Plantillas de auditor´ıa para el desarrollo de sistemas informáticos.
Anuncio
Plantillas de auditorı́a para el desarrollo de sistemas informáticos. Liz Irene Báez1 y Yolanda Espı́nola2 . Facultad Politécnica, Universidad Nacional del Este. Ciudad del Este, Paraguay. 1 [email protected] 2 [email protected] Resumen El objeto del presente trabajo de investigación es implementar plantillas de trabajo de auditorı́a en la fase de desarrollo de sistemas informáticos, con relación a controles y aplicaciones de auditorı́a informática. Para los efectos de prueba, evaluación y aplicación de las plantillas de trabajo, se eligió una empresa del área de desarrollo de software. Se creó un plan de auditorı́a a ser aplicado a la misma, luego se procedió a realizar el trabajo de campo. Posteriormente se llevó a cabo el análisis comparativo y evaluativo de los datos recabados en las plantillas. Finalmente se presentaron los resultados y se extrajeron las conclusiones donde se destacan las fortalezas y debilidades de la empresa en cuanto a su gestión. Se ha probado la prácticidad y facilidad de aplicación de las plantillas implementadas. Como cierre se formulan algunas sugerencias y recomendaciones de buenas prácticas de desarrollo de sistemas informáticos. Descriptores: plantilla de auditorı́a, cuestionario de checklist, auditoria informática, desarrollo de software. Abstract The purpose of this work is to implement audit work templates in the development stage of computer systems, with relation to controls and auditing computer applications. For purposes of testing, evaluating and implementing the working templates, a company of software development area was chosen. An audit plan to be applied to it was created, then the fieldwork proceeded. Subsequently, a comparative evaluative analysis of data collected on the forms was carried out. Finally the results are presented and conclusions which highlights the strengths and weaknesses of the company management. The audit forms probed to be easy and agile to use. As closing, some suggestions and recommendations for good practice in systems development are formulated. Keywords: audit template, check list questionnaire, computing audit, software development. 1. Introducción. Actualmente, cuando las compañı́as buscan cumplir eficiente y eficazmente sus objetivos de forma transparente, la auditorı́a informática adquiere fundamental importancia para el logro de sus metas. Este trabajo ofrece un soporte al auditor para controlar y evaluar los pasos que fueron realizados conforme a las normas y conceptos para auditar sistemas de información. Desde tiempos inmemoriales ha existido la figura del revisor, que hoy se lo conoce con el nombre de Auditor. Los revisores de sistemas de infor- mación han venido utilizando normas y métodos ajustados al nivel de desarrollo tecnológico de su momento. Como consecuencia de la continua evolución y revolución del mundo informático (cada vez se consiguen ordenadores más pequeños, más rápidos y más baratos), la auditoria debe estar al dı́a con los avances de las nuevas tecnologı́as. La auditorı́a de desarrollo se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para mejorar la confiabilidad, oportunidad, seguridad y confidencialidad de los datos Plantillas de auditorı́a para el desarrollo de sistemas informáticos. que se procesan a través de los sistemas de información. La auditorı́a de desarrollo es una rama especializada que promueve y aplica conceptos de auditorı́a en el área de sistemas de información [1]. La auditorı́a de sistemas de información se define como cualquier auditorı́a que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Este trabajo aborda los conceptos de auditorı́a informática y las mejores prácticas sobre el control de sistemas de información, lo cual posibilitarı́a a un auditor y a un gerente la comprensión y administración de los riesgos relacionados con la tecnologı́a de la información y ası́ mismo establecer el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. Finalmente lo que se pretende es detectar las falencias y evaluar la eficiencia de una sección o de un organismo para lograr los objetivos propuestos. − Elaborar un plan de trabajo de campo para la aplicación de las plantillas