MODULO III DÍA I

(1)

MÓDULO III

AUDITORIA DE ADQUISICIONES

(2)

Adquisiones de Equipo,

Programas, Materiales y Recurso Humano

 La mayoría de las empresas privadas e La mayoría de las empresas privadas e

instituciones de gobierno invierten sumas instituciones de gobierno invierten sumas

considerables de dinero durante el proceso de considerables de dinero durante el proceso de adquisición de software, hardware y servicios adquisición de software, hardware y servicios

que ofrecen los proveedores de sistemas de que ofrecen los proveedores de sistemas de

(3)

Este hecho incrementa en forma potencial el Este hecho incrementa en forma potencial el

riesgo de que ocurran fallas operativas de software riesgo de que ocurran fallas operativas de software y hardware y que las personas incompetentes sean y hardware y que las personas incompetentes sean

los que brinden este servicio. los que brinden este servicio.

Para minimizar este riesgo se deben establecer Para minimizar este riesgo se deben establecer controles apropiados durante el proceso de

controles apropiados durante el proceso de adquisición.

(4)

 La participación de auditores en sistemas de La participación de auditores en sistemas de

información desde el inicio de este proceso, podrá información desde el inicio de este proceso, podrá

ser de gran ayuda en la determinación de áreas ser de gran ayuda en la determinación de áreas

problemáticas y, contribuir de esta forma manera, problemáticas y, contribuir de esta forma manera,

a un uso eficiente de los recursos de la a un uso eficiente de los recursos de la

(5)

 Objetivos de la auditoríaObjetivos de la auditoría

– _{Los objetivos que persique la revisión de la}_{Los objetivos que persique la revisión de la}

adquisición es la de asegurar que los recursos adquisición es la de asegurar que los recursos

(dinero y tiempo) serán usados en la forma más (dinero y tiempo) serán usados en la forma más

(6)

 ContinuaciónContinuación

– _{Adquisición de hardware, equipo periférico,}_{Adquisición de hardware, equipo periférico,}

software de aplicación y contratación de recurso software de aplicación y contratación de recurso

humano humano

– _{Contratación de servicios de consultores en el}_{Contratación de servicios de consultores en el}

(7)

 Objetivos y Técnicas de ControlObjetivos y Técnicas de Control

– _{Existen dos áreas de suma importancia donde se}_{Existen dos áreas de suma importancia donde se}

deben ejercer controles: deben ejercer controles:

(8)

 HARDWARE Y SOFTWAREHARDWARE Y SOFTWARE

– Objetivos de control: Los objetivos de control de la _{Objetivos de control: Los objetivos de control de la} adquisión de hardware y software están orientados a adquisión de hardware y software están orientados a asegurar que se establezcan controles apropiados que asegurar que se establezcan controles apropiados que permitan:

permitan:

» Que los recursos de la organización estén siendo utilizados en _{Que los recursos de la organización estén siendo utilizados en} forma económica y razonable

forma económica y razonable

» Que los riesgos potenciales que se pudieran presentar sean _{Que los riesgos potenciales que se pudieran presentar sean} minimizados

(9)

 Tecnicas de control para este objetivo:Tecnicas de control para este objetivo:

– a) Papel y alcance de participación del auditor de sistemas _{a) Papel y alcance de participación del auditor de sistemas} durante el proceso de adquisición.

durante el proceso de adquisición.

» 1) Participar en el proceso de adquisición, modificación, adaptación _{1) Participar en el proceso de adquisición, modificación, adaptación} e instalación del software formando parte del equipo de trabajo

e instalación del software formando parte del equipo de trabajo asignado. El auditor de sistemas deberá ser un miembro activo de asignado. El auditor de sistemas deberá ser un miembro activo de dicho equipo (con voz pero sin voto), como lo son los analistas, dicho equipo (con voz pero sin voto), como lo son los analistas, programadores y usuarios. Sin embargo, se le considerará usuario programadores y usuarios. Sin embargo, se le considerará usuario para efectos de diseño de pistas y reportes de auditoría.

(10)

 Continuación objetivos del auditor:Continuación objetivos del auditor:

» 2) Revisar o definir los requerimientos de control para auditar el _{2) Revisar o definir los requerimientos de control para auditar el} proceso de adquisición.

proceso de adquisición.

» 3) Revisar que se evalúe la opción de adquirir paquetes de software _{3) Revisar que se evalúe la opción de adquirir paquetes de software} versus desarrollo de sistemas.

versus desarrollo de sistemas.

» 4) Expresar opinión sobre si el software reúne los requerimientos _{4) Expresar opinión sobre si el software reúne los requerimientos} definidos.

definidos.

» 5) Evaluar que se revisen las características, funciones y capacidades _{5) Evaluar que se revisen las características, funciones y capacidades} del software para determinar si cumplen con lo requerimientos del del software para determinar si cumplen con lo requerimientos del

(11)

 Continuación objetivos del auditor:Continuación objetivos del auditor:

» 6) Revisar que se evalúe la documentación suministrada _{6) Revisar que se evalúe la documentación suministrada} por el proveedor del software y del hardware para

por el proveedor del software y del hardware para determinar si está completa y es adecuada.

determinar si está completa y es adecuada.

» 7) Participar activamente en las pruebas del software para _{7) Participar activamente en las pruebas del software para} determinar si está acorde con los requerimientos del

determinar si está acorde con los requerimientos del usuario y las especificaciones del proveedor.

(12)

 Otras tecnicas de control objetivo de Otras tecnicas de control objetivo de adquisición Hardware y software

adquisición Hardware y software

– _{b) La participación del auditor de sistemas durante}_{b) La participación del auditor de sistemas durante}

la adquisición, modificación, adaptación e la adquisición, modificación, adaptación e

instalación del software debe incluir: instalación del software debe incluir:

» 1. Las aplicaciones_{1. Las aplicaciones}

(13)

 Continuación:Continuación:

» 3. Las herramientas gerenciales:_{3. Las herramientas gerenciales:}

 Los procesadores de palabrasLos procesadores de palabras

 Los paquetes de gráficosLos paquetes de gráficos

 Las hojas electrónicasLas hojas electrónicas

 Los paquetes para consulta e imprimir la información contenida Los paquetes para consulta e imprimir la información contenida en los archivos de datos.

en los archivos de datos.

(14)

 Continuación otras tecnicas de controlContinuación otras tecnicas de control

– c) El auditor de sistemas deberá revisar que se emplee _{c) El auditor de sistemas deberá revisar que se emplee} una metodología sistemática y objetiva para realizar la una metodología sistemática y objetiva para realizar la

evaluación, selección y adquisición del software y el evaluación, selección y adquisición del software y el

hardware. hardware.

(15)

 Continuación otras técnicas de controlContinuación otras técnicas de control

» 1. Definir los criterios de software_{1. Definir los criterios de software}

» _{2. Establecer criterios de selección de software}_{2. Establecer criterios de selección de software}

» _{3. Identificar varios paquetes y sistemas hechos a la medida}_{3. Identificar varios paquetes y sistemas hechos a la medida} » 4. Redactar los términos de referencia de la propuesta_{4. Redactar los términos de referencia de la propuesta}

» 5. Avalar paquetes de software acordes con las funciones de los _{5. Avalar paquetes de software acordes con las funciones de los} usuarios

usuarios

» 6. Avalar a los suministradores de software con base en la _{6. Avalar a los suministradores de software con base en la} estabilidad financiera y reputación en el mercado

(16)

» 7. Efectuar un estudio de mercado de satisfacción de clientes _{7. Efectuar un estudio de mercado de satisfacción de clientes}

en relación con los proveedores.

» 8. Avalar las funciones de sistemas y técnicas de los paquetes _{8. Avalar las funciones de sistemas y técnicas de los paquetes}

de software para asegurarse de que la organización pueda ser

autosuficiente en el mantenimiento.

» 9. Avalar la documentación suministrada por el proveedor_{9. Avalar la documentación suministrada por el proveedor}

» 10. Avalar la seguridad, auditabilidad y los puntos fuertes de _{10. Avalar la seguridad, auditabilidad y los puntos fuertes de}

control del paquete de software

(17)

» 11. Efectuar un análisis de costo-beneficio_{11. Efectuar un análisis de costo-beneficio}

» 12. Seleccionar el paquete que reúna los mejores requisitos_{12. Seleccionar el paquete que reúna los mejores requisitos} » 13. Redactar y firmar los términos contractuales y adquirir el _{13. Redactar y firmar los términos contractuales y adquirir el}

paquete. paquete.

– _{e) Los usuarios y los req. del software muestran los}_{e) Los usuarios y los req. del software muestran los}

objetivos y la necesidad para que el software y el hardware objetivos y la necesidad para que el software y el hardware sea desarrollado y documentado antes de que el proceso de sea desarrollado y documentado antes de que el proceso de adquisición sea iniciado.

(18)

 Los requerimientos de los sistemas de aplicación Los requerimientos de los sistemas de aplicación

han sido organizados en 20 categorías: han sido organizados en 20 categorías:

– 1) Requerimientos del usuario: Se deben considerar los _{1) Requerimientos del usuario: Se deben considerar los} tipos de medios de entrada requeridos tales como:

tipos de medios de entrada requeridos tales como:

» _{a) Un documento fuente.}_{a) Un documento fuente.}

» b) Una terminal de pantalla de despliegue visual._{b) Una terminal de pantalla de despliegue visual.}

(19)

 Continuación requerimientos usuarios, medios Continuación requerimientos usuarios, medios

entrada: entrada:

» e) Un lector de discos compactos (Unidad de CD)_{e) Un lector de discos compactos (Unidad de CD)}

» f) Comunicaciones_{f) Comunicaciones}

» g) Otros métodos de captura de datos que existan._{g) Otros métodos de captura de datos que existan.}

– _{También se deben considerar los tipos de cálculos que el}_{También se deben considerar los tipos de cálculos que el}

computador debe efectuar con elementos críticos de datos computador debe efectuar con elementos críticos de datos

(20)

 Continuación requerimientos usuarios, medios entrada:Continuación requerimientos usuarios, medios entrada:

– Es importante también tomar en cuenta los medios de salida que se _{Es importante también tomar en cuenta los medios de salida que se} requerirán:

requerirán:

» a) Impresoras lineales y de matriz de tinta, láser._{a) Impresoras lineales y de matriz de tinta, láser.}

» b) Terminales_{b) Terminales}

» c) Microfilmadoras_{c) Microfilmadoras}

» d) Disquete_{d) Disquete}

» e) Comunicaciones_{e) Comunicaciones}

» f) Cintas_{f) Cintas}

(21)

 Los efectos financieros que pueden producir leyes del Los efectos financieros que pueden producir leyes del

gobierno, impuestos y efectos contables especiales,

deben ser tomados en cuenta como requerimientos del

usuarios

 También es importante considerar los datos de entrada y También es importante considerar los datos de entrada y

los requerimientos de proceso de manejo y corrección

de errores, en relación con el sistema manual versus

automatizado.

(22)

 Se debe considerar el uso de parámetros manejables y Se debe considerar el uso de parámetros manejables y

tangibles en cuanto a las características del software en

relación con agregar o borrar datos que permitan

mantener flexibilidad y fácil mantenimiento a los

archivos

 Se debe dar énfasis al software que permita opciones Se debe dar énfasis al software que permita opciones

por omisión (default) para asegurar la integridad de los

datos

(23)

 También se debe identificar el nivel y tipo de También se debe identificar el nivel y tipo de habilidades que deben tener los usuarios y los habilidades que deben tener los usuarios y los

esfuerzos requeridos para preparar datos de esfuerzos requeridos para preparar datos de

entrada y revisar reportes de salida entrada y revisar reportes de salida

 Es importante tomar en cuenta el período de Es importante tomar en cuenta el período de vida del paquete de software

(24)

 Continuación req. Usuarios (20 categorias)Continuación req. Usuarios (20 categorias)

– 2) Requerimientos técnicos del sistema_{2) Requerimientos técnicos del sistema}

» Se deben considerar las necesidades del sistema operativo, _{Se deben considerar las necesidades del sistema operativo,}

compiladores, lenguajes y herramientas de desarrollo, técnicas de

acceso y administración de archivos, utilitarios y software de soporte.

También es necesario tomar en cuenta la dependencia del software de

dispositivos y pruebas que contenga el software. Transportabilidad o

compatibilidad que ofrezca el software para pasar de un computador a

otro. Considerar la facilidad de desarrollo de programas, incluyendo

los cambios que se puedan efectuar a un programa ya elaborado.

(25)

– 3) ₃₎Requerimientos de productividad del softwareRequerimientos de productividad del software

» _{Se deben considerar y establecer medidas de productividad del software, tales como}_{Se deben considerar y establecer medidas de productividad del software, tales como}_:_:

 Tiempos de respuestaTiempos de respuesta

 Tiempos de procesoTiempos de proceso

 Capacidad de multitareasCapacidad de multitareas

 Velocidad y capacidad de pseudoimpresorasVelocidad y capacidad de pseudoimpresoras

 Velocidad de manejo de colas de salidaVelocidad de manejo de colas de salida

 Tiempos de transf. datos para redes y líneas de comunicaciones.Tiempos de transf. datos para redes y líneas de comunicaciones.

(26)

– 4) Requerimientos de procesamiento_{4) Requerimientos de procesamiento}

» Es conveniente tomar en cuenta los tipos de transacciones de entrada y salida, el _{Es conveniente tomar en cuenta los tipos de transacciones de entrada y salida, el}

volumen y las tendencias de crecimiento de las transacciones y archivos maestros.

También se debe considerar la capacidad actual y potencial de la memoria, los

discos, cintas y cualquier otro medio de almacenamiento masivo.

» Es importante determinar los tiempos bajos y picos requeridos para el _{Es importante determinar los tiempos bajos y picos requeridos para el}

procesamiento de todas las transacciones y los tiempos para efectuar respaldos de

información. Asimismo, considerar la modalidad de procesamiento (línea-lotes) y

la organización de los archivos (archivos planos y base de datos)

(27)

– _{5) Requerimientos de seguridad}_{5) Requerimientos de seguridad}

» Se deben considerar todas las necesidades de seguridad, privacidad y controles de _{Se deben considerar todas las necesidades de seguridad, privacidad y controles de}

acceso para terminales, archivos, programas, bibliotecas y procesamientos utilizando

niveles múltiples de palabras claves y otros tipos de identificaciones para el sistema y

las personas.

» En caso de enlaces o redes entre micros y minis o mainframes, se deben tomar en En caso de enlaces o redes entre micros y minis o mainframes, se deben tomar en cuenta los controles de acceso, respaldo, recuperación y reinicio y otras alternativas

cuenta los controles de acceso, respaldo, recuperación y reinicio y otras alternativas

para restaurar operaciones.

» También se deben tomar en cuenta técnicas de encriptación y bitácoras automatizadas _{También se deben tomar en cuenta técnicas de encriptación y bitácoras automatizadas}

de los eventos que ocurran durante el procesamiento de la información. Proc. línea

consider uso firewall

(28)

– _{6) Requerimientos de auditoría}_{6) Requerimientos de auditoría}

» Es necesario considerar la disponibilidad de módulos de auditoría pertinentes a las Es necesario considerar la disponibilidad de módulos de auditoría pertinentes a las circunstancias de operación de la empresa, selección de transacciones y módulos de

circunstancias de operación de la empresa, selección de transacciones y módulos de

auditoría protegidos tales como extensiones de registros en el software.

» Se debe considerar la inclusión de “salidas de usuario” en puntos críticos de _{Se debe considerar la inclusión de “salidas de usuario” en puntos críticos de}

procesamiento cuando no existen dichos módulos de auditoría.

» El software debe contener pistas de auditoría (en papel o en forma electrónica) _{El software debe contener pistas de auditoría (en papel o en forma electrónica)}

requeridas.

» También se deben considerar la compatividad de las estructuras de los archivos _{También se deben considerar la compatividad de las estructuras de los archivos}

entre los paquetes de auditoría generalizadas y el software de análisis

(29)

– _{7) Requerimientos de Control}_{7) Requerimientos de Control}

» _{Se debe considerar la necesidad de los programas}_{Se debe considerar la necesidad de los programas} automatizados de procesamiento de control interno automatizados de procesamiento de control interno

requeridos en términos de edición y validación de rutinas requeridos en términos de edición y validación de rutinas y controles de corrida a corrida. En caso de no existir y controles de corrida a corrida. En caso de no existir estos programas se deben identificar los controles

(30)

– _{8) Requerimientos de hardware y equipo periférico}_{8) Requerimientos de hardware y equipo periférico}

» Se debe considerar el número y tipo de unidades centrales de _{Se debe considerar el número y tipo de unidades centrales de}

proceso (UPC), discos(flexibles, duros, compactos, dvd, etc)

y cintas magnéticas requeridas.

» También se debe considerar los equipos de comunicaciones _{También se debe considerar los equipos de comunicaciones}

tales como: modems, líneas de comunicación,

concentradores y cualquier otro tipo de equipo relacionado.

(31)

– _{9) Requer. de adaptaciones o modif al software}_{9) Requer. de adaptaciones o modif al software}

» Se debe consider la naturaleza y alcance de las adaptaciones o _{Se debe consider la naturaleza y alcance de las adaptaciones o}

modificaciones de mayor o menor grado que se deben efectuar al software. modificaciones de mayor o menor grado que se deben efectuar al software.

» El equipo de trabajo deberá estar más interesado en entender las políticas _{El equipo de trabajo deberá estar más interesado en entender las políticas} del proveedor del software en relación con las modificaciones, y en

del proveedor del software en relación con las modificaciones, y en determinar las consecuencias y los impactos de las modificaciones con determinar las consecuencias y los impactos de las modificaciones con respecto a las obligaciones que se contraen con la firma del contrato respecto a las obligaciones que se contraen con la firma del contrato..

» Los detalles de las modificaciones podrán ser determinados una vez que el _{Los detalles de las modificaciones podrán ser determinados una vez que el} software sea adquirido.

(32)

– _{10) Requerimientos de interfaces con otros sistemas}_{10) Requerimientos de interfaces con otros sistemas}

» _{Se deben considerar cuáles sistemas o programas}_{Se deben considerar cuáles sistemas o programas} requieren de interfaces, dónde, cómo y cuándo se requieren de interfaces, dónde, cómo y cuándo se

(33)

– _{11) Requerimientos de conversión}_{11) Requerimientos de conversión}

» Se deben consider los nombres y tipos de archivos de datos y su _{Se deben consider los nombres y tipos de archivos de datos y su} origen (papel o medios electrónicos), procesamientos de control de origen (papel o medios electrónicos), procesamientos de control de trabajos y los programas que se requerirán convertir con el estimado trabajos y los programas que se requerirán convertir con el estimado de tiempos de conversión.

de tiempos de conversión.

» Se deben establecer los criterios de verificación de la conversión y _{Se deben establecer los criterios de verificación de la conversión y} asignar responsabilidades durante la etapa de conversión

(34)

– _{12) Requerimientos de documentación}_{12) Requerimientos de documentación}

» _{Se deben considerar los tipos, niveles y cantidades de}_{Se deben considerar los tipos, niveles y cantidades de} manuales de documentos del software requerido.

manuales de documentos del software requerido. » _{También se deben identificar las necesidades y}_{También se deben identificar las necesidades y}

requerimientos de la documentación de las interfaces del requerimientos de la documentación de las interfaces del software con otras aplicaciones y si se ajustan y cumplen software con otras aplicaciones y si se ajustan y cumplen con los estándares definidos para el área de cómputo.

(35)

– _{13) Requerimientos de servicio y soporte del}_{13) Requerimientos de servicio y soporte del}

proveedor proveedor

» Se deben considerar el nivel, tipo y tamaño del equipo de _{Se deben considerar el nivel, tipo y tamaño del equipo de} soporte técnico del suministrador en cuanto a conversión soporte técnico del suministrador en cuanto a conversión y entrenamiento requerido durante la instalación y post y entrenamiento requerido durante la instalación y post instalación del sistema.

(36)

– 14) Requerimientos de instalación de software: Se debe _{14) Requerimientos de instalación de software: Se debe} considear:

considear:

» Los procedimientos de carga y descarga del plan de instalación del _{Los procedimientos de carga y descarga del plan de instalación del} software

software

» El personal interno requerido_{El personal interno requerido}

» El personal técnico del suministrado del software_{El personal técnico del suministrado del software} » El local_{El local}

(37)

– _{15) Requerimientos de entrenamiento}_{15) Requerimientos de entrenamiento}

» _{Se deben considerar el nivel, tipo y tiempo de}_{Se deben considerar el nivel, tipo y tiempo de} entrenamiento requerido dentro y fuera de la entrenamiento requerido dentro y fuera de la organización.

organización.

» Se deben identificar los participantes requeridos, tanto _{Se deben identificar los participantes requeridos, tanto}

usuarios directos del sistema como usuarios indirectos, así usuarios directos del sistema como usuarios indirectos, así como el personal de operaciones del computador.

(38)

– 16) ₁₆₎Requerimientos de pruebas del software. Se debe considerar:Requerimientos de pruebas del software. Se debe considerar:

» La naturaleza y extensión de las pruebas requeridas (programas, prueba integrada, _{La naturaleza y extensión de las pruebas requeridas (programas, prueba integrada,}

aceptación y paralelo)

» Prueba de criterios_{Prueba de criterios}

» Plan de pruebas_{Plan de pruebas}

» Prueba de casosPrueba de casos » Prueba de datosPrueba de datos

» Prueba de resultados esperados_{Prueba de resultados esperados}

(39)

– 17) Requerimientos del contrato_{17) Requerimientos del contrato}

» _{Se debe considerar una garantía de cumplimiento del}_{Se debe considerar una garantía de cumplimiento del}

suministrador del software que tenga una vigencia de suministrador del software que tenga una vigencia de

por lo menos tres períodos después de la puesta en por lo menos tres períodos después de la puesta en

marcha de sistema. marcha de sistema.

» _{También es importante dividir los pagos en relación a}_{También es importante dividir los pagos en relación a}

(40)

– 18) Requerimientos de operación_{18) Requerimientos de operación}

» Se deben considerar el número y tipos requeridos de discos, cintas, _{Se deben considerar el número y tipos requeridos de discos, cintas,} casettes, disquettes, etc.

casettes, disquettes, etc.

» También se deben identificar los volúmenes y consumos de papelería _{También se deben identificar los volúmenes y consumos de papelería} y suministros y de algunas fórmulas especiales requeridas. Debe

y suministros y de algunas fórmulas especiales requeridas. Debe considerarse el suministro oportuno de tinta o tonner para las considerarse el suministro oportuno de tinta o tonner para las

impresoras. Asimismo, se deben identificar los itinerarios de los impresoras. Asimismo, se deben identificar los itinerarios de los

(41)

– _{19) Requerimientos futuros de software}_{19) Requerimientos futuros de software}

» Se debe considerar las necesidades y requerimientos de _{Se debe considerar las necesidades y requerimientos de}

información futuras que se relacionen con el software en estudio. información futuras que se relacionen con el software en estudio.

» Normalmente estos requerimientos si no se determinan, luego se _{Normalmente estos requerimientos si no se determinan, luego se} olvidan. Por ejemplo, contemplar la compra de un paquete de olvidan. Por ejemplo, contemplar la compra de un paquete de planillas ahora cuando el usuario está planeando sustituir todo el planillas ahora cuando el usuario está planeando sustituir todo el sistema financiero por un paquete integrado en un futuro cercano sistema financiero por un paquete integrado en un futuro cercano y la planilla es parte de este paquete.

(42)

– 19) ₁₉₎Requerimientos de organización: Se deben considerar el tiempo Requerimientos de organización: Se deben considerar el tiempo y la naturaleza de la adquisición de nuevos negocios y fusiones que y la naturaleza de la adquisición de nuevos negocios y fusiones que puedan impactar la instalación e implementación de software.

puedan impactar la instalación e implementación de software.

» Establecer un comité denominado “Comité de Informática o de _{Establecer un comité denominado “Comité de Informática o de} Sistemas”, de alto nivel que se responsabilice de iniciar, guiar y Sistemas”, de alto nivel que se responsabilice de iniciar, guiar y supervisar los planes de adquisición, el proceso del proyecto y supervisar los planes de adquisición, el proceso del proyecto y resuelva los problemas que se pudieran presentar. El comité debe resuelva los problemas que se pudieran presentar. El comité debe ser presidido por la gerencia general.

(43)

– _{Continuación requerimientos de organización}_{Continuación requerimientos de organización}

» _{Se debe controlar la proliferación de microcomputadoras.}_{Se debe controlar la proliferación de microcomputadoras.} Cualquier adquisición de este tipo de equipo deberá ser Cualquier adquisición de este tipo de equipo deberá ser revisado y llevar el Visto Bueno del responsable de T.I y revisado y llevar el Visto Bueno del responsable de T.I y el comité de Informática.

el comité de Informática.

(44)

– Continuación requerimientos de organización_{Continuación requerimientos de organización}

» El hardware y el software solo será adquirido si va a producir _{El hardware y el software solo será adquirido si va a producir}

más ventajas, ahorros y beneficios que otra alternativa de

procesamiento (sistemas manuales, alquiler de servicios,

tiempo compartido, etc)

» La decisión gerencial de adquisición deberá estar soportada _{La decisión gerencial de adquisición deberá estar soportada}

por un análisis de medición del desempeño del equipo basado

en herramientas de software confiable

(45)

» Se debe aplicar un apropiado criterio de selección y ponerlo a _{Se debe aplicar un apropiado criterio de selección y ponerlo a}

disposición de los proveedores como términos de referencia

para recibir propuestas formales de dichos proveedores.

» Los términos y aspectos legales de la contratación deben ser _{Los términos y aspectos legales de la contratación deben ser}

cuidadosamente analizados por abogados antes de llevar a cabo

la selección final y también deberán ser revisadas por el

auditor de sistemas

(46)

» _{Se deben obtener los programas fuente del software para}_{Se deben obtener los programas fuente del software para} asegurarse la no dependencia del proveedor. (Debe

asegurarse la no dependencia del proveedor. (Debe considerarse el lenguaje de desarrollo)

considerarse el lenguaje de desarrollo)

» Se debe preparar un estudio de factibilidad, el cual debe _{Se debe preparar un estudio de factibilidad, el cual debe} ser revisado por los usuarios, el personal de cómputo y el ser revisado por los usuarios, el personal de cómputo y el auditor de sistemas.

(47)

– Continuación requerimientos de organización_{Continuación requerimientos de organización}

» Se deben establecer los criterios de competencia (Benchmark) y _{Se deben establecer los criterios de competencia (Benchmark) y}

enviarlos a los proveedores de equipo y los resultados deben ser

evaluados y retenidos.

» Se debe efectuar un estudio de costo-beneficio del software _{Se debe efectuar un estudio de costo-beneficio del software}

ofrecido.

» Los costos del software deben ser clasificados en costos no _{Los costos del software deben ser clasificados en costos no}

recurrentes (una sola vez) y costos recurrentes.

(48)

– Costos no recurrentes:_{Costos no recurrentes:}

» El precio básico del paquete de software y el pago de la licencia _{El precio básico del paquete de software y el pago de la licencia} de uso.

de uso.

» Costos de opciones especiales antes y después de la instalación._{Costos de opciones especiales antes y después de la instalación.}

» Honorarios de abogados y consultores externos._{Honorarios de abogados y consultores externos.}

» Gastos de viajes, hospedajes y alimentación._{Gastos de viajes, hospedajes y alimentación.}

(49)

– _{Costos no recurrentes:}_{Costos no recurrentes:}

» _{Costos de modificación al software.}_{Costos de modificación al software.}

» Costos de compra del computador, equipo periférico, etc_{Costos de compra del computador, equipo periférico, etc}

» _{Contratación de nuevos empleados y los costos asociados al}_{Contratación de nuevos empleados y los costos asociados al}

entrenamiento.

» Costos de conversión e instalación_{Costos de conversión e instalación}

(50)

– _{Costos recurrentes:}_{Costos recurrentes:}

» _{Costos de soporte del proveedor (mantenimiento anual,}_{Costos de soporte del proveedor (mantenimiento anual,} pago de nuevas versiones, pago de modificaciones

pago de nuevas versiones, pago de modificaciones después de la implantación, etc).

después de la implantación, etc).

» Suministros de cómputo (carretes de cintas, discos, papel, _{Suministros de cómputo (carretes de cintas, discos, papel,} tinta, toner y cintas de impresoras, etc).

tinta, toner y cintas de impresoras, etc).

(51)

– Costos recurrentes:_{Costos recurrentes:}

» Beneficios cualitativos (mejora en la toma de decisiones basadas _{Beneficios cualitativos (mejora en la toma de decisiones basadas} en la informacion oportuna y relevante que produce el sistema) y en la informacion oportuna y relevante que produce el sistema) y cuantitativos (reducción de las horas extra o personal asociado al cuantitativos (reducción de las horas extra o personal asociado al

sistema, optimización de los niveles de inventarios) sistema, optimización de los niveles de inventarios)

» Equipo rentado_{Equipo rentado}

» Los seguros que se paguen al INS como protección de los _{Los seguros que se paguen al INS como protección de los} productos.

(52)

 SERVICIOSSERVICIOS

– 1) Objetivos de control: Los objetivos de control para los _{1) Objetivos de control: Los objetivos de control para los} servicios en el proceso de adquisición son los de asegurar servicios en el proceso de adquisición son los de asegurar que se han establecido controles apropiados que permitan que se han establecido controles apropiados que permitan verificar que exista:

verificar que exista:

» Razonabilidad en el uso económico de los recursos de la _{Razonabilidad en el uso económico de los recursos de la} organización.

organización.

» Que los riesgos potenciales negativos que pudieran incidir son los _{Que los riesgos potenciales negativos que pudieran incidir son los} mínimos y son inmateriales

(53)

 Técnica de control, objetivos de control Servicios.Técnica de control, objetivos de control Servicios.

– A) Se deben seleccionar y contratar consultores externos que _{A) Se deben seleccionar y contratar consultores externos que}

gocen de prestigio y buena reputación en caso de necesitar sus

servicios. Se debe preparar una propuesta de servicios y firmar

el respectivo contrato.

– B) Las empresas que brindan servicios de cómputo y tiempo _{B) Las empresas que brindan servicios de cómputo y tiempo}

compartido deben ser seleccionadas y contratadas con base en la

nueva reputación, experiencia, estabilidad, sólida posición

financiera, etc

(54)

 Técnica de control, objetivos de control Servicios.Técnica de control, objetivos de control Servicios.

– C) Las empresas que brindan servicios de cómputo y tiempo _{C) Las empresas que brindan servicios de cómputo y tiempo}

compartido deben ser contratadas solamente si se ha llegado a la

conclusión de que no se puede proveer esos servicios

internamente en una forma económica.

– D) Se debe firmar un contrato que debe ser revisado por un _{D) Se debe firmar un contrato que debe ser revisado por un}

abogado y ser modificado, en caso de ser necesario, si se llega a

contratar empresas que brindan servicios de cómputo y tiempo

compartido.

(55)

 Programa de trabajo de AuditoríaPrograma de trabajo de Auditoría

– _{El programa de trabajo para la revisión de la}_{El programa de trabajo para la revisión de la}

(56)

 Continuación Programa de trabajo de AuditoríaContinuación Programa de trabajo de Auditoría

– 1. Completar el trabajo preliminar de la planeación_{1. Completar el trabajo preliminar de la planeación}

» Este paso incluye la identificación y selección del centro de _{Este paso incluye la identificación y selección del centro de}

cómputo a ser auditado. (en el caso de que existan varias

localizaciones), basado en la matriz de planeación de

auditoria que se presenta al final de este módulo (riesgos

potenciales del CC) o en una petición hecha por la gerencia.

El auditor de sistemas deberá revisar los papeles de trabajo y

los reportes, previo a la intervención donde sea aplicable

(57)

– _{2. Identificar las fuentes de información para las}_{2. Identificar las fuentes de información para las}

revisiones de auditorias y la realización de las pruebas. revisiones de auditorias y la realización de las pruebas.

» Este segundo paso se relaciona con la identificación de las _{Este segundo paso se relaciona con la identificación de las}

fuentes de información requeridas durante los procesos de

revisión y las pruebas. Las fuentes juegan un papel muy

importante ya que son el soporte y la documentación de las

evidencias.

(58)

– Algunas fuentes de información son:_{Algunas fuentes de información son:}

» Papeles de trabajo previos a la intervención_{Papeles de trabajo previos a la intervención} » Informes de auditorías de revisiones anteriores_{Informes de auditorías de revisiones anteriores} » Recomendaciones de revisiones anteriores_{Recomendaciones de revisiones anteriores}

» Manual de políticas y procedimientos de la empresa_{Manual de políticas y procedimientos de la empresa}

» Manual de estándares, políticas y procedimientos del área de _{Manual de estándares, políticas y procedimientos del área de} procesamientos electrónico de datos

procesamientos electrónico de datos

(59)

– _{continuación algunas fuentes de información:}_{continuación algunas fuentes de información:}

» _{Todos los contratos firmados con proveedores de equipo,}_{Todos los contratos firmados con proveedores de equipo,}

software, consultores, etc

» Las facturas de pagos a consultores externos_{Las facturas de pagos a consultores externos}

» Carteles o cotizaciones presentadas_{Carteles o cotizaciones presentadas}

» Informes de progreso del estado de los proyectos_{Informes de progreso del estado de los proyectos}

(60)

– continuación...._{continuación....}

» Informes de estudios de factibilidad_{Informes de estudios de factibilidad}

» Resultados de pruebas de competencia (Bench Mark)_{Resultados de pruebas de competencia (Bench Mark)}

» Memorandum del establecimiento del comité de sistemas y el libro _{Memorandum del establecimiento del comité de sistemas y el libro} de actas

de actas

» Informes de revisiones de terceras personas_{Informes de revisiones de terceras personas}

» Organigrama del área de procesamiento electrónico de datos y de _{Organigrama del área de procesamiento electrónico de datos y de} las áreas usuarias.

(61)

– _{continuación....}_{continuación....}

» _{Informes de productividad de la máquina y bitácora del}_{Informes de productividad de la máquina y bitácora del} sistema

sistema

(62)

– _{3. Diseñar y desarrollar los procedimientos}_{3. Diseñar y desarrollar los procedimientos}

» _{Este paso incluye la identificación y selección de la}_{Este paso incluye la identificación y selección de la}

metodología de verificación y las pruebas que se deberá

aplicar para revisar los controles del proceso de adquisición

» _{Este paso también incluye la utilización de procedimientos}_{Este paso también incluye la utilización de procedimientos}

detallados de auditoría hechos a la medida o estándares que

deben contener listas de chequeo y cuestionarios.

(63)

– _{4. Ejecutar la revisión y pruebas de cumplimiento}_{4. Ejecutar la revisión y pruebas de cumplimiento}

para los controles para los controles

» A continuación se presentan algunas revisiones de _{A continuación se presentan algunas revisiones de} auditoría y pruebas de controles:

(64)

» a) Revisar el memorando de constitución del comité de sistemas, _{a) Revisar el memorando de constitución del comité de sistemas,} las minutas de reuniones y otro tipo de información disponible para las minutas de reuniones y otro tipo de información disponible para tener un entendimiento de los planes de adquisición y el desarrollo tener un entendimiento de los planes de adquisición y el desarrollo

de dichos planes. de dichos planes.

» b) Revisar el informe del estudio de factibilidad para determinar si _{b) Revisar el informe del estudio de factibilidad para determinar si} los objetivos propuestos y los propósitos del sistema son

los objetivos propuestos y los propósitos del sistema son consistentes con la información contenida en las propuestas consistentes con la información contenida en las propuestas

solicitantes a los proveedores y a las requisiciones de servicio de solicitantes a los proveedores y a las requisiciones de servicio de

(65)

» _{c) Asegurarse de que cada propuesta recibida de los}_{c) Asegurarse de que cada propuesta recibida de los}

proveedores fue evaluada con el mismo criterio de selección.

» d) Revisar la correspondencia con los proveedores para _{d) Revisar la correspondencia con los proveedores para}

determinar si la decisión final fue comunicada formalmente a

todos los proveedores

» e) Revisar el resultado de las pruebas de competencia _{e) Revisar el resultado de las pruebas de competencia}

(Benchmark) para determinar si se realizó en forma

consistente y válida para llegar a una decisión final.

(66)

» _{f) Asegurarse de que el financiamiento del hardware y}_{f) Asegurarse de que el financiamiento del hardware y}

equipo periférico, ya se ha comprado, rentado o alquilado

con opción de compra, sea consistente con el plan de

adquisición de hardware.

» g) Determinar que la conversión del nuevo sistema haya _{g) Determinar que la conversión del nuevo sistema haya}

sido llevado a cabo en un ambiente controlado y el software

haya sido probado completamente con resultados

prederminados