Capitulo 7 Capitulo 8 Capitulo 9

Autor:

Enrique Hernndez Hernndez

CAPITULO 7
Metodologa para el desarrollo e implantacin de la auditoria en Informtica

La funcin de auditoria de informtica debe contar con un desarrollo de actividades basadas en un mtodo de trabajo formal, que se a entendido por todos los auditores de informtica y complementado con tcnicas y herramientas propias de la funcin. La razn para auditar informtica? Asegurar (Totalidad, exactitud, mantenimiento, actualizacin y autorizacin) Diagnosticar el estado de Informtica Asegurar continuidad en operaciones Apoyo en la calidad de informtica Establecimiento de polticas, controles y procedimientos de informtica Orientar al cumplimineto de estndares definidos a nivel nacional e internacional. Asesorar a los administradores de informtica para una mejora continua. Qu es la auditoria de Informtica (MAI)? Un camino estructurado de forma lgica para el xito de proyectos de Auditora de Informtica Especificar el qu, cmo, cuando y quien Clarifica: Roles y responsabilidades Requeriminetos para el logro exitoso del proyecto Etapas Requeriminetos para el xito del proyecto Tareas y productos terminados (por etapa y proyecto)

QUE ELEMENTOS COMPLEMENTAN LA METODOLOGA?

1.

TECNICAS Documentacin Analisis Observacin Entrevistas Costo/Beneficio Control de proyectos

2. HERRAMIENTAS Software de oficina Aplicaciones Hardware Comunicaciones CAATS Control de proyectos

3. RECOMENDACIONES DE ASOCIACIONES PROFESIONALES ISACA /AMAI THEIIA IMCP/ ICPNL

METODOLOGA DE AUDITORIA DE INFORMATICA (MAI)

Diagnstico -Negocio -Informtica

Justificacin -reas a Auditar -Plan Propuesto

Revisin Informal

Adecuacin -Mtodo -Tcnicas -Herramientas

Formalizacin -Aprobacin -Arranque

Revisin Formal

Aprobacin Formal

Desarrollo -Entrevistas Observaciones -Recomendaciones -Informe final

Men

Implantacin -Acciones -Seguimiento

CAPITULO 8
Etapa de Diagnostico

DIAGNOSTICO DEL NEGOCIO : ALTA DIRECCIN Y REAS USUARIAS

Es el primer paso prctico del auditor en informtica dentro de las empresas o instituciones al efectuar un proyecto de auditoria en informtica.
METODOLOGA LA AUDITORA EN INFORMTICA: ETAPA DE DIAGNSTICO
ETAPA Diagnstico preeliminar TAREAS 1. Diagnostico de negocio PRODUCTOS 1.1 Misin y objetivos de negocio 1.2 Organizacin de informtica. 1.3 Grado de apoyo al negocio. 2.1 Misin y objetivos de la funcin de informtica 2.2 Organizacin de Informtica 2.3 Control (Formalidad) 2.4 Productos y servicios 3.1 reas de oportunidad para mejoras inmediatas RESPON SABLE LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI INVOLUCRADOS AD AD AD/UP RI RI RI/PI RI AD/PU/RI

2. Diagnstico de informtica

3. Diagnstico rea de oportunidad

Nomenclatura: AD = Alta direccin; PU = Personal Usuario; RI = Responsable de informtica; PI = Personal de informtica; RAI = Responsable del rea de auditoria en informtica; LP = Lder del proyecto de auditoria en informtica; AI = Auditor en informtica.

Lder del proyecto: es quien se encarga de coordinar y supervisar los proyectos de

auditoria en informtica, por lo general reporta al responsable de la funcin de auditotia en informtica y puede tener a su cargo uno o ms auditores en informtica.

Conocimiento del negocio:

El auditor en informtica debe conocer el tipo de organizacin: la misin, estrategias, planes (de ser posible, o al menos los proyectos globales) y nivel jerrquico de la funcin de informtica.

Apoyo al negocio:
El auditor en informtica debe obtener una idea global del grado de apoyo y satisfaccin en el negocio y al menos hacia donde se orienta el soporte de la funcin de informtica.

reas de oportunidad
Aqu se detectan las caractersticas que facilitarn la implantacin de soluciones brindadas por informtica y que tendrn un impacto relevante en alguna funcin o gerencia del negocio.

