Planeacion de Auditoria

Planeacin de la auditora en informtica
Vernica Badillo Torres

Errol Roberto Fabregat Tinajero
Esteban Lpez Yez
Mario Jess Santiago Maldonado
Auditora a los Sistemas de Informacin
Maestra en Informtica Administrativa
Definicin de cursos alternativos de accin, los mecanismos adecuados a
seguir y la determinacin de la asignacin de los recursos humanos y fsicos
necesarios para lograr los objetivos.
Que es la Planeacin?
Para hacer una adecuada planeacin de la auditoria
en informtica, hay que seguir una serie de pasos
previos que permitirn dimensionar el tamao y
caractersticas de rea dentro del organismo a
auditar, sus sistemas, organizacin y equipo.
En el caso de la auditoria en informtica, la planeacin es
fundamental, pues habr que hacerla desde el punto de
vista de los dos objetivos:

Evaluacin de los sistemas y procedimientos.

Evaluacin de los equipos de cmputo
Para hacer una planeacin eficaz, lo primero que se requiere es obtener
informacin general sobre la organizacin y sobre la funcin de informtica a
evaluar.

Para ello es preciso hacer una investigacin preliminar y algunas entrevistas
previas, con base en esto planear el programa de trabajo, el cual deber
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la misma.
Alcance y objetivo de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la
auditora.
Elaboracin del Plan y de los programas de trabajo
Actividades de la Auditora:
Informe final y carta de introduccin
El Mtodo de trabajo del auditor pasa por las siguientes etapas
Definicin de Alcance y Objetivos

El alcance de la auditora deber expresa los lmites de la misma.

Debe existir un acuerdo muy preciso entre auditores y clientes
sobre las funciones, las materias y las organizaciones a auditar.
EJEMPLO
Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informtica.

Para su realizacin el auditor debe conocer lo siguiente:
Organizacin
Entorno Operacional
Aplicaciones bases de datos y ficheros
Recursos materiales
Recursos Humanos
EJEMPLO
Organizacin

Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:

1. Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar.

Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.
EJEMPLO
2. Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a
la Direccin.

3. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El equipo auditor
verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o
por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.
EJEMPLO
4. Flujos de Informacin: Adems de las corrientes verticales intra departamentales, la estructura
organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extra
departamentales.

5. Nmero de Puestos de trabajo: El equipo auditor comprobar que los nombres de los Puesto de
los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.

6. Nmero de personas por Puesto de Trabajo: Es un parmetro que los auditores informticos
deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan
las mismas funciones rara vez coincida con la estructura oficial de la organizacin.
EJEMPLO
Entorno Operacional

a. Situacin geogrfica de los Sistemas: Se determinar la ubicacin geogrfica de los distintos
Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de
responsables en cada unos de ellos, as como el uso de los mismos estndares de trabajo.

b. Arquitectura y configuracin de Hardware y Software: Cuando existen varios equipos, es
fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben
constituir un sistema compatible e intercomunicado.

c. Inventario de Hardware y Software: El auditor recabar informacin escrita, en donde figuren
todos los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las
CPUs, unidades de control local y remotas, perifricos de todo tipo, etc.

EJEMPLO
Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de
los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo
siguiente:

Volumen, antigedad y complejidad de las Aplicaciones
Metodologa del Diseo
Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las
aplicaciones Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases de Datos,
clasificndolas en relacin y jerarquas.
EJEMPLO
Determinacin de recursos de la auditoria Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoria.
Determinacin de los recursos necesarios para realizar la auditora.
EJEMPLO
EJEMPLO
Elaboracin del plan y de los Programas de Trabajo.

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores
establecen un plan del trabajo. Decidido ste, se procede a la programacin del mismo.
Determinacin de los recursos necesarios para realizar la auditora.
Actividades de la Auditoria Informtica

Auditoria por temas generales o por reas especficas:

La auditoria Informtica general se realiza por reas generales o por reas especficas.
Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms
tiempo total y mayores recursos.
EJEMPLO
Informe Final

La funcin de la auditoria se materializa exclusivamente por escrito. Por lo tanto la
elaboracin final es el exponente de su calidad.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditoria y la fecha de redaccin del
mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas
entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
EJEMPLO
Informe de
Auditoria
Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber:

a) Situacin actual. Se expondr la situacin prevista y la situacin real del lugar.
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.
c) Puntos dbiles y amenazas.
d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos
dbiles, el verdadero objetivo de la auditoria informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.
EJEMPLO
Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora
realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta
que encargo o contrato la auditora.

As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har
copias de la citada carta de Introduccin.

La carta de introduccin poseer los siguientes atributos:

1.Tendr como mximo 4 folios.
2.Incluir fecha, naturaleza, objetivos y alcance.
3.Cuantificar la importancia de las reas analizadas.
4.Proporcionar una conclusin general, concretando las reas de gran debilidad.
5.Presentar las debilidades en orden de importancia y gravedad.
6.En la carta de Introduccin no se escribirn nunca recomendaciones.
EJEMPLO
Determinacin de los recursos necesarios para realizar la
auditora.
Elaboracin del Plan y de los programas de trabajo
El Mtodo de trabajo del auditor pasa por las siguientes etapas
PROGRAMA DE AUDITORA
(CISA, CERTIFIED INFORMATION SYSTEM AUDITOR)
Aplicable a cualquier tipo de organizacin
El auditor puede variar el proceso de auditora segn los objetivos del negocio,
las tareas del departamento, o un proceso particular en el flujo de trabajo.
Todos los programas contienen una lista de objetivos, segn mandato,
regulaciones, normas de la industria, etc.
Un programa de auditoria es una serie en curso de las auditoras ms pequeas para asegurar que
la organizacin est tomando las medidas necesarias para seguir cumpliendo la evolucin de las
normativas o las condiciones del mercado.
PUNTOS A CONSIDERAR
Nmero de locaciones geogrficas
Diversidad de productos
Actividades terciarizadas (outsourcing)
Necesidades de certificacin, acreditacin o registro.
Preocupaciones planteadas por las partes interesadas.
Complejidad de las regulaciones que afecten los contratos
a auditar.
Tipo, alcance y nmero de actividades a auditar
Participacin requerida por subcontratistas externos
Frecuencia para realizar auditorias
Seguimiento de recomendaciones de auditoras
anteriores.
Requisitos de tiempo, costos y recursos.
Interrupcin de actividades de baja rentabilidad, productos
y despidos.
Las organizaciones deben acoplarse al
cambio del mercado, situaciones
econmicas, regulaciones, etc., sin
embargo independientemente del tamao
solo existen 2 posibles soluciones; si el
producto/ servicio es rentable continuar,
sino deben ser eliminados, este cierre de
producto/servicio se debe hacer junto con
las oficinas y las personas involucradas.

Responsabilidades del programa de Auditoria
El curso adecuado del programa de auditora es parte de la estrategia de MITIGACIN del RIESGO.
Uno de los objetivos del plan de auditora es la combinacin de las necesidades globales en un solo plan
de gestin centralizada.
La gestin del programa de auditora generalmente incluir un sistema de gestin de auditora (AMS)
con las siguientes funciones:
-BD de elementos individuales, cumpliendo los objetivos de COBIT, NIST 800-53, ISO 27002, SOX).
-Lista de tareas de auditora (apertura, terminado, cierre).
-Procedimientos aprobados de auditora
-Plantillas adecuadas y papeles de trabajo.
-Matriz de habilidades para los miembros del equipo de auditora.
-Funciones de programacin de recursos.
-Estimacin de presupuesto.
-Sistema de monitoreo de rendimiento.
-Registros histricos de auditoras anteriores para su comparacin.

RECURSOS DEL PROGRAMA DE AUDITORIA
Compromiso financiero: Se requiere contar con el $$$ suficiente para todo lo que involucre el
proceso de auditoria, como capacitacin, viajes herramientas, personal, etc., en organizaciones
bien administradas estos gastos se encuentran aprobados de manera previa para reducir costos
generales.

Auditor Competente: Se requiere personal con al menos ms de dos semanas de
entrenamiento anual (actualizado), tambin se debern apoyar en expertos tcnicos.

Experto Tcnico: Es un no auditor que provee conocimiento o experiencia especfica al equipo
de auditora.

HERRAMIENTAS DE AUDITORA
PROCEDIMIENTOS DEL PROGRAMA DE AUDITORA
Plan de auditora
Programacin de auditoras
Asegurar la competencia de los auditores y el lder del
equipo.
Seleccionar adecuadamente a los equipos de
auditora
Asignacin de roles y responsabilidades.
Realizacin de auditoras
Mantenimiento de los registros del programa de
auditora.
Monitoreo del rendimiento y eficacia
Seguimiento de quejas
Informar a la alta direccin sobre los logros generales.

MATRIZ DE HABILIDADES DEL EQUIPO DE AUDITORA
DIAGRAMA DE FLUJO DEL PLAN DE AUDITORA
Estndares y normas relacionadas con la gestin y seguridad
de sistemas de informacin (ISO 27001, ISO 20000-1).
Que es un estndar?
Estndares y normas relacionadas con la gestin y seguridad de sistemas de informacin (ISO 27001, ISO 20000-1).
Es el documento establecido por consenso, aprobado por un cuerpo
reconocido, y que ofrece reglas, guas o caractersticas para que se use
repetidamente.
Que es un norma?
Son disposiciones o criterios que establece una autoridad, con el fin de
regular acciones en distintos procedimientos que se deben seguir para la
realizacin de las tareas asignadas.
ISO (la Organizacin Internacional de Normalizacin) e IEC
(Comisin Electrotcnica Internacional) forman el sistema
especializado para la normalizacin en todo el mundo.

Marcos para el
gobierno y la
gestin de las TI
ISO- IEC 20000
Diciembre de 2005 , proviene del estndar BS 15000

Sistema de Gestin de Servicios (SMS)

establece los requisitos que necesitan las empresas para disear, implementar y mantener
la gestin de servicios TI.

establecer procesos y procedimientos para minimizar los riesgos en los negocios.

Se publico en 2 partes
Se especifica la gestin de servicios de TI. Es auditable ya que establece los requisitos
mnimos.
Es el cdigo profesional, que describe las mejores prcticas para los procesos de
gestin de servicios en el mbito de la especificacin.

ISO- IEC 20000
Diseo, transicin, la
entrega y la mejora de los
servicios.
Proporcionan valor para el
cliente y el proveedor de
servicios.

Establecer implementar,
operar, monitorear,
mantener y mejorar.
ISO- IEC 20000
Medicin y Revisin
Polticas
Objetivos
Planes
Requisitos de servicio.
establecer, documentar y acordar.
polticas, objetivos, planes y procesos para cumplir
los requisitos de servicio.
implementar y operar el
SMS para el diseo,
transicin, la entrega y la
mejora de los servicios.
Tomar de decisiones .
Desempeo
Servicios
ISO 270001
Se publico en 2005, desarrollada en base a BS 7799-2.
Se puede implementar en cualquier tipo de organizacin
Se basa en la gestin de riesgos: investigar dnde estn y como tratarlos sistemticamente.

ISO 270001
En la familia del ISO 2700 existe unos que se encuentran en desarrollo, otros que son guas y el que es el
principal que es el Sistema de Gestin de la Seguridad de la Informacin (SGSI).
Se divide en 11 secciones:
Secciones :
0 Introduccin, 1 Alcance, 2 Referencias normatividad y 3 Trminos y
obligaciones : no son OBLIGATORIAS
4 a 10 son obligatorias .
Contexto de la
organizacin y Planificacin
Liderazgo

ISO 270001 Apoyo

Funcionamiento

ISO 270001
Evaluacin de desempeo
Mejora

Proporciona un modelo para establecer, implementar, utilizar, monitorear,
revisar, mantener y mejorar.

sistema de gestin de la seguridad de la informacin.

ISO 270001
La Seguridad de la Informacin se define como la preservacin de la
confidencialidad, integridad, disponibilidad de la informacin, a esas caractersticas
se puede aadir la autenticidad, responsabilidad, no repudio y fiabilidad.

Planeacion de Auditoria

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Planeacion de Auditoria

Uploaded by

Copyright:

Available Formats

Planeacin de la auditora en informtica

Vernica Badillo Torres

You might also like