Capítulo 5. Propuesta de implantación de un área de auditoría en informática en un órgano legislativo

Tabla de contenidos

Propuesta de creación del área de auditoría informática
Objetivo
Justificación de la creación del área
Modificación a la normatividad existente
Estructura orgánica de la Subcontraloría de Auditoría
Misión, visión y funciones del área de Auditoría Informática.
Tipos de auditoría que realizará el área de Auditoría Informática.
Requerimientos para creación del área de Auditoria Informática
Requerimientos de hardware y software
Requerimientos de personal
Pasos a realizar para la implantación del área
Propuesta de mejor práctica
Justificación
Objetivo
Propuesta de herramienta CAAT

En este capítulo, una vez que ya se conoce la conformación de la H. Cámara de Diputados, mostramos la formación general de su Órgano de Control Interno y cómo encaja la Subcontraloría de Auditoría dentro de este Órgano Legislativo, se detallan las posibilidades en cuanto a mejores prácticas, certificaciones, técnicas de auditoría y herramientas automatizadas y del análisis a cada uno de ellos, de acuerdo a lo anterior se dan a conocer los resultados a los que se llega en el desarrollo de este informe de seminario de titulación.

Derivado del estudio de costo beneficio y de factibilidad, así como del análisis de las consecuencias y riesgos a los que se enfrentará el área al implantar esta área, así como de cuáles serían las consecuencias de seguir con la estructura y funciones, misma que se realiza para darle a los Mandos Medios y Superiores de la Contraloría Interna una visión a futuro de las mejoras que traería consigo la adaptación de esta propuesta, benéficas para este Órgano de Control Interno así como de estar a la vanguardia en las nuevas tendencias de auditoría en informática actuales, y con ello brindarle a la ciudadanía una mejor rendición de cuentas.

Así, en este capítulo, brindamos las bases y una guía completamente práctica del cómo y porqué es recomendable contar con un área o las funciones encaminadas a realizar auditorías en informática dentro de este Órgano, desde la óptica de las nuevas tendencias mundiales de auditoría y tratando de dar cumplimiento a las recientes Leyes de Transparencia y Acceso a la Información Pública Gubernamental.

Propuesta de creación del área de auditoría informática

Nuestro informe de seminario concretamente propone la implantación de un área de auditoría en informática dentro de la Subcontraloría de Auditoría de la H. Cámara de Diputados. Lo anterior, lo fundamos a lo largo de este informe, los principales motivos son:

  1. Implantar esta área dentro del Órgano de Control Interno traerá consigo la innovación de la Subcontraloría de Auditoría para cubrir las funciones de una parte de la Cámara de Diputados que actualmente no es auditada, la Dirección General de Tecnologías de Información;

  2. La eficiencia, eficacia y calidad de las auditorías que se realizan en el órgano se verán beneficiadas por la capacitación adecuada del personal y la consecuente automatización de procedimientos, que dejarán de ser tradicionales para estar a la vanguardia.

  3. El crecimiento constante de la Dirección General de Tecnologías de Información eventualmente obligará a la Subcontraloría de Auditoría a implantar procedimientos para auditarla, es por ello que será benéfico aplicar estos procedimientos antes de ser rebasados en un futuro por esta problemática, es decir tomas medidas preventivas antes de afrontar una contingencia seria en la Cámara de Diputados.

Por lo anterior, en los siguientes puntos detallamos la propuesta específica que contempla cuales serían las actualizaciones más adecuadas para lograr este objetivo, comenzando por proponer los cambios pertinentes en la normatividad actual, cuál sería su nueva estructura orgánica, proponemos las nuevas funciones del área de auditoría en informática de acuerdo a las nuevas tendencias de la auditoría en Tecnologías de Información mundiales; asimismo, de entre las diferentes herramientas y técnicas de auditoría en informática, seleccionamos aquellas que resultarían más convenientes de acuerdo a las características específicas de la Subcontraloría de Auditoría así como de la Dirección General de Tecnologías de Información, tomando en cuanta su tamaño, su capacidad y tecnología actual.

Objetivo

Evaluar el desempeño de los sistemas informáticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la Información así como un elevado nivel de seguridad.

Realizar auditorías operacionales, integrales, especiales y de cumplimiento al área de sistemas, ayudando en la gestión de control de la Auditoría Interna y buscando las áreas de oportunidad.

  1. Evaluar los controles establecidos para proteger los bienes institucionales, referente al manejo hardware, software y valores.

  2. Proporcionar al Órgano Legislativo, un conocimiento de la situación informática real del área de Sistemas.

  3. Realizar auditorías operacionales, integrales, especiales y de cumplimiento a aquellas áreas administrativas y Grupos Parlamentarios que así lo requieran.

