Auditoría Informatica 1era fase cont.pdf

7/26/2019 Auditora Informatica 1era fase cont.pdf

1/58

U D I T O R I I N F O R M T I C

I n g . C a r l o s P e r a l t a , M S G

Auditora Informtica


2/58




3/58

PLANEACIN

1. Proceso de planeacin del negocio.2. Proceso de planeacin en informtica.

3. Proceso de planeacin de la auditora.

4. Proceso de planeacin de la auditoraen informtica.




4/58

Planeacin

La funcin de auditoria informtica debe generarun plan de proyectos que justifique su trabajodurante cierto tiempo, con parmetros lo ms

tangibles y mensurables posibles.

Cada proyecto de AI respalda los objetivos y

requerimientos de tres entidades del negocio enalto o bajo grado: Alta Direccin, Auditoria eInformtica.




5/58

Es muy importante la comunicacin entre la funcinde auditoria informtica y la alta direccin, as comolas direcciones o gerencias de auditoria o informtica.

Para elaborar un plan maestro de auditoria queasegure un apoyo permanente y eficiente, se debetener en cuenta:

- Crear un comit de control y seguimiento- Analizar los proyectos de negocio en forma conjunta.

- Establecer fechas de reuniones formales e informales




6/58

Proceso de Planeacin del Negocio

Este proceso consiste en establecer las metas ycursos de accin del negocio, a travs de entrevistasy del anlisis detallado de cada uno de los procesos

bsicos de la organizacin: Empresa manufactura (produccin, ventas, RR.

HH., administracin).

Institucin bancaria (crditos, ahorros y RR.HH.). Otras empresas con giros bien definidos.




7/58

Cualquier entidad privada o pblica de distintos tamaosy estructura organizacional debe formalizar el plan delnegocio, ya que aqu se define el rumbo del mismo.

Los proyectos que se deriven de este proceso debencontemplar que: Es un proceso que involucra todas las reas del negocio.

Se evala el medio externo en sus diferentes entornos.

Se apoya en asesores externos o especialistas del negocio.

Detecta fortalezas, debilidades y oportunidades. Determina amenazas que representa la competencia.

Determina metas y estrategias del negocio.

Los proyectos se establecen a corto, mediano y largo plazo.

Es aprobado por los accionistas o dueos del negocio.

Etc.




8/58

Tareas bsicas del proceso de planeacin del negocio yresponsabilidades

ComentariosResponsable deseguimiento

Responsable deejecucin

Actividad

Cada rea ejecuta losproyectos

Alta direccin ogerente deplaneacin

Gerente ocoordinadores decada rea o proceso

bsico del negocio.

Ejecucin del plan denegocio

Se realice al inicio

del periodo fiscal yse autorizaformalmente

Accionistas o alta

direccin del negocio

Director o gerente

de planeacin

Presentacin del plan

a los accionistas odirector general

Cada proyectojustifica su inversin

Alta direccin odirector deplaneacin

Gerente ocoordinador deplaneacin

Elaboracin del plandel negocio

FODA, y proyectosde cada rea delnegocio.

Alta direccin odirector deplaneacin

Gerente ocoordinador deplaneacin

Determinacin de lasreas de oportunidadpara el negocio.



9/58

El periodo de elaboracin o actualizacin del plande negocio depende de las estrategias yformalidades que tenga este proceso en cadanegocio.

Se recomienda que, despus de haber sidoaprobado de manera formal por los accionistas,

se ejecute con eficiencia y se actualice al menoscada ao; esta actualizacin debe estar deacuerdo con las estrategias y metas del negocio yautorizada por la alta direccin.




10/58

Proceso de Planeacin en informtica Consiste en definir los proyectos relacionados con

el rea de informtica, en tiempos a corto,

mediano y largo plazo. Cada proyecto debe estarorientado a las metas y estrategias especificas delnegocio.




