Documentos de Académico
Documentos de Profesional
Documentos de Cultura
M3 - Auditoria en Sistemas de Información
M3 - Auditoria en Sistemas de Información
Área: NEGOCIOS
Adquisición e implementación
Índice
Introducción ......................................................................................................................................................... 1
1. Introducción y conceptos básicos de adquisición e implementación .............................................................. 2
1.1. Decisión compra o desarrollo ..................................................................................................................................... 3
1.2. Rol del auditor ............................................................................................................................................................ 4
1.3. El Plan de Auditoría .................................................................................................................................................... 5
2. El auditor, el desarrollo de los sistemas y su impacto en proyectos informáticos .......................................... 6
2.1 Metodología de Desarrollo: Ciclo de Vida ................................................................................................................... 7
2.1.1. Auditoría de la fase Análisis y Planificación del sistema de información (ASI).................................................... 8
2.1.2. Auditoría de la fase Diseño del sistema de información (DSI) .......................................................................... 10
2.1.3. Auditoría de la fase Construcción o Desarrollo del sistema de información (CSI) ............................................ 11
2.1.4. Auditoría de la fase Implantación y aceptación del sistema (IAS)..................................................................... 12
3. Análisis de riesgos de adquisición e implementación .................................................................................... 13
3.1. Fase Análisis y Planificación del Sistema de Información..................................................................................... 13
3.2. Fase Diseño del Sistema de Información.............................................................................................................. 14
3.3. Fase Desarrollo o Construcción del Sistema de información ............................................................................... 16
3.4. Fase Implantación del Sistema de información.................................................................................................... 16
Cierre .................................................................................................................................................................. 17
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN
Adquisición e implementación
Mapa de Contenido
Implementación y adquisición
Impacto de la función de
Introducción y conceptos desarrollo de proyectos
Informáticos.
Auditoría en análisis y
Rol auditor
planificación del SI
Auditoría en el diseño de
Plan de auditoría
un SI
Auditoría en el
desarrollo o contrucción
Auditoría en la
Implantación
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 1
Adquisición e implementación
RESULTADO DE Identifica y analiza los riesgos que pueden afectar al proceso de
APRENDIZAJE Implementación de Sistemas en la Organización, identificando además los
DEL MÓDULO controles que podrían cubrir dichos riesgos.
Introducción
Constantemente son más las empresas que tienen la tarea de elegir el sistema de información con el cual se
soportarán sus procesos de negocios. El sistema de información se ha convertido en un recurso estratégico
indispensable para las empresas de hoy, muchas de las cuales verían impracticable su negocio.
Esta relación de vínculo entre sistemas y negocios también ha provocado la exigencia de un menor tiempo de
respuesta al departamento de informática, específicamente al área producción de sistemas de desarrollos
internos, esto debido principalmente a la dinámica que el mercado les exige a los negocios.
En este módulo nos enfocaremos en los riesgos y los controles que el auditor debe considerar al examinar las
fases en la Implementación de los sistemas de información sean externa (compra) o interna (desarrollo).
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 2
Adquisición e implementación
1. Introducción y conceptos básicos de adquisición e
implementación
Con la introducción de la TI en las empresas, distintas organizaciones comenzaron a solicitar gran cantidad de
datos e información que sólo se podía obtener a través de un proceso de volúmenes masivos de datos, y este
requerimiento provenía de distintas áreas de la empresa y todas a la misma prioridad, ya que utilizaban la
información para la toma de decisiones, lo que generaba valor a la empresa a través del mejoramiento de áreas
como ventas y finanzas, generando una ventaja competitiva.
Debido a esta demanda, las empresas elaboraron estrategias para la adquisición, los sistemas en un plazo
breve, con pocos recursos y experiencia, lo que conllevó a optar por contratar empresas externas que les
ayudaran en estas labores y dejar el sistema en funcionamiento una vez que lo hayan desarrollado
(implementación).
La labor del auditor es precisamente validar estos procesos. Responda el siguiente cuestionario1
a. ¿Es posible que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
b. ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del mismo presupuesto?
c. ¿Trabajaran adecuada mente los nuevos sistemas una vez sean implementados?
d. ¿Los cambios no afectaran a las operaciones actuales del negocio?
1
Fuente: Cobit 5, adquisición e implementación, ISACA. http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 3
Adquisición e implementación
1.1. Decisión compra o desarrollo
En Chile al igual que en el resto del mundo, se ha discutido la decisión de desarrollar o adquirir sistemas de
información basados en tecnología de información. No hay consenso entre los expertos sobre cuál es la mejor
opción, ya que todo depende de una serie de factores, juicios, criterios, actitudes y soluciones que existan.
Estrategia de adquisición
sistemas
Interna Externa
Contrata
Desarrollar en la Contratar Comprar sistema
empresa
empresa especialista genererico
desarrolladora
Estrategia Interna:
Estrategia Externa:
• Contratar empresa Desarrolladora: Se contrata a una empresa y lleva a cabo todo el proceso de diseño
e implementación, de acuerdo con las características previamente solicitadas por la organización.
• Contratar un sistema genérico: Adquirir un sistema de aplicación genérico (comprar un paquete) y,
dependiendo de sus características, adoptarlo o adecuarlo a las necesidades de la compañía.
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 4
Adquisición e implementación
¿Cuál opción seleccionar?
Las empresas tendrán que realizar la selección correcta en base en un análisis de cada situación, pensando en
las ventajas, beneficios y costos de cada alternativa. La decisión de cuál es la opción más exitosa es una labor
sumamente difícil, debido a que todo a que depende de una serie de factores que deben tomarse en cuenta y
ser minuciosamente detallados, estudiados y analizados, para con base en un criterio amplio, escoger la
solución óptima para la empresa. Precisamente por no ser una tarea fácil y no existe una receta para hacerlo,
es que el auditor interno de sistemas juega un papel con voz pero sin voto en las decisiones que tengan que
tomarse, y debe velar por el cumplimiento de las actividades, los productos, así como del respeto al sistema
de control interno imperante en la organización. Cualquiera de estas dos opciones que se escoja para realizar
el desarrollo de un sistema, debe velar por el cumplimiento fiel todas las actividades y suministrar los productos
terminados incluidos en el “Ciclo de Vida de los Sistemas”, el cual profundizaremos más adelante.
El auditor de sistemas de información no tiene que ser un experto del área de informática para dar una opinión
de cada fase del Ciclo de Vida de un sistema, sin embargo, puede ser capaz de conocer los parámetros o
variables relevantes de control, y por ejemplo participar en forma independiente de cada de las fases del ciclo
de vida de los sistemas, respondiendo a preguntas como:
• Analizar el proyecto una vez que el mismo terminó y establecer los desvíos o problemas que encuentren.
Este enfoque se asimilaría a cualquier otra revisión de las adquisiciones que realiza la organización.
• Participar en el proceso de selección o desarrollo realizando su labor en cada etapa del desarrollo de un
proyecto, emitiendo opinión sobre éste desde el punto de vista de la calidad del control interno y de los
posibles inconvenientes que se pueden presentar.
Adquisición e implementación
1.3. El Plan de Auditoría
La Auditoría en el desarrollo de los proyectos de sistemas es responsable de llevar a cabo examen de normas,
controles, técnicas y procedimientos establecidos en una organización con el fin de mejorar la confiabilidad,
oportunidad, seguridad y confidencialidad de la información que se procesan a través de los SI. Este tipo de
auditoría enfocadas en el Desarrollo de los sistemas, promueve y aplica conceptos de control interno de
cualquier auditoría en el área de sistemas de información.
Cuando el auditor enfrenta una auditoría una vez finalizada la etapa de Implementación, el programa de
auditoría requerirá la revisión de algunos de las siguientes actividades de control:
PROGRAMA AUDITORÍA PARA IMPLEMENTACIÓN
FECHA DE
FASE ACTIVIDAD REFERENCIA FECHA INICIO OBSERVACIÓN
TÉRMINO
1 Examinar la existencia de informes de objetivos del
programa de implementación:
a. Propósito del programa
b. Funciones
c. Datos de entrada
d. Datos de salida
e. Archivos generalsos
2 Elaborar una ficha por cada aplicación existente
a. Sistema de Información
b. Aplicación
c. Usuarios de aplicación
d. Método de procesamiento
e. Área organizacional que corresponde
d. Fecha Implantación
3 Examinar en base al N° 2, cuales proyectos fueron
desarrollados o comprados
4 Examinar la existencia de documentación de respaldo,
de la adquisición o compra con sus especificaciones
5 Examinar en cuántas de las aplicaciones existentes se
elaboró un acta de aceptación al momento de la
implantación
6 Constatar la elaboración y la existencia documentada
de manuales de :
a. Operación
b. Usuario
c. Sistemas (archivos/programas)
7 Examinar la existencia de estándares sobre:
a.Prueba de Programas
b.Prueba de Sistemas
8 Examinar los resultados de las pruebas del sistemas
estén bien documentadas y sean evaluadas
9 Constatar que se analicen los programas, manuales y
que esten completos para ser utilizados.
10 Investigar cual es el proceso llevado a cabo para la
implantación de la programación
11 Examinar si se lleva a cabo la evaluación de pruebas
para determinar si los sistemas funcionan
adecuadamente.
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 6
Adquisición e implementación
2. El auditor, el desarrollo de los sistemas y su impacto
en proyectos informáticos
Un proyecto es un proceso en las que se transforman un conjunto de recursos (inputs) en un conjunto de
resultados (outputs) que tienen un sentido para alguien (un cliente, interno o externo)2
Objetivo
Inicio y final
Recursos
limitados
Sin embargo, no podemos dudar que esta incorporación genera riesgos afectarán a la organización tanto en el
ámbito tecnológico y como en los aspectos funcionales, es decir sobre los procesos que se realizan en la
organización.
2
Fuente: Rodríguez, José Ramon. Gestión de proyectos informáticos: métodos, herramientas y casos, Editorial UOC, 2007. ProQuest
eBook Central. http://ebookcentral.proquest.com/lib/ippsp/detail.action?docID=3207826.
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 7
Adquisición e implementación
2.1 Metodología de Desarrollo: Ciclo de Vida
(*) El Plan de Pruebas es un plan formal que establece los objetivos de la prueba de un sistema y coordina
una estrategia de trabajo, y entrega un marco adecuado para elaborar una planificación paso a paso de las
actividades de prueba. El plan se inicia en el proceso Análisis del Sistema de Información , definiendo el
marco general, y estableciendo los requisitos de prueba de aceptación, relacionados directamente con la
especificación de requisitos. Este plan se va completando y detallando a medida que se avanza en los
restantes procesos del ciclo de vida del sistema, Diseño del Sistema de Información, Construcción del
Sistema de Información e Implantación y Aceptación del Sistema.
http://pegasus.javeriana.edu.co/~CIS1010IS05/Documentos/Dise%C3%B1o/STP.pdf
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 8
Adquisición e implementación
Como auditores aplicaremos los procedimientos de auditoría en cada etapa del Ciclo de vida de los sistemas,
las que dividiremos en:
Auditoría del
Auditoría del Desarrollo o
Diseño del SI Construcción
del SI
Auditoría de Auditoría de la
Análisis y Implantación y
Planificación del AUDITORÍA aceptación del
SI DEL SI
DESARROLLO
DE UN SI
Adquisición e implementación
Cuestionario Fase ASI
Controles Si No N/A Observaciones
Debe realiza un plan detallado de sesiones de trabajo con el grupo de .
usuarios de proyecto y los responsables de las unidades para recopilar
información necesaria:
1. ¿Existe un plan de entrevisatas entre los líderes del proyecto y los usuarios,
que sea detallado y consensuado? (fecha, hora y lugar)
2. ¿ Existen planilla de recopilación de información adecuada para estas
entrevisatas, y que estén acorde a las carácterísticas de los proyectos?
A partir de la información obtenida de las entrevistas debe realizar la
descripción Inicial del Sistema de información y obtener un catálogo de
requisitos:
3. ¿Existeun catálogo de requisitos que estén justificados y detallados?
4. ¿Tiene alguna prioridad cada requisito del sistema? (Funcionales y no
funcionales)
5. ¿ El sistema incluye el detalle de especificación no fucniconales de seguridad,
rendimiento e implementación?
6. ¿Se ha realizado un modelo lógico de datos y procesos del sistema actual?
7.¿ El catálogo de requisitos ha sido revisado y aprobado por el grupo de
usuarios
Se debeny especificar
los líderes del proyecto?
todas las interfaces entre el sistema y el usuario, como
formatos de pantallas, dialogos y formularios de entrada
8. ¿ Se han descrito con suficiente detalle las interfaces (pantallas a través de
las cuales el usuario navegará por la aplicación, incluyendo todos los menús,
9. ¿Existen normas de diseño de pantallas, infromes, formularios, etc.?
10.¿ El interfaz del usuario ha sido aprobado por el grupo de usuarios y por los
lideres de los proyectos?
11.¿ Existe un documento donde se han establecido razonablemente las
necesidades de infraestructura tecnológica que plantea el nuevo sistema?
12. ¿Se han identificado posibles soluciones que establece el mercado y que
podrían llegar a satisfacer los requerimientos?
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 10
Adquisición e implementación
2.1.2. Auditoría de la fase Diseño del sistema de información (DSI)
La finalidad de la auditoría en esta fase es establecer la arquitectura del SI y del entorno tecnológico que lo
soportará, en conjunto con una especificación detallada de cada componente, que permitan definir una
arquitectura física para el sistema, conforme con la especificación funcional que se determine y con el entorno
tecnológico, asimismo de proporcionar todas las especificaciones necesarias para la construcción del SI,
teniendo en cuenta varios puntos entre ellos la existencia de catálogos de requisitos, la presentación de
diseños y el entorno tecnológico como servidores, computadores etc.
En la siguiente tabla se puede observar un despliegue de preguntas del cumplimiento de las especificaciones
de la fase DSI de una empresa.
Adquisición e implementación
2.1.3. Auditoría de la fase Construcción o Desarrollo del sistema de información (CSI)
En esta fase se desarrollan componentes de sistema de información que deben satisfacer las necesidades
determinadas y llevar a cabo los requisitos detallados en la fase de diseño. De Igual modo se llevan a cabo
todos los procedimientos necesarios para que los usuarios puedan utilizar con el nuevo sistema. Al desarrollar
tales componentes o módulos se deberá emplear técnicas de programación correctas. Los proyectos de
desarrollo exigen definir los procedimientos y capacitación necesario de los usuarios para que ellos puedan
utilizar el nuevo sistema adecuadamente. Adicionalmente establece reglas de seguridad y la disponibilidad de
los puestos de trabajo, entre otros.
Adquisición e implementación
2.1.4. Auditoría de la fase Implantación y aceptación del sistema (IAS)
En esta fase se constata si el sistema de información respeta los requisitos establecidos en la fase IAS. Una vez
aceptado y aprobado se lleva a cabo la explotación, contemplando los siguientes ejes de objetivos de control:
a. El sistema debe ser aceptado formalmente por los usuarios antes pasar a explotación;
b. Al poner el sistema en explotación formalmente, pasa a mantenimiento sólo cuando haya sido
aceptado y esté preparado todo el entorno en que se lo ejecutara.
Los cuestionarios de cada etapa constituyen una ayuda al área de auditoría de desarrollo de sistemas, sin
embargo, estas pueden variar dependiendo del proyecto, el giro de la empresa, el lugar, entre otros factores.
Con estos cuestionarios, pueden construir una matriz de riesgos de cada etapa, haciendo más eficiente el
trabajo auditor.
Área: NEGOCIOS M3
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 13
Adquisición e implementación
3. Análisis de riesgos de adquisición e implementación
El riesgo es inherente a los negocios. El control interno ha sido pensado esencialmente para disminuir los
riesgos que afectan las actividades de las empresas. A través de la educación, experiencia y análisis de los
riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del
sistema. Para ello, en esta etapa de Adquisición e implementación se debe adquirirse un conocimiento de los
riesgos de cada etapa del Ciclo de Vida, enfocando los riesgos que son crípticos para el negocio y cuantificarlos
en una matriz de riegos.
Dentro de los riesgos que podremos identificar en las etapas del Ciclo de Vida de los Sistemas de Información,
podremos encontrar:
Objetivo de Control:
Riesgos:
Riesgos:
Adquisición e implementación
Objetivo de Control:
Riesgos:
Objetivo de Control:
Existen posibles soluciones de sistemas externos en el mercado que podrían de resolver los
requerimientos de los usuarios.
Riesgos:
Objetivo de Control:
Riesgos:
Objetivo de Control:
Riesgos:
Adquisición e implementación
Objetivo de Control:
Riesgos:
Objetivo de Control:
Riesgos:
Objetivo de Control:
Riesgos:
Adquisición e implementación
3.3. Fase Desarrollo o Construcción del Sistema de información
Objetivo de Control:
La instalación del Hardware necesario para el desarrollo del sistema fue en tiempo y forma.
Riesgos:
Objetivo de Control:
Riesgos:
Objetivo de Control:
Riesgos:
Objetivo de Control:
Riesgos:
Objetivo de Control:
Riesgos:
Adquisición e implementación
Cierre
Todas las actividades que configuran el proceso de Adquisición e Implementación tienen la misma importancia
al momento de realizar una auditoría, aun cuando se puede pensar que la etapa más importante es la de
Diseñar el sistema de información, podemos revisar que si se comete un error en las actividades iniciales del
desarrollo de los sistemas pueden ser más costosos que los que se producen al final.
Es imprescindible contar con licencia de la Dirección de Ti para llevar a cabo el trabajo con independencia y
recursos adecuados, y así de esta forma el auditor tendrá una visión más amplia de los riesgos asociados y
podrá formular un plan de trabajo de auditoría que agregue valor al proceso de Desarrollo del Sistema de
información y que le permitan a la empresa alcanzar satisfactoriamente el objetivo propuesto al realizar este
tipo de inversiones.
IMPORTANTE
Ser auditor significa seguir un proceso y ser metódico y, si hablamos de sistemas, debe tener formación y experiencia
en tecnología y mantenerse actualizado. Un auditor de TI no es un experto en todas las tecnologías, pero sí debe
entender de todo lo que es su alcance. Por eso es importante rodearse de expertos y estudiar constantemente las
nuevas TI. No se puede auditar los sistemas de información sin saber tecnología y sin conocer los objetivos de control,
los riesgos asociados y las técnicas para obtener una buena prueba de auditoría.
Hay que saber cómo funcionan los entornos pequeños y los grandes (entornos mainframe) y qué está ocurriendo en
la tecnología, independientemente estudios académicos. Un buen auditor también debe tener es buen olfato, y este
se desarrolla con la experiencia. Se necesita entender lo que es una auditoría, que es hablar de los riesgos que tienes
para la actividad de la organización.
El técnico puro toma la tecnología como un fin en sí mismo, pero el auditor tiene que dar una opinión al director de
una organización sobre si puede fiarse o no de su tecnología. El auditor debe saber también temas organizativos de
entidades, controles internos, etc. para diseñar su plan de auditoría.
El proceso de auditoría es aplicar el “sentido común”. Hay que fijar el objetivo y el alcance. El objetivo es: “Sobre qué
quieren que dé mi opinión profesional” y el alcance es “lo que entra dentro de mi auditoría”. No conviene desviarse
a otra cosa.