unidad iii -desarrollo de la auditoria en informática-
TRANSCRIPT
Desarrollo de la auditoria en informáticaUnidad III
(Metodología para el desarrollo de la auditoria en informática, Etapa preliminar o diagnóstico de la situación actual, Etapa de justificación, Etapa de
adecuación, Etapa de formalización, Etapa de
desarrollo y Etapa de implantación )
• 2ª evaluación• Marzo 2007
Auditoria en InformáticaM. en C. Lorena Carmina Moreno Jiménez
Desarrollo de la auditoria en informática
2
Contenido
Metodología para el desarrollo de la auditoria en informática
Proceso metodológico de la auditoria en informáticaRequisitos para el éxito del proceso metodológico
Métodos, técnicas y herramientas por área de revisión¿La razón para auditar informática mediante una metodología formal y acorde a los objetivos actuales de seguridad y control?¿Qué es una metodología de auditoria en informática (MAI)?¿Qué elementos complementan la metodología?
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
3
Contenido
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico del negocio: alta dirección y áreas usuariasTareas, productos terminados, responsables e involucradosConocimiento del negocioApoyo al negocioÁreas de oportunidad
Diagnóstico de informática: responsables de la funciónOtros de interés específico para élServiciosAspectos de control del área de informáticaÁreas de oportunidadOtros de interés para el auditor en informática de acuerdo con las características del negocio
Cuestionarios para llevar a cabo la etapa de diagnóstico
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
4
Contenido
Etapa de justificación Áreas de oportunidad para la función de informática Matriz de riesgos, justificación por área de revisión Plan general del proyecto de auditoría en informática Compromiso ejecutivo
Etapa de adecuación Definición y formulación de objetivos y
requerimientos de éxito por cada área que se auditará Actualización del plan general Plan detallallado del proyecto de auditoria en
informáticaDos tipos de plaqnes detalaldos con orientación diferente y objetivo común: la administración del proyecto
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
5
Contenido
Aspectos por evaluar en cada área de revisión Definición de técnicas y herramientas por área de revisión Definición o actualización de estándares, políticas y
procedimientos por área de revisión¿Cómo se definen los estándares, políticas y procedimientos de auditoria en informática ?¿Es una obligación el uso de estándares?¿Únicamente las asociaciones pueden establecer estándares, políticas y procedimientos de auditoria en informática?
Elaboración o actualización de cuestionarios por área de revisión Elementos que se deben contemplar antes de iniciar
formalmente la revisión de las áreas aprobadas en la etapa de justificación.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
6
Contenido
Etapa de formalización Verificación de prioridades, restricciones y alcances
del proyecto Actualización del plan de auditoria en informática Presentación formal del plan de auditoria en
informática Aprobación formal del proyecto de auditoria en
informática Compromiso ejecutivo
Etapa de desarrollo
Etapa de implantación
Referencias
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
7
Metodología para el desarrollo de auditoria en informática
La auditoria en informática debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoria en informática efectúa sus tareas y actividades mediante una metodología.No es recomendable fomentar la dependencia en el desempeño de esta importante función sólo con base en la experiencia, habilidades, criterios y conocimientos sin una referencia metodológica. Contar con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo a estándares predeterminados.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
8
Metodología para el desarrollo de auditoria en informática
La función de auditoria en informática ha de contar también con un desarrollo de actividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias de la función.
Lo anterior se facilita si los auditores en informática cuentan con una metodología que oriente en cada proyecto a una ejecución armoniosa y planeada en cada una de las tareas y actividades involucradas.
Un alto porcentaje de los especialistas en áreas de investigación, planeación financiera, informática, sistemas, etc., se apoyan en gran medida en tareas, actividades, productos terminados, revisiones, funciones y responsabilidades, etc., definidas previamente en un documento formal que contiene la metodología necesaria.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
9
Metodología para el desarrollo de auditoria en informática
El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que arriben a los resultados esperados por la empresa, siguiendo un plan.Es importante señalar que el uso de la metodología no garantiza por sí sola el éxito de los proyectos de auditoria en informática; además, se requiere un buen dominio y uso constante de los siguientes aspectos complementarios:
Técnicas Herramientas de productividad Habilidades personales Conocimientos técnicos y administrativos Experiencia en los campos de auditoria en informática Conocimiento de los factores del negocio y del medio externo al mismo Actualización permanente Comunicación constante con asociaciones nacionales e
internacionales relacionadas.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
10
Metodología para el desarrollo de auditoria en informática
Podemos concluir:1. En que éxito de cualquier proyecto no se basa
únicamente en que lo apruebe la alta dirección o en la disponibilidad de recursos destinados para ello. La estructura que plasma el camino que se ha de seguir, las funciones y compromisos de los involucrados, la secuencia y productos obtenidos a lo largo del proyecto son, en gran medida, otros elementos que garantizan un resultado final satisfactorio.
2. La aprobación de los proyectos de auditoria en informática sólo garantiza el inicio de actividades y el compromiso temporal de las personas que se verán involucradas en dicho proceso. Recordando siempre que existen prejuicios en las organizaciones hacia los procesos que impliquen revisiones, evaluaciones o tareas similares que podrían perjudicar cada proyecto si no se tiene un plan que minimice y convierta esas actitudes en posiciones proactivas y de apoyo.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
11
Metodología para el desarrollo de auditoria en informática
El proporcionar recursos económicos, humanos y materiales a los proyectos de auditoria en informática garantiza el abastecimiento de la materia para el proceso, mas no implica que el producto terminado sea de calidad y entregado con oportunidad.Es por eso la importancia de contar de manera formal con una metodología de auditoria en informática ya que es donde se plantea el camino de forma práctica y digerible para que los auditores en informática conozcan, desde el inicio de los proyectos, los componentes y características de logística requeridos para terminarlos exitosamente.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
12
Metodología para el desarrollo de auditoria en informática
Ventajas del uso de un proceso de trabajo metodológico y estándar en la función de auditoria en informática:
1. Los recursos orientan sus esfuerzos a la obtención de productos y servicios de calidad, con características y requisitos comunes para todos los responsables.
2. Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los auditores en informática.
3. Se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios estándares.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
13
Metodología para el desarrollo de auditoria en informática
4. Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración en las funciones del auditor en informática
5. Es un complemento clave en el desarrollo de cada individuo, pues su formal seguimiento, aunado a las habilidades, normas y criterios personales, colabora con el cumplimiento exitoso de los proyectos de auditoria en informática.
6. El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y pautas perfectamente definidas.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
14
Metodología para el desarrollo de auditoria en informática
Requisitos para el éxito del proceso metodológico
1. Aprobación de la metodología por la alta dirección.
2. Adecuación de la metodología a los requerimientos específicos del negocio (cuidado con reducir tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es útil apoyarse en un asesor experto).
3. Documentación o actualización de la metodología.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
15
Metodología para el desarrollo de auditoria en informática
4. Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado).
5. Elaboración de los planes de auditoria en informática según la metodología.
6. Verificación del uso formal de la metodología en cada proyecto.
7. Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodología.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
16
Metodología para el desarrollo de auditoria en informática
Métodos, técnicas y herramientas por área de revisión
El desarrollo exitoso de la auditoria en informática depende de un conjunto de factores interrelacionados, por lo que agrupar y coordinar de manera eficiente los siguientes factores brindará resultados satisfactorios por parte de los auditores en informática:Dominio de los conceptos técnicos y administrativosHabilidades inherentes a la auditoria en informática.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
17
Metodología para el desarrollo de auditoria en informática
Normas personales.Entendimiento de la auditoria en informática y sus tendencias.Adaptación o actualización según el medio dominante.Administración formal de la auditoria en informática en el negocio.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
18
Metodología para el desarrollo de auditoria en informática
Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoria tradicional.Desarrollo de un proceso formal de planeación de auditoria en informática.Entendimiento y aplicación de un proceso metodológico formal de la auditoria e informática.Vocación profesional por la auditoria en informática (es un requisito moral, no una política organizacional).
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
19
Metodología para el desarrollo de auditoria en informática
Participación formal -en la medida de lo posible- en las asociaciones, institutos educativos, etc., con fines de actualización o de compartir las experiencias profesionales adquiridas en el campo de la auditoria en informática.Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
20
Metodología para el desarrollo de auditoria en informática
Otros que dependen de las características de la organización en que se desarrolle la función de auditoria en informática.Uno de los factores primordiales para que el auditor en informática obtenga un desempeño eficiente en su trabajo es el conocimiento y aplicación de los métodos, técnicas y herramientas comúnmente aceptados para la informática en los negocios o asociaciones
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
21
Metodología para el desarrollo de auditoria en informática
En la medida en que el auditor en informática posea experiencia y conocimientos actualizados sobre los diferentes aspectos que evaluará, obtendrá resultados pobres o exitosos en la organización donde trabaja.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
22
Metodología para el desarrollo de auditoria en informática
El conjunto de elementos metodológicos, técnicos y operativos recomendados para apoyar la función de auditoria en informática en la revisión y evaluación de áreas específicas de informática y los demás componentes relacionados con ella, que complementan la auditoria en informática.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
23
Metodología para el desarrollo de auditoria en informática
¿La razón para auditar informática mediante una metodología formal y acorde a los objetivos actuales de seguridad y control?
Diagnosticar el soporte real de informática en cada proceso del negocio.Diagnosticar el estado de informática.Asegurar continuidad en operaciones.Apoyo en la calidad de informática.Establecimiento de políticas, controles y procedimientos
de informática.Orientar hacia el cumplimiento de estándares definidos a
nivel nacional e internacional.Asesorar a los administradores de informática para
obtener una mejora continua.Establecer un esquema de seguridad y control en
informática.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
24
Metodología para el desarrollo de auditoria en informática
Qué es una metodología de auditoria de informática
Es un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoria de informática.Especifica el qué, cómo, cuándo, quién y qué de
los siguientes puntos:Roles y responsabilidades de auditoria en informática,
personal de informática y usuarios de sistemas de información y herramientas de tecnología.Requerimientos para el logro exitoso del proyecto de
auditoria en informática.Etapas de cada proyecto.Requerimientos para el éxito del proyecto.Tareas y productos terminados (por etapa y proyecto). Técnicas y herramientas.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
25
Metodología para el desarrollo de auditoria en informática
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
Preliminar (Diagnóstico)- Negocio-Informática
Implantación- Acciones correctivas y preventivas- Seguimiento
Desarrollo- Entrevistas-Visitas-Observaciones- Recomendaciones-Informe de auditoria
Adecuación- Método- Técnicas- Herramientas
Formalización-Aprobación-Arranque
Justificación-Áreas por auditar-Plan propuesto
Revisión informal
Revisión formal
Aprobación formal
26
Metodología para el desarrollo de auditoria en informática
Elementos y aspectos que complementan la metodología
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
TécnicasTécnicasDocumentaciónAnálisisObservaciónEntrevistasCosto / beneficioControl de proyectos
HerramientasSoftware de oficinaAplicacionesHardwareComunicacionesControl de proyectosCAATs, Computer
Assisted Audit Techniques
Recomendaciones de asociaciones Recomendaciones de asociaciones profesionalesprofesionalesAMAI, IIA (INSTITUTO DE AUDITORES INTERNOS), IMCP
27
Etapa preliminar o diagnóstico de la situación actual
Es el primer paso práctico del auditor en informática dentro de las empresas o instituciones.Se busca la opinión de la alta dirección para
estimar el grado de satisfacción y confianza que tiene en los productos, servicios y recursos de informática en el negocio; así mismo, es posible detectar las fortalezas, aciertos y apoyo que brinda dicha función desde la perspectiva de los directivos del negocio.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
28
Etapa preliminar o diagnóstico de la situación actual
También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro lado son muy importantes las oportunidades que puede ofrece la informática para hacer más competitivo el negocio.Las actividades del auditor en informática
deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización.En esta fase, se visualizan los primeros
síntomas, los cuales posteriormente pueden ser los más relevantes.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
29
Etapa preliminar o diagnóstico de la situación actual
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
Tareas Productos1. Diagnóstico del negocio Misión y objetivos del
negocioOrganización de informáticaGrado de apoyo al negocio
2. Diagnóstico de informática
Misión y objetivos de la función de informáticaOrganización de informáticaControl (formalidadProductos y servicio
3. Detectar áreas de oportunidad
Área de oportunidad para mejoras inmediatas
30
Etapa preliminar o diagnóstico de la situación actual
¿Qué debe conocer el auditor en informática del negocio?
CONOCIMIENTO DEL NEGOCIO
•Misión del negocio•Áreas o proceso del negocio•Organigrama del negocio (detectar la ubicación de informática)•Relación entre las diversas áreas del negocio•Relación del negocio con áreas externas (clientes y proveedores por ejemplo)
•Políticas referente a informática•Otros de interés para el auditor en informática de acuerdo con las características del proyecto
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
31
Etapa preliminar o diagnóstico de la situación actual
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
APOYO AL NEGOCIO
El auditor en informática debe tener una idea global del grado de apoyo y satisfacción que existe en el negocio, y saber hacia donde se orienta el soporte de la función de informática, Por lo que debe conocer de manera general los siguientes aspectos:
- La participación de la informática en los proyectos clave para el negocio,
- Imagen de informática ante la alta dirección,
- Grado de satisfacción que existe por los servicios prestados por la informática,
- Expectativas que tiene el negocio sobre la función de la informática,
- Debilidades y fortalezas de informática
- Otros de interés específico del auditor
32
Etapa preliminar o diagnóstico de la situación actual
Áreas de oportunidad Aquí se detectan las características que facilitarán la implantación de soluciones brindadas por informática y que tendrán impacto relevante en alguna función o gerencia del negocio; de igual manera, pueden proponerse acciones inmediatas o a corto plazo que redunden en el corto, mediano o largo beneficios directos.
No hay que confundir la fase preliminar con la fase de desarrollo e implantación; en la primera el estudio es corto en tiempo y general en su investigación. Se menciona aprovechar las áreas de oportunidad que no requieran la terminacin de la auditoria en informática para comenzar su implantación.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
33
Etapa preliminar o diagnóstico de la situación actual
Es conveniente recordar que se carece de mucho soporte documental y detallado en este momento, por lo que la sugerencia de áreas de oportunidad útopicas puede generar cierta incredulidad y rechazo hacia el auditor en informática.
Para concluir sólo reta mencionar que las áreas de oportunidad pueden emanar de la alta dirección, los usuarios, del responsable de informática o del mismo auditor en informática; sin embargo, las propuestas deben ser analizadas y documentadas antes de ponerlas en práctica
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
34
Etapa preliminar o diagnóstico de la situación actual
Dichas acciones pueden encaminarse a aprovechar por ejemplo alguna de las siguientes áreas de oportunidad:1.Reubicación de la función de informática en la estructura organizacional2.Capacitación a los niveles ejecutivos o a los usuarios clave de las aplicaciones instaladas3.Actualización tecnológica4.Sistematización de algunas áreas de negocio5.Creación de algún comité de informática6.Formalización y divulgación de políticas y planes de informática en el negocio.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
35
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informática (Aquí el auditor se coordina directamente con el responsable de la función de
informática.)
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
Conocimiento de la función de informática
Para llevar a cabo esta tarea, el auditor deberá conocer:
1. La estructura interna de informática, funciones, objetivos, estrategias, planes y políticas.
2. La tecnología de software y hardware es en la que se apoya para llevar a cabo su función dentro del negocio.
36
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informática
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
Recomendaciones para llevar a cabo esta tarea
1. Se busca obtener la información relacionada con algunos aspectos indagados entre los usuarios y la alta dirección con objeto de encontrar la congruencia o discrepancia entre una opinión y otra.
2. Las entrevistas deben hacerse con el responsable de informática y ocasionalmente con los encargados directos de las funciones clave de esta área.
3. El auditor debe ser profesional y ético en su trabajo para brindarles seguridad de que al final de su tarea beneficiará a los involucrados.
37
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informática
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
Recomendaciones para llevar a cabo esta tarea
4. El auditor en informática debe lograr un equipo de trabajo unido, y que el líder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditoria;) desarrolle una buena comunicación con el personal de informática en esta etapa.
5. En caso de que el auditor revise vaga e informalmente la información aquí recomendada o que omita su búsqueda, corre el riesgo de planear o sugerir proyectos sin el alcance requerido para asegurar que las áreas de oportunidad y aspectos de riesgo sean contemplados y evaluados.
·
38
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaServicios
1. Como punto clave se debe remarcar y evaluar los servicios que presta informática a las diferentes áreas del negocio y en los distintos niveles organizacionales.
2. En esta parte se detecta qué servicios ya son aceptados en el negocio como estratégicos y los que sólo son operativos o necesarios para llevar a cabo tareas que no producen valor agregado.
3. El responsable de informática no debe ser su propio juez; pero al menos puede brindar su opinión personal de lo que considera que es su grado de apoyo al negocio; así mismo, puede manifestar o comprobar el grado de apoyo que brindan sus servicios al negocio mediante minutas, memorandos, reconocimientos, entre otras cosas, de los usuarios y de la alta dirección
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
39
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaServicios
4. El objetivo de conocer su opinión al respecto es encontrar la congruencia entre su función y lo que dice la alta dirección que debe ser. No se busca crear controversias ni encontrar fallas personales.
