Sei sulla pagina 1di 35

PLANEACIN DE LA AUDITORA INFORMTICA

INTRODUCCIN
Cada proyecto de auditora en informtica respalda los objetivos y requerimientos de 3 entidades del negocio en alto o bajo grado: A) Alta direccin.

Seguimiento a proyectos relacionados con tecnologa informtica. Verificacin y aseguramiento del cumplimiento de polticas tecnologa informtica. Apoyo en la definicin, implantacin y seguimiento de polticas, controles y procedimientos de auditora financiera operativa, de crditos, fiscal, etc., relacionadas directa o indirectamente con la tecnologa de informtica. Planes de capacitacin en el uso y entendimiento de software de auditora, herramientas de productividad, base de datos, equipos de cmputo , otros de inters para los auditores.

B) Auditora.

INTRODUCCIN

C) Informtica.

Apoyo en la implantacin de estndares relativos a la organizacin y administracin de informtica, el proceso de planeacin, la evaluacin y adquisicin de nueva tecnologa, la evaluacin y adquisicin de servicios, el desarrollo e implantacin de soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas estratgicos, multimedia, etc.) y otros de inters para informtica.

PROCESO DE PLANEACIN DE AUDITORA EN


INFORMTICA Definicin y planificacin de proyectos. Abarca las actividades desarrolladas por el auditor en informtica que tiene como objetivo principal elaborar y presentar un conjunto de proyectos inherentes a la funcin de auditoria en informtica a la alta direccin. Orientados al aseguramiento de la calidad y control de los diferentes elementos que se encuentran relacionados de manera directa o indirecta con los recursos de informtica.

PROCESO DE PLANEACIN DE AUDITORA EN


INFORMTICA
El proceso de planeacin depende en gran medida del diagnostico previo que haga el auditor en informtica de la situacin que prevalece en cada una de las reas o servicios de la funcin de informtica. Considerar las necesidades o prioridades que tenga la alta direccin de auditar o evaluar un rea especifica de informtica. El objetivo principal de esta tarea es determinar las reas de mayor riesgo de la funcin de informtica con base en criterios:

Econmicos Grado de satisfaccin de la alta direccin Seguridad Calidad Productividad

Vanguardia tecnolgica

PROCESO DE PLANEACIN DE AUDITORA EN


INFORMTICA
Identificar

el nivel de riesgo de cada uno de los elementos que integran la funcin de informtica en el negocio a travs del diagnstico de la situacin actual en informtica. giro de la empresa y el nmero de sucursales o subsidiarias originan El que el auditor en informtica tenga que evaluar productos y servicios de informtica con un enfoque centralizado o descentralizado:
Si

Sistemas de informacin en operacin Administracin de hardware y software Desarrollo de sistemas de informacin Soporte a usuarios (capacitacin, asesora, entre otros) Administracin de telecomunicaciones Investigacin y desarrollo tecnolgico

este proceso mostrara anomalas se tomarn acciones inmediatas orientadas a minimizarlas o eliminarlas. Determinar el nivel de riesgo que existe en cada una de las reas de la funcin de informtica: cada rea, producto o servicio de informtica es susceptible de evaluacin y control para asegurar que se desarrolle de acuerdo con los estndares, polticas y procedimientos especficos que le han sido asignados segn su funcin.

DIAGNSTICO DE LA SITUACIN ACTUAL DE


LOS SISTEMAS INFORMACIN EN OPERACIN

a) Se obtiene una lista de los principales sistemas de informacin y de los usuarios principales de cada uno (cules fueron desarrollados por la empresa y cules comprados a terceros, para establecer la fuente principal de estudio si alguno requiriese mayor evaluacin). b) Se toman como base los comentarios positivos o negativos de los principales usuarios de cada sistema. c) Se registran las fallas o regularidades ms comunes del sistema o equipo de cmputo, y las prioridades de operacin. d) Se recaban los informes de desempeo hechos con anterioridad a los usuarios principales, a los analistas de sistemas y al personal de produccin (oportunidad, calidad, confiabilidad). e) Se anota la fecha de liberacin de los sistemas y la ltima vez que se auditaron. Esto permite valorar la posibilidad y grado de riesgo. f) Se revisa la configuracin del equipo donde se encuentre instalado (computadora aislada, en una red local, etc.)
7

DEBILIDADES QUE PUEDEN MOTIVAR LA


AUDITORA DE UN SISTEMA INFORMACIN El sistema no ha sido liberado formalmente (desconocimiento real por parte de los usuarios y del personal de auditora de las debilidades y fortalezas del mismo.) El sistema no ha sido auditado. Sobre todo si es un sistema bsico para la alta direccin (un sistema de cheques en un banco, un sistema de ventas en una empresa comercial); en caso de no ser un sistema fundamental, se programa su revisin en los proyectos intermedios o finales de la auditora.

CLASIFICACIN DEL NIVEL DE RIESGO QUE


REPRESENTA EL USO DE HARDWARE Y SOFTWARE EN LA ORGANIZACIN

Lo que se desea determinar es que los sistemas de informacin computarizados y los datos sean procesados en un ambiente tecnolgico confiable, seguro y eficiente. Aqu se pueden auditar los equipos o el software que dan soporte a los sistemas primordiales del negocio; o auditar peridicamente el mantenimiento y uso del equipo y software en la organizacin. La capacidad de los equipos, cantidad de unidades, los tipos, distribucin fsica y reportes de desempeo de los mismos. El uso y propsito de los paquetes de software, la existencia de procedimientos y polticas en la evaluacin y adquisicin del mismo, apoyan al auditor en la programacin de los proyectos de auditora.

EVALUACIN

DEL NIVEL DE RIESGO QUE REPRESENTA EL

USO INADECUADO DE LOS PRODUCTOS Y SERVICIOS POR EL PERSONAL DE INFORMTICA Y USUARIOS

Esto se refiere al grado de conocimientos que se tiene sobre el uso de los servicios, software y equipos. La informacin de apoyo para el auditor son los organigramas, la descripcin de puestos, procedimientos y polticas que se relacionen con los productos y servicios de informtica (si no existen, es probable que se estn utilizando de manera limitada las bondades de la informtica; asimismo, el conocimiento de los sistemas y equipos puede no ser el ms adecuado, lo que motiva al auditor a profundizar en este punto.) La presencia de catlogos de productos y servicios (hardware, software, proveedores, precios, tipos de asesoras y sus costos por hora), manuales para usuarios, manuales de sistemas, manuales de operacin y la distribucin y uso de los mismos, bitcoras de cursos de capacitacin, es de relevancia para establecer el grado de confianza del personal involucrado en el manejo de los sistemas, software y equipo.

10

CLASIFICACIN DE LOS RIESGOS SEGN


CRITERIOS ESTABLECIDOS POR LA FUNCIN DE AUDITORA EN INFORMTICA

Cumplimiento de estndares a nivel nacional e internacional. Cumplimiento formal de polticas y procedimientos. Prioridades de la alta direccin. Prioridades de la funcin de informtica. Prioridades de la funcin de auditora en informtica. Otros de inters especfico del auditor en informtica en el momento de llevar a cabo la evaluacin.

11

REAS SUSCEPTIBLES DE REVISIN

Elaboracin de una matriz de riesgos que muestre las reas de la funcin de informtica susceptibles de una revisin por parte de auditora en el siguiente periodo. Dicha matriz muestra resultados en orden descendente. Esto implica que el rea con el valor ms alto es la entidad con mayor riesgo. Por lo tanto, ser la primera auditada y as sucesivamente, hasta conocer las reas de menor riesgo.

Elaboracin de un plan consolidado de proyecto


Fechas de inicio y terminacin de cada auditora Etapas de cada auditora Tareas principales de cada etapa Equipo de trabajo Requerimientos (recursos, apoyo de la direccin, capacitacin, material de auditoria en informtica, entre otros)

12

PLAN DE PROYECTO
Revisin de la matriz de riesgos y el pronstico de proyectos de auditora en informtica con la gerencia o direccin a la que reporta directamente la funcin de auditora en informtica. Se ejecutar de manera oportuna y formal con el fin de que se d el visto bueno o se lleven a cabo las adaptaciones o mejoras que se consideren pertinentes, antes de presentarlo a la alta direccin de la organizacin. El plan se elabora cubriendo al menos los siguientes aspectos:

rea por auditar Prioridad Fechas de inicio y trmino Involucrados Responsables Fechas de revisin formales e informales

13

PLAN DE PROYECTO
Presentar el plan de proyectos de la funcin de auditora en informtica a la alta direccin para :

Conocer los proyectos de auditora en informtica antes de que inicie el ao Fiscal. Verificar que las reas que considere fundamentales para el buen funcionamiento del negocio hayan sido contempladas en el plan de auditora en informtica y en la matriz de riesgos antes de que sea autorizado. Que la alta direccin se comprometa de manera permanente a apoyar a los auditores en el desarrollo de cada uno de los proyectos. Obtener la aprobacin formal de la planeacin de auditoria en informtica por parte de la alta direccin.
14

Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en informtica.

PLAN DE PROYECTO
Integracin y formalizacin de equipos de trabajo Los equipos estarn integrados por:

Gerente(s) de las reas usuarias que se evaluarn Gerente de la funcin de informtica Lder del proyecto de la funcin de auditora en informtica

Aprobacin formal de la alta direccin del informe final de la auditora en informtica realizada.
Por ltimo, se dar seguimiento oportuno y formal a cada una de las recomendaciones contempladas en dicho informe.

15

CONCLUSIONES
roceso P

de planeacin en cualquier organizacin, pilar de todas las actividades que se ejecuten en ella. n todas las organizaciones los proyectos al vapor causan E retrasos en la entrega de resultados, costos superiores a los estimados al inicio y calidad cuestionable en los entregables. planeacin se entiende como un proceso formal donde al La menos se encuentran los siguientes elementos:
Etapas Tareas. Actividades. Costos/beneficios. Resultados esperados por actividad, tarea y etapa. Responsables de cada actividad o tarea. Involucrados o participantes. Revisiones formales e informales. Tcnicas para ejecutar actividades. Herramientas para realizar cada una de las actividades del proyecto.

16

CONCLUSIONES Beneficios de planeacin: es poder asegurar con alto grado de credibilidad a ejecutivos y empresarios cunto invertirn y cunto obtendrn de beneficio por cada proyecto. Planeacin de auditora en informtica: proceso que consiste en plantear, elaborar y formalizar una serie de proyectos de corto, mediano y largo plazo orientados a la evaluacin y revisin oportuna de todos los componentes inherentes a la informtica, segn prioridades propias de la empresa y con una orientacin de apoyo directa a los planes mencionados.

17

METODOLOGA DE TRABAJO EN LA
AUDITORA INFORMTICA

MTODO DE TRABAJO A SEGUIR Desde la contratacin por parte del cliente o la orden de la Direccin (segn sea externa o interna), hasta la realizacin y entrega por escrito del Informe final. El mtodo de trabajo auditor pasa por las siguientes fases:
1.

Alcance y Objetivos de la Auditora Informtica. 2. Estudio inicial del entorno auditable. 3. Determinacin de los Recursos necesarios para la Auditora. 4. Elaboracin del Plan y de los Programas de Trabajo. 5. Actividades propiamente dichas de la Auditora (Anlisis, entrevistas, etc.). 6. Redaccin del Informe Final.

19

DEFINICIN DE ALCANCES Y OBJETIVOS


El

alcance de la Auditora expresa los lmites de la misma. Debe existir un acuerdo entre autoridades y clientes sobre las funciones, las materias y las organizaciones auditadas. Expresar por escrito las excepciones de alcance de la auditora, es decir, manifestar por escrito cules materias o funciones no van a ser auditadas. Debe comprender con exactitud los deseos y pretensiones, del cliente, de forma que los objetivos perseguidos sean susceptibles de ser cumplidos. Objetivos generales y comunes a toda auditoria informtica: La Operatividad de los Sistemas y los Controles de Gestin Informtica. Los objetivos ms habituales pueden ser: Evaluacin Seguridad y Fiabilidad, Conectividad, Compatibilidad, aumento de Calidad, Costos y Plazos, etc. Los auditores conocern con exactitud la persona o personas destinatarias del Informe.

20

ESTUDIO INICIAL
Para realizar dicho estudio han de examinarse las funciones y actividades generales de la informtica siguientes:

Organizacin. Entorno Operacional. Aplicaciones Informticas, Base de Datos y Archivos.

21

ORGANIZACIN
ara P

el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. rganigrama O

El organigrama expresa inicialmente la estructura oficial de la organizacin a auditar. El propio equipo auditor dibujar el organigrama oficial con todo detalle, sin omitir las casillas que realicen funciones auxiliares o complementarias no informticas. Si el nmero de niveles es elevado, se fraccionar. El auditor podr comprobar con facilidad la identidad que debe existir entre lo oficial y lo real. Si se descubriera a travs de los flujos de informacin y de las relaciones funcionales y jerrquicas, que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia y las derivadas de ella.

epartamentos D rganos que siguen inmediatamente tras la Direccin. El equipo auditor

describir breve y claramente las funciones ms importantes de los recuadros del organigrama que constituyen cada uno de ellos, y los que dependen directamente de ste.

22

ORGANIZACIN
Relaciones jerrquicas y funcionales entre rganos de la Organizacin

El equipo auditor verificar si se cumplen las relaciones funcionales y jerrquicas previstas, o por el contrario, detectar, por ejemplo, si algn empleado tiene dos jefes. Las relaciones de jerarqua implican la correspondiente subordinacin. Las funcionales indican relaciones de naturaleza complementaria y no estrictamente subordinales. Estas relaciones deben estar definidas por el nivel inmediato superior, el cual deber informar a sus propios grupos horizontales de la existencia de tales relaciones.

23

ORGANIZACIN
lujos F

de informacin

dems A

de las corrientes verticales intradepartamentales y de las directrices de la Direccin, la estructura organizativa, produce corrientes de informacin horizontales y oblicuas extradepartamentales. flujos de informacin entre los grupos de una Los organizacin son necesarios para su eficiente gestin, siempre que no distorsionen el propio organigrama. n ocasiones, las organizaciones crean espontneamente E canales alternativos de informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos canales de informacin alternativos se producen porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa. tras veces, la aparicin de flujos de informacin no O previstos obedece a afinidades personales o simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones en la organizacin.

24

ORGANIZACIN

Nmero de puestos de trabajo:

El equipo auditor comprobar que los nombres de los Puestos de Trabajo de la organizacin auditada corresponden a funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones operativas redundantes en los diferentes grupos de la instalacin. Esta situacin pone de manifiesto deficiencias estructurales; los auditores pondrn de manifiesto tal circunstancia y expresarn el nmero de Puestos de Trabajo verdaderamente diferentes. Difcilmente existen ms de 5 o 6 Puestos operativos distintos por cada rama informtica, mientras que en muchas organizaciones aparecen hasta 10 o 12 denominaciones por rama.

25

ORGANIZACIN

Nmero de personas por puesto de trabajo:


La inadecuacin del personal o la falta de plantilla en algunas secciones y la sobran en otras, determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin. Los auditores debern exponer el nmero de empleados reales de cada seccin auditada. Poniendo de manifiesto una distribucin ineficiente de recursos o la necesidad de un reorganizacin.

26

ENTORNO OPERACIONAL
El equipo de auditora informtico debe poseer una adecuada referencia del entorno en el que ha de desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente: Situacin geogrfica de los sistemas

Determinar la ubicacin geogrfica de los Centros de Proceso de Datos distintos de la empresa. Con dicha ubicacin, se verificar la existencia de responsables por cada uno de ellos, y el uso de los mismos estndares de trabajo.

27

ENTORNO OPERACIONAL
Arquitectura y configuracin de hardware y software

Sobre todo cuando existen varios Centro de Proceso de Datos, es fundamental la configuracin elegida en tanto constituyan un Sistema compatible e intercomunicado. La configuracin de los Sistemas est muy ligada a las polticas de Seguridad Lgica Informtica de las Compaas. Los Planes de Contingencia Total de cada empresa rara vez tienen materializacin efectiva cuando llega la ocasin.
La experiencia indica que cuando un Centro de Proceso de Datos queda inoperativo, su sustitucin por otro no es una operacin inmediata. Deben tenerse en cuenta los elevados costos que para una empresa supone disponer de un Centro Informtico Alternativo.

Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de canales y discos.

28

ENTORNO OPERACIONAL
Inventario

de hardware y software

El equipo auditor recabar informacin escrita de la empresa, en donde figuren todos los elementos fsicos y lgicos de la instalacin. Hardware: CPU, procesadores intermedios, unidades de control locales y remotas, perifricos de todo tipo, terminales, computadoras personales, etc. Software: todos los productos lgicos del Sistema, desde el software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. (facturables y no facturables)

Comunicaciones

y redes de comunicaciones

Los auditores dispondrn del nmero, situacin y caractersticas principales de las lneas, accesos a la red pblica de comunicaciones y redes locales de la empresa. Debe estimularse la construccin de un Inventario Hardware y Software nico. La ausencia o desactualizacin de los datos anteriores suponen una debilidad importante que el auditor deber reportar con severidad.

29

APLICACIONES BASES DE DATOS Y ARCHIVOS


El estudio inicial se culmina con una idea general de los procesos informticos realizados en la empresa auditada. El entorno auditable se pone de manifiesto por medio de:

1.

Volumen, antigedad y complejidad de las aplicaciones 2. Metodologa del diseo


Se calificar la existencia total o parcial de metodologas en el desarrollo de las Aplicaciones. Si se han utilizado varias a lo largo del tiempo se pondr de manifiesto tal circunstancia. An se pondr ms de relieve el hecho de que se hayan desarrollado simultneamente varias Aplicaciones con metodologas diferentes. Esta simulacin comporta un evidente desaprovechamiento de recursos.

30

APLICACIONES BASES DE DATOS Y ARCHIVOS

3. Documentacin

Una documentacin correcta es an ms importante que la homogeneidad metodologa. Disminuye grandemente el mantenimiento de los mismos, que es uno de los problemas ms importantes, y representa a veces hasta un 70% del total de los recursos de Desarrollo.

4. Cantidad y complejidad de bases de datos y archivos

El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas en relacionales y jerrquicas. Hallar un promedio de nmero de accesos a ellas por horas o das. Esta operacin se repetir con los archivos, as como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visin aceptable de las
31

caractersticas de la carga informtica.

DETERMINACIN DE RECURSOS DE LA
AUDITORA INFORMTICA
Recursos

materiales

Los recursos materiales del auditor son de dos tipos: Recursos materiales Software

Programas propios de la Auditora. Habitualmente, se aaden a las ejecuciones de los procesos del cliente para verificar los recorridos de aquellos.

Recursos

materiales Hardware:

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Es una mxima de la auditora informtica que los procesos de control deben efectuarse necesariamente en los equipos del auditado. Por tanto, habrn de convenirse tiempo de mquina, fecha, hora y duracin de las sesiones de medida. Cantidad de pantallas, espacio en disco, montajes de cintas, impresoras ocupadas y lneas de comunicaciones si van a utilizarse en exclusiva. El auditor deber calcular con la mayor precisin posible los incrementos de carga por l generados.

32

DETERMINACIN DE RECURSOS DE LA
AUDITORA INFORMTICA

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado dependen de la materia auditable. Suponiendo una auditora general, es habitual la presencia de personas no informticas pero expertas en temas de organizacin y anlisis de costos. Presencia de un informtico generalista en el equipo auditor que brinde cohesin entre sus integrantes. La Auditora Informtica y la Auditora en general suele ser ejercida por profesionales universitarios y personas de probada experiencia multidisciplinaria.

33

ELABORACIN DEL PLAN Y DE LOS


PROGRAMAS DE TRABAJO
El

Plan de Auditora se elabora teniendo en cuenta, entre otros criterios, los


a) Si la Revisin ha de realizarse por reas generales o reas especficas. b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias de personal.

siguientes:

En

el Plan no se consideran calendarios En el Plan se establecen los Recursos y Esfuerzos globales que sern necesarios.
El El El

Plan establece las prioridades de materias auditables, de acuerdo con las prioridades del cliente. Plan establece la disponibilidad futura del personal y de los dems recursos durante la duracin de la Revisin.

Plan estructura las tareas a realizar por cada integrante del equipo En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. na vez elaborado el Plan, se procede a la Programacin de actividades, U asignacin de recursos humanos y materiales concretos para cada sector del plan.
En

realizar.

el programa de trabajo se establece el calendario real de actividades a

34

HERRAMIENTAS Y TCNICAS PARA LA


AUDITORIA
Tcnicas

de trabajo

Anlisis de la informacin recabada del auditado Anlisis de la informacin propia Cruzamiento de las informaciones anteriores Entrevistas Simulacin Muestreos
Herramientas

Cuestionario general inicial Cuestionario-Checklist Estndares Monitores Simuladores Paquetes de Auditora Matrices de Riesgo (elementos decisorios para la realizacin de una Auditora Informtica de Seguridad.)

35

Potrebbero piacerti anche