You are on page 1of 134

AUDITORIA DE

SISTEMAS
AUDITORIA EN INFORMATICA

Antecedentes
Terminologa
Referencias
Antecedentes
Inicialmente la informtica apoy las reas de
contabilidad, nminas, etc., lo que origin la
necesidad de conocer y medir dicho apoyo a
estas reas y a toda la empresa.
-> Se origina el proceso de la auditora a
sistemas de informacin o auditoria de sistemas.

Luego cubri las reas de negocio en todos los


niveles, por medio de productos y servicios
variados, con el uso de computadoras
personales, redes locales, telecomunicaciones y
una diversidad de componentes de tecnologa,
contribuyendo con la integracin empresarial.
Estado actual
Todas las actividades de la sociedad buscan
apoyarse en la tecnologa informtica.
El control y seguridad de los recursos de
informtica es una necesidad creciente.

La Informtica se enfoc hacia la


sistematizacin de las reas de un negocio.
(Tecnologas y Sistemas de Informacin).
Tendencia a obtener una solucin integrada y
actualizada.
Las entidades deben contar con controles,
polticas y procedimientos que aseguren a
los niveles directivos, que los recursos
humanos, materiales y financieros estn
adecuadamente orientados a la
rentabilidad y competitividad del negocio.

La improductividad, mal servicio y


carencia de soluciones totales de la
funcin informtica, fueron, son y seguirn
siendo mal de muchas organizaciones.
Qu se espera de Informtica?
SATISFACCIN de la demanda de
SISTEMAS y TECNOLOGIAS de
INFORMACIN

Personas
Datos
Aplicativos
Tecnologa
(Hard., Soft., BD, Comunics.)
Procesos

La Direccin de TI
Problemas:
Debilidades en la planeacin del negocio (informtica)
Resultados negativos (improductividad, duplicidad de
funciones, etc) de los SI (Desarrollo, Mantenimiento.
Operacin).
Falta de actualizacin de personal informtico.
Capacitacin deficiente de los usuarios de los SI
Deficiente involucramiento de los usuarios en el
desarrollo e implantaciones de soluciones informticas.
Administracin deficiente de los proyectos (Falta de un
proceso de anlisis costo/beneficio, metodologas de
planeacin y desarrollo no estandarizadas, poco uso
de tcnicas formales, falta proceso formal de
planeacin)
Involucramiento mnimo de la alta direccin
Importancia de la
auditoria en informtica
La tecnologa informtica es una herramienta
que brinda rentabilidad y ventaja competitiva;
pero puede originar costos y desventajas si no
es bien llevada.
Cmo saber si se est administrando y
dirigiendo de manera correcta la funcin
informtica?
Es necesario auditar o evaluar la funcin de
informtica?
Quines lo haran?.
La solucin es realizar evaluaciones oportunas
y completas de la funcin informtica, a cargo
de personal calificado (consultores externos,
auditores en informtica).
La funcin informtica se ha convertido en una
herramienta permanente y necesaria, en un
aliado confiable y oportuno, de los procesos
principales de los negocios.
Es posible auditar la funcin informtica, si se
implementan los controles y esquemas de
seguridad requeridos para su aprovechamiento
ptimo.
=> Evaluar, formal y peridicamente, la funcin
de informtica integrada al proceso de negocios.

La funcin del auditor no es ser un polica; se


orienta a ser un punto de control, confianza
y un facilitador de soluciones.

Orientacin del auditor:

Conducir a la empresa a la bsqueda


permanente de la salud ptima de los recursos
de informtica y de todos los elementos
relacionados con ella.
II. Terminologa
de la
auditoria en informtica
Informtica
Campo que se encarga del estudio y aplicacin prctica de la
tecnologa, mtodos, tcnicas y herramientas relacionados con
las computadoras y el manejo de la informacin por medios
electrnicos.

Se divide en grandes ramas o se integra a otros elementos


tecnolgicos y administrativos para fortalecer las empresas.

Sistemas de informacin
Redes y comunicaciones
Bases de datos
Desarrollo de sistemas
Soporte a usuarios
Planeacin informtica
Investigacin de nuevas tecnologas
Sistemas de Informacin:
Conjunto de mdulos computacionales organizados e
interrelacionados de manera formal para la administracin
y uso eficiente de todos los recursos (humanos,
materiales, tecnolgicos, etc.) de un rea de la empresa
(manufactura, administracin, direccin, etc.); para
representar los procesos reales y orientar los
procedimientos, polticas y funciones inherentes al logro
eficientemente las metas y objetivos del negocio.
Pueden orientarse al apoyo de:
Niveles operativos.
Niveles tcticos.
Niveles estratgicos.

Sistemas de Informacin Estratgicos:


Proporcionan a la alta direccin una serie de parmetros y
acciones encaminadas a la toma de decisiones que apoyarn
en el seguimiento de la rentabilidad y eficiencia respecto de la
competencia.
Metodologa: Conjunto de etapas estructuradas de
manera que brinden a los interesados los parmetros
de accin, en el desarrollo de sus proyectos,
siguientes:
Plan general y detallado, tareas y acciones, tiempos,
aseguramiento de calidad, involucrados, etapas,
revisiones, responsables, recursos, etc.
Tcnicas: Procedimientos y pasos ordenados que se
usan en el desarrollo de un proyecto con el propsito
de finalizar las etapas definidas en el procesos
metodolgico, tales como: Anlisis de sistemas, Diseo de
sistemas, Anlisis costo beneficio, Grficas de control
tiempos, etc.
Herramientas: Elementos fsicos utilizados para llevar
a cabo las acciones y pasos definidos en la tcnica.
Auditoria
Proceso formal y necesario para las empresas con el fin de
asegurar que todos sus activos sean protegidos
adecuadamente.
Conjunto de tareas realizadas por un especialista para la
evaluacin o revisin de polticas y procedimientos
relacionados con las reas Administrativa, Financiera,
Operativa, Informtica y/o de gestin de una empresa.
Tareas:
Estudiar y actualizar permanentemente las reas
susceptibles de revisin
Apegarse a las normas, polticas, procedimientos y
tcnicas de auditoria establecidas por los organismos
aceptados a nivel internacional.
Evaluacin y verificacin de las reas requeridas, por la
alta direccin o responsables directos del negocio.
Elaboracin del informe (debilidades y recomendaciones).
Auditoria en informtica
Proceso formal ejecutado por especialistas del rea de auditoria y de
informtica; orientado a la verificacin y aseguramiento de que las
polticas y procedimientos establecidos para el manejo y uso adecuado
de la tecnologa informtica, se lleven a cabo de forma oportuna y
eficiente.

Actividades ejecutadas por profesionales del rea de informtica y


auditoria para evaluar el grado de cumplimiento de polticas controles y
procedimientos correspondientes al uso de recursos de informtica;
asegurando que operen en un ambiente de seguridad y control eficientes.

Proceso metodolgico cuyo propsito principal es evaluar todos los


recursos (humanos, financieros, tecnolgicos, etc.) relacionados con la
funcin de informtica, para garantizar al negocio que stos operan con
criterios de integracin y desempeo altamente satisfactorios, que
apoyen la productividad y rentabilidad de la organizacin.
III. La Auditora en
informtica y su entorno
1. Entorno en Informtica.
2. Objetivos auditor informtico
3. Apoyo a la estrategia del negocio.
El Entorno en Informtica
Las actividades de una organizacin afectan
sectores especficos de la sociedad; asimismo,
los hechos y actividades externas al negocio
tienen un grado de impacto en el mismo.
Tales hechos factores externos pueden ser:
Econmicos
Polticos
Culturales
Tecnolgicos
Sociales
Otros.
Los negocios definen estrategias de planeacin
con las que afrontar los factores externos, para
minimizar su impacto negativo o sacar ventaja
estratgica de los mismos.