DIAGNSTICO DE INFORMTICA: RESPONSABLES DE LA FUNCIN Aqu el auditor en informtica se coordina directamente con el responsable de la funcin en informtica Conocimiento de la funcin de informtica En esta parte el auditor conocer:

La estructura interna de informtica

Funciones Objetivos

Infraestructura

Centros de cmputo
Planes Polticas

Estrategias
Inventarios (sistemas, software, hardware) Servicios

Proyectos
Otros de inters especfico para l

Los servicios que generalmente brinda informtica son: 1. Implantacin de soluciones de informacin 2. Evaluacin, adquisicin, instalacin y reemplazo de : Cmputo/Software/ Equipos de telecomunicaciones/ Lenguajes de programacin 3. Mantenimiento 4. Soporte de usuarios 5. Investigacin 6. Planeacin de informtica 7. Auditora en informtica/ Soporte a la alta direccin 8. Otros de acuerdo con le tipo de negocio. Aspectos de control del rea de informtica Algunos aspectos que se deben considerar son los siguientes: Esquema de seguridad para Internet, intranet y comercio electrnico. Polticas y procedimientos de organizacin de la funcin de informtica. Descripcin de puestos y funciones /Evaluacin de desempeo. Guas de control para proyectos de seleccin e implementacin de un sistema ERP. Polticas y procedimientos para el desarrollo e implementacin de sistemas Polticas y procedimientos de evaluacin de hardware y software. Politicas y procedimientos de seguridad / politicas y procedimientos de mantenimineto Plan de contingencias y de reinicio de operaciones Otros de interes especfico del auditor en informtica.

reas de oportunidad

Aqu se detectan las circunstancias que facilitarn la puesta en marcha de soluciones brindadas para informtica y que tendrn un impacto relevante en algn proceso del negocio.

EVALUAR POLITICAS Y PROCEDIMINETOS POR AREA DE REVISION Las polticas y procedimientos de informtica son elementos que al ser ejecutados formal y oportunamente garantizan que funciones y servicios de informtica se lleven a cabo con eficiencia para el apoyo estratgico, tctico y operativo que requiere el negocio. Los datos manejados en la hoja de polticas y procedimientos que el auditor debe recabar en el diagnstico y en la etapa de desarrollo deben asegurarse de proporcionar al auditor de informtica los siguientes criterios de control: Polticas recomendadas/ Evidencia requerida (Para diagnostico de informtica) Objetivos/Tcnicas /Cuestionarios / Evidencia /Procedimientos / Actividades de auditoria por rea y componente a revisar / Requerimientos de xito.

El diagnostico general de esta rea se puede llevar acabo de la siguiente manera:

1. Inventariar los sistemas de informacin, propietarios y usuarios de la informacin (se establece cuales fueron desarrollados por la empresa y cuales comprados a terceros, para saber la fuente principal de estudio en caso de que se requiera mayor evaluacin).
2. Se toman como base los comentarios positivos o negativos de los principales usuarios de cada sistema de informacin que se encuentre en operacin con el objetivo de establecer los niveles de satisfaccin ( funcionalidad, productividad, calidad, etc). 3. Identificar fallas comunes en los sistemas, hardware, y las prioridades de operacin 4. Se recaban los informes de desempeo anteriores con los usuarios principales de los analistas de sistemas y personal de operacin. 5. Se registran fecha de liberacin de los sistemas y fecha en que se auditaron. Se analizan los hallazgos y sus recomendaciones para valorar las fortalezas y escenarios de riesgo. 6. Se revisa configuracin del equipo donde se encuentran instalados los sistemas ( en una computadora personal aislada, en una red, en una mini computadora, etc.) 7. Se estudia por cada sistema su integracin a otros sistemas de informacin. 8. Se valoran otras reas de inters propio del auditor en informtica.

Men

CAPITULO 9
Etapa de Justificacin

Una vez que se ha concluido la etapa preliminar, se procede a continuar con la etapa de justificacin, la cual se explica a continuacin

Etapa Preliminar (Concluida)

Etapa de Justificacin (En Desarrollo)

Etapa de Adecuacin (Posterior)

Los productos terminados mas importantes de la etapa son tres:

Matriz de Riesgos. Plan general de auditoria en informtica Compromiso ejecutivo

Metodologa de auditoria en informtica: Etapa de Justificacion Etapa

Justificacin

Tareas
1.Realizar Matriz de riesgo 2. Justificar la auditoria por cada rea de revision 3. Hacer un plan de auditoria en informtica (global)

Producto
1.1. Matriz de Riego 2.1. Justificar la matriz de riesgos 3.1 Plan general de Informtica 4.1 Plan Aprobado

Responsable
LP/AI LP / AID LP LP

Involucrado
RAI RAI RAI / AI RAI / AI RAI / AI

LP Lder del Proyecto AI Auditoria en Informtica RAI Responsable del rea de auditoria en informtica RI - Responsable del rea de informtica

Matriz de Riesgos, Justificacin por rea de revision

Empresa: Representante Usuario reas susceptibles de auditar
Administracion de informatica

Gerencia: Responsable de Informtica Riesgo por componente

% % % %
% % %

Fecha de elaboracin: Lder de Proyecto rea por auditar segn clasificacin

Secuencia sugerida por auditar cada componente y rea segn el nivel de riesgo estimado.
Secuencia sugerida para auditar cada componente y rea segn el nivel de riesgo estimado.