construidas. − Elaborar una guı́a para la práctica de auditoria de desarrollo de sistema informático. − Probar la usabilidad de las plantillas y de la guı́a de aplicación elaboradas, mediante un estudio de caso consistente en su empleo en la auditorı́a de una empresa de desarrollo de sistemas informáticos. − Elaborar un informe de auditorı́a interna conforme a los resultados obtenidos en la aplicación de las plantillas. De acuerdo con [1], la Auditorı́a Informática es una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en forma eficaz y eficiente. Es la verificación de los controles en las tres siguientes áreas de la organización (informática) [2]: − aplicaciones (programas de producción), 1.1. Formulación del problema. − desarrollo de sistemas e En la actualidad los temas relativos a la auditorı́a informática cobran cada vez más relevancia, debido a que la información se ha convertido en el activo más importante de las empresas, representando su principal ventaja estratégica, por lo que estas invierten enormes cantidades de dinero y tiempo en la creación de un sistema de información, con el fin de obtener mayor productividad y calidad. La necesidad de que una organización cuente con procedimiento de control interno es aceptada ampliamente como garantı́a de una gestión eficaz orientada a la consecución de los objetivos marcados. La función auditora es precisamente la encargada de comprobar la existencia de estos procedimientos de control y de verificar su correcta definición y aplicación determinando las deficiencias que existan al respecto y los riesgos asociados a estas carencias de control. La auditorı́a del desarrollo informático tratará de verificar la existencia y aplicación de procedimientos de controles adecuados que posibiliten garantizar que el desarrollo de sistemas de información se ha llevado a cabo según estos principios de ingenierı́a, o por el contrario determinar las deficiencias existentes en este sentido. − instalación de centro de proceso. 1.2. Objetivos − Construir plantillas de auditorı́a informática para recabar información relevante a la práctica del desarrollo de sistemas de información. Por tanto, se puede decir que auditorı́a en informática “es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones” [3]. Se trata de establecer unas bases sólidas que tienen que ver, principalmente con la auditoria, y uno de los campos o herramientas de la auditorı́a informática que “es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditorı́a informática sustenta y confirma la consecución de los objetivos tradicionales de la auditorı́a” [4]. 2. Materiales y métodos 2.1. Creación de las plantillas de trabajo de auditorı́a Para la elaboración e implementación de plantillas de trabajos de auditorı́a en la fase de desarrollo de sistemas informáticos se ha llevado a cabo una investigación exhaustiva de varios autores, investigaciones, experiencias y trabajos anteriores, 56 Plantillas de auditorı́a para el desarrollo de sistemas informáticos. para ello se han utilizado varias técnicas de recolección de los datos, análisis y sı́ntesis con la utilización de fichas bibliográficas. Este proceso posi- bilitó la elaboración de los cuadros (cuestionarios de checklist) presentados más abajo (Fig. 1). Figura 1. Metodologı́a para la creación de Plantillas de Trabajo de Auditorı́a. 2.2 Auditoria de Desarrollo de Sistemas (ADS). En este apartado se presentan los objetivos de control aplicables a cualquier proyecto, si bien la experiencia del auditor debe determinar los objetivos más importantes en función de las caracterı́sticas del proyecto y las fases a auditar. La auditorı́a de cada proyecto de desarrollo tendrá un plan distinto dependiendo de los riesgos, complejidad y recursos disponibles para realizar la auditorı́a. Una vez conocidas las tareas que se deben realizar en el área de desarrollo, se aborda la ADS desglosándola en cuatro fases que son las siguientes: − Auditorı́a de la fase Análisis del sistema de información (ASI): pretende obtener un conjunto de especificaciones detalladas del sistema de información que satisfaga las necesidades de información de los usuarios y sirva de base para el posterior diseño del sistema y de forma independiente al entorno