Herramientas Auditoria

En esta ocasion, se verificaron y probaron diferentes herramientas de auditoria, que sirven para agilizar las etapas que se desarrollan en procesos de auditoria, los sistemas de auditora son muy complejos y necesitan de un nivel detallado de verificacion de la informacion, y esta informacion que se quiere verificar es tambien muy compleja, por eso para estos casos siempre es mejor tener conocimientos de que herramientas pueden sernos utilies para agilizar la practica de los procesos que se estan auditando.

Las herramientas que se testearon fueron:

WinAudit: WinAudit es una herramienta que permite verificar en la computadora donde se ejecute, un diagnostico profundo para detallar los componentes de software y hardware que se tiene actualmente en la maquina.

EZSBenford: EZSBenford es una herramienta de auditoría que tiene como estrategia utilizar la ley de benford para el analisis digital de los datos en la deteccion de fraudes transaccionales.

RUSecure:

RUSecure Information Security Policies, es una herramienta con información sobre las políticas de seguridad en una organización, está basado sobre los estándares internacionales para la seguridad de la información ISO 17799 y BS 7799.

CIS NG Scoring Tool:El CIS NG Scoring Tool, es una herramienta que proporciona puntos de referencia para diferentes utilidades, también provee software, datos, información y otros servicios y materiales.

Router Audit Tool:

El Router Audit Tool analiza las vulnerabilidades que se encuentren en un router.

Taller IDEAS

En esta ocasión, se trabajo con una herramienta que analiza información para la detección de fraudes, la descripción del software se hace a continuación:

IDEA es un software que sirve reducir costes en análisis, agregar calidad al trabajo, y satisfacer los nuevos requerimientos profesionales vinculados a control interno y detección de fraudes.

Este software permite leer, visualizar, analizar, manipular, obtener muestras o extraer datos desde archivos provenientes de múltiples orígenes - desde un mainframe hasta una PC -, incluyendo reportes impresos.

La pagina principal de la herramientas es la siguiente: http://www.caseware.com/products/idea

Los siguientes son algunos enlaces a videotutoriales referente a la herramienta:

Fases Auditorias Cruzadas

En este ejercicio de auditorias cruzadas, se plantearon diferentes fases para la entrega de informes a los demas grupos, en estas fases aprendimos como se debe sustentar la informacion que se registra, y como las personas auditadas deben argumentar que lo que dicen es cierto.

Auditoria Cruzadas

Se realizaron auditorias cruzadas, con los procesos de Cobit a la empresa auditextiles, cada grupo con su grupo de procesos y sus cuestionarios, empezó a desarrollar los cuestionarios, que eran a su vez, resueltos y argumentados por otro grupo encargado de responder por esos procesos, fue importante desarrollar este ejercicio, para identificar la forma en que se responden y se hacen las preguntas, y para identificar que tanto conocimiento se tiene de la organización.

Dominios de Cobit

Planear y Organizar

P02: Definir un Plan Estratégico de TI

Este proceso, verifica que tan coordinado esta

plan estrategico de ti

con los procesos de la empresa

P02: Definir la Arquitectura de Información

Se debe crear y actualizar un modelo de información de negocio y definir los sistemas que optimizan el uso de esa información.

P03: Determinar la dirección tecnológica

Se debe determinar la dirección tecnológica para dar soporte al negocio

P04: Definir los Procesos, Organización y relaciones de TI

Este proceso verifica como estra estrucuturado, como se manejan los puestos de trabajo, como se estan implemtando los procesos de la empresa.

P05 : Administrar la Inversión de Ti

Cuando se da la tarea de gestión de recursos de inversión en TI, se debe manejar esas inversiones verificando de donde salen, que es lo que motiva esa inversión, que lo justifica, etc., también se hace un análisis de como esta retornando a la empresa esa inversion de TI.

P06 : Comunicar las Aspiraciones y la Dirección de la Gerencia

Este proceso verifica como estan las comunicaciones con la gerencia general, como es esta manejando ese proceso en dodne se toman las desiciones, en muchos caos suscede que la alta direccion toma desiciones y los subordinados no se adn cuetna, es necesario, qeu esta información se entregada tambien al personal al cual tenga uno a cargo, y quienes participan en esa desición.

