PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE “MAGISTER EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS” “EVALUACIÓN TÉCNICA INFORMÁTICA DE LA ADQUISICIÓN E IMPLEMENTACIÓN DE LA UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE SEDE PRINCIPAL”
OBJETIVOS General Evaluar el proceso de Adquisición e Implementación de la Universidad de las Fuerzas Armadas ESPE Sede Principal, aplicando como marco de referencia COBIT 5, con el fin de identificar debilidades y emitir recomendaciones para mitigar los riesgos en la institución y así crear valor al negocio.
Específicos Elaborar la Planificación detallada del proyecto Elaborar el Plan de Investigación de Campo en base de la Matriz de Riesgos Elaborar y aplicar los Instrumentos de Investigación de campo Realizar el análisis de la información Redactar y presentar los informes de auditoría.
Introducción Las Tecnologias de la información no gestiona propiamente la empresa, ayuda a la toma de decisiones y debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. Para vigilar el correcto funcionamiento de los procesos y comprobar su efectividad es necesaria la evaluación periódica de políticas y procedimientos, para asegurar la continuidad y cumplimiento de metas del negocio. La ESPE, ante la necesidad de contar con un adecuado marco de administración y control en los procesos de adquisición e implementación, requiere de los procedimientos de evaluación para determinar falencias actuales.
Justificación e Importancia La ESPE es una Institución de Educación Superior en constante evolución, que ha conseguido inicialmente su calificación A, por parte del CEAACES, pero es necesario evaluar y mejorar los procesos de Gobierno de TI que en ella se realizan, con la finalidad de brindar servicios de calidad y mantener su acreditación. El Gobierno de TI provee las estructuras que vinculan los procesos de TI, sus recursos y la información con las estrategias y los objetivos de negocio de la Institución; además, integra e institucionaliza las mejores prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la Institución y las tecnologías relacionadas soporten los objetivos del negocio; esto conduce a la Institución a tomar total ventaja de su información, maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.
Alcance El alcance viene dado por la metodología COBIT en un dominio, que nos indica la forma de utilizar la tecnología de la información para lograr los objetivos del negocio; y su evaluación paulatina para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Como primera fase se espera recoger, agrupar y evaluar evidencias para determinar si el proceso lleva a cabo eficazmente los fines de la organización utilizando apropiadamente los recursos. El proyecto en mención se ejecuto en la Unidad de Tecnologías de la Información (UTIC), unidad a obtener recomendaciones en base a las falencias detectadas, las cuales quedarán planteadas en el informe final y deberán ser aplicadas por parte de las autoridades
COBIT 5 COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de un modelo de gestión de TI, proporcionando una visión de negocio de extremo a extremo de la gobernanza de TI. (Alineamiento – generar Valor) Separa gobierno de la gestión, estructuras diferentes con roles y responsabilidades que facilitan la gestión de TI. Modelo compuesto por: Principios, practicas de gestión y actividades de control. (Auditoría)
Los cinco principios de COBIT 5
Dominios de COBIT 5
Dominio de Evaluación
Auditoría Informática Definición: Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia y seguridad. Con vistas a mejorar los procesos internos de una organización. Importancia: El propósito para una organización que contrata la auditoria, es asegurar que sus objetivos corporativos estén alineados con los objetivos de TI, mapeo necesario para cumplir con los objetivos del negocio.
Metodología de Desarrollo de la Auditoría Informática. Se contemplan las siguientes fases: FASE 1 Identificar el alcance y los objetivos de la Auditoría Informática FASE 2 Realizar el estudio inicial del entorno a auditar FASE 3 Determinación de los recursos necesarios para realizar la auditoría informática FASE 4 Elaborar el plan de trabajo FASE 5 Realizar las actividades de auditoría FASE 6 Realizar el informe ejecutivo / informe detallado
Método de Trabajo y Procedimientos a Ejecutar Son los métodos prácticos de investigación y prueba, que utiliza el auditor, para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones. Estudio General: Es la apreciación y juicio de las características generales de la empresa. Comprobación: consiste en verificar la evidencia con el fin de corroborar su veracidad mediante el examen de los documentos que la justifican Confirmación: Es la ratificación por parte de una persona ajena a la empresa, la cual está en condiciones de informar válidamente sobre ella.
Herramientas a Utilizar Investigación: Es la recopilación de información mediante pláticas con los funcionarios y empleados de la empresa. Encuestas o entrevistas: Es una de las actividades personales más importante del auditor ya que en ellas se recoge información verídica. Observación: Es una manera de inspección, menos formal, y se aplica generalmente a operaciones para verificar como se realiza en la práctica.
INVESTIGACION DE CAMPO Identificación de Riesgos TI Críticos Matriz de Riesgos: Herramienta utilizada por COBIT para detectar riesgos críticos en la institución.
Priorización a los Objetivos Corporativos de Cobit 5
MAPEO Objetivos Corporativos COBIT 5 / Objetivos relacionada con las TI
MAPEO Objetivos relacionada con las TI / Procesos de Cobit 5 - Dominio BAI
Planeación de la Auditoría Herramienta utilizada por COBIT para la planificación del trabajo a realizar por parte de los auditores. En el presente proyecto de tesis se realizó el estudio sobre los cuatro procesos más críticos en base al análisis realizado en el dominio Construir, Adquirir e Implementar, a continuación el detalle de los procesos y sus prácticas de gestión: Matriz de Investigación de Campo: Matriz de Investigación de Campo:
Informe y Resultados de la Auditoría Informática Ejecutado la revisión de la documentación de la unidad de Tecnologías de la Información y Comunicaciones (UTIC) ESPE y terminado el análisis de acuerdo a la Guía de Auditoría de COBIT 5, se pudieron obtener un grupo de conclusiones y recomendaciones que se indican en el INFORME FINAL, el cual fue presentado y discutido con el administrador de los procesos de Adquisición e Implementación, de lo cual se obtuvo las justificaciones respectivas de algunos temas que se creyó conveniente levantar la observación. Posteriormente se elaboró el INFORME FINAL DETALLADO Y UN INFORME FINAL EJECUTIVO, documento que incluye un resumen de los HALLAZGOS, las conclusiones y recomendaciones realizadas.
Conclusiones y Recomendaciones Conclusiones Para el desarrollo del proyecto de tesis es de principal importancia contar con una guía de un marco de referencia. Modelo COBIT5 que se seleccionó, el cual a través de su dominio construir, adquirir e implementar, ofrece una serie de prácticas de gestión que permiten evaluar eficientemente el ambiente de control de una entidad, garantizando que TI este alineado con el negocio y que los riesgos de TI se administren apropiadamente. COBIT 5 facilita al auditor a tener una visión más objetiva y de un nivel más estratégico para planear, organizar, dirigir y controlar una auditoría a los procesos dentro de una organización. Así como también de guía para la mejora de los procesos internos de la institución. En el proceso de auditoría que se realizó en la UTIC, se cumplió con todas las expectativas del proyecto, y se observó que al ser una institución pública, carece de políticas y procedimientos en los procesos de Adquisición e implementación; existiendo el riesgo de que la calidad de la administración y servicio de TI sea deficiente y no se considere una adecuada planificación por parte de la Unidad de Tecnología de la Información y Comunicaciones.
Al alinear la normativa respecto a TI y las prácticas de gestión propuestas por COBIT se logró identificar y valorar los riesgos dentro de la institución, para luego generar recomendaciones, información necesaria para mitigar la materialización de los riesgos identificados. La auditoría informática propone mejora a los controles existentes en la UTIC, al mejorar los controles que tienen vulnerabilidades se logra prevenir los riesgos. Controles que deben estar en conocimiento de las partes interesadas. En las entidades públicas existen retrasos en facilitar información para elaborar proyectos de auditoría informática, generadas por las tareas diarias que realizan; circunstancias que alteran el cronograma de trabajo del grupo de auditoría.
Recomendaciones Elaborar una planificación para que la Unidad de Tecnologías de la Información y Comunicaciones (UTIC), analice y ejecute las observaciones y recomendaciones del presente proyecto de Auditoría. La UTIC debe dar apertura a este tipo de evaluación de sus funciones, colaborando con la documentación y evidencias necesarias manteniendo registros documentados de las actividades que realizan. Se recomienda que para un mejor desempeño de la UTIC, se realicen auditorías anuales en sus áreas, revisando especialmente las guías de gestión de TI y las necesidades de la institución.
Se recomienda la implementación del marco de referencia COBIT 5 en la UTIC para la administración de los recursos de tecnología. Estándar que debe ser oficialmente la guía para la mejora de los procesos internos de la institución. Se sugiere que se tome acciones en los procesos de Adquisición e implementación con documentación respectiva, efectuando estrategias que permitan tener un mayor control en los proyectos, ayudando a los intereses y requerimientos de la institución. Además se debe definir cada una de las funciones, actividades y responsabilidades específicas adecuadamente para cada individuo involucrado en la UTIC. La UTIC como directivos que son, deben capacitarse y abrirse acerca de proyectos de este tipo, para que sean entes colaboradores más no de disturbio y freno a la ejecución de los mismos.
Proponer el pago de horas extras al personal de la ESPE que participa en los proyectos de auditoría, tiempo adicional que es necesario para facilitar toda la información y documentación de los procesos auditados.
Evidencia
GRACIAS