Uso prctico de la metodologia de

A I
AUDITORIA EN INFORMATICA
Actualizar y adecuar polticas,
estandares, mtodos de trabajo,
herramientas de productividad, tcnicas
a la realidad del negocio
Funcin del Auditor en
Informtica
Aspectos relevantes de la
Metodologa
Que hacer?
Quien debe
hacerlo?
Con quienes?
(Participantes)
Cuando hacerlo?
Como hacerlo?
Donde hacerlo?

Tareas

Responsables



Involucrados


Secuencia

Procedimientos

Diagnstico, matriz
riesgos
Componentes a evaluar por
rea de revisin
Grado de formalizacin del negocio
Componentes del negocio
Definicin de polticas y procedimientos

Grado de Cumplimiento
Formal e informal
Periodicidad de aplicacin
Responsabilidades

Grado de Actualizacin
Adecuacin a requerimiento actuales
Autorizacin y responsabilidad de los cambios

Grado de acercamiento a estndares
Comparacin con estndares vigentes
Carencia de estndares, polticas y procedimientos
Adaptacin a caractersticas del negocio

Componentes a evaluar por
rea de revisin
Objetivos principales del auditor :

Detectar debilidades y carencias.

Encontrar soluciones de cada una.

Consolidarlas en soluciones integrales y de valor
agregado.
Polticas y procedimientos por
rea de revisin
Polticas de
Control y
Seguridad
Asegurar el
cumplimiento
Confianza y certeza en
operacin de recursos
para manejo de
informacin
AUDITORIA DE ADMINISTRACION DE
INFORMATICA
1. Misin y funciones de la informtica
2. Organizacin
3. Servicios
4. Parmetros de medicin
AUDITORIA DE ADMINISTRACION DE
INFORMATICA
Objetivos de esta revisin (i)
Verificar uso eficiente de recursos de informtica
Asegurar que se cubran los mayores riesgos
informticos
Asegurar que los recursos estn orientados a los
objetivos
Comprobar que los servicios de informtica estn
documentados y difundidos
Verificar la elaboracin y formalizacin de los planes
Asegurar la organizacin y control formal de los recursos
Comprobar el funcionamiento de la Direccin, coordinacin
y control de los proyectos de informtica
Verificar el empleo de parmetros de medicin y la
evaluacin de desempeo
Asegurar la existencia del comit de informtica
Evaluar el grado de compromiso de alta direccin con
informtica (establecer si el apoyo que le brinda es el
adecuado).
AUDITORIA DE ADMINISTRACION DE
INFORMATICA
Objetivos de esta revisin (ii)
AUDITORIA DE DIRECCION Y NIVELES
EJECUTIVOS
Objetivos de esta revisin (i)
Detectar el grado de confianza, satisfaccin y
respaldo de informtica
Confirmar que exista una clasificacin y
entendimiento de los servicios de informtica
Comprobar que la tecnologa se encuentre al alcance
de directivos y usuarios principales
Verificar que exista un anlisis costo/beneficio de la
Funcin Informtica.
AUDITORIA DE DIRECCION Y NIVELES
EJECUTIVOS
Objetivos de esta revisin (ii)
Comprobar que los planes y polticas de
informtica sean difundidos adecuadamente

Evaluar el grado de compromiso de la Alta
direccin con el rea informtica.

CONTROL INTERNO
Objetivos de esta revisin (i)

Detectar el grado de estandarizacin y seguimiento
formal
Evaluar la existencia de polticas y procedimientos
Verificar el cumplimiento oportuno y formal de
polticas y procedimientos
Implantar y dar las recomendaciones necesarias para
que se eliminen las debilidades
Asegurar que los controles y procedimientos cumplan
con los objetivos, propsitos y sugerencias
AUDITORIA DURANTE EL CICLO DE DESARROLLO
E IMPLANTACION DE
SISTEMAS DE INFORMACION
1. Metodologa
2. Tcnicas
3. Herramientas
4. Capacitacin y actualizacin
Objetivos:
Asegurar que exista un proceso metodolgico para
ejecutar el CDISI.
Verificar y asegurar que se conozca y utilice la
metodologa del CDISI.
Evaluar el nivel de estandarizacin de la metodologa
frente a otras.
Comprobar que exista un proceso de capacitacin y
manejo de la metodologa.
AUDITORIA DURANTE EL CICLO DE
DESARROLLO E IMPLANTACION DE
SISTEMAS DE INFORMACION - CDISI
Auditora de Sistemas de Informacin
1. Planeacin y desarrollo
Se evalan proyectos donde se desarrollan e
implantan SI, se incluye al personal que intervino
durante CDISI.

2. Operacin
Se auditan funciones y responsabilidades de los
usuarios y responsables del sistema en
operacin.
3. Soluciones del mercado
Se evalan las funciones y procedimientos de
todo el proyecto de evaluacin y seleccin de
soluciones de mercado.
AUDITORIA DE MANTENIMIENTO
1. Hardware
2. Software
3. Sistemas de Informacin
4. Red de comunicaciones
AUDITORIA DE MANTENIMIENTO
Objetivos de esta revisin
Comprobar que existan polticas y procedimientos de
mantenimiento.
Asegurar que el mantenimiento sea preventivo ms que
correctivo.
Informar a las reas afectadas de los calendarios de
mantenimiento.
Verificar que existan funciones asignadas para las tareas
que se realizan.
AUDITORIA DE REDES LOCALES Y
TELECOMUNICACIONES
1. Administracin
2. Instalacin
3. Operacin y Seguridad
Asegurar que exista una funcin formal de administracin de
redes locales.
Asegurar la existencia de procedimientos y controles que
orienten a la satisfaccin de : -La administracin, -La
instalacin, -La operacin, -La seguridad y -El mantenimiento
de las redes locales.
Detectar el grado de confianza, satisfaccin y desempeo que
brindan al negocio las redes locales existentes.
Confirmar que existan parmetros de medicin del
desempeo de las redes (bitcoras, graficas, estadsticas,
entre otros)
AUDITORIA DE REDES LOCALES
Y TELECOMUNICACIONES
Objetivos de esta revisin (i)
AUDITORIA DE REDES LOCALES Y
TELECOMUNICACIONES
Objetivos de esta revisin (ii)
Evaluar el grado de soporte que se brinda a los usuarios de la
red.
Determinar si existen los controles y procedimientos de
seguridad para las redes.
Evaluar las acciones que se llevan a cabo para actualizar los
diversos componentes de las redes locales.
Asegurar que solo se encuentre instalado software legalizado en
las redes locales.
Comprobar si se cuenta con algn software que apoye el
monitoreo y la auditoria de los diferentes elementos que
componen una red local.
AUDITORIA DE HARDWARE
1. Administracin
2. Instalacin
3. Operacin y Seguridad
Asegurar que existan una funcin formal de
administracin del hardware.
Asegurar que existan procedimientos y controles que
se orienten a satisfacer la administracin, instalacin
y operacin ,seguridad y mantenimiento.
Detectar el grado de confianza, satisfaccin y
desempeo que brindan al negocio, el hardware
existente.
Comprobar que existan parmetros de medicin de
desempeo del equipo (bitacoras, graficas, etc).

AUDITORIA DE HARDWARE
Objetivos de esta revisin (i)
AUDITORIA DE HARDWARE
Objetivos de esta revisin (ii)
Evaluar las acciones que se llevan a cabo para actualizar
hardware.

Evaluar el grado de compatibilidad e integridad entre los
equipos existentes.

Evaluar el grado de soporte que se brinda a los usuarios y
el software a que tienen acceso.
Auditoria del Software
Administracin.

Legalizacin e Instalacin.

Operacin y seguridad.
AUDITORIA DEL SOFTWARE
Objetivos de esta revisin (i)
Asegurar que exista una funcin formal de administracin del
software.
Asegurar la existencia de procedimientos y controles que orienten
a la satisfaccin de :
La administracin del software.
La instalacin del software.
La operacin y seguridad del software.
La actualizacion del software.
Detectar el grado de confianza, satisfaccin y desempeo que
brindan al negocio el software existente.
Investigar si hay politicas que aseguren un proceso formal


AUDITORIA DEL SOFTWARE
Objetivos de esta revisin (ii)
Evaluar el grado de soporte que se brinda a los usuarios en el
uso del software al que tienen acceso en los equipos de la
empresa.
Determinar si existen los suficientes controles y procedimientos
de seguridad para el software en uso.
Evaluar las acciones que se llevan a cabo para la actualizacin
del software y de las redes locales.
Asegurar que solo se encuentre instalado software legalizado en
todas las computadoras o redes locales.
Comprobar si se cuenta con algn software que apoye el
monitoreo y la auditoria del software instalado.
Evaluar el grado de integracin entre los diferentes tipos de
software instalados .
Cuestionarios por componentes
Son una ayuda para el auditor, ya que
es material elaborado, revisado,
adaptado y documentado de manera
previa
Cuestionarios por componentes
Ventajas
Objetivos y alcances predefinidos.
Faciles de aplicar, entender y contestar
Revisados y aprobados por el lder del grupo
Apegados a polticas y procedimientos del
negocio
Relacionados con estndares recomendados para
cada rea
Cuestionarios por componentes
Consideraciones
Son un punto de referencia que se complementa
con entrevistas.
Deben ser evaluados, depurados y actualizados
conforme a caractersticas de las reas de
informtica.
Adecuado segn la conveniencia del auditor.
Cuestionarios por componentes
Posibles acciones
Agregar o eliminar preguntas
Modificar el orden de ellas
Modificar alguna pregunta
Aadir otras reas para auditar.

Apendice B
CUESTIONARIOS PARA EFECTUAR LA AUDITORIA EN INFORMATICA
POR AREAS DE REVISION
Ejemplo de Area de revisin:
Administracin de informtica
Misin y funciones de la informtica
Organizacin
Servicios
Parmetros de medicin
Objetivos de esta revisin :
Verificar el uso eficiente de los recursos
Asegurarse contra los riesgos informticos
Confirmar que exista:
Elaboracin y formalizacin de los planes
Organizacin y control formal de los recursos
Direccin, coordinacin y control de los proyectos de
informtica.

Actividades para auditar esta area :
Comparar proyectos
Concertar citas
Elaborar y documentar las conclusiones y
recomendaciones finales
Anexar esta informacin en el informe final.
Requerimientos para el xito de la revisin:
Formalizar el apoyo de la alta direccin al
equipo auditor.
Conocimiento del auditor acerca de los
aspectos que se evaluarn en este mdulo.
Misin y funciones de la informtica. i
Existe un documento formal que describa? :
Misin de la informtica en el negocio
Estructura organizacional de la funcional
Funciones dentro de la organizacin
Planes de la informtica
Polticas y procedimientos de la informtica
Que procedimientos se utilizo? :

Juntas, memorandos, etc.
Fue aprobado por la direccin?
Se encuentran bien establecidas y entendidas las funciones de la informtica
Existe un comit de informtica

Misin y funciones de la informtica. ii
Organizacin
Hay una estructura formal de informtica que contemple:
Organigrama
Descripcin de objetivos, funciones, responsabilidades y
mtodos de trabajo
Flujos de informacin entre las reas .
Cuales fueron los criterios
Que procedimientos se uso para la actualizacin y el
cuidado contra riesgos?
El lder tiene planeado cambios
Existe comunicacin entre el personal
Que tipo de estructura existe?

Lista de verificacin de las polticas y procedimientos i
rea de revisin
Administracin de informtica
Nomenclatura ( funcin responsable)
I=Informtica U=Usuarios AD=Alta
Direccin E=Externos
Concepto Recomendada (R)
Obligatoria (O)
Funcin
responsab del
seguimiento
Difundir la misin, objetivos y planes de informtica
en todo el negocio.

O
I
Debe existir un organigrama y descripcin de
puestos.
O I
Debe haber un manual de polticas de la funcin de
informtica.
O I
Programas de calidad y productividad por puesto,
funcin y servicio.
R I
Uso de metodologas y tcnicas y herramientas
estndares a nivel de funcin.
R I
Elaborar un documento que tenga los parmetros de
medicin por funcin
O I
Evaluar permanentemente cada puesto de acuerdo
con los parmetros de medicin
O I
Informtica ha de participar en el proceso de
planeacin del negocio.
O AD/U
Lista de verificacin de las polticas y procedimientos ii
rea de revisin
Administracin de informtica
Nomenclatura ( funcin responsable)
I=Informtica U=Usuarios AD=Alta
Direccin E=Externos
Concepto Recomendada (R)
Obligatoria (O)
Funcin responsab
del seguimiento
Misin, objetivos y planes formales del negocio O AD
Difusin y entendimiento de los organigramas y
funciones del negocio.
O AD/U
Ubicacin de la funcin de informtica a un nivel
estratgico.
R AD
Involucramiento de la direccin en el proceso de
planeacin de informtica.
O AD/I/U
Polticas y procedimientos de alta direccin para la
funcin de informtica.
R AD/I
Comit formal de informtica y alta direccin. R AD/I
Calendario formal de reuniones del comit y
resultados esperados.
O AD/I
Parmetros de medicin de la funcin de
informtica
O AD/E
Lista de verificacin de las polticas y procedimientos iii
rea de revisin
Administracin de informtica
Nomenclatura ( funcin
responsable)
I=Informtica U=Usuarios
AD=Alta Direccin E=Externos
Concepto Recomendada (R)
Obligatoria (O)
Funcin
responsab del
seguimiento
Procedimientos formales para el procesamiento de
informacin
O I/E
Funciones definidas formalmente para el rea de
informtica y los usuarios.
O I/U/E
Procedimientos formales de supervisin permanente de
la ejecucin de funciones
O I/U/E
Procedimientos formales que aseguren la totalidad de
la informacin.
O I/E
Procedimientos formales que aseguren la exactitud de
la informacin.
O I/E
Procedimientos formales que aseguren la autorizacin
de la informacin.
O I/E
Procedimientos formales que aseguren el
mantenimiento de la informacin.
O I/E
Procedimientos formales que aseguren la actualizacin
de la informacin.
O I/E
Lista de verificacin de las polticas y procedimientos iv.
rea de revisin
Administracin de informtica
Nomenclatura ( funcin
responsable)
I=Informtica U=Usuarios
AD=Alta Direccin E=Externos
Concepto Recomendada (R)
Obligatoria (O)
Funcin
responsab del
seguimiento
Metodologa formal para el desarrollo de sistemas de
informacin.
O I/E
Tcnicas formales para el desarrollo de sistemas de
informacin.
O I/E
Herramientas formales para el desarrollo de sistemas de
informacin.
O I/E
Definicin formal de las etapas del desarrollo emanadas
por la metodologa.
O I/E
Tareas y actividades formales emanadas de la
metodologa.
O I/E
Funciones y responsabilidades formales emanadas de la
metodologa.
O I/E
Productos terminados formales emanados de la
metodologa.
O I/E
Puntos de revisin y aceptacin de los productos
terminados por etapa.
O I/E
Lista de verificacin de las polticas y procedimientos
rea de revisin
Administracin de informtica
Nomenclatura ( funcin responsable)
I=Informtica U=Usuarios AD=Alta
Direccin E=Externos
Concepto Recomendada (R)
Obligatoria (O)
Funcin
responsab del
seguimiento
Uso formal del desarrollo de sistemas de metodologa
estndar.
O I/E
Uso formal del desarrollo de sistemas de tcnicas
estndares.
O I/E
Uso formal del desarrollo de sistemas de herramientas
estndares.
O I/E
Procedimiento formal para autorizar el desarrollo de
cada sistema.
O I/U
Procedimiento que asegure que cada desarrollo emana
de la planeacin.
R I
Tcnicas de anlisis y diseo estructurado. R I/E
Tcnicas de programacin estructurada para la
construccin de sistemas.
R I/E
Tcnicas y herramientas para la prueba de sistemas. R I/E