P07: Administrar los Recursos Humanos de TI

Se es necesario saber como manejar el personal deacuerdo a las características que tienen, sobre todos tener mucho cuidado con personas con un actitud caótica

P08: Administrar Calidad

En este procesos de calidad CMMI tiene un enfoque mas preciso para definir, mejorar y medir la calidad de servicios prestados por TI

P09: Administrar y evaluar Riesgos de TI

Se debe focalizar el manejo de Riesgos en las TI, de manera que esos riesgos este en un limite que sean controlables, de manera que esos riesgos no nos afecten o nos hagan vulnerables.

P10: Administrar y evaluar Riesgos de TI (PMBook, Prince Book)

Tener una adecuada tecnología para manejar los proyectos, se es necesario para garantizar entregables, optimizar recursos y para encontrar un camino optimo para administrar recursos financieros.

Caso Nominas

El caso nominas, es una situacion que se presento en la vida real, en la universidad de caldas, en donde se produjo un problema grave en el pago de la nomina a los empleados, de tal manera que unos cuantos recibian mas de lo que realmente tenian que recibir y otros recibian menos, todo esto se dio por fallas en la forma como se administro la migracion de los datos, con una planificacion sin mucho analisis y con una ejecucion inicial del nuevo sistema en una temporada muy sensible para el manejo de la informacion financiera de la institucion.

COBIT

En esta semana, empezamos a ver el tema de gobierno de tecnologías de TI Cobit, que abarca temas referentes a la infraestructura tecnológica de una empresa.

Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: Planear y Organizar, Adquirir e Implementar, Entrega y Apoyar y Supervisar y Evalúar.

Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.

Estandares, Enfoques y Directrices de la Auditoria

En esta semana se asignaron trabajos de compilación sobre Estandares, Enfoques y Directrices de la Auditoria, un tema bastante amplio, pero muy importante para tener base de conocimientos y tomar decisiones para el basto mundo de la auditoria Infomatica.

Caso TIM

El TIM es un sistema de transporte integrado de manizales que se intento implantar, pero que inicialmente fracaso, a causa de una mala implementacion, parte de ello, es que no hubo un acompañamiento integral con el publico que adoptaria el sistema.
Algunos videos relacionados:

Caso Enron

El caso enron fue un tema muy interesante que se vio, y qeu sirve como experiencia para aprender de los errores que esta compañia tuvo en su momento, se trata de una estrategia de negocio, que cautivaba a sus inversionistas con visiones futuras de grandes ingresos, a cambio de una inversion muy arriesgada.

El fraude de esta empresa, estuvo soportado por la credibilidad que manejaba una empresa de auditoria muy reconocida, que siempre exponia ante la sociedad la mejor calificacion, y por lo cual, muchos inversionistas tuvieron la confianza de invertir en ella

Documentacion

La documentacion es una asunto de gran importancia dentro de una organizacion, es necesario que existan buenos niveles de informacion documentada que informen como se estan haciendo las cosas, para casos como el cumplimiento de los requisitos, los contratos, verificando por ejemplo los terminos contractuales y la informacion legal, actas, entre otros.

Algunos de estos documentos pueden ser:
Actas testimoniales: Determinan que sucedio en una situacion especifica.

Actas de recibo: Importante para el caso en el que se reciba, entregue o se cambie un puesto de trabajo, para verificar el estado de las cosas que se reciben o se entregan, como la infraestructura tecnologica, el inventario, etc., ya que si llegase a suceder una reclamacion, las actas de recibo son la evidencia que defenderan al implicado, en caso de no haber acta de entrega, se debe hacer una revision de lo que se recibio e informar que no se realizo una acta de entrega

Actas disciplinarias: Informar sin temor, comportamientos irregulares de los empleados, estas acciones pueden ser llamados de atencion, memorandos, etc., el no llevar un registro de estos comportamientos, se cae en los que se llama "conducta de omision", donde la persona encargada que no informo, comparte o es solidario con ese comportamiento del que esta haciendo las cosas mal, y termina involucrado en una investigacion posterior, afectando posiblemente su propia hoja de vida

Actas de siniestros: Son condiciones anormales que le suceden al sistema, o algun tipo de percance natural, como el fuego, inundacion, sismo, accesos violentos a la edificacion, etc., todo ese tipo de cosas es necesario documentarlas para evitar salir perjudicados o relacionados con estas investigaciones.

Algunos ejemplos de actas se presentan a continuación:

Conceptualizacion de la Auditoria

Las auditorias pueden ser solicitadas por diferentes personas, cuando se hace por solicitud interna por lo general los socios lo hace para verificar la correcta función en sus procesos y reforzar las debilidades que mas se destaquen, también para generar confianza con sus inversores, ya que si una firma muy bien acreditada da un veredicto positivo de la empresa, su imagen corporativa fortalecerá sus negocios, así como se vio en el caso de la empresa ENRON, gran parte de su reputación estuvo representada por la firma que lo auditaba, y de esa forma las personas confiaban mucho en el criterio positivo que se desprendía de esa firma.

Gobierno Corporativo

No es prudente confiarse, por la imagen de fortaleza que desprenda una empresa, es mejor estar preparado para los riesgos que puedan sobrevenir, y mas en tiempos de cambios tecnologicos y sociales tan frecuentes.

Las tecnologias de informacion conservan uno de los recursos mas importantes de una empresa, pero es con frecuencia el sistema mas complejo de entender, muchas veces nisiquiera es del interes para algunas organizaciones en las que los socios que toman las decisiones no ven ni entienden la importancia de las TI, ya que vienen manejando la empresa sin esas tecnologias y suponen que asi deberia de seguirse haciendo, por eso es importante planificar y calcular los factores mas criticos para el alineamiento de estas tecnologias en un negocio.

Software ERP

Dentro de las diferentes herramientas que abarcan la administración, muy por encima conocía las capacidades que ofrecen los software ERP (Enterprise resource planning), solo investigando y estudiándolas a fondo se da uno cuenta lo importante que es implementar estas herramientas en una empresa, porque de verdad, agilizan mucho los procesos que se llevan, además que la información esta centralizada y los datos no se repiten, curiosamente dentro de mis trabajos de mantenimiento a computadores, me encontré con una empresa que comercia productos de hogar, en su mayoría relacionados con el gas, y cuando arreglaba el equipo de computo, me comentaba una de las secretarias el problema tan grande que tenia cuando relacionaban la información de los clientes en una sucursal de otra ciudad, porque cada vez que se registraba un cliente nuevo, en cualquiera de las sucursales, era necesario que las demás sucursales actualizarán esa información, porque estos mismos clientes tenían negocios en distintas ciudades, y a falta de un sistema de información centralizado, la solución que empíricamente utilizaba le empresa era enviarse esa información en "excel" (ni siquiera una base de datos), por medio de Internet, caso que generaba muchos problemas de sincronización y transparencia en los datos.

Cuanto me hubiera gustado conocer lo que ya se, por lo menos hubiera mencionado el tema entre los administrativos para que investigaran mas al respecto sobre las diferentes propuestas ERP del mercado, la empresa tampoco es que sea muy grande como para implementar sistemas tan caros, pero para negocios así, existen también soluciones Open Source como Openbravo por ejemplo. Me doy cuenta también de la importancia de tener en cualquier organización una área de sistemas, o alguien que este al tanto de la tecnología, para tener actualizada la misma organización con las tendencias del momento, por lo menos que las conozcan, así las desiciones que se tomen, no se basen en la ignorancia.

Estos son unos videos de interes:

El siguiente video nos muestra 7 puntos importantes a tener en cuenta, cuando se quiera elegir una ERP

El siguiente, es una muestra de como funciona un software ERP de forma general:

y por último, una introducción a la herramienta SAP, que fue elegida de entre otras tantas herramientas para practicas de auditoria: