unidad iii -desarrollo de la auditoria en informática-

Desarrollo de la auditoria en informáticaUnidad III

(Metodología para el desarrollo de la auditoria en informática, Etapa preliminar o diagnóstico de la situación actual, Etapa de justificación, Etapa de

adecuación, Etapa de formalización, Etapa de

desarrollo y Etapa de implantación )

• 2ª evaluación• Marzo 2007

Auditoria en InformáticaM. en C. Lorena Carmina Moreno Jiménez

Desarrollo de la auditoria en informática

2

Contenido

Metodología para el desarrollo de la auditoria en informática

Proceso metodológico de la auditoria en informáticaRequisitos para el éxito del proceso metodológico

Métodos, técnicas y herramientas por área de revisión¿La razón para auditar informática mediante una metodología formal y acorde a los objetivos actuales de seguridad y control?¿Qué es una metodología de auditoria en informática (MAI)?¿Qué elementos complementan la metodología?

Uso e Imp. De Serv. De Internet

M. en C. Lorena Carmina Moreno Jiménez

Auditoria en Informática Desarrollo de la auditoria en informática

3

Contenido

Etapa preliminar o diagnóstico de la situación actual

Diagnóstico del negocio: alta dirección y áreas usuariasTareas, productos terminados, responsables e involucradosConocimiento del negocioApoyo al negocioÁreas de oportunidad

Diagnóstico de informática: responsables de la funciónOtros de interés específico para élServiciosAspectos de control del área de informáticaÁreas de oportunidadOtros de interés para el auditor en informática de acuerdo con las características del negocio

Cuestionarios para llevar a cabo la etapa de diagnóstico




4

Contenido

Etapa de justificación Áreas de oportunidad para la función de informática Matriz de riesgos, justificación por área de revisión Plan general del proyecto de auditoría en informática Compromiso ejecutivo

Etapa de adecuación Definición y formulación de objetivos y

requerimientos de éxito por cada área que se auditará Actualización del plan general Plan detallallado del proyecto de auditoria en

informáticaDos tipos de plaqnes detalaldos con orientación diferente y objetivo común: la administración del proyecto




5

Contenido

Aspectos por evaluar en cada área de revisión Definición de técnicas y herramientas por área de revisión Definición o actualización de estándares, políticas y

procedimientos por área de revisión¿Cómo se definen los estándares, políticas y procedimientos de auditoria en informática ?¿Es una obligación el uso de estándares?¿Únicamente las asociaciones pueden establecer estándares, políticas y procedimientos de auditoria en informática?

Elaboración o actualización de cuestionarios por área de revisión Elementos que se deben contemplar antes de iniciar

formalmente la revisión de las áreas aprobadas en la etapa de justificación.




6

Contenido

Etapa de formalización Verificación de prioridades, restricciones y alcances

del proyecto Actualización del plan de auditoria en informática Presentación formal del plan de auditoria en

informática Aprobación formal del proyecto de auditoria en

informática Compromiso ejecutivo

Etapa de desarrollo

Etapa de implantación

Referencias




7

Metodología para el desarrollo de auditoria en informática

La auditoria en informática debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoria en informática efectúa sus tareas y actividades mediante una metodología.No es recomendable fomentar la dependencia en el desempeño de esta importante función sólo con base en la experiencia, habilidades, criterios y conocimientos sin una referencia metodológica. Contar con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo a estándares predeterminados.




8


La función de auditoria en informática ha de contar también con un desarrollo de actividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias de la función.

Lo anterior se facilita si los auditores en informática cuentan con una metodología que oriente en cada proyecto a una ejecución armoniosa y planeada en cada una de las tareas y actividades involucradas.

Un alto porcentaje de los especialistas en áreas de investigación, planeación financiera, informática, sistemas, etc., se apoyan en gran medida en tareas, actividades, productos terminados, revisiones, funciones y responsabilidades, etc., definidas previamente en un documento formal que contiene la metodología necesaria.




9


El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que arriben a los resultados esperados por la empresa, siguiendo un plan.Es importante señalar que el uso de la metodología no garantiza por sí sola el éxito de los proyectos de auditoria en informática; además, se requiere un buen dominio y uso constante de los siguientes aspectos complementarios:

Técnicas Herramientas de productividad Habilidades personales Conocimientos técnicos y administrativos Experiencia en los campos de auditoria en informática Conocimiento de los factores del negocio y del medio externo al mismo Actualización permanente Comunicación constante con asociaciones nacionales e

internacionales relacionadas.




10


Podemos concluir:1. En que éxito de cualquier proyecto no se basa

únicamente en que lo apruebe la alta dirección o en la disponibilidad de recursos destinados para ello. La estructura que plasma el camino que se ha de seguir, las funciones y compromisos de los involucrados, la secuencia y productos obtenidos a lo largo del proyecto son, en gran medida, otros elementos que garantizan un resultado final satisfactorio.

2. La aprobación de los proyectos de auditoria en informática sólo garantiza el inicio de actividades y el compromiso temporal de las personas que se verán involucradas en dicho proceso. Recordando siempre que existen prejuicios en las organizaciones hacia los procesos que impliquen revisiones, evaluaciones o tareas similares que podrían perjudicar cada proyecto si no se tiene un plan que minimice y convierta esas actitudes en posiciones proactivas y de apoyo.




11


El proporcionar recursos económicos, humanos y materiales a los proyectos de auditoria en informática garantiza el abastecimiento de la materia para el proceso, mas no implica que el producto terminado sea de calidad y entregado con oportunidad.Es por eso la importancia de contar de manera formal con una metodología de auditoria en informática ya que es donde se plantea el camino de forma práctica y digerible para que los auditores en informática conozcan, desde el inicio de los proyectos, los componentes y características de logística requeridos para terminarlos exitosamente.