11/58

Tareas bsicas del proceso de planeacin eninformtica y responsabilidades

ComentariosResponsable deseguimiento

Responsable deejecucin

Actividad

Funciones hechaspor el mismopersonal o externos

Gerente oSupervisores

Funciones deinformtica:Desarrollo,

investigacin, otros

Ejecucin del plan deauditoria

Verificar el anlisiscosto-beneficio decada proyecto

Alta direccin delnegocioDirector o gerente deinformticaPresentacin del plana la alta direccin

Involucrarse en cadatarea

Director o gerente deinformtica

Coordinador oSupervisor deplaneacin deinformtica

Elaboracin del plande informtica

Las reas se derivandel plan de negocios

Director o gerente deinformtica

Coordinador oSupervisor deplaneacin deinformtica

Determinacin de lasreas apoyadas porinformtica



12/58

Proceso de la Planeacin de la

Auditoria Definir un conjunto proyectos de evaluacin y verificacin de

polticas, controles y procedimientos inherentes a las reas

administrativas, financieras, operativas, etc. del negocio, conobjeto de asegurar el buen manejo y administracin de losrecursos de la organizacin.

En el negocio, los diferentes planes emanados del plan deauditoria son implantados y llevados a cabo en diferentesperiodos, de acuerdo con los requerimientos y caractersticas

del negocio.




13/58

Proceso de Planeacin de la Auditoria Los negocios deben tener un conjunto de polticas

emanadas por la alta direccin que manifiesten lanecesidad de contar con una funcin externa o interna del

negocio que asegure la congruencia de todos lo estadosfinancieros y contables con las operaciones ytransacciones que se realicen en la empresa.

Esta funcin ha de ser un rea de control y aseguramiento,

entidad independiente y capacitada. La funcin de auditoria se ocupa de la planeacin,

ejecucin y seguimiento de las polticas, controles yprocedimientos establecidos por la alta direccin.




14/58



Actividad Responsable

Ejecucin

Responsable Seguimiento

Determinacin de las reaspor auditar en el negocio

Coordinador osupervisor de

auditoria

Director o Gerente deAuditoria

Elaboracin del Plan deAuditoria

Coordinador osupervisor deauditoria

Director o Gerente deAuditoria

Presentacin del Plan a laAlta Direccin

Director o Gerentede Auditoria

Alta Direccin del Negocio

Ejecucin del Plan deAuditoria

Supervisor oAuditores )externos ointernos)

Gerente o Supervisores

Tareas Bsicas del Proceso de Planeacin de Auditoria y

Responsabilidades


15/58

Proceso de Planeacin de la AuditoriaInformtica

Definicin y formalizacin de proyectos.

Actividades desarrolladas por el Auditor deInformtica.

Asegurar la calidad y el control de los diferenteselementos que se encuentran relacionados demanera indirecta con los recursos de informtica.




16/58

Tareas Bsicas del proceso de planeacin de auditoria

informtica y responsabilidades

Actividad Responsable de Ejecucin Responsable delSeguimiento

Determinacin de las reas

por auditar en el negocio

Coordinador o supervisor

de auditoria en informtica

Director o Gerente de

auditoria en Informtica

Elaboracin del Plan enAuditoria Informtica

Coordinador o supervisorde auditoria en informtica

Director o Gerente deauditoria en Informtica

Ejecucin del Plan enAuditoria en Informtica Director o Gerente deauditoria en Informtica Alta Direccin del Negocio

Presentacin del Plan a laalta direccin

Supervisor o auditores deInformtica (externos ointernos)

Gerente o supervisores dela funcin de auditoria eninformtica



17/58

Proceso detallado de la planeacin de AuditoriaInformtica

Depende del diagnstico previo que haga el auditor eninformtica de la situacin que prevalece en cada una delas reas o servicios de la funcin de informtica.

El diagnstico de la situacin informtica previo, deber serbreve y objetivo.

El objetivo principal es determinar las reas de mayorriesgo de la funcin de informtica con base a diferentescriterios.




18/58

Actividades sugeridas para el proceso

Elaboracin, Documentacin, Autorizacin y DifusinFormal del Plan de Auditoria en Informtica.

Identificar el nivel de Riesgo de cada uno de los elementosque integran la funcin de informtica (diagnstico de lasituacin actual).

Las reas a ser diagnosticadas pueden variar de acuerdo altamao y estructura del negocio.




19/58


20/58

Actividades sugeridas para el procesoConsideraciones a tener en cuenta para efectuar el diagnstico

de la situacin actual:

El auditor en informtica ha de conocer de maneraaceptable los aspectos relativos a auditora einformtica que deben tener cada una de las reas de

Informtica.

Se apoyar en la visin de los principales Usuarios delnegocio y del responsable de Informtica.




21/58

Diagnostico de la Situacin actual de los SI en

Operacin.Manera de llevar el diagnostico:

Obtener una lista de los principales SI y de sususuarios principales.

Obtener comentarios positivos y negativos de losusuarios de cada SI.

Registrar fallas ms comunes del Sistema de computo. Anotar fecha de liberacin de Sistemas y su ltima

auditora. Revisar la configuracin del equipo donde fueinstalado.

Se estudia su integracin a otros SI. Evaluar otros aspectos de inters del auditor.




22/58

Debilidades que pueden motivar la Auditoriade un SI

Primero:Que el sistema no haya sido liberado

formalmente, lo que ocasionadesconocimiento.

Segundo: Que el sistema nunca haya sidoauditado, esto sugiere una auditoriainmediata, intermedia o final.




23/58

Clasificacin del Nivel de Riesgo que

Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un ambientetecnolgico confiable, seguro y eficiente.

Equipos o Paquetes de Sw.

Mantenimiento de la tecnologa del Equipo y Sw.

Diversos factores motivan la intensidad de la auditoria deHw.




24/58

Evaluacin del nivel de Riesgo que representael uso inadecuado de Productos y Servicios

Se refiere al grado de conocimiento sobre uso deservicios, Sw y equipos.

Informacin de apoyo: Organigramas, descripcin depuestos y polticas relacionadas a productos yservicios de informtica.

Se debe determinar el grado de confianza del usuariocon el manejo del sistema, paquetes de Sw yequipos.




25/58

Otros Aspectos: Telecomunicaciones, redes,

automatizacin de procesos.

Estos se evalan en base a estndaresinternacionales.

Considerar la proyeccin de uso que piensa darleel negocio a corto, mediano y largo plazo.

Tener en cuenta comentarios de personalespecializado en el rea.




26/58

Clasificacin de Riesgos segn criterios de la

Funcin de Auditoria en Informtica

Cumplimiento de Estndares.

Cumplimiento formal de polticas y procedimientos.

Grado de Satisfaccin: Alta Direccin y personal usuario.

Prioridades de la alta direccin.

Prioridades de la funcin de auditoria en informtica.

Otros de inters del auditor.




27/58

Elaboracin de una matriz de Riesgos

Muestra las reas de la funcin de informticasusceptibles de auditoria.

Resultados en forma descendente.

Entidades o reas con mayor y menor riesgo.




28/58

Elaboracin de un Plan consolidado deProyectos.

Considera:

Fechas de inicio y final de cada Auditoria. Etapas de cada auditoria.

Tareas principales de cada etapa.

Equipo de Trabajo (auditor, representantes,

) Requerimientos (recursos, apoyo,

capacitacin, ...)




29/58

Revisin de la Matriz de Riesgos

Pronosticar proyectos de auditoria informtica con lagerencia.

Visto bueno antes de presentarlo a la alta direccin.

Se cubren los siguientes Aspectos:

rea por auditar, prioridad, Fechas de inicio y final,involucrados, responsables, fechas de revisin y otros.




30/58

Presentacin del plan de proyectos a la altadireccin.

Tiene como finalidad:

Conocer los proyectos de auditoria informtica.

Verificar contemplacin de reas fundamentales.

Compromiso de la alta direccin con los auditores.

