Caso real
INDICE INTRODUCCION......................................................................................3 CAPÍTULO 1. -
Views 128 Downloads 3 File size 239KB
Recommend stories
- Author / Uploaded
- Alex Armando Torres Bermúdez
Citation preview
INDICE INTRODUCCION......................................................................................3 CAPÍTULO 1. - REFLEXIONES TEÓRICAS SOBRE LAS AUDITORÍAS INFORMÁTICAS............................................................4 PREMISAS FILOSÓFICAS...........................................................................................................................................................4 CARACTERIZACIÓN, FUNCIONES Y ALCANCE DE LA AUDITORÍA INFORMÁTICA...................................................................................5 PRINCIPALES TIPOS DE AUDITORÍA INFORMÁTICA........................................................................................................................6
CAPÍTULO 2. - IMPLEMENTACIÓN Y PERSONALIZACIÓN DE LA AUDITORÍA INFORMÁTICA EN ETECSA..................................7 ELABORACIÓN Y DESARROLLO DE LA METODOLOGÍA DE TRABAJO...................................................................................................7 Elaboración del programa..........................................................................................................................................11 de Auditoría................................................................................................................................................................11 EXPERIENCIA PRÁCTICA.........................................................................................................................................................18
CAPÍTULO 3. - PROYECCIONES DE TRABAJO PARA ETECSA EN LAS AUDITORÍAS INFORMÁTICAS...........................................25 CONCLUSIONES....................................................................................27 RECOMENDACIONES..........................................................................29 BIBLIOGRAFÍA......................................................................................30
INTRODUCCION El trabajo que a continuación se presenta reflexiona sobre el papel de los Sistemas de Información para el buen gobierno empresarial y por ende la importancia que reviste auditar los recursos y tecnologías que lo soportan. Se enfatiza en la importancia del Auditor de Sistemas, el alcance de las funciones que esta llamado a desempeñar y la implementación o personalización en las condiciones propias de la Empresa de Telecomunicaciones de Cuba. Partiendo de nuestras convicciones filosóficas en tal sentido elaboramos nuestra metodología de trabajo para el desarrollo de las Auditorías Informáticas que reflejara y respondiera al proceso de re ingeniería en que actualmente se encuentra esta especialidad internacionalmente y asumiera las principales definiciones que en el mundo contemporáneo se manejan. Acompañamos dicha metodología con una experiencia práctica No dejamos de soslayar y enfatizamos nuestras proyecciones en aras de perfeccionar y contemporanizar el reto que en nuestro país y en particular la ETECS.A. debe asumir con la Auditoría Informática y las acciones que en tal sentido nos proponemos realizar.
Capítulo 1. - Reflexiones teóricas sobre las Auditorías Informáticas Premisas Filosóficas Según Alcalde, García: “Informática es la ciencia que estudia el tratamiento automático y racional de la INFORMACIÓN”. Se creó en Francia en el año de 1962 bajo la denominación INFORMATIQUE: Información automática. Cuando se habla de la función informática generalmente se tiende a hablar de tecnologías modernas y nuevas formas de elaborar información consistente. Sin embargo se suele pasar por alto la base que hace posible la existencia de estos elementos. Esta base es la INFORMACION. "Administrar un negocio bien es administrar su futuro; y administrar el futuro es administrar INFORMACION" Marion Harper Jr. A finales del siglo XX, los SISTEMAS INFORMATICOS se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los SISTEMAS de INFORMACION de la empresa. La Informática hoy esta integrada en la gestión integral de la empresa, tanto para garantizar la rapidez y eficiencia de las operaciones, así como para facilitar la toma de decisiones oportunas y seguras al ejecutivo. Es por ello que las normas y estándares informáticos deben someterse a los generales de la misma. Por ello la importancia del Auditor Informático: Informático quien ha de velar por la correcta utilización de los amplios recursos que la Empresa pone en juego para disponer de un eficiente, eficaz y seguro Sistema de Información.