El auditor en informática enfrenta la responsabilidad moral de dar un sentido crítico y práctico a las áreas del negocio para hallar un mejor modo de hacer las cosas desde el punto de vista profesional en el campo de informática.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
40
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaServicios
5. Algunos servicios pueden ser ejecutados por asesores externos y coordinados por informática. El auditor en informática ha de encontrar las causas y el efecto que estos provocan en el negocio.Es muy recomendable que en esta tarea el auditor en informática documente las observaciones relevantes expuestas por el responsable de informática en relación con los servicios que proporciona, con la finalidad de cruzarlas con las hechas por la alta dirección y los principales usuarios de la organización.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
41
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaEjemplos de servicios brindados:
Implantación de soluciones de información: Desarrollo de sistemas de información Compra y adecuación de aplicaciones Bases de datos· Evaluación, adquisición, instalación y reemplazo de: Equipos de computo y telecomunicaciones Paquetes de software Lenguajes de programación· Mantenimiento de los sistemas y equipos· Soporte a usuarios Capacitación y asesoría técnica Investigaciones sobre tecnologías (equipos) y aplicaciones en el mercado· Planeación de informática· Auditoria en informática· Soporte a la alta dirección
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
42
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaAspectos de control del área de informáticaOtra actividad de la etapa preliminar es evaluar el grado de formalidad y cumplimiento que se da a políticas y procedimientos relativos a cada área de informática.
Una manera de obtener dicha información es a través de la entrevista que concede el responsable de informática al líder del proyecto; pero el camino más directo es entrevistar al encargado de cada área que conforma la función de informática, evitando caer en el detalle y ocupar mucho tiempo en las entrevistas
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
43
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaAspectos de control del área de informática
Algunos aspectos que se deben considerar son los siguientes:• Esquemas de seguridad para internet, intranet• Políticas y procedimientos de organización de la función de informática• Descripción de puestos y funciones• Evaluación de desempeño• Políticas y procedimientos para el desarrollo e implantación de sistemas
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
44
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaAspectos de control del área de informática
•Políticas y procedimientos de evaluación de hardware y software
•Políticas y procedimientos de seguridad
•Políticas y procedimientos de mantenimiento:– Preventivo– Detectivo– Correctivo
•Plan de contingencia y de reinicio de operaciones•Otros de interés específico del auditor en informática
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
45
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaÁreas de oportunidad
Aquí se detectan las circunstancias que facilitarán la puesta en marcha de soluciones brindada por informática y que tendrán un impacto relevante en algún proceso del negocio; de igual manera, es factible proponer acciones inmediatas o a corto plazo que redunden en el corto, mediano o largo beneficios directos para la organización; dichas acciones pueden encaminarse al aprovechamiento, por ejemplo, alguna de las siguientes áreas de oportunidad:
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
46
Etapa preliminar o diagnóstico de la situación actual
Diagnóstico de informáticaÁreas de oportunidad
•Capacitación o actualización profesional del personal de informática•Creación y difusión de nuevos servicios de informática para el negocio•Reubicación de la función de informática en la estructura organizacional•Capacitación a los niveles ejecutivos o a los usuarios clave acerca de las aplicaciones y sistemas de información en operación •Actualización tecnológica•Sistematización de algunas áreas del negocio•Creación de algún comité de informática•Formalización y divulgación de políticas y planes de informática en el negocio•Otras
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
47
Etapa preliminar o diagnóstico de la situación actual
En resumen:
En esta fase del proceso metodológico se estiman las áreas de informática que deben auditarse y se bosquejan los tiempos, costos y recursos inherentes a dicha revisión.Para obtener toda la información posible sobre el diagnóstico del negocio y de informática, el auditor se apoyará sobre cuestionarios detallados.
El diagnóstico inicial del negocio reflejará algunos puntos como el giro de la empresa, sus áreas organizacionales, planes y proyectos del negocio, imagen de informática ante la alta dirección, entre otras cosas.
Los aspectos tecnológicos, administrativos, culturales y financieros, entre otros, brindan al auditor en informática un panorama real del escenario donde desarrollará su trabajo.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
48
Etapa de justificación
Una vez finalizada la etapa preliminar, el auditor en informática se debe enfocar en la siguiente fase donde se va a dedicar a elaborar un documento fundamental para la aprobación del proyecto. (terminada)
(en ejecución)
(posterior)
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
Etapa preliminar
Etapa de justificación
Etapa de adecuación
49
Etapa de justificación
En esta etapa se legitima la revisión o evaluación de las áreas o funciones críticas relacionadas con la informática.
El documento elaborado en esta etapa contiene tres productos terminados que contemplan las áreas que se auditarán (matriz de riesgo), el tiempo sugerido para hacerlo (plan de auditoría en informática) y el visto bueno (compromiso ejecutivo).
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
50
Etapa de justificación Aquí el auditor ha de definir qué áreas y componentes de
informática se revisarán y cómo conseguir el compromiso del personal de informática, de los usuarios y demás involucrados para participar cuando les sea requerido.El conjunto de áreas que se auditarán se documenta y
programa en la etapa de justificación. Por otro lado, vale la pena mencionar que la fase en estudio se deriva de los siguientes elementos:
Información obtenida en la etapa preliminarDiagnóstico del negocioDiagnóstico de informáticaProgramas de revisiones rutinariasApoyo a revisiones de auditoria tradicionalApoyo a revisiones de planes de seguridad de la empresaOtras
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
51
Etapa de justificación
Matriz de riesgo:El objetivo principal es detectar las áreas de mayor peligro en relación con
informática y que requieren una revisión formal y oportuna. Algunos ejemplos de las áreas susceptibles a auditar, son:
Administración de informática (misión, organización, servicios, etc.)
Usuarios de informática (comunicación e integración, proyectos conjuntos)
Sistemas de información (planeación, desarrollo, operación) Mantenimiento (hardware, software, telecomunicaciones) Redes locales (administración, instalación, operación y seguridad) Software (administración y legalización de lenguajes de programación,
sistemas operativos) Seguridad (hardware, software/aplicaciones Investigación tecnológica (metodologías, técnicas, herramientas,
capacitación)
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
52
Etapa de justificación
El auditor debe utilizar los parámetros de medición y evaluación posibles sin caer en un análisis detallado, ya que sólo se trata de detectar la problemática principal de cada área (puede apoyarse en especialistas en informática, auditoria financiera, asesores o consultores externos).
Si emanan anomalías de considerable importancia de algún elemento evaluado, se deben tomar acciones inmediatas orientadas a eliminarlas o al menos minimizarlas (se plantearán en el plan de auditoria en informática como acciones inmediatas)
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
53
Etapa de justificación
Determinar el nivel de riesgo que existe en cada área de la función de informática: cada área, producto o servicio de informática es susceptible de evaluación y control para que se desarrolle de acuerdo con los estándares, políticas y procedimientos específicos que le han sido asignados según su función.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
54
Etapa de justificación
Consideraciones que hay que tomar en cuenta al realizar el diagnóstico de la situación actual (etapa preliminar) que ayudan a la obtención de la matriz de riesgos:1. El auditor en informática debe conocer de manera aceptable los aspectos de control relativos a cada área de informática (considerando aspectos técnicos y administrativos).2. Se apoyará en la visión de los principales usuarios del negocio y del responsable de informática.3. Debe entender que las debilidades o anomalías que se encuentre serán analizadas y clasificadas por su nivel de riesgo e importancia de su impacto en el negocio.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
55
Etapa de justificación
Consideraciones que hay que tomar en cuenta para elaborar la matriz de riesgos:1. Es una tarea relevante y necesaria para el auditor en informática2. Los parámetros para medir el nivel de riesgos pueden variar de acuerdo con factores coma la experiencia y conocimiento en la auditoria, así como con las áreas que conforman informática o el grado de profundidad y análisis que desee darle el auditor en informática3. Algunos hechos pueden indicar directamente al auditor en informática la existencia de riesgos relevantes.4. Revisar la matriz de riesgos con el responsable de auditoria en informática5. Asegurarse de contar con el soporte que requieran las debilidades o anomalías detectadas (entrevistas, visitas y cuestionarios analizados, revisados y documentados) para ser validadas oportunamente.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
56
Etapa de justificación
Consideraciones para el momento de elaborar la matriz de riesgos:
1. Clasificar cada área y sus componentes por nivel de riesgo, lo que puede determinarse por el líder del proyecto, los usuarios clave o el responsable de informática.
2. Otorgar prioridades a cada área de revisión de acuerdo con el nivel de riesgo o por factores específicos mencionados por la alta dirección o el responsable de informática.
3. Justificar cada una de las áreas seleccionadas para auditarse. La justificación debe cimentarse en el nivel de riesgo que representa, según las prioridades establecidas por los involucrados de alto nivel o por solicitud expresa de la alta dirección o del responsable de informática
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
57
Etapa de justificación
En resumen, el auditor en informática deberá ser los más específico posible y la matriz de riesgos no generará motivo alguno de confusiones o desacuerdos.Cada una de las áreas que serán revisadas, según el auditor en informática, tendrá al menos los siguientes elementos de apoyo:
Descripción de la debilidad encontrada y sus consecuencias actuales o futuras en el componente de informática sugerido para auditarse:
Según se detecto en la evaluación preliminar ¿qué área hay que revisar?¿Qué problemática se deriva de las debilidades encontradas?¿Qué gastos o consideraciones económicas genera dicha problemática?¿Qué aspectos de improductividad proceden de la anomalía detectada?¿Qué grado de insatisfacción existe a causa de la problemática hallada durante el estudio efectuado en la etapa anterior?¿Qué riesgos existen o se pueden presentar si persiste dicha anomalía?
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
58
Etapa de justificación
PLAN GENERAL DEL PROYECTO DE AUDITORIA EN INFORMATICA
Una vez elaboradas, revisadas y documentadas la matriz de riesgos (de acuerdo con los riesgos más relevantes) y las áreas de oportunidad, se procede a la formulación del plan general de informática, el cual consiste básicamente en plantear las tareas más importantes que se ejecutarán durante cierto período al efectuar la auditoria en informática.
El plan generado en esta etapa es general, ya que sólo busca plantear los datos básicos para que la alta dirección los analice y apruebe.
El plan detallado se lleva a cabo posteriormente, en la etapa de adecuación.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
59
Etapa de justificación
El líder de proyectos debe:Estimar el tiempo necesario para auditar
cada área determinada en la matriz de riesgoAnalizar y definir los aspectos más
relevantes que se evaluaránAsignar prioridades a cada área por revisar o
evaluarEstablecer fechas estimadas de inicio y
terminación por área de revisiónEstablecer fechas de revisión formales e
informalesDefinir responsables directos por etapas de
proyecto
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
60
Etapa de justificación
Compromiso ejecutivo
Es la última tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobación) inicial de la alta dirección y demás responsables para continuar con el proyecto de auditoria en informática.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
61
Etapa de justificaciónLos aspectos fundamentales para lograr el compromiso ejecutivo con el objetivo de continuar con el proyecto de auditoria en informática son los siguientes:
1. Presentación del plan con la información de soporte requerida bien documentada y validada por los principales involucrados:- Resumen del diagnóstico actual- Áreas de oportunidad- Matriz de riesgos- Prioridades- Otros comentarios de apoyo- Ser objetivo y claro al exponer el plan general- Justificar cada una de las áreas por auditar con datos concretos y bien documentados- Lograr que la alta dirección tome conciencia del compromiso requerido de su parte para la culminación exitosa del proyecto- Recibir la aprobación formal del plan general (firma)- El líder del proyecto deberá de indicar las fechas de inicio y terminación estimadas
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
62
Etapa de adecuación
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoria en informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estándares, políticas y procedimientos de auditoria que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso.A continuación se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisión de las áreas aprobadas en la etapa anterior.Objetivos y requerimientos de éxito por cada área que se auditará:
Luego de terminar las etapas preliminar y de justificación, el auditor en informática podrá definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisión de las áreas mencionadas en el plan de auditoría en informática.
