ACTUALIZACIÓN A LAS GUÍAS DE AUDITORÍA ELABORADAS PARA EL DESARROLLO DE APLICACIONES Y CONTROL DE CAMBIOS DE LOS SISTEMAS DE INFORMACIÓN EN LA EMPRESA DIGITALWARE LTDA
Dinaluz Fontecha Guzmán
Universidad Católica de Colombia Facultad de Ingeniería
Programa de Especialización de Auditoria de Sistemas de Información Presencial
Bogotá D.C., Colombia 2016
DESARROLLO DE APLICACIONES Y CONTROL DE CAMBIOS DE LOS SISTEMAS DE INFORMACIÓN EN LA EMPRESA DIGITALWARE LTDA
Dinaluz Fontecha Guzmán
Tesis presentada como requisito parcial para optar al título de: Especialista en Auditoria de Sistemas de Información
Director (a): Ingeniero John Velandia
Universidad Católica de Colombia Facultad de Ingeniería
Programa de Especialización de Auditoria de Sistemas de Información Presencial
Bogotá D.C., Colombia 2016
Nota de aceptación
Aprobado por el comité de grado
en cumplimiento de los requisitos
Exigidos por la Facultad de Ingeniería y la Universidad Católica de Colombia para optar al título de Especialista en Auditoria de sistemas de información. _________________________________ Presidente de Jurado _________________________________ Jurado 2 ________________________________ Jurado 3 Bogotá D. C. 11 de junio de 2016
DEDICATORIA
Dedico el presente trabajo de grado a mi familia la cual me ha apoyado de forma incondicional.
AGRADECIMIENTOS
Agradezco a Dios quien siempre ha sido mi guía espiritual que me guio en cada paso y me dio la fuerza para seguir adelante.
Al Ingeniero John Velandia por todo el acompañamiento brindado en cada una de las asesorías puntuales y oportunas que me ayudaron a orientar el desarrollo de esta investigación.
A mí amado esposo e hijo por su apoyo y comprensión incondicional porque siempre estuvieron a mi lado brindándome su fuerza.
Pág.
1. GENERALIDADES DEL TRABAJO DE GRADO ... 20
1.1 Línea de investigación ... 20
1.2 Planteamiento del problema... 20
1.2.1 Antecedentes del problema ... 21
1.2.2 Pregunta de investigación ... 22
1.3 Justificación ... 22
1.4 Formulación del Problema ... 23
1.5 Objetivos ... 24 1.5.1. Objetivo General ... 24 1.5.2. Objetivos Específicos ... 24 2. Alcances y limitaciones ... 25 3. Metodología ... 26 4. Marco referencial ... 30 5. Definición de Variables ... 45 5.1. Planear ... 45 5.2. Hacer ... 47 5.3. Verificar ... 50 5.4. Actuar ... 53 1.5.3. Desarrollo de aplicaciones ... 56 5.5.3. Calidad ... 58 5.5.4. Pruebas ... 58 5.5.5. Versiones ... 59
6. Diseño para la actualización de las guías de auditoría ... 61
6.1. Planear ... 61
6.1.1. Identificación de los estándares ... 61
6.2. Hacer ... 62
6.2.1. Estándar ISACA 2204 Materialidad ... 62
6.2.4. Estandar ITIL ... 70
6.3. Verificar ... 88
6.4. Actuar ... 88
7. Evaluación de las guías de auditoría ... 90
7.2. Definición del Muestreo ... 96
Aplicada la formula se obtienen los siguientes resultados ... 96
Tabla 4-7: Resultado formula de muestreo ... 96
10. Referencias... 106 11. ANEXOS ………109
Lista de figuras
Pág.
Figura 1: Etapas del desarrollo ... 10
Figura 2: Resultado encuesta tema Calidad ... 62
Figura 3: Resultado encuesta tema Control de cambios ... 63
Figura 4: Resultado encuesta tema Desarrollo de aplicaciones ... 64
Figura 5: Resultados encuesta desarrollo de aplicaciones1 ... 64
Figura 6 Resultados encuesta desarrollo de aplicaciones2 ... 65
Lista de tablas
Pág.
Tabla 1-1: Información Guías de Auditoria 29
Tabla 1-2: Procesos Guía Sistema de información Recursos Humanos 30
Tabla 1-3: Procesos Guía Sistema de información Financiera 30
Tabla 1-4: Procesos Guía Sistema de información Hospitalaria 31
Tabla 2-1: Comparativo variables y procesos Guía Auditoria Recursos Humanos 44
Tabla 2-2: Comparativo variables y procesos Guía Auditoría Financiera 45
Tabla 2-3: Comparativo variables y procesos Guía Auditoria Hospitalario 45
Tabla 2-4: Criterios para seleccionar variables 46
Tabla 2-6: Aplicación de Criterios Sistema Información Financiero 48
Tabla 2-7: Aplicación de Criterios Sistema Información Hospitalario 48
Tabla 2-8: Verificación criterios Sistema Información Recursos Humanos 49
Tabla 2-9: Verificación criterios Sistema de Información Financiero 50
Tabla 2-10: Verificación criterios Sistema Información Hospitalario 51
Tabla 2-11: Clasificación variables sistema Información Recursos Humanos 52
Tabla 2-12: Clasificación variables sistema Información Financiero 52
Tabla 2-13: Clasificación variables sistema Información Hospitalario 53
Tabla 3-1: Factores Estándar Materialidad 63
Tabla 3-2: Factores Estándar Cobit 67
Tabla 3-4: Actividades relacionadas a los Procesos en ITIL 71
Tabla 3-5: Factores para la aplicación de las encuestas 74
Tabla 3-6: Criterios para evaluar las encuestas 77
Tabla 3-7: Criterios para aplicar el Check list 77
Tabla 3-8: Diseño de las encuestas 79
Tabla 3-9: Diseño para Check list 83
Tabla 4-1: Contenido Guía Sistema información Recursos Humanos 85
Tabla 4-2 Subprocesos Guía Sistema Información Recursos Humanos 85
Tabla 4-3: Contenido Guía Sistema información Financiero 86
Tabla 4-4: Subprocesos Guía Sistema Información Financiero 87
Tabla 4-6: Subprocesos Guía Sistema Información Hospitalario 89
Tabla 4-7: Resultado formula de muestreo 90
Resumen
Las Guías de Auditoria para el desarrollo de aplicaciones y el control de cambios en los sistemas de información utilizada por el área de calidad, permite orientar el proceso de Auditoria en la empresa Digitalware Ltda con el propósito de obtener resultados oportunos y eficientes para las áreas usuarias que permitan a la Gerencia la toma decisiones.
Las Guías actuales permiten evaluar y revisar los puntos relevantes en el desarrollo de aplicaciones y control de cambios para los Sistemas de Información Recursos Humanos, Financiero y Hospitalario, basados en la Calidad como fuente principal de negocio encaminados a ofrecer un producto desarrollado con las políticas, procedimientos y requerimientos tanto externos como internos.
El área de Calidad como responsable de la Guías de Auditoria vio la necesidad de revisar y actualizar las Guías de acuerdo a cada Sistema de Información, con el fin de evaluar su cumplimiento, aplicabilidad y verificar su ámbito de actuación de acuerdo a las necesidades de la empresa.
Esta Investigación está enfocada en la identificación, evaluación de las variables contempladas para cada Guía, evaluar su contenido, y si es necesario elaborar una nueva Guía acorde al versionamiento de cada Sistema de Información y a las necesidades de la
empresa, La guía propuesta incluye la identificación de nuevas variables, así como la medición de subprocesos y un nuevo diseño que se familiarice con las versiones de cada sistema de información y de fácil uso.
Abstract
The audit guidelines for application development and control of changes in the information systems used by the area of quality, can guide the audit process in the company DigitalWare Ltda order to obtain timely results and efficient for air users to enable the management decision making.
Current guidelines to assess and review the relevant points in the application development and change control for Information Systems Human Resources, Financial and Hospital, based on quality as the main source of business aimed at providing a product developed with policies, procedures and external and internal requirements
The area Quality responsible for the audit guidelines saw the need to review and update the Guidelines according to each information system in order to evaluate its performance, applicability and verify its scope according to the needs of the company.
This research is focused on the identification, evaluation of the variables considered for each guide, evaluate the contents, and if necessary develop a new guide according to the versioning of each information system and the needs of the company, proposed guide includes identification new variables and measurement of threads and a new design that is familiar with the versions of each system and user information.
Introducción
El presente proyecto de grado, propone realizar una investigación para identificar los riesgos o fallas que se pueden detectar en la elaboración y construcción de las guías de auditoría para el desarrollo y control de cambios de los sistemas de información, logrando establecer recomendaciones que garanticen la calidad en las guías elaboradas previamente por el área con el fin de validar que cumplan con los estándares establecidos dando cumplimiento a los objetivos de la entidad, permitiendo a la empresa Digitalware Ltda apoyar la gestión de operaciones hacia y desde los clientes que son su parte importante del negocio con el fin de ofrecerles unos buenos sistemas de información estable y crezca con los cambios de la tecnología.
La actualización de estas guías estará enfocada a los sistemas de información para la empresa Digitalware Ltda y todos los cambios que puedan ser actualizados o modificados en sus aplicaciones acorde con los estándares de calidad exigidos por el mercado, los cuales deben garantizar la disponibilidad y confiabilidad de todas sus aplicaciones en funcionamiento.
Para el logro de estos objetivos se contó con personal capacitado y con amplia experiencia en el desarrollo y conocimiento de los sistemas de información los cuales
permitieron tener de primera mano las funcionalidades de los diferentes sistemas permitiendo tener disponible la información concerniente a las guías de auditoría.
1. GENERALIDADES DEL TRABAJO DE GRADO
1.1 Línea de investigación
Por el contexto problemático en el que se desarrolla este trabajo de investigación suscrito alrededor de la necesidad que se presenta en Digitalware durante la implementación de las guías de auditoría elaboradas para el desarrollo de software y el control de cambios de los sistemas de información de la empresa, la anterior temática se relaciona con la línea de “software inteligente y convergencia tecnológica” avalada por la Universidad Católica de Colombia, toda vez que al realizar este estudio permitirá evaluar e identificar las variables que posibiliten tomar acciones correctivas y preventivas en el ámbito tecnológico y financiero para buscar mejoras para satisfacer los clientes y lograr un mejor posicionamiento de la empresa.
1.2 Planteamiento del problema
El desarrollo y avance tecnológico ha ido de la mano con los cambios que suceden en el entorno de negocio, lo que origina una oportunidad y una necesidad de adaptación de las organizaciones a dicho cambio, el crecimiento de la empresa Digitalware Ltda, ha traído cambios en los sistemas de información que maneja a través de sus desarrollos internos y el control de cambios que generan sus clientes para sus productos de Software que afectan el ámbito financiero el cual es cambiante cada año por eso se hace necesario realizar una evolución periódica a sus aplicaciones financieras y de recursos humanos para que estén acordes y a la vanguardia de la tecnología y a los cambios presentados a los procesos de
alto impacto que afectan la operación y que necesitan ser adaptados a los diferentes negocios de sus clientes.
El equipo interno de calidad de procesos desarrolló unas guías de auditoría que tienen como objeto verificar el desarrollo a los sistemas de información implementando controles de cambio a las aplicaciones existentes internas que son ofrecidos a sus clientes externos el objeto de estas guías es llevar los procesos de manera organizada, se ha evidenciado que las Guias no son funcionales y que no cubren todos los procesos y subprocesos que manejan cada Sistema de información, ademas que se encuentran desactualizadas fueron creadas hace mas de tres años por lo cual ya no cubren las versiones actuales.
Por lo antes mencionado se evidencia la oportunidad de actualizar las guías de auditoría de los sistemas de información con los que cuenta la empresa Digitalware Ltda con el fin de proponer mejoras y cambios para que soporten los procesos que afectan sus Sistemas de Información y que forman parte del desarrollo y control de cambios del software.
1.2.1 Antecedentes del problema
Actualmente la empresa la tiene tres guías para cada uno de los sistemas de información Recursos Humanos, Financiero y Hospitalario, que desarrolla y administra, pero estas guías ya no son funcionalaes y se encuentran desactualizadas, por todo esto se hace necesario
realizar una actualización a las guías existentes y si es necesario sugerir un nuevo diseño de acuerdo a los hallazgos que se encuentren o se estimen al final del resultado.
Debido a la carencia de completitud en las guias de Auditoria se ha evidenciado que al ser aplicadas a los diferentes Sistemas de Información no cumplen con su objetivo de evaluación y control generando que se presenten errores en los procesos despues de realizadas las auditorias y que no se contemplen algunas pruebas primordiales para encontrar hallazgos y corregirlos antes de que estos se manifiesten en producción.
1.2.2 Pregunta de investigación
¿Cómo han sido elaboradas las guías para el desarrollo de aplicaciones y control de cambios en los sistemas de información en la empresa Digitalware Ltda.?
1.3 Justificación
Partiendo de la formulación del problema, y a lo determinado en la formulación del proceso de investigación este proyecto permite realizar un estudio, análisis y actualización de las guías de Auditoria para el desarrollo y control de cambios para las aplicaciones en los procesos establecidos por la empresa Digitalware Ltda para el buen manejo de los sistemas de información.
De esta manera el proyecto también servirá de insumo para preparar la organización para posteriores evaluaciones y auditorías tanto internas como externas y de insumo para la
actualización de sus procesos y el futuro desarrollo de más aplicaciones, lo cual resultaría beneficioso en gran medida para la imagen, posicionamiento, seguridad y cumplimiento de objetivos de la empresa.
Los resultados que se obtenga de esta investigación, ayudarán a mejorar la eficiencia y calidad en el desarrollo de software y control de cambios en la organización, quienes pueden utilizar dichos resultados para incorporarlos en futuros procesos a implementar y ejemplificar su aprendizaje frente a las necesidades empresariales actuales.
1.4 Formulación del Problema
El avance tecnológico ha ido de la mano con los cambios que suceden en el entorno del negocio afectando a las organizaciones, lo que origina la necesidad de realizar actualizaciones a los sistemas de información que vayan con la evolución global afectando los diferentes procesos y actividades enfocados hacia el objeto del negocio, apoyando el proceso de toma de decisiones, el cumplimiento de metas, estrategias y misión de la organización.
Sin embargo, el uso de tecnologías y de los sistemas de información enfrentan un problema que consiste en mantener actualizada la información es por esto que se evidencia la oportunidad de actualizar y si es necesario rediseñar las guías de auditoría para los tres sistemas de información que desarrolla y administra la empresa Digitalware Ltda, de
acuerdo a las versiones actuales y a los cambios presentados en las diferentes aplicaciones durante los últimos dos años.
1.5 Objetivos
1.5.1. Objetivo General
Actualizar las guías de auditoría elaboradas para el desarrollo y control de cambios de los sistemas de información en la empresa Digitalware Ltda.
1.5.2. Objetivos Específicos
Realizar un análisis de las variables en las guías de auditoría para el control de cambios de los sistemas de información.
Realizar el diseño para la evaluación de las guías de auditoría para los sistemas de información que desarrolla la empresa.
Realizar la actualización de las guías de auditoría a partir de las variables identificadas y las características establecidas en la empresa.
Alcances y limitaciones
• Verificar y actualizar las guías de auditoría para los sistemas de información que desarrolla la empresa Digitalware Ltda, mediante la metodología PDCA (ciclo de Deming) con el fin de determinar las variables y realizar un rediseño de las guías debido a que se encuentran desactualizadas.
• Dificultades en el acceso a documentación de uso exclusivo de la organización, requerida para el desarrollo del proyecto.
• Falta de cooperación de algunos empleados de la organización al suministrar información, requerida para el desarrollo del proyecto.
Metodología
El ciclo de Deming (de Edwards Deming), conocido como círculo PHVA planificar-hacer-verificar-actuar) es una estrategia de mejora continua de la calidad en cuatro pasos, es muy utilizado por los sistemas de gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la información (SGSI). (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización. (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
Figura 1. Etapas para el desarrollo de la Metodologia
Planear
Hacer
3.1. Planificar
En este ciclo se establecen las actividades del proceso, necesarias para obtener el resultado esperado. Al basar las acciones en el resultado esperado, la exactitud y cumplimiento de las especificaciones a lograr se convierten también en un elemento a mejorar. Cuando sea posible conviene realizar pruebas de preproducción o pruebas piloto para probar los posibles efectos. (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
Para el desarrollo de las actividades en este ciclo es necesario recopilar datos para profundizar en el conocimiento del proceso, detallar las especificaciones de los resultados esperados, definir las actividades necesarias para lograr el producto o servicio, verificando los requisitos especificados y establecer los objetivos y procesos necesarios para conseguir resultados necesarios de acuerdo con los requerimientos del cliente y las políticas organizacional. (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
3.2 Hacer
Para esta segunda etapa se ejecuta el plan estratégico, lo que contempla: organizar, dirigir, asignar recursos y supervisar la ejecución, mientras se recopilan datos para verificarlos y evaluarlos en las siguientes etapas. (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
Para este ciclo cuando se ha pasado un periodo previsto de antemano, los datos de control son recopilados y analizados, comparándolos con los requisitos especificados inicialmente, para saber si se han cumplido y, en su caso, evaluar si se ha producido la mejora esperada, se debe monitorear la implementación y evaluar el plan de ejecución documentando las conclusiones. (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
3.4. Actuar
Para esta Etapa con base en las conclusiones del paso anterior elegir una opción bien sea Si se han detectado errores parciales en el paso anterior, realizar un nuevo ciclo PHVA.
Si no se han detectado errores relevantes, aplicar a gran escala las modificaciones de los procesos.
Si se han detectado errores insalvables, abandonar las modificaciones de los procesos. (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
Finalmente se debe documentar el proceso y ofrecer una realimentación para la mejora en la fase de planificación, algunos expertos prefieren denominar este paso "Ajustar". Esto ayuda a las personas que se inician en el ciclo PHVA a comprender que el cuarto paso tiene que ver con la idea de cerrar el ciclo con la realimentación para acercar los resultados obtenidos a los objetivos. Además, no debe confundirse este paso "A" con el conjunto de
acciones (implementación) consecuencia del despliegue de los planes (que se desarrolla en el segundo paso, "D", de "hacer" o "llevar a cabo las Acciones"). (WE Deming, JN Medina, 1989, Guía práctica para lograr Calidad en el servicio, Editorial Grupo ISEF, p-38).
Marco referencial
4.1. Marco teórico
Digitalware Ltda es una Empresa del sector de tecnología especializada en software, con más de 23 años en el mercado, líder en diseño e implantación de soluciones empresariales en las áreas de RRHH, Finanzas, Logística, Manufactura, Seguridad, Petróleos, Energía, Cajas de Compensación, Gobierno, Educación y Salud, ganadora del Premio Portafolio a la Innovación. .(http://digitalware.com.co/index.php/nosotros-2).
Las guías de auditoría están compuestas por la siguiente información:
Tabla 1-1: Información Guías de Auditoria
Nombre del documento
Nombre del aplicativo que soportan Responsables Características técnicas Descripción Objetivo Desarrollada por Dependencia aplicada Vigencia Actividades Desarrollo de aplicaciones Control de cambios Calidad Pruebas Realizadas A que Versión pertenece
Actualmente la empresa cuenta con tres guías de auditoría una para cada aplicación, las cuales fueron realizadas por el departamento de calidad en el año 2003, por el jefe de Control de calidad, se diseñaron con base en los siguientes procesos.
Sistema de información Recursos Humanos, esta guía soporta los siguientes procesos
Tabla 1-2: Procesos Guía Sistema de información Recursos Humanos
PROCESOS AREAS RESPONSABLES
Administrador de Nomina
Recursos Humanos Jefe de Recursos Humanos Selección de personal Contratación Jefe de personal Contratación de
personal
Contratación Jefe de personal Bienestar de personal Bienestar Jefe de Recursos
Humanos
Sistema de información Financiera, esta guía soporta los siguientes procesos
Tabla 1-3: Procesos Guía Sistema de información Financiera
PROCESOS AREAS RESPONSABLES
Administrativos Financiera Gerente Financiero Financieros Tesorería Jefe de Tesorería Control Contabilidad Gerente Financiero Mantenimiento Financiera Gerente Financiero Comercial Comercial Gerente Comercial Manufactura Producción Gerente de producción Logística Producción Gerente de producción
Tabla 1-4: Procesos Guía Sistema de información Hospitalaria
PROCESOS AREAS RESPONSABLES
Asistencial Administrativa Jefe Administrativo Administrativo Contable y Financiera Gerente Financiero Costos Contable y Financiera Gerente Financiero Financieros Contable y Financiera Gerente Financiero
4.1.1. Metodología para el desarrollo de aplicaciones
El proceso unificado conocido como RUP, es un modelo de software que permite el desarrollo de software a gran escala, mediante un proceso continuo de pruebas y retroalimentación, garantizando el cumplimiento de ciertos estándares de calidad. Aunque con el inconveniente de generar mayor complejidad en los controles de administración del mismo.
El proceso de desarrollo constituye un marco metodológico que define en términos de metas estratégicas, objetivos, actividades y artefactos (documentación) requerido en cada fase de desarrollo. Esto permite enfocar esfuerzo de los recursos humanos en términos de habilidades, competencias y capacidades a asumir roles específicos con responsabilidades bien definidas.
4.1.1.2. Estructura del ciclo de vida del proceso de desarrollo Fase de concepción
Esta fase tiene como propósito definir y acordar el alcance del proyecto con los patrocinadores, identificar los riesgos potenciales asociados al proyecto, proponer una visión muy general de la arquitectura de software y producir el plan de las fases y el de iteraciones.
Fase de elaboración
En la fase de elaboración se seleccionan los casos de uso que permiten definir la arquitectura base del sistema y se desarrollaran en esta fase, se realiza la especificación de los casos de uso seleccionados y el primer análisis del dominio del problema, se diseña la solución preliminar.
El propósito de esta fase es completar la funcionalidad del sistema, para ello se deben clarificar los requerimientos pendientes, administrar los cambios de acuerdo a las evaluaciones realizados por los usuarios y se realizan las mejoras para el proyecto.
Fase de transición
El propósito de esta fase es asegurar que el software esté disponible para los usuarios finales, ajustar los errores y defectos encontrados en las pruebas de aceptación, capacitar a los usuarios y proveer el soporte técnico necesario. Se debe verificar que el producto cumpla con las especificaciones entregadas por las personas involucradas en el proyecto, en esta fase se aplica la Guia de Auditoria para cada Sistemas de información.
4.1.2. NIIF (Normas internacionales de información financiera)
Son Normas internacionales Información financiera, Son estándares técnicos contables adoptadas por el IASB, institución privada con sede en Londres, son usadas en 75 países; estas normas establecen los requerimientos de reconocimiento, medición, presentación e información a revelar que se refieren a las transacciones y otros sucesos y condiciones que son importantes en los estados financieros con propósito de información general. (CASAL, Armando Miguel, 2009, Informes de auditoría en el marco de las normas internacionales de auditoría, P. 33-75.).
Para el sector público se desarrollaron las Normas Internacionales de Contabilidad del Sector Público (NICSP) son desarrolladas por el Consejo de Normas Internacionales de Contabilidad del Sector Público. (CASAL, Armando Miguel, 2009, Informes de auditoría en el marco de las normas internacionales de auditoría, P. 33-75.).
El marco Legal para la preparación de los estados financieros establece los principios básicos para las NIIF. El marco conceptual establece los objetivos de los estados financieros y proporciona información acerca de la posición financiera, rendimiento y cambios en la posición financiera de la entidad que es útil para que un amplio rango de usuarios pueda tomar decisiones. (CASAL, Armando Miguel, 2009, Informes de auditoría en el marco de las normas internacionales de auditoría, P. 33-75.).
Para la guía de auditoría del sistema de información financiero se realiza verificación de los estándares técnicos contables.
4.1.2.1 Ventajas de la Norma
La adopción de normas globales permite a las empresas posicionarse en el mercado internacional, mejorando su competitividad.
Las NIIF incrementan la comparabilidad y la transparencia de la información financiera y agilizan los negocios, brindando credibilidad y facilitando el acceso a crédito y a oportunidades de inversión.
La norma facilita el proceso de salida al mercado de capitales en bolsas en todo el mundo. CASAL, CASAL, Armando Miguel. Las nuevas normas contables
profesionales argentinas: su acercamiento a las normas internacionales de contabilidad, Buenos Aires, Edición 1a, P.215.)
4.1.2.2 Desventajas de la Norma
Implica un cambio en los principios contables básicos de la empresa, lo cual se traduce en la necesidad de que todo el personal de la empresa aprenda este nuevo lenguaje.
El cambio Contable afectara a todas las áreas, procesos y sistemas de la empresa, al modificar esencialmente la base de información que éstos utilizan.
La convergencia desde las normas locales a las NIIF requiere por lo tanto de la elaboración de un plan estratégico al más alto nivel, a fin de gestionar la transición de modo integral. (CASAL, CASAL, Armando Miguel. Las nuevas normas contables profesionales argentinas: su acercamiento a las normas internacionales de contabilidad, Buenos Aires, Edición 1a, P.215.).
4.1.3. NIAS (Normas Internacionales de Auditoria)
Las Normas internacionales de Auditoria, contienen principios básicos y procedimientos esenciales junto con lineamientos especiales relacionados en forma de material explicativo, debe ser aplicada en forma obligatoria. Las normas son emitidas en dos series separadas la
de servicios de Auditoria y la de servicios afines. (CASAL, Armando Miguel. Informes de auditoría en el marco de las normas internacionales de auditoría, 2009, P. 33-75.).
4.1.3.1. NIA 230 Responsabilidad del auditor en la preparación de la documentación
Trata sobre la responsabilidad que tiene el auditor en la preparación de la documentación de auditoría correspondiente a una auditoría de estados financieros, para deben cumplir y generar la siguiente documentación. (CASAL, Armando Miguel. Informes de auditoría en el marco de las normas internacionales de auditoría, 2009, P. 33-75.).
Preparación oportuna de la documentación de auditoría
Documentación de los procedimientos de auditoría aplicados y de la evidencia de auditoría obtenida
Compilación del archivo final de auditoría
4.1.3.2. NIA 265 Responsabilidad que tiene el auditor de comunicar adecuadamente
Los responsables del gobierno de la entidad y a la dirección, las deficiencias en el control interno que haya identificado durante la realización de la auditoría de los estados financieros, establece requerimientos adicionales y proporciona orientaciones sobre la responsabilidad que tiene el auditor de comunicarse con los responsables del gobierno de la entidad en relación con la auditoría.
Se debe cumplir con el objetivo de comunicar adecuadamente a los responsables del gobierno de la entidad y a la dirección las deficiencias en el control interno identificadas durante la realización de la auditoría y que, según el juicio profesional del auditor, tengan la importancia suficiente para merecer la atención de ambos.
4.1.3.3. NIA 300 Responsabilidad que tiene el auditor de planificar
La auditoría de estados financieros. Esta NIA está redactada en el contexto de auditorías recurrentes. Las consideraciones adicionales en un encargo de auditoría inicial figuran separadamente.
Se debe generar plan de auditoría para el cumplimiento del objetivo de planificar la auditoría con el fin de que sea realizada de manera eficaz.
4.1.3.4. NIA 705 Emitir un informe adecuado
En función de las circunstancias cuando, al formarse una opinión de conformidad con la NIA 7001, concluya que es necesaria una opinión modificada sobre los estados financieros.
Se debe generar un informe en donde se exprese, con claridad, una opinión modificada adecuada sobre los estados financieros cuando el auditor concluya que, sobre la base de la
evidencia de auditoría obtenida, los estados financieros en su conjunto no están libres de incorrección material; el auditor no pueda obtener evidencia de auditoría suficiente y adecuada para concluir que los estados financieros en su conjunto estén libres de incorrección material. El auditor no pueda obtener evidencia suficiente y adeacuada para concluir que los estados financieros en su conjunto estan libres de incorrrección material.http://bibliotecadigital.usbcali.edu.co/jspui/bitstream/10819/2034/1/Analisis_Nor mas_Internacionales_Montoya_2013.pdf ; http://aobauditores.com/nias/)
4.1.3.5. NIA 720 Información incluida en documentos que contiene estados financieros auditados
Se entiende informes anuales (o documentos similares), que se emiten para los propietarios (o interesados similares), que contienen los estados financieros auditados y el correspondiente informe de auditoría. Esta NIA también puede aplicarse, adaptada según resulte necesario en las circunstancias concretas, a otros documentos que contienen los
estados financieros auditados.
(http://bibliotecadigital.usbcali.edu.co/jspui/bitstream/10819/2034/1/Analisis_Normas_Inte rnacionales_Montoya_2013.pdf ; http://aobauditores.com/nias/)
Se debe cumplir con el objetivo de responder adecuadamente cuando los documentos que contienen los estados financieros auditados y el correspondiente informe de auditoría incluyen otra información que pueda menoscabar la credibilidad de los estados financieros
y del informe de auditoría. (Rubio Herrera, E Las Normas Internacionales de Auditores (NIA-ES), Auditores, 2013, vol. 20, P. 30-43).
4.1.3.6 Ventajas de las Normas de Auditoria
La fiabilidad de la evidencia de auditoría aumenta si se obtiene de fuentes externas independientes de la entidad.
La fiabilidad de la evidencia de auditoría que se genera internamente aumenta cuando los controles relacionados aplicados por la entidad, incluido los relativos a su preparación y conservación, son eficaces.
La evidencia de auditoría obtenida directamente por el auditor es más fiable que la evidencia de auditoría obtenida indirectamente o por inferencia.
La evidencia de auditoría proporcionada por documentos originales es más fiable que la evidencia de auditoría proporcionada por fotocopias o facsímiles, o documentos que han sido filmados, digitalizados o convertidos, de cualquier otro modo, en formato electrónico. (Rubio Herrera, E Las Normas Internacionales de Auditores (NIA-ES), Auditores, 2013, vol. 20, P. 30-43)
Rediseñar un sistema para que se ajuste a las Normas supone un gasto importante para muchos países, pero aparentemente dicha opción compensa el costo de hacerlo. Resistencia al cambio, ya que la ley de convergencia para muchos empleados es de gran amenaza.
Poca capacitación por parte de los empresarios a los integrantes de sus equipos de trabajo, ya que estos cambios serán integrales. (Rubio Herrera, E Las Normas Internacionales de Auditores (NIA-ES), Auditores, 2013, vOL 20, P. 30-43
4.1.4. NIC (Normas Internacionales de Contabilidad)
Son Normas internacionales de Contabilidad, Son un conjunto de normas o leyes que establecen la información que debe en los estados financieros y la forma en que esa información debe aparecer, son de alta calidad orientadas al inversor, cuyo objeto es reflejar la esencia económica de las operaciones del negocio y presentar una imagen real de la situación financiera de la empresa, son emitidas por el International Accounting Standards Board (IASB, anterior International Accounting Standards Committee, IASC).
De acuerdo al tipo de empresa y sector existen varios tipos de NIC:
Estas normas son desarrolladas por el consejo de Normas Internacionales de Contabilidad del Sector Público, establecen los requerimientos para la información financiera de los gobiernos y otras entidades del sector público.
4.1.4.2. Pequeñas y Medianas empresas
Esta norma contiene las políticas contables relevantes para las pymes típicas, contiene principios de medición y reconocimiento.
A continuación, se relacionan las NIC que van a ser verificadas en las guías de auditoría para el sistema de información financiera.
NIC 02, Inventarios, Valor neto Razonable.
NIC 32, Obligaciones Financieras, Criterios de clasificación, instrumento de deuda, instrumento de patrimonio
NIC 16, y 40, Propiedad, planta y equipo, propiedades de inversión e intangibles, medición del costo, medición posterior, perdidas por deterioro.
NIC 18, Costos y Gastos, Costo ponderado de la financiación. NIC 23, Costos de Préstamos, Costo ponderado de la financiación.
NIC 39, Instrumentos financieros: Reconocimiento y medición, hace referencia a las cuentas por cobrar (Arias Bello & Sánchez Serna, 2014, pág. 22).
Para la guía de auditoría del sistema de información financiero se realiza verificación de los estándares técnicos contables.
4.1.4.4. Ventajas de la Norma
La aplicación de la norma permite disminuir los costos de los sistemas de procesamiento de datos.
Permite normalizar la base de datos financiera de las organizaciones. (CAÑIBANO CALVO, Leandro, MORA ENGUÍDANOS, Araceli, 2006, Las normas internacionales de información financiera, España, Editores Madrid Thomson.).
4.1.4.5. Desventajas de la Norma
Los costos de transacción se ven afectados por la norma
Los datos contables limitan la libertad de las partes contratantes para obtener la información relevante para representar sus intereses. (CAÑIBANO CALVO, Leandro, MORA ENGUÍDANOS, Araceli, 2006, Las normas internacionales de información financiera, España, Editores Madrid Thomson.).
4.2. Marco conceptual
Es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa, realiza cuatro actividades, Entrada de información, almacenamiento, procesamiento y salida de información. (MUÑEZ, Luis. ERP- Guía práctica para la selección e implantación, Edición Gestión, 2000).
4.2.2. ERP (Enterprise Resource Planning)
Es un sistema informático que facilita la gestión de una empresa en todos sus ámbitos, está compuesto por módulos donde converge toda la información y está tomada para tomar decisiones; Sirve para automatizar los procesos de una empresa ayudándola en su administración, ayuda a controlar los inventarios, permite manejar los flujos de trabajo. Existen dos tipos de ERP, los generalistas y los especializados. Los generalizados llamados horizontales son útiles para cualquier empresa. Los especializados llamados sectoriales o verticales, brindan soluciones a sectores específicos. (SAROKA Raúl Horacio. Sistemas de Información en la era digital, Editor Fundación OSDE, 2002, P 366).
4.2.3. HCM (Human Capital Management)
Es un sistema que forma una interfaz entre la gestión de recursos humanos para las actividades administrativa y la tecnología, está compuesto por varios módulos entre los que tenemos nóminas, gestión de las prestaciones de trabajo, gestión de recursos humanos,
indicadores de productividad. Existen dos tipos de software para recursos humanos, sistemas duros, son sistemas que nacen desde la nómina de personal o como un módulo de ERP, posteriormente van adicionando más funcionalidades, y los sistemas blandos que van focalizados a la estrategia de recursos humanos. .(BERNAT COSTA, Elisabet. Estrategia de recursos humanos y software empresarial, 2009).
4.2.4. HIS (Hospital Information System)
Es un sistema orientado a la gestión de las instituciones de salud, administra de forma electrónica la información asistencial, logística, administrativa y financiera, ofrece módulos para el manejo hospitalario asociado a la parte financiera y al control de los servicios a los pacientes. (ECHEVARRIA GARCIA, M. Gestión estratégica de la línea Salud, 2015).
Definición de Variables
A continuación, se describen las principales variables identificadas en las Guías de Auditoria para los sistemas de información de Recursos Humanos, Financiero y Hospitalario.
5.1. Planear
En esta etapa se realiza la identificación de las variables y el comparativo con los procesos en los cuales interviene cada guía de auditoría para los sistemas de información.
En la Guía de Auditoria para sistema de Información recursos humanos, para este sistema fueron seleccionadas las siguientes variables y se realiza la clasificación para los procesos en los que participa el sistema.
Tabla 2-1: Comparativo variables y procesos Guía Auditoria Recursos Humanos
Variable Proceso
Desarrollo de aplicaciones Administrador de Nomina
Control de cambios Contratación de personal
Calidad Administrador de Nomina
Pruebas Contratación de personal
Versiones Administrador de Nomina
Procesos Administrador de Nomina
Áreas Selección de personal
Recursos Selección de personal
Objetivo Contratación de personal
Entrenamiento Bienestar de personal
Planes Bienestar de personal
En la Guía de Auditoria para Sistema de Información Financiera, para este sistema se seleccionaron las siguientes variables y se realiza clasificación para los procesos en los que participa el sistema.
Tabla 2-2: Comparativo variables y procesos Guía Auditoría Financiera
Variable Procesos
Desarrollo de aplicaciones Financiero
Control de cambios Control
Calidad Control Pruebas Mantenimiento Versiones Mantenimiento Procedimientos Logística Alcance Administrativo Información Manufactura Requerimientos Comercial Objeto Administrativo
Guía de Auditoria par Sistema de Información Hospitalaria, para este sistema se seleccionaron las siguientes variables y se realiza la clasificación para los procesos en los que participa el sistema.
Tabla 2-3: Comparativo variables y procesos Guía Auditoria Hospitalario
Variable Procesos Proceso Administrativo Objetivo Asistencial Recursos Administrativo Técnica Asistencial Procedimientos Financieros
Control de cambios Financieros
Calidad Administrativo
Pruebas Administrativo
Versiones Costos
Equipos Administrativo
Alcance Asistencial
Se realizan los criterios dentro de la empresa de acuerdo a su participación en el mercado, al grado de importancia dentro de la organización y que los sistemas de información que demandan más atención por parte del área de calidad para seleccionar las variables de cada Guía de Auditoria para los Sistemas de Información, los cuales se relacionan a continuación:
Tabla 2-4: Criterios para seleccionar variables CRITERIOS CONVENCIO VALOR
BAJO 1
MEDIO 2
ALTO 3
5.2. Hacer
Para esta etapa se aplican los criterios seleccionados se escogerán las variables comunes para cada Guía de Auditoria.
Se realizó las aplicaciones de los criterios definidos en el punto anterior para elegir las variables a ser analizadas, se seleccionaron aquellas comunes aplicables al objeto del
negocio orientado a la calidad del desarrollo y control de cambios aplicables a los Sistemas de Información.
Para la Guía de Auditoria para sistema de Información recursos humanos, se aplicó el criterio ya definido en la empresa basado en los procesos de acuerdo a su criticidad e impacto dejando con valor 3 alto los procesos de alto impacto, con valor 2 los procesos con impacto medio y con valor 1 los de menos impacto para el sistema de información Kactus.
Tabla 2-5: Aplicación de Criterios Sistema Información Recursos Humanos
VARIABLE CRITERIO
APLICADO
PESO
Áreas BAJO 1
Control de cambios ALTO 3
Calidad ALTO 3 Desarrollo de aplicaciones ALTO 3 Entrenamiento BAJO 1 Objetivo MEDIO 2 Planes BAJO 1 Pruebas ALTO 3 Procesos MEDIO 2 Recursos MEDIO 2 Requerimientos ALTO 3 Versiones ALTO 3
Para la Guía de Auditoria sistema de Información financiero Seven se aplico el criterio ya definido dentro de la empresa para todos los Sistemas de información teniendo en cuenta la tabla 8.
Tabla 2-6: Aplicación de Criterios Sistema Información Financiero
En la Guía de Auditoria sistema de Información hospitalario se evidencio al aplicar el criterio basado en los procesos de acuerdo a su criticidad e impacto dejando con valor 3 alto los procesos de alto impacto, con valor 2 los procesos con impacto medio y con valor 1 los de menos impacto para el sistema de información Hosvital.
Tabla 2-7: Aplicación de Criterios Sistema Información Hospitalario
VARIABLE CRITERIO
APLICADO
PESO
Alcance BAJO 1
Calidad ALTO 3
Control de cambios ALTO 3
Desarrollo de aplicaciones ALTO 3 Información MEDIO 2 Objeto BAJO 1 Pruebas ALTO 3 Procesos MEDIO 2 Versiones ALTO 3 Procedimientos MEDIO 2 Requerimientos ALTO 3 VARIABLE CRITERIO APLICADO PESO Alcance BAJO 1 Calidad ALTO 3
Control de cambios ALTO 3
Desarrollo de aplicaciones
ALTO 3
Equipos MEDIO 2
5.3. Verificar
Para esta etapa se realizó la verificación de las variables seleccionadas de acuerdo al criterio definido como alto con valor 3, se estableció la métrica de mediciones de la Calidad de acuerdo al objeto del negocio la cual es proveer a sus clientes Software en distintas áreas de alta Calidad, desempeño y competitividad dando como resultado los siguientes criterios de evaluación.
Se realiza la verificación de las variables de acuerdo a su grado de participación en los procesos para la Guía de Auditoria sistema de información Recursos Humanos, de acuerdo a la tabla 8 en la cual esta definidos los valores 3 para Rojo, 2 para amarrillo y 1 para verde
Tabla 2-8: Verificación criterios Sistema Información Recursos Humanos
Variables / Valor Criterio 3(ALTO) 2 (MEDIO) 1(BAJO) Control de cambios Calidad Desarrollo de aplicaciones Pruebas Procedimientos MEDIO 2 Procesos MEDIO 2 Pruebas ALTO 3 Recursos BAJO 1 Técnica BAJO 1 Versiones ALTO 3
Requerimientos Versiones Objetivo Procesos Recursos Áreas Entrenamiento Planes
Se realiza la verificación de las variables de acuerdo a su grado de participación en los procesos para la Guía de Auditoria sistema de información Financiero de acuerdo a los valores definidos dentro de la empresa y plasmados en la tabla 8.
Tabla 2-9: Verificación criterios Sistema de Información Financiero
Variables / Valor Criterio 3(ALTO) 2 (MEDIO) 1(BAJO) Calidad Control de cambios Desarrollo de aplicaciones Pruebas Versiones Requerimientos Información Procesos
Procedimientos
Alcance
Objeto
Se realiza la verificación de las variables de acuerdo a su grado de participación en los procesos para la Guía de Auditoria sistema de información Financiero.
Tabla 2-10: Verificación criterios Sistema Información Hospitalario
Variables / Valor Criterio 3(ALTO) 2 (MEDIO) 1(BAJO) Calidad Control de cambios Desarrollo de aplicaciones Pruebas Versiones Equipos Procedimientos Procesos Alcance Objetivo Recursos Técnica
5.4. Actuar
En esta etapa se realiza la clasificación de las variables de acuerdo al nivel de importancia para cada uno de los procesos que intervienen en cada Sistema de Información en el cual se definen dos tipos de clasificación Independiente de acuerdo a su causa y Dependiente de acuerdo a su efecto para las Guías de Auditoria.
Tabla 2-11: Clasificación variables sistema Información Recursos Humanos
CLASIFICACIÓN Independiente (Causa) Dependiente (Efecto) Áreas X Control de cambios X Calidad X Desarrollo de aplicaciones X Entrenamiento X Objetivo X Planes X Pruebas X Procesos X X Recursos X Requerimientos X Versiones X
Tabla 2-12: Clasificación variables sistema Información Financiero
CLASIFICACIÓN Independiente (Causa) Dependiente (Efecto) Alcance X Calidad X Control de cambios X Desarrollo de X
aplicaciones Información X Objeto X Pruebas X Procesos X Versiones X Procedimientos X Requerimientos X
Tabla 2-13: Clasificación variables sistema Información Hospitalario
CLASIFICACIÓN Independiente (Causa) Dependiente (Efecto) Alcance X Calidad X Control de cambios X Desarrollo de aplicaciones X Equipos X Objetivo X Procedimientos X Procesos X Pruebas X Recursos X Técnica X Versiones X
Para los sistemas de información Recursos Humanos (Kactus), Financiero (Seven), Hospitalario (Hosvital) se clasificaron las variables de acuerdo a su criticidad frente al negocio, se definió para el tipo de clasificación dependiente las variables que son conectoras y dependen de otras para su desarrollo frente a su aplicabilidad, que forman parte del objeto del negocio dentro de las cuales están Calidad, Control de Cambios, Desarrollo de aplicaciones, Pruebas, Procesos, Requerimientos, versiones, están variables
son comunes para todos los sistemas de información y como segundo tipo de variables están las independientes que se originan en causas para el sistema de información especifico para el negocio y que no dependen de otras para su desarrollo y aplicabilidad frente a cada tema que manejan las guías como lo son Recursos Humanos, Financiero y Hospitalario.
A continuación, se describen las principales variables identificadas a partir del criterio alto de acuerdo al objeto del negocio se utilizó la métrica de mediciones de la Calidad seleccionado en las etapas anteriores para las Guía de Auditoria diseñadas para el desarrollo de aplicaciones y control de cambios en la empresa Digitalware Ltda.
5.5. Variables identificadas en la guía de auditoría
De acuerdo al análisis realizado se eligieron las siguientes variables enfocadas a calidad para las Guías de Auditoria globales y comunes para los Sistemas de Información Recursos Humanos, Financiero y Hospitalario.
Desarrollo de aplicaciones Control de Cambios Calidad
Pruebas Versiones
1.5.3. Desarrollo de aplicaciones
Para esta variable se toma en cuenta el ciclo de vida del desarrollo de las aplicaciones, el cual es trabajado dentro de la empresa; en el inicio del desarrollo se realiza una recopilación de datos para profundizar en el conocimiento del proceso, detallar las especificaciones se establece el caso del negocio, se define el alcance con los objetivos y procesos para conseguir los resultados necesarios de acuerdo a las necesidades del mercado, se realiza un cronograma, se evalúan los riesgos, se estiman los recursos, se definen los planes de trabajo actividades y responsables.
En la fase de elaboración en la cual se realiza el plan definido en la fase anterior, se definen arquitecturas, se analizan los documentos de especificación, costos y fechas de entrega, se construye el prototipo con diferentes iteraciones con el fin de determinar riesgos y soluciones; se realizan supervisiones para ver que las actividades se cumplan en el tiempo estimado, se realiza la integración del producto, se realizan las pruebas técnicas y funcionales para detectar los posibles errores en la aplicación antes de realizar la entrega al cliente y que el software cumpla con los objetivos definidos al inicio, finalmente se realiza una corrección y validación de los errores encontrados, se realiza un monitoreo de la implementación, se documenta el proceso y se evalúa el plan de ejecución, se realiza la entrega formal al cliente.
Como parte inicial se reciben las solicitudes por parte de los clientes del aplicativo que requiere alguna modificación, la tarea se gestiona a través de la página de la empresa y de un formato de solicitudes, en el cual se informa que modulo es y se describe lo que se requiere desarrollar, estas solicitudes se reciben los martes de cada semana y se pasa al comité para el control de cambios.
Como siguiente paso se envía a el comité del control de cambios realizado los días martes se estudia cada caso, se revisa la factibilidad de realizar el cambio y la afectación a los demás módulos que interactúan con el propuesto para el cambio, se definen los responsables del desarrollo, se establece el plan de trabajo y las actividades a realizar, se incluye en el cronograma semanal, se establece el costo que le va a generar al cliente realizar el cambio de acuerdo a su contrato de servicios.
Cuando se termina el desarrollo en esta etapa se realizan las pruebas técnicas y funcionales con el fin de verificar que el desarrollo cumpla con el alcance expuesto en el formato de control de cambios y que satisfaga las necesidades del cliente, además se evalúan y corrigen los errores presentados, finalmente se realiza la implantación al cliente, se realiza la configuración necesaria para la puesta en marcha del cambio en el módulo o programa modificado, se documenta el cambio realizado, se modifican los manuales y se realiza la entrega formal al cliente.
5.5.3. Calidad
Este proceso está muy relacionado con las demás fases y depende de ellas para medir el grado de calidad de los aplicativos de cara al cliente.
Como paso uno se realiza un plan de calidad con el fin de validar que el modulo o programa a ser entregado para el cliente se ajuste a los requerimientos y solicitudes radicadas, se verifica además que no afecte los demás módulos, se valida la funcionalidad del módulo especifico.
Como siguiente paso se ejecuta el plan de calidad, se verifica el cumplimiento a los componentes de calidad, robustez, eficiencia, integridad, portabilidad, facilidad de uso y cumplimiento; además se realiza la validación entre la solicitud y el desarrollo entregado, se revisa la viabilidad de realizar el cambio, se realizan pruebas en los diferentes motores de base de datos, se solicitan y validan los ajustes de última hora realizados, se valida y si la solución aplica para otro clientes como parte final se realiza la documentación funcional específica para el modulo y las recomendaciones para su implementación.
5.5.4. Pruebas
Se busca garantizar que los sistemas de información diseñados cumplan con el control de cambios, desarrollos y requerimientos (técnicos y funcionales) solicitados previamente, se realiza un documento de especificación de las pruebas a realizar, los módulos, recursos,
hardware, software que se va a utilizar para la realización de las pruebas, el tipo de prueba a realizar, los responsables, las actividades, las fechas de entrega.
Como paso inicial se ejecuta el plan de pruebas definido en la anterior etapa, se verifica que el desarrollo cumpla con la especificación tanto técnica como funcional, se genera un informe con los hallazgos encontrados al área encargada del desarrollo; se realiza una fase de pruebas de regresión de acuerdo a los hallazgos encontrados, se realiza la documentación funcional y técnica para el cliente, se verifica en su totalidad que el desarrollo cumpla con las necesidades del cliente y que no se presenten nuevos errores y se realiza la documentación de los hallazgos y recomendaciones para la implementación del desarrollo.
5.5.5. Versiones
Este proceso se realiza cuando se identifica alguna mejora a los módulos de las aplicaciones y/o cuando se genera una nueva norma o reglamentación para cumplir para las diferentes entidades, por cambio en la infraestructura tecnológica.
Inicialmente se realiza un documento de especificaciones tanto técnicas como funcionales, se describe el desarrollo, se definen las actividades y responsables de cada una de ellas, se genera un plan de trabajo, se definen las bases de datos y los motores que se van a ver afectados por el desarrollo.
Como siguiente paso se realiza el desarrollo para las nuevas versiones de acuerdo al cronograma establecido previamente en la etapa anterior, verificar que se realicen los cambios necesarios y realizar la recopilación de los programas fuente para la configuración técnica; se realizan las pruebas técnicas de las nuevas versiones y realizar las validaciones correspondientes a la parte técnica y funcional, realizar el manual para el cambio de versión en la base de datos y en la aplicación.
Como paso final se realiza la entrega del documento de especificación, el manual para el cambio de versión, los ejecutables para la instalación y configuración de las aplicaciones.
Podemos concluir que se realizo la identificación de las variables desarrollo de aplicaciones, control de Cambios, calidad, pruebas y versiones, las cuales son parte fundamental del objeto de negocio, y son comunes para las tres Guías de Auditoria de los sistemas de información Recursos Humanos, Financiero y Hospitalario, también se realizo la clasificación de las variables que contiene cada Guía de Auditoria de acuerdo a si son dependientes o independientes y a su grado de importancia ya definidas dentro de la organización.
6. Diseño para la actualización de las guías de auditoría
Para este capítulo se pretende realizar el diseño de la actualización de las Guías de Auditoria a través de la identificación de dos estándares que permitan evaluar las guías mediante factores aplicables a cada variable identificada previamente a través de una encuesta con la metodología likert Scale y finalmente realizar una definición de la muestra para definir a cuantas personas se les va a aplicar la encuesta.
6.1. Planear
En esta etapa se realiza la identificación de los estándares, y la selección de acuerdo al objeto del negocio el cual consiste en realizar el desarrollo y control de cambios a los sistemas de información a través de la calidad para las Guías de Auditoria de los sistemas de información para Recursos Humanos, Financiero y Hospitalario.
6.1.1. Identificación de los estándares
Para la selección de los estándares se tuvo en cuenta el objeto del negocio y el enfoque que tienen actualmente las guías de Auditoria la cual consiste en apoyar y evaluar la parte de calidad enfocado a pruebas, mantenimiento de los sistemas, al desarrollo de nuevo software y al control de cambios de los sistemas de información ya existentes, para este caso Recursos Humanos, Financiero y Hospitalario, se establecieron que por su objeto y factor aplicar los siguientes Estándar de Auditoria 2204 Materialidad (ISACA), los cuales apoyan los procesos y las fases de la Auditoria y el Estándar Cobit enfocado a los Objetivos
de Control para Tecnología de Información y Tecnologías relacionadas en donde se tienen factores para calidad, desarrollo de aplicaciones para el control de cambios se selecciono el Estandar ItilV3.
6.2. Hacer
En esta fase se realiza un análisis del contenido de cada estándar, se presentan los factores definidos para los temas de Calidad, desarrollo de aplicaciones y control de cambios para los sistemas de información los cuales son el objeto de negocio para la empresa Digitalware Ltda; para su selección se tuvo en cuenta en los factores la participación del software como negocio y aplicabilidad para los sistemas de información.
6.2.1. Estándar ISACA 2204 Materialidad
La naturaleza especializada de la auditoría y aseguramiento de los sistemas de la información (SI) y de las habilidades necesarias para realizar este tipo de compromisos requiere estándares que apliquen especialmente a las auditorías y aseguramiento de SI. El desarrollo y diseminación de los estándares de auditoría y aseguramiento de SI son la piedra angular de la contribución profesional de ISACA a la comunidad de auditoría.
Los profesionales de auditoría, aseguramiento de SI deben incluir una declaración en sus trabajos, donde sea apropiado, indicando que el trabajo ha sido realizado de acuerdo con los
estándares de auditoría y aseguramiento de los SI de ISACA o de otros posibles estándares aplicables. Esta dividió en tres categorías:
• Estándares generales (series 1000) Son los principios rectores bajo los que opera la profesión de auditoría y aseguramiento de SI. Aplican a la realización de todas las tareas, y hacen frente a la ética, independencia, objetividad y debida diligencia del profesional de auditoría y aseguramiento de SI, así como los conocimientos, competencia y habilidades.
• Estándares de desempeño (series 1200) Tienen que ver con la forma en que se conduce la asignación, tales como planificación y supervisión, definición del alcance, riesgos y materialidad, la movilización de recursos, supervisión y administración de asignaciones, evidencias de auditoría y aseguramiento, y el ejercicio de su juicio profesional y debida diligencia.
• Estándares de presentación de informes (series 1400) Direccionan los tipos de informes, medios de comunicación y la información comunicada.
• (FLEITMAN, JAck. Evaluación Integral para Implantar modelos de Calidad, Editorial PAx México, 2008, P. 432)
6.2.2. Factores de Materialidad
Los factores descritos a continuación fueron sacados del estándar 2204 materialidad de acuerdo a cada variable identificada previamente, en esta tabla se ajusta cada factor de
acuerdo a la variable y de describe un significado el cual nos va a permitir medir en la encuesta los puntos críticos del negocio como lo es el desarrollo de software y que estos deben aplicarse a las Guias de Auditoria para los sistemas de información de Recursos Humanos, Financiero, Hospitalario.
Tabla 3-1: Factores Estándar Materialidad
Variable Factor Significado
Desarrollo de software Se ajusta con las
definiciones específicas o consideraciones sobre, la materialidad proporcionada por autoridades legislativas o regulatorias.
Las guías y los sistemas se ajustan con las definiciones específicas o
consideraciones sobre, la materialidad proporcionada por autoridades legislativas o regulatorias
Desarrollo de software Se ajusta al número y tipo de aplicaciones
desarrolladas.
Las guías se ajustan al número y tipo de
aplicaciones desarrolladas Desarrollo de software Se ajusta con la criticidad
de los procesos de negocio
Las Guías de Auditoria se ajustan con la criticidad de los procesos y subprocesos del negocio
Desarrollo de software Se ajusta con la criticidad de las bases de datos de información
Las Guías de Auditoria Se ajustan con la criticidad de las bases de datos de información
Desarrollo de software Se deben evaluar la deficiencia de un control general de TI
Las Guías permiten evaluar la deficiencia de un control general de TI
6.2.3. Estándar COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos, está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
Está enfocado a los siguientes usuarios
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas.
