Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INTRODUCCIN
Cada proyecto de auditora en informtica respalda los objetivos y requerimientos de 3 entidades del negocio en alto o bajo grado: A) Alta direccin.
Seguimiento a proyectos relacionados con tecnologa informtica. Verificacin y aseguramiento del cumplimiento de polticas tecnologa informtica. Apoyo en la definicin, implantacin y seguimiento de polticas, controles y procedimientos de auditora financiera operativa, de crditos, fiscal, etc., relacionadas directa o indirectamente con la tecnologa de informtica. Planes de capacitacin en el uso y entendimiento de software de auditora, herramientas de productividad, base de datos, equipos de cmputo , otros de inters para los auditores.
B) Auditora.
INTRODUCCIN
C) Informtica.
Apoyo en la implantacin de estndares relativos a la organizacin y administracin de informtica, el proceso de planeacin, la evaluacin y adquisicin de nueva tecnologa, la evaluacin y adquisicin de servicios, el desarrollo e implantacin de soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas estratgicos, multimedia, etc.) y otros de inters para informtica.
Vanguardia tecnolgica
el nivel de riesgo de cada uno de los elementos que integran la funcin de informtica en el negocio a travs del diagnstico de la situacin actual en informtica. giro de la empresa y el nmero de sucursales o subsidiarias originan El que el auditor en informtica tenga que evaluar productos y servicios de informtica con un enfoque centralizado o descentralizado:
Si
Sistemas de informacin en operacin Administracin de hardware y software Desarrollo de sistemas de informacin Soporte a usuarios (capacitacin, asesora, entre otros) Administracin de telecomunicaciones Investigacin y desarrollo tecnolgico
este proceso mostrara anomalas se tomarn acciones inmediatas orientadas a minimizarlas o eliminarlas. Determinar el nivel de riesgo que existe en cada una de las reas de la funcin de informtica: cada rea, producto o servicio de informtica es susceptible de evaluacin y control para asegurar que se desarrolle de acuerdo con los estndares, polticas y procedimientos especficos que le han sido asignados segn su funcin.
a) Se obtiene una lista de los principales sistemas de informacin y de los usuarios principales de cada uno (cules fueron desarrollados por la empresa y cules comprados a terceros, para establecer la fuente principal de estudio si alguno requiriese mayor evaluacin). b) Se toman como base los comentarios positivos o negativos de los principales usuarios de cada sistema. c) Se registran las fallas o regularidades ms comunes del sistema o equipo de cmputo, y las prioridades de operacin. d) Se recaban los informes de desempeo hechos con anterioridad a los usuarios principales, a los analistas de sistemas y al personal de produccin (oportunidad, calidad, confiabilidad). e) Se anota la fecha de liberacin de los sistemas y la ltima vez que se auditaron. Esto permite valorar la posibilidad y grado de riesgo. f) Se revisa la configuracin del equipo donde se encuentre instalado (computadora aislada, en una red local, etc.)
7
Lo que se desea determinar es que los sistemas de informacin computarizados y los datos sean procesados en un ambiente tecnolgico confiable, seguro y eficiente. Aqu se pueden auditar los equipos o el software que dan soporte a los sistemas primordiales del negocio; o auditar peridicamente el mantenimiento y uso del equipo y software en la organizacin. La capacidad de los equipos, cantidad de unidades, los tipos, distribucin fsica y reportes de desempeo de los mismos. El uso y propsito de los paquetes de software, la existencia de procedimientos y polticas en la evaluacin y adquisicin del mismo, apoyan al auditor en la programacin de los proyectos de auditora.
EVALUACIN
Esto se refiere al grado de conocimientos que se tiene sobre el uso de los servicios, software y equipos. La informacin de apoyo para el auditor son los organigramas, la descripcin de puestos, procedimientos y polticas que se relacionen con los productos y servicios de informtica (si no existen, es probable que se estn utilizando de manera limitada las bondades de la informtica; asimismo, el conocimiento de los sistemas y equipos puede no ser el ms adecuado, lo que motiva al auditor a profundizar en este punto.) La presencia de catlogos de productos y servicios (hardware, software, proveedores, precios, tipos de asesoras y sus costos por hora), manuales para usuarios, manuales de sistemas, manuales de operacin y la distribucin y uso de los mismos, bitcoras de cursos de capacitacin, es de relevancia para establecer el grado de confianza del personal involucrado en el manejo de los sistemas, software y equipo.
