Título:
Auditoría de Gestión del Área de Desarrollo y Mantenimiento de un Instituto
Superior Tecnológico Privado
Índice
Introducción
Antecedentes
Justificación
Objetivo General
Objetivos Especificos
Marco Teórico
Diseño Metodológico
Cronograma de Ejecución
Bibliografía
Introducción
Esta Investigación tiene como objetivo realizar Auditoria de Gestión del
Área de Desarrollo y Mantenimiento de un Instituto Superior Tecnológico
Privado de Lima-Perú entre los meses de julio hasta setiembre del año
2014. Para lo cual se utilizó el modelo COBIT planteado por ISACA. Se
verificó si el Área de Desarrollo y Mantenimiento cumple los parámetros de
la metodología COBIT. Los objetivos de control a evaluar fueron elaborados
por Mellado y Piattini en base a COBIT 4.0, estos objetivos pertenecen a
los procesos siguientes: Definir los procesos, organización y relaciones;
Gestionar los recursos humanos de TI; Definir un plan estratégico;
Determinar la dirección tecnológica; gestionar las inversiones, gestionar
la calidad, gestionar los riesgos y gestionar la seguridad.
Antecedentes
Una pequeña reseña histórica de los institutos superiores que nos ayuda a
entender el origen e importancia que los institutos superiores tecnológicos
tienen en la sociedad y un análisis de cómo se encuentra estructurada los
institutos a través de los organigramas.
"Según cifras de los censos nacionales de población en el Perú de 1940 a
2005, el número de personas mayores de 15 años que alcanzó la educación
superior se multiplicó por más de 144 veces, pasando de 31 mil a casi
cuatro millones y medio de personas. En términos de porcentajes de la
población, ello significó un incremento de 1% de la población mayor de 15
con educación superior en 1940 a casi 25% en 2005. Si bien el aumento de la
población con educación superior en el Perú ha sido enorme, el aumento de
la población con educación superior no es exclusivo al Perú. Por el
contrario, según la UNESCO, durante la segunda mitad del siglo pasado la
población con educación superior experimentó un crecimiento sin precedentes
a escala mundial. Así, de 1960 a 1995, el número de estudiantes
matriculados en educación superior se incrementó de 13 a 82 millones de
personas, es decir, se multiplicó por 6.3"
Según Riquez Villarroel Eva la realidad de la educación superior no
Universitaria en 1991 era la siguiente "En el nivel superior no
universitario que comprende las áreas profesionales de Educación Superior
Tecnológica, Formación Magisterial y Educación Artística, el número de las
instituciones educativas en el quinquenio 80-85 han aumentado de 116 a 273
centros educativos superiores.
El anterior enfoque proporcionaba demasiados resultados de baja calidad.
Como respuesta a este problema surge la auditoría de sistemas de gestión
de calidad, en los años 60, pero recién es aplicable a partir de los 70
debido al desarrollo de normas de auditoría con la finalidad de evaluar
principalmente la calidad de las plantas de energía nuclear norteamericana,
muestras de ello se publicaron con la denominación "ANSI/ASME N45.2.23-
1978 "Cualificación del personal de auditoría del programa de garantía de
la calidad para las plantas de energía nuclear". Consistía, en la
adaptación de los criterios para la evaluación del control interno, en los
sistemas organizativos, financieros y contables, al centro de proceso de
datos y, concretamente, a la sala del ordenador.
Posteriormente, a principios de los años 80, se empieza a aplicar técnicas
de tratamiento de la información por medio de ordenadores, como apoyo a la
labor de los auditores. El auditor de sistemas de información empieza a ser
también experto en el uso de lenguajes informáticos que le sirven para
escribir, compilar y ejecutar programas para la consecución de pruebas y
obtención de evidencia. Surge de este modo la denominada auditoría con el
ordenador. En la misma década se empieza a aplicar los principios básicos
de la auditoría operativa a la auditoría de los sistemas de información,
dando lugar a la auditoría operativa de proceso de datos, que se centra
principalmente en la eficacia y eficiencia del tratamiento automático de
los datos.
Después, aparecerían en el 2002 más publicaciones de este tipo de normas
por países como Canadá, Estados Unidos y Reino Unido. Juntos a través de la
Organización Internacional para la Normalización (ISO)2, llegan a un
acuerdo para estandarizar a escala mundial, las "DIRECTRICES PARA LA
AUDITORÍA DE LOS SISTEMAS DE GESTIÓN DE LA CALIDAD Y/O AMBIENTAL: ISO
19011:2002".
Una pequeña reseña histórica de los institutos superiores que nos ayuda a
entender el origen e importancia que los institutos superiores tecnológicos
tienen en la sociedad y un análisis de cómo se encuentra estructurada los
institutos a través de los organigramas.
"Según cifras de los censos nacionales de población en el Perú de 1940 a
2005, el número de personas mayores de 15 años que alcanzó la educación
superior se multiplicó por más de 144 veces, pasando de 31 mil a casi
cuatro millones y medio de personas. En términos de porcentajes de la
población, ello significó un incremento de 1% de la población mayor de 15
con educación superior en 1940 a casi 25% en 2005. Si bien el aumento de la
población con educación superior en el Perú ha sido enorme, el aumento de
la población con educación superior no es exclusivo al Perú. Por el
contrario, según la UNESCO, durante la segunda mitad del siglo pasado la
población con educación superior experimentó un crecimiento sin precedentes
a escala mundial. Así, de 1960 a 1995, el número de estudiantes
matriculados en educación superior se incrementó de 13 a 82 millones de
personas, es decir, se multiplicó por 6.3"
Según Riquez Villarroel Eva la realidad de la educación superior no
Universitaria en 1991 era la siguiente "En el nivel superior no
universitario que comprende las áreas profesionales de Educación Superior
Tecnológica, Formación Magisterial y Educación Artística, el número de las
instituciones educativas en el quinquenio 80-85 han aumentado de 116 a 273
centros educativos superiores.
Justificación
La Auditoría de los Sistemas de Información ha surgido cuando las empresas
e instituciones han tomado conciencia de que la información que adquieren,
conservan, procesan y emiten, es vital para su propia supervivencia diaria
y proyección de progreso. Por tanto, han elevado a la categoría de sistemas
críticos prácticamente todos los sistemas internos que manejan información,
agregándolos en uno solo denominado sistema de información. En
consecuencia, por su naturaleza crítica, el enfoque de auditoría debe
adoptar una perspectiva que se adecue absolutamente a estos sistemas, sea
mediante la transformación de métodos, técnicas y procedimientos de la
auditoría tradicional, o sea mediante la creación de unos nuevos. En
consecuencia adaptar este enfoque al Instituto Superior Tecnológico Privado
es justificable.
OBJETIVO GENERAL
1. Realizar una Auditoría de Gestión del Área de Desarrollo y
Mantenimiento del Instituto Superior Tecnológico Privado utilizando
estándar internacional COBIT, a fin de identificar debilidades y
emitir recomendaciones que permitan eliminar o minimizar los riesgos
en la Institución.
OBJETIVOS ESPECÍFICOS
2. Verificar el cumplimiento de los objetivos de control del Área de
Desarrollo y Mantenimiento asociado a cada proceso en base a COBIT
4.0.
3. Evaluar el Nivel de Madurez alcanzado por cada proceso del Área de
Desarrollo y Mantenimiento en base a los niveles de madurez de COBIT
4. 1
4. Determinar la evaluación para cada proceso del área de desarrollo y
Mantenimiento de Sistemas de Información de un Instituto Superior
Tecnológico Privado.
5. Elaborar los resultados finales de la evaluación de la Gestión TI
6. Identificar y evaluar los riesgos hallados en la Auditoria de Gestión
del Área de Desarrollo y Mantenimiento de Sistemas de Información.
7. Emitir recomendaciones que permitan asegurar un mayor cumplimiento de
los objetivos, elevar el nivel de madurez, administrar los riesgos y
una gestión eficaz, eficiente y efectiva del Área de Desarrollo y
Mantenimiento de un ISTP.