Ejemplos de los objetivos y requerimientos para los usuarios de informática:
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
63
Etapa de adecuación
Objetivos y requerimientos de éxito por cada área que se auditará:
Luego de terminar las etapas preliminar y de justificación, el auditor en informática podrá definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisión de las áreas mencionadas en el plan de auditoria en informática.
Ejemplos de los objetivos y requerimientos para los usuarios de informática:
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
64
Etapa de adecuación
Actualización del plan generalSabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, así como estimar gastos y el numero de personas de las áreas usuarias y de informática que participarán en el proyecto. Así, ya es posible estimar, con bastante precisión, los aspectos o componentes que se deben evaluar por cada área de informática durante el desarrollo de la etapa de adecuación.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
65
Etapa de adecuación
Plan detallado del proyecto de auditoria en informática
Es una de las tareas más importantes de la etapa de adecuación, ya que en ella se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que serán validados y aprobados en la etapa de formalización para arrancar el proyecto.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
66
Etapa de adecuación
Hay dos tipos de planes detallados con orientación diferente y objetivo común:
Plan interno: Le corresponde al líder de proyecto y su propósito es hacer un seguimiento interno a las tareas y responsabilidades de los auditores en informática.
Plan detallado de auditoria en informática: Se especifica el detalle emanado del plan general de auditoria en informática definido en la fase de justificación. Los datos mencionados en este plan pretenden ser guía del proyecto de auditoria desde el punto de vista del cliente, ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisión, etc.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
67
Etapa de adecuación
Definición de técnicas y herramientas Esta es una parte muy importante y estratégica para el buen desempeño de la auditoría en informática que consiste en definir las técnicas y herramientas necesarias y fundamentales para revisar eficientemente cada área seleccionada. Un claro ejemplo son los software que incluyen un conjunto de técnicas como análisis, documentación, muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditoría.La experiencia profesional que se haya obtenido en cada una de las áreas (desarrollo, telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace más viable la auditoría como la definición de soluciones.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
68
Etapa de adecuación
Adecuación a la alta política de empresa
Todas las tareas realizadas por la auditoría en informática deben cumplir con los estándares, políticas y procedimientos establecidos por las asociaciones profesionales relativas a la misma; también se cumplirán con los de las empresas donde se preste el servicio durante la gestión de auditoria.
Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicación de los estándares, políticas y procedimientos más convenientes a las necesidades actuales y futuras del área de especialización a la que se dedican.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
69
Etapa de adecuación
Definido y detallado el plan, el auditor procederá con objetividad y disciplina a establecer referencias cruzadas entre los estándares, políticas y procedimientos generalmente aceptados y cada uno de los componentes de informática que se auditarán.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
70
Etapa de adecuación
Elaboración de cuestionarios
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluación; de los mismos derivan entrevistas, visitas a los centros de cómputo o departamentos usuarios.
Los cuestionarios representan una herramienta de gran valor para el auditor en informática; se estructuran de manera que funcionan como guía para verificar la confiabilidad de la información del personal entrevistado; además, permiten percibir el grado de cumplimiento de estándares, políticas y procedimientos que generalmente son aceptados.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
71
Etapa de formalización
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la empresa y de la función de informática; en ellas se detectaron las debilidades y fortalezas más relevantes, también se definió la planeación y proyección de las áreas que requieren ser auditadas, y se documentaron las adecuaciones.
En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el desarrollo del proyecto de auditoría (presentado por el líder de proyectos y el responsable de auditoría en informática), de manera tal que, su función es justificar el desarrollo del proyecto basándose en lo que se hizo en las etapas anteriores.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
72
Etapa de formalización
1) Verificación de prioridades, restricciones y alcances del proyecto:
La verificación, validación, clasificación y documentación de las prioridades, restricciones y alcances del proyecto tienen un alto valor para el auditor en informática, ya que mediante su realización se clarifica el rumbo, límites y cobertura que tendrá el proyecto.
Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de conformidad de cada participante.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
73
Etapa de formalización
Prioridades: Son las acciones que deben llevarse a
cabo antes que las demás sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algún hecho que perjudica en alto grado al negocio. RestriccionesSon los hechos o circunstancias que no se identifican con facilidad y que ocurren o pueden ocurrir durante el transcurso de la auditoría y que afectan directa o indirectamente al proyecto. Generalmente son limitaciones o carencias que no se podrían resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto para asignar recursos al proyecto. Alcance: Aquí se aclara que se realizará en el proyecto (tareas, etapas) y los resultados (productos terminados). Lo que no se mencione aquí no se obtendrá durante el proyecto.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
74
Etapa de formalización
2) Presentación formal del plan de auditoria en informática:
Esta tarea es la más importante para el líder del proyecto y el responsable de la auditoria en informática, ya que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son:
* Asegurarse de contar con toda la información resumida y presentable, ya que su principal audiencia será la alta dirección.
* Revisarla y verificarla con este último.
· * Concertar en una cita en una fecha y lugar apropiados.
· * Ser fluido, claro y contundente en la presentación.
· * Asegurar el entendimiento de la audiencia de los datos presentados.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
75
Etapa de formalización
3) Aprobación formal del proyecto:
Esta no es una tarea que demande mucho tiempo a pesar de ser una de las más importantes, ya que en ella surge la aprobación formal del proyecto de auditoria.
