You are on page 1of 133

AUDITORIA DE

SISTEMAS
AUDITORIA EN INFORMATICA

Antecedentes
Terminologa
Referencias
Inicialmente la informtica apoy las reas de
contabilidad, nminas, etc., lo que origin la
necesidad de conocer y medir dicho apoyo a estas
reas y a toda la empresa.
-> Se origina el proceso de la auditora a sistemas
de informacin o auditoria de sistemas.
Luego cubri las reas de negocio en todos los
niveles, por medio de productos y servicios
variados, con el uso de computadoras personales,
redes locales, telecomunicaciones y una diversidad
de componentes de tecnologa, contribuyendo con
la integracin empresarial.
Estado actual
Todas las actividades de la sociedad buscan
apoyarse en la tecnologa informtica.
El control y seguridad de los recursos de
informtica es una necesidad creciente.
La Informtica se enfoc hacia la sistematizacin
de las reas de un negocio.
(Tecnologas y Sistemas de Informacin).
Tendencia a obtener una solucin integrada y
actualizada.
Las entidades deben contar con controles,
polticas y procedimientos que aseguren a
los niveles directivos, que los recursos
humanos, materiales y financieros estn
adecuadamente orientados a la rentabilidad
y competitividad del negocio.
La improductividad, mal servicio y carencia
de soluciones totales de la funcin
informtica, fueron, son y seguirn siendo
mal de muchas organizaciones.
QuseesperadeInformtica?
SATISFACCIN de la demanda de SISTEMAS y TECNOLOGIAS
de INFORMACIN
Personas
Datos
Aplicativos
Tecnologa
(Hard., Soft., BD, Comunics.)
Procesos
La Direccin de TI
Problemas:
Debilidades en la planeacin del negocio (informtica)
Resultados negativos (improductividad, duplicidad de
funciones, etc) de los SI (Desarrollo, Mantenimiento.
Operacin).
Falta de actualizacin de personal informtico.
Capacitacin deficiente de los usuarios de los SI
Deficiente involucramiento de los usuarios en el
desarrollo e implantaciones de soluciones informticas.
Administracin deficiente de los proyectos (Falta de un
proceso de anlisis costo/beneficio, metodologas de
planeacin y desarrollo no estandarizadas, poco uso de
tcnicas formales, falta proceso formal de planeacin)
Involucramiento mnimo de la alta direccin
Importancia de la auditoria en informtica
La tecnologa informtica es una herramienta que
brinda rentabilidad y ventaja competitiva; pero
puede originar costos y desventajas si no es bien
llevada.
Cmo saber si se est administrando y dirigiendo de manera correcta la
funcin informtica?
Es necesario auditar o evaluar la funcin de informtica?
Quines lo haran?.
La solucin es realizar evaluaciones oportunas
y completas de la funcin informtica, a cargo
de personal calificado (consultores externos,
auditores en informtica).
La funcin informtica se ha convertido en una
herramienta permanente y necesaria, en un
aliado confiable y oportuno, de los procesos
principales de los negocios.
Es posible auditar la funcin informtica, si se
implementan los controles y esquemas de
seguridad requeridos para su aprovechamiento
ptimo.
=> Evaluar, formal y peridicamente, la funcin
de informtica integrada al proceso de negocios.
La funcin del auditor no es ser un polica; se
orienta a ser un punto de control, confianza y
un facilitador de soluciones.
Orientacin del auditor:
Conducir a la empresa a la bsqueda
permanente de la salud ptima de los recursos
de informtica y de todos los elementos
relacionados con ella.
II. Terminologa
de la
auditoria en informtica
Informtica
Campo que se encarga del estudio y aplicacin prctica de la
tecnologa, mtodos, tcnicas y herramientas relacionados con
las computadoras y el manejo de la informacin por medios
electrnicos.
Se divide en grandes ramas o se integra a otros elementos
tecnolgicos y administrativos para fortalecer las empresas.
Sistemas de informacin
Redes y comunicaciones
Bases de datos
Desarrollo de sistemas
Soporte a usuarios
Planeacin informtica
Investigacin de nuevas tecnologas
Sistemas de Informacin:
Conjunto de mdulos computacionales organizados e
interrelacionados de manera formal para la administracin y
uso eficiente de todos los recursos (humanos, materiales,
tecnolgicos, etc.) de un rea de la empresa (manufactura,
administracin, direccin, etc.); para representar los procesos
reales y orientar los procedimientos, polticas y funciones
inherentes al logro eficientemente las metas y objetivos del
negocio.
Pueden orientarse al apoyo de:
Niveles operativos.
Niveles tcticos.
Niveles estratgicos.
Sistemas de Informacin Estratgicos:
Proporcionan a la alta direccin una serie de parmetros y
acciones encaminadas a la toma de decisiones que apoyarn
en el seguimiento de la rentabilidad y eficiencia respecto de la
competencia.
Metodologa: Conjunto de etapas estructuradas de
manera que brinden a los interesados los parmetros
de accin, en el desarrollo de sus proyectos,
siguientes:
Plan general y detallado, tareas y acciones, tiempos,
aseguramiento de calidad, involucrados, etapas,
revisiones, responsables, recursos, etc.
Tcnicas: Procedimientos y pasos ordenados que se
usan en el desarrollo de un proyecto con el propsito
de finalizar las etapas definidas en el procesos
metodolgico, tales como: Anlisis de sistemas, Diseo de
sistemas, Anlisis costo beneficio, Grficas de control
tiempos, etc.
Herramientas: Elementos fsicos utilizados para
llevar a cabo las acciones y pasos definidos en la
tcnica.
Auditoria
Proceso formal y necesario para las empresas con el fin de
asegurar que todos sus activos sean protegidos
adecuadamente.
Conjunto de tareas realizadas por un especialista para la
evaluacin o revisin de polticas y procedimientos
relacionados con las reas Administrativa, Financiera,
Operativa, Informtica y/o de gestin de una empresa.
Tareas:
Estudiar y actualizar permanentemente las reas
susceptibles de revisin
Apegarse a las normas, polticas, procedimientos y
tcnicas de auditoria establecidas por los organismos
aceptados a nivel internacional.
Evaluacin y verificacin de las reas requeridas, por la
alta direccin o responsables directos del negocio.
Elaboracin del informe (debilidades y recomendaciones).
Auditoria en informtica
Proceso formal ejecutado por especialistas del rea de auditoria y de
informtica; orientado a la verificacin y aseguramiento de que las
polticas y procedimientos establecidos para el manejo y uso adecuado
de la tecnologa informtica, se lleven a cabo de forma oportuna y
eficiente.
Actividades ejecutadas por profesionales del rea de informtica y
auditoria para evaluar el grado de cumplimiento de polticas controles y
procedimientos correspondientes al uso de recursos de informtica;
asegurando que operen en un ambiente de seguridad y control eficientes.
Proceso metodolgico cuyo propsito principal es evaluar todos los
recursos (humanos, financieros, tecnolgicos, etc.) relacionados con la
funcin de informtica, para garantizar al negocio que stos operan con
criterios de integracin y desempeo altamente satisfactorios, que
apoyen la productividad y rentabilidad de la organizacin.
III. La Auditora en informtica y
su entorno
1. Entorno en Informtica.
2. Objetivos auditor informtico
3. Apoyo a la estrategia del negocio.
El Entorno en Informtica
Las actividades de una organizacin afectan
sectores especficos de la sociedad; asimismo,
los hechos y actividades externas al negocio
tienen un grado de impacto en el mismo.
Tales hechos factores externos pueden ser:
Econmicos
Polticos
Culturales
Tecnolgicos
Sociales
Otros.
Los negocios definen estrategias de planeacin
con las que afrontar los factores externos, para
minimizar su impacto negativo o sacar ventaja
estratgica de los mismos.
La Auditora en informtica siendo un proceso
bsico de evaluacin y control en el uso de los
recursos tecnolgicos para el logro de las
estrategias; debe contemplar el entendimiento del
entorno del negocio como parte de sus actividades
primarias.
Entorno del negocio (ejemplos)
Factor Externo Acciones de la
empresa
Responsabilidad
del auditor
informtica
Comentarios
Adecuacin al
uso de nuevos
mercados (e-
commerce)
Es poltica de la
empresa la
expansin y
adaptacin de los
procedimientos y
recursos al uso de
nuevos mercados
Verificar que los
sistemas de
informacin
contemplen esta
disposicin de
manera formal y
oportuna
Emana como una
necesidad, dentro
de la globalizacin
Auge en el uso
de las
tecnologas de
comunicacin y
computacin
mviles
Se define como
estratgico que
exista una red
privada virtual entre
empresas y
entidades de la
organizacin por
este medio
Constatar que
exista un proyecto
de costo-beneficio
para desarrollar la
infraestructura
tecnologica e
implementar los
servicios de
computacin mvil
que se requieran
Con esta accin se
obtiene una ventaja
competitiva.
Permite una
integracin ms
eficiente entre las
entidades del
negocio.
Alinear TI con el Negocio
OPERACIONES DE TI
Como afectan los
cambios y las fallas de
TI al Negocio?
Cul es el impacto ?
Cul es el costo para
el negocio?
Operaciones del Negocio
Cmo los cambios
del Negocio afectan
los sistemas de TI
TI est listo y capaci-
tado para soportar las
iniciativas estratgicas
del negocio?
Impacto de
TI sobre el
Negocio
Impacto del
Negocio
en TI
No hay ms proyectos de TI , solo proyectos del Negocio
soportados por la Tecnologa
Adoptar una Perspectiva de Servicio
A : Focalizada en Servicios de TI
Soportando el Negocio
Servicios de TI
Prioridades
Del Negocio
Procesos de TI
De: Focalizada en los
Componentes de Tecnologa
El entorno en la informtica (I)
La funcin de informtica debe estructurar
sus servicios y proyectos con base en los
requerimientos especficos o estrategias del
negocio, apoyndose en el uso de TICs.
El auditor en informtica deber verificar la
existencia de un anlisis costo-beneficio y el
empleo de estndares en cada proyecto de
inversin orientado a la implementacin de
nueva tecnologa.
El entorno en la informtica (II)
Mantendr un proceso de seguimiento de los
recursos de tecnologa, metodologas, tcnicas,
procedimientos y polticas de informtica que
aseguren calidad y productividad en esta rea.
Las TICs estn desarrollando continuamente
soluciones ms eficientes; por lo que el rea
involucrada en su empleo, deber ejecutar las
acciones que aseguren el mejor uso de la
informacin, cumpliendo los requisitos de control
esperados: exactitud, totalidad, autorizacin,
actualizacin, etc. para brindar a la organizacin
resultados eficientes y de calidad.
Principales Controles fsicos y lgicos
Autenticidad.- Permiten verificar la identidad (Passwords, Firma digitale)
Exactitud.- Aseguran la coherencia de los datos (Validacin de campos,
Validacin de excesos)
Totalidad.- Evitan la omisin de registros as como garantizan la conclusin de
un proceso de envo (Conteo de registros, Cifras de control)
Redundancia.- Evitan la duplicidad de datos (Cancelacin de lotes, Verificacin
de secuencias)
Privacidad.- Aseguran la proteccin de los datos (Compactacin, Encriptacin)
Existencia.- Aseguran la disponibilidad de los datos (Bitcora de estados,
Mantenimiento de activos)
Proteccin de Activos.- Destruccin o corrupcin de informacin o del
hardware (Extintores, Passwords)
Efectividad.- Aseguran el logro de los objetivos (Encuestas de satisfaccin,
Medicin de niveles de servicio)
Eficiencia.- Aseguran uso ptimo de los recursos (Anlisis costo-beneficio)
En el entorno de la informtica se han desarrollado:
Mejores equipos de cmputo.
Lenguajes de programacin y aplicaciones
de Software ms flexibles y dinmicos.
Innovaciones tecnolgicas en redes y
telecomunicaciones.
Metodologas, tcnicas y herramientas para
la administracin de la funcin informtica y
la planeacin y desarrollo de sistemas.
Integracin de especialidades profesionales
en asociaciones reconocidas formalmente.
Concepto Caractersticas Impacto en el proceso de AI
Hardware
Servidores
Redes
Computadoras
porttiles
Impresoras
Dispositivos de
almacenamiento
Telecomunicaci
ones
- datos
- voz
- video
Permiten alimentar
procesar, generar,
transmitir y almacenar los
datos de los SI
(estratgicos, tcticos y
operativos del negocio)
El Hw sufre cambios de
manera dinmica, su
desempeo y perfoman-
ce han mejorado :
Almacenamiento
Procesamiento
Portabilidad
Escalabilidad
Conectividad
Otros
Utilizacin de los equipos
de computo para consulta,
captura, proceso y
generacin de reportes a fin
de evaluar y diagnosticar la
situacin de los sistemas.
Evaluacin de SI a travs
de accesos remotos y en
lnea.
Auditar cada tarea en el
lugar de los hechos,
Registrar y monitorear
gran cantidad de
actividades inherentes al
uso de TICs.
Concepto Caractersticas Impacto en el proceso de
auditoria en informtica
Software
Base y
Aplicado
(Herr. Gestin y
comunicacin)
Especializado
Auditora
Seguridad
Desempeo
CASE
Mtodo
Tcnicas
Herramientas
Son los elementos
lgicos
Permiten la sistemati-
zacin computacional
de los procesos de
negocio.
Se ha conseguido la
automatizacin de
actividades de
desarrollo de sistemas
a travs de las
computadoras y en
gran medida la
planeacin de
sistemas.
El personal de informtica,
programa rutinas de control y
evaluacin de procesos en los
sistemas o genera reprocesos
y respaldos de la informacin
por auditar.
El auditor en informtica
domina ambos campos
auditoria e informtica-, es el
enlace ideal para la evalua-
cin de SI y el uso eficiente de
todos los recursos, servicios y
productos de TICs en el
negocio.
Una organizacin, tambin esta afectada por
otros factores del entorno, por lo que se hace
necesario que la funcin de auditora en
informtica se mantenga actualizada y enterada
de los aspectos que rodean a los negocios.
Es necesario documentarse mediante:
lecturas de boletines, peridicos o revistas especia-
lizadas y acceso a BD nacionales e internacionales
participacin en conferencias, eventos y en asocia-
ciones especializadas
contacto permanente con proveedores lderes de
productos y servicios de la tecnologa informtica
anlisis permanente de los procesos bsicos de
negocio y de sus competidores clave.
En general, hay que considerar elementos formales para aplicar
oportunamente el cambio organizacional, cultural y tecnolgico,
que conlleve a facilitar el reposicionamiento y la competitividad del
negocio, tales como:
Planeacin estratgica
Evaluacin permanente de los procesos y flujos de datos.
Reingeniera de negocios, Investigacin de mercados.
Estudio y asimilacin del aspecto social, cultural, poltico,
econmico y tecnolgico del entorno.
Compromiso de todos los niveles de la empresa con la
calidad y satisfaccin del cliente.
Orientar los recursos a los procesos fundamentales del
negocio.
Considerar el recurso humano como la pieza clave de la
organizacin.
La Direccin de TI
CLIENTES
PRODUCTOS y SERVICIOS
Aplicativos
Infraestructura
TALENTOS (RrHh)
Bases de Datos
Relaciones
Aplicaciones
disponibles
Instalacin y
Soporte de
Infraestructura
Conocimiento

PROVEEDORES
TI

Stakeholders
Stakeholders
5 dimensiones
Alineamiento estratgico con el negocio
concordantes con visin, misin y lineamientos
estratgicos de la organizacin
Entrega de valor de acuerdo a intereses del cliente,
considerando costos, plazos y otras restricciones
Gestin de recursos
personas, aplicaciones, informacin, infraestructura
Gestin de riesgos
identificados, priorizados, cuantificados, comunicados
Gestin de rendimiento
medicin, seguimiento y mejora

Factores que propician la Auditora


Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando el
riesgo de toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.
Objetivos generales de la Auditora en
Informtica
Asegurar la integridad, confidencialidad y
confiabilidad de la informacin.
Minimizar existencias de riesgos en el
uso de Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad, utilidad, confianza, privacidad
y disponibilidad en el ambiente
informtico, as como tambin seguridad
del personal, los datos, el hardware, el
software y las instalaciones.
Objetivos generales de la Auditora en
Informtica
Incrementar la satisfaccin de los usuarios de
los sistemas informticos.
Capacitacin y educacin sobre controles en
los Sistemas y Tecnologas de Informacin.
Buscar una mejor relacin costo-beneficio de
los sistemas informticos y tomar decisiones
en cuanto a inversiones en TICs.
Objetivo del auditor en informtica al estudiar el
entorno y su impacto en el negocio
Evaluar y dar seguimiento oportuno a los
proyectos de auditoria en informtica
programados, enfocndose al control,
seguridad y auditora en contacto con las
TICs; con el fin de apoyar las estrategias del
negocio, considerando los factores externos e
internos que se relacionan con la organizacin.
Garantizar el apoyo directo a las estrategias
del negocio (i)
La Auditoria en informtica debe evitar la
interrupcin de las operaciones del negocio y al
mismo tiempo salvaguardar los activos
relacionados con las TICs.
Los auditores en informtica dirigirn la
participacin directa del personal y usuarios
involucrados durante el proceso de auditora.
Cada proyecto de la auditora se orienta al
cumplimiento de normas, procedimientos y
estndares -tanto de auditora como de
informtica-, comnmente aceptados.
Garantizar el apoyo directo a las estrategias
del negocio (ii)
El responsable de la funcin de auditora en
informtica ha de coordinar con:
la alta direccin (director o gerente general),
el responsable de la auditora tradicional
(operativa, administrativa, financiera, etc.), y
el responsable de informtica.
IV. ORGANIZACION
1. Estrategias y cursos de accin para la AI.
2. Estructura organizacional y funciones AI.
3. Administracin de la funcin de AI.
4. Elementos de la administracin.
5. Hacia una auditora informtica eficiente.
4.1 Estrategias y cursos de accin
para la funcin de AI
Estrategias.-
1. Formalizar la AI en la organizacin, mediante :
Documentos de justificacin para la Alta Direccin
Difusin de la AI en las reas relacionadas
Desarrollo del proceso de AI
2. Auditoria Permanente para garantizar a la Alta Direccin:
Polticas y procedimientos para el uso, eficiente y confiable
de los recursos de informtica.
Verificacin del uso adecuado de TICs.
Evaluacin y justificacin de los Pys Informticos.
Planeacin informtica orientada al plan de negocio.
Uso de Metodologas, Tcnicas, Herramientas.
Profesionalismo y productividad del personal
Apoyo a los objetivos del negocio
Cursos de Accin (i)
1. Alta Direccin, usuarios y personal deben ser conscientes de la necesidad
de AI para el uso eficiente de los recursos.
2. Formalizar un procedimiento que divulgue los planes, objetivos,
beneficios y reas de oportunidad de la AI.
3. Compromiso del personal y usuarios con el proyecto de AI.
4. Planeacin y desarrollo del proceso de AI :
Proyectos, Prioridades, Calidad/eficiencia
*Justificar expectativas: involucrar reas
*Planear detalladamente: responsables directos
*Responsable AI: Presentacin ejecutiva
*Reunin formal: Jefes de rea, exponer:
a) Antecedentes b) Justificacin c) Objetivos y alcances d)
Etapas e) Productos Terminados f) Fechas de Revisin formales e
informales g) Funciones y responsabilidades h) Costes-Beneficios
Cursos de Accin (ii)
5. Coordinar reuniones con los responsables e involucrados.
6. Ejecutar cada PY, de manera formal y oportuna.
7. Informes ejecutivos y detallados a la alta direccin.
8. Investigar, actualizar y formalizar la metodologa de AI:
considerar requerimientos, procedimientos y estndares.
9. Capacitar permanentemente al personal de AI.
10. Orientar los esfuerzos al objetivo del negocio.
4.2. Estructura Organizacional y
funciones de la AI
Ubicacin jerrquica de la funcin
1. La AI es independiente jerrquicamente: control y seguridad.
2. Apoyo y participacin de todas las reas
3. La AI se establece en un nivel Estratgico, nunca Operativo.
4. AI Externa: Seguimiento, coordinacin y apoyo alta direccin.
Tipos de estructuras donde se ubica la AI
1. En el alto nivel Organizacional
2. Se subordina jerrquicamente a una direccin
(administracion/informatica)
3. Objetivo de la Alta Direccin: Asegurar el desempeo oportuno
y eficiente de las actividades de AI.
Nivel Caracteristicas Ventajas Desventajas
Nivel
estrat
gico
1. Independencia
funcional
2. AI opera
estratgicamente.
3. Compromiso
permanente con la
alta direccin
4. Se halla en
instituciones
financieras y de
gobierno
5. Visin del negocio
1.Comunicacin formal y
permanente con alta
direccin
2.Apoyo y soporte
constante
3. Objetividad en el
desempeo de la funcin
4.Se establecen a nivel
directivo, las polticas,
controles y procedimien-
tos sugeridos por la
funcin de A I
1. Seguimiento de la
alta direccin al
desempeo de la
funcin, puede ser un
proceso complejo.
2. En gran parte de las
empresas no se acepta
la AI
3. Faltan profesionales
con experiencia y
capacidades requeri-
das para la funcin de
A I
Grado de soporte por parte de la funcin de auditoria en informtica ( i )
Nivel Caracteristicas Ventajas Desventajas
Nivel
tctico
1.No hay independencia
funcional respecto a
otras gerencias.
2.Se encuentra en
diversos sectores,
instituciones financieras,
gubernamentales,
industriales y educativo.
3.Limitada al estilo de
trabajo del nivel
superior al que le
reporta.
1. Funcin indispensable
para el cumplimiento de
polticas y procedimientos
de informtica en el
negocio.
2.Tiene contacto con los
responsables para la
toma de decisiones.
3.Existen asociaciones,
consultores y escuelas
profesionales que
impulsan la formalizacin
de la funcin.
1. Dbil compromiso y
soporte de la alta
direccin.
2. Porcentaje de
empresas que
considera importante
contar con una funcin
a este nivel es mnimo.
3. Faltan profesionales
con experiencia,
tcnicas y habilidades .
Grado de soporte por parte de la funcin de auditoria en informtica (ii)
Evaluacin, implantacin y verificacin del cumplimien-to
de los controles y procedimientos, para el uso eficiente de
los recursos y de la funcin de informtica
Evaluacin de las reas de riesgo de la funcin de
informtica y su justificacin con la alta direccin.
Elaborar un plan de auditoria en informtica en los plazos
determinados.
Obtener la aprobacin formal de los proyectos de AI y
difundirlos entre los involucrados para su compromiso.
Desarrollar la auditoria den informtica conforme normas y
polticas estandarizadas.
Administrar o ejecutar eficientemente los proyectos
contemplados en el plan de la auditoria en informtica.
Funciones de la Auditora en Informtica
Direccin de Informtica
Gerencia de
telecomunicaciones
Gerencia de auditoria
En informtica
Gerencia de
Desarrollo tecnolgico
Gerencia de
soporte tcnico
Jefatura de
telecomunicaciones
Consultores
Jefatura de auditoria
En informtica
Auditores en
informtica
Jefatura de desarrollo
de sistemas
de informacin
Consultores
ESTRUCTURA I
Soporte al director de informtica (estructura I)
ESTRUCTURA ORGANIZACIONAL DE LA AI
Direccin
Gerencia de
Informtica
Jefatura de desarrollo
tecnolgico
Jefatura de
soporte tcnico
Consultores analistas de
sistemas de
informacin, o ambos
Jefatura de
telecomunicaciones
Jefatura de auditoria
en informtica
Consultores de
telecomunicaciones
Auditores en
informtica
ESTRUCTURA II
Soporte directo a nivel gerencial de informtica (estructura II)
Direccin
Personal de apoyo
de auditoria en
informtica
Gerencia de
auditoria
Jefaturas de auditoria
Auditores
Gerencia de
informtica
Jefaturas de
informtica
(consultores)
Analistas y
programadores
(consultores)
ESTRUCTURA III
Asesora y soporte a la alta direccin (estructura III)
Direccin de
auditoria
Subdireccin de
auditoria
Despacho de
auditores en
informtica externos
Gerencia de
Auditoria
administrativa
Jefatura de auditoria
Auditores
Gerencia de
Auditoria financiera
Jefatura de auditoria
Auditores
ESTRUCTURA IV
Soporte directo a nivel gerencial de auditoria (estructura IV)
CLASES Y TIPOS DE AUDITORA INFORMTICA
Auditoria informtica como soporte a la auditoria tradicional,
financiera, etc.
Auditoria informtica con el concepto anterior, pero aadiendo la
funcin de auditoria de la funcin de gestin del entorno
informtico.
Auditoria informtica como funcin independiente, enfocada en
la situacin actual del entorno informtico, en aspectos de
seguridad y riesgo, eficiencia y veracidad e integridad.
Auditoria como funcin de control dentro de un Departamento de
sistemas
Organizacin de la funcin de auditora informtica
La funcin de Auditora Informtica pasa de ser una funcin
de apoyo a ser una funcin estratgica en beneficio del
negocio.
EL Auditor Informtico, es un auditor y consultor
empresarial, desempeandose como analista, auditor y
asesor en materia de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de negocios
La ubicacin del auditor informtico dentro de una
organizacin, debe estar ligada a la de la auditora interna
operativa y financiera, con independencia de objetivos,
planes de formacin y presupuesto.
La dependencia organizacional debe ser del mximo
responsable operativo de la organizacin.
El personal de Auditora Informtica, debe contemplar su
certificacin CISA o ISACA como auditor informtico.
Una organizacin interna tpica del rea de auditoria
informtica debera considerar:
Jefe de departamento
Gerente o supervisor de auditora informtica
Auditor informtico
El tamao del rea de AI se puede precisar un funcin de
los objetivos de la funcin.
Se podra considerar:
Especialista en el entorno informtico a auditar
Especialista en comunicacin y/o redes
Responsables de gestin de riesgos operativo y
aplicaciones
Responsables de la auditoria de sistemas de
informacin
Especialista para la elaboracin de programas de
trabajo conjuntos con la auditora administrativa
4.3 Administracin de la Funcin de
Auditoria en informtica
Garantiza que los recursos involucrados obedezcan los
principios bsicos de un proceso administrativo, como: la
planeacin, el personal , el control y el seguimiento del
desempeo.
Objetivos principales de la administracin de AI:
1. Cubrir y proteger los riesgos informticos
2. Asegurar los recursos sean orientados al logro de
objetivos
3. Asegurar la formulacin, elaboracin, difusin y
cumplimiento de las polticas, funciones y
procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el xito: Elaborar y formalizar planes, organizar
la funcin, dirigir, revisar y evaluar el desempeo.
Conocimiento o Habilidades requeridas para la
funcin de la Auditoria en informtica
Concepto Responsable de
Auditoria
Supervisor de
Auditoria
Auditor
Metodologa
Planeacin de sists
Alto Alto Bueno
Desarrollo de sists.
Mnimo Alto Alto
Tcnicas
Anlisis
1.Organizacional
Alto Alto Regular
2.Sistemas
Bueno Alto Alto
3.Computacional
Regular Bueno Alto
Diseo
1.Conceptual
Regular Alto Alto
2.Computacional
Mnimo Alto Alto
Costo/Beneficio Alto Alto Alto
Mod. Datos y Procesam. Mnimo Bueno Alto
Documentacin
1.Ejecutiva Alto Alto Bueno
2.Detallada Mnimo Bueno Alto
Entrevista Alto Alto Alto
Cuestionarios Bueno Alto Bueno
Controles , polticas y
estndares
Alto Alto Alto
reas de Especializac.
1. Redes y Comunicaciones Regular Bueno Alto
2. Ing. De Software Regular Bueno Alto
3. Base de Datos Regular Bueno Alto
4. Desarrollo Web Regular Bueno Alto
5.Otros Regular Bueno Alto
Habilidades/virtudes
1.Creatividad Bueno Bueno Bueno
2.Abstraccin Alto Bueno Bueno
3.Responsabilidad Alto Alto Alto
4.4 Elementos de la administracin de la funcin
de AI
Planificacin
1. Desarrollar una matriz de la planeacin de AI para
determinar las reas que sern evaluadas.
2. Tener informacin de los sistemas, equipos, Sw, planes de
informtica y de auditoria, actuales.
3. Coordinar los planes con Gerencia de Auditoria interna
4. Componentes de xito de la Planeacin:
*Juntas formales de discusin de planes peridicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitacin conjunta
*Metodologa, tcnicas y herramientas comunes.
Personal
1. Polticas de seleccin y reclutamiento
2. Preparacin suficiente y confiable Informtica/Auditora
3. Personal con experiencia, educacin, adaptabilidad, entendimiento,
determinacin y diligencia.
4. Establecer el nmero de auditores y horas de auditora
Control
1. Supervisin oportuna garantiza un producto consistente
2. Ayuda en el desarrollo y control de los presupuestos
3. Es un proceso continuo, desde la planeacin hasta el informe final
4. Verificacin con los estndares y procedimientos.
Reportes de desempeo
1. Herramientas muy importantes para evaluar:
Productividad y calidad de los proyectos
Resultados y Avances de los proyectos
reas susceptibles de control y seguimiento individual y de grupo.
ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (i)
Verificacin del control interno, tanto de las aplicaciones como de
los sistemas informticos, centrales y perifricos.
Anlisis de la gestin de los sistemas de informacin desde un
vista de riesgo de seguridad y de efectividad de la gestin.
Evaluacin de la integridad, fiabilidad y certeza de la
informacin, a travs del anlisis de las aplicaciones.
Anlisis del nivel de actualizacin de las TICs en la organizacin
Anlisis de la gestin de los riesgos de la informacin y de la seguridad
informtica.
Verificacin del nivel de continuidad de las operaciones
(campos de revisin : riesgo de la informacin, continuidad de las
operaciones, gestin del centro de informacin, efectividad y
actualizacin de las inversiones).
Diagnstico sobre la contribucin de las aplicaciones y recursos
a las necesidades estratgicas y operativas de informacin de la
organizacin.
el auditor interno debe convertirse en consultor y apoyo del
auditado, sugiriendo procedimientos de control interno, efectividad
y eficacia y medicin del riesgo empresarial.
ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (ii)
4.5 Hacia una Auditoria en Informtica
eficiente
Clave:
Conocimiento, habilidades y capacidades profesionales y
personales del auditor informtico.
Conocer tericamente normas, polticas y estndares de
auditora/informtica, no son garanta de seguridad y
confianza.
Experiencia: Prctica, Disciplina, Orden y Objetividad.
Facultades apropiadas de: anlisis objetivo, habilidades de
comunicacin y modelacin conceptual, observacin y
capacidad para tomar decisiones.
FUNCION DEL AUDITOR INFORMTICO
Un profesional dedicado al anlisis de sistemas
informticos, especializado en alguna de las ramas de
la auditoria informtica e integrado en las corrientes
organizacionales actuales.
Posee las caractersticas necesarias para actuar como
consultor.
Puede actuar como asesor de la organizacin en la
que est desarrollando su labor.
1. Formacin universitaria en informtica, que contemple
conocimientos en:
Desarrollo de sistemas de informacin
Gestin de sistemas.
Anlisis de riesgos informticos.
Sistemas operativos
Telecomunicaciones y Redes locales.
Gestin de base de datos.
Seguridad informtica
Operaciones y planificacin informtica.
Gestin de la seguridad de los sistemas de informacin.
Gestin de entornos y proyectos informticos.
Administracin de datos, ofimtica, herramientas web
Perfil profesional del auditor informtico (i)
1.
2. Dominio de las tcnicas de auditoria computacional.
3. Actuacin anterior en estudios de Auditora o en auditorias
internas.
4. Especializacin en funcin del entorno empresarial, gestion
del cambio, calidad total, la importancia econmica, etc.
5. Excepcionales condiciones personales para tratar con los
sectores auditados.
6. Comunicacin adecuada entre el auditado y el auditor.
7. Alta adaptacin a los cambios tecnolgicos y metodolgicos
Perfil profesional del auditor informtico (ii)
Tipos de Auditora
Auditora Interna
Auditora Externa
Auditora Externa
Es realizada por personas afines a la empresa auditada.
Se presupone una mayor objetividad y credibilidad que en la auditora
interna debido al distanciamiento entre auditores y auditados.
Se realiza una Auditora Externa porque:
Se necesita auditar un rea de gran especializacin,
para lo que los servicios propios no estn
suficientemente capacitados.
Se debe contrastar algn Informe interno en casos de
graves hallazgos o conclusiones que afecten la opinin
o situacin de la propia empresa.
Se desea tener una visin objetiva en relacin a
alguna situacin problematica, cada cierto tiempo,
como salvaguardar informacin o infraestructura
importante, inversin realizada en proyectos, etc.
Auditora Interna
Se realiza con recursos materiales y humanos que pertenecen
a la empresa auditada, por expresa decisin de esta.
Puede actuar peridicamente realizando revisiones globales,
como parte de su plan anual y de su actividad normal.
Si es realizada en forma eficiente y objetiva, su resultado y
recomendaciones beneficiarn el trabajo de los auditados,
dando como valor agregado un servicio de calidad mejorado
constantemente.
Ambos tipos de auditora deben estar ajenos a cualquier tipo de
intereses o tendencias sociales, polticas, de la misma empresa,
compaerismo, filiacin, etc.
Control
Los datos son de los recursos ms valiosos de las
organizaciones y, aunque intangibles, necesitan ser controlados
y auditados con el mismo cuidado que los dems activos.
Definicin : Controles son todos aquellos mecanismos
existentes dentro del sistema y de la organizacin, que tienen
como objetivo asegurar la veracidad e integridad de la
informacin que maneja el sistema tanto aquella que entra y
sale de l, como la que se almacena y se manipula
internamente dentro del proceso computacional.
Control Interno Informtico vs. Auditora Informtica
Anlisis de los controles
da a da.
Informa a la direccin informtica
Solo personal interno
Alcance de funciones solo
sobre el departamento informtico
Anlisis de un momento informtico
determinado
Informa a la direccin general de la
organizacin
Personal interno o externo
Cobertura sobre todos los componentes
de los sistemas informticos de la
organizacin
El personal debe estar altamente capacitado en lo que
concierne a las tecnologas de la informacin, verificacin del
cumplimiento de controles internos, normativas y
procedimientos establecidos por la gerencia para los sistemas
informticos.
Un buen control debe contar con las siguientes caractersticas:
Completo.
Simple.
Revisable.
Adecuado.
Fiable.
Actualizado.
Rentable .
CONTROL INTERNO Y
AUDITORIA INFORMATICA
Tipos de Controles Internos
En general, existen tres tipos de controles que es
posible implementar en un sistema:
Preventivos
Detectores o detectivos
Correctivos
Es necesario definir en qu etapas o procesos del
sistema es aplicable cada tipo de control, y qu
etapas es necesario controlar.
Tipos de Controles Internos
Preventivos : Evitar el hecho, por ejemplo,
los software de seguridad de acceso al
sistema.
Detectores : Poder detectar lo antes
posible fallas en el sistema, por ejemplo,
registro de actividad diaria.
Correctivos : Volver a un estado normal
despus de una falla, por ejemplo, el
mantenimiento de una BD con la rplica
existente de respaldo.
CLASES DE CONTROLES
Controles Generales
Controles de Aplicacin
Controles Especiales
Controles Generales
Definicin : Son los que se realizan para asegurar que la
organizacin y sistemas operen en forma normal.
Ejemplos :
Separacin de funciones.
Acceso y Seguridad.
Procedimientos escritos.
Controles sobre software de sistemas.
Control sobre la continuidad del procesamiento.
Control sobre el desarrollo y modificacin de sistemas.
Controles de Aplicacin
Definicin : Son los que se realizan para asegurar la
exactitud, integridad y validez de la informacin
procesada.
Ejemplos :
- Control sobre los datos de entrada.
- Control sobre los datos constantes o fijos.
- Control sobre el procesamiento.
- Control sobre los datos rechazados.
- Control sobre los datos de salida.
Controles Especiales
Definicin : Son los que se realizan para asegurar la integridad,
seguridad y aspectos operacionales.
Ejemplos :
- Control sobre la entrada de datos en lnea.
- Procedimientos de recuperacin y reestablecimiento de sistemas en
lnea.
- Control sobre la modificacin de programas.
- Control sobre el procesamiento distribuido.
- Control sobre sistemas integrados.
- Control sobre bases de datos.
PrincipalesControlesfsicosylgicosen
auditoras
Autenticidad
Permiten verificar la identidad
Passwords
Firmas digitales
Exactitud
Aseguran la coherencia de los datos
Validacin de campos
Validacin de excesos
Totalidad
Evitan la omisin de registros as como garantizan la conclusin de un
proceso de envio
Conteo de registros
Cifras de control
V. PLANEACIN
1. Proceso de planeacin del negocio.
2. Proceso de planeacin en informtica.
3. Proceso de planeacin de la auditora.
4. Proceso de planeacin de la auditora en
informtica.
Planeacin
La funcin de auditoria en informtica debe
generar un plan de proyectos que justifique su
trabajo durante cierto tiempo, con parmetros
lo ms tangibles y mensurables posibles.
Cada proyecto de A I, respalda los objetivos y
requerimientos de tres entidades del negocio:
Alta Direccin, Auditoria e Informtica.
La comunicacin entre la funcin de auditoria en informtica
y la alta direccin, as como las direcciones o gerencias de
auditoria o informtica, son muy importantes .
Para elaborar un plan maestro de auditoria que asegure un
apoyo permanente y eficiente, se debe:
Crear un comit de control y seguimiento
Analizar los proyectos de negocio en forma conjunta.
Establecer fechas de reuniones formales e informales
Proceso de Planeacin del Negocio
Consiste en establecer las metas y cursos de
accin del negocio, a travs de entrevistas y
del anlisis detallado de cada uno de los
procesos bsicos de la organizacin:
Empresa manufactura (produccin, ventas, rr. hh.,
administracin).
Institucin financiera (crditos, ahorros y RR.HH.).
Otras empresas con giros bien definidos.
Cualquier entidad, privada o pblica, de distintos
tamaos y estructura organizacional debe formalizar el
plan del negocio, ya que aqu se define el rumbo del
mismo.
Los proyectos que se deriven de este proceso deben
contemplar:
o Se involucre todas las reas del negocio.
o Se evale el medio externo en sus diferentes entornos.
o Se apoye en asesores externos o especialistas del
negocio.
o Detectar fortalezas, debilidades, amenaza y
oportunidades.
o Determinar metas y estrategias del negocio.
o Se establecen a corto, mediano y largo plazo.
o Son aprobados por los accionistas o responsables del
negocio.
Proceso de Planeacin en Informtica
Consiste en definir los proyectos
relacionados con el rea de informtica, a
corto, mediano y largo plazo.
Cada proyecto debe estar orientado a las
metas y estrategias especificas del negocio.
Actividades del proceso de planeacin en informtica y
responsabilidades
Comentarios Respons. de
seguimiento
Responsable de
ejecucin
Actividad
Funciones hechas
por el mismo
personal o
externos
Gerente o
Supervisores
Funciones de
informtica:
Desarrollo,
investigacin, otros
Ejecucin del plan
de informtica
Verificar el anlisis
costo-beneficio de
cada proyecto
Alta direccin del
negocio
Director o gerente
de informtica
Presentacin del
plan a la alta
direccin
Involucrarse en
cada tarea
Director o gerente
de informtica
Coordinador o
Supervisor de
planeacin de
informtica
Elaboracin del
plan de informtica
Las reas se
derivan del plan de
negocios
Director o gerente
de informtica
Coordinador o
Supervisor de
planeacin de
informtica
Determinacin de
las reas apoyadas
por informtica
Proceso de la Planeacin de la Auditoria
Definir un conjunto de proyectos de evaluacin y
verificacin de polticas, controles y procedimientos
inherentes a las reas administrativas, financieras,
operativas, etc. del negocio, con objeto de asegurar el
buen manejo y administracin de los recursos de la
organizacin.
Los diferentes planes emanados del plan de auditoria
son implantados y llevados a cabo en diferentes
periodos, de acuerdo con los requerimientos y
caractersticas del negocio.
Proceso de Planeacin de la Auditoria
Los negocios deben tener un conjunto de polticas,
emanadas por la alta direccin, que establezcan la
necesidad de contar con una funcin externa o
interna, que asegure la congruencia de todos los
estados financieros y contables con las operaciones y
transacciones que se realicen en la empresa.
Esta funcin a de ser un rea de control y
aseguramiento, entidad independiente y capacitada.
La funcin de auditoria se ocupa de la planeacin,
ejecucin y seguimiento de tales polticas, controles y
procedimientos.
Actividades del proceso de planeacin de la auditora y
responsabilidades
Proceso detallado de la Planeacin de la
Auditoria Informtica
Depende del diagnstico previo que haga el auditor en
informtica de la situacin que prevalece en cada una
de las reas o servicios de la funcin de informtica.
El diagnstico de la situacin informtica previo, deber
ser breve y objetivo.
El objetivo principal es determinar las reas de mayor
riesgo de la funcin de informtica con base a
diferentes criterios.
Actividades sugeridas para el proceso (i)
Elaboracin, Documentacin, Autorizacin y Difusin
Formal del Plan de Auditoria en Informtica.
Identificar el nivel de Riesgo de cada uno de los
elementos que integran la funcin de informtica
(diagnstico de la situacin actual).
Las reas a ser diagnosticadas pueden variar de
acuerdo al tamao y estructura del negocio.
Actividades sugeridas para el proceso (ii)
Algunos Servicios:
Sistemas de Informacin en operacin.
Administracin de Hardware y software.
Desarrollo de Sistemas de Informacin.
Soporte a Usuarios (capacitacin, asesora, etc.)
Administracin de Telecomunicaciones.
Investigacin y desarrollo tecnolgico.
Otros.
Actividades sugeridas para el proceso (iii)
Consideraciones a tener en cuenta para efectuar el
diagnstico de la situacin actual:
El auditor en informtica ha de conocer de manera
aceptable los aspectos relativos a auditora e
informtica que deben tener cada una de las reas
de Informtica.
Se apoyar en la visin de los principales Usuarios
del negocio y del responsable de Informtica.
Diagnostico de la Situacin actual de los SI en Operacin.
Obtener una lista de los principales SI y de sus
usuarios principales.
Obtener comentarios positivos y negativos de los
usuarios de cada SI.
Registrar fallas ms comunes del Sistema.
Anotar fecha de liberacin de Sistemas y su ltima
auditora.
Revisar la configuracin del equipo donde fue
instalado.
Estudiar su integracin a otros SI.
Evaluar otros aspectos de inters del auditor.
Debilidades que pueden motivar la Auditoria de un SI
Primero: Que el sistema no haya sido liberado
formalmente, lo que ocasiona
desconocimiento.
Segundo: Que el sistema nunca haya sido
auditado, esto sugiere una auditoria inmediata,
intermedia o final.
Clasificacin del Nivel de Riesgo que Representa el
Uso de Hw y Sw
Los SI y los datos deben ser procesados en un
ambiente tecnolgico confiable, seguro y eficiente.
Equipos o Aplicaciones de Sw.
Mantenimiento de la tecnologa del Equipo y Sw.
Diversos factores motivan la intensidad de la
auditoria de Hw.
Evaluacin del nivel de Riesgo que representa el uso
inadecuado de Productos y Servicios
Se refiere al grado de conocimiento sobre
uso de servicios, Sw y equipos.
Informacin de apoyo: Organigramas,
descripcin de puestos y polticas
relacionadas a productos y servicios de
informtica.
Se debe determinar el grado de confianza
del usuario con el manejo del sistema,
paquetes de Sw y equipos.
Otros Aspectos: Telecomunicaciones, redes,
automatizacin de procesos.
Estos se evalan en base a los estndares
establecidos.
Considerar la proyeccin de uso que piensa
darle el negocio a corto, mediano y largo
plazo.
Tener en cuenta comentarios de personal
especializado en el rea.
Clasificacin de Riesgos segn criterios de la Funcin
de Auditoria en Informtica
Cumplimiento de Estndares.
Cumplimiento formal de polticas y
procedimientos.
Grado de Satisfaccin: Alta Direccin y
personal usuario.
Prioridades de la alta direccin.
Prioridades de la funcin de auditoria en
informtica.
Otros de inters del auditor.
Elaboracin de una matriz de Riesgos
Muestra las reas de la funcin de
informtica susceptibles de auditoria.
Resultados en forma descendente.
Entidades o reas con mayor y menor
riesgo.
Elaboracin de un Plan consolidado de Proyectos.
Considera:
Fechas de inicio y final de cada Auditoria.
Etapas de cada auditoria.
Tareas principales de cada etapa.
Equipo de Trabajo (auditor, representantes, )
Requerimientos (recursos, apoyo, capacitacin, ...)
Revisin de la Matriz de Riesgos
Pronosticar proyectos de auditoria en
informtica con la gerencia.
Visto bueno antes de presentarlo a la alta
direccin.
Se cubren los siguientes Aspectos:
rea por auditar, prioridad, Fechas de
inicio y final, involucrados, responsables,
fechas de revisin y otros.
Presentacin del plan de proyectos a la alta
direccin.
Finalidad:
Conocer los proyectos de auditoria informtica.
Verificar la consideracin de reas fundamentales.
Compromiso de la alta direccin con los auditores.
Obtener la aprobacin del plan de auditoria en
informtica por parte de la alta direccin.
Realizacin de cada proyecto de acuerdo con el plan
de Auditoria en Informtica.
Ejecucin de actividades de seguimiento.
Revisin formal de cada proyecto.
Integracin y formalizacin de Equipos de trabajo.
Equipos Integrados por:
Gerente (s) de las reas usuarias que se evaluarn.
Gerente de la Funcin de Informtica.
Lder del proyecto de la funcin de AI.
Aprobacin formal de la alta direccin, del informe
final de la auditora en informtica realizada
Se dar seguimiento oportuno y formal a cada una
de las recomendaciones contempladas en dicho
informe
Se aplicarn polticas y controles estandarizados a
nivel internacional.
La implantacin del proceso de planeacin en
auditora en informtica, ser permanente.
Tipo de Proyectos Responsables Involucrados
Negocio
Adquirir empresas Accionistas Gobierno, asesores
Reduccin de costos Directores Gerencias, asesores
Reingeniera Accionistas, directores Asesores, gerencias,
clientes y proveedores
Informtica
Automatizacin de
oficinas
Informtica Proveedores, reas
usuarias
Red Local Informtica Proveedores, usuarios
de la red
Desarrollo de
sistemas
Informtica reas usuarias,
asesores
Tipo de proyectos, responsables e involucrados
Tipo de Proyectos Responsables Involucrados
Auditora
Financiera Auditores internos o
externos
reas de la empresa
Fiscal Auditores internos o
externos
reas de la empresa
Operativa Auditores internos o
externos
reas de la empresa
Auditora en informtica
Auditora a sistemas de
informacin
Auditores en
informtica internos o
auditores externos
Informtica, usuarios de
los sistemas de
informacin
Auditora en seguridad Auditores en
informtica internos o
auditores externos
Informtica, reas
usuarios de los
recursos de informtica
Auditora en el
mantenimiento de Hw y
Sw
Auditores en
informtica internos o
auditores externos
reas de operacin
informtica y reas
usuarias
Planeacin de la AI
Un proceso formal contiene los siguientes elementos:
Etapas
Tareas
Actividades
Costos/Beneficios
Resultados esperados por actividad, tarea y etapa
Responsables de cada actividad tarea
Involucrados participantes
Revisiones Formales e informales
Tcnicas para ejecutar actividades
Herramientas para realizar las actividades
Planeacin de la AI
Requisitos mnimos para que la planeacin
en auditora informtica sea formal,
permanente y exitosa:
Involucramiento directo del auditor en informtica en el proceso de
planeacin estratgica
Requerimientos
Tiempos
Prioridades de cada proyecto
Compromiso del responsable de auditora para implementar un
esquema de control y seguridad preventivo y completo.
Planeacin de la AI
Participacin en el proceso de planeacin de
auditora tradicional, para hacer control y medidas
correctivas.
Beneficios de la participacin, supresin:
Riesgos de no planear la auditora
Responsables de tareas inadecuados
Falta de compromiso de los involucrados en el
proyecto
Aparicin de costos imprevistos
Retrasos en la obtencin de beneficios
Mala calidad en los resultados
Rotacin del personal clave
Inadecuada segregacin de tareas y
actividades, Etc.
Dimensiones del Trabajo del Auditor
Informtico - 1
Revisin de Controles de las Aplicaciones (19%)
Determinar que los sistemas producen la informacin a tiempo, exacta y
completa
Revisin de Integridad de Datos (13%)
Complecin, consistencia y exactitud
Revisin de C.V. de Desarrollo (5%)
Determinar la adherencia a los estndares de CV de desarrollo aceptados
Revisin de Controles Generales de los Procedimientos Operacionales
(12%)
Determinar que las aplicaciones se procesan en un entorno controlado
Revisin de Seguridad (14%)
Asegurar la proteccin adecuada de los programas, de los datos y de la
instalacin de procesamiento de datos
Dimensiones del Trabajo del Auditor
Informtico - 2
Revisin Software de los Sistemas (5%)
Determinar el cumplimiento con las polticas de la organizacin
Revisin de Mantenimiento (6%)
Determinar que los sistemas se han modificado de acuerdo con las polticas
de la organizacin
Revisin de Adquisicin (3%)
Determinar que los recursos de la organizacin se estn utilizando de forma
econmica
Revisin de la Gestin de Recursos del Procesamiento de
Datos (5%)
Determinar su adecuacin en el cumplimiento de los objetivos organizativos
Gestin de Auditora Informtica (9%)
Utilizar de forma efectiva los recursos disponibles de la funcin de la
auditora informtica y para cumplir el requisito de auditora informtica de
la organizacin
EVOLUCIN DE S.T. I.
PROVEEDOR DE
TECNOLOGA
V
A
L
O
R

P
A
R
A

L
A

E
M
P
R
E
S
A
PROVEEDOR DE
SERVICIOS
SOCIO
TECNOLGICO
MADUREZ DEL SERVICIO
STI DEBER FOCALIZAR SU ESFUERZO, COMO CUALQUIER EMPRESA DE
SERVICIOS, EN LOS 3 NIVELES BSICOS DE SU GESTIN:
INFRAESTRUCTURAS
SERVICIOS
VALOR
ALINEAMIENTO
CON EL NEGOCIO
POR QU DE LA GESTIN DE S.T.I. COMO UN NEGOCIO
ESTRATEGIA ORGANIZACIONAL
OBJETIVOS del NEGOCIO
MISION
OPERACIONES
en CURSO
Actividades
recurrentes
PORTAFOLIO
Planific.
Gestin
OPERACIONES
Planific.
Gestin
PROGRAMAS
y PROYECTOS
autorizados
Actividades de
proyectos
VISION
Producen
valor
Aumentan capacidad de
producir valor
Productos y Servicios
Generacin
Soporte, Mantenimiento
Operacin
Proyectos Productos y
Servicios
Generan valor
Productos
Servicios
Resultados
Aumentan
capacidad de
producir valor
SI/TI
SER . innovadores,
soporte,
OFRECER .
Demanda, beneficios
Planes, organizacin,
direccin de produccin y
soporte, y de proyectos
Soporte, helpdesk,
instalar, mantener,
desarrollar, ..
QU
CMO
ACCIN
PARA QU
Probables escenarios de la funcin de auditoria en informtica
rea
supeditada
Consideraciones
de la funcin
Ventajas Desventajas
Direccin o
Gerencia de
auditoria
Independiente de
la funcin
informtica
Integracin de los
controles y polticas
de informtica al
resto
Objetividad en el
desempeo
Planeacin y
desarrollo conjunto
de auditoras
Control y seguimien-
to de recursos.
No aceptacin de
la evaluacin
Puede desconocer
el alcance y misin
del rea
informtica.
Direccin o
Gerencia de
informtica
Dependencia
funcional con el
Director
Director:
Negociador /
impulsador de la AI
Se facilita apoyo
Concientizacin
polticas y control
Conocimiento
proyecto
Incertidumbre por
los problemas de la
funcin informtica.
Enfoque limitante.
i
Probables escenarios de la funcin de auditoria en informtica
rea
supeditada
Consideraciones
de la funcin
Ventajas Desventajas
Personal de
Apoyo de la
Direccin
General
Responsable:
visin negocio
Compromiso,
valor agregado
Funcin
estratgica
Apoyo Alta
direccin
Compromiso
formal de las reas
Justifica perfil AI
Alta direccin autoriza
y da seguimiento al
desempeo informtico
Orientan los proyectos
Informticos.
Funcin de AI
Externa
Coordina Alta
Direccin
Amplia
experiencia
Evaluar su
desempeo
Tcnicas y
estandares
Nivel profesional+
Independencia/ti
ca
Exige resultados
Fugas de informacin
Mayor costo y tiempo
Soluciones no
adecuadas
Compromiso Formal
Resumen i
Las empresas han tenido durante un tiempo
relativamente corto una transicin de duros cambios,
como son los de pasar de un enfoque (operativo)
totalmente manual a otro parcial o ntegramente
sistematizado.
La toma de decisiones hace que una empresa sea
lder o una ms del montn, es por ello que se
necesita de un flujo de informacin mucho ms
dinmico y en lnea; para posibilitar tomar una
decisin correcta en el momento adecuado.
La manera de tomar una decisin dejo de ser un
proceso intuitivo y basado en la experiencia; para estar
basado en una slida base, fruto de la adecuada
informacin al alcance de los niveles estratgicos,
medios y operativo de un negocio.
La administracin de toda esta informacin permitir
encaminar adecuadamente la organizacin y llevar a
cabo cambios para su mejora; con el uso de enfoques,
herramientas y tcnicas existentes, tales como
reingeniera o gestin del conocimiento.
Resumen ii
Dado que vivimos ante una comunidad global, la
tecnologa informtica y su adecuado tratamiento es
pieza clave que debe de ayudarnos a ser miembros
dinmicos de esta.
En este punto el perfil del Auditor de Sistemas se
encargar de mantener las metas del negocio basadas
en la tecnologa.
Estas metas son: ser lder, mantenerse en el mercado o
crecer a corto o mediano plazo a travs de la eficiencia
de los recursos y la especializacin del personal con un
enfoque claro de servicio al cliente.
Resumen iii
Las metas relacionadas con la seguridad y control de la
infraestructura tecnolgica de las empresas y los canales de
informacin carecen, en su mayora, de un responsable directo.
Qu ocurre con la proteccin de los recursos una vez realizada cada
inversin en informtica?
Quin implantar y revisar los controles de la informacin
alimentada, procesada, almacenada y distribuida por medio de los
recursos tecnolgicos?
Quin ser el facilitador entre lo que debe de ser y lo que se esta
haciendo en cuanto a controles preventivos y correctivos que brinden la
confianza en la toma de decisiones que emana de los sistemas de
informacin?
Quin proporcionar y dar seguimiento formal a la formulacin,
elaboracin, difusin implementacin y mejora del plan total de
informtica?
Resumen iv
No existe una respuesta clara a esas interrogantes por
parte de muchos gerentes.
Las funciones de prevencin y aseguramiento de la calidad
normalmentte se dejan de lado en nuestros pases; a
excepcin de grandes corporaciones o el estado en algunos
casos.
La gran mayora de las medianas empresas no tienen un
compromiso claro con el control permanente y la calidad
de la empresa. (i.e. dedicando una gerencia a ello, o agrega
un rea de control de calidad)
Resumen v
Es imperativo formalizar una funcin que revise, evalu
y recomiende acciones de mejora para lograr que cada
recurso de informtica contribuya a conseguir los
objetivos de auditoria en cuanto a informacin:
Totalidad
Exactitud
Oportunidad
Actualizacin Oportuna
Autorizacin de las transacciones
Seguridad
Finalmente, es importante sealar que para tener una
estructura de auditoria informtica eficiente y acorde
con las necesidades del negocio, se debe considerar la
organizacin de otras dos reas que sern su punto de
referencia: AUDITORIA E INFORMATICA
Resumen vi
Auditora
Tareas
Proyectos de revisin a sistemas de informacin
Apoyo requerido para el uso de la informtica en las
funciones de evaluacin y control
Proyectos
Otros
Informtica
Servicios
Puestos
Funciones
Equipos de Computo
Redes y Comunicaciones
Aplicaciones y Desarrollo de Sistemas
Proyectos a corto y mediano plazo
Resumen vii
Resumen viii
La auditora informtica no es un concepto reciente sino data
desde tiempos remotos.
El auditor informtico no solo puede realizar auditora
informtica sino tambin auditora de apoyo en otras reas,
como la financiera, donde haya flujo de informacin.
La funcin de auditor informtico requiere de competencias
especializadas en la funcin informtica, conocimientos de
auditoria y de gestin empresarial.
Actividades del proceso de planeacin del negocio
y responsabilidades
Comentarios Respons. de
seguimiento
Responsable de
ejecucin
Actividad
Cada rea ejecuta
los proyectos
Alta direccin o
gerente de
planeacin
Gerente o
coordinadores de
cada rea o
proceso bsico del
negocio.
Ejecucin del plan
de negocio
Se realice al inicio del
periodo fiscal y se
autoriza formalmente
Accionistas o alta
direccin del
negocio
Director o gerente
de planeacin
Presentacin del
plan a los
accionistas o
director general
Cada proyecto
justifica su
inversin
Alta direccin o
director de
planeacin
Gerente o
coordinador de
planeacin
Elaboracin del
plan del negocio
FODA, y proyectos
de cada rea del
negocio.
Alta direccin o
director de
planeacin
Gerente o
coordinador de
planeacin
Determinacin de
las reas de
oportunidad para
el negocio.
El periodo de elaboracin o actualizacin del plan de
negocio depende de las estrategias y formalidades que
tenga este proceso en cada negocio.
Despus de haber sido aprobado de manera formal por
los accionistas, se debe ejecutar con eficiencia y
actualizar al menos cada ao; de acuerdo con las
estrategias y metas del negocio y autorizado por la alta
direccin.
Resumen
El Proceso de Planeacin es el pilar de todas las
actividades que se ejecutan en la organizacin
Prdidas Irreparables - Decepciones
Planear es una prdida de tiempo y un recipiente
de buenos deseos.
Si no se planea el trabajo, es lgico pensar que
tampoco se planean las anomalas y decepciones
que dicho trabajo acarrear.
Resumen ii
Problema, proyectos mediano-largo plazo:
Falta de definicin de funcin, responsabilidad,
tiempos y resultados.
Dejemos de depender de la buena suerte
No se vive de buenos deseos sino de metas claras,
medibles y factibles.
Principal Beneficio: Poder asegurar, con alto
grado de credibilidad, cunto invertir y cunto se
obtendr de beneficio; plazos claros y
establecidos.