Planeación de la auditoría

Fases de la auditoría Informática.

La práctica de la Auditoria se divide en tres fases:

1. Planeación y programación
2. Ejecución de la Auditoría
3. Informe y Plan de Acción

Planeación y programación

En esta fase se establecen las relaciones entre auditores y la entidad, es el conocimiento global de la empresa  por parte del auditor en donde se determina el alcance y objetivos. Se hace un bosquejo de la situación de la entidad, acerca de su organización, sistema contable, controles internos, estrategias, metodologías y demás elementos que le permitan al auditor elaborar el programa de auditoria que se llevará a efecto.

Ejecución de la Auditoría

El objetivo de esta etapa es obtener y analizar toda la información del proceso que se audita, con la finalidad de obtener evidencia suficiente, competente y relevante, es decir, contar con todos los elementos que le aseguren al auditor el establecimiento de conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno, que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo y, en base a estos análisis, generar y fundamentar las recomendaciones que debería acoger la Administración.

Informe y Plan de Acción

Es el resultado de la información, estudios, investigación y análisis efectuados por los auditores durante la realización de una auditoría, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en relación con los objetivos fijados, señalan las debilidades de control interno, si las ha habido, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.

(Loza, 2013)

Elementos de la planeación de la auditoría en informática

Como todo proyecto implantado dentro de una organización, el proyecto de auditoría informática debe iniciar con una fase de planeación en la cual participen todas las áreas de la organización para identificar los recursos necesarios que permitirán llevar a cabo este proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, análisis costo/beneficio, personal humano que intervendrá en el proyecto, marco de referencia de Auditoría Informática que se va a utilizar, basándose en varios objetivos fundamentales que son:

•  Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo 
• Evaluación del proceso de datos

 Referencia

Loza, S. (2013). Auditoria. Obtenido de http://sofia-loza.blogspot.mx/2013/04/fases-de-auditoria-la-practica-de-la.html

Políticas de la Organización

Política Organizacional

Es la orientación o directriz que debe ser divulgada, entendida y acatada por todos los miembros de la organización, en ella se contemplan las normas y responsabilidades de cada área de la organización. Las políticas son guías para orientar la acción; son lineamientos generales a observar en la toma de decisiones, sobre algún problema que se repite una y otra vez dentro de una organización. En este sentido, las políticas son criterios generales de ejecución que complementan el logro de los objetivos y facilitan la implementación de las estrategias. Las políticas deben ser dictadas desde el nivel jerárquico más alto de la empresa.

Normas

Son reglas específicas que se deben seguir o a que se deben ajustar las conductas, tareas, o actividades en una organización para poder llevar a cabo el cumplimiento de una política organizacional. Cabe destacar que forman parte del contenido de las políticas organizacionales.

Tipos de políticas

Generales; son las que aplica a todos los niveles de la organización, son de alto impacto o criticidad, por ejemplo: políticas de presupuesto, políticas de compensación, política de la calidad, política de seguridad integral, entre otras.

Específicas; son las que aplican a determinados procesos, están delimitadas por su alcance, por ejemplo: política de ventas, política de compras, política de seguridad informática, políticas de inventario, entre otras.

Metodología recomendada

•  Fase I: Diseño y desarrollo de la política, en la cual se contempla desde la necesidad, definición, hasta su redacción.
• Fase II: Validación y aprobación de la política, se procede a realizar las revisiones y ajustes requeridos, para su posterior aprobación por parte de los involucrados.
• Fase III: Divulgación a todos los niveles de la organización, consiste en formalizar a todos los miembros de la organización la vigencia y aplicación de la misma.
• Fase IV: Mantenimiento de la política en cuanto a cumplimiento y vigencia, se refiere a los ajustes o actualizaciones que requiera dicho instrumento, se recomienda hacer revisiones y/o actualizaciones al menos una vez por año.

 Torres, M. G. (1996). Manual para elaborar manuales de políticas y procedimientos.

Auditoría

Decir que la auditoria es una evaluación cuyo fin es detectar errores y señalas fallas es una forma incorrecta de definir la auditoria.

La auditoria no solo detecta errores, es un examen crítico que se realiza con el objetivo de evaluar la eficiencia de una sección o de un organismo y determinar cursos alternativos de acción para mejorar la organización.

El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico, que es el de evaluar la eficiencia y eficacia con que está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomes decisiones que permitan corregir los errores, en caso de que existan o bien mejorar la forma de actuar.

El Boletin C de normas de auditoria del Instituto Mexicano de Contadores nos dice:

La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben se seguirse y estimar los resultados obtenidos.

Auditoría informática

Definición de Ron Weber en Auditing Conceptual Foundations and Practice sobre la auditoria informática:

Es una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en forma eficaz y eficiente.

Mientras que la definición de Mair William es la siguiente:

Auditoria en informática es la verificación de los controles en las siguientes tres áreas de la organización (informática):

·         Aplicaciones (programas de producción).

·         Desarrollo de sistemas.

·         Instalación del centro de procesos.

Los factores que pueden influir en una organización a través del control y la auditoría en informática son:

•       Necesidad de controlar el uso evolucionado de las computadoras.
•       Controlar el uso de la computadora, que cada día se vuelve más importante y costosa.
•     Los altos costos que producen los errores en una organización.
•  Abusos en las computadoras.
• Posibilidad de pérdida de capacidades de procesamiento de datos.
•  Posibilidad de decisiones incorrectas.
• Valor de hardware, software y personal.
•  Necesidad de mantener la privacidad individual.
• Posibilidad de pérdida de la información o de mal uso de la misma.
•  Toma de decisiones incorrectas.
• Necesidad de mantener la privacidad de la organización.

La auditoría en informática deberá comprender no solo la evaluación de los equipos de cómputo o de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, comunicación y controles, archivos, seguridad, personal (desarrollador, operador, usuarios) y obtención de información. 

García, J. A. (2000). Auditoría en Informática. McGraw-Hill.

Moprosoft

Espero que este video les ayude a comprender qué es moprosoft

Técnicas de estimación

La estimación del costo y del esfuerzo del software nunca será una ciencia exacta. Son demasiadas variables -humanas, técnicas, de entorno, políticas- que pueden afectar el costo final del software y del esfuerzo aplicado para desarrollarlo. 

Puntos de casos de uso

Este método de estimación de proyectos de software fue desarrollado en 1993 por Gustav Karner de Rational Software y está basado en una metodología orientada a  objetos, dándole el nombre de “estimación de esfuerzos con casos de uso”.

Surgió como una mejora al método de puntos de función pero basando las estimaciones en el modelo de casos de uso, producto del análisis de requerimientos.

El objetivo de la técnica 

Estimar las horas necesarias para ejecutar un conjunto de casos de uso. Es decir,  necesitamos predecir cuánto tiempo llevará el desarrollo de software y cuántas personas  se requieren para realizarlo.

Puntos de función

Es un método utilizado en ingeniería del software para medir el tamaño del software. Fue definida por Allan Albrecht, de IBM, en 1979 ("Measuring Application Development Productivity") y pretende medir la funcionalidad entregada al usuario independientemente de la tecnología utilizada para la construcción y explotación del software, y también ser útil en cualquiera de las fases de vida del software, desde el diseño inicial hasta la implementación y mantenimiento.

En general este es un tema un poco extenso, pero no complejo, algo que me gustaría resaltar es cómo podemos medir la productividad de un equipo, eh aquí la fórmula:

Productividad del equipo = Tamaño de la aplicación / esfuerzo total

Despejando tendremos:

Esfuerzo total = tamaño de la aplicación * productividad del equipo.

 

Además de la estimación del tamaño, el presupuesto y duración del proyecto.

CMMI

¿Qué es CMMI?

CMMI (Capability Maturity Model Integration) es un marco probado en la industria para mejorar la calidad del producto y la eficiencia del desarrollo de hardware y software. 
Patrocinado por el Departamento de Defensa de EE.UU., en cooperación con la Universidad de Carnegie Mellon y el Instituto de Ingeniería de Software (SEI). 
Muchas empresas han participado en la definición de CMMI, como Motorola y Ericsson .
CMMI se ha establecido como un modelo para mejorar los resultados del negocio.
CMMI,, utiliza 5 niveles para describir la madurez de la organización, al igual que predecesor CMM. 
Versión ampliamente mejorada del CMM.

El énfasis en las necesidades del negocio, la integración e institucionalización.

 

Modelos CMMI 

• Ingeniería de Sistemas + Ingeniería de Software (SE / SW) 
• Ingeniería de Sistemas Ingeniería de Software + + Integrado de Productos y Desarrollo de Procesos (IPPD) 
• Ingeniería de Sistemas Ingeniería de Software + + Integrado de Productos y Desarrollo de Procesos + de Proveedores (SS) 
• Sólo Ingeniería de Software.