Obtener la aprobacin del plan de auditoriainformtica por parte de la alta direccin.




31/58

Realizacin de cada proyecto de acuerdo con elplan de Auditoria en Informtica.

Ejecucin de actividades de seguimiento.

Revisin formal de cada proyecto.




32/58

Integracin y formalizacin de Equipos de

trabajo.

Equipos Integrados por:

Gerente (s) de las reas usuarias que se evaluarn.

Gerente de la Funcin de Informtica. Lder del proyecto de la funcin de AI.




33/58

Planeacin

Un proceso formal contiene los siguientes elementos: Etapas

Tareas

Actividades

Costos/Beneficios

Resultados esperados por actividad, tarea y etapa

Responsables de cada actividad tarea

Involucrados participantes Revisiones Formales e informales

Tcnicas para ejecutar actividades

Herramientas para realizar las actividades del proyecto




34/58

Planeacin Requisitos mnimos para que la planeacin en

auditora informticasea formal, permanente yexitosa:

Involucramiento directo del auditor eninformtica en el proceso de planeacinestratgica

Requerimientos - Tiempos

Prioridades de cada proyecto

Compromiso del responsable de auditora paraimplementar un esquema de control y seguridadpreventivo y completo.




35/58

Planeacin

Participacin en el proceso de planeacin deauditora tradicional,para hacer control ymedidas correctivas.

Beneficios de la participacin, supresin: Riesgos de no planear la auditora Responsables de tareas inadecuados Falta de compromiso de los involucrados en el

proyecto Aparicin de costos imprevistos

Retrasos en la obtencin de beneficios Mala calidad en los resultados Rotacin del personal clave Inadecuada segregacin de tareas y actividades,

Etc.




36/58

Aprobacin formal de la Alta Direccin del

informe final de la auditoria informticarealizada

Se dar seguimiento oportuno y formal a cada una de lasrecomendaciones contempladas en el informe.

Aplicacin de Polticas y controles estandarizadosinternacionalmente.

Implantacin del proceso de planeacin de auditoria eninformtica, permanente.




37/58

Tipo de Proyectos Responsables Involucrados

Negocio

Adquirir empresas Accionistas Gobierno, asesores

Reduccin de costos Directores Gerencias, asesoresReingeniera Accionistas,

directoresAsesores, gerencias, clientesy proveedores

Informtica

Automatizacin deoficinas

Informtica Proveedores, reas usuarias

Red Local Informtica Proveedores, usuarios de lared

Desarrollo de sistemas Informtica reas usuarias, asesores

Tipo de proyectos con responsables e involucrados

sugeridos



38/58

Tipo de Proyectos Responsables Involucrados

Auditora

Financiera Auditores internos o

externos

reas de la empresa

Fiscal Auditores internos oexternos

reas de la empresa

Operativa Auditores internos oexternos

reas de la empresa

Auditora en informtica

Auditora a sistemas deinformacin

Auditores en informticainternos o auditoresexternos

Informtica, usuarios delos sistemas deinformacin

Auditora en seguridad Auditores en informticainternos o auditoresexternos

Informtica, reas usuariosde los recursos deinformtica

Auditora en elmantenimiento de Hw y Sw

Auditores en informticainternos o auditores

externos

reas de operacininformtica y reas

usuarias


39/58

METODOLOGIA PARA EL

DESARROLLO E IMPLANTACION DELA AUDITORIA INFORMATICA




40/58

Metodologas para el Desarrollo e Implantacin de

la Auditora en Informtica

conocimientos

habilidades

Experiencia

Metodologa




41/58

Proceso Metodolgico de la Auditora en

Informtica

Ventajas

Eliminacin de Informalidad

Obtencin de procesos de calidad

Mejor Comunicacin

Mejor Administracin

Facilidad de Seguimiento




42/58

Proceso Metodolgico de la Auditora en

Informtica

Requisitos de xito

Adecuacin a requerimientos del negocio

Capacitacin enla metodologa

Comprobacin de uso

Planes AIacordes




43/58

Estrategia para implantar un proceso metodolgico

de Auditora en Informtica

Preliminar (Diagnstico)

- Negocio

- Informtica

Justificacin

- Areas a Auditar

- Plan propuestoRevisin Informal

Adecuacin

- Mtodos

-Tcnicas

-Herramientas

Formalizacin

- Aprobacin

- ArranqueRevisin Formal

Aprobacin Formal

Desarrollo

- Entrevistas - Recomendaciones

-Visitas - Informe de auditora

-Observaciones

Implantacin

-Acciones Preventivas y Correctivas

-Seguimiento



44/58

Proceso metodolgico general de AI



45/58

Mtodos Tcnicas y herramientas por rea

de revisin (i)

Dominio de los conceptos tcnicos y administrativos relacionados.

Habilidades inherentes a la AI. Entendimiento de la AI y sus tendencias.

Adaptacin o actualizacin segn el medio dominante.

Organizacin y administracin formal de la AI en el negocio.

Involucramiento formal en el proceso de planeacin del negocio

informtica y de la auditora tradicional.

Desarrollo de un proceso formal de planeacin de AI.

Factores que aseguran resultados satisfactorios de la AI:




46/58

Mtodos Tcnicas y herramientas por rea

de revisin (ii) Entendimiento y aplicacin de un proceso metodolgico

formal de la AI.

Gusto e identificacin profesional por la carrera de AI.

Participacin formal, en asociaciones, instituciones educativas,

etc., con fines de actualizacin o de compartir las experiencias

profesionales en el campo de la AI.

Entendimiento satisfactorio de los mtodos, tcnicas yherramientas necesarios para auditar las reas seleccionadas

en el proceso de planeacin de la AI.

Otras de acuerdo a la organizacin




47/58

Resumen

Definir clara y detalladamente los requerimientos y condiciones quejustifiquen cada proyecto .

Las debilidades o carencias de polticas y procedimientos existentes enlas reas relacionadas con informtica que generen necesidades de

una auditoria. Responder a una solicitud expresa de la alta direccin para auditar la

funcin de informtica en alguno de sus componentes Definir etapas o secuencias del proyecto (evaluacin preliminar,

adecuacin, justificacin, formalizacin, desarrollo, implantacin) Especificar funciones y responsabilidades del personal que participar

en los proyectos de AI (usuarios, lider, personal apoyo y auditor). Definir tcnicas y herramientas mnimas para cada etapa del proyecto

de AI (muestreos, entrevistas, cuestionarios, inspeccin, observacin,documentacin, sw de auditora, anlisis de procesos de negocios,anlisis de sistemas, lenguajes de programacin, paquetes y equiposde computo).

Objetivos de la metodologa de AI




48/58

Auditorias peridicas establecidas en la empresa formalmente.

Auditorias emanadas de manera excepcional de factores no

considerados en el plan de auditoria informtica desde el inicio.

Actividades de apoyo a la auditoria tradicional en la revisin de

sistemas de informacin, aspectos de seguridad, etctera

Los elementos que intervienen en cada proyecto que vaya a

ejecutar el auditor en informtica debern orientarse a

integrar tanto los aspectos metodolgicos, como los recursos

humanos, econmicos y materiales.

Herramientas de la metodologa de AI



Resumen


49/58

ETAPA PRELIMINAR

Diagnstico de la SituacinActual.




50/58

Diagnstico del negocio: alta

direccin y reas usuarias Primer paso prctico para estimar el grado de

satisfaccin de la alta direccin en los productos,servicios y recursos de informtica del negocio(fortalezas, aciertos y apoyo).

Identificar las reas de oportunidad de la informticapara hacer ms competitivo y rentable el negocio.

Entender los puntos fuertes y dbiles de la funcininformtica, desde el punto de vista de la altadireccin y de los usuarios clave.




51/58

Tareas, productos terminados, responsables e involucrados

Etapa Tareas Productos Responsable Involucrados

Diagnsticopreliminar

1. Diagnstico denegocio

1.1 Misin y objetivos del negocio

1.2 Organizacin de informtica

1. 3 Grado de apoyo al negocio

LP/RAI

LP/RAI

LP/RAI

AD

AD

AD/PU

2. Diagnstico deInformtica

2.1 Misin y objetivos de lafuncin de informtica

2.2 Organizacin de informtica

2.3 Control

2.4 Productos y servicios

LP/RAI

LP/RAI

LP/RAI

LP/RAI

RI

RI

RI/PI

RI

3. Detectar reas deoportunidad

3.1 rea de oportunidad paramejoras inmediatas

LP/RAI AD/PU/RI

Nomenclatura: AD alta direccin; PU personal usuario; RI responsable del rea de informtica;PI personal de informtica; RAI= responsable del rea de auditora en informtica;LP lider del proyecto de auditora en informtica; AI auditor de informtica.



52/58

Conocimiento del negocio

El Auditor en informtica debe conocer el tipo deorganizacin, y nivel jerrquico de la funcininformtica, los procesos bsicos del negocio y lasentidades externas relacionadas.

Aspectos relevantes a considerar:-Misin del negocio-reas o proceso del negocio-Organigrama-Relacin entre las reas

-Relacin con las reas externas-Polticas referentes a informtica-Otros




53/58

Apoyo al negocioObtener una idea global del grado de apoyo y satis-

faccin que existe en el negocio y de la orientacin de lafuncin informtica: Apoyo a alta direccin (SIestratgicos), apoyo a las gerencias (SI integrales), apoyoa niveles operativos (SI transaccionales)Aspectos a conocer:

-Participacin de la funcin informtica en los pys. clave-Difusin de las polticas y planes informticos en los niveles delnegocio-Imagen de informtica ante la alta direccin y los responsables derea-Grado de satisfaccin y expectativas-Fortalezas y debilidades de informtica-reas de oportunidad-Otros




54/58

reas de oportunidad

Deteccin de las caractersticas que facilitarn laimplantacin de soluciones informticas de relevanciapara el negocio

Proponer acciones que redunden el beneficios directos

para la alta direccin (a corto, mediano largo plazo).Aspectos a considerar:-Reubicacin de la funcin informtica en la estructuraorganizacional

-Actualizacin tecnolgica-Sistematizacin de algunas reas de negocio

-Formulacin/Divulgacin de polticas y planes informticos

-Otros




55/58

CONOCIMIENTO DE LA FUNCIN DE INFORMATICA

-Estructura interna de informtica

-Funciones-Objetivos

-Estrategias

-Planes

-Polticas

-Otros

Diagnstico de informtica: responsablesde la funcin




56/58

SERVICIOS

-Implantaciones de soluciones de informacin

-Evaluacin, adquisicin, instalacin,mantenimiento y reemplazo de H&S

-Mantenimiento

-Soporte a usuarios

-Investigacin-Otros




57/58

ASPECTOS DE CONTROL

-Polticas y procedimientos de organizacinde la funcin informtica.-Descripcin de puestos y funciones

-Evaluacin de desempeo-Polticas y procedimientos para el desarrolloe implantacin de sistemas-Polticas y procedimientos de seguridad

-Polticas y procedimientos demantenimiento-Plan de contingencias-Otros




58/58

AREAS DE OPORTUNIDAD

Capacitacin o actualizacin profesional del personal deinformtica.

-Creacin y difusin de nuevos servicios de informtica alnegocio

-Reubicacin de la funcin informtica en la estructuraorganizacional

-Capacitacin a los niveles ejecutivos o a los usuarios claveacerca de las aplicaciones instaladas

-Actualizacin tecnolgica

-Sistematizacin de algunas reas de negocio-Creacin de algn comit de informtica

-Formalizacin y divulgacin de polticas y planes deinformtica en el negocio


Documents

Auditoría Informatica 1era fase cont.pdf