Aspectos o componentes por evaluar del rea

1.
2. 3. 4.

Clasificacin del riesgo por rea (Total)

Misin y objetivos. Organizacin Servicios Parmetros de revisin

Seguimiento a la funcin de informtica por la direccin. Comunicacin e integracin Apoyo a toma de decisiones Comunicacin e Integracin Proyectos conjuntos Administracin de recursos de informtica. Grado de satisfaccin

Direccion y niveles ejecutivos

1.

2.

3.

%
% % % % % % Secuencia sugerida para auditar cada componente y rea segn el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riegos estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riesgo estimado.

Usuarios de Informtica

1. 2. 3.

4.

Control Interno

1. Politicas y Procedimisntes

Ciclo de desarrollo e implantacin de sistemas de informacion

1. 2. 3. 4.

Metodologia Tcnicas Herramientas Capacitacin / Actualizacion

% % % %

Empresa: Representante Usuario reas susceptibles de auditar

Sistemas de Informacin

Gerencia: Responsable de Informtica Riesgo por componente

% % % % % % % % % % % % % % % % % % % % %

Fecha de elaboracin: Lder de Proyecto rea por auditar segn clasificacin

Secuencia sugerida por auditar cada componente y rea segn el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y rea segn el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y rea segn el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riegos estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riegos estimado.

Aspectos o componentes por evaluar del rea

1. 2. 3. 4.

Clasificacin del riesgo por rea (Total)

Plantacin Desarrollo Operacin Soluciones de mercado Hardware Software Sistemas de Informacin Telecomunicaciones Administracin Inhalacin Operacin/Seguridad. Administracin Inhalacin Operacin/Seguridad . Hardware Software / Aplicaciones Plan de contingencia Metodologas Tcnicas Herramientas Capacitacion/actualizacion

Mantenimiento

1.

2.
3. 4.

Redes Locales

1. 2. 3.

Telecomunicaciones

1. 2. 3.

Seguridad

1.

2.
3.

Plantacin de Informtica

1. 2. 3. 4.

Plan general del Proyecto de auditoria en Informtica

Una vez elaboradas, revisadas y documentadas la matriz de riesgos y las reas de oportunidad Se procede a la formulacin del plan general de informtica, el cual consiste bsicamente en programar las revisiones a reas de informtica generadas de la matriz de riegos.

Empresa: Representante usuario:

Areas por auditar segn clasificacion y prioridades rea seleccionada rea seleccionada Aspectos o componentes a auditar

Gerencia: Representante Informatica:

Prioridad asignada ( esta se genera del diagnostico o de solicitud expresa de la alta direccion o de informatica) Numero Numero

Fecha Elaboracin: Lider auditoria:

Fecha Inicio / Fecha final (Estimadas)

Clasificacion del riesgo por area (Total) % %

Componentes seleccionados Componentes seleccionados

dd/mm/aa dd/mm/aa

Compromiso Ejecutivo
Es la ultima tarea de la etapa de justificacion y su objetivo rpincipal es obtener el visto bueno (Aprobacion) inicial de la alta direccion, usuarios clave y del responsable de informtica para continuar con el proyecto de auditoria en informtica son los siguientes:

Presentacin del plan con la informacion de soporte requerida bien documentada y validada con los principales involucrados: Resumen del diagnostico actual Areas de oportunidad Matriz de Riesgos Prioridades Otros comentarios de apoyo Se debe ser objetivo y claro al exponer el plan general. Justificar cada una de las reas por auditar con datos concretos y bien documentados Lograr que la alta direccin tome conciencia del compromiso requerido de su parte para la culminacin exitosa del proyecto. Recibir una aprobacin formal del plan general (Firma) El lder del proyecto debe indicar fechas de inicio y terminacin estimadas. Men

Actualizacin del plan general

Conforme avanza el proyecto debe haber una actualizacin justificada, debido al compromiso inicial acerca de las reas que sern auditadas, fechas, prioridades, etc. Establecida la etapa de justificacin.
Conviene llevar una bitcora de cambios al plan general que contemple: Cambio/ Motivo de cambio/Responsable de solicitar el cambio Tareas o fechas que afecta/ rea (s) por evaluar afectadas por el cambio. Responsable de aprobar el cambio / Fecha del cambio/ Versin del plan. Otros que el auditor en informtica considere necesarios

Plan detallado del proyecto de auditoria en informtica

Es una de las tareas ms importantes de la fase, ya que en ella se define cada detalle de los elementos del proyecto; se especifican tareas, productos terminados, responsables, fechas, etc., a presentar para su aprobacin en la etapa de formalizacin. Aqu es adecuado contar con dos planes uno de seguimiento interno a tareas y responsabilidades de los auditores y otro que especifica el detalle emanado del plan general de auditoria en informtica de la fase de justificacin, donde se involucra a la alta direccin, usuarios e informtica.

Men