La Auditora en informtica siendo un proceso


bsico de evaluacin y control en el uso de los
recursos tecnolgicos para el logro de las
estrategias; debe contemplar el entendimiento del
entorno del negocio como parte de sus
actividades primarias.
Entorno del negocio (ejemplos)
Factor Externo Acciones de la Responsabilidad Comentarios
empresa del auditor
informtica
Adecuacin al Es poltica de la Verificar que los Emana como una
uso de nuevos empresa la sistemas de necesidad, dentro
mercados (e- expansin y informacin de la globalizacin
commerce) adaptacin de los contemplen esta
procedimientos y disposicin de
recursos al uso de manera formal y
nuevos mercados oportuna
Auge en el uso Se define como Constatar que Con esta accin se
de las estratgico que exista un proyecto obtiene una ventaja
tecnologas de exista una red de costo-beneficio competitiva.
comunicacin y privada virtual entre para desarrollar la Permite una
computacin empresas y infraestructura integracin ms
mviles entidades de la tecnologica e eficiente entre las
organizacin por implementar los entidades del
este medio servicios de negocio.
computacin mvil
que se requieran
Alinear TI con el Negocio

OPERACIONES DE TI Operaciones del Negocio

Como afectan los Cmo los cambios


cambios y las fallas de del Negocio afectan
TI al Negocio? los sistemas de TI
Impacto del Impacto de
Cul es el impacto ? Negocio TI sobre el TI est listo y capaci-
en TI Negocio tado para soportar las
Cul es el costo para iniciativas estratgicas
el negocio? del negocio?

No hay ms proyectos de TI , solo proyectos del Negocio


soportados por la Tecnologa
Adoptar una Perspectiva de Servicio
A : Focalizada en Servicios de TI
Soportando el Negocio

Servicios de TI
Prioridades
Del Negocio

De: Focalizada en los


Procesos de TI
Componentes de Tecnologa
El entorno en la informtica (I)
La funcin de informtica debe estructurar
sus servicios y proyectos con base en los
requerimientos especficos o estrategias del
negocio, apoyndose en el uso de TICs.
El auditor en informtica deber verificar la
existencia de un anlisis costo-beneficio y el
empleo de estndares en cada proyecto de
inversin orientado a la implementacin de
nueva tecnologa.
El entorno en la informtica (II)
Mantendr un proceso de seguimiento de los
recursos de tecnologa, metodologas, tcnicas,
procedimientos y polticas de informtica que
aseguren calidad y productividad en esta rea.
Las TICs estn desarrollando continuamente
soluciones ms eficientes; por lo que el rea
involucrada en su empleo, deber ejecutar las
acciones que aseguren el mejor uso de la
informacin, cumpliendo los requisitos de
control esperados: exactitud, totalidad,
autorizacin, actualizacin, etc. para brindar a la
organizacin resultados eficientes y de calidad.
Principales Controles fsicos y lgicos
Autenticidad.- Permiten verificar la identidad (Passwords, Firma digitale)
Exactitud.- Aseguran la coherencia de los datos (Validacin de campos, Validacin
de excesos)
Totalidad.- Evitan la omisin de registros as como garantizan la conclusin de un
proceso de envo (Conteo de registros, Cifras de control)
Redundancia.- Evitan la duplicidad de datos (Cancelacin de lotes, Verificacin de
secuencias)
Privacidad.- Aseguran la proteccin de los datos (Compactacin, Encriptacin)
Existencia.- Aseguran la disponibilidad de los datos (Bitcora de estados,
Mantenimiento de activos)
Proteccin de Activos.- Destruccin o corrupcin de informacin o del hardware
(Extintores, Passwords)
Efectividad.- Aseguran el logro de los objetivos (Encuestas de satisfaccin,
Medicin de niveles de servicio)
Eficiencia.- Aseguran uso ptimo de los recursos (Anlisis costo-beneficio)
En el entorno de la informtica se han
desarrollado:
Mejores equipos de cmputo.
Lenguajes de programacin y aplicaciones
de Software ms flexibles y dinmicos.
Innovaciones tecnolgicas en redes y
telecomunicaciones.
Metodologas, tcnicas y herramientas para
la administracin de la funcin informtica y
la planeacin y desarrollo de sistemas.
Integracin de especialidades profesionales
en asociaciones reconocidas formalmente.
Concepto Caractersticas Impacto en el proceso de AI
Hardware Permiten alimentar Utilizacin de los equipos
procesar, generar, de computo para consulta,
Servidores transmitir y almacenar los captura, proceso y
Redes datos de los SI generacin de reportes a fin
Computadoras (estratgicos, tcticos y de evaluar y diagnosticar la
operativos del negocio) situacin de los sistemas.
porttiles
Impresoras El Hw sufre cambios de Evaluacin de SI a travs
manera dinmica, su de accesos remotos y en
Dispositivos de
desempeo y perfoman- lnea.
almacenamiento ce han mejorado :
Auditar cada tarea en el
Telecomunicaci Almacenamiento
lugar de los hechos,
ones Procesamiento
- datos Portabilidad Registrar y monitorear
- voz Escalabilidad gran cantidad de
- video Conectividad actividades inherentes al
Otros uso de TICs.
Concepto Caractersticas Impacto en el proceso de
auditoria en informtica
Software Son los elementos El personal de informtica,
Base y lgicos programa rutinas de control y
Aplicado Permiten la sistemati- evaluacin de procesos en los
(Herr. Gestin y zacin computacional sistemas o genera reprocesos
comunicacin) de los procesos de y respaldos de la informacin
negocio. por auditar.
Especializado Se ha conseguido la
Auditora automatizacin de El auditor en informtica
Seguridad actividades de domina ambos campos
Desempeo desarrollo de sistemas auditoria e informtica-, es el
CASE a travs de las enlace ideal para la evalua-
Mtodo computadoras y en cin de SI y el uso eficiente de
Tcnicas gran medida la todos los recursos, servicios y
Herramientas planeacin de productos de TICs en el
sistemas. negocio.
Una organizacin, tambin esta afectada por
otros factores del entorno, por lo que se hace
necesario que la funcin de auditora en
informtica se mantenga actualizada y enterada
de los aspectos que rodean a los negocios.
Es necesario documentarse mediante:
lecturas de boletines, peridicos o revistas especia-
lizadas y acceso a BD nacionales e internacionales
participacin en conferencias, eventos y en asocia-
ciones especializadas
contacto permanente con proveedores lderes de
productos y servicios de la tecnologa informtica
anlisis permanente de los procesos bsicos de
negocio y de sus competidores clave.
En general, hay que considerar elementos formales para aplicar
oportunamente el cambio organizacional, cultural y tecnolgico,
que conlleve a facilitar el reposicionamiento y la competitividad del
negocio, tales como:

Planeacin estratgica
Evaluacin permanente de los procesos y flujos de datos.
Reingeniera de negocios, Investigacin de mercados.
Estudio y asimilacin del aspecto social, cultural, poltico,
econmico y tecnolgico del entorno.
Compromiso de todos los niveles de la empresa con la
calidad y satisfaccin del cliente.
Orientar los recursos a los procesos fundamentales del
negocio.
Considerar el recurso humano como la pieza clave de la
organizacin.
La Direccin de TI
TI PRODUCTOS y SERVICIOS

Aplicativos
Infraestructura
TALENTOS (RrHh)
Bases de Datos
CLIENTES
Stakeholders
Relaciones
Aplicaciones
disponibles
Instalacin y
Soporte de
PROVEEDORES Infraestructura
Conocimiento
Stakeholders
5 dimensiones
Alineamiento estratgico con el negocio
concordantes con visin, misin y lineamientos
estratgicos de la organizacin

Entrega de valor de acuerdo a intereses del cliente,


considerando costos, plazos y otras restricciones

Gestin de recursos
personas, aplicaciones, informacin, infraestructura

Gestin de rendimiento
medicin, seguimiento y mejora

Gestin de riesgos
identificados, priorizados, cuantificados, comunicados
Factores que propician la Auditora
Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando el
riesgo de toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.
Objetivos generales de la
Auditora en Informtica
Asegurar la integridad, confidencialidad
y confiabilidad de la informacin.
Minimizar existencias de riesgos en el
uso de Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informtico, as como tambin
seguridad del personal, los datos, el
hardware, el software y las
instalaciones.
Objetivos generales de la
Auditora en Informtica
Incrementar la satisfaccin de los
usuarios de los sistemas informticos.
Capacitacin y educacin sobre
controles en los Sistemas y Tecnologas
de Informacin.
Buscar una mejor relacin costo-
beneficio de los sistemas informticos
y tomar decisiones en cuanto a
inversiones en TICs.
Objetivo del auditor en informtica al
estudiar el entorno y su impacto en el
negocio

Evaluar y dar seguimiento oportuno a los


proyectos de auditoria en informtica
programados, enfocndose al control,
seguridad y auditora en contacto con las
TICs; con el fin de apoyar las estrategias del
negocio, considerando los factores externos e
internos que se relacionan con la organizacin.
Garantizar el apoyo directo a las
estrategias del negocio (i)
La Auditoria en informtica debe evitar la
interrupcin de las operaciones del negocio y al
mismo tiempo salvaguardar los activos
relacionados con las TICs.
Los auditores en informtica dirigirn la
participacin directa del personal y usuarios
involucrados durante el proceso de auditora.
Cada proyecto de la auditora se orienta al
cumplimiento de normas, procedimientos y
estndares -tanto de auditora como de
informtica-, comnmente aceptados.
Garantizar el apoyo directo a las
estrategias del negocio (ii)
El responsable de la funcin de auditora en
informtica ha de coordinar con:

la alta direccin (director o gerente general),


el responsable de la auditora tradicional
(operativa, administrativa, financiera, etc.), y
el responsable de informtica.
IV. ORGANIZACION
1. Estrategias y cursos de accin para
la AI.
2. Estructura organizacional y
funciones AI.
3. Administracin de la funcin de AI.
4. Elementos de la administracin.
5. Hacia una auditora informtica
eficiente.
4.1 Estrategias y cursos de accin
para la funcin de AI
Estrategias.-
1. Formalizar la AI en la organizacin, mediante :
Documentos de justificacin para la Alta Direccin

Difusin de la AI en las reas relacionadas

Desarrollo del proceso de AI

2. Auditoria Permanente para garantizar a la Alta Direccin:


Polticas y procedimientos para el uso, eficiente y
confiable de los recursos de informtica.
Verificacin del uso adecuado de TICs.

Evaluacin y justificacin de los Pys Informticos.

Planeacin informtica orientada al plan de negocio.

Uso de Metodologas, Tcnicas, Herramientas.

Profesionalismo y productividad del personal

Apoyo a los objetivos del negocio


Cursos de Accin (i)

1. Alta Direccin, usuarios y personal deben ser conscientes de la


necesidad de AI para el uso eficiente de los recursos.
2. Formalizar un procedimiento que divulgue los planes, objetivos,
beneficios y reas de oportunidad de la AI.
3. Compromiso del personal y usuarios con el proyecto de AI.
4. Planeacin y desarrollo del proceso de AI :
Proyectos, Prioridades, Calidad/eficiencia
*Justificar expectativas: involucrar reas
*Planear detalladamente: responsables directos
*Responsable AI: Presentacin ejecutiva
*Reunin formal: Jefes de rea, exponer:
a) Antecedentes b) Justificacin c) Objetivos y alcances
d) Etapas e) Productos Terminados f) Fechas de Revisin
formales e informales g) Funciones y responsabilidades h)
Costes-Beneficios
Cursos de Accin (ii)

5. Coordinar reuniones con los responsables e involucrados.


6. Ejecutar cada PY, de manera formal y oportuna.
7. Informes ejecutivos y detallados a la alta direccin.
8. Investigar, actualizar y formalizar la metodologa de AI:
considerar requerimientos, procedimientos y estndares.
9. Capacitar permanentemente al personal de AI.
10. Orientar los esfuerzos al objetivo del negocio.
4.2. Estructura Organizacional y
funciones de la AI
Ubicacin jerrquica de la funcin
1. La AI es independiente jerrquicamente: control y seguridad.
2. Apoyo y participacin de todas las reas
3. La AI se establece en un nivel Estratgico, nunca Operativo.
4. AI Externa: Seguimiento, coordinacin y apoyo alta
direccin.
Tipos de estructuras donde se ubica la AI
1. En el alto nivel Organizacional
2. Se subordina jerrquicamente a una direccin
(administracion/informatica)
3. Objetivo de la Alta Direccin: Asegurar el desempeo
oportuno y eficiente de las actividades de AI.
Grado de soporte por parte de la funcin de auditoria en informtica ( i )
Nivel Caracteristicas Ventajas Desventajas

Nivel 1. Independencia 1.Comunicacin formal y 1. Seguimiento de la


estrat funcional permanente con alta alta direccin al
gico 2. AI opera direccin desempeo de la
estratgicamente. 2.Apoyo y soporte funcin, puede ser un
3. Compromiso constante proceso complejo.
permanente con la 2. En gran parte de las
3. Objetividad en el
alta direccin
desempeo de la funcin empresas no se acepta
4. Se halla en la AI
4.Se establecen a nivel
instituciones
directivo, las polticas, 3. Faltan profesionales
financieras y de
controles y procedimien- con experiencia y
gobierno
tos sugeridos por la capacidades requeri-
5. Visin del negocio
funcin de A I das para la funcin de
AI
Grado de soporte por parte de la funcin de auditoria en informtica (ii)

Nivel Caracteristicas Ventajas Desventajas

Nivel 1.No hay independencia 1. Funcin indispensable 1. Dbil compromiso y


tctico funcional respecto a para el cumplimiento de soporte de la alta
otras gerencias. polticas y procedimientos direccin.
de informtica en el 2. Porcentaje de
2.Se encuentra en
negocio. empresas que
diversos sectores,
2.Tiene contacto con los considera importante
instituciones financieras,
responsables para la contar con una funcin
gubernamentales,
toma de decisiones. a este nivel es mnimo.
industriales y educativo.
3.Existen asociaciones, 3. Faltan profesionales
3.Limitada al estilo de
consultores y escuelas con experiencia,
trabajo del nivel profesionales que tcnicas y habilidades .
superior al que le impulsan la formalizacin
reporta. de la funcin.
Funciones de la Auditora en Informtica
Evaluacin, implantacin y verificacin del cumplimien-
to de los controles y procedimientos, para el uso
eficiente de los recursos y de la funcin de informtica
Evaluacin de las reas de riesgo de la funcin de
informtica y su justificacin con la alta direccin.
Elaborar un plan de auditoria en informtica en los
plazos determinados.
Obtener la aprobacin formal de los proyectos de AI y
difundirlos entre los involucrados para su compromiso.
Desarrollar la auditoria den informtica conforme
normas y polticas estandarizadas.
Administrar o ejecutar eficientemente los proyectos
contemplados en el plan de la auditoria en informtica.
ESTRUCTURA ORGANIZACIONAL DE LA AI
ESTRUCTURA I

Direccin de Informtica

Gerencia de Gerencia de auditoria Gerencia de Gerencia de


telecomunicaciones En informtica Desarrollo tecnolgico soporte tcnico

Jefatura de Jefatura de auditoria Jefatura de desarrollo


telecomunicaciones En informtica de sistemas
de informacin

Auditores en Consultores
Consultores
informtica

Soporte al director de informtica (estructura I)


ESTRUCTURA II
Direccin

Gerencia de
Informtica

Jefatura de Jefatura de auditoria Jefatura de desarrollo Jefatura de


telecomunicaciones en informtica tecnolgico soporte tcnico

Consultores de Auditores en Consultores analistas de


telecomunicaciones informtica sistemas de
informacin, o ambos

Soporte directo a nivel gerencial de informtica (estructura II)


ESTRUCTURA III
Direccin

Personal de apoyo
de auditoria en
informtica

Gerencia de
Gerencia de informtica
auditoria

Jefaturas de
Jefaturas de auditoria informtica
(consultores)

Analistas y
Auditores programadores
(consultores)

Asesora y soporte a la alta direccin (estructura III)


ESTRUCTURA IV
Direccin de
auditoria

Subdireccin de
auditoria
Despacho de
auditores en
informtica externos

Gerencia de Gerencia de
Auditoria Auditoria financiera
administrativa

Jefatura de auditoria Jefatura de auditoria

Auditores Auditores

Soporte directo a nivel gerencial de auditoria (estructura IV)


CLASES Y TIPOS DE AUDITORA INFORMTICA

Auditoria informtica como soporte a la auditoria tradicional,


financiera, etc.
Auditoria informtica con el concepto anterior, pero aadiendo la
funcin de auditoria de la funcin de gestin del entorno
informtico.
Auditoria informtica como funcin independiente, enfocada en
la situacin actual del entorno informtico, en aspectos de
seguridad y riesgo, eficiencia y veracidad e integridad.
Auditoria como funcin de control dentro de un Departamento de
sistemas
Organizacin de la funcin de
auditora informtica
La funcin de Auditora Informtica pasa de ser una
funcin de apoyo a ser una funcin estratgica en
beneficio del negocio.
EL Auditor Informtico, es un auditor y consultor
empresarial, desempeandose como analista, auditor y
asesor en materia de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de negocios
La ubicacin del auditor informtico dentro de una
organizacin, debe estar ligada a la de la auditora interna
operativa y financiera, con independencia de objetivos,
planes de formacin y presupuesto.
La dependencia organizacional debe ser del mximo
responsable operativo de la organizacin.
El personal de Auditora Informtica, debe contemplar su
certificacin CISA o ISACA como auditor informtico.
Una organizacin interna tpica del rea de auditoria
informtica debera considerar:
Jefe de departamento
Gerente o supervisor de auditora informtica
Auditor informtico
El tamao del rea de AI se puede precisar un funcin de
los objetivos de la funcin.

Se podra considerar:
Especialista en el entorno informtico a auditar
Especialista en comunicacin y/o redes
Responsables de gestin de riesgos operativo y
aplicaciones
Responsables de la auditoria de sistemas de
informacin
Especialista para la elaboracin de programas de
trabajo conjuntos con la auditora administrativa
4.3 Administracin de la Funcin de
Auditoria en informtica
Garantiza que los recursos involucrados obedezcan los
principios bsicos de un proceso administrativo, como: la
planeacin, el personal , el control y el seguimiento del
desempeo.
Objetivos principales de la administracin de AI:
1. Cubrir y proteger los riesgos informticos
2. Asegurar los recursos sean orientados al logro de
objetivos
3. Asegurar la formulacin, elaboracin, difusin y
cumplimiento de las polticas, funciones y
procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el xito: Elaborar y formalizar planes, organizar
la funcin, dirigir, revisar y evaluar el desempeo.
Conocimiento o Habilidades requeridas para la
funcin de la Auditoria en informtica
Concepto Responsable de Supervisor de Auditor
Auditoria Auditoria
Metodologa
Planeacin de sists Alto Alto Bueno
Desarrollo de sists. Mnimo Alto Alto

Tcnicas
Anlisis
1.Organizacional Alto Alto Regular

2.Sistemas Bueno Alto Alto

3.Computacional Regular Bueno Alto

Diseo
1.Conceptual Regular Alto Alto

2.Computacional Mnimo Alto Alto


Costo/Beneficio Alto Alto Alto
Mod. Datos y Procesam. Mnimo Bueno Alto
Documentacin
1.Ejecutiva Alto Alto Bueno
2.Detallada Mnimo Bueno Alto
Entrevista Alto Alto Alto
Cuestionarios Bueno Alto Bueno
Controles , polticas y Alto Alto Alto
estndares
reas de Especializac.
1. Redes y Comunicaciones Regular Bueno Alto
2. Ing. De Software Regular Bueno Alto
3. Base de Datos Regular Bueno Alto
4. Desarrollo Web Regular Bueno Alto
5.Otros Regular Bueno Alto
Habilidades/virtudes
1.Creatividad Bueno Bueno Bueno
2.Abstraccin Alto Bueno Bueno
3.Responsabilidad Alto Alto Alto
4.4 Elementos de la administracin de la
funcin de AI

Planificacin
1. Desarrollar una matriz de la planeacin de AI para
determinar las reas que sern evaluadas.
2. Tener informacin de los sistemas, equipos, Sw, planes
de informtica y de auditoria, actuales.
3. Coordinar los planes con Gerencia de Auditoria interna
4. Componentes de xito de la Planeacin:
*Juntas formales de discusin de planes peridicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitacin conjunta
*Metodologa, tcnicas y herramientas comunes.
Personal
1. Polticas de seleccin y reclutamiento
2. Preparacin suficiente y confiable Informtica/Auditora
3. Personal con experiencia, educacin, adaptabilidad,
entendimiento, determinacin y diligencia.
4. Establecer el nmero de auditores y horas de auditora

Control
1. Supervisin oportuna garantiza un producto consistente
2. Ayuda en el desarrollo y control de los presupuestos
3. Es un proceso continuo, desde la planeacin hasta el informe final
4. Verificacin con los estndares y procedimientos.

Reportes de desempeo
1. Herramientas muy importantes para evaluar:
Productividad y calidad de los proyectos
Resultados y Avances de los proyectos
reas susceptibles de control y seguimiento individual y de
grupo.
ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (i)

Verificacin del control interno, tanto de las aplicaciones como de


los sistemas informticos, centrales y perifricos.

Anlisis de la gestin de los sistemas de informacin desde un


vista de riesgo de seguridad y de efectividad de la gestin.

Evaluacin de la integridad, fiabilidad y certeza de la


informacin, a travs del anlisis de las aplicaciones.

Anlisis del nivel de actualizacin de las TICs en la organizacin

Anlisis de la gestin de los riesgos de la informacin y de la seguridad


informtica.
ACTIVIDADES CRITICAS DE LA AUDITORA INFORMTICA (ii)

Verificacin del nivel de continuidad de las operaciones


(campos de revisin : riesgo de la informacin, continuidad de las
operaciones, gestin del centro de informacin, efectividad y
actualizacin de las inversiones).
Diagnstico sobre la contribucin de las aplicaciones y recursos
a las necesidades estratgicas y operativas de informacin de la
organizacin.

el auditor interno debe convertirse en consultor y apoyo del


auditado, sugiriendo procedimientos de control interno, efectividad
y eficacia y medicin del riesgo empresarial.
4.5 Hacia una Auditoria en Informtica
eficiente

Clave:
Conocimiento, habilidades y capacidades profesionales
y personales del auditor informtico.
Conocer tericamente normas, polticas y estndares
de auditora/informtica, no son garanta de seguridad
y confianza.
Experiencia: Prctica, Disciplina, Orden y Objetividad.
Facultades apropiadas de: anlisis objetivo,
habilidades de comunicacin y modelacin conceptual,
observacin y capacidad para tomar decisiones.
FUNCION DEL AUDITOR INFORMTICO

Un profesional dedicado al anlisis de sistemas


informticos, especializado en alguna de las ramas de
la auditoria informtica e integrado en las corrientes
organizacionales actuales.

Posee las caractersticas necesarias para actuar como


consultor.

Puede actuar como asesor de la organizacin en la


que est desarrollando su labor.
Perfil profesional del auditor informtico (i)
1. Formacin universitaria en informtica, que contemple
conocimientos en:
Desarrollo de sistemas de informacin
Gestin de sistemas.
Anlisis de riesgos informticos.
Sistemas operativos
Telecomunicaciones y Redes locales.
Gestin de base de datos.
Seguridad informtica
Operaciones y planificacin informtica.
Gestin de la seguridad de los sistemas de informacin.
Gestin de entornos y proyectos informticos.
Administracin de datos, ofimtica, herramientas web
Perfil profesional del auditor informtico (ii)
1.

2. Dominio de las tcnicas de auditoria computacional.


3. Actuacin anterior en estudios de Auditora o en
auditorias internas.
4. Especializacin en funcin del entorno empresarial,
gestion del cambio, calidad total, la importancia
econmica, etc.
5. Excepcionales condiciones personales para tratar con
los sectores auditados.
6. Comunicacin adecuada entre el auditado y el auditor.
7. Alta adaptacin a los cambios tecnolgicos y
metodolgicos
Tipos de Auditora

Auditora Interna

Auditora Externa
Auditora Externa

Es realizada por personas afines a la


empresa auditada.

Se presupone una mayor objetividad y


credibilidad que en la auditora interna
debido al distanciamiento entre auditores
y auditados.
Se realiza una Auditora Externa porque:

Se necesita auditar un rea de gran


especializacin, para lo que los servicios propios
no estn suficientemente capacitados.

Se debe contrastar algn Informe interno en


casos de graves hallazgos o conclusiones que
afecten la opinin o situacin de la propia
empresa.

Se desea tener una visin objetiva en relacin a


alguna situacin problematica, cada cierto
tiempo, como salvaguardar informacin o
infraestructura importante, inversin realizada en
proyectos, etc.
Auditora Interna
Se realiza con recursos materiales y humanos que pertenecen
a la empresa auditada, por expresa decisin de esta.

Puede actuar peridicamente realizando revisiones globales,


como parte de su plan anual y de su actividad normal.

Si es realizada en forma eficiente y objetiva, su resultado y


recomendaciones beneficiarn el trabajo de los auditados,
dando como valor agregado un servicio de calidad
mejorado constantemente.

Ambos tipos de auditora deben estar ajenos a cualquier tipo de


intereses o tendencias sociales, polticas, de la misma empresa,
compaerismo, filiacin, etc.
Control
Los datos son de los recursos ms valiosos de las
organizaciones y, aunque intangibles, necesitan ser
controlados y auditados con el mismo cuidado que los
dems activos.

Definicin : Controles son todos aquellos mecanismos


existentes dentro del sistema y de la organizacin, que
tienen como objetivo asegurar la veracidad e integridad
de la informacin que maneja el sistema tanto aquella
que entra y sale de l, como la que se almacena y se
manipula internamente dentro del proceso
computacional.
Control Interno Informtico vs. Auditora Informtica

Anlisis de los controles Anlisis de un momento informtico


da a da. determinado

Informa a la direccin informtica Informa a la direccin general de la


organizacin

Solo personal interno Personal interno o externo

Alcance de funciones solo Cobertura sobre todos los componentes


sobre el departamento informtico de los sistemas informticos de la
organizacin
CONTROL INTERNO Y
AUDITORIA INFORMATICA
El personal debe estar altamente capacitado en lo que
concierne a las tecnologas de la informacin,
verificacin del cumplimiento de controles internos,
normativas y procedimientos establecidos por la gerencia
para los sistemas informticos.
Un buen control debe contar con las siguientes caractersticas:
Completo.
Simple.
Revisable.
Adecuado.
Fiable.
Actualizado.
Rentable .
Tipos de Controles Internos

En general, existen tres tipos de controles


que es posible implementar en un sistema:

Preventivos
Detectores o detectivos
Correctivos

Es necesario definir en qu etapas o


procesos del sistema es aplicable cada tipo
de control, y qu etapas es necesario
controlar.
Tipos de Controles Internos

Preventivos : Evitar el hecho, por


ejemplo, los software de seguridad de
acceso al sistema.

Detectores : Poder detectar lo antes


posible fallas en el sistema, por
ejemplo, registro de actividad diaria.

Correctivos : Volver a un estado


normal despus de una falla, por
ejemplo, el mantenimiento de una BD
con la rplica existente de respaldo.
CLASES DE CONTROLES

Controles Generales
Controles de Aplicacin
Controles Especiales
Controles Generales
Definicin : Son los que se realizan para asegurar
que la organizacin y sistemas operen en forma
normal.

Ejemplos :

Separacin de funciones.
Acceso y Seguridad.
Procedimientos escritos.
Controles sobre software de sistemas.
Control sobre la continuidad del procesamiento.
Control sobre el desarrollo y modificacin de sistemas.
Controles de Aplicacin
Definicin : Son los que se realizan para
asegurar la exactitud, integridad y validez de la
informacin procesada.

Ejemplos :

- Control sobre los datos de entrada.


- Control sobre los datos constantes o fijos.
- Control sobre el procesamiento.
- Control sobre los datos rechazados.
- Control sobre los datos de salida.
Controles Especiales

Definicin : Son los que se realizan para asegurar la


integridad, seguridad y aspectos operacionales.

Ejemplos :

- Control sobre la entrada de datos en lnea.


- Procedimientos de recuperacin y reestablecimiento de sistemas
en lnea.
- Control sobre la modificacin de programas.
- Control sobre el procesamiento distribuido.
- Control sobre sistemas integrados.
- Control sobre bases de datos.
Principales Controles fsicos y
lgicos en auditoras
Autenticidad
Permiten verificar la identidad
Passwords
Firmas digitales
Exactitud
Aseguran la coherencia de los datos
Validacin de campos
Validacin de excesos
Totalidad
Evitan la omisin de registros as como garantizan la
conclusin de un proceso de envio
Conteo de registros
Cifras de control
V. PLANEACIN

1. Proceso de planeacin del negocio.


2. Proceso de planeacin en informtica.
3. Proceso de planeacin de la auditora.
4. Proceso de planeacin de la auditora en
informtica.
Planeacin
La funcin de auditoria en informtica debe
generar un plan de proyectos que justifique
su trabajo durante cierto tiempo, con
parmetros lo ms tangibles y mensurables
posibles.

Cada proyecto de A I, respalda los objetivos y


requerimientos de tres entidades del negocio:
Alta Direccin, Auditoria e Informtica.
La comunicacin entre la funcin de auditoria en
informtica y la alta direccin, as como las direcciones
o gerencias de auditoria o informtica, son muy
importantes .

Para elaborar un plan maestro de auditoria que asegure


un apoyo permanente y eficiente, se debe:
Crear un comit de control y seguimiento

Analizar los proyectos de negocio en forma conjunta.

Establecer fechas de reuniones formales e informales


Proceso de Planeacin del
Negocio
Consiste en establecer las metas y cursos
de accin del negocio, a travs de
entrevistas y del anlisis detallado de cada
uno de los procesos bsicos de la
organizacin:
Empresa manufactura (produccin, ventas, rr.
hh., administracin).
Institucin financiera (crditos, ahorros y
RR.HH.).
Otras empresas con giros bien definidos.
Cualquier entidad, privada o pblica, de distintos
tamaos y estructura organizacional debe formalizar
el plan del negocio, ya que aqu se define el rumbo
del mismo.

Los proyectos que se deriven de este proceso deben


contemplar:
o Se involucre todas las reas del negocio.
o Se evale el medio externo en sus diferentes entornos.
o Se apoye en asesores externos o especialistas del
negocio.
o Detectar fortalezas, debilidades, amenaza y
oportunidades.
o Determinar metas y estrategias del negocio.
o Se establecen a corto, mediano y largo plazo.
o Son aprobados por los accionistas o responsables del
negocio.
Proceso de Planeacin en
Informtica

Consiste en definir los proyectos


relacionados con el rea de informtica,
a corto, mediano y largo plazo.
Cada proyecto debe estar orientado a las
metas y estrategias especificas del
negocio.
Actividades del proceso de planeacin en
informtica y responsabilidades
Actividad Responsable de Respons. de Comentarios
ejecucin seguimiento
Determinacin de Coordinador o Director o gerente Las reas se
las reas apoyadas Supervisor de de informtica derivan del plan de
por informtica planeacin de negocios
informtica
Elaboracin del Coordinador o Director o gerente Involucrarse en
plan de informtica Supervisor de de informtica cada tarea
planeacin de
informtica
Presentacin del Director o gerente Alta direccin del Verificar el anlisis
plan a la alta de informtica negocio costo-beneficio de
direccin cada proyecto

Ejecucin del plan Funciones de Gerente o Funciones hechas


de informtica informtica: Supervisores por el mismo
Desarrollo, personal o
investigacin, otros externos
Proceso de la Planeacin de la
Auditoria
Definir un conjunto de proyectos de evaluacin y
verificacin de polticas, controles y procedimientos
inherentes a las reas administrativas, financieras,
operativas, etc. del negocio, con objeto de asegurar el
buen manejo y administracin de los recursos de la
organizacin.

Los diferentes planes emanados del plan de auditoria


son implantados y llevados a cabo en diferentes
periodos, de acuerdo con los requerimientos y
caractersticas del negocio.
Proceso de Planeacin de la Auditoria

Los negocios deben tener un conjunto de polticas,


emanadas por la alta direccin, que establezcan la
necesidad de contar con una funcin externa o
interna, que asegure la congruencia de todos los
estados financieros y contables con las operaciones
y transacciones que se realicen en la empresa.
Esta funcin a de ser un rea de control y
aseguramiento, entidad independiente y capacitada.
La funcin de auditoria se ocupa de la planeacin,
ejecucin y seguimiento de tales polticas, controles
y procedimientos.
Actividades del proceso de planeacin de la
auditora y responsabilidades
Proceso detallado de la Planeacin de
la Auditoria Informtica
Depende del diagnstico previo que haga el auditor en
informtica de la situacin que prevalece en cada una
de las reas o servicios de la funcin de informtica.

El diagnstico de la situacin informtica previo,


deber ser breve y objetivo.

El objetivo principal es determinar las reas de mayor


riesgo de la funcin de informtica con base a
diferentes criterios.
Actividades sugeridas para el proceso (i)

Elaboracin, Documentacin, Autorizacin y Difusin


Formal del Plan de Auditoria en Informtica.

Identificar el nivel de Riesgo de cada uno de los


elementos que integran la funcin de informtica
(diagnstico de la situacin actual).

Las reas a ser diagnosticadas pueden variar de


acuerdo al tamao y estructura del negocio.
Actividades sugeridas para el proceso
(ii)
Algunos Servicios:

Sistemas de Informacin en operacin.


Administracin de Hardware y software.
Desarrollo de Sistemas de Informacin.
Soporte a Usuarios (capacitacin, asesora,
etc.)
Administracin de Telecomunicaciones.
Investigacin y desarrollo tecnolgico.
Otros.
Actividades sugeridas para el proceso
(iii)
Consideraciones a tener en cuenta para efectuar el
diagnstico de la situacin actual:

El auditor en informtica ha de conocer de manera


aceptable los aspectos relativos a auditora e
informtica que deben tener cada una de las reas
de Informtica.

Se apoyar en la visin de los principales Usuarios


del negocio y del responsable de Informtica.
Diagnostico de la Situacin actual de los SI
en Operacin.

Obtener una lista de los principales SI y de sus


usuarios principales.
Obtener comentarios positivos y negativos de los
usuarios de cada SI.
Registrar fallas ms comunes del Sistema.
Anotar fecha de liberacin de Sistemas y su ltima
auditora.
Revisar la configuracin del equipo donde fue
instalado.
Estudiar su integracin a otros SI.
Evaluar otros aspectos de inters del auditor.
Debilidades que pueden motivar la
Auditoria de un SI

Primero: Que el sistema no haya sido


liberado formalmente, lo que ocasiona
desconocimiento.

Segundo: Que el sistema nunca haya sido


auditado, esto sugiere una auditoria
inmediata, intermedia o final.
Clasificacin del Nivel de Riesgo que
Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un


ambiente tecnolgico confiable, seguro y eficiente.

Equipos o Aplicaciones de Sw.

Mantenimiento de la tecnologa del Equipo y Sw.

Diversos factores motivan la intensidad de la


auditoria de Hw.
Evaluacin del nivel de Riesgo que
representa el uso inadecuado de
Productos y Servicios
Se refiere al grado de conocimiento sobre
uso de servicios, Sw y equipos.
Informacin de apoyo: Organigramas,
descripcin de puestos y polticas
relacionadas a productos y servicios de
informtica.
Se debe determinar el grado de confianza
del usuario con el manejo del sistema,
paquetes de Sw y equipos.
Otros Aspectos: Telecomunicaciones, redes,
automatizacin de procesos.

Estos se evalan en base a los estndares


establecidos.
Considerar la proyeccin de uso que piensa
darle el negocio a corto, mediano y largo
plazo.
Tener en cuenta comentarios de personal
especializado en el rea.
Clasificacin de Riesgos segn criterios
de la Funcin de Auditoria en
Informtica

Cumplimiento de Estndares.
Cumplimiento formal de polticas y
procedimientos.
Grado de Satisfaccin: Alta Direccin y
personal usuario.
Prioridades de la alta direccin.
Prioridades de la funcin de auditoria en
informtica.
Otros de inters del auditor.
Elaboracin de una matriz de Riesgos

Muestra las reas de la funcin de


informtica susceptibles de auditoria.

Resultados en forma descendente.

Entidades o reas con mayor y menor


riesgo.
Elaboracin de un Plan consolidado de
Proyectos.

Considera:

Fechas de inicio y final de cada Auditoria.

Etapas de cada auditoria.

Tareas principales de cada etapa.

Equipo de Trabajo (auditor, representantes, )

Requerimientos (recursos, apoyo, capacitacin,


...)
Revisin de la Matriz de Riesgos

Pronosticar proyectos de auditoria en


informtica con la gerencia.
Visto bueno antes de presentarlo a la alta
direccin.
Se cubren los siguientes Aspectos:
rea por auditar, prioridad, Fechas de
inicio y final, involucrados, responsables,
fechas de revisin y otros.
Presentacin del plan de proyectos a la
alta direccin.

Finalidad:

Conocer los proyectos de auditoria informtica.

Verificar la consideracin de reas fundamentales.

Compromiso de la alta direccin con los auditores.

Obtener la aprobacin del plan de auditoria en


informtica por parte de la alta direccin.
Realizacin de cada proyecto de acuerdo
con el plan de Auditoria en Informtica.

Ejecucin de actividades de
seguimiento.

Revisin formal de cada proyecto.


Integracin y formalizacin de Equipos
de trabajo.

Equipos Integrados por:


Gerente (s) de las reas usuarias que
se evaluarn.
Gerente de la Funcin de Informtica.
Lder del proyecto de la funcin de AI.
Aprobacin formal de la alta direccin,
del informe final de la auditora en
informtica realizada

Se dar seguimiento oportuno y formal a cada una


de las recomendaciones contempladas en dicho
informe
Se aplicarn polticas y controles estandarizados a
nivel internacional.
La implantacin del proceso de planeacin en
auditora en informtica, ser permanente.
Tipo de proyectos, responsables e involucrados

Tipo de Proyectos Responsables Involucrados


Negocio
Adquirir empresas Accionistas Gobierno, asesores
Reduccin de costos Directores Gerencias, asesores

Reingeniera Accionistas, directores Asesores, gerencias,


clientes y proveedores

Informtica
Automatizacin de Informtica Proveedores, reas
oficinas usuarias
Red Local Informtica Proveedores, usuarios
de la red
Desarrollo de Informtica reas usuarias,
sistemas asesores
Tipo de Proyectos Responsables Involucrados
Auditora
Financiera Auditores internos o reas de la empresa
externos
Fiscal Auditores internos o reas de la empresa
externos
Operativa Auditores internos o reas de la empresa
externos
Auditora en informtica

Auditora a sistemas de Auditores en Informtica, usuarios de


informacin informtica internos o los sistemas de
auditores externos informacin
Auditora en seguridad Auditores en Informtica, reas
informtica internos o usuarios de los
auditores externos recursos de informtica
Auditora en el Auditores en reas de operacin
mantenimiento de Hw y informtica internos o informtica y reas
Sw auditores externos usuarias
Planeacin de la AI
Un proceso formal contiene los siguientes elementos:
Etapas
Tareas
Actividades
Costos/Beneficios
Resultados esperados por actividad, tarea y etapa
Responsables de cada actividad tarea
Involucrados participantes
Revisiones Formales e informales
Tcnicas para ejecutar actividades
Herramientas para realizar las actividades
Planeacin de la AI

Requisitos mnimos para que la planeacin


en auditora informtica sea formal,
permanente y exitosa:
Involucramiento directo del auditor en
informtica en el proceso de planeacin
estratgica
Requerimientos
Tiempos
Prioridades de cada proyecto
Compromiso del responsable de auditora
para implementar un esquema de control y
seguridad preventivo y completo.
Planeacin de la AI

Participacin en el proceso de planeacin de


auditora tradicional, para hacer control y medidas
correctivas.
Beneficios de la participacin, supresin:
Riesgos de no planear la auditora
Responsables de tareas inadecuados
Falta de compromiso de los involucrados en el
proyecto
Aparicin de costos imprevistos
Retrasos en la obtencin de beneficios
Mala calidad en los resultados
Rotacin del personal clave
Inadecuada segregacin de tareas y
actividades, Etc.
Dimensiones del Trabajo del
Auditor Informtico - 1
Revisin de Controles de las Aplicaciones (19%)
Determinar que los sistemas producen la informacin a tiempo, exacta
y completa
Revisin de Integridad de Datos (13%)
Complecin, consistencia y exactitud
Revisin de C.V. de Desarrollo (5%)
Determinar la adherencia a los estndares de CV de desarrollo
aceptados
Revisin de Controles Generales de los Procedimientos
Operacionales (12%)
Determinar que las aplicaciones se procesan en un entorno controlado
Revisin de Seguridad (14%)
Asegurar la proteccin adecuada de los programas, de los datos y de la
instalacin de procesamiento de datos
Dimensiones del Trabajo del
Auditor Informtico - 2

Revisin Software de los Sistemas (5%)


Determinar el cumplimiento con las polticas de la organizacin
Revisin de Mantenimiento (6%)
Determinar que los sistemas se han modificado de acuerdo con las
polticas de la organizacin
Revisin de Adquisicin (3%)
Determinar que los recursos de la organizacin se estn utilizando
de forma econmica
Revisin de la Gestin de Recursos del Procesamiento
de Datos (5%)
Determinar su adecuacin en el cumplimiento de los objetivos
organizativos
Gestin de Auditora Informtica (9%)
Utilizar de forma efectiva los recursos disponibles de la funcin de
la auditora informtica y para cumplir el requisito de auditora
informtica de la organizacin
EVOLUCIN DE S.T. I.
VALOR PARA LA EMPRESA
SOCIO
TECNOLGICO

PROVEEDOR DE
SERVICIOS

PROVEEDOR DE
TECNOLOGA

MADUREZ DEL SERVICIO


STI DEBER FOCALIZAR SU ESFUERZO,
COMO CUALQUIER EMPRESA DE
SERVICIOS, EN LOS 3 NIVELES BSICOS
DE SU GESTIN:

ALINEAMIENTO
CON EL NEGOCIO

VALOR
SERVICIOS
INFRAESTRUCTURAS
POR QU DE LA GESTIN DE S.T.I. COMO UN NEGOCIO
VISION

MISION

ESTRATEGIA ORGANIZACIONAL
OBJETIVOS del NEGOCIO

OPERACIONES PORTAFOLIO
Planific. Planific.
Gestin Gestin

OPERACIONES PROGRAMAS
y PROYECTOS
en CURSO autorizados
Actividades Actividades de
proyectos
recurrentes
Aumentan capacidad
Producen
de producir valor
valor
Productos y Servicios
Generacin Operacin

Soporte, Mantenimiento
Productos
Servicios
Resultados
Proyectos Productos y
Servicios

Aumentan
capacidad de Generan valor
producir valor
PARA QU SER . innovadores,
soporte,
QU OFRECER .
Demanda, beneficios

CMO Planes, organizacin,


direccin de produccin y
soporte, y de proyectos

ACCIN Soporte, helpdesk,


instalar, mantener,
SI/TI desarrollar, ..
Probables escenarios de la funcin de auditoria en informtica
rea Consideraciones Ventajas Desventajas
supeditada de la funcin

Direccin o Independiente de Objetividad en el No aceptacin de


Gerencia de la funcin desempeo la evaluacin
auditoria informtica Planeacin y Puede desconocer
Integracin de los desarrollo conjunto el alcance y misin
controles y polticas dei auditoras del rea
de informtica al Control y seguimien- informtica.
resto to de recursos.

Direccin o Dependencia Se facilita apoyo Incertidumbre por


Gerencia de funcional con el Concientizacin los problemas de la
informtica Director polticas y control funcin informtica.
Director: Conocimiento Enfoque limitante.
Negociador / proyecto
impulsador de la AI
Probables escenarios de la funcin de auditoria en informtica
rea Consideraciones Ventajas Desventajas
supeditada de la funcin

Personal de Responsable: Apoyo Alta Alta direccin autoriza


Apoyo de la visin negocio direccin y da seguimiento al
Direccin Compromiso, Compromiso desempeo informtico
General valor agregado formal de las reas Orientan los proyectos
Funcin Justifica perfil AI Informticos.
estratgica

Funcin de AI Coordina Alta Tcnicas y Fugas de informacin


Externa Direccin estandares Mayor costo y tiempo
Amplia Nivel profesional+ Soluciones no
experiencia Independencia/ti adecuadas
Evaluar su ca Compromiso Formal
desempeo Exige resultados
Resumen i

Las empresas han tenido durante un tiempo


relativamente corto una transicin de duros
cambios, como son los de pasar de un enfoque
(operativo) totalmente manual a otro parcial o
ntegramente sistematizado.

La toma de decisiones hace que una empresa


sea lder o una ms del montn, es por ello que
se necesita de un flujo de informacin mucho
ms dinmico y en lnea; para posibilitar tomar
una decisin correcta en el momento
adecuado.
Resumen ii
La manera de tomar una decisin dejo de ser un
proceso intuitivo y basado en la experiencia; para estar
basado en una slida base, fruto de la adecuada
informacin al alcance de los niveles estratgicos,
medios y operativo de un negocio.

La administracin de toda esta informacin permitir


encaminar adecuadamente la organizacin y llevar a
cabo cambios para su mejora; con el uso de enfoques,
herramientas y tcnicas existentes, tales como
reingeniera o gestin del conocimiento.
Resumen iii

Dado que vivimos ante una comunidad global, la


tecnologa informtica y su adecuado tratamiento
es pieza clave que debe de ayudarnos a ser
miembros dinmicos de esta.

En este punto el perfil del Auditor de Sistemas se


encargar de mantener las metas del negocio
basadas en la tecnologa.

Estas metas son: ser lder, mantenerse en el


mercado o crecer a corto o mediano plazo a
travs de la eficiencia de los recursos y la
especializacin del personal con un enfoque claro
de servicio al cliente.
Resumen iv
Las metas relacionadas con la seguridad y control de la
infraestructura tecnolgica de las empresas y los canales de
informacin carecen, en su mayora, de un responsable
directo.

Qu ocurre con la proteccin de los recursos una vez realizada


cada inversin en informtica?
Quin implantar y revisar los controles de la informacin
alimentada, procesada, almacenada y distribuida por medio de
los recursos tecnolgicos?
Quin ser el facilitador entre lo que debe de ser y lo que se
esta haciendo en cuanto a controles preventivos y correctivos
que brinden la confianza en la toma de decisiones que emana
de los sistemas de informacin?
Quin proporcionar y dar seguimiento formal a la
formulacin, elaboracin, difusin implementacin y mejora del
plan total de informtica?
Resumen v
No existe una respuesta clara a esas interrogantes
por parte de muchos gerentes.

Las funciones de prevencin y aseguramiento de la


calidad normalmentte se dejan de lado en nuestros
pases; a excepcin de grandes corporaciones o el
estado en algunos casos.
La gran mayora de las medianas empresas no
tienen un compromiso claro con el control
permanente y la calidad de la empresa. (i.e.
dedicando una gerencia a ello, o agrega un rea de
control de calidad)
Resumen vi
Es imperativo formalizar una funcin que revise,
evalu y recomiende acciones de mejora para
lograr que cada recurso de informtica contribuya
a conseguir los objetivos de auditoria en cuanto a
informacin:
Totalidad
Exactitud
Oportunidad
Actualizacin Oportuna
Autorizacin de las transacciones
Seguridad
Finalmente, es importante sealar que para tener
una estructura de auditoria informtica eficiente y
acorde con las necesidades del negocio, se debe
considerar la organizacin de otras dos reas que
sern su punto de referencia: AUDITORIA E
INFORMATICA
Resumen vii
Auditora
Tareas
Proyectos de revisin a sistemas de informacin
Apoyo requerido para el uso de la informtica en
las funciones de evaluacin y control
Proyectos
Otros
Informtica
Servicios
Puestos
Funciones
Equipos de Computo
Redes y Comunicaciones
Aplicaciones y Desarrollo de Sistemas
Proyectos a corto y mediano plazo
Resumen viii
La auditora informtica no es un concepto
reciente sino data desde tiempos remotos.

El auditor informtico no solo puede realizar


auditora informtica sino tambin auditora de
apoyo en otras reas, como la financiera, donde
haya flujo de informacin.

La funcin de auditor informtico requiere de


competencias especializadas en la funcin
informtica, conocimientos de auditoria y de
gestin empresarial.
Actividades del proceso de planeacin
del negocio y responsabilidades
Actividad Responsable de Respons. de Comentarios
ejecucin seguimiento
Determinacin de Gerente o Alta direccin o FODA, y proyectos
las reas de coordinador de director de de cada rea del
oportunidad para planeacin planeacin negocio.
el negocio.
Elaboracin del Gerente o Alta direccin o Cada proyecto
plan del negocio coordinador de director de justifica su
planeacin planeacin inversin

Presentacin del Director o gerente Accionistas o alta Se realice al inicio del


plan a los de planeacin direccin del periodo fiscal y se
accionistas o negocio autoriza formalmente
director general
Ejecucin del plan Gerente o Alta direccin o Cada rea ejecuta
de negocio coordinadores de gerente de los proyectos
cada rea o planeacin
proceso bsico del
negocio.
El periodo de elaboracin o actualizacin del plan
de negocio depende de las estrategias y
formalidades que tenga este proceso en cada
negocio.
Despus de haber sido aprobado de manera
formal por los accionistas, se debe ejecutar con
eficiencia y actualizar al menos cada ao; de
acuerdo con las estrategias y metas del negocio
y autorizado por la alta direccin.
Resumen

El Proceso de Planeacin es el pilar de todas


las actividades que se ejecutan en la
organizacin

Prdidas Irreparables - Decepciones

Planear es una prdida de tiempo y un


recipiente de buenos deseos.

Si no se planea el trabajo, es lgico pensar


que tampoco se planean las anomalas y
decepciones que dicho trabajo acarrear.
Resumen ii
Problema, proyectos mediano-largo plazo:

Falta de definicin de funcin,


responsabilidad, tiempos y resultados.
Dejemos de depender de la buena suerte
No se vive de buenos deseos sino de metas
claras, medibles y factibles.
Principal Beneficio: Poder asegurar, con
alto grado de credibilidad, cunto invertir y
cunto se obtendr de beneficio; plazos
claros y establecidos.