El Área de Auditoría Informática, como parte de la SubContraloría de la H. Cámara de Diputados tendrá como misión y visión, los que a continuación se describe:

Justificación de la creación del área

Es bien sabido que actualmente existe la necesidad de crear un ámbito de seguridad en cualquier organización, debido al aumento de casos internacionales de fraudes tanto contables como informáticos, como ya se mencionó anteriormente el activo más valioso de casi cualquier organización actualmente es precisamente la información, este es el caso de la Cámara de Diputados.

En base a los análisis realizados, se propone la creación de un área de Auditoría Informática que proporcione seguridad y control en el ámbito tecnológico, misma que deberá promover elevar la cultura informática tanto dentro de la Subcontraloría de Auditoría, como en el resto de la Cámara de Diputados. Esta área deberá estar encargada de constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la información y prevean las posibles contingencias en cuanto a la seguridad de la información que se maneja en este órgano, misma que por definición es muy delicada, asimismo que regule la gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del área de sistemas de esta Institución mediante las auditorías correspondientes.

Adicionalmente, esta área deberá contar con las actualizaciones sobre las regulaciones de la seguridad informática, mejores prácticas para aplicarlas a esta Institución, así como de las nuevas técnicas de auditoría en informática ya sean manuales o asistidas por computadora, apoyados en profesionales capacitados para mantener sistemas informáticos seguros, confiables y confidenciales, que eviten y prevengan la ocurrencia de situaciones de riesgo derivadas de las actuales debilidades en los sistemas de control.

Modificación a la normatividad existente

La normatividad que propone ser modificada comienza a nivel del Manual de Organización General de la Cámara de Diputados que en Capítulo 1, Descripción del órgano legislativo y de su organo interno de control se menciona textualmente, dentro del objetivo que ahí se plasma, deberá cambiar de la siguiente forma:

Importante

Vigilar que las operaciones de la Cámara de Diputados se realicen con apego a los programas y procedimientos establecidos de conformidad a la normatividad aplicable, verificando que el manejo y aplicación de los recursos financieros, humanos, materiales y tecnológicos se lleven a cabo de acuerdo con las disposiciones presupuestales en el Presupuesto de Egresos de la Federación.

Adicionalmente, en el Manual de Organización de la Contraloría General el texto propuesto es el siguiente:

Importante

Establecer los mecanismos de fiscalización, control, auditoría y evaluación para supervisar el funcionamiento de las unidades administrativas dentro de su campo de acción, así como realizar las recomendaciones necesarias orientadas a mejorar los procedimientos administrativos que emplean las áreas, con el propósito de que éstas cumplan con los ordenamientos legales aplicables y así lograr el óptimo aprovechamiento de los recursos financieros, humanos, materiales y tecnológicos de los que dispone la Cámara.

Estructura orgánica de la Subcontraloría de Auditoría

La reestructuración de la Subcontraloría de Auditoría no estará completa si no contempla una modificación a su estructura orgánica que incluya un área que se dedique a realizar las funciones propias de la auditoría en informática, como se puede apreciar en la Figura 1.3, “Estructura orgánica de la Contraloría Interna de la Cámara de Diputados”, los puestos de la Subdirección hacia abajo son genéricos, lo que redunda en confusiones en los tramos de control y funciones, por ello y para acabar con esta problemática, además de incluir esta nueva área se propone que el Organigráma de la Subcontraloría detalle los nombres específicos de los puestos.

La nueva estructura orgánica de la Subcontraloría de Auditoría deberá establecerse como se indica en la Figura 5.1, “Nueva estructura orgánica para la Subcontraloría de Auditoría”.

Figura 5.1. Nueva estructura orgánica para la Subcontraloría de Auditoría

Nueva estructura orgánica para la Subcontraloría de Auditoría

Misión, visión y funciones del área de Auditoría Informática.

En esta parte del capitulo, serán presentadas las funciones que deberá realizar el Área de Auditoría Informática, como parte de la Subcontraloría de la H. Cámara de Diputados; mismas que han sido definidas para la realización de auditorias internas dentro de éste Órgano Legislativo.

Misión. Brindar a través de las auditorías, la información suficiente y competente, que permita la implementación de controles para una mejora continua que ayude a la prevención de delitos informáticos.

Visión. Consolidar el Área de Auditor í a Informática, como un área que pueda prever apoyo y asesoría a la H. Cámara de Diputados, para el cumplimiento de sus metas institucionales.

Funciones. El área de Auditoría Informática deberá realizar las actividades correspondientes a la verificación de los controles internos establecidos en el área de Sistemas así como estudios de seguridad física y lógica; análisis de los riesgos a que está expuesta la información y los equipos y la elaboración de documentación que en las auditorías sea requerida. Además deberá promover elevar la cultura informática tanto dentro de la Subcontraloría de Auditoría, como en el resto de la Cámara de Diputados, constatar que se sigan procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos, garanticen la seguridad de la información y prevean las posibles contingencias en cuanto a la seguridad de la información que se maneja en este órgano, misma que por definición es muy delicada, asimismo que regule la gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto funcionamiento del área de sistemas de esta Institución mediante las auditorías correspondientes.

A continuación se listan las funciones principales que esta área, deberá llevar a cabo.

  1. Elaboración de planes de trabajo para llevar a cabo auditorías en informática y el desarrollo de actividades apropiadas que permitan maximizar la eficacia del área de sistemas.

  2. Elaboración de cuestionarios, encuestas, matrices y herramientas que ayuden al levantamiento de la información para el debido desarrollo de las auditorías.

  3. Implementación de los planes de trabajo llevando un control de las actividades a realizar en tiempos estimados reales.

  4. Evaluación de sistemas, procedimientos y equipos de cómputo.

  5. Verificar que los activos, estén debidamente controlados y salvaguardados contra pérdida y mal uso.

  6. Evaluar los resultados de los programas operativos que realice el área de Sistemas para conocer eficiencia y efectividad con que se han utilizado los recursos.

  7. Comprobar el cumplimiento de mandatos constitucionales, legales y reglamentarios, políticas, planes y acuerdos normativos que rigen a la Institución.

  8. Realizar auditorías y estudios especiales de acuerdo con programas y especiales debidamente respaldados por las Normas para el ejercicio profesional de la Auditoría Interna.

  9. Evaluar la problemática del área de Sistemas a través de un pre-análisis de la situación del área, para la determinación de las principales necesidades de ésta.

  10. Comunicar los resultados y recomendaciones que resulten de sus evaluaciones, mediante los informes de auditoría.

  11. Comprobar que el área de Sistemas ha tomado las medidas correctivas de los informes de la Auditoría Interna así como de las omisiones que al respecto se verifiquen en el seguimiento de informes.

  12. Evaluación de los controles de seguridades lógicas y físicas que garanticen la integridad, confidencialidad y disponibilidad de los datos de esta institución.

  13. Constatar que el área de sistemas se riga por los procedimientos más adecuados para garantizar el adecuado funcionamiento de la red de trabajo.

  14. Evaluación de los riegos y controles establecidos para la búsqueda e identificación de debilidades, así como de las áreas de oportunidad

  15. Evaluar la existencia de políticas[47], objetivos[48], normas[49], metodologías[50], así como la asignación de tareas y adecuada administración[51] de los recursos, humanos e informáticos.

  16. Generar el Archivo de Papeles de Trabajo con la documentación las auditorías realizadas.

Tipos de auditoría que realizará el área de Auditoría Informática.

  1. Auditoría a Sistemas de Información,

  2. Auditoría a las Comunicaciones,

  3. Auditoría a la Red Física, y

  4. Auditoría a la Red Lógica.

Metodología para la realización de auditorías informáticas

Para la realización especifica de auditorías en informática se propone también se propone una metodología especifica, misma que se menciona a continuación:

  • Conocimiento general del área de sistemas

    • Organigrama

    • Estructura del área o departamento

    • Relaciones funcionales y jerárquicas

    • Recursos (equipos con los que se cuenta)

    • Aplicaciones en desarrollo

    • Aplicaciones en producción

    • Sistemas de explotación

  • Planificación

    • Concentración de objetivos

    • Definición de objetivos y alcances

    • Personas de la organización que se involucrarán en el proceso de auditoría

    • Plan de trabajo

      • Tareas

      • Calendario

      • Resultados parciales

      • Presupuesto

  • Desarrollo de la auditoría

    • Entrevistas

    • Cuestionarios

    • Observación de las situaciones deficientes

    • Observación de los procedimientos

  • Fase de diagnóstico

    • Definición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejora

  • Presentación de conclusiones

    • Integración de soporte documental

    • Formulación de cédulas de observaciones y papeles de trabajo

    • Informe final

  • Formación del plan de mejoras

    • Resumen de las deficiencias encontradas

    • Recogerá las recomendaciones encaminadas a paliar las deficiencias detectadas

    • Medidas a corto plazo: mejoras en plazo, calidad, planificación o formación

    • Medidas a medio plazo: mayor necesidad de recursos, optimización de programas o documentación y aspectos de diseño

    • Medidas a largo plazo: cambios en políticas, medios y estructuras del servicio

    • Seguimiento de cumplimiento de recomendaciones

Guía de auditoría

Existirán tantas guías de auditoría como procedimientos se realicen, sin embargo, a manera de ejemplo, se presenta la siguiente guía como propuesta de las subsecuentes:

Unidad administrativa Objetivos
Punto de revisión Aspectos a revisar
  
Objetivo general: Verificar que la seguridad física y lógica en la red de la H. Cámara de Diputados que maneja la Dirección General de Tecnologías de Información.
  Actividades:
Dirección General de Tecnologías de Información 1.- Conocimiento general de la Dirección General de Tecnologías de Información a fin de conocer sus instalaciones, tamaño, condiciones de trabajo, software, hardware, estructura, etc.
  2.- Definición de objetivos y alcances de auditoría claros y bien delimitados de acuerdo a la magnitud del área a revisar.
  3.- Realización de Gráfica de GANTT para planeación de actividades y tiempos estimados de inicio y término de auditoría.
  4.- Preparación del formato de oficio de presentación.
  5.- Preparación del cuestionario de control interno y demás material de apoyo.
  6.- Conocimiento previo de los manuales de procedimientos, manuales de organización, planes de contingencia, recuperación, lineamientos, políticas, normas, reglamentos, procedimientos, etc., existentes en el área.
  7.- Preparación de pruebas de cumplimiento, para la realización de pruebas generales y específicas a fin de cubrir el alcance de la revisión.
  8.- Preparación del material de apoyo, formato de cédulas de marcas, guía de auditoría, cuestionario, check list, formato de papeles de trabajo, cédulas de observaciones, etc.
  9.- Aplicación del oficio de presentación.
  10.- Plática con el equipo, para determinar el desarrollo de la auditoría y actividades a realizar.
  11.- Levantamiento de la información. Aplicación de técnicas de auditoría y material de apoyo previamente diseñado para la obtención de información.
  12.- Análisis de la información.- Detección de debilidades de control, identificación de observaciones por medio del análisis de la información recabada. Así como determinación de causas e impactos.
  13.- Integración de Papeles de trabajo.- Apoyados en las pruebas necesarias, como son los cuestionarios, fotografías o cualquier tipo de constancia de hechos.
  14.- Confirmación de observaciones.- Verificar que las observaciones están fundamentadas y que se cuenta con la evidencia suficiente para presentar las observaciones levantadas.
  15.- Identificación de niveles de riesgo.- Por medio del análisis de la información de cada una de las observaciones, se le asocia un nivel de riesgo; inminente, potencial o controlable.
  16.- Consolidación de niveles de riesgo.- Agrupación de observaciones comunes, con objeto de determinar las debilidades y sugerencias de forma general.
  17.- Elaboración del informe final.
  18.- Actividades finales de papeles de trabajo.

Requerimientos para creación del área de Auditoria Informática

Dados los antecedentes con los que contamos sobre la estructura de la Subcontraloría Auditoría de la H. Cámara de Diputados, su conformación y los activos informáticos con los que cuenta, a continuación realizamos la propuesta de los requerimientos que serán necesarios para el funcionamiento de la nueva área.

Requerimientos de hardware y software

En este apartado proponemos la herramienta y el equipo que será necesario para la implantación de esta nueva área. Los factores relevantes para la determinación de la adquisición de estos activos son los siguientes:

  • Proveedor CYNTHUS

  • Herramienta DELOS

  • Mejor Practica COBIT

  • Precio $26000 dls (herramienta y mejor práctica)

  • Cantidad de equipos existentes 18 PC

  • Cantidad de equipos necesarios 6 laptop adicionales

  • Características de equipos modelo Pentium 4

  • Equipos auxiliares SQL Server

Requerimientos de personal

Puestos Plazas Experiencia en el puesto Capacitación requerida Horas de capacitación
Dirección General 1 5 B 24
Subdirección 1 3 B 24
Jefe de Departamento 1 2 C 24
Auditores 1 5 C 24

Claves

Tipo de capacitación Requerida

  1. Principiante

  2. Intermedio

  3. Avanzado

Pasos a realizar para la implantación del área

Derivado de este informe, se determina que los pasos más recomendables para la implantación del área de auditoría en informática son los siguientes:

  1. Presentar la propuesta al Comité de Administración para la implantación del área de auditoría en informática.

  2. Revisión de la propuesta para la implantación del área.

  3. Aprobación de la propuesta.

  4. Modificaciones a la estructura orgánica y normatividad pertinente.

  5. Solicitud de recursos para infraestructura, personal, software y/o capacitación.

  6. Remodelación de áreas.

  7. Contratación y/o capacitación de personal.

  8. Adquisición de equipo de hardware.

  9. Adquisición de software especializado.

  10. Inclusión de la(s) auditoría(s) en el PACA.

  11. Aplicación de la metodología para las revisiones al área de sistemas.