12


Ventajas del uso de un proceso de trabajo metodológico y estándar en la función de auditoria en informática:

1. Los recursos orientan sus esfuerzos a la obtención de productos y servicios de calidad, con características y requisitos comunes para todos los responsables.

2. Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los auditores en informática.

3. Se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios estándares.




13


4. Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración en las funciones del auditor en informática

5. Es un complemento clave en el desarrollo de cada individuo, pues su formal seguimiento, aunado a las habilidades, normas y criterios personales, colabora con el cumplimiento exitoso de los proyectos de auditoria en informática.

6. El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y pautas perfectamente definidas.




14


Requisitos para el éxito del proceso metodológico

1. Aprobación de la metodología por la alta dirección.

2. Adecuación de la metodología a los requerimientos específicos del negocio (cuidado con reducir tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es útil apoyarse en un asesor experto).

3. Documentación o actualización de la metodología.




15


4. Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado).

5. Elaboración de los planes de auditoria en informática según la metodología.

6. Verificación del uso formal de la metodología en cada proyecto.

7. Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodología.




16


Métodos, técnicas y herramientas por área de revisión

El desarrollo exitoso de la auditoria en informática depende de un conjunto de factores interrelacionados, por lo que agrupar y coordinar de manera eficiente los siguientes factores brindará resultados satisfactorios por parte de los auditores en informática:Dominio de los conceptos técnicos y administrativosHabilidades inherentes a la auditoria en informática.




17


Normas personales.Entendimiento de la auditoria en informática y sus tendencias.Adaptación o actualización según el medio dominante.Administración formal de la auditoria en informática en el negocio.




18


Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoria tradicional.Desarrollo de un proceso formal de planeación de auditoria en informática.Entendimiento y aplicación de un proceso metodológico formal de la auditoria e informática.Vocación profesional por la auditoria en informática (es un requisito moral, no una política organizacional).




19


Participación formal -en la medida de lo posible- en las asociaciones, institutos educativos, etc., con fines de actualización o de compartir las experiencias profesionales adquiridas en el campo de la auditoria en informática.Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar.




20


Otros que dependen de las características de la organización en que se desarrolle la función de auditoria en informática.Uno de los factores primordiales para que el auditor en informática obtenga un desempeño eficiente en su trabajo es el conocimiento y aplicación de los métodos, técnicas y herramientas comúnmente aceptados para la informática en los negocios o asociaciones




21


En la medida en que el auditor en informática posea experiencia y conocimientos actualizados sobre los diferentes aspectos que evaluará, obtendrá resultados pobres o exitosos en la organización donde trabaja.




22


El conjunto de elementos metodológicos, técnicos y operativos recomendados para apoyar la función de auditoria en informática en la revisión y evaluación de áreas específicas de informática y los demás componentes relacionados con ella, que complementan la auditoria en informática.




23


¿La razón para auditar informática mediante una metodología formal y acorde a los objetivos actuales de seguridad y control?

Diagnosticar el soporte real de informática en cada proceso del negocio.Diagnosticar el estado de informática.Asegurar continuidad en operaciones.Apoyo en la calidad de informática.Establecimiento de políticas, controles y procedimientos

de informática.Orientar hacia el cumplimiento de estándares definidos a

nivel nacional e internacional.Asesorar a los administradores de informática para

obtener una mejora continua.Establecer un esquema de seguridad y control en

informática.




24


Qué es una metodología de auditoria de informática

Es un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoria de informática.Especifica el qué, cómo, cuándo, quién y qué de

los siguientes puntos:Roles y responsabilidades de auditoria en informática,

personal de informática y usuarios de sistemas de información y herramientas de tecnología.Requerimientos para el logro exitoso del proyecto de

auditoria en informática.Etapas de cada proyecto.Requerimientos para el éxito del proyecto.Tareas y productos terminados (por etapa y proyecto). Técnicas y herramientas.




25





Preliminar (Diagnóstico)- Negocio-Informática

Implantación- Acciones correctivas y preventivas- Seguimiento

Desarrollo- Entrevistas-Visitas-Observaciones- Recomendaciones-Informe de auditoria

Adecuación- Método- Técnicas- Herramientas

Formalización-Aprobación-Arranque

Justificación-Áreas por auditar-Plan propuesto

Revisión informal

Revisión formal

Aprobación formal

26


Elementos y aspectos que complementan la metodología




TécnicasTécnicasDocumentaciónAnálisisObservaciónEntrevistasCosto / beneficioControl de proyectos

HerramientasSoftware de oficinaAplicacionesHardwareComunicacionesControl de proyectosCAATs, Computer

Assisted Audit Techniques

Recomendaciones de asociaciones Recomendaciones de asociaciones profesionalesprofesionalesAMAI, IIA (INSTITUTO DE AUDITORES INTERNOS), IMCP

27


Es el primer paso práctico del auditor en informática dentro de las empresas o instituciones.Se busca la opinión de la alta dirección para

estimar el grado de satisfacción y confianza que tiene en los productos, servicios y recursos de informática en el negocio; así mismo, es posible detectar las fortalezas, aciertos y apoyo que brinda dicha función desde la perspectiva de los directivos del negocio.




28


También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro lado son muy importantes las oportunidades que puede ofrece la informática para hacer más competitivo el negocio.Las actividades del auditor en informática

deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización.En esta fase, se visualizan los primeros

síntomas, los cuales posteriormente pueden ser los más relevantes.




29





Tareas Productos1. Diagnóstico del negocio Misión y objetivos del

negocioOrganización de informáticaGrado de apoyo al negocio

2. Diagnóstico de informática

Misión y objetivos de la función de informáticaOrganización de informáticaControl (formalidadProductos y servicio

3. Detectar áreas de oportunidad

Área de oportunidad para mejoras inmediatas

30


¿Qué debe conocer el auditor en informática del negocio?

CONOCIMIENTO DEL NEGOCIO

•Misión del negocio•Áreas o proceso del negocio•Organigrama del negocio (detectar la ubicación de informática)•Relación entre las diversas áreas del negocio•Relación del negocio con áreas externas (clientes y proveedores por ejemplo)

•Políticas referente a informática•Otros de interés para el auditor en informática de acuerdo con las características del proyecto




31





APOYO AL NEGOCIO

El auditor en informática debe tener una idea global del grado de apoyo y satisfacción que existe en el negocio, y saber hacia donde se orienta el soporte de la función de informática, Por lo que debe conocer de manera general los siguientes aspectos:

- La participación de la informática en los proyectos clave para el negocio,

- Imagen de informática ante la alta dirección,

- Grado de satisfacción que existe por los servicios prestados por la informática,

- Expectativas que tiene el negocio sobre la función de la informática,

- Debilidades y fortalezas de informática

- Otros de interés específico del auditor

32


Áreas de oportunidad Aquí se detectan las características que facilitarán la implantación de soluciones brindadas por informática y que tendrán impacto relevante en alguna función o gerencia del negocio; de igual manera, pueden proponerse acciones inmediatas o a corto plazo que redunden en el corto, mediano o largo beneficios directos.

No hay que confundir la fase preliminar con la fase de desarrollo e implantación; en la primera el estudio es corto en tiempo y general en su investigación. Se menciona aprovechar las áreas de oportunidad que no requieran la terminacin de la auditoria en informática para comenzar su implantación.




33


Es conveniente recordar que se carece de mucho soporte documental y detallado en este momento, por lo que la sugerencia de áreas de oportunidad útopicas puede generar cierta incredulidad y rechazo hacia el auditor en informática.

Para concluir sólo reta mencionar que las áreas de oportunidad pueden emanar de la alta dirección, los usuarios, del responsable de informática o del mismo auditor en informática; sin embargo, las propuestas deben ser analizadas y documentadas antes de ponerlas en práctica




34


Dichas acciones pueden encaminarse a aprovechar por ejemplo alguna de las siguientes áreas de oportunidad:1.Reubicación de la función de informática en la estructura organizacional2.Capacitación a los niveles ejecutivos o a los usuarios clave de las aplicaciones instaladas3.Actualización tecnológica4.Sistematización de algunas áreas de negocio5.Creación de algún comité de informática6.Formalización y divulgación de políticas y planes de informática en el negocio.




35


Diagnóstico de informática (Aquí el auditor se coordina directamente con el responsable de la función de

informática.)




Conocimiento de la función de informática

Para llevar a cabo esta tarea, el auditor deberá conocer:

1. La estructura interna de informática, funciones, objetivos, estrategias, planes y políticas.

2. La tecnología de software y hardware es en la que se apoya para llevar a cabo su función dentro del negocio.

36


Diagnóstico de informática




Recomendaciones para llevar a cabo esta tarea

1. Se busca obtener la información relacionada con algunos aspectos indagados entre los usuarios y la alta dirección con objeto de encontrar la congruencia o discrepancia entre una opinión y otra.

2. Las entrevistas deben hacerse con el responsable de informática y ocasionalmente con los encargados directos de las funciones clave de esta área.

3. El auditor debe ser profesional y ético en su trabajo para brindarles seguridad de que al final de su tarea beneficiará a los involucrados.

37


Diagnóstico de informática




Recomendaciones para llevar a cabo esta tarea

4. El auditor en informática debe lograr un equipo de trabajo unido, y que el líder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditoria;) desarrolle una buena comunicación con el personal de informática en esta etapa.

5. En caso de que el auditor revise vaga e informalmente la información aquí recomendada o que omita su búsqueda, corre el riesgo de planear o sugerir proyectos sin el alcance requerido para asegurar que las áreas de oportunidad y aspectos de riesgo sean contemplados y evaluados.

·

38


Diagnóstico de informáticaServicios

1. Como punto clave se debe remarcar y evaluar los servicios que presta informática a las diferentes áreas del negocio y en los distintos niveles organizacionales.

2. En esta parte se detecta qué servicios ya son aceptados en el negocio como estratégicos y los que sólo son operativos o necesarios para llevar a cabo tareas que no producen valor agregado.

3. El responsable de informática no debe ser su propio juez; pero al menos puede brindar su opinión personal de lo que considera que es su grado de apoyo al negocio; así mismo, puede manifestar o comprobar el grado de apoyo que brindan sus servicios al negocio mediante minutas, memorandos, reconocimientos, entre otras cosas, de los usuarios y de la alta dirección




39



4. El objetivo de conocer su opinión al respecto es encontrar la congruencia entre su función y lo que dice la alta dirección que debe ser. No se busca crear controversias ni encontrar fallas personales.

El auditor en informática enfrenta la responsabilidad moral de dar un sentido crítico y práctico a las áreas del negocio para hallar un mejor modo de hacer las cosas desde el punto de vista profesional en el campo de informática.




40



5. Algunos servicios pueden ser ejecutados por asesores externos y coordinados por informática. El auditor en informática ha de encontrar las causas y el efecto que estos provocan en el negocio.Es muy recomendable que en esta tarea el auditor en informática documente las observaciones relevantes expuestas por el responsable de informática en relación con los servicios que proporciona, con la finalidad de cruzarlas con las hechas por la alta dirección y los principales usuarios de la organización.




41


Diagnóstico de informáticaEjemplos de servicios brindados:

Implantación de soluciones de información: Desarrollo de sistemas de información Compra y adecuación de aplicaciones Bases de datos· Evaluación, adquisición, instalación y reemplazo de: Equipos de computo y telecomunicaciones Paquetes de software Lenguajes de programación· Mantenimiento de los sistemas y equipos· Soporte a usuarios Capacitación y asesoría técnica Investigaciones sobre tecnologías (equipos) y aplicaciones en el mercado· Planeación de informática· Auditoria en informática· Soporte a la alta dirección




42


Diagnóstico de informáticaAspectos de control del área de informáticaOtra actividad de la etapa preliminar es evaluar el grado de formalidad y cumplimiento que se da a políticas y procedimientos relativos a cada área de informática.

Una manera de obtener dicha información es a través de la entrevista que concede el responsable de informática al líder del proyecto; pero el camino más directo es entrevistar al encargado de cada área que conforma la función de informática, evitando caer en el detalle y ocupar mucho tiempo en las entrevistas




43


Diagnóstico de informáticaAspectos de control del área de informática

Algunos aspectos que se deben considerar son los siguientes:• Esquemas de seguridad para internet, intranet• Políticas y procedimientos de organización de la función de informática• Descripción de puestos y funciones• Evaluación de desempeño• Políticas y procedimientos para el desarrollo e implantación de sistemas




44


Diagnóstico de informáticaAspectos de control del área de informática

•Políticas y procedimientos de evaluación de hardware y software

•Políticas y procedimientos de seguridad

•Políticas y procedimientos de mantenimiento:– Preventivo– Detectivo– Correctivo

•Plan de contingencia y de reinicio de operaciones•Otros de interés específico del auditor en informática




45


Diagnóstico de informáticaÁreas de oportunidad

Aquí se detectan las circunstancias que facilitarán la puesta en marcha de soluciones brindada por informática y que tendrán un impacto relevante en algún proceso del negocio; de igual manera, es factible proponer acciones inmediatas o a corto plazo que redunden en el corto, mediano o largo beneficios directos para la organización; dichas acciones pueden encaminarse al aprovechamiento, por ejemplo, alguna de las siguientes áreas de oportunidad:




46


Diagnóstico de informáticaÁreas de oportunidad

•Capacitación o actualización profesional del personal de informática•Creación y difusión de nuevos servicios de informática para el negocio•Reubicación de la función de informática en la estructura organizacional•Capacitación a los niveles ejecutivos o a los usuarios clave acerca de las aplicaciones y sistemas de información en operación •Actualización tecnológica•Sistematización de algunas áreas del negocio•Creación de algún comité de informática•Formalización y divulgación de políticas y planes de informática en el negocio•Otras




47


En resumen:

En esta fase del proceso metodológico se estiman las áreas de informática que deben auditarse y se bosquejan los tiempos, costos y recursos inherentes a dicha revisión.Para obtener toda la información posible sobre el diagnóstico del negocio y de informática, el auditor se apoyará sobre cuestionarios detallados.

El diagnóstico inicial del negocio reflejará algunos puntos como el giro de la empresa, sus áreas organizacionales, planes y proyectos del negocio, imagen de informática ante la alta dirección, entre otras cosas.

Los aspectos tecnológicos, administrativos, culturales y financieros, entre otros, brindan al auditor en informática un panorama real del escenario donde desarrollará su trabajo.




48

Etapa de justificación

Una vez finalizada la etapa preliminar, el auditor en informática se debe enfocar en la siguiente fase donde se va a dedicar a elaborar un documento fundamental para la aprobación del proyecto. (terminada)

(en ejecución)

(posterior)




Etapa preliminar


Etapa de adecuación

49


En esta etapa se legitima la revisión o evaluación de las áreas o funciones críticas relacionadas con la informática.

El documento elaborado en esta etapa contiene tres productos terminados que contemplan las áreas que se auditarán (matriz de riesgo), el tiempo sugerido para hacerlo (plan de auditoría en informática) y el visto bueno (compromiso ejecutivo).




50

Etapa de justificación Aquí el auditor ha de definir qué áreas y componentes de

informática se revisarán y cómo conseguir el compromiso del personal de informática, de los usuarios y demás involucrados para participar cuando les sea requerido.El conjunto de áreas que se auditarán se documenta y

programa en la etapa de justificación. Por otro lado, vale la pena mencionar que la fase en estudio se deriva de los siguientes elementos:

Información obtenida en la etapa preliminarDiagnóstico del negocioDiagnóstico de informáticaProgramas de revisiones rutinariasApoyo a revisiones de auditoria tradicionalApoyo a revisiones de planes de seguridad de la empresaOtras




51


Matriz de riesgo:El objetivo principal es detectar las áreas de mayor peligro en relación con

informática y que requieren una revisión formal y oportuna. Algunos ejemplos de las áreas susceptibles a auditar, son:

Administración de informática (misión, organización, servicios, etc.)

Usuarios de informática (comunicación e integración, proyectos conjuntos)

Sistemas de información (planeación, desarrollo, operación) Mantenimiento (hardware, software, telecomunicaciones) Redes locales (administración, instalación, operación y seguridad) Software (administración y legalización de lenguajes de programación,

sistemas operativos) Seguridad (hardware, software/aplicaciones Investigación tecnológica (metodologías, técnicas, herramientas,

capacitación)




52


El auditor debe utilizar los parámetros de medición y evaluación posibles sin caer en un análisis detallado, ya que sólo se trata de detectar la problemática principal de cada área (puede apoyarse en especialistas en informática, auditoria financiera, asesores o consultores externos).

Si emanan anomalías de considerable importancia de algún elemento evaluado, se deben tomar acciones inmediatas orientadas a eliminarlas o al menos minimizarlas (se plantearán en el plan de auditoria en informática como acciones inmediatas)




53


Determinar el nivel de riesgo que existe en cada área de la función de informática: cada área, producto o servicio de informática es susceptible de evaluación y control para que se desarrolle de acuerdo con los estándares, políticas y procedimientos específicos que le han sido asignados según su función.




54


Consideraciones que hay que tomar en cuenta al realizar el diagnóstico de la situación actual (etapa preliminar) que ayudan a la obtención de la matriz de riesgos:1. El auditor en informática debe conocer de manera aceptable los aspectos de control relativos a cada área de informática (considerando aspectos técnicos y administrativos).2. Se apoyará en la visión de los principales usuarios del negocio y del responsable de informática.3. Debe entender que las debilidades o anomalías que se encuentre serán analizadas y clasificadas por su nivel de riesgo e importancia de su impacto en el negocio.




55


Consideraciones que hay que tomar en cuenta para elaborar la matriz de riesgos:1. Es una tarea relevante y necesaria para el auditor en informática2. Los parámetros para medir el nivel de riesgos pueden variar de acuerdo con factores coma la experiencia y conocimiento en la auditoria, así como con las áreas que conforman informática o el grado de profundidad y análisis que desee darle el auditor en informática3. Algunos hechos pueden indicar directamente al auditor en informática la existencia de riesgos relevantes.4. Revisar la matriz de riesgos con el responsable de auditoria en informática5. Asegurarse de contar con el soporte que requieran las debilidades o anomalías detectadas (entrevistas, visitas y cuestionarios analizados, revisados y documentados) para ser validadas oportunamente.




56


Consideraciones para el momento de elaborar la matriz de riesgos:

1. Clasificar cada área y sus componentes por nivel de riesgo, lo que puede determinarse por el líder del proyecto, los usuarios clave o el responsable de informática.

2. Otorgar prioridades a cada área de revisión de acuerdo con el nivel de riesgo o por factores específicos mencionados por la alta dirección o el responsable de informática.

3. Justificar cada una de las áreas seleccionadas para auditarse. La justificación debe cimentarse en el nivel de riesgo que representa, según las prioridades establecidas por los involucrados de alto nivel o por solicitud expresa de la alta dirección o del responsable de informática




57


En resumen, el auditor en informática deberá ser los más específico posible y la matriz de riesgos no generará motivo alguno de confusiones o desacuerdos.Cada una de las áreas que serán revisadas, según el auditor en informática, tendrá al menos los siguientes elementos de apoyo:

Descripción de la debilidad encontrada y sus consecuencias actuales o futuras en el componente de informática sugerido para auditarse:

Según se detecto en la evaluación preliminar ¿qué área hay que revisar?¿Qué problemática se deriva de las debilidades encontradas?¿Qué gastos o consideraciones económicas genera dicha problemática?¿Qué aspectos de improductividad proceden de la anomalía detectada?¿Qué grado de insatisfacción existe a causa de la problemática hallada durante el estudio efectuado en la etapa anterior?¿Qué riesgos existen o se pueden presentar si persiste dicha anomalía?




58


PLAN GENERAL DEL PROYECTO DE AUDITORIA EN INFORMATICA

Una vez elaboradas, revisadas y documentadas la matriz de riesgos (de acuerdo con los riesgos más relevantes) y las áreas de oportunidad, se procede a la formulación del plan general de informática, el cual consiste básicamente en plantear las tareas más importantes que se ejecutarán durante cierto período al efectuar la auditoria en informática.

El plan generado en esta etapa es general, ya que sólo busca plantear los datos básicos para que la alta dirección los analice y apruebe.

El plan detallado se lleva a cabo posteriormente, en la etapa de adecuación.




59


El líder de proyectos debe:Estimar el tiempo necesario para auditar

cada área determinada en la matriz de riesgoAnalizar y definir los aspectos más

relevantes que se evaluaránAsignar prioridades a cada área por revisar o

evaluarEstablecer fechas estimadas de inicio y

terminación por área de revisiónEstablecer fechas de revisión formales e

informalesDefinir responsables directos por etapas de

proyecto




60


Compromiso ejecutivo

Es la última tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobación) inicial de la alta dirección y demás responsables para continuar con el proyecto de auditoria en informática.




61

Etapa de justificaciónLos aspectos fundamentales para lograr el compromiso ejecutivo con el objetivo de continuar con el proyecto de auditoria en informática son los siguientes:

1. Presentación del plan con la información de soporte requerida bien documentada y validada por los principales involucrados:- Resumen del diagnóstico actual- Áreas de oportunidad- Matriz de riesgos- Prioridades- Otros comentarios de apoyo- Ser objetivo y claro al exponer el plan general- Justificar cada una de las áreas por auditar con datos concretos y bien documentados- Lograr que la alta dirección tome conciencia del compromiso requerido de su parte para la culminación exitosa del proyecto- Recibir la aprobación formal del plan general (firma)- El líder del proyecto deberá de indicar las fechas de inicio y terminación estimadas




62


Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoria en informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estándares, políticas y procedimientos de auditoria que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso.A continuación se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisión de las áreas aprobadas en la etapa anterior.Objetivos y requerimientos de éxito por cada área que se auditará:

Luego de terminar las etapas preliminar y de justificación, el auditor en informática podrá definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisión de las áreas mencionadas en el plan de auditoría en informática.

Ejemplos de los objetivos y requerimientos para los usuarios de informática:




63


Objetivos y requerimientos de éxito por cada área que se auditará:

Luego de terminar las etapas preliminar y de justificación, el auditor en informática podrá definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisión de las áreas mencionadas en el plan de auditoria en informática.

Ejemplos de los objetivos y requerimientos para los usuarios de informática:




64


Actualización del plan generalSabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, así como estimar gastos y el numero de personas de las áreas usuarias y de informática que participarán en el proyecto. Así, ya es posible estimar, con bastante precisión, los aspectos o componentes que se deben evaluar por cada área de informática durante el desarrollo de la etapa de adecuación.




65


Plan detallado del proyecto de auditoria en informática

Es una de las tareas más importantes de la etapa de adecuación, ya que en ella se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que serán validados y aprobados en la etapa de formalización para arrancar el proyecto.




66


Hay dos tipos de planes detallados con orientación diferente y objetivo común:

Plan interno: Le corresponde al líder de proyecto y su propósito es hacer un seguimiento interno a las tareas y responsabilidades de los auditores en informática.

Plan detallado de auditoria en informática: Se especifica el detalle emanado del plan general de auditoria en informática definido en la fase de justificación. Los datos mencionados en este plan pretenden ser guía del proyecto de auditoria desde el punto de vista del cliente, ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisión, etc.




67


Definición de técnicas y herramientas Esta es una parte muy importante y estratégica para el buen desempeño de la auditoría en informática que consiste en definir las técnicas y herramientas necesarias y fundamentales para revisar eficientemente cada área seleccionada. Un claro ejemplo son los software que incluyen un conjunto de técnicas como análisis, documentación, muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditoría.La experiencia profesional que se haya obtenido en cada una de las áreas (desarrollo, telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace más viable la auditoría como la definición de soluciones.




68


Adecuación a la alta política de empresa

Todas las tareas realizadas por la auditoría en informática deben cumplir con los estándares, políticas y procedimientos establecidos por las asociaciones profesionales relativas a la misma; también se cumplirán con los de las empresas donde se preste el servicio durante la gestión de auditoria.

Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicación de los estándares, políticas y procedimientos más convenientes a las necesidades actuales y futuras del área de especialización a la que se dedican.




69


Definido y detallado el plan, el auditor procederá con objetividad y disciplina a establecer referencias cruzadas entre los estándares, políticas y procedimientos generalmente aceptados y cada uno de los componentes de informática que se auditarán.




70


Elaboración de cuestionarios

Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluación; de los mismos derivan entrevistas, visitas a los centros de cómputo o departamentos usuarios.

Los cuestionarios representan una herramienta de gran valor para el auditor en informática; se estructuran de manera que funcionan como guía para verificar la confiabilidad de la información del personal entrevistado; además, permiten percibir el grado de cumplimiento de estándares, políticas y procedimientos que generalmente son aceptados.




71

Etapa de formalización

Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la empresa y de la función de informática; en ellas se detectaron las debilidades y fortalezas más relevantes, también se definió la planeación y proyección de las áreas que requieren ser auditadas, y se documentaron las adecuaciones.

En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el desarrollo del proyecto de auditoría (presentado por el líder de proyectos y el responsable de auditoría en informática), de manera tal que, su función es justificar el desarrollo del proyecto basándose en lo que se hizo en las etapas anteriores.




72


1) Verificación de prioridades, restricciones y alcances del proyecto:

La verificación, validación, clasificación y documentación de las prioridades, restricciones y alcances del proyecto tienen un alto valor para el auditor en informática, ya que mediante su realización se clarifica el rumbo, límites y cobertura que tendrá el proyecto.

Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de conformidad de cada participante.




73


Prioridades: Son las acciones que deben llevarse a

cabo antes que las demás sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algún hecho que perjudica en alto grado al negocio. RestriccionesSon los hechos o circunstancias que no se identifican con facilidad y que ocurren o pueden ocurrir durante el transcurso de la auditoría y que afectan directa o indirectamente al proyecto. Generalmente son limitaciones o carencias que no se podrían resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto para asignar recursos al proyecto. Alcance: Aquí se aclara que se realizará en el proyecto (tareas, etapas) y los resultados (productos terminados). Lo que no se mencione aquí no se obtendrá durante el proyecto.




74


2) Presentación formal del plan de auditoria en informática:

Esta tarea es la más importante para el líder del proyecto y el responsable de la auditoria en informática, ya que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son:

* Asegurarse de contar con toda la información resumida y presentable, ya que su principal audiencia será la alta dirección.

* Revisarla y verificarla con este último.

· * Concertar en una cita en una fecha y lugar apropiados.

· * Ser fluido, claro y contundente en la presentación.

· * Asegurar el entendimiento de la audiencia de los datos presentados.




75


3) Aprobación formal del proyecto:

Esta no es una tarea que demande mucho tiempo a pesar de ser una de las más importantes, ya que en ella surge la aprobación formal del proyecto de auditoria.

Dado el visto bueno de los involucrados, la responsabilidad de la función de auditoria en informática es mas clara y evidente.




76


4) Compromiso ejecutivo:

Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta dirección, los usuarios clave, el responsable de informática y el de la auditoría se comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e implantación de las acciones recomendadas por auditoría en informática en su informe final.




77

Etapa de desarrollo

En esta etapa el auditor en informática va a ejercer su función de manera práctica, es decir, comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio.




78

Etapa de desarrollo

En esta fase se llevan a cabo las siguientes tareas: 1. Concertación de fechas de entrevistas, visitas y aplicación de cuestionarios: NOTA: Las visitas se realizan con el objetivo de validar el uso de políticas y procedimientos de seguridad y control, como el registro de acceso a centros de cómputo y áreas en donde existe documentación o tecnología importante para el negocio, existencia de extintores, detectores de humo, etc.; respaldos de información en algún dispositivo, equipos en buen estado avisos de seguridad, etc. Actividades principales:Se solicita al responsable de informática una lista con los nombres, puestos y departamentos del personal de informática y de las áreas usuarias involucradas en el proyecto.Hablar personal o telefónicamente con los involucrados para concertar citas.Productos terminados:Lista del personal de informática y de usuariosFecha y hora formal de cada entrevista




79

Etapa de desarrollo

2. Verificación de las tareas, involucrados y productos terminados:

Actividades principales:

Verificar si la tarea anterior alteró el orden de las acciones mencionadas en el plan detallado

Asegurar que los cambios sean mínimos y de bajo impacto en el plan.

Documentar los cambios necesarios y justificados.

Productos terminados:

Cambios justificados

Cambios documentados




80

Etapa de desarrollo

3. Clasificar técnicas y herramientas:Actividades principalesVerificar la lista de métodos, técnicas y herramientas sugeridas por el área auditada.Verificar los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada área que se auditará. Actualizar cuestionarios solo si es necesario,Elaborar entrevistas con base en la experiencia, cuestionarios y necesidades del proyecto.Clasificar y documentar según el proyecto Productos terminados:Lista de métodos, técnicas y herramientas clasificadas por área de revisiónCuestionarios actualizados y documentados de cada áreaEntrevistas documentadas al personal de informática y usuarios




81

Etapa de desarrollo

4. Realización de entrevistas y cuestionarios:Actividades principales

Efectuar cada una de las entrevistas en las fechas y horas planeadas

Aplicar cada uno de los cuestionarios en las fechas planeadas.

Documentar las entrevistas y los cuestionarios

Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros).

Registrar entrevistas y cuestionarios


Entrevistas aplicadas y documentadas

Cuestionarios aplicados y documentados

Cancelaciones y causas documentadas

Documentación de comentarios de apoyo relevantes para el proyecto.




82

Etapa de desarrollo

5. Efectuar visitas para la verificación: Actividades principalesValidar objetivos e información buscados en cada visita.Efectuar visitas a centros de cómputos o a los usuarios de informática.Notificar la visita a los representantes de dicho departamento.Registrar la información más relevante y obtener el soporte requerido.Registrar visitas pendientes.

Productos terminados:Visitas de revisión y verificación efectuadasDocumentación de los datos relevantes relacionados con debilidades o falta de control y seguridadRegistro de causas de visitas canceladasFechas de visitas pendientes aprobadas por los usuarios y personal de informática responsables de los lugares por visitar




83

Etapa de desarrollo

6. Elaboración de informes preliminares:Actividades principalesAnalizar la información documentada que se origino en las entrevistas, visitas y aplicación de cuestionariosElaborar observaciones y conclusiones de cada uno de los componentes y áreas auditadasLlenar hoja de resumen de observaciones y recomendaciones de la auditoria informática.Productos terminados:Observaciones, conclusiones y recomendaciones verificadas y depuradasReunión informal para la notificación de avances del proyecto con el responsable de informática y el responsable de cada área de los usuariosCompromiso de terminación de pendientes por medio de entrevistas, visitas o aplicación de cuestionarios.




84

Etapa de desarrollo

7. Clasificación y documentación del informe preliminarActividades principales

Registrar de manera formal cada observación, conclusión y recomendación sugerida, revisada y aprobada

Clasificar la información por componente y área auditada.


Observaciones, conclusiones y recomendaciones clasificadas y documentadas por: Área y componente




85

Etapa de desarrollo

8. Finalización de tareas o productos pendientes: Actividades principalesVerificar lista de entrevistas, visitas y cuestionarios pendientes

Finalizar cada tarea pendiente

Analizar la información emanada de cada entrevista, visita o cuestionario terminados

Elaborar observaciones y recomendaciones correspondientes

Actualizar, documentar y clasificar el informe de la auditoria


Entrevistas visitas y cuestionarios terminados

Observaciones, conclusiones y recomendaciones clasificadas y documentadas en el informe de auditoria en infromática por área y componente




86

Etapa de desarrollo

9. Elaboración del informe final de la auditoría en informática: Actividades principales

Elaborar un informe orientado a la alta dirección Redactar un informe detallado (que contenga antecedentes, observaciones, recomendaciones, etc.) para el responsable de informática y los usuarios clave. Verificar que el informe contenga al menos: antecedentes, observaciones, conclusiones, recomendaciones, responsables y tiempos por área auditada.Productos terminados:Informe orientado a la alta direcciónInforme detallado para el responsable de informática y los usuarios clave




87

Etapa de desarrollo

10. Presentación a la alta dirección e involucrados clave:Actividades principalesVerificar que los informes sean claros, completos y congruentes entre sí. Comprobar que se encuentre con el soporte documentado de lo mencionado en los informesFormalizar la fecha de la presentación de informes a la alta dirección Elaborar una minutaProductos terminados:Informe verificadosInformes finalesInformes presentados a la alta dirección e involucrados clave del proyecto (responsable de informática y responsable de los usuarios)Minuta de la reunión




88

Etapa de desarrollo

11. Aprobación del proyecto y compromiso ejecutivo: Actividades principalesObtener la aprobación y el compromiso formal de la alta dirección para luego elaborar un plan de implantación general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por ultimo se delega a informática y las áreas usuarias la implantación de las acciones recomendadas.

Productos terminados:Aprobación formal de la alta dirección relacionada con la terminación del proyecto de auditoría en informáticaCompromiso ejecutivo para brindar el apoyo requerido en la etapa de implantación de las recomendaciones contempladas en los informesCompromiso del responsable de informática y de las áreas usuarias para ejecutar la etapa de implantación.




89

Etapa de desarrollo

5. Revisión de estos informes: Actividades principalesVerificar cada una de las observaciones y recomendaciones por componente y área con el líder del proyecto.Registrar sugerencias de auditoria para el mejor planteamiento de observaciones y recomendacionesAsegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de reporte, documentos fuente, etc.). Concertar citas con el responsable de informática y los usuarios para sacar conclusiones.Productos terminados:Hoja de resumen de observaciones y recomendaciones de la auditoria informática.Observaciones, conclusiones y recomendaciones por: área y componente




90

Informe preliminar

Deben de contener la siguiente información

Observaciones (debilidades, carencias) de los aspectos de informática auditados

Áreas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informática

Recomendaciones preliminares para cada una de las observaciones encontradas

Responsables de ejecutar las recomendaciones

Actualización del plan de auditoria en informática

Revisión detallada de los aspectos que tengan un impacto considerable en la operación del negocio o que soporten alguna estrategia del negocio




91

Informe preliminar

Deben de contener la siguiente información

Comunicación abierta con los usuarios y el personal de informática involucrados

Presentar un plan de implantación de auditoria en informática factible y realista qye contemple los siguientes elementos:

Debilidades o carencias de control, su problemática y causas que la originan

Acciones inmediatas de corto y mediano plazo

Responsables e involucrados en la implantación de estándares, políticas y procedimientos en cada componente de informática que así lo requiera

Análisis costo-beneficio del proyecto de implantación

Aprobación formal de los directivos usuarios y del responsable de informática




92

Informe final

La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboración del informe final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.




93

Informe final

Estructura del informe final

El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

Se tiene que entregar el informe con una carta de introducción o presentación, la cual tiene especial importancia porque en el ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.




94

Informe final

Estructura del informe final

Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoria no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos: Tendrá como máximo 4 páginas. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las

áreas de gran debilidad. Presentará las debilidades en orden de importancia y

gravedad. En la carta de Introducción no se escribirán nunca

recomendaciones.




95

Informe final

Requisitos del informe finala) Será veraz. Todas las consideraciones y conclusiones deben ser

tomadas con certeza de que los datos son reales y de buena fuente

b) Estar documentado formalmente c) Mostrar las observaciones (debilidades) encontradas, se

clasificaran en orden de importancia o el impacto negativo que pueden tener en el negocio si no se atienden oportunamente. Si se considera conveniente, se deben de exponer los motivos de esa debilidad con el fin de aclarar las responsabilidades y percibir los efectos que pueden llegar a tener en el negocioAquí es muy importante señalar que esas observaciones se identificaron a lo largo del proyecto y que, de alguna manera se comentaron con los responsables de las áreas o funciones que la originaron, excepto en situaciones muy delicadas como fraudes o delitos graves contra la empresa.




96

Informe final

d) Contar con recomendaciones y soluciones para cada observación, las cuales deberán de tener una solución clara y contundente que comprenda la siguiente observación:a) Observación

b) Áreas de oportunidad

c) Productos terminados

d) Plazos de implantación

e) Responsable de cada acción




97

ETAPA DE IMPLANTACION

Esta es la más importante para los involucrados en el proyecto de auditoria en informática, ya que termina la tarea de los auditores y comienza para los responsables de las áreas usuarias y de informática. Ellos ejecutaran las acciones recomendadas en los informes detallados y aprobados por la alta dirección. La función del auditor se convierte así en una labor de seguimiento y apoyo.



Auditoria en Informática Beneficios de la auditoria en informática

98


Los elementos clave de la etapa de implantación son:

Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el responsable de informática):Aquí se analizan algunos aspectos (recursos humano, materiales tecnológicos, inversiones, etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados anteriormente.

Desarrollo del plan (también a cargo del responsable de informática):Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la alta dirección.




99


Los elementos clave de la etapa de implantación son: Implantación de las acciones sugeridas por auditoria en

informática (responsable de inf.): 1) Primero hay que verificar que se cuente con los

recursos estimados en la tarea anterior. 2) Consultar los informes para verificar acciones y

tiempos de terminación 3) Elaborar un plan de implantación que tenga:

- Tareas

- Productos terminados- Responsables e involucrados- Fechas de inicio y término- Fechas de revisión- Verificar tareas, productos terminados, etc. del

plan de implantación-Ejecutar cada una de las tareas




100


•Seguimiento a la implantación (esta tarea le corresponde al auditor en informática):

Tiene que solicitar el plan de implantación para revisar su congruencia con los informes de la auditoria en informática. Luego comprobar el cumplimiento formal de las tareas en los tiempos y formas que considere convenientes para asegurar resultados. Documentar debilidades y anomalías relevantes. Y por ultimo, sugerir acciones para el cumplimiento oportuno de la implantación al nivel que se considere pertinente.




101

Referencias

Hernández, Hernández Enrique; Auditoria en Informática; 2ª edición; Editorial CECSA




unidad iii -desarrollo de la auditoria en informática-

Documents