MÓDULO III AUDITORIA DE ADQUISICIONES

MÓDULO III AUDITORIA DE ADQUISICIONES
AUDITORÍA INFORMÁTICA MÓDULO III AUDITORIA DE ADQUISICIONES

Adquisiones de Equipo, Programas, Materiales y Recurso Humano
La mayoría de las empresas privadas e instituciones de gobierno invierten sumas considerables de dinero durante el proceso de adquisición de software, hardware y servicios que ofrecen los proveedores de sistemas de tecnología de información

Este hecho incrementa en forma potencial el riesgo de que ocurran fallas operativas de software y hardware y que las personas incompetentes sean los que brinden este servicio. Para minimizar este riesgo se deben establecer controles apropiados durante el proceso de adquisición.

La participación de auditores en sistemas de información desde el inicio de este proceso, podrá ser de gran ayuda en la determinación de áreas problemáticas y, contribuir de esta forma manera, a un uso eficiente de los recursos de la organización

Objetivos de la auditoría Los objetivos que persique la revisión de la adquisición es la de asegurar que los recursos (dinero y tiempo) serán usados en la forma más económica y eficiente durante el proceso de:

Continuación Adquisición de hardware, equipo periférico, software de aplicación y contratación de recurso humano Contratación de servicios de consultores en el desarrollo de nuevos sistemas

Objetivos y Técnicas de Control Existen dos áreas de suma importancia donde se deben ejercer controles: Hardware y software (incluye comunicaciones) Servicios

HARDWARE Y SOFTWARE Objetivos de control: Los objetivos de control de la adquisión de hardware y software están orientados a asegurar que se establezcan controles apropiados que permitan: Que los recursos de la organización estén siendo utilizados en forma económica y razonable Que los riesgos potenciales que se pudieran presentar sean minimizados

Tecnicas de control para este objetivo: a) Papel y alcance de participación del auditor de sistemas durante el proceso de adquisición. 1) Participar en el proceso de adquisición, modificación, adaptación e instalación del software formando parte del equipo de trabajo asignado. El auditor de sistemas deberá ser un miembro activo de dicho equipo (con voz pero sin voto), como lo son los analistas, programadores y usuarios. Sin embargo, se le considerará usuario para efectos de diseño de pistas y reportes de auditoría.

Continuación objetivos del auditor: 2) Revisar o definir los requerimientos de control para auditar el proceso de adquisición. 3) Revisar que se evalúe la opción de adquirir paquetes de software versus desarrollo de sistemas. 4) Expresar opinión sobre si el software reúne los requerimientos definidos. 5) Evaluar que se revisen las características, funciones y capacidades del software para determinar si cumplen con lo requerimientos del usuario.

Continuación objetivos del auditor: 6) Revisar que se evalúe la documentación suministrada por el proveedor del software y del hardware para determinar si está completa y es adecuada. 7) Participar activamente en las pruebas del software para determinar si está acorde con los requerimientos del usuario y las especificaciones del proveedor.

Otras tecnicas de control objetivo de adquisición Hardware y software b) La participación del auditor de sistemas durante la adquisición, modificación, adaptación e instalación del software debe incluir: 1. Las aplicaciones 2. Los sistemas operativos

Continuación: 3. Las herramientas gerenciales: Los procesadores de palabras Los paquetes de gráficos Las hojas electrónicas Los paquetes para consulta e imprimir la información contenida en los archivos de datos. Utilitarios de uso administrativo

Continuación otras tecnicas de control c) El auditor de sistemas deberá revisar que se emplee una metodología sistemática y objetiva para realizar la evaluación, selección y adquisición del software y el hardware. d) Los aspectos más importantes que debe aplicar la administración, para el desarrollo de la metodología de evaluación, selección y adquisición son los siguientes:

