Unidad III - Desarrollo de La Auditoria en Informática
Unidad III - Desarrollo de La Auditoria en Informática
Unidad III - Desarrollo de La Auditoria en Informática
Auditoria en Informtica
la auditoria en informtica, Etapa preliminar o diagnstico de la situacin actual, Etapa de justificacin, Etapa de adecuacin, Etapa de formalizacin, Etapa de desarrollo y Etapa de
implantacin
Auditoria en Informtica
Contenido
Mtodos, tcnicas y herramientas por rea de revisin La razn para auditar informtica mediante una metodologa formal y acorde a los objetivos actuales de seguridad y control? Qu es una metodologa de auditoria en informtica (MAI)? Qu elementos complementan la metodologa?
Auditoria en Informtica
Contenido
Auditoria en Informtica
Contenido
Etapa de justificacin
reas de oportunidad para la funcin de informtica Matriz de riesgos, justificacin por rea de revisin Plan general del proyecto de auditora en informtica Compromiso ejecutivo
Etapa de adecuacin
Definicin y formulacin de objetivos y requerimientos de xito por cada rea que se auditar Actualizacin del plan general Plan detallallado del proyecto de auditoria en informtica
Dos tipos de plaqnes detalaldos con orientacin diferente y objetivo comn: la administracin del proyecto
4
Auditoria en Informtica
Contenido
Aspectos por evaluar en cada rea de revisin Definicin de tcnicas y herramientas por rea de revisin Definicin o actualizacin de estndares, polticas procedimientos por rea de revisin y
Elaboracin o actualizacin de cuestionarios por rea de revisin Elementos que se deben contemplar antes de iniciar formalmente la revisin de las reas aprobadas en la etapa de justificacin.
Cmo se definen los estndares, polticas y procedimientos de auditoria en informtica ? Es una obligacin el uso de estndares? nicamente las asociaciones pueden establecer estndares, polticas y procedimientos de auditoria en informtica?
Auditoria en Informtica
Contenido
Etapa de formalizacin
Verificacin de prioridades, restricciones y alcances del proyecto Actualizacin del plan de auditoria en informtica Presentacin formal del plan de auditoria en informtica Aprobacin formal del proyecto de auditoria en informtica Compromiso ejecutivo
Auditoria en Informtica
Auditoria en Informtica
Auditoria en Informtica
Auditoria en Informtica
2.
En que xito de cualquier proyecto no se basa nicamente en que lo apruebe la alta direccin o en la disponibilidad de recursos destinados para ello. La estructura que plasma el camino que se ha de seguir, las funciones y compromisos de los involucrados, la secuencia y productos obtenidos a lo largo del proyecto son, en gran medida, otros elementos que garantizan un resultado final satisfactorio. La aprobacin de los proyectos de auditoria en informtica slo garantiza el inicio de actividades y el compromiso temporal de las personas que se vern involucradas en dicho proceso. Recordando siempre que existen prejuicios en las organizaciones hacia los procesos que impliquen revisiones, evaluaciones o tareas similares que podran perjudicar cada proyecto si no se tiene un plan que minimice y convierta esas actitudes en posiciones proactivas y de apoyo.
10
Auditoria en Informtica
11
Auditoria en Informtica
Auditoria en Informtica
5.
6.
13
Auditoria en Informtica
2.
3.
Requisitos para el xito del proceso metodolgico Aprobacin de la metodologa por la alta direccin. Adecuacin de la metodologa a los requerimientos especficos del negocio (cuidado con reducir tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es til apoyarse en un asesor experto). Documentacin o actualizacin de la metodologa.
14
Auditoria en Informtica
5. 6. 7.
Auditoria en Informtica
Auditoria en Informtica
Normas personales. Entendimiento de la auditoria en informtica y sus tendencias. Adaptacin o actualizacin segn el medio dominante. Administracin formal de la auditoria en informtica en el negocio.
17
Auditoria en Informtica
Auditoria en Informtica
Auditoria en Informtica
20
Auditoria en Informtica
21
Auditoria en Informtica
Auditoria en Informtica
La razn para auditar informtica mediante una metodologa formal y acorde a los objetivos actuales de seguridad y control?
23
Auditoria en Informtica
Roles y responsabilidades de auditoria en informtica, personal de informtica y usuarios de sistemas de informacin y herramientas de tecnologa. Requerimientos para el logro exitoso del proyecto de auditoria en informtica. Etapas de cada proyecto. Requerimientos para el xito del proyecto. Tareas y productos terminados (por etapa y proyecto). Tcnicas y herramientas.
24
Auditoria en Informtica
Justificacin -reas por auditar -Plan propuesto Formalizacin -Aprobacin -Arranque Desarrollo - Entrevistas -Visitas -Observaciones - Recomendaciones -Informe de auditoria
Revisin informal
Revisin formal
Aprobacin formal
25
Auditoria en Informtica
Auditoria en Informtica
Es el primer paso prctico del auditor en informtica dentro de las empresas o instituciones. Se busca la opinin de la alta direccin para estimar el grado de satisfaccin y confianza que tiene en los productos, servicios y recursos de informtica en el negocio; as mismo, es posible detectar las fortalezas, aciertos y apoyo que brinda dicha funcin desde la perspectiva de los directivos del negocio.
27
Auditoria en Informtica
Tambin se detectan las fortalezas, aciertos y apoyo que brinda dicha funcin, por otro lado son muy importantes las oportunidades que puede ofrece la informtica para hacer ms competitivo el negocio. Las actividades del auditor en informtica deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organizacin. En esta fase, se visualizan los primeros sntomas, los cuales posteriormente pueden ser los ms relevantes.
28
Auditoria en Informtica
Productos
Misin y objetivos del negocio Organizacin de informtica Grado de apoyo al negocio Misin y objetivos de la funcin de informtica Organizacin de informtica Control (formalidad Productos y servicio rea de oportunidad mejoras inmediatas para
2. Diagnstico de informtica
29
Auditoria en Informtica
Qu debe negocio?
Misin del negocio reas o proceso del negocio Organigrama del negocio (detectar la ubicacin de informtica) Relacin entre las diversas reas del negocio Relacin del negocio con reas externas (clientes y proveedores por ejemplo) Polticas referente a informtica Otros de inters para el auditor en informtica de acuerdo con las caractersticas del proyecto
30
Auditoria en Informtica
Auditoria en Informtica
Auditoria en Informtica
33
Auditoria en Informtica
34
Auditoria en Informtica
Para llevar a cabo esta tarea, el auditor deber conocer: 1. La estructura interna de informtica, funciones, objetivos, estrategias, planes y polticas. 2. La tecnologa de software y hardware es en la que se apoya para llevar a cabo su funcin dentro del negocio.
35
Auditoria en Informtica
1.
2.
3.
Auditoria en Informtica
37
Auditoria en Informtica
3.
38
Auditoria en Informtica
39
Auditoria en Informtica
40
Auditoria en Informtica
41
Auditoria en Informtica
42
Auditoria en Informtica
43
Auditoria en Informtica
Plan de contingencia y de reinicio de operaciones Otros de inters especfico del auditor en informtica
44
Auditoria en Informtica
45
Auditoria en Informtica
46
Auditoria en Informtica
47
Auditoria en Informtica
Etapa de justificacin
Una vez finalizada la etapa preliminar, el auditor en informtica se debe enfocar en la siguiente fase donde se va a dedicar a elaborar un documento fundamental para la aprobacin del proyecto.
Etapa preliminar
(terminada)
Etapa de justificacin
(en ejecucin)
(posterior)
Etapa de adecuacin
48
Auditoria en Informtica
Etapa de justificacin
En esta etapa se legitima la revisin o evaluacin de las reas o funciones crticas relacionadas con la informtica. El documento elaborado en esta etapa contiene tres productos terminados que contemplan las reas que se auditarn (matriz de riesgo), el tiempo sugerido para hacerlo (plan de auditora en informtica) y el visto bueno (compromiso ejecutivo).
49
Auditoria en Informtica
Etapa de justificacin
Aqu el auditor ha de definir qu reas y componentes de informtica se revisarn y cmo conseguir el compromiso del personal de informtica, de los usuarios y dems involucrados para participar cuando les sea requerido. El conjunto de reas que se auditarn se documenta y programa en la etapa de justificacin. Por otro lado, vale la pena mencionar que la fase en estudio se deriva de los siguientes elementos:
Informacin obtenida en la etapa preliminar Diagnstico del negocio Diagnstico de informtica Programas de revisiones rutinarias Apoyo a revisiones de auditoria tradicional Apoyo a revisiones de planes de seguridad de la empresa Otras
50
Auditoria en Informtica
Etapa de justificacin
Matriz de riesgo:
El objetivo principal es detectar las reas de mayor peligro en relacin con informtica y que requieren una revisin formal y oportuna. Algunos ejemplos de las reas susceptibles a auditar, son: Administracin de informtica (misin, organizacin, servicios, etc.) Usuarios de informtica (comunicacin e integracin, proyectos conjuntos) Sistemas de informacin (planeacin, desarrollo, operacin) Mantenimiento (hardware, software, telecomunicaciones) Redes locales (administracin, instalacin, operacin y seguridad) Software (administracin y legalizacin de lenguajes de programacin, sistemas operativos) Seguridad (hardware, software/aplicaciones Investigacin tecnolgica (metodologas, tcnicas, herramientas, capacitacin)
51
Auditoria en Informtica
Etapa de justificacin
El auditor debe utilizar los parmetros de medicin y evaluacin posibles sin caer en un anlisis detallado, ya que slo se trata de detectar la problemtica principal de cada rea (puede apoyarse en especialistas en informtica, auditoria financiera, asesores o consultores externos). Si emanan anomalas de considerable importancia de algn elemento evaluado, se deben tomar acciones inmediatas orientadas a eliminarlas o al menos minimizarlas (se plantearn en el plan de auditoria en informtica como acciones inmediatas)
52
Auditoria en Informtica
Etapa de justificacin
Determinar el nivel de riesgo que existe en cada rea de la funcin de informtica: cada rea, producto o servicio de informtica es susceptible de evaluacin y control para que se desarrolle de acuerdo con los estndares, polticas y procedimientos especficos que le han sido asignados segn su funcin.
53
Auditoria en Informtica
Etapa de justificacin
Consideraciones que hay que tomar en cuenta al realizar el diagnstico de la situacin actual (etapa preliminar) que ayudan a la obtencin de la matriz de riesgos: 1. El auditor en informtica debe conocer de manera aceptable los aspectos de control relativos a cada rea de informtica (considerando aspectos tcnicos y administrativos). 2. Se apoyar en la visin de los principales usuarios del negocio y del responsable de informtica. 3. Debe entender que las debilidades o anomalas que se encuentre sern analizadas y clasificadas por su nivel de riesgo e importancia de su impacto en el negocio.
54
Auditoria en Informtica
Etapa de justificacin
Consideraciones que hay que tomar en cuenta para elaborar la matriz de riesgos: 1. Es una tarea relevante y necesaria para el auditor en informtica 2. Los parmetros para medir el nivel de riesgos pueden variar de acuerdo con factores coma la experiencia y conocimiento en la auditoria, as como con las reas que conforman informtica o el grado de profundidad y anlisis que desee darle el auditor en informtica 3. Algunos hechos pueden indicar directamente al auditor en informtica la existencia de riesgos relevantes. 4. Revisar la matriz de riesgos con el responsable de auditoria en informtica 5. Asegurarse de contar con el soporte que requieran las debilidades o anomalas detectadas (entrevistas, visitas y cuestionarios analizados, revisados y documentados) para ser validadas oportunamente.
55
Auditoria en Informtica
Etapa de justificacin
Consideraciones para el momento de elaborar la matriz de riesgos: 1. Clasificar cada rea y sus componentes por nivel de riesgo, lo que puede determinarse por el lder del proyecto, los usuarios clave o el responsable de informtica. 2. Otorgar prioridades a cada rea de revisin de acuerdo con el nivel de riesgo o por factores especficos mencionados por la alta direccin o el responsable de informtica. 3. Justificar cada una de las reas seleccionadas para auditarse. La justificacin debe cimentarse en el nivel de riesgo que representa, segn las prioridades establecidas por los involucrados de alto nivel o por solicitud expresa de la alta direccin o del responsable de informtica
56
Auditoria en Informtica
Etapa de justificacin
En resumen, el auditor en informtica deber ser los ms especfico posible y la matriz de riesgos no generar motivo alguno de confusiones o desacuerdos. Cada una de las reas que sern revisadas, segn el auditor en informtica, tendr al menos los siguientes elementos de apoyo: Descripcin de la debilidad encontrada y sus consecuencias actuales o futuras en el componente de informtica sugerido para auditarse: Segn se detecto en la evaluacin preliminar qu rea hay que revisar? Qu problemtica se deriva de las debilidades encontradas? Qu gastos o consideraciones econmicas genera dicha problemtica? Qu aspectos de improductividad proceden de la anomala detectada? Qu grado de insatisfaccin existe a causa de la problemtica hallada durante el estudio efectuado en la etapa anterior? Qu riesgos existen o se pueden presentar si persiste dicha anomala?
57
Auditoria en Informtica
Etapa de justificacin
PLAN GENERAL DEL PROYECTO DE AUDITORIA EN INFORMATICA Una vez elaboradas, revisadas y documentadas la matriz de riesgos (de acuerdo con los riesgos ms relevantes) y las reas de oportunidad, se procede a la formulacin del plan general de informtica, el cual consiste bsicamente en plantear las tareas ms importantes que se ejecutarn durante cierto perodo al efectuar la auditoria en informtica. El plan generado en esta etapa es general, ya que slo busca plantear los datos bsicos para que la alta direccin los analice y apruebe. El plan detallado se lleva a cabo posteriormente, en la etapa de adecuacin.
58
Auditoria en Informtica
Etapa de justificacin
El lder de proyectos debe: Estimar el tiempo necesario para auditar cada rea determinada en la matriz de riesgo Analizar y definir los aspectos ms relevantes que se evaluarn Asignar prioridades a cada rea por revisar o evaluar Establecer fechas estimadas de inicio y terminacin por rea de revisin Establecer fechas de revisin formales e informales Definir responsables directos por etapas de proyecto
59
Auditoria en Informtica
Etapa de justificacin
Compromiso ejecutivo
Es la ltima tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobacin) inicial de la alta direccin y dems responsables para continuar con el proyecto de auditoria en informtica.
60
Auditoria en Informtica
Etapa de justificacin
Los aspectos fundamentales para lograr el compromiso ejecutivo con el objetivo de continuar con el proyecto de auditoria en informtica son los siguientes: 1. Presentacin del plan con la informacin de soporte requerida bien documentada y validada por los principales involucrados: - Resumen del diagnstico actual - reas de oportunidad - Matriz de riesgos - Prioridades - Otros comentarios de apoyo - Ser objetivo y claro al exponer el plan general - Justificar cada una de las reas por auditar con datos concretos y bien documentados - Lograr que la alta direccin tome conciencia del compromiso requerido de su parte para la culminacin exitosa del proyecto - Recibir la aprobacin formal del plan general (firma) - El lder del proyecto deber de indicar las fechas de inicio y terminacin estimadas
61
Auditoria en Informtica
Etapa de adecuacin
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoria en informtica se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estndares, polticas y procedimientos de auditoria que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso. A continuacin se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisin de las reas aprobadas en la etapa anterior. Objetivos y requerimientos de xito por cada rea que se auditar: Luego de terminar las etapas preliminar y de justificacin, el auditor en informtica podr definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisin de las reas mencionadas en el plan de auditora en informtica. Ejemplos de los objetivos y requerimientos para los usuarios de informtica:
62
Auditoria en Informtica
Etapa de adecuacin
Objetivos y requerimientos de xito por cada rea que se auditar: Luego de terminar las etapas preliminar y de justificacin, el auditor en informtica podr definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisin de las reas mencionadas en el plan de auditoria en informtica. Ejemplos de los objetivos y requerimientos para los usuarios de informtica:
63
Auditoria en Informtica
Etapa de adecuacin
Actualizacin del plan general Sabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, as como estimar gastos y el numero de personas de las reas usuarias y de informtica que participarn en el proyecto. As, ya es posible estimar, con bastante precisin, los aspectos o componentes que se deben evaluar por cada rea de informtica durante el desarrollo de la etapa de adecuacin.
64
Auditoria en Informtica
Etapa de adecuacin
Plan detallado del proyecto de auditoria en informtica Es una de las tareas ms importantes de la etapa de adecuacin, ya que en ella se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que sern validados y aprobados en la etapa de formalizacin para arrancar el proyecto.
65
Auditoria en Informtica
Etapa de adecuacin
Hay dos tipos de planes detallados con orientacin diferente y objetivo comn:
Plan interno: Le corresponde al lder de proyecto y su propsito es hacer un seguimiento interno a las tareas y responsabilidades de los auditores en informtica. Plan detallado de auditoria en informtica: Se especifica el detalle emanado del plan general de auditoria en informtica definido en la fase de justificacin. Los datos mencionados en este plan pretenden ser gua del proyecto de auditoria desde el punto de vista del cliente, ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisin, etc.
66
Auditoria en Informtica
Etapa de adecuacin
Definicin de tcnicas y herramientas
Esta es una parte muy importante y estratgica para el buen desempeo de la auditora en informtica que consiste en definir las tcnicas y herramientas necesarias y fundamentales para revisar eficientemente cada rea seleccionada. Un claro ejemplo son los software que incluyen un conjunto de tcnicas como anlisis, documentacin, muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditora. La experiencia profesional que se haya obtenido en cada una de las reas (desarrollo, telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace ms viable la auditora como la definicin de soluciones.
67
Auditoria en Informtica
Etapa de adecuacin
Adecuacin a la alta poltica de empresa
Todas las tareas realizadas por la auditora en informtica deben cumplir con los estndares, polticas y procedimientos establecidos por las asociaciones profesionales relativas a la misma; tambin se cumplirn con los de las empresas donde se preste el servicio durante la gestin de auditoria. Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicacin de los estndares, polticas y procedimientos ms convenientes a las necesidades actuales y futuras del rea de especializacin a la que se dedican.
68
Auditoria en Informtica
Etapa de adecuacin
Definido y detallado el plan, el auditor proceder con objetividad y disciplina a establecer referencias cruzadas entre los estndares, polticas y procedimientos generalmente aceptados y cada uno de los componentes de informtica que se auditarn.
69
Auditoria en Informtica
Etapa de adecuacin
Elaboracin de cuestionarios
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluacin; de los mismos derivan entrevistas, visitas a los centros de cmputo o departamentos usuarios. Los cuestionarios representan una herramienta de gran valor para el auditor en informtica; se estructuran de manera que funcionan como gua para verificar la confiabilidad de la informacin del personal entrevistado; adems, permiten percibir el grado de cumplimiento de estndares, polticas y procedimientos que generalmente son aceptados.
70
Auditoria en Informtica
Etapa de formalizacin
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situacin de la empresa y de la funcin de informtica; en ellas se detectaron las debilidades y fortalezas ms relevantes, tambin se defini la planeacin y proyeccin de las reas que requieren ser auditadas, y se documentaron las adecuaciones. En esta etapa corresponde a la alta direccin dar su aprobacin y apoyo formal para el desarrollo del proyecto de auditora (presentado por el lder de proyectos y el responsable de auditora en informtica), de manera tal que, su funcin es justificar el desarrollo del proyecto basndose en lo que se hizo en las etapas anteriores.
71
Auditoria en Informtica
Etapa de formalizacin
1) Verificacin de prioridades, restricciones y alcances del proyecto:
La verificacin, validacin, clasificacin y documentacin de las prioridades, restricciones y alcances del proyecto tienen un alto valor para el auditor en informtica, ya que mediante su realizacin se clarifica el rumbo, lmites y cobertura que tendr el proyecto. Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de conformidad de cada participante.
72
Auditoria en Informtica
Etapa de formalizacin
Prioridades: Son las acciones que deben llevarse a cabo antes que las dems sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algn hecho que perjudica en alto grado al negocio. RestriccionesSon los hechos o circunstancias que no se identifican con facilidad y que ocurren o pueden ocurrir durante el transcurso de la auditora y que afectan directa o indirectamente al proyecto. Generalmente son limitaciones o carencias que no se podran resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto para asignar recursos al proyecto. Alcance: Aqu se aclara que se realizar en el proyecto (tareas, etapas) y los resultados (productos terminados). Lo que no se mencione aqu no se obtendr durante el proyecto.
73
Auditoria en Informtica
Etapa de formalizacin
2) Presentacin formal del plan de auditoria en informtica: Esta tarea es la ms importante para el lder del proyecto y el responsable de la auditoria en informtica, ya que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son: * Asegurarse de contar con toda la informacin resumida y presentable, ya que su principal audiencia ser la alta direccin. * Revisarla y verificarla con este ltimo. * Concertar en una cita en una fecha y lugar apropiados. * Ser fluido, claro y contundente en la presentacin. * Asegurar el entendimiento de la audiencia de los datos presentados.
74
Auditoria en Informtica
Etapa de formalizacin
3) Aprobacin formal del proyecto:
Esta no es una tarea que demande mucho tiempo a pesar de ser una de las ms importantes, ya que en ella surge la aprobacin formal del proyecto de auditoria. Dado el visto bueno de los involucrados, la responsabilidad de la funcin de auditoria en informtica es mas clara y evidente.
75
Auditoria en Informtica
Etapa de formalizacin
4) Compromiso ejecutivo:
Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta direccin, los usuarios clave, el responsable de informtica y el de la auditora se comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e implantacin de las acciones recomendadas por auditora en informtica en su informe final.
76
Auditoria en Informtica
Etapa de desarrollo
En esta etapa el auditor en informtica va a ejercer su funcin de manera prctica, es decir, comienza a ejecutar sus tareas con profesionalismo, tica personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
77
Auditoria en Informtica
Etapa de desarrollo
En esta fase se llevan a cabo las siguientes tareas: 1. Concertacin de fechas de entrevistas, visitas y aplicacin de cuestionarios: NOTA: Las visitas se realizan con el objetivo de validar el uso de polticas y procedimientos de seguridad y control, como el registro de acceso a centros de cmputo y reas en donde existe documentacin o tecnologa importante para el negocio, existencia de extintores, detectores de humo, etc.; respaldos de informacin en algn dispositivo, equipos en buen estado avisos de seguridad, etc. Actividades principales: Se solicita al responsable de informtica una lista con los nombres, puestos y departamentos del personal de informtica y de las reas usuarias involucradas en el proyecto. Hablar personal o telefnicamente con los involucrados para concertar citas. Productos terminados: Lista del personal de informtica y de usuarios Fecha y hora formal de cada entrevista
78
Auditoria en Informtica
Etapa de desarrollo
2. Verificacin de las tareas, involucrados y productos terminados: Actividades principales: Verificar si la tarea anterior alter el orden de las acciones mencionadas en el plan detallado Asegurar que los cambios sean mnimos y de bajo impacto en el plan. Documentar los cambios necesarios y justificados. Productos terminados: Cambios justificados Cambios documentados
79
Auditoria en Informtica
Etapa de desarrollo
3. Clasificar tcnicas y herramientas:
Actividades principales Verificar la lista de mtodos, tcnicas y herramientas sugeridas por el rea auditada. Verificar los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada rea que se auditar. Actualizar cuestionarios solo si es necesario, Elaborar entrevistas con base en la experiencia, cuestionarios y necesidades del proyecto. Clasificar y documentar segn el proyecto Productos terminados: Lista de mtodos, tcnicas y herramientas clasificadas por rea de revisin Cuestionarios actualizados y documentados de cada rea Entrevistas documentadas al personal de informtica y usuarios
80
Auditoria en Informtica
Etapa de desarrollo
4. Realizacin de entrevistas y cuestionarios:
Actividades principales Efectuar cada una de las entrevistas en las fechas y horas planeadas Aplicar cada uno de los cuestionarios en las fechas planeadas. Documentar las entrevistas y los cuestionarios Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros). Registrar entrevistas y cuestionarios Productos terminados: Entrevistas aplicadas y documentadas Cuestionarios aplicados y documentados Cancelaciones y causas documentadas Documentacin de comentarios de apoyo relevantes para el proyecto.
81
Auditoria en Informtica
Etapa de desarrollo
5. Efectuar visitas para la verificacin:
Actividades principales Validar objetivos e informacin buscados en cada visita. Efectuar visitas a centros de cmputos o a los usuarios de informtica. Notificar la visita a los representantes de dicho departamento. Registrar la informacin ms relevante y obtener el soporte requerido.
Registrar visitas pendientes.
Productos terminados: Visitas de revisin y verificacin efectuadas Documentacin de los datos relevantes relacionados con debilidades o falta de control y seguridad Registro de causas de visitas canceladas Fechas de visitas pendientes aprobadas por los usuarios y personal de informtica responsables de los lugares por visitar
82
Auditoria en Informtica
Etapa de desarrollo
6. Elaboracin de informes preliminares:
Actividades principales Analizar la informacin documentada que se origino en las entrevistas, visitas y aplicacin de cuestionarios Elaborar observaciones y conclusiones de cada uno de los componentes y reas auditadas Llenar hoja de resumen de observaciones y recomendaciones de la auditoria informtica. Productos terminados: Observaciones, conclusiones y recomendaciones verificadas y depuradas Reunin informal para la notificacin de avances del proyecto con el responsable de informtica y el responsable de cada rea de los usuarios Compromiso de terminacin de pendientes por medio de entrevistas, visitas o aplicacin de cuestionarios.
83
Auditoria en Informtica
Etapa de desarrollo
7. Clasificacin y documentacin del
informe preliminar
Actividades principales Registrar de manera formal cada observacin, conclusin y recomendacin sugerida, revisada y aprobada Clasificar la informacin por componente y rea auditada. Productos terminados: Observaciones, conclusiones y recomendaciones clasificadas y documentadas por: rea y componente
84
Auditoria en Informtica
Etapa de desarrollo
8. Finalizacin de tareas o productos
pendientes:
Actividades principales
Verificar lista de entrevistas, visitas y cuestionarios pendientes Finalizar cada tarea pendiente Analizar la informacin emanada de cada entrevista, visita o cuestionario terminados Elaborar observaciones y recomendaciones correspondientes Actualizar, documentar y clasificar el informe de la auditoria
Productos terminados: Entrevistas visitas y cuestionarios terminados Observaciones, conclusiones y recomendaciones clasificadas y documentadas en el informe de auditoria en infromtica por rea y componente
85
Auditoria en Informtica
Etapa de desarrollo
9. Elaboracin del informe final de la auditora
en informtica:
Actividades principales
Elaborar un informe orientado a la alta direccin Redactar un informe detallado (que contenga antecedentes, observaciones, recomendaciones, etc.) para el responsable de informtica y los usuarios clave. Verificar que el informe contenga al menos: antecedentes, observaciones, conclusiones, recomendaciones, responsables y tiempos por rea auditada. Productos terminados: Informe orientado a la alta direccin Informe detallado para el responsable de informtica y los usuarios clave
86
Auditoria en Informtica
Etapa de desarrollo
10. Presentacin a la alta direccin e involucrados clave: Actividades principales
Verificar que los informes sean claros, completos y congruentes entre s. Comprobar que se encuentre con el soporte documentado de lo mencionado en los informes Formalizar la fecha de la presentacin de informes a la alta direccin Elaborar una minuta Productos terminados: Informe verificados Informes finales Informes presentados a la alta direccin e involucrados clave del proyecto (responsable de informtica y responsable de los usuarios) Minuta de la reunin
87
Auditoria en Informtica
Etapa de desarrollo
11. Aprobacin del proyecto y compromiso ejecutivo: Actividades principales
Obtener la aprobacin y el compromiso formal de la alta direccin para luego elaborar un plan de implantacin general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por ultimo se delega a informtica y las reas usuarias la implantacin de las acciones recomendadas.
Productos terminados:
Aprobacin formal de la alta direccin relacionada con la terminacin del proyecto de auditora en informtica Compromiso ejecutivo para brindar el apoyo requerido en la etapa de implantacin de las recomendaciones contempladas en los informes Compromiso del responsable de informtica y de las reas usuarias para ejecutar la etapa de implantacin.
88
Auditoria en Informtica
Etapa de desarrollo
5. Revisin de estos informes:
Actividades principales Verificar cada una de las observaciones y recomendaciones por componente y rea con el lder del proyecto. Registrar sugerencias de auditoria para el mejor planteamiento de observaciones y recomendaciones Asegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de reporte, documentos fuente, etc.). Concertar citas con el responsable de informtica y los usuarios para sacar conclusiones. Productos terminados: Hoja de resumen de observaciones y recomendaciones de la auditoria informtica. Observaciones, conclusiones y recomendaciones por: rea y componente
89
Auditoria en Informtica
Informe preliminar
Deben de contener la siguiente informacin Observaciones (debilidades, carencias) de los aspectos de informtica auditados reas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informtica Recomendaciones preliminares para cada una de las observaciones encontradas Responsables de ejecutar las recomendaciones Actualizacin del plan de auditoria en informtica Revisin detallada de los aspectos que tengan un impacto considerable en la operacin del negocio o que soporten alguna estrategia del negocio
90
Auditoria en Informtica
Informe preliminar
Deben de contener la siguiente informacin Comunicacin abierta con los usuarios y el personal de informtica involucrados Presentar un plan de implantacin de auditoria en informtica factible y realista qye contemple los siguientes elementos:
Debilidades o carencias de control, su problemtica y causas que la originan Acciones inmediatas de corto y mediano plazo Responsables e involucrados en la implantacin de estndares, polticas y procedimientos en cada componente de informtica que as lo requiera Anlisis costo-beneficio del proyecto de implantacin Aprobacin formal de los directivos usuarios y del responsable de informtica
91
Auditoria en Informtica
Informe final
La funcin de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboracin del informe final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.
92
Auditoria en Informtica
Informe final
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditoria y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Se tiene que entregar el informe con una carta de introduccin o presentacin, la cual tiene especial importancia porque en el ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.
93
Auditoria en Informtica
Informe final
Estructura del informe final
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditoria no har copias de la citada carta de Introduccin. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 pginas. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.
94
Auditoria en Informtica
Informe final
a)
b) c)
Requisitos del informe final Ser veraz. Todas las consideraciones y conclusiones deben ser tomadas con certeza de que los datos son reales y de buena fuente Estar documentado formalmente Mostrar las observaciones (debilidades) encontradas, se clasificaran en orden de importancia o el impacto negativo que pueden tener en el negocio si no se atienden oportunamente. Si se considera conveniente, se deben de exponer los motivos de esa debilidad con el fin de aclarar las responsabilidades y percibir los efectos que pueden llegar a tener en el negocio Aqu es muy importante sealar que esas observaciones se identificaron a lo largo del proyecto y que, de alguna manera se comentaron con los responsables de las reas o funciones que la originaron, excepto en situaciones muy delicadas como fraudes o delitos graves contra la empresa.
95
Auditoria en Informtica
Informe final
d)
Contar con recomendaciones y soluciones para cada observacin, las cuales debern de tener una solucin clara y contundente que comprenda la siguiente observacin:
a) b) c) d)
e)
Observacin reas de oportunidad Productos terminados Plazos de implantacin Responsable de cada accin
96
Auditoria en Informtica
ETAPA DE IMPLANTACION
Esta es la ms importante para los involucrados en el proyecto de auditoria en informtica, ya que termina la tarea de los auditores y comienza para los responsables de las reas usuarias y de informtica. Ellos ejecutaran las acciones recomendadas en los informes detallados y aprobados por la alta direccin. La funcin del auditor se convierte as en una labor de seguimiento y apoyo.
97
Auditoria en Informtica
ETAPA DE IMPLANTACION
Los elementos clave de la etapa de implantacin son:
Definicin de requerimientos para el xito de la etapa de implantacin (la ejecuta el responsable de informtica): Aqu se analizan algunos aspectos (recursos humano, materiales tecnolgicos, inversiones, etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados anteriormente. Desarrollo del plan (tambin a cargo del responsable de informtica): Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobacin de la alta direccin.
98
Auditoria en Informtica
ETAPA DE IMPLANTACION
Los elementos clave de la etapa de implantacin son: Implantacin de las acciones sugeridas por auditoria en informtica (responsable de inf.): 1) Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior. 2) Consultar los informes para verificar acciones y tiempos de terminacin 3) Elaborar un plan de implantacin que tenga:
- Tareas - Productos terminados - Responsables e involucrados - Fechas de inicio y trmino - Fechas de revisin - Verificar tareas, productos terminados, etc. del plan de implantacin -Ejecutar cada una de las tareas
99
Auditoria en Informtica
ETAPA DE IMPLANTACION
Seguimiento
100
Auditoria en Informtica
Referencias
101