Caracterización, funciones y alcance de la Auditoría Informática La Auditoría es el control de los controles. Su misión es emitir un criterio objetivo sobre el grado de diseño y uso de controles que garantizan razonablemente que los objetivos del negocio se alcancen. En el caso de la auditoría informática se centra fundamentalmente en los controles sobre Tecnologías de Información, no obstante, sin perder de vista el enfoque sistémico dictamina también sobre los controles manuales que afectan directamente a estas tecnologías. Para emitir estos criterios el auditor se basa en principios generalmente aceptados y en documentos regulatorios. Entre sus Funciones se encuentra: • • • • •
Auditorías (Gestión Informática, Sistemas, Seguridad,...) Dictamén Técnico como sustento para las Auditorías Financieras. Asesorías o Consultorías Diagnósticos de riesgos en la aplicación de tecnologías de la información. Desarrollo de herramientas informáticas para facilitar las funciones de auditorías, análisis y monitoreo con apoyo de las tecnologías de información. • Apoyo en la Administración y Gestión de los servicios computacionales a lo interno de la Auditoría Interna. Su Alcance trasciende a: • Proceso de emisión de políticas y directrices para administrar la aplicación de las tecnologías de Información en calidad de consultores dada su experiencia en la aplicación del Control Interno. • La evaluación de los Procesos y Controles aplicados a las Tecnologías de Información, así como las etapas de Concepción, Desarrollo e Implementación de los Sistemas Informáticos. • Verificación de los Procesos inherentes a la red telemática y los servicios de telecomunicaciones que soportan los servicios informáticos.
Principales tipos de Auditoría Informática Un Sistema de Información mal diseñado puede convertirse en una herramienta harto peligrosa para la Empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la empresa está prácticamente modelada por sus Sistemas Informáticos, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Este concepto obvio es a veces olvidado por muchas empresas. En este caso interviene la AUDITORIA DE SISTEMAS EN DESARROLLO. Las tecnologías de la información, y dentro de éstas, la informática, ha vivido durante los últimos años una época dorada dentro de las organizaciones, en la que cualquier persona que trabajase en procesos de datos, gozaba de una inmunidad casi total, en gran parte por la existencia de una relación inversa entre "formación" informática del personal directivo de la organización y dependencia hacia éstas. La necesidad de toda organización de garantizar sus inversiones en este tipo de activos, sobre todo cuando crece la dependencia hacia ellos ha potenciado la aparición de la AUDITORÍA A LA GESTIÓN INFORMÁTICA para garantizar un grado de eficacia y eficiencia en la utilidad que estos reportan. Un fenómeno que se ha ido incrementado paulatinamente en los últimos años es el hecho que las computadoras y los Centros de Proceso de Datos se han convertido en blancos apetecibles para el espionaje de información. Por otra parte se suele perder de vista que los Sistemas Informáticos creados para procesar y difundir información elaborada pueden producir resultados erróneos si los datos de entrada en un proceso son, a su vez, erróneos. Para impedir estas situaciones y por ende garantizar que la información se mantenga confidencial, integra y disponible se realizan AUDITORÍA A LA SEGURIDAD de tales sistemas.
Capítulo 2. - Implementación y personalización de la Auditoría Informática en ETECSA Elaboración y desarrollo de la metodología de trabajo. En nuestra Empresa dado el creciente y acelerado desarrollo de la tecnología se hizo necesario adoptar la personalización de las Auditorías Informáticas y las modalidades que ésta asumiría para el desempeño de la Auditoría en general, el reto consistía en barrer los tiempos de silencio informático de la Dirección de Auditoría acometiendo aceleradamente el desarrollo de las Auditorías Informáticas asumiendo además la capacitación e informatización del resto de los auditores. Para comenzar en este empeño era imprescindible comprender los procesos de re ingeniería de esta especialidad y personalizar los cambios que en ella se plantean por organizaciones internacionales en aras de insertarnos en la teoría más moderna y eficiente que garantizara el enfoque sistémico en el análisis de los procesos a Auditar argumentados en el Capítulo I de este documento. Para dirigir nuestro estudio y esfuerzos comenzamos por hacer un levantamiento de la situación en el Area de las Telecomunicaciones, la Informática y la posición de esta especialidad en el ámbito nacional e interno. En cuanto a las Telecomunicaciones la digitalización ha alcanzado más del 85 % de instalación en la ETECS.A., ampliándose cada vez más nuestras redes de telecomunicaciones ofreciendo servicios tales como telefonía, transmisión de datos, video conferencias, servicios de voz y datos integrados, servicios suplementarios sobre la telefonía, entre otros aspectos.
En el Area de Informática la Empresa posee en explotación aplicaciones como el SAP/R3, aplicación contable que se explota en aproximadamente 40 países desarrollados, el Sistema de Facturación Nacional, el Sistema de Facturación Internacional, entre otros, personalizados a partir de la experiencia del socio extranjero y que técnicamente se gestionan centralizadamente sobre servidores UNIX-DIGITAL empleando como Gestor de Base de Datos el ORACLE. Para la comunicación de las más de 3 000 computadoras se emplean INTRANETs gestionadas en cada Entidad así como un punto de servicio que conecte a la Empresa con el resto del país y el exterior con el empleo de un equipamiento y tecnología de punta. En el marco organizativo nuestro grupo está formado por 4 Especialistas, de ellos 3 graduados en Informática y 1 Ingeniero en Telecomunicaciones. En el marco gubernamental se carece de documentos normativos propios de la especialidad para ejercer sus funciones, además de aquellos que rijan la actividad de informática en cada una de las etapas de las aplicaciones. Centralizamos nuestra atención, luego del conocimiento del entorno en la definición de la Visión de la Auditoría Informática en ETECS.A. a partir de la cual trazar la Misión y los Objetivos específicos, sustentado en la visión general que de nuestros estudios anteriores se derivara y atemperado a las condiciones concretas de nuestra Entidad.
Como Visión de Auditoría Informática definimos conceptualmente: El conjunto de procedimientos que permiten evaluar el establecimiento de un Sistema de Control Interno asociado a las Tecnologías de Información, para determinar su grado de Seguridad, Auditabilidad, Controlabilidad, así como la eficiencia y eficacia de sus operaciones en correspondencia con los objetivos generales del negocio y acorde al cumplimiento de las normativas vigentes.
Esto conllevó a priorizar ante todo, dos aspectos en los cuales sustentar nuestro trabajo: 1°- Obtener una base evaluativa confiable o principios
generalmente aceptados que
sustentaran aquellos aspectos que sobre la tecnología de información debían ser evaluados en su correspondiente enfoque sistémico. 2°- Definir una metodología adecuada de trabajo que permitiera elaborar nuestros propios programas de Auditoría con la dinámica que estos exigen y adecuado a las características en concreto de cada lugar atemperado al concepto más amplio de Sistemas de Información soportados sobre las tecnologías de información en su concepto más amplio. Para la consecución de la Primera tarea trazada estudiamos modelos internacionales tales como COSO, COCO, SAC, etc., como referencia para auditar sistemas complejos y altamente automatizados, arrojando que el Modelo Cobit diseñado para el buen gobierno de las Tecnologías de Información era el adecuado para la evaluación de la misma. Es necesario ahondar sobre el Modelo Cobit por cuanto constituye un Modelo de Control Interno dirigido a las necesidades de Control de las Tecnologías de Información, es una herramienta innovadora que ayuda tanto a los Directivos a comprender y administrar los riesgos asociados con estas tecnologías así como a los Auditores a evaluar acertadamente el cumplimiento de estas políticas en aras de obtener informaciones con la calidad y seguridad que la alta Dirección necesita para emitir criterios que faciliten el cumplimiento de los Objetivos propuestos. Consta de 302 Objetivos de Control detallados agrupados en 4 Dominios: Planeación u Organización, Adquisición e implementación Entrega y Soporte Monitoreo
Los cuales aparecen explícitamente en la Ponencia: Implementación del Modelo Cobit en las Auditorías Informáticas, donde se expone la experiencia de su implementación en la Empresa así como en las Bibliografías que se relacionan al final. Una vez definido el Modelo standard de trabajo el próximo paso lo constituyó la definición de la Metodología de trabajo a aplicar para el desarrollo de las Auditorías Informáticas. A continuación exponemos en un pequeño Diagrama los pasos de que consta dicha Metodología, explicándose estos posteriormente y al concluir se ilustrará detalladamente a través de un ejemplo práctico en una Auditoría a una Central Telefónica Digital.
Pasos de la Metodología. Diagrama Informativo-Operacional
Determinación de las Areas de alta exposición Determinación de los procesos críticos Determinación de los riesgos agrupados en los 4 dominios de Cobit
Formular la Estrategia, Alcance y Nivel de Riesgo
Determinación de técnicas de prueba
Elaboración del programa
Ejecución del Plan y análisis de resultados Elaboración del Informe
Diagrama Informativo Operacional: En la fase de Exploración debe conciliarse el alcance del Sistema asociado a las tecnologías de información dentro del contexto de los objetivos del auditado, conociendo el Flujo Informativo Operacional y de Control con el correspondiente movimiento de la información de entrada y salida e incidencia
en la operación de las Tecnologías de
información, así como los objetivos, funciones, preparación del personal, capacitación, composición, definición de funciones, estructura, entre otros aspectos del auditado. Se concluye la etapa para su archivo en el expediente de la Auditoría con la elaboración de un Flujograma aplicando las técnicas de diseño elaboradas para estos fines. Por ende el ciclo de entrevistas debe estar orientado al siguiente axioma final: Claridad entre la información y la tecnología en función de los Objetivos del Auditado. La etapa de Planeamiento de la Auditoría se comienza con la: Determinación de las Areas de mayor exposición dentro del Sistema Informativo Operacional: Teniendo en cuenta los objetivos claves definidos para la Auditoría considerando como Area de mayor exposición aquellas donde se genera, modifica y elimina la información que procesan las tecnologías de información. Las Areas críticas se evalúan en dependencia del impacto que ellas puedan poseer dentro del Sistema Informativo del Auditado, por tanto, puedo tener más de un Area con diferentes valores de criticidad, donde la calidad de la información o el flujograma que se haya obtenido en la etapa anterior disminuye la subjetividad que pueda incorporarse en la evaluación de las Areas críticas.
Determinación de los procesos críticos asociados a las Areas críticas definidas, planteándolos como los procesos más importantes asociados a las Tecnologías de Información para la consecución de los objetivos trazados en la Auditoría. Es importante señalar que los procesos críticos no tienen que estar obligatoriamente relacionados con las Areas críticas, es poco probable pero no imposible que algún proceso evaluado como crítico en la tecnología no pertenezca al Area crítica, el criterio para su valoración está dado en la definición de los objetivos claves del auditado. Determinación de los Riesgos: Previa definición de las Areas y procesos de mayor exposición partiendo de los objetivos claves trazados para la Auditoría se determina, en primera instancia, cuál o cuáles dominios correspondientes al Modelo Cobit deben ser evaluados, decidiendo posteriormente, de los Objetivos de Control detallado para cada Dominio cuáles constituirían nuestra atención. La aplicación de Cobit constituye un marco de referencia a partir del cual elaborar los riesgos pero no excluye la personalización o adición de riesgos propios asociados a los objetivos específicos de la Auditoría y del Sistema de Información que estemos auditando. Al concluir los pasos anteriores hemos focalizado los aspectos que deben ser verificados o evaluados acorde a las características o Sistema existente en el objeto de Auditoría. Las interrogantes que pueden decidir los pasos a seguir tales como: ¿Cuál es la relación Costo Beneficio acorde a la importancia que se le atribuye a la Auditoría? ¿Cuál es el nivel de riesgo del auditor aceptable para los resultados? ¿Cómo medir los resultados del Auditor? ¿Cuál es el tiempo definido para la Auditoría y la consideración de si este debe ser reconsiderado? ¿Qué fuerzas son necesarias emplear para el desarrollo de la Auditoría?
¿Es necesario la incorporación de especialistas específicos que dictaminen sobre aspectos concretos? Esto implica que las variables: Estrategia, Alcance, Nivel de riesgo tolerable del Auditor Deben ser definidos antes de elaborar el Plan de Acción o Programa de Auditoría, por cuanto de estas respuestas depende la rentabilidad y eficiencia de la Auditoría así como la calidad de la información y las pruebas que se obtengan. Este es un paso muy importantes en el sentido que es aquí dónde se moldea la Estrategia y las premisas claves de la Auditoría, se obtiene el punto de vista y las sugerencias del Jefe de Grupo, se determina cuán importante es la Auditoría para la Entidad y qué nivel de riesgo de Auditoría se puede aceptar en relación con la importancia del Area o Sistema que representa el Auditado. Se refleja además en la calidad de la opinión necesaria para minimizar la posibilidad de arribar a una opinión equivocada que pudiera afectar la credibilidad e integridad del auditor. De la Estrategia, los Objetivos Generales de Auditoría y el nivel de riesgo de Auditoría tienen mucho que ver con el enfoque de prueba que posteriormente debía considerarse. Determinación del Enfoque de Prueba: Para la determinación de las técnicas de prueba nos auxiliamos de una matriz cuyas filas recogen 65 Herramientas o Técnicas de Prueba posibles y en las columnas los 8 Tipos de Sistemas: 1- Manual 2- En lote 3- En desarrollo 4- En Línea
5- Disperso de Red 6- Distribuido Cliente/Servidor 7- Microcomputadoras 8- Probabilístico donde en cada escaque se define el nivel de efectividad que la herramienta posee para ese tipo de sistema y además si se corresponde con una Prueba de Cumplimiento o una Prueba Sustantiva. Es importante destacar que al usar un enfoque de prueba equivocado se pueden obtener resultados de prueba que no sean indicativos del verdadero riesgo inherente al sistema. Elaboración del Programa de Auditoría: Está claro que en esos momentos ya hemos definido: Los Objetivos que hay que verificar, Los riesgos que son necesarios evaluar y Las Técnicas que vamos a emplear. Para la consecución de los aspectos anteriores se pueden plantear el empleo de programas específicos propios de la tecnología existente tales como los que obran en la bibliografía del Manual de la Corporación CIMEX, “La Auditoría Informática: un enfoque práctico”, entre otras referencias, pero particularizado el Plan de Acción a las condiciones concretas del Auditado. Queremos señalar que no siempre es posible encontrar en la literatura Programas de Auditoría a algunos procesos específicos siendo necesario elaborar los mismos, en nuestra experiencia lo realizamos a través de la elaboración de un documento que cuenta con la siguiente estructura: OBJETIVOS DE CONTROL
RIESGOS
OBJETIVOS DE
TÉCNICAS DE
AUDITORÍA
PRUEBA
Y PRUEBA ESPECÍFICOS
El contenido de cada columna y fila se detallará posteriormente en el ejemplo pues en dicho caso no se encontró literatura con programas específicos para las Centrales Digitales. Lo que no cabe duda es que estos programas son diseñados a la medida del Auditado y de las condiciones concretas y materiales con que cuenta el Auditor, lo que no implica que la especialización de este Programa de Acción dé al traste con la posibilidad de consultar este plan cuando sea necesario en otra Auditoría, por el contrario estriba en la justeza de sus acciones y en la experiencia documental que transmite y ayuda para el desarrollo de otras auditorías. Ejecución del Plan, Análisis de los resultados y Elaboración del Informe de Auditoría: En este aspecto nos centramos fundamentalmente en los aspectos que deben tenerse en cuenta para la elaboración del Informe de Auditoría, ya que la ejecución del plan y el análisis de los resultados se corresponde con las acciones que siempre en este apartado se realizan. Entre las consideraciones que tenemos en cuenta para la elaboración de los Informes se encuentra:
Deben contener un lenguaje sencillo y comprensible por los directivos sin exageraciones técnicas.
No renunciar al lenguaje técnico pero asequible para la persona que los vaya a leer, acompañado de ser necesario de un glosario de definiciones.
Debe contabilizar los aspectos que sean posibles, cuantificando gastos o pérdidas monetarias en las tecnologías ante el impacto de los riesgos verificados.
Acompañarlo del Análisis de Riesgo y el programa de Auditoría realizados con el objetivo de que el auditado posea una herramienta que le permita auto evaluarse.
Promover el conocimiento del Modelo Cobit a través de los informes de Auditoría, focalizando las deficiencias acorde a los dominios establecidos por éste.
La intención de la Metodología propuesta y que aplicamos en la Empresa es elaborar programas o planes de Auditoría en función de la evaluación de los riesgos y los objetivos generales del negocio, sin pretender que este sea estático sino un traje a la medida en correspondencia con la situación concreta que estemos analizando. En nuestra Empresa los resultados de nuestro enfoque se han hecho palpables toda vez que es mayor el número de directivos que solicitan el apoyo de nuestra especialidad para el desarrollo e implementación de nuevas tecnologías conscientes de que el desarrollo acelerado de las tecnologías de información requieren de metas ambiciosas e integradoras. Esta Metodología que se aplica en ETECSA se simplificará en la medida que los auditados elaboren sus propios análisis y evaluación de riesgos, los cuales podremos emplear en la elaboración de nuestros programas y no partiendo de cero como trabajamos en la actualidad, nuestros resultados los incorporamos como valor agregado de la actividad anexándolo al informe en aras de contribuir con los auditados.
Experiencia práctica Experiencia práctica de la Metodología en una Auditoría a una Central Digital Telefónica. Objetivos claves de la Auditoría ♦ Gestión de Tarifas ♦ Control sobre la información de los Abonados ♦ Cumplimiento de normativas internas En el Diagrama Informativo-Operacional resultado de la etapa de exploración anterior se observa el flujo informativo que se establece en el Sistema Objeto de Auditoría, apreciándose los datos de entrada y salida que son procesados por la Central Telefónica y supervisados centralmente por el Centro de Supervisión, relacionados con 4 Entidades donde se puede observar con facilidad que existen principios contables violados toda vez que la fijación de las responsabilidades sobre el Documento Orden de Servicio recae sobre dos Entidades que actúan sobre el Centro de Supervisión y Gestión Regional (CSGR-M).
Diagrama Informativo-Operacional VPON
Vicepresidencia Comercial
Solicitud de Servicio
Cumplimiento de normativas internas Orden de de Servicio Orden Trabajo
Centro Telefónico
Orden de Trabajo
Centro de Supervisión y Gestión Tráfico a Facturar
Dirección Facturación
Cumplimiento Indicadores
Cumplimiento Indicadores
Oficina Comercial
Tráfico Abonados
Como parte además de la fase de investigación preliminar o etapa de exploración se muestra la arquitectura funcional de la Central Telefónica desde le punto de vista de los macro procesos que la componen. SUBSISTEMA DE AGRUPACIÓN DE ABONADOS
LR
MATRIZ
CSNL LR
CSND PCM
STS
CENTRAL
PCM
DE
SMT
CONEXIÓN
CSED
PCM PCM
SMX
LR
BSC* SMA
RCP* CIRCUITOS Y MAQUINA DE MENSAJES OTRAS CENTRALES
PCM
MAS MAS
SUBSISTEMA DE CONEXIÓN Y MANDO
SMC
MIS CSED: CONCENTRADOR SATELITE ELECTRONICO DISTANTE CSND: CONCENTRADOR SATELITE DIGITAL DISTANTE CSNL: CONCENTRADOR SATELITE DIGITAL LOICAL MAS : MULTIPLEX DE ACCESO A LAS ESTACIONES MIS : MULTIPLEX ENTRE ESTACIONES REM : RED DE EXPLOTACIÓN/MANTENIMIENTO DISTANTE SMA : ESTACIÓN MULTIPROCESADOR DE AUXILIARES SMC : ESTACIÓN MULTIPROCESADOR DE CONTROL SMM: ESTACIÓN MULTIPROCESADOR MANTENIMIENTO SMT : ESTACIÓN MULTIPROCESADOR DE TERMINACIÓN PCM SMX : ESTACIÓN MULTIPROCESADOR DE CONEXIÓN STS : ESTACIÓN DE TIEMPO Y SINCRONIZACIÓN BSC : CONTROLAROR DE ESTACIÓN BASE RCP : PUNTO DE CONTROL RADIO MOVIL
SMM
ALARMAS
REM
PGS
POSICIÓN GENERAL DE SUPERVISIÓN
SUBSISTEMA DE EXPLOTACIÓN Y MANTENIMIENTO
A continuación enfocamos las Areas de mayor exposición de riesgos teniendo en cuenta los objetivos claves de la Auditoría: La Tasación y la Información de los Abonados, apreciándose que las Areas del Centro de Supervisión y Gestión así como el Centro de Facturación constituyen las Entidades de más interés para nuestra Auditoría, las cuales aparecen circuladas en rojo en el Diagrama.
VPON
Solicitud de Servicio
Vicepresidencia Comercial
Orden de de Servicio Orden Trabajo
Centro Telefónico
Orden de Trabajo
Centro de Supervisión y Gestión Tráfico a Facturar
Dirección Facturación
Cumplimiento Indicadores
Cumplimiento Indicadores
Oficina Comercial
Tráfico Abonados
En la Tecnología destacamos el SMC por ser el Subsistema de Multiprocesadoras encargada de llevar el control de las funciones de los Abonados, la Tasación , el Traductor, entre otros, y a éste están conectados las estaciones de trabajo que opera y gestiona el hombre las que actúan directamente sobre la Central Telefónica. SUBSISTEMA DE AGRUPACIÓN DE ABONADOS LR
MATRIZ
CSNL LR
CSND PCM
STS
CENTRAL
PCM
DE
SMT
CONEXIÓN
CSED
PCM PCM
SMX
LR
BSC* SMA
RCP* CIRCUITOS Y MAQUINA DE MENSAJES OTRAS CENTRALES
PCM
MAS MAS
SUBSISTEMA DE CONEXIÓN Y MANDO
SMC
MIS CSED: CONCENTRADOR SATELITE ELECTRONICO DISTANTE CSND: CONCENTRADOR SATELITE DIGITAL DISTANTE CSNL: CONCENTRADOR SATELITE DIGITAL LOICAL MAS : MULTIPLEX DE ACCESO A LAS ESTACIONES MIS : MULTIPLEX ENTRE ESTACIONES REM : RED DE EXPLOTACIÓN/MANTENIMIENTO DISTANTE SMA : ESTACIÓN MULTIPROCESADOR DE AUXILIARES SMC : ESTACIÓN MULTIPROCESADOR DE CONTROL SMM: ESTACIÓN MULTIPROCESADOR MANTENIMIENTO SMT : ESTACIÓN MULTIPROCESADOR DE TERMINACIÓN PCM SMX : ESTACIÓN MULTIPROCESADOR DE CONEXIÓN STS : ESTACIÓN DE TIEMPO Y SINCRONIZACIÓN BSC : CONTROLAROR DE ESTACIÓN BASE RCP : PUNTO DE CONTROL RADIO MOVIL
SMM
ALARMAS
REM
PGS
POSICIÓN GENERAL DE SUPERVISIÓN
SUBSISTEMA DE EXPLOTACIÓN Y MANTENIMIENTO
Luego de determinar las Area y procesos a verificar debemos definir la relación de riesgos que deben ser evaluados determinando ante todo los dominios del Modelo Cobit que deben ser empleados, en este caso: Entrega y Soporte y Monitoreo. A continuación relacionamos algunos de los riesgos asociados:
Algunos Riesgos asociados: 1- Inadecuada política para la gestión de terminales como por ejemplo definir adecuadamente las clases asignadas a cada terminal, seleccionar los mandos a proteger por contraseñas, etc. 2-Incongruencia entre las tarifas definidas por Comercial y las existentes en la Central Telefónica. 3- Inconsistencia en la información referente a los abonados según contrato y la definida a los mismos en la Central Telefónica. 4- Deficiente análisis periódico de la información contenida en las bitácoras de
.
la Central Telefónica con miras a la prevención de los problemas La Estrategia, Alcance y Nivel de Riesgo del auditor fueron analizados cuidadosamente toda vez que no poseíamos experiencia en este sentido ni literatura que propiciara indicios de cómo actuar en estas circunstancias, determinando que debíamos elaborar programas que formalizaran la información de la Central, redefinimos los objetivos claves en aras de una relación eficaz Costo/Beneficio y creamos condiciones para futuras actuaciones los procesos asociados a una Central Digital. Esto permitió disminuir considerablemente el nivel de riesgo, minimizando el nivel de riesgo y revisando sistemáticamente la estrategia trazada evaluando la efectividad de la misma.
Las técnicas y herramientas a emplear están en dependencia de la caracterización del tipo de sistema que estemos auditando, nos encontrábamos ante un sistema En Línea dónde se plantea que entre otras herramientas de prueba más eficaces se encuentran, entre otros: Documentación de Especificaciones del Sistema Simulador de terminal batch. Facilidad integrada de Prueba. Programas implantados para colectar datos de prueba Reconocimiento en línea. Prueba de transacciones virtuales. Módulos de Auditabilidad implantados Módulos de Simulación de Sistemas Por consiguiente, luego de definir los Riesgos y técnicas de prueba a emplear definimos el Programa de Auditoría a emplear del cual adjuntamos algunos aspectos del mismo. OBJETIVOS DE CONTROL
RIESGOS
OBJETIVOS DE TÉCNICAS DE AUDITORÍA Y PRUEBA/PASOS PRUEBA ESPECÍFICOS E.S. 11 Administración de• Inconsistencia entre las tarifas• Verificar si seAplicación de softwares Datos definidas en Comercial y las corresponden la Ordenesespecíficos para el análisis existentes en la Central Digital de Trabajo con los datosde las Bases de Datos. Elaboración de programas Error en las zonastarifarias de la Central • definidas por Comercial y las• Conciliación de Bases deque normalicen las Bases de definidas en la Central. Datos para verificar suDatos de la Central exactitud, suficiencia y validez con Bases análogas. E.S. 11.28 Garantizar la• de softwares Inconsistencia en la• Verificación de laAplicación integridad en el información referente a los integridad específicos como elWinIdea de la procesamiento de datos. abonados según contrato y la información a través deo ACL definida a los mismos en la la técnica del muestreo. Central Telefónica. E.S. 13.6 Realizar la• Deficiente análisis periódico•Interrogación de mandosSelección de los mandos a revisión del llenado de las de la información contenida y revisión de modelosverificar. bitácoras de operaciones en las bitácoras de la Central con el objetivo deAplicación de softwares de mediante interrogación en con miras a la prevención de verificar elselección sus salvas sistemáticas. los problemas. cumplimiento de esta tarea.
Capítulo 3. - Proyecciones de trabajo para ETECSA en las Auditorías Informáticas Promover con nuestros resultados la participación en la concepción de los Sistemas Informáticos que se elaboren en la Empresa con el objetivo de: • Obtener sistemas que cuenten con el cumplimiento de las Normativas, Regulaciones y las exigencias del Control Interno a fin de que su controlabilidad sea más eficaz para la dirección que concibe el mismo. • Crear condiciones que nos permitan a los auditores trabajar con menos costo y mayor eficiencia toda vez que los sistemas son más auditables. Fomentar con la discusión de nuestros informes con los directivos el papel preponderante que en nuestros tiempos le asiste a la Información y por consiguiente a la consistencia de esta para dirigir y proyectar el futuro. Impulsar el conocimiento del Modelo Cobit a través de la capacitación que se realiza a los directivos por los resultados internaciones que este ha demostrado para el buen gobierno de las Empresas. Continuar con el desarrollo de nuestro sitio WEB haciéndolo más dinámico como alternativa de promover y dar a conocer los fundamentos, resultados y principales riesgos y deficiencias de la Empresa. Transitar, gradualmente, hacia la aplicación de la Auditoría de Sistemas de Información como meta de la integración de la Auditoría de nuestros tiempos. Capacitar a nuestros auditores en especialidades como la Contabilidad, las Finanzas, las Telecomunicaciones, y los principios del Control Interno que coadyuven a la evaluación eficiente de los procesos con el enfoque sistémico adecuado, lo que redundará un valor agregado para la especialidad toda vez que haremos más tangible nuestros resultados.
Fomentar el análisis de riesgo como herramienta de consecución de objetivos de la dirección, demostrándolo con los resultados de su aplicación en el desarrollo de las Auditoria Informáticas Comenzar la preparación de programas de Auditoria que nos pongan a tono con las aspiraciones del país y la Empresa en aspectos tales como el Comercio Electrónico, Servicios de videoconferencia, Gestión Integrada de Tecnologías, entre otros. Elaborar herramientas informáticas que faciliten la conversión de los datos asociados a las Telecomunicaciones a formatos entendibles por los softwares de Auditoría con que contamos: WinIdea y ACL.
CONCLUSIONES No cabe duda de que nuestra línea de acción es adecuada por el empuje que la Auditoria Informática ha obtenido en nuestra Empresa en el escaso término de 3 años. Resulta sincero plantear que, a priori, la metodología planteada es costosa en tiempo porque ella requiere de una preparación en nuestros auditores, sin embargo en nuestro marco una Auditoría Integral a la Dirección de Telefonía Pública elaborada en el 2000 requirió de 3 meses incluyendo la elaboración del Informe, lo que se redujo en cuanto a tiempo en una Auditoría a una Central Telefónica Digital la cual empleó 1 mes, por el grado de pericia y el conocimiento que los auditores actuantes han adquirido. Además, en estos momentos nos encontramos explorando Herramientas que permiten evaluar automatizadamente las Areas y Procesos de mayor exposición así como la aplicación del Modelo Cobit en la Entidad auditada. No transitar hacia el desarrollo no puede estar avalado por una valoración de Costo/Beneficio inadecuada, este es innegable y requiere de una inversión en preparación que debemos estar dispuestos a pagar. No es posible continuar realizando en las Auditorias Informáticas dictámenes que calcen el trabajo de los Auditores Financieros en la era de los Sistemas de información, las exigencias del mundo contemporáneo nos llaman a evaluar los Sistemas Informáticos en toda su dimensión y a medir su eficiencia y eficacia en fusión de los Objetivos de la Empresa y no como un proceso aislado enmarcado solamente en la tecnología.
Las metas ambiciosas trazadas requieren del esfuerzo mancomunado de todos: El respaldo legal que permita tipificar y enjuiciar
el delito informático en su justa medida, los
documentos regulatorios que normen las acciones cuando se conciben Sistemas Informáticos, Planes de estudio en nuestras Universidades que enfatizan es esta Especialidad a los que luego ejercerán la Informática, preparar una vanguardia de Auditores Informáticos para enfrentar la correcta evaluación de la Telemática, trabajar de conjunto en aras del desarrollo organizado de la Informática pues su negación es una aberración. No obstante, no existe justificación para que transitemos en nuestras Entidades por el camino correcto e impulsemos acertadamente la Auditoria Informática en función del primer nivel de la Empresa. Trabajar de acuerdo a la frase de John Donne: “ Ningún ser humano es una isla en sí mismo; cualquier ser humano forma parte del todo.”
RECOMENDACIONES COM Consideramos conveniente, en nuestra opinión, la generalización e implantación del Modelo Cobit en el conocimiento de las Auditorías Informáticas como principio generalmente aceptable para la evaluación de los Sistemas Informáticos. Su aprendizaje nos permitirá transitar nuestro conocimiento hacia valoraciones más integradoras en el desarrollo de la especialidad. Debemos pronunciarnos, ahora y no después, por impulsar la actividad informática en todas las Areas del país especialmente las Auditorías Informáticas si queremos estar a tono con la acción de las Dirección del gobierno y brindarle los resultados que ellos esperan con el impulso e la Informatización que hoy se está llevando a cabo Impulsar la aplicación de esta Metodología en otras Entidades, discutirla, enriquecerla y ajustarla a las particularidades de cada uno.
BIBLIOGRAFÍA • Grupo de Trabajo de la AHCIET: Manual de Auditoría Interna para las Empresas de Telecomunicaciones. • Kuong, Javier: Seguridad, Control y Auditoría de las Tecnologías de Información. • Peña, Eloy: Evolución de los sistemas de información y su auditoría. • Peña, Eloy: Programa de Auditoría Informática • Piattini, Mario y Del Peso, Emilio: Auditoría Informática, un enfoque práctico. • Documentos obtenidos de INTERNET:
CoBit: Resumen Ejecutivo. Abril de 1998 2da Edición.
CoBit: Marco Referencial. Abril de 1998. 2da edición
CoBit: Guías de Auditorías. Mayo 1999.
Boletín Oficial No. 29.198 en Argentina
Auditoría Informática en http://www.gestiopolis.com/