Dado el visto bueno de los involucrados, la responsabilidad de la función de auditoria en informática es mas clara y evidente.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
76
Etapa de formalización
4) Compromiso ejecutivo:
Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta dirección, los usuarios clave, el responsable de informática y el de la auditoría se comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e implantación de las acciones recomendadas por auditoría en informática en su informe final.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
77
Etapa de desarrollo
En esta etapa el auditor en informática va a ejercer su función de manera práctica, es decir, comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
78
Etapa de desarrollo
En esta fase se llevan a cabo las siguientes tareas: 1. Concertación de fechas de entrevistas, visitas y aplicación de cuestionarios: NOTA: Las visitas se realizan con el objetivo de validar el uso de políticas y procedimientos de seguridad y control, como el registro de acceso a centros de cómputo y áreas en donde existe documentación o tecnología importante para el negocio, existencia de extintores, detectores de humo, etc.; respaldos de información en algún dispositivo, equipos en buen estado avisos de seguridad, etc. Actividades principales:Se solicita al responsable de informática una lista con los nombres, puestos y departamentos del personal de informática y de las áreas usuarias involucradas en el proyecto.Hablar personal o telefónicamente con los involucrados para concertar citas.Productos terminados:Lista del personal de informática y de usuariosFecha y hora formal de cada entrevista
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
79
Etapa de desarrollo
2. Verificación de las tareas, involucrados y productos terminados:
Actividades principales:
Verificar si la tarea anterior alteró el orden de las acciones mencionadas en el plan detallado
Asegurar que los cambios sean mínimos y de bajo impacto en el plan.
Documentar los cambios necesarios y justificados.
Productos terminados:
Cambios justificados
Cambios documentados
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
80
Etapa de desarrollo
3. Clasificar técnicas y herramientas:Actividades principalesVerificar la lista de métodos, técnicas y herramientas sugeridas por el área auditada.Verificar los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada área que se auditará. Actualizar cuestionarios solo si es necesario,Elaborar entrevistas con base en la experiencia, cuestionarios y necesidades del proyecto.Clasificar y documentar según el proyecto Productos terminados:Lista de métodos, técnicas y herramientas clasificadas por área de revisiónCuestionarios actualizados y documentados de cada áreaEntrevistas documentadas al personal de informática y usuarios
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
81
Etapa de desarrollo
4. Realización de entrevistas y cuestionarios:Actividades principales
Efectuar cada una de las entrevistas en las fechas y horas planeadas
Aplicar cada uno de los cuestionarios en las fechas planeadas.
Documentar las entrevistas y los cuestionarios
Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros).
Registrar entrevistas y cuestionarios
Productos terminados:
Entrevistas aplicadas y documentadas
Cuestionarios aplicados y documentados
Cancelaciones y causas documentadas
Documentación de comentarios de apoyo relevantes para el proyecto.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
82
Etapa de desarrollo
5. Efectuar visitas para la verificación: Actividades principalesValidar objetivos e información buscados en cada visita.Efectuar visitas a centros de cómputos o a los usuarios de informática.Notificar la visita a los representantes de dicho departamento.Registrar la información más relevante y obtener el soporte requerido.Registrar visitas pendientes.
Productos terminados:Visitas de revisión y verificación efectuadasDocumentación de los datos relevantes relacionados con debilidades o falta de control y seguridadRegistro de causas de visitas canceladasFechas de visitas pendientes aprobadas por los usuarios y personal de informática responsables de los lugares por visitar
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
83
Etapa de desarrollo
6. Elaboración de informes preliminares:Actividades principalesAnalizar la información documentada que se origino en las entrevistas, visitas y aplicación de cuestionariosElaborar observaciones y conclusiones de cada uno de los componentes y áreas auditadasLlenar hoja de resumen de observaciones y recomendaciones de la auditoria informática.Productos terminados:Observaciones, conclusiones y recomendaciones verificadas y depuradasReunión informal para la notificación de avances del proyecto con el responsable de informática y el responsable de cada área de los usuariosCompromiso de terminación de pendientes por medio de entrevistas, visitas o aplicación de cuestionarios.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
84
Etapa de desarrollo
7. Clasificación y documentación del informe preliminarActividades principales
Registrar de manera formal cada observación, conclusión y recomendación sugerida, revisada y aprobada
Clasificar la información por componente y área auditada.
Productos terminados:
Observaciones, conclusiones y recomendaciones clasificadas y documentadas por: Área y componente
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
85
Etapa de desarrollo
8. Finalización de tareas o productos pendientes: Actividades principalesVerificar lista de entrevistas, visitas y cuestionarios pendientes
Finalizar cada tarea pendiente
Analizar la información emanada de cada entrevista, visita o cuestionario terminados
Elaborar observaciones y recomendaciones correspondientes
Actualizar, documentar y clasificar el informe de la auditoria
Productos terminados:
Entrevistas visitas y cuestionarios terminados
Observaciones, conclusiones y recomendaciones clasificadas y documentadas en el informe de auditoria en infromática por área y componente
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
86
Etapa de desarrollo
9. Elaboración del informe final de la auditoría en informática: Actividades principales
Elaborar un informe orientado a la alta dirección Redactar un informe detallado (que contenga antecedentes, observaciones, recomendaciones, etc.) para el responsable de informática y los usuarios clave. Verificar que el informe contenga al menos: antecedentes, observaciones, conclusiones, recomendaciones, responsables y tiempos por área auditada.Productos terminados:Informe orientado a la alta direcciónInforme detallado para el responsable de informática y los usuarios clave
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
87
Etapa de desarrollo
10. Presentación a la alta dirección e involucrados clave:Actividades principalesVerificar que los informes sean claros, completos y congruentes entre sí. Comprobar que se encuentre con el soporte documentado de lo mencionado en los informesFormalizar la fecha de la presentación de informes a la alta dirección Elaborar una minutaProductos terminados:Informe verificadosInformes finalesInformes presentados a la alta dirección e involucrados clave del proyecto (responsable de informática y responsable de los usuarios)Minuta de la reunión
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
88
Etapa de desarrollo
11. Aprobación del proyecto y compromiso ejecutivo: Actividades principalesObtener la aprobación y el compromiso formal de la alta dirección para luego elaborar un plan de implantación general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por ultimo se delega a informática y las áreas usuarias la implantación de las acciones recomendadas.
Productos terminados:Aprobación formal de la alta dirección relacionada con la terminación del proyecto de auditoría en informáticaCompromiso ejecutivo para brindar el apoyo requerido en la etapa de implantación de las recomendaciones contempladas en los informesCompromiso del responsable de informática y de las áreas usuarias para ejecutar la etapa de implantación.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
89
Etapa de desarrollo
5. Revisión de estos informes: Actividades principalesVerificar cada una de las observaciones y recomendaciones por componente y área con el líder del proyecto.Registrar sugerencias de auditoria para el mejor planteamiento de observaciones y recomendacionesAsegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de reporte, documentos fuente, etc.). Concertar citas con el responsable de informática y los usuarios para sacar conclusiones.Productos terminados:Hoja de resumen de observaciones y recomendaciones de la auditoria informática.Observaciones, conclusiones y recomendaciones por: área y componente
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
90
Informe preliminar
Deben de contener la siguiente información
Observaciones (debilidades, carencias) de los aspectos de informática auditados
Áreas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informática
Recomendaciones preliminares para cada una de las observaciones encontradas
Responsables de ejecutar las recomendaciones
Actualización del plan de auditoria en informática
Revisión detallada de los aspectos que tengan un impacto considerable en la operación del negocio o que soporten alguna estrategia del negocio
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
91
Informe preliminar
Deben de contener la siguiente información
Comunicación abierta con los usuarios y el personal de informática involucrados
Presentar un plan de implantación de auditoria en informática factible y realista qye contemple los siguientes elementos:
Debilidades o carencias de control, su problemática y causas que la originan
Acciones inmediatas de corto y mediano plazo
Responsables e involucrados en la implantación de estándares, políticas y procedimientos en cada componente de informática que así lo requiera
Análisis costo-beneficio del proyecto de implantación
Aprobación formal de los directivos usuarios y del responsable de informática
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
92
Informe final
La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboración del informe final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
93
Informe final
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
Se tiene que entregar el informe con una carta de introducción o presentación, la cual tiene especial importancia porque en el ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
94
Informe final
Estructura del informe final
Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoria no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos: Tendrá como máximo 4 páginas. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las
áreas de gran debilidad. Presentará las debilidades en orden de importancia y
gravedad. En la carta de Introducción no se escribirán nunca
recomendaciones.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
95
Informe final
Requisitos del informe finala) Será veraz. Todas las consideraciones y conclusiones deben ser
tomadas con certeza de que los datos son reales y de buena fuente
b) Estar documentado formalmente c) Mostrar las observaciones (debilidades) encontradas, se
clasificaran en orden de importancia o el impacto negativo que pueden tener en el negocio si no se atienden oportunamente. Si se considera conveniente, se deben de exponer los motivos de esa debilidad con el fin de aclarar las responsabilidades y percibir los efectos que pueden llegar a tener en el negocioAquí es muy importante señalar que esas observaciones se identificaron a lo largo del proyecto y que, de alguna manera se comentaron con los responsables de las áreas o funciones que la originaron, excepto en situaciones muy delicadas como fraudes o delitos graves contra la empresa.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
96
Informe final
d) Contar con recomendaciones y soluciones para cada observación, las cuales deberán de tener una solución clara y contundente que comprenda la siguiente observación:a) Observación
b) Áreas de oportunidad
c) Productos terminados
d) Plazos de implantación
e) Responsable de cada acción
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática
97
ETAPA DE IMPLANTACION
Esta es la más importante para los involucrados en el proyecto de auditoria en informática, ya que termina la tarea de los auditores y comienza para los responsables de las áreas usuarias y de informática. Ellos ejecutaran las acciones recomendadas en los informes detallados y aprobados por la alta dirección. La función del auditor se convierte así en una labor de seguimiento y apoyo.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Beneficios de la auditoria en informática
98
ETAPA DE IMPLANTACION
Los elementos clave de la etapa de implantación son:
Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el responsable de informática):Aquí se analizan algunos aspectos (recursos humano, materiales tecnológicos, inversiones, etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados anteriormente.
Desarrollo del plan (también a cargo del responsable de informática):Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la alta dirección.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Beneficios de la auditoria en informática
99
ETAPA DE IMPLANTACION
Los elementos clave de la etapa de implantación son: Implantación de las acciones sugeridas por auditoria en
informática (responsable de inf.): 1) Primero hay que verificar que se cuente con los
recursos estimados en la tarea anterior. 2) Consultar los informes para verificar acciones y
tiempos de terminación 3) Elaborar un plan de implantación que tenga:
- Tareas
- Productos terminados- Responsables e involucrados- Fechas de inicio y término- Fechas de revisión- Verificar tareas, productos terminados, etc. del
plan de implantación-Ejecutar cada una de las tareas
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Beneficios de la auditoria en informática
100
ETAPA DE IMPLANTACION
•Seguimiento a la implantación (esta tarea le corresponde al auditor en informática):
Tiene que solicitar el plan de implantación para revisar su congruencia con los informes de la auditoria en informática. Luego comprobar el cumplimiento formal de las tareas en los tiempos y formas que considere convenientes para asegurar resultados. Documentar debilidades y anomalías relevantes. Y por ultimo, sugerir acciones para el cumplimiento oportuno de la implantación al nivel que se considere pertinente.
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Beneficios de la auditoria en informática
101
Referencias
Hernández, Hernández Enrique; Auditoria en Informática; 2ª edición; Editorial CECSA
Uso e Imp. De Serv. De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Desarrollo de la auditoria en informática