Marco Teórico
"La Auditoría de Sistemas de Información es el proceso de recoger, agrupar
y evaluar evidencias para determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los
recursos. "[1]
La informática se ha desarrollado rápidamente a partir de la segunda mitad
del siglo XX, con la aparición de tecnologías tales como el circuito
integrado, Internet y el teléfono móvil. El vocablo informática proviene
del alemán informatik acuñado por Karl Steinbuch en 1957.
La Informática es un conjunto de conocimientos científicos y técnicas que
hacen posible el tratamiento automático de la información por medio de
computadoras.
Los sistemas de Información son: "un conjunto de datos, de elementos
humanos, de procedimientos de trabajo y de tecnología que en forma
coordinada y alineada a una estrategia institucional, proporciona soporte a
las operaciones, a la toma de decisiones y al servicio de los clientes de
una empresa" (Reingeniería de la Auditoría Informática, Solís Montes,
Gustavo Adolfo 2002, pág. 41, 2002 Ed. Trillas).
Diseño Metodológico:
En nuestro estudio usamos como línea de investigación la Auditoria de
Sistemas de Información, nuestra unidad de estudio es el área de desarrollo
y mantenimiento de sistemas de información de un instituto superior
tecnológico privado, el propósito de la investigación es identificar
debilidades y emitir recomendaciones que permitan eliminar o minimizar los
riesgos en la Institución el año 2015.
Nuestra variable de estudio serían los niveles de madurez de los procesos
siguientes: Definir los procesos, organización y relaciones; Gestionar los
recursos humanos de TI; Definir un plan estratégico; Determinar la
dirección tecnológica; gestionar las inversiones, gestionar la calidad,
gestionar los riesgos y gestionar la seguridad.
El procedimiento para evaluar la gestión de TI consta de cuatro pasos:
Evaluación del cumplimiento de los objetivos de control asociados a cada
proceso, evaluación del nivel de madurez alcanzado por cada proceso en base
a COBIT 4.1, determinación de la evaluación para cada proceso y evaluación
ponderada de la Gestión de TI. Al final se realizó la evaluación de los
riesgos hallados en la evaluación de la gestión del Área de Desarrollo y
Mantenimiento.
Cronograma de Ejecución
Inscripción: 04/05/2015
Aprobación: 08/05/2015
Inicio: 17/05/2015
Fin: 22/05/2015
"PROGRAMA DE AUDITORIA "
"INSTITUTO SUPERIOR: "FECHA N°: "HOJA N°: "
"FASE "ACTIVIDAD "HORAS "ENCARGADOS "
" " "ESTIMADOS " "
"I "VISITA PRELIMINAR Y PLANIFICACIÓN "30 HS. "AUDITOR "
" "Establecer relaciones entre " " "
" "auditores y la entidad, para " " "
" "determinar el alcance y objetivos. " " "
" " " " "
" "Conocimiento y Comprensión del " " "
" "instituto " " "
" "Planeación Específica de la " " "
" "auditoria " " "
" "Elaboración de programas de " " "
" "Auditoria " " "
" "Elaborar la carta para comunicar el " " "
" "inicio de la auditoría " " "
" "Determinar el alcance y objetivos, " " "
" "Tener conocimiento y comprensión " " "
" "del instituto, " " "
" "Elaborar el bosquejo del plan de " " "
" "auditoría. " " "
" "Elaborar el plan de auditoría, " " "
" "Elaborar la ficha de evaluación, " " "
" "Solicitud de Manuales y " " "
" "Documentaciones. " " "
" "Solicitud de Manuales y " " "
" "Documentaciones. " " "
" "Elaboración de las fichas de " " "
" "evaluación. " " "
" "Recopilación de la información " " "
" "organizacional: estructura orgánica," " "
" "recursos humanos, presupuestos. " " "
"II "DESARROLLO DE LA AUDITORIA "32 HS. " "
" "Ejecución de la Auditoria de la " " "
" "Organización y Gestión del Área de " " "
" "Desarrollo y Mantenimiento en lo que" " "
" "corresponde a: " " "
" "Aplicación de la ficha de evaluación" " "
" "al personal directivo " " "
" "Entrevistas al personal directivo. " " "
" "Evaluación a los procesos, " " "
" "organización y relaciones " " "
" "Evaluación a la Gestión de recursos " " "
" "humanos TIC " " "
" "Evaluación al Plan estratégico de " " "
" "tecnologías de la información del " " "
" "área " " "
" "Evaluación a la Dirección de la " " "
" "política tecnológica " " "
" "Evaluación a la Gestión de las " " "
" "inversiones TIC " " "
" "Evaluación a la Gestión de la " " "
" "calidad " " "
" "Evaluación a los lenguajes, " " "
" "compiladores, herramientas case, " " "
" "software de pruebas, software de " " "
" "control de versiones, etc. " " "
" "Evaluación de los riesgos " " "
" "informáticos. " " "
"III "REVISION Y PRE-INFORME "30 Hs. " "
" "Revisión y análisis de los " " "
" "resultados las fichas de evaluación." " "
" " " " "
" "Determinación del Diagnostico e " " "
" "Implicancias. " " "
" "Elaboración de la Carta de Gerencia." " "
" " " " "
" "Elaboración del Borrador de informe " " "
" "Realizar una reunión de cierre de " " "
" "la auditoría para cotejar los " " "
" "resultados con el personal directivo" " "
" "del área auditada. . " " "
"IV "INFORME "30 Hs. " "
" "Elaboración y presentación del " " "
" "Informe. " " "
" "El seguimiento de Acciones " " "
" "Correctivas " " "
BIBLIOGRAFÍA
1. Alvarado Oyarce, Otoniel. Gestión Educativa. 1998. Perú, 1era. Edición.
217 páginas
2. Arens, Alvin A. y Loebbecke, James K.; Auditoria un enfoque integral.
Printice Hall Inc. México 1996.
3. Asociación de Auditoría y Control de Sistemas Informáticos. COBIT 4.0.
Estados Unidos de América. 2005. Pág. 201
4. Blanco luna, Yanel. Auditoría Integral-Normas y procedimientos. ECOE
Ediciones.2da. Edición. 2012 Bogotá-Colombia. 591pág.
5. Benjamín Franklin, Enrique. Auditoría administrativa. Gestión
Estratégica del Cambio.2da Edición, 2007.
6. Chiavenato Idalberto. Administración de Recursos Humanos. 5ta.
Edición.1999.Colombia. 699páp.
7. Collao Montañez, Oscar. Administración y Gestión Educativa, 2da.
Edición, Facultad Educación-UNMSM, 237 pág.
8. Echenique García, José Antonio; Auditoría en Informática Publicación:
México D.F.: McGraw Hill, 2004.
9. Gama Bernal, Elba. Bases para el Análisis de Puestos.1992. México. 205
páginas
10. Gómez -Mejía, L.R.; Balkin D.B.; Cardy Robert T L. (1998): Gestión de
Recursos Humanos. Ed. 5ª Prentice Hall.
11. Haya de la Torre de la Rosa, Raúl; Estudio Sobre La Situación de la
Educación Superior Tecnológica en el Perú Informe Final ,Lima, noviembre
de 2005
12. Hernández Hernández, Enrique. Auditoría En Informática: Un Enfoque
Metodológico Y Práctico. Editorial CECSA, México 2000. Pág. 323.
13. Kendall & Kendall. Análisis y Diseño de Sistemas. 3ª. Edición. Páginas
15.16.17.18
14. Mills, H., O´Neill, D. The Management of Software Engineering, IBM
Systems, 1980.
15. Muñoz Razo, Carlos. Auditoría en Sistemas Computacionales, México D.F.:
Pearson Educación, 2002, 796 pág.
16. Piattini Velthuis, M. y Del Peso E. (2007). Auditoría Informática, un
enfoque práctico. México 2007, 2da. Edición
17. Piattini Velthuis, Mario y Del Peso Navarro, Emilio. Auditoría de
Tecnologías y Sistemas de información.1er. Edición, Alfaomega, México,
2009.
18. Piattini Velthuis, Mario ;Auditoría Informática, un enfoque práctico,
2ª edición ampliada y revisada Publicación: México D. F. : Alfaomega,
2001
19. Piattini Velthuis, Mario Gerardo; Auditoría Informática : un enfoque
práctico : México D.F. : Alfaomega, 2002
20. Porter, W. Thomas. Auditoría de Sistemas Electrónicos. México 1971, 146
pág.
21. Pressman Roger. 2002. Ingeniería del Software un enfoque práctico. 600
22. Riquez Villarroel, Eva. Realidad Nacional. Editorial San Marcos. Perú
1991.Pág.,393
23. Rivero herrera, José. Educación, Docencia y Clase Política en el Perú.
Tarea Asociación de Publicaciones Educativas. Lima 2008. Pág. 485
24. Porter, W. Thomas. Auditoría de Sistemas Electrónicos. México 1971, 146
pág.
25. Ramón Santillana, Juan. Auditoría Interna. Tercera Edición .2013.
Pearson Educación.México.243 pág.
26. Solís Montes, Gustavo Adolfo ; Reingeniería de la Auditoría Informática
Publicación: 1era. Edición. México D.F. : Trillas, 2002
27. Roberts, Hewitt ISO 14001 EMS. Manual de sistemas de gestión
medioambiental Publicación: : Paraninfo, 1999
28. Skinner, F.C.A. Auditoría Analítica: el control interno mediante
flujogramas, Madrid, 1980, 205 pág.
29. Skinner, R.M y Anderson, R.J. Auditoría Analítica, Buenos Aires, 1975
3era. Edición. .211 páginas
30. Sommerville, I., Ingeniería de Software, Pearson Educación, 2002.
31. Thomas, A.J. Auditoría Informática, Madrid, 1988, 214 pág.
32. Vilar Barrio, José Francisco, La Auditoría de los Sistemas de Gestión
de la Calidad. Publicación: Madrid : Confemetal, 1999
Tesis:
33. Aricochi García, Armando Aníbal. Los procedimientos de auditoría
administrativa en el examen especial a la división administración de
personal del Banco de la Nación, 1993.
34. Gonzales Carbajal, Alejandro Aníbal. Auditoría de la administración de
recursos humanos en el hospital militar Central del ejército. Tesis:
Universidad Nacional Federico Villarreal, Facultad Administración, año
2000.
35. Tizon Campos, Eduardo. Diseño de un Sistema de control y Cuadratura en
las tiendas comerciales Ripley. Tesis: Universidad nacional Federico
Villarreal, Facultad Administración, Año 2003.
36. La auditoría interna como herramienta de gestión de las organizaciones
públicas y privadas
Direcciones Electrónicas:
37. Página web, Asociación de Auditoría y Control de Sistemas Informáticos.
www.isaca.org/cobit
38. Página web, Instituto de Auditoría Interna. www.theiia.org
39. Página web, Instituto de Gobierno de Tecnología Informática.
www.itgi.org
40. Página web, Manual de Auditoría de Sistemas. www.monografías.com
41. Página web, Normas Generales para la Auditoría de los Sistemas de
Información. www.isaca.org.pe/normas.htm
42. It Governance Institute. Cobit 4.1. (2007), Estados Unidos, [En Línea].
Disponible
en:www.itgi.org,http://www.isaca.org/Knowledge Center/cobit/Documents/cob
iT4.1spanish.pdf [Consulta 18 01 2011]
43. Superintendencia General de Entidades Financieras- Costa Rica. –SUGEF.-
14-09. Disponible en: www.felaban.com/Archivos-
Siri/ANEXO%209%20COSTA%RICA%20 Acuerdo%20SUGEF%2014-09pdf/
44. CONEACES. Estándares y Criterios de Evaluación y Acreditación de las
Instituciones Superiores de Formación Docente.
45. www.isaca.org.COBIT 5
46. Juan A. Chávez Alayo1; Enrique M. Rodríguez Rodríguez.. La auditoría
interna como herramienta de gestión de las organizaciones públicas y
privadas. Revista "Ciencia y Tecnología", Escuela de Postgrado - UNT
[email protected]
-----------------------
[1] Piattini Velthuis, Mario y Del Peso Navarro Emilio. Auditoría [2]
" qrszªèÓèÓ¾©"}j}T
