PLAN DE TRABAJO DE LA AUDITORIA DE GESTIN Y/O DIRECCIN EN EL
REA ADMINISTRATIVA Y OPERATIVA DE LAS TECNOLOGAS DE
INFORMACIN ENFOQUE DE LA AUDITORA INTRODUCCIN La auditora es el examen profesional, sistemtico y objetivo de las operaciones ejecutadas con anterioridad por la gestin de la entidad, con la intencin de formarse un juicio sobre el grado de eficiencia, eficacia, calidad, oportunidad y economa, as como la razonabilidad y consistencia de los Estados Financieros, a fin de emitir un informe que contenga observaciones, conclusiones y recomendaciones. Dado que las organizaciones gubernamentales peruanas, en particular, no vienen asumiendo una visin de la auditoria interna como parte de una gestin integral, sino que an se conserva la concepcin tradicional de la auditoria y el control interno como una unidad independiente, no integrada a la calidad total de la organizacin, se hace necesario redireccionar el enfoque de la auditoria interna hacia la modernidad, aplicando procedimientos tcnicos legales para determinar el grado de eficiencia, eficacia, calidad y celeridad de la gestin realizada por la entidad, en un periodo previamente programado, de tal manera que se constituya en la perspectiva de un nuevo enfoque integral y visin contribuida en una herramienta de suma utilidad y apoyo a la gestin de las organizaciones tanto del sector privado como pblico. En cuanto a la formacin de los auditores internos, los expertos en Auditoria Interna coinciden en la necesidad de integrar perfiles diversos que puedan dar respuesta a la amplitud de funciones que trae consigo la evolucin de este sector empresarial privado y/o entidad pblica, lo importante que debe destacarse es que los profesionales Auditores Internos, tengan conocimientos de la actividad integral de la organizacin y su dinmica de los actuales escenarios en donde tiene una operatividad significativa por la conquista de mercados. Es por ello que no se debe descuidar el rol que representa la auditora interna por que contribuye con sus sugerencias consideradas en sus Informes de Auditora sobre la aplicacin de medidas correctivas para superar las deficiencias o desviaciones detectadas en la gestin de las organizaciones, que para el caso del Pas; la aplicacin de la Auditora Interna y el control interno existen disposiciones normativas legales dadas por la Contralora General de la Repblica y a nivel internacional existe el INTOSAI, (Organizacin Internacional de Instituciones Superiores de Auditora), el OLACFS a nivel Latinoamrica y el Caribe y el IFAC. Federacin Internacional de Auditores. En aras de cumplir a cabalidad, el auditor, con sus funciones y responsabilidad basa su accin de evaluacin de las operaciones ejecutadas por la organizacin pblica, de asesora y consultora, en un enfoque multidisciplinario en la ejecucin de sus actividades de fiscalizacin y control en funcin del Manual de Auditoria Gubernamental MAGU. El Manual de Auditora Gubernamental (MAGU), es el documento normativo fundamental que define las polticas y las orientaciones para el ejercicio de la auditoria gubernamental en el Per. Es aprobado por el Contralor General de la Repblica en su calidad de titular del rgano rector del Sistema Nacional de Control. Segn el MAGU (1998) el objetivo fundamental de la Auditoria Interna es: Examinar y evaluar sistemticamente la adecuada y eficaz aplicacin de los sistemas de Control Interno, de las operaciones contables y financieras y de las disposiciones administrativas y legales que correspondan y velar por la preservacin de los bienes asignados a las entidades estatales. La prctica de auditora interna es una prctica respaldada por distintos organismos en el mbito internacional y Nacional (Contralora General, 1998).
1. OBJETIVOS 1.1. OBJETIVO GENERAL El objetivo del trabajo est dirigido auditar a la empresa MG Computer Support and System, verificando el cumplimiento de los estndares para la Gestin de Servicio que indica la norma NTP ISO/IEC 20000-1:2012 utilizando una auditoria tipo externa. 1.2. OBJETIVOS ESPECIFICOS - Evaluar la Gestin de Incidencias en la infraestructura de TI que da soporte a los procesos del negocio. - Verificar la existencia de una Gestin de Problemas en funcin a la norma, si ejecuta actividades reactivas o proactivas. - Analizar si existe una Gestin Financiera de las tecnologas de informacin y si est alineada con las estrategias del negocio.
2. ALCANCE Periodo comprendido entre el 31 de Marzo y el 14 de Junio de 2014, el examen de llevar a cabo en concordancia con las Normas de Auditora Gubernamental NAGU, Normas de Auditoria Generalmente Aceptadas, COBIT y la norma NTP ISO/IEC 20000-1:2012; comprender la revisin y anlisis selectivo de las actividades desarrollada por el rea de Informtica. 3. DESCRIPCIN DE LAS ACTIVIDADES La actividad principal del Departamento de Informtica est referida a administrar las tecnologas de informacin a fin de que todas las actividades administrativas, operativas y financieras que realizan los clientes de la empresa MG Computer Support and System, cuenten con el ms eficiente soporte tecnolgico para la captura, procesamiento, acceso, difusin y explotacin de la informacin, facilitando el cumplimiento de los objetivos y metas de las unidades orgnicas.
4. NORMATIVIDAD APLICABLE Se cumplir con cumplir las normas: El Manual de Auditora Gubernamental (MAGU), que establece entre otros los procedimientos del Control Posterior, para las instituciones del Estado. Normas de Auditoria Generalmente Aceptadas (NAGAS). Normas generales y las Normas Tcnicas de Control Interno aprobadas por resoluciones de la Contralora General de la Repblica. Sistema de Control Interno aprobado por la Ley No. 28716, aplicado para el Sector Pblico. Reglamentos Internos de funcionamiento de las Oficinas de Auditora Interna de empresas del Sector Privado. Compendio de Normas Tcnicas Informticas del Instituto Nacional de Estadsticas e Informtica: Norma tcnica para la gestin de servicios en las entidades del estado NTP-ISO/IEC 20000-1:2012. (Resolucin N 30-2012/CNB-INDECOPI).
5. IDENTIFICACIN DE RES CRTICAS rea Procedimientos Bsicos Instalacin y Equipos Constatar el uso del software base de la instalacin y el desarrollo de procedimientos automatizados, asimismo, evaluar la infraestructura a los equipos de cmputo y de comunicaciones.
6. GENERALIDADES En este captulo se definir el problema a cuya solucin se pretende contribuir con el desarrollo de la presente investigacin, se definir una serie de trminos que ayudarn a comprender mejor los diversos aspectos del documento, se explicar qu es la gestin o direccin de las tecnologas de informacin, el estado del arte en cuanto a estndares para la auditora de la gestin informtica, se describir la solucin propuesta para gestin o direccin de TI en funcin de los lineamientos para las Instituciones Pblicas del Estado, y se detallar las actividades del proyecto. 6.1. DEFINICIN DEL PROBLEMA Las organizaciones pblicas y/o privadas emprenden grandes inversiones en tecnologas de informacin, muchas veces sin evaluar el impacto que realmente tienen en la generacin de valor de las mismas. Existen diversas normas dictadas por organismos supervisores como la Contralora General de la Repblica y la Superintendencia de Banca, Seguros y AFP, as como diversos estndares de calidad que han sido propuestos por diversas entidades a nivel mundial. Estas normas si bien nos ilustran de manera amplia, tcnica y ordenada sobre los elementos a tener en cuenta para una adecuada gestin informtica, no nos orientas de manera especfica sobre los procedimientos a seguir para una evaluacin integral de la gestin informtica orientada al logro de los objetivos de un Plan Estratgico Organizacional (que se miden sobre la base de indicadores de gestin y resultados a alcanzar establecidos por toda la organizacin), lo que sera el primer paso a seguir, si queremos lograr una planificacin estratgica de la tecnologa de informacin, orientada hacia el logro de los objetivos organizacionales. 6.2. MOTIVOS DE LA AUDITORIA El objetivo es evaluar el grado de economa, eficiencia y eficacia en el manejo de los recursos pblicos, as como el desempeo de los servidores y funcionarios del Estado, respecto al cumplimiento de las metas programadas y el grado con que se estn logrando los resultados o beneficios previstos por la legislacin presupuestal o por la entidad que haya aprobado el programa o la inversin correspondiente. Adems, en la gestin o direccin del rea de las tecnologas de informacin comnmente se comenten muchos errores que en su conjunto estaran impidiendo o retrasando el logro de los objetivos organizacionales con los consecuentes perjuicios en las organizaciones usuarias de las TI, de todo sector econmico y tamao. La auditora de gestin puede tener, entre otros, los siguientes propsitos: 1. Determinar si la entidad adquiere, protege y emplea sus recursos de manera econmica y eficiente. 2. Establecer las causas de ineficiencia o prcticas antieconmicas. 3. Evaluar si los objetivos de un programa son apropiados, suficientes o pertinentes y el grado en que produce los resultados deseados. Segn el MAGU (1998): la auditora de gestin, puede tener, entre otros objetivos: Determinar si estn logrndose los resultados o beneficios previstos por la normativa, por la propia entidad, el programa o actividad permanente. Comprobar si la entidad, programa o actividad ha cumplido con las leyes y reglamentos aplicables en materia de efectividad, eficiencia o economa. Determinar si los controles gerenciales implementados en la entidad o programa son efectivos y aseguran el desarrollo eficiente de las actividades y operaciones. Generalmente, al trmino de una auditoria de gestin el auditor no expresa una opinin sobre el nivel integral de dicha gestin o el desempeo de los funcionarios. Por tanto, estas normas no prevn que se exija al auditor una opinin de esa naturaleza. Sin embargo, el auditor deber presentar en su informe, hallazgos y conclusiones respecto a la magnitud y calidad de la gestin de desempeo, as como la relacin con los procesos, mtodos y controles internos especficos, cuya eficiencia o eficacia considere susceptible de mejorarse. Si estima que existen posibilidades de mejora, el auditor deber recomendar las medidas correctivas apropiadas.
6.3. PROBLEMAS EN LA GESTIN DE LA TECNOLOGA DE INFORMACIN El IT Governance Institute desarroll junto con PriceWatherHouse Coopers Corporation, el IT Governance Global Status Report 2008 (IT Governance Institute, 2008), sobre la base de una muestra de 749 entrevistas a los gerentes generales, gerentes de informtica, gerentes de operaciones, gerentes financieros y auditores internos, con respecto a diversos puntos relacionados a la gestin de la tecnologa de informacin en sus organizaciones. La muestra de entrevistados incluyo personas de 23 pases de organizaciones de diversos sectores econmicos y cantidad de empleados. Los resultados demostraron que la madurez del gobierno de tecnologa de informacin en el ao 2007 estuvo en 2.67 en promedio (considerando niveles de madurez anlogos al CMM, del 1 al 5). En el IT Governance Global Status Report 2008, se indicaron los problemas manifestados por los entrevistados en orden descendente de importancia, los cuales fueron los siguientes: a) Insuficiente cantidad de personal. b) Problemas de entrega de servicios. c) Inadecuadas habilidades en el personal de tecnologa de informacin. d) Altos costos de la tecnologa de informacin versus el retorno de la inversin. e) Problemas con proveedores. f) Falta de agilidad para la solucin de problemas. g) Problemas con la documentacin y la gestin del conocimiento. h) Falta de enlace entre la estrategia de tecnologa de informacin y la estrategia de la organizacin. i) Inadecuado plan de recuperacin de desastres. j) Problemas de almacenamiento de la informacin. k) Incidentes operacionales serios debido a la tecnologa de informacin. l) No se cumplen con los requerimientos planeados inicialmente. m) Problemas de seguridad de la informacin. Los ms grandes obstculos para la mejora de la gestin de tecnologa de informacin, sealados por los entrevistados, fueron los siguientes: a) Presupuesto y retorno de la inversin esperado. b) Falta de conocimiento y entendimiento del gobierno de tecnologa de informacin. c) El personal. d) Problemas de planificacin. e) Falta de apoyo de la alta gerencia. f) Procedimientos de trabajo. g) No hay una visin clara de las metas ms importantes. h) Falta de apoyo de otras gerencias. i) Falta de comunicacin entre el rea de tecnologa de informacin y las otras reas. j) La legislacin. Algunos indicadores a resaltar en el estudio, son los siguientes: Slo el 20% realiza una gestin activa del retorno de la inversin de la tecnologa de informacin. 22% est en proceso de implementacin de este aspecto. Slo el 25% mide el rendimiento de la gestin de tecnologa de informacin, 29% est en proceso de implementacin de este aspecto. Slo el 30% realiza una gestin formal del riesgo de tecnologas de informacin. 32% est en proceso de implementacin de este aspecto. Slo el 23% ha alineado la estrategia de tecnologa de informacin a la estrategia de la organizacin, 32% est en proceso de implementacin de este aspecto. En funcin de estos aspectos, Alfaro (2008) desarrollo una investigacin sobre la base de los procesos de seleccin relacionados a la implementacin de las normas tcnicas peruanas de gestin de tecnologas de informacin: NTP-ISO/IEC 12207 y NTP-ISO/IEC 17799, en las entidades del Estado Peruano. Como resultado de la investigacin se obtuve que slo el 4.39% de las 1026 entidades usuario de tecnologa de informacin en el Estado Peruano (segn cifras del INEI del ao 2002), haban realizado acciones para la implementacin de las normas tcnicas peruanas de gestin de tecnologa de informacin. Slo 1.27% haba logrado implementar la NTP-ISO/IEC 12207, y solo 1.27% haba logrado implementar la NTP-ISO/IEC 17799. En total se habra invertido S/. 2760,718 nuevos soles, en servicios de asesora, consultora (diagnstico, plan de implementacin, polticas y procedimientos), personal de apoyo, y capacitacin, entre otros. 6.4. PLAN DE TRABAJO DEL AUDITOR INFORMTICO Las tareas realizadas como parte del presente proyecto de investigacin sern las siguientes: A. Recopilacin de la bibliografa relacionado con los estndares de calidad internacionales y nacionales como son: NTP-ISO/IEC 17799, NTP-ISO/IEC 12207, COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL) y PMBOK. B. Elaboracin de un plan metodolgico para la auditora integral de la gestin informtica. C. Aplicacin de la metodologa para la auditora integral de la gestin informtica en la Institucin Pblica del Estado Peruano. D. Afinamiento de la metodologa. E. Aplicacin de la metodologa afinada. F. Evaluacin de los resultados. Se evaluar el impacto resultante de la aplicacin de la metodologa para la auditora integral de la gestin informtica en la Institucin Pblica del Estado Peruano. El plan de trabajo es el esquema ms importante del auditor informtico, las partes con las que cuenta un plan del auditor informtico son: o Funciones o Procedimientos para las distintas tareas de la auditoria o Tipos de auditoria o Sistema de evaluacin o Nivel de exposicin o Lista de distribucin de informes o Seguimiento de acciones correctivas o Plan quincenal o Plan de trabajo anual Cabe sealar que debe definir o disear los siguientes planes relacionados a la Gestin de la Tecnologa de Informacin: Plan de continuidad del negocio Plan de Contingencias Informtica Plan de Seguridad de la Informacin Plan de Mantenimiento (Preventivo y Correctivo) Plan de Licenciamiento de Software Plan de Capacitacin Planificacin de Labores de Rutina Planes de Compra Planes de Proyectos, etc. Si estos planes estn mal diseados por el auditor de gestin de las TI, en la prctica, la ejecucin de supervisin presentar una serie de deficiencias o carencias en los informes de auditora al respecto de cada uno de estos temas (en su conjunto). 6.5. TCNICAS o Estudio general o Anlisis o Inspeccin o Confirmacin o Investigacin o Declaracin o Certificacin o Observacin o Calculo
6.6. PROCEDIMIENTOS o Obtener conocimientos o Analizar las caractersticas del control interno o Verificar resultados o Dar conclusiones
6.7. HERRAMIENTAS o Cuestionario general inicial o Cuestionario Checklist o Estndares o Monitores o Simuladores (Generales de datos) o Paquetes de auditora (Generadores de Programas) o Matrices de riesgo
6.8. ESTADO DEL ARTE La gestin de la Tecnologa de Informacin, ha evolucionado muy rpido en las ltimas dcadas, desde su aparicin. Ya no es suficiente que se comprenda los procesos de desarrollo de sistemas de informacin, o los procesos de construccin o mantenimiento de infraestructura de tecnologas de informacin. Ahora las gerencias de tecnologas de informacin, deben alinearse a los sistemas de gerencia modernos (los sistemas de gestin de la calidad), basados en el ciclo Deming (Plan, Do, Check, Act). Estos sistemas de gerencia modelos, tienen impacto en la cultura organizacional, la estructura organizacional, los procesos, las polticas, los procedimientos y las instrucciones; no slo de personal relacionado con la gestin de la tecnologa de informacin, sino tambin con sus usuarios. En el Per, esto recin ha empezado desde hace pocos aos. En el Estado Peruano se inici la aplicacin de la NTP-ISO/IEC 12207:2004 Procesos del Ciclo de Vida del Software (INDECOPI, 2004) en Julio del 2006. Esta norma ya ha sido actualizada y ahora se tiene NTP-ISO/IEC 12207:2006 (INDECOPI, 2006). Adems se tiene la NTP-ISO/IEC 17799:2004 (INDECOPI, 2004), que si bien se titula Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin, en la prctica es una norma que regula los procesos y proyectos que se realizan en reas de gestin de infraestructura de tecnologas de informacin (comnmente llamadas Soporte Tcnico). A esto se suma las normas de control interno gubernamental para los sistemas informticos de Contralora General de la Repblica, que se tiene desde el ao 1998 (Contralora General de la Repblica, 1998) y que ha sido mejorada tenindose una actualizacin (Contralora General de la Repblica, 2006). En la actualidad, cuando se realiza auditorias informticas en entidades del Estado Peruano (a travs de Auditoria Interna, Auditoras Externas o Auditora General de la Repblica), se debera tener como objetivo de control, los establecidos en las normas de control interno de Contralora General de la Repblica, la NTP-ISO/IEC 12207:2006, la NTP-ISO/IEC 17799:2007, as como normas relativas a la tendencia de software pirata, transparencia, y elaboracin de planes estratgicos de informtica y planes operativos de informtica, entre otras. 6.9. METODOLOGA DE UNA AUDITORA DE SISTEMAS Y TI Existen algunas metodologas de Auditoras de Sistemas y TI y todas dependen de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin: o Estudio preliminar o Revisin y evaluacin de controles y seguridades o Examen detallado de reas criticas o Comunicacin de resultado Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente en control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, entrevistas con los principales funcionarios. Revisin y evaluacin de controles y seguridad: Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, revisin de procesos histricos (Backup), revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas crticas: Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace un estudio de anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de la carga del mismo, establecer los motivos, objetivos, alcance y recursos que usar, definir la metodologa de trabajo, la duracin de la auditoria. Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anterior analizado. Comunicacin de resultados: Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente: o Motivos de la auditora o Objetivos o Alcance o Estructura Orgnico Funcional del rea Informtica o Configuracin del Hardware y Software instalado o Control interno o Resultados de la Auditora Durante la realizacin del proyecto se utiliz una metodologa especfica, las cuales aseguran que se contemple la totalidad de los aspectos relevantes para cada componente de revisin. La relacin de metodologa utilizada y el alcance de las mismas se resumen a continuacin: o Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales, proyectos, sobre ampliacin de equipo, su actualizacin. o Solicitud de contratos de compra y mantenimiento de sistemas. o Solicitud de contratos y convenidos de respaldo. o Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria, archivos, unidades de entrada/salida, equipos perifricos y su seguridad. o Visita tcnica de comprobacin de seguridad fsica y lgica de las instalaciones del centro de cmputo. o Evaluacin tcnica del sistema electrnico y ambiental de los equipos del local. o Evaluacin de la informacin recopilada, obtencin de graficas o porcentajes de utilizacin de los equipos y su justificacin. En conclusin, en base a la revisin de la literatura sobre estndares internacionales de calidad relacionados a la gestin de la tecnologa de la informacin (COBIT, ISO/IEC 12207, ISO/IEC 17799, ISO/IEC 20000 (ITIL), PMBOK, ISO/IEC 27001, IEEE 1058-1998, ISO 9001:2000 e ISO 19011:2002), MoProSoft 1.3, y las normas relacionadas a la auditoria informtica en el Estado Peruano, se concluye que no existe una metodologa para la auditora integral de la gestin de la tecnologa de informacin. Los enfoques actuales estn basados sobre el proceso general de auditoria sumndoles las inclusiones no integradas de los diversos estndares de calidad internacional, o las normas vigentes para las entidades que son sujetas de evaluacin en una auditoria.