técnico, que consiste en una especificación detallada que posibilite describir con precisión el sistema de información. − Auditorı́a de la fase Diseño del sistema de información (DSI): su objetivo es definir la arquitectura del sistema y del entorno tecnológico que lo va a soportar, conjuntamente con una especificación detallada de los componentes, que posibiliten definir una arquitectura fı́sica para el sistema, coherente con la especificación funcional que se disponga y con el entorno tecnológico; aparte de generar todas las especificaciones necesarias para la construcción del sistema de información. − Auditorı́a de la fase Construcción del sistema de información (CSI): en esta fase se desarrollan componentes de software que deben satisfacer las necesidades identificadas y cumplir con los requisitos especificados en la fase de diseño. Ası́ mismo se ponen en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Al desallar tales componentes o módulos se deben emplear técnicas de programación correctas; los proyectos de desarrollo deben definir los procedimientos y 57 Plantillas de auditorı́a para el desarrollo de sistemas informáticos. la formación necesaria de los usuarios para que éstos puedan utilizar el nuevo sistema adecuadamente. − Auditorı́a de la fase Implantación y aceptación del sistema (IAS): En esta fase se verifica si el sistema cumple con los requisitos establecidos en la fase de análisis. Una vez aprobado y aceptado se pone en explotación, considerando los siguientes ejes de objetivos de control: a) El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación; b) Al poner el sistema en explotación formalmente, pasa a mantenimiento sólo cuando haya sido aceptado y esté preparado todo el entorno en que se lo ejecutará. 2.3. Programa de Auditoria Esta investigación está orientada a la auditoria de desarrollo de sistemas informaticos. Inicia con la entrevistas y observación para levantamiento de datos validados por la evidencia. 2.3.1. Plan de Auditorı́a para aplicación del trabajo. La auditorı́a comprende la revisión y el análisis de la estructura y gestión de la gerencia de la empresa, especı́ficamente al sector de sistema. No se contempla: auditoria fı́sica de sistemas informáticos, auditorı́a administrativa de la empresa, evaluación del desempeño de funcionarios con herramientas propias de psicologı́a laboral. La entrega a los auditores de los documentos y datos solicitados son de exclusiva responsabilidad de la empresa, por lo cual ella deberá propiciar un ambiente de trabajo de colaboración con los auditores (Tabla 1). Tabla 1. Programa de trabajo de auditorı́a. Objetivo Alcance Recursos Pasos seguir a Obtener la información referente al cumplimiento los papeles de trabajos creados en la investigación. Se aplicará a una empresa de ingenierı́a informática. Dos Auditores, una computadora tipo Notebook y un cuestionario de evaluación de los controles (papeles de trabajos). 1. Solicitar los estándares utilizados, manuales de procedimiento, planes y documentaciones de la empresa, además de la estructura orgánica. 2. Evaluar los documentos solicitados en el punto 1) del área, caso sea necesarios después de realizar un análisis, prepare y actualice los documentos. 3. Realizar entrevistas con todos los gerentes y funcionarios de la empresa. 4. Aplique el cuestionario de control (los papeles de trabajo) por separado a cada uno de los empleados especificados en el numeral anterior. 5. Anotar las respuestas a cada pregunta en el espacio correspondiente del cuestionario. 6. Evaluar la información recopilada en el punto 5, compilar las respuestas de todos los empleados y extraer conclusión. 7. Redactar resumen de fortalezas y debilidades de control de la empresa. 2.3.2. Aplicación del plan de trabajo para la fase de desarrollo. Para la aplicación de plantilla en la fase de desarrollo de sistema de información, se presenta en forma gráfica el plan de trabajo, relacionado a la ejecución de la auditoria. Las plantillas de trabajo ya creadas son en- viadas con una solicitud de aprobación; una vez aprobadas se procede a realizar las entrevistas pertinentes con relación a la auditoria de desarrollo de sistema. Finalizadas las entrevistas (plantillas de trabajos) se procede a analizar los resultados, detallar los resultados obtenidos y en base a esto obtener el informe final de la auditoria, véase el diagrama de la Fig. 2. 58 Plantillas de auditorı́a para el desarrollo de sistemas informáticos. Figura 2. Aplicación de plantillas de auditorı́a de desarrollo de sistemas informáticos. 3. Presentación de Resultados de Auditoria. Las plantillas de trabajo de auditoria en la fase de desarrollo de sistemas informáticos fueron aplicadas a una empresa desarrolladora de software de Ciudad del Este. 3.1. Auditorı́a de la fase ASI En esta fase que se refiere al análisis del sistema informático se han obtenido las especifica- ciones detalladas del sistema que deben satisfacer las necesidades de información de los usuarios y que sirven de base para el diseño del sistema, independientemente del entorno técnico, teniendo en cuenta el plan detallado de sesiones de trabajos: entrevistas y técnicas que se utilizan para la recopilación de información más los catálogos de requisitos. En la tabla 2 se puede observar un despliegue de pantalla de los resultados en cuanto al cumplimiento de las especificaciones de la fase ASI por la empresa del estudio de caso de este trabajo. Tabla 2. Resultado fase ASI. 3.2. Auditorı́a de la fase DSI. La auditorı́a de esta fase de diseño de sistemas informáticos trata sobre la arquitectura fı́sica para el sistema diseñado, su coherencia con la especificación funcional y con el entorno tecnológi- co. Trata también sobre las especificaciones necesarias para la construcción del sistema de información, teniendo en cuenta varios puntos entre ellos la existencia de catálogos de requisitos, la presentación de diseños y el entorno tecnológico como servidores, computadores etc. En la tabla 3 59 Plantillas de auditorı́a para el desarrollo de sistemas informáticos. se puede observar un despliegue de pantalla de los resultados en cuanto al cumplimiento de las es- pecificaciones de la fase DSI por la empresa del estudio de caso de este trabajo. Tabla 3. Resultado fase DSI. 3.3. Auditorı́a de la fase CSI. La auditorı́a de esta fase trata sobre la construcción de los componentes o módulos que se habrán desarrollado usando técnicas de programación correctas. También trata sobre los proyectos de desarrollo definidos en procedimientos necesarios para la utilización adecuada del nuevo sistema, teniendo en cuenta que cumplan las especifi- caciones de construcción del sistema obtenida en la fase de diseño. Además trata el procedimiento de seguridad y la disponibilidad de los puestos de trabajo, entre otros. En la tabla 4 se puede observar un despliegue de pantalla de los resultados en cuanto al cumplimiento de las especificaciones de la fase CSI por la empresa del estudio de caso de este trabajo. 60 Plantillas de auditorı́a para el desarrollo de sistemas informáticos. Tabla 4. Resultado de fase CSI. 3.4. Auditorı́a de la fase IAS. Esta fase es complemento de la fase CSI. En la tabla 5 se puede observar un despliegue de panta- lla de los resultados en cuanto al cumplimiento de las especificaciones de la fase IAS por la empresa del estudio de caso de este trabajo. Tabla 5. Resultado de fase IAS. 4. Conclusión. El aporte del presente trabajo constituye un soporte de actualización en el área de auditorı́a informática que hace referencia a controles y prácticas. Además, posibilita un conocimiento detallado de lo que es auditorı́a de desarrollo de sistemas informáticos dentro de los conceptos generales de la auditorı́a informática. Los objetivos propuestos al inicio del trabajo han sido cumplidos satisfactoriamente y las pruebas del estudio de caso aplicado a la empresa que brinda servicio en el área de desa61 Plantillas de auditorı́a para el desarrollo de sistemas informáticos. rrollo de sistemas informáticos se han efectuado arrojando resultados satisfactorios. [2] C. Williams y R. Donald, Control Y Auditorı́a Del Computador. Instituto Mexicano de Contadores Públicos. México. 1980. Referencias bibliográficas [3] E. Garcı́a y J. Antonio. Auditorı́a en Informática. Mc Graw-Hill. 2a. ed. México. 1995. [1] R. Weber, Prentice Hall, Pearson Mc Graw Hill, Grupo Editor. 1984. [4] M. Piattini, y Del Peso Navarro. Un enfoque práctico. RA-MA. 2a ed. España. 2001. 62