10
Cumplimiento de estndares a nivel nacional e internacional. Cumplimiento formal de polticas y procedimientos. Prioridades de la alta direccin. Prioridades de la funcin de informtica. Prioridades de la funcin de auditora en informtica. Otros de inters especfico del auditor en informtica en el momento de llevar a cabo la evaluacin.
11
Elaboracin de una matriz de riesgos que muestre las reas de la funcin de informtica susceptibles de una revisin por parte de auditora en el siguiente periodo. Dicha matriz muestra resultados en orden descendente. Esto implica que el rea con el valor ms alto es la entidad con mayor riesgo. Por lo tanto, ser la primera auditada y as sucesivamente, hasta conocer las reas de menor riesgo.
12
PLAN DE PROYECTO
Revisin de la matriz de riesgos y el pronstico de proyectos de auditora en informtica con la gerencia o direccin a la que reporta directamente la funcin de auditora en informtica. Se ejecutar de manera oportuna y formal con el fin de que se d el visto bueno o se lleven a cabo las adaptaciones o mejoras que se consideren pertinentes, antes de presentarlo a la alta direccin de la organizacin. El plan se elabora cubriendo al menos los siguientes aspectos:
rea por auditar Prioridad Fechas de inicio y trmino Involucrados Responsables Fechas de revisin formales e informales
13
PLAN DE PROYECTO
Presentar el plan de proyectos de la funcin de auditora en informtica a la alta direccin para :
Conocer los proyectos de auditora en informtica antes de que inicie el ao Fiscal. Verificar que las reas que considere fundamentales para el buen funcionamiento del negocio hayan sido contempladas en el plan de auditora en informtica y en la matriz de riesgos antes de que sea autorizado. Que la alta direccin se comprometa de manera permanente a apoyar a los auditores en el desarrollo de cada uno de los proyectos. Obtener la aprobacin formal de la planeacin de auditoria en informtica por parte de la alta direccin.
14
Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en informtica.
PLAN DE PROYECTO
Integracin y formalizacin de equipos de trabajo Los equipos estarn integrados por:
Gerente(s) de las reas usuarias que se evaluarn Gerente de la funcin de informtica Lder del proyecto de la funcin de auditora en informtica
Aprobacin formal de la alta direccin del informe final de la auditora en informtica realizada.
Por ltimo, se dar seguimiento oportuno y formal a cada una de las recomendaciones contempladas en dicho informe.
15
CONCLUSIONES
roceso P
de planeacin en cualquier organizacin, pilar de todas las actividades que se ejecuten en ella. n todas las organizaciones los proyectos al vapor causan E retrasos en la entrega de resultados, costos superiores a los estimados al inicio y calidad cuestionable en los entregables. planeacin se entiende como un proceso formal donde al La menos se encuentran los siguientes elementos:
Etapas Tareas. Actividades. Costos/beneficios. Resultados esperados por actividad, tarea y etapa. Responsables de cada actividad o tarea. Involucrados o participantes. Revisiones formales e informales. Tcnicas para ejecutar actividades. Herramientas para realizar cada una de las actividades del proyecto.
16
CONCLUSIONES Beneficios de planeacin: es poder asegurar con alto grado de credibilidad a ejecutivos y empresarios cunto invertirn y cunto obtendrn de beneficio por cada proyecto. Planeacin de auditora en informtica: proceso que consiste en plantear, elaborar y formalizar una serie de proyectos de corto, mediano y largo plazo orientados a la evaluacin y revisin oportuna de todos los componentes inherentes a la informtica, segn prioridades propias de la empresa y con una orientacin de apoyo directa a los planes mencionados.
17
METODOLOGA DE TRABAJO EN LA
AUDITORA INFORMTICA
MTODO DE TRABAJO A SEGUIR Desde la contratacin por parte del cliente o la orden de la Direccin (segn sea externa o interna), hasta la realizacin y entrega por escrito del Informe final. El mtodo de trabajo auditor pasa por las siguientes fases:
1.
Alcance y Objetivos de la Auditora Informtica. 2. Estudio inicial del entorno auditable. 3. Determinacin de los Recursos necesarios para la Auditora. 4. Elaboracin del Plan y de los Programas de Trabajo. 5. Actividades propiamente dichas de la Auditora (Anlisis, entrevistas, etc.). 6. Redaccin del Informe Final.
19
alcance de la Auditora expresa los lmites de la misma. Debe existir un acuerdo entre autoridades y clientes sobre las funciones, las materias y las organizaciones auditadas. Expresar por escrito las excepciones de alcance de la auditora, es decir, manifestar por escrito cules materias o funciones no van a ser auditadas. Debe comprender con exactitud los deseos y pretensiones, del cliente, de forma que los objetivos perseguidos sean susceptibles de ser cumplidos. Objetivos generales y comunes a toda auditoria informtica: La Operatividad de los Sistemas y los Controles de Gestin Informtica. Los objetivos ms habituales pueden ser: Evaluacin Seguridad y Fiabilidad, Conectividad, Compatibilidad, aumento de Calidad, Costos y Plazos, etc. Los auditores conocern con exactitud la persona o personas destinatarias del Informe.
20
ESTUDIO INICIAL
Para realizar dicho estudio han de examinarse las funciones y actividades generales de la informtica siguientes:
21
ORGANIZACIN
ara P
el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. rganigrama O
El organigrama expresa inicialmente la estructura oficial de la organizacin a auditar. El propio equipo auditor dibujar el organigrama oficial con todo detalle, sin omitir las casillas que realicen funciones auxiliares o complementarias no informticas. Si el nmero de niveles es elevado, se fraccionar. El auditor podr comprobar con facilidad la identidad que debe existir entre lo oficial y lo real. Si se descubriera a travs de los flujos de informacin y de las relaciones funcionales y jerrquicas, que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia y las derivadas de ella.
describir breve y claramente las funciones ms importantes de los recuadros del organigrama que constituyen cada uno de ellos, y los que dependen directamente de ste.
22
ORGANIZACIN
Relaciones jerrquicas y funcionales entre rganos de la Organizacin
El equipo auditor verificar si se cumplen las relaciones funcionales y jerrquicas previstas, o por el contrario, detectar, por ejemplo, si algn empleado tiene dos jefes. Las relaciones de jerarqua implican la correspondiente subordinacin. Las funcionales indican relaciones de naturaleza complementaria y no estrictamente subordinales. Estas relaciones deben estar definidas por el nivel inmediato superior, el cual deber informar a sus propios grupos horizontales de la existencia de tales relaciones.
23
ORGANIZACIN
lujos F
de informacin
dems A
de las corrientes verticales intradepartamentales y de las directrices de la Direccin, la estructura organizativa, produce corrientes de informacin horizontales y oblicuas extradepartamentales. flujos de informacin entre los grupos de una Los organizacin son necesarios para su eficiente gestin, siempre que no distorsionen el propio organigrama. n ocasiones, las organizaciones crean espontneamente E canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales de informacin alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa. tras veces, la aparicin de flujos de informacin no O previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin.
24
ORGANIZACIN
El equipo auditor comprobar que los nombres de los Puestos de Trabajo de la organizacin auditada corresponden a funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas redundantes en los diferentes grupos de la instalacin. Esta situacin pone de manifiesto deficiencias estructurales; los auditores pondrn de manifiesto tal circunstancia y expresarn el nmero de Puestos de Trabajo verdaderamente diferentes. Difcilmente existen ms de 5 o 6 Puestos operativos distintos por cada rama informtica, mientras que en muchas organizaciones aparecen hasta 10 o 12 denominaciones por rama.
25
ORGANIZACIN
26
ENTORNO OPERACIONAL
El equipo de auditora informtico debe poseer una adecuada referencia del entorno en el que ha de desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente: Situacin geogrfica de los sistemas
Determinar la ubicacin geogrfica de los Centros de Proceso de Datos distintos de la empresa. Con dicha ubicacin, se verificar la existencia de responsables por cada uno de ellos, y el uso de los mismos estndares de trabajo.
27
ENTORNO OPERACIONAL
Arquitectura y configuracin de hardware y software
Sobre todo cuando existen varios Centro de Proceso de Datos, es fundamental la configuracin elegida en tanto constituyan un Sistema compatible e intercomunicado. La configuracin de los Sistemas est muy ligada a las polticas de Seguridad Lgica Informtica de las Compaas. Los Planes de Contingencia Total de cada empresa rara vez tienen materializacin efectiva cuando llega la ocasin.
La experiencia indica que cuando un Centro de Proceso de Datos queda inoperativo, su sustitucin por otro no es una operacin inmediata. Deben tenerse en cuenta los elevados costos que para una empresa supone disponer de un Centro Informtico Alternativo.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de canales y discos.
28
ENTORNO OPERACIONAL
Inventario
de hardware y software
El equipo auditor recabar informacin escrita de la empresa, en donde figuren todos los elementos fsicos y lgicos de la instalacin. Hardware: CPU, procesadores intermedios, unidades de control locales y remotas, perifricos de todo tipo, terminales, computadoras personales, etc. Software: todos los productos lgicos del Sistema, desde el software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. (facturables y no facturables)
Comunicaciones
y redes de comunicaciones
Los auditores dispondrn del nmero, situacin y caractersticas principales de las lneas, accesos a la red pblica de comunicaciones y redes locales de la empresa. Debe estimularse la construccin de un Inventario Hardware y Software nico. La ausencia o desactualizacin de los datos anteriores suponen una debilidad importante que el auditor deber reportar con severidad.
29
1.
30
3. Documentacin
Una documentacin correcta es an ms importante que la homogeneidad metodologa. Disminuye grandemente el mantenimiento de los mismos, que es uno de los problemas ms importantes, y representa a veces hasta un 70% del total de los recursos de Desarrollo.
El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas en relacionales y jerrquicas. Hallar un promedio de nmero de accesos a ellas por horas o das. Esta operacin se repetir con los archivos, as como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visin aceptable de las
31
DETERMINACIN DE RECURSOS DE LA
AUDITORA INFORMTICA
Recursos
materiales
Los recursos materiales del auditor son de dos tipos: Recursos materiales Software
Programas propios de la Auditora. Habitualmente, se aaden a las ejecuciones de los procesos del cliente para verificar los recorridos de aquellos.
Recursos
materiales Hardware:
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Es una mxima de la auditora informtica que los procesos de control deben efectuarse necesariamente en los equipos del auditado. Por tanto, habrn de convenirse tiempo de mquina, fecha, hora y duracin de las sesiones de medida. Cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y lneas de comunicaciones si van a utilizarse en exclusiva. El auditor deber calcular con la mayor precisin posible los incrementos de carga por l generados.
32
DETERMINACIN DE RECURSOS DE LA
AUDITORA INFORMTICA
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado dependen de la materia auditable. Suponiendo una auditora general, es habitual la presencia de personas no informticas pero expertas en temas de organizacin y anlisis de costos. Presencia de un informtico generalista en el equipo auditor que brinde cohesin entre sus integrantes. La Auditora Informtica y la Auditora en general suele ser ejercida por profesionales universitarios y personas de probada experiencia multidisciplinaria.
33
siguientes:
En
el Plan no se consideran calendarios En el Plan se establecen los Recursos y Esfuerzos globales que sern necesarios.
El El El
Plan establece las prioridades de materias auditables, de acuerdo con las prioridades del cliente. Plan establece la disponibilidad futura del personal y de los dems recursos durante la duracin de la Revisin.
Plan estructura las tareas a realizar por cada integrante del equipo En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. na vez elaborado el Plan, se procede a la Programacin de actividades, U asignacin de recursos humanos y materiales concretos para cada sector del plan.
En
realizar.
34
de trabajo
Anlisis de la informacin recabada del auditado Anlisis de la informacin propia Cruzamiento de las informaciones anteriores Entrevistas Simulacin Muestreos
Herramientas
Cuestionario general inicial Cuestionario-Checklist Estndares Monitores Simuladores Paquetes de Auditora Matrices de Riesgo (elementos decisorios para la realizacin de una Auditora Informtica de Seguridad.)
35