Continuación otras técnicas de control 1. Definir los criterios de software 2. Establecer criterios de selección de software 3. Identificar varios paquetes y sistemas hechos a la medida 4. Redactar los términos de referencia de la propuesta 5. Avalar paquetes de software acordes con las funciones de los usuarios 6. Avalar a los suministradores de software con base en la estabilidad financiera y reputación en el mercado

Continuación otras tecnicas de control 7. Efectuar un estudio de mercado de satisfacción de clientes en relación con los proveedores. 8. Avalar las funciones de sistemas y técnicas de los paquetes de software para asegurarse de que la organización pueda ser autosuficiente en el mantenimiento. 9. Avalar la documentación suministrada por el proveedor 10. Avalar la seguridad, auditabilidad y los puntos fuertes de control del paquete de software

Continuación otras tecnicas de control 11. Efectuar un análisis de costo-beneficio 12. Seleccionar el paquete que reúna los mejores requisitos 13. Redactar y firmar los términos contractuales y adquirir el paquete. e) Los usuarios y los req. del software muestran los objetivos y la necesidad para que el software y el hardware sea desarrollado y documentado antes de que el proceso de adquisición sea iniciado.

Los requerimientos de los sistemas de aplicación han sido organizados en 20 categorías: 1) Requerimientos del usuario: Se deben considerar los tipos de medios de entrada requeridos tales como: a) Un documento fuente. b) Una terminal de pantalla de despliegue visual. c) Una lectora óptica de documentos. d) Una lectora de caracteres magnéticos.

Continuación requerimientos usuarios, medios entrada: e) Un lector de discos compactos (Unidad de CD) f) Comunicaciones g) Otros métodos de captura de datos que existan. También se deben considerar los tipos de cálculos que el computador debe efectuar con elementos críticos de datos y la secuencia de eventos y transacciones a procesar.

Continuación requerimientos usuarios, medios entrada: Es importante también tomar en cuenta los medios de salida que se requerirán: a) Impresoras lineales y de matriz de tinta, láser. b) Terminales c) Microfilmadoras d) Disquete e) Comunicaciones f) Cintas g) Grabadores de disco compacto (CD Writer)

Los efectos financieros que pueden producir leyes del gobierno, impuestos y efectos contables especiales, deben ser tomados en cuenta como requerimientos del usuarios También es importante considerar los datos de entrada y los requerimientos de proceso de manejo y corrección de errores, en relación con el sistema manual versus automatizado.

Se debe considerar el uso de parámetros manejables y tangibles en cuanto a las características del software en relación con agregar o borrar datos que permitan mantener flexibilidad y fácil mantenimiento a los archivos Se debe dar énfasis al software que permita opciones por omisión (default) para asegurar la integridad de los datos

También se debe identificar el nivel y tipo de habilidades que deben tener los usuarios y los esfuerzos requeridos para preparar datos de entrada y revisar reportes de salida Es importante tomar en cuenta el período de vida del paquete de software

Continuación req. Usuarios (20 categorias) 2) Requerimientos técnicos del sistema Se deben considerar las necesidades del sistema operativo, compiladores, lenguajes y herramientas de desarrollo, técnicas de acceso y administración de archivos, utilitarios y software de soporte. También es necesario tomar en cuenta la dependencia del software de dispositivos y pruebas que contenga el software. Transportabilidad o compatibilidad que ofrezca el software para pasar de un computador a otro. Considerar la facilidad de desarrollo de programas, incluyendo los cambios que se puedan efectuar a un programa ya elaborado.

Continuación req. Usuarios (20 categorias) 3) Requerimientos de productividad del software Se deben considerar y establecer medidas de productividad del software, tales como: Tiempos de respuesta Tiempos de proceso Capacidad de multitareas Velocidad y capacidad de pseudoimpresoras Velocidad de manejo de colas de salida Tiempos de transf. datos para redes y líneas de comunicaciones. Comparación de indicadores resultantes de benchmarking

Continuación req. Usuarios (20 categorias) 4) Requerimientos de procesamiento Es conveniente tomar en cuenta los tipos de transacciones de entrada y salida, el volumen y las tendencias de crecimiento de las transacciones y archivos maestros. También se debe considerar la capacidad actual y potencial de la memoria, los discos, cintas y cualquier otro medio de almacenamiento masivo. Es importante determinar los tiempos bajos y picos requeridos para el procesamiento de todas las transacciones y los tiempos para efectuar respaldos de información. Asimismo, considerar la modalidad de procesamiento (línea-lotes) y la organización de los archivos (archivos planos y base de datos)

Continuación req. Usuarios (20 categorias) 5) Requerimientos de seguridad Se deben considerar todas las necesidades de seguridad, privacidad y controles de acceso para terminales, archivos, programas, bibliotecas y procesamientos utilizando niveles múltiples de palabras claves y otros tipos de identificaciones para el sistema y las personas. En caso de enlaces o redes entre micros y minis o mainframes, se deben tomar en cuenta los controles de acceso, respaldo, recuperación y reinicio y otras alternativas para restaurar operaciones. También se deben tomar en cuenta técnicas de encriptación y bitácoras automatizadas de los eventos que ocurran durante el procesamiento de la información. Proc. línea consider uso firewall

Continuación req. Usuarios (20 categorias) 6) Requerimientos de auditoría Es necesario considerar la disponibilidad de módulos de auditoría pertinentes a las circunstancias de operación de la empresa, selección de transacciones y módulos de auditoría protegidos tales como extensiones de registros en el software. Se debe considerar la inclusión de “salidas de usuario” en puntos críticos de procesamiento cuando no existen dichos módulos de auditoría. El software debe contener pistas de auditoría (en papel o en forma electrónica) requeridas. También se deben considerar la compatividad de las estructuras de los archivos entre los paquetes de auditoría generalizadas y el software de análisis

Continuación req. Usuarios (20 categorias) 7) Requerimientos de Control Se debe considerar la necesidad de los programas automatizados de procesamiento de control interno requeridos en términos de edición y validación de rutinas y controles de corrida a corrida. En caso de no existir estos programas se deben identificar los controles manuales para sustituir los controles automatizados.

Continuación req. Usuarios (20 categorias) 8) Requerimientos de hardware y equipo periférico Se debe considerar el número y tipo de unidades centrales de proceso (UPC), discos(flexibles, duros, compactos, dvd, etc) y cintas magnéticas requeridas. También se debe considerar los equipos de comunicaciones tales como: modems, líneas de comunicación, concentradores y cualquier otro tipo de equipo relacionado.

Continuación req. Usuarios (20 categorias) 9) Requer. de adaptaciones o modif al software Se debe consider la naturaleza y alcance de las adaptaciones o modificaciones de mayor o menor grado que se deben efectuar al software. El equipo de trabajo deberá estar más interesado en entender las políticas del proveedor del software en relación con las modificaciones, y en determinar las consecuencias y los impactos de las modificaciones con respecto a las obligaciones que se contraen con la firma del contrato. Los detalles de las modificaciones podrán ser determinados una vez que el software sea adquirido.

Continuación req. Usuarios (20 categorias) 10) Requerimientos de interfaces con otros sistemas Se deben considerar cuáles sistemas o programas requieren de interfaces, dónde, cómo y cuándo se aplicarán las interfaces y qué criterios serán utilizados.

Continuación req. Usuarios (20 categorias) 11) Requerimientos de conversión Se deben consider los nombres y tipos de archivos de datos y su origen (papel o medios electrónicos), procesamientos de control de trabajos y los programas que se requerirán convertir con el estimado de tiempos de conversión. Se deben establecer los criterios de verificación de la conversión y asignar responsabilidades durante la etapa de conversión También se deben identificar las herramientas de conversión

Continuación req. Usuarios (20 categorias) 12) Requerimientos de documentación Se deben considerar los tipos, niveles y cantidades de manuales de documentos del software requerido. También se deben identificar las necesidades y requerimientos de la documentación de las interfaces del software con otras aplicaciones y si se ajustan y cumplen con los estándares definidos para el área de cómputo.

Continuación req. Usuarios (20 categorias) 13) Requerimientos de servicio y soporte del proveedor Se deben considerar el nivel, tipo y tamaño del equipo de soporte técnico del suministrador en cuanto a conversión y entrenamiento requerido durante la instalación y post instalación del sistema.

Continuación req. Usuarios (20 categorias) 14) Requerimientos de instalación de software: Se debe considear: Los procedimientos de carga y descarga del plan de instalación del software El personal interno requerido El personal técnico del suministrado del software El local El tiempo requerido para implantarlo.

Continuación req. Usuarios (20 categorias) 15) Requerimientos de entrenamiento Se deben considerar el nivel, tipo y tiempo de entrenamiento requerido dentro y fuera de la organización. Se deben identificar los participantes requeridos, tanto usuarios directos del sistema como usuarios indirectos, así como el personal de operaciones del computador.

Continuación req. Usuarios (20 categorias) 16) Requerimientos de pruebas del software. Se debe considerar: La naturaleza y extensión de las pruebas requeridas (programas, prueba integrada, aceptación y paralelo) Prueba de criterios Plan de pruebas Prueba de casos Prueba de datos Prueba de resultados esperados Prueba de evaluacón de resultados Las acciones correctivas a tomar

Continuación req. Usuarios (20 categorias) 17) Requerimientos del contrato Se debe considerar una garantía de cumplimiento del suministrador del software que tenga una vigencia de por lo menos tres períodos después de la puesta en marcha de sistema. También es importante dividir los pagos en relación a los tiempos de cumplimiento de las etapas del sistema.

Continuación req. Usuarios (20 categorias) 18) Requerimientos de operación Se deben considerar el número y tipos requeridos de discos, cintas, casettes, disquettes, etc. También se deben identificar los volúmenes y consumos de papelería y suministros y de algunas fórmulas especiales requeridas. Debe considerarse el suministro oportuno de tinta o tonner para las impresoras. Asimismo, se deben identificar los itinerarios de los trabajos del computador que se requieran y el personaje de digitación.

Continuación req. Usuarios (20 categorias) 19) Requerimientos futuros de software Se debe considerar las necesidades y requerimientos de información futuras que se relacionen con el software en estudio. Normalmente estos requerimientos si no se determinan, luego se olvidan. Por ejemplo, contemplar la compra de un paquete de planillas ahora cuando el usuario está planeando sustituir todo el sistema financiero por un paquete integrado en un futuro cercano y la planilla es parte de este paquete.

Continuación req. Usuarios (20 categorias) 19) Requerimientos de organización: Se deben considerar el tiempo y la naturaleza de la adquisición de nuevos negocios y fusiones que puedan impactar la instalación e implementación de software. Establecer un comité denominado “Comité de Informática o de Sistemas”, de alto nivel que se responsabilice de iniciar, guiar y supervisar los planes de adquisición, el proceso del proyecto y resuelva los problemas que se pudieran presentar. El comité debe ser presidido por la gerencia general.

Continuación req. Usuarios (20 categorias) Continuación requerimientos de organización Se debe controlar la proliferación de microcomputadoras. Cualquier adquisición de este tipo de equipo deberá ser revisado y llevar el Visto Bueno del responsable de T.I y el comité de Informática. Se debe efectuar un análisis financiero para determinar si el retorno de la inversión es aceptable para la adquisición

Continuación req. Usuarios (20 categorias) Continuación requerimientos de organización El hardware y el software solo será adquirido si va a producir más ventajas, ahorros y beneficios que otra alternativa de procesamiento (sistemas manuales, alquiler de servicios, tiempo compartido, etc) La decisión gerencial de adquisición deberá estar soportada por un análisis de medición del desempeño del equipo basado en herramientas de software confiable

Continuación req. Usuarios (20 categorias) Continuación requerimientos de organización Se debe aplicar un apropiado criterio de selección y ponerlo a disposición de los proveedores como términos de referencia para recibir propuestas formales de dichos proveedores. Los términos y aspectos legales de la contratación deben ser cuidadosamente analizados por abogados antes de llevar a cabo la selección final y también deberán ser revisadas por el auditor de sistemas

Continuación req. Usuarios (20 categorias) Continuación requerimientos de organización Se deben obtener los programas fuente del software para asegurarse la no dependencia del proveedor. (Debe considerarse el lenguaje de desarrollo) Se debe preparar un estudio de factibilidad, el cual debe ser revisado por los usuarios, el personal de cómputo y el auditor de sistemas.

Continuación req. Usuarios (20 categorias) Continuación requerimientos de organización Se deben establecer los criterios de competencia (Benchmark) y enviarlos a los proveedores de equipo y los resultados deben ser evaluados y retenidos. Se debe efectuar un estudio de costo-beneficio del software ofrecido. Los costos del software deben ser clasificados en costos no recurrentes (una sola vez) y costos recurrentes.

Continuación req. Usuarios (20 categorias) Costos no recurrentes: El precio básico del paquete de software y el pago de la licencia de uso. Costos de opciones especiales antes y después de la instalación. Honorarios de abogados y consultores externos. Gastos de viajes, hospedajes y alimentación. Costos de entrenamiento en la utilización del paquete.

Continuación req. Usuarios (20 categorias) Costos no recurrentes: Costos de modificación al software. Costos de compra del computador, equipo periférico, etc Contratación de nuevos empleados y los costos asociados al entrenamiento. Costos de conversión e instalación Costos de documentación

Continuación req. Usuarios (20 categorias) Costos recurrentes: Costos de soporte del proveedor (mantenimiento anual, pago de nuevas versiones, pago de modificaciones después de la implantación, etc). Suministros de cómputo (carretes de cintas, discos, papel, tinta, toner y cintas de impresoras, etc). Actualizaciones a los manuales de documentación

Continuación req. Usuarios (20 categorias) Costos recurrentes: Beneficios cualitativos (mejora en la toma de decisiones basadas en la informacion oportuna y relevante que produce el sistema) y cuantitativos (reducción de las horas extra o personal asociado al sistema, optimización de los niveles de inventarios) Equipo rentado Los seguros que se paguen al INS como protección de los productos.

SERVICIOS 1) Objetivos de control: Los objetivos de control para los servicios en el proceso de adquisición son los de asegurar que se han establecido controles apropiados que permitan verificar que exista: Razonabilidad en el uso económico de los recursos de la organización. Que los riesgos potenciales negativos que pudieran incidir son los mínimos y son inmateriales

Técnica de control, objetivos de control Servicios. A) Se deben seleccionar y contratar consultores externos que gocen de prestigio y buena reputación en caso de necesitar sus servicios. Se debe preparar una propuesta de servicios y firmar el respectivo contrato. B) Las empresas que brindan servicios de cómputo y tiempo compartido deben ser seleccionadas y contratadas con base en la nueva reputación, experiencia, estabilidad, sólida posición financiera, etc

Técnica de control, objetivos de control Servicios. C) Las empresas que brindan servicios de cómputo y tiempo compartido deben ser contratadas solamente si se ha llegado a la conclusión de que no se puede proveer esos servicios internamente en una forma económica. D) Se debe firmar un contrato que debe ser revisado por un abogado y ser modificado, en caso de ser necesario, si se llega a contratar empresas que brindan servicios de cómputo y tiempo compartido.

Programa de trabajo de Auditoría El programa de trabajo para la revisión de la adquisición consiste en los siguientes pasos:

Continuación Programa de trabajo de Auditoría 1. Completar el trabajo preliminar de la planeación Este paso incluye la identificación y selección del centro de cómputo a ser auditado. (en el caso de que existan varias localizaciones), basado en la matriz de planeación de auditoria que se presenta al final de este módulo (riesgos potenciales del CC) o en una petición hecha por la gerencia. El auditor de sistemas deberá revisar los papeles de trabajo y los reportes, previo a la intervención donde sea aplicable

Continuación Programa de trabajo de Auditoría 2. Identificar las fuentes de información para las revisiones de auditorias y la realización de las pruebas. Este segundo paso se relaciona con la identificación de las fuentes de información requeridas durante los procesos de revisión y las pruebas. Las fuentes juegan un papel muy importante ya que son el soporte y la documentación de las evidencias.

Continuación Programa de trabajo de Auditoría Algunas fuentes de información son: Papeles de trabajo previos a la intervención Informes de auditorías de revisiones anteriores Recomendaciones de revisiones anteriores Manual de políticas y procedimientos de la empresa Manual de estándares, políticas y procedimientos del área de procesamientos electrónico de datos Manual de auditoría de sistemas de información

Continuación Programa de trabajo de Auditoría continuación algunas fuentes de información: Todos los contratos firmados con proveedores de equipo, software, consultores, etc Las facturas de pagos a consultores externos Carteles o cotizaciones presentadas Informes de progreso del estado de los proyectos Planes de implementación de hardware y software

Continuación Programa de trabajo de Auditoría continuación.... Informes de estudios de factibilidad Resultados de pruebas de competencia (Bench Mark) Memorandum del establecimiento del comité de sistemas y el libro de actas Informes de revisiones de terceras personas Organigrama del área de procesamiento electrónico de datos y de las áreas usuarias.

Continuación Programa de trabajo de Auditoría continuación.... Informes de productividad de la máquina y bitácora del sistema Archivos permanentes del auditor de sistemas

Continuación Programa de trabajo de Auditoría 3. Diseñar y desarrollar los procedimientos Este paso incluye la identificación y selección de la metodología de verificación y las pruebas que se deberá aplicar para revisar los controles del proceso de adquisición Este paso también incluye la utilización de procedimientos detallados de auditoría hechos a la medida o estándares que deben contener listas de chequeo y cuestionarios.

Continuación Programa de trabajo de Auditoría 4. Ejecutar la revisión y pruebas de cumplimiento para los controles A continuación se presentan algunas revisiones de auditoría y pruebas de controles: Hardware y Software:

Continuación Programa de trabajo de Auditoría a) Revisar el memorando de constitución del comité de sistemas, las minutas de reuniones y otro tipo de información disponible para tener un entendimiento de los planes de adquisición y el desarrollo de dichos planes. b) Revisar el informe del estudio de factibilidad para determinar si los objetivos propuestos y los propósitos del sistema son consistentes con la información contenida en las propuestas solicitantes a los proveedores y a las requisiciones de servicio de los usuarios.

Continuación Programa de trabajo de Auditoría c) Asegurarse de que cada propuesta recibida de los proveedores fue evaluada con el mismo criterio de selección. d) Revisar la correspondencia con los proveedores para determinar si la decisión final fue comunicada formalmente a todos los proveedores e) Revisar el resultado de las pruebas de competencia (Benchmark) para determinar si se realizó en forma consistente y válida para llegar a una decisión final.

Continuación Programa de trabajo de Auditoría f) Asegurarse de que el financiamiento del hardware y equipo periférico, ya se ha comprado, rentado o alquilado con opción de compra, sea consistente con el plan de adquisición de hardware. g) Determinar que la conversión del nuevo sistema haya sido llevado a cabo en un ambiente controlado y el software haya sido probado completamente con resultados prederminados

MÓDULO III AUDITORIA DE ADQUISICIONES

Presentaciones similares

Presentación del tema: "MÓDULO III AUDITORIA DE ADQUISICIONES"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

MÓDULO III AUDITORIA DE ADQUISICIONES

Presentaciones similares

Presentación del tema: "MÓDULO III AUDITORIA DE ADQUISICIONES"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback