que resultaran ms convenientes de acuerdo a las caractersticas especficas de la Subcontralora de Auditora as como de la Direccin General de Tecnologas de Informacin, tomando en cuanta su tamao, su capacidad y tecnologa actual.

Objetivo
Evaluar el desempeo de los sistemas informticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la Informacin as como un elevado nivel de seguridad. Realizar auditoras operacionales, integrales, especiales y de cumplimiento al rea de sistemas, ayudando en la gestin de control de la Auditora Interna y buscando las reas de oportunidad. 1. 2. 3. Evaluar los controles establecidos para proteger los bienes institucionales, referente al manejo hardware, software y valores. Proporcionar al rgano Legislativo, un conocimiento de la situacin informtica real del rea de Sistemas. Realizar auditoras operacionales, integrales, especiales y de cumplimiento a aquellas reas administrativas y Grupos Parlamentarios que as lo requieran. El rea de Auditora Informtica, como parte de la SubContralora de la H. Cmara de Diputados tendr como misin y visin, los que a continuacin se describe:

Justificacin de la creacin del rea


Es bien sabido que actualmente existe la necesidad de crear un mbito de seguridad en cualquier organizacin, debido al aumento de casos internacionales de fraudes tanto

contables como informticos, como ya se mencion anteriormente el activo ms valioso de casi cualquier organizacin actualmente es precisamente la informacin, este es el caso de la Cmara de Diputados. En base a los anlisis realizados, se propone la creacin de un rea de Auditora Informtica que proporcione seguridad y control en el mbito tecnolgico, misma que deber promover elevar la cultura informtica tanto dentro de la Subcontralora de Auditora, como en el resto de la Cmara de Diputados. Esta rea deber estar encargada de constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la informacin y prevean las posibles contingencias en cuanto a la seguridad de la informacin que se maneja en este rgano, misma que por definicin es muy delicada, asimismo que regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del rea de sistemas de esta Institucin mediante las auditoras correspondientes. Adicionalmente, esta rea deber contar con las actualizaciones sobre las regulaciones de la seguridad informtica, mejores prcticas para aplicarlas a esta Insttucin, as i como de las nuevas tcnicas de auditora en informtica ya sean manuales o asistidas por computadora, apoyados en profesionales capacitados para mantener sistemas informticos seguros, confiables y confidenciales, que eviten y prevengan la ocu rrencia de situaciones de riesgo derivadas de las actuales debilidades en los sistemas de control.

Modificacin a la normatividad existente


La normatividad que propone ser modificada comienza a nivel del Manual de Organizacin General de la Cmara de Diputados que en Captulo 1, Descripcin del rgano legislativo y de su organo interno de control se menciona textualmente, dentro del objetivo que ah se plasma, deber cambiar de la siguiente forma:

Importante
Vigilar que las operaciones de la Cmara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicacin de los recursos financieros, humanos, materiales y tecnolgicos se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos dela Federacin. Adicionalmente, en el Manual de Organizacin de la Contralora General el texto propuesto es el siguiente:

Importante
Establecer los mecanismos de fiscalizacin, control, auditora y evaluacin para supervisar el funcionamiento de las unidades administrativas dentro de su campo de accin, as como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las reas, con el propsito de que stas cumplan con los ordenamientos legales aplicables y as lograr el ptimo aprovechamiento de los recursos financieros, humanos, materiales y tecnolgicos de los que dispone la Cmara.

Estructura orgnica de la Subcontralora de Auditora

La rees ruc urac de la Subc ralora de Auditora no estar com leta si no contem la una modificacin a su estructura orgnica que incluya un rea que se dedique a realizar las funciones propias de la auditora en informtica, como se puede apreciar en la Figura 1 3, Estructura orgnica de la Contralora Interna de la Cmara de Diputados, los puestos de la Subdireccin hacia abajo son genricos, lo que redunda en confusiones en los tramos de control y funciones, por ello y para acabar con esta problemtica, adems de incluir esta nueva rea se propone que el Organigrma de la La nueva estructura orgnica de la Subcontralora de Auditora deber establecerse como se indica en la Figura 5.1, ueva estructura orgnica para la Subcontralora de Auditora.


Subcontralora detalle los nombres especficos de los puestos

Misin, visin nformtica.




funciones

del

rea

En esta parte del capitulo, sern presentadas las funciones que deber realizar el rea de Auditora Informtica, como parte de la Subcontralora de la H. Cmara de Diputados; mismas que han sido definidas para la realizacin de auditorias internas dentro de ste rgano Legislativo. Misin. Brindar a travs de las auditoras, la informacin suficiente y competente, que permita la implementacin de controles para una mejora continua que ayude a la prevencin de delitos informticos. Visin. Consolidar el rea de Auditor a Informti a, como un rea que pueda prever c apoyo y asesora a la H. Cmara de Diputados, para el cumplimiento de sus metas institucionales. Funciones. El rea de Auditora Informtica deber realizar las actividades correspondientes a la verificacin de los controles internos establecidos en el rea de Sistemas as como estudios de seguridad fsica y lgica; anlisis de los riesgos a que est expuesta la informacin y los equipos y la elaboracin de documentacin que en las auditoras sea requerida. Adems deber promover elevar la cultura informtica tanto dentro de la Subcontralora de Auditora, como en el resto de la Cmara de Diputados, constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la informacin y prevean las posibles contingencias en cuanto a la seguridad de la informacin que se maneja en este rgano, misma que por definicin es muy delicada, asimismo que regule la gestin de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del rea de sistemas de esta Institucin mediante las auditoras correspondientes. A continuacin se listan las funciones principales que esta rea, deber llevar a cabo.

Figu

5.1. Nu

gnica para la Su con ralora de Auditora

   

de

Auditora

1.

Elaboracin de planes de trabajo para llevar a cabo auditoras en informtica y el desarrollo de actividades apropiadas que permitan maximizar la eficacia del rea de sistemas. Elaboracin de cuestionarios, encuestas, matrices y herramientas que ayuden al levantamiento de la informacin para el debido desarrollo de las auditoras. Implementacin de los planes de trabajo llevando un control de las actividades a realizar en tiempos estimados reales. Evaluacin de sistemas, procedimientos y equipos de cmputo. Verificar que los activos, estn debidamente controlados y salvaguardados contra prdida y mal uso. Evaluar los resultados de los programas operativos que realice el rea de Sistemas para conocer eficiencia y efectividad con que se han utilizado los recursos.

2. 3. 4. 5. 6.

7.

Comprobar

el

cumplimiento

de

mandatos

constitucionales,

legales

reglamentarios, polticas, planes y acuerdos normativos que rigen a la Institucin. 8. Realizar auditoras y estudios especiales de acuerdo con programas y especiales debidamente respaldados por las Normas para el ejercicio profesional de la Auditora Interna. 9. Evaluar la problemtica del rea de Sistemas a travs de un pre -anlisis de la situacin del rea, para la determinacin de las principales necesidades de sta.

10. Comunicar los resultados y recomendaciones que resulten de sus evaluaciones, mediante los informes de auditora. 11. Comprobar que el rea de Sistemas ha tomado las medidas correctivas de los informes de la Auditora Interna as como de las omisiones que al respecto se verifiquen en el seguimiento de informes. 12. Evaluacin de los controles de seguridades lgicas y fsicas que garanticen la integridad, confidencialidad y disponibilidad de los datos de esta institucin. 13. Constatar que el rea de sistemas se riga por los procedimientos ms adecuados para garantizar el adecuado funcionamiento de la red de trabajo. 14. Evaluacin de los riegos y controles establecidos para la bsqueda e identificacin de debilidades, as como de las reas de oportunidad 15. Evaluar la existencia de polticas[47], objetivos[48], normas[49], metodologas[50],
[51] de los recursos, as como la asignacin de tareas y adecuada administracin humanos e informticos.

16. Generar el Archivo de Papeles de Trabajo con la documentacin las auditoras realizadas.

Tipos de auditora que realizar el rea de Auditora Informtica.


1. 2. 3. 4. Auditora a Sistemas de Informacin, Auditora a las Comunicaciones, Auditora a la Red Fsica, y Auditora a la Red Lgica.

Metodologa para la realizacin de auditoras informticas


Para la realizacin especifica de auditoras en informtica se propone tambin se propone una metodologa especifica, misma que se menciona a continuacin: Conocimiento general del rea de sistemas

o o o o o o o y

Organigrama Estructura del rea o departamento Relaciones funcionales y jerrquicas Recursos (equipos con los que se cuenta) Aplicaciones en desarrollo Aplicaciones en produccin Sistemas de explotacin

Planificacin

o o o

Concentracin de objetivos Definicin de objetivos y alcances Personas de la organizacin que se involucrarn en el proceso de auditora Plan de trabajo

    y

Tareas Calendario Resultados parciales Presupuesto

Desarrollo de la auditora

o o o o y

Entrevistas Cuestionarios Observacin de las situaciones deficientes Observacin de los procedimientos

Fase de diagnstico

Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejora

Presentacin de conclusiones

o o

Integracin de soporte documental Formulacin de cdulas de observaciones y papeles de trabajo Informe final

o y

Formacin del plan de mejoras

o o

Resumen de las deficiencias encontradas Recoger las recomendaciones encaminadas a paliar las deficiencias detectadas

Medidas a corto plazo: planificacin o formacin

mejoras en plazo,

calidad,

Medidas a medio plazo: mayor necesidad de recursos, optimizacin de programas o documentacin y aspectos de diseo

Medidas a largo plazo: cambios en polticas, medios y estructuras del servicio Seguimiento de cumplimiento de recomendaciones

Gua de auditora
Existirn tantas guas de auditora como procedimientos se realicen sin embargo, a , manera de ejemplo, se presenta la siguiente gua como propuesta de las subsecuentes:

Unidad administrativa Punto de revisin Aspectos a revisar

Objetivos

Objetivo general:

Verificar que la seguridad fsica y lgica en la red de la H. Cmara de Diputados que maneja la Direccin General de Tecnologas de Informacin. Actividades:

1.- Conocimiento general de la Direccin General de Direccin General de Tecnologas de Informacin a fin de conocer sus instalaciones, Tecnologas de tamao, condiciones de trabajo, software, hardware, estructura, Informacin etc. 2.- Definicin de objetivos y alcances de auditora claros y bien delimitados de acuerdo a la magnitud del rea a revisar. 3.- Realizacin de Grfica de GANTT para planeacin de actividades y tiempos estimados de inicio y trmino de auditora. 4.- Preparacin del formato de oficio de presentacin. 5.- Preparacin del cuestionario de control interno y dems material de apoyo. 6.- Conocimiento previo de los manuales de procedimientos, manuales de organizacin, planes de contingencia, recuperacin, lineamientos, polticas, normas, reglamentos, procedimientos, etc., existentes en el rea. 7.- Preparacin de pruebas de cumplimiento, para la realizacin de pruebas generales y especficas a fin de cubrir el alcance de la revisin. 8.- Preparacin del material de apoyo, formato de cdulas de marcas, gua de auditora, cuestionario, check list, formato de papeles de trabajo, cdulas de observaciones, etc. 9.- Aplicacin del oficio de presentacin.

Unidad administrativa

Objetivos 10.- Pltica con el equipo, para determinar el desarrollo de la auditora y actividades a realizar. 11.- Levantamiento de la informacin. Aplicacin de tcnicas de auditora y material de apoyo previamente diseado para la obtencin de informacin. 12.- Anlisis de la informacin.- Deteccin de debilidades de control, identificacin de observaciones por medio del anlisis de la informacin recabada. As como determinacin de causas e impactos. 13.- Integracin de Papeles de trabajo.- Apoyados en las pruebas necesarias, como son los cuestionarios, fotografas o cualquier tipo de constancia de hechos. 14.- Confirmacin de observaciones.- Verificar que las observaciones estn fundamentadas y que se cuenta con la evidencia suficiente para presentar las observaciones levantadas. 15.- Identificacin de niveles de riesgo.- Por medio del anlisis de la informacin de cada una de las observaciones, se le asocia un nivel de riesgo; inminente, potencial o controlable. 16.- Consolidacin de niveles de riesgo.- Agrupacin de observaciones comunes, con objeto de determinar las debilidades y sugerencias de forma general. 17.- Elaboracin del informe final. 18.- Actividades finales de papeles de trabajo.

Requerimientos Informtica

para creacin

del rea

de Auditoria

Dados los antecedentes con los que contamos sobre la estructura de la Subcontralora Auditora de la H. Cmara de Diputados, su conformacin y los activos informticos con los que cuenta, a continuacin realizamos la propuesta de los requerimientos que sern necesarios para el funcionamiento de la nueva rea.

Requerimientos de hardware y software


En este apartado proponemos la herramienta y el equipo que ser necesario para la implantacin de esta nueva rea. Los factores relevantes para la determinacin de la adquisicin de estos activos son los siguientes: Proveedor CYNTHUS Herramienta DELOS Mejor Practica COBIT Precio $26000 dls (herramienta y mejor prctica) Cantidad de equipos existentes 18 PC

y y y y y

y y y

Cantidad de equipos necesarios 6 laptop adicionales Caractersticas de equipos modelo Pentium 4 Equipos auxiliares SQL Server

Requerimientos de personal
Puestos Plazas Experiencia en el puesto 5 3 2 5 B B C C Capacitacin requerida 24 24 24 24 Horas de capacitacin

Direccin General 1 Subdireccin 1 Jefe de 1 Departamento Auditores


Claves

Tipo de capacitacin Requerida A. Principiante B. Intermedio C. Avanzado

Pasos a realizar para la implantacin del rea


Derivado de este informe, se determina que los pasos ms recomendables para la implantacin del rea de auditora en informtica son los siguientes: 1. 2. 3. 4. 5. 6. 7. 8. 9. Presentar la propuesta al Comit de Administracin para la implantacin del rea de auditora en informtica. Revisin de la propuesta para la implantacin del rea. Aprobacin de la propuesta. Modificaciones a la estructura orgnica y normatividad pertinente. Solicitud de recursos para infraestructura, personal, software y/o capacitacin. Remodelacin de reas. Contratacin y/o capacitacin de personal. Adquisicin de equipo de hardware. Adquisicin de software especializado.

10. Inclusin de la(s) auditora(s) en el PACA. 11. Aplicacin de la metodologa para las revisiones al rea de sistemas.