V.

PLANEACIN
1. 2. 3. 4. Proceso de planeacin del negocio. Proceso de planeacin en informtica. Proceso de planeacin de la auditora. Proceso de planeacin de la auditora en informtica.

Planeacin
La funcin de auditoria en informtica debe generar un plan de proyectos que justifique su trabajo durante cierto tiempo, con parmetros lo ms tangibles y mensurables posibles.
Cada proyecto de AI respalda los objetivos y requerimientos de tres entidades del negocio en alto o bajo grado: Alta Direccin, Auditoria e Informtica.

 Es muy importante la comunicacin entre la funcin de auditoria en informtica y la alta direccin, as como las direcciones o gerencias de auditoria o informtica. Para elaborar un plan maestro de auditoria que asegure un apoyo permanente y eficiente, se debe tener en cuenta: - Crear un comit de control y seguimiento
- Analizar los proyectos de negocio en forma conjunta. - Establecer fechas de reuniones formales e informales

5.1 Proceso de Planeacin del Negocio

Este proceso consiste en establecer las metas y cursos de accin del negocio, a travs de entrevistas y del anlisis detallado de cada uno de los procesos bsicos de la organizacin:
Empresa manufactura (produccin, ventas, rr. hh., administracin). Institucin bancaria (crditos, ahorros y RR.HH.). Otras empresas con giros bien definidos.

 Cualquier entidad privada o pblica de distintos tamaos y estructura organizacional debe formalizar el plan del negocio, ya que aqu se define el rumbo del mismo.
Los proyectos que se deriven de este proceso deben contemplar que:
Es un proceso que involucra todas las reas del negocio. Se evala el medio externo en sus diferentes entornos. Se apoya en asesores externos o especialistas del negocio. Detecta fortalezas, debilidades y oportunidades. Determina amenazas que representa la competencia. Determina metas y estrategias del negocio. Los proyectos se establecen a corto, mediano y largo plazo. Es aprobado por los accionistas o dueos del negocio. Etc.

Tareas bsicas del proceso de planeacin del negocio y responsabilidades

Actividad
Determinacin de las reas de oportunidad para el negocio. Elaboracin del plan del negocio

Responsable de Responsable de Comentarios ejecucin seguimiento

Gerente o coordinador de planeacin Gerente o coordinador de planeacin Alta direccin o director de planeacin Alta direccin o director de planeacin FODA, y proyectos de cada rea del negocio. Cada proyecto justifica su inversin

Presentacin del plan Director o gerente a los accionistas o de planeacin director general Ejecucin del plan de Gerente o negocio coordinadores de cada rea o proceso bsico del negocio.

Accionistas o alta Se realice al inicio direccin del negocio del periodo fiscal y se autoriza formalmente Alta direccin o gerente de planeacin Cada rea ejecuta los proyectos

 El periodo de elaboracin o actualizacin del plan de negocio depende de las estrategias y formalidades que tenga este proceso en cada negocio.

Se recomienda que, despus de haber sido aprobado de manera formal por los accionistas, se ejecute con eficiencia y se actualice al menos cada ao; esta actualizacin debe estar de acuerdo con las estrategias y metas del negocio y autorizada por la alta direccin.

5.2 Proceso de Planeacin en informtica

Consiste en definir los proyectos relacionados con el rea de informtica, en tiempos a corto, mediano y largo plazo. Cada proyecto debe estar orientado a las metas y estrategias especificas del negocio.

Tareas bsicas del proceso de planeacin en informtica y responsabilidades

Actividad
Determinacin de las reas apoyadas por informtica Elaboracin del plan de informtica

Responsable de Responsable de Comentarios ejecucin seguimiento

Coordinador o Supervisor de planeacin de informtica Coordinador o Supervisor de planeacin de informtica Director o gerente de informtica Las reas se derivan del plan de negocios

Director o gerente de informtica

Involucrarse en cada tarea

Presentacin del plan Director o gerente de a la alta direccin informtica

Alta direccin del negocio

Verificar el anlisis costo-beneficio de cada proyecto Funciones hechas por el mismo personal o externos

Ejecucin del plan de Funciones de auditoria informtica: Desarrollo, investigacin, otros

Gerente o Supervisores

Proceso de la Planeacin de la Auditoria

Definir un conjunto proyectos de evaluacin y verificacin de polticas, controles y procedimientos inherentes a las reas administrativas, financieras, operativas, etc. del negocio, con objeto de asegurar el buen manejo y administracin de los recursos de la organizacin.
En el negocio, los diferentes planes emanados del plan de auditoria son implantados y llevados a cabo en diferentes periodos, de acuerdo con los requerimientos y caractersticas del negocio.

Proceso de Planeacin de la Auditoria

Los negocios deben tener un conjunto de polticas emanadas por la alta direccin que manifiesten la necesidad de contar con una funcin externa o interna del negocio que asegure la congruencia de todos lo estados financieros y contables con las operaciones y transacciones que se realicen en la empresa.
Esta funcin ha de ser un rea de control y aseguramiento, entidad independiente y capacitada.

La funcin de auditoria se ocupa de la planeacin, ejecucin y seguimiento de las polticas, controles y procedimientos establecidos por la alta direccin.

Tabla 5.3 Tareas Bsicas del Proceso de Planeacin de Auditoria y Responsabilidades

Proceso de Planeacin de la Auditoria Informtica

Definicin y formalizacin de proyectos. Actividades desarrolladas por el Auditor de Informtica. Asegurar la calidad y el control de los diferentes elementos que se encuentran relacionados de manera indirecta con los recursos de informtica.

Tabla 5.4 Tareas Bsicas del proceso de planeacin de

auditoria en informtica y responsabilidades
Actividad Responsable de Ejecucin Responsable del Seguimiento Director o Gerente de auditoria en Informtica Director o Gerente de auditoria en Informtica Alta Direccin del Negocio

Determinacin de las reas por auditar en el negocio Elaboracin del Plan en Auditoria Informtica Ejecucin del Plan en Auditoria en Informtica Presentacin del Plan a la alta direccin

Coordinador o supervisor de auditoria en informtica Coordinador o supervisor de auditoria en informtica Director o Gerente de auditoria en Informtica Supervisor o auditores de Informtica (externos o internos)

Gerente o supervisores de la funcin de auditoria en informtica

Proceso detallado de la planeacin de Auditoria Informtica

Depende del diagnstico previo que haga el auditor en informtica de la situacin que prevalece en cada una de las reas o servicios de la funcin de informtica. El diagnstico de la situacin informtica previo, deber ser breve y objetivo.
El objetivo principal es determinar las reas de mayor riesgo de la funcin de informtica con base a diferentes criterios.

Actividades sugeridas para el proceso

Elaboracin, Documentacin, Autorizacin y Difusin Formal del Plan de Auditoria en Informtica.

Identificar el nivel de Riesgo de cada uno de los elementos que integran la funcin de informtica (diagnstico de la situacin actual).
Las reas a ser diagnosticadas pueden variar de acuerdo al tamao y estructura del negocio.

Actividades sugeridas para el proceso

Algunos Servicios:
Sistemas de Informacin en operacin. Administracin de Hardware y software. Desarrollo de Sistemas de Informacin. Soporte a Usuarios (capacitacin, asesora, etc.) Administracin de Telecomunicaciones. Investigacin y desarrollo tecnolgico. Otros.

Actividades sugeridas para el proceso

Consideraciones a tener en cuenta para efectuar el diagnstico de la situacin actual:

El auditor en informtica ha de conocer de manera aceptable los aspectos relativos a auditora e informtica que deben tener cada una de las reas de Informtica. Se apoyar en la visin de los principales Usuarios del negocio y del responsable de Informtica.

Diagnostico de la Situacin actual de los SI en Operacin.

Manera de llevar el diagnostico:

Obtener una lista de los principales SI y de sus usuarios principales.

Obtener comentarios positivos y negativos de los usuarios de cada SI. Registrar fallas ms comunes del Sistema de computo. Anotar fecha de liberacin de Sistemas y su ltima auditora. Revisar la configuracin del equipo donde fue instalado. Se estudia su integracin a otros SI.

Evaluar otros aspectos de inters del auditor.

Debilidades que pueden motivar la Auditoria de un SI Primero: Que el sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento. Segundo: Que el sistema nunca haya sido auditado, esto sugiere una auditoria inmediata, intermedia o final.

Clasificacin del Nivel de Riesgo que Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados tecnolgico confiable, seguro y eficiente.
Equipos o Paquetes de Sw.
Mantenimiento de la tecnologa del Equipo y Sw. Diversos factores motivan la intensidad de la auditoria de Hw.

en un ambiente

Evaluacin del nivel de Riesgo que representa el uso inadecuado de Productos y Servicios
Se refiere al grado de conocimiento sobre uso de servicios, Sw y equipos. Informacin de apoyo: Organigramas, descripcin de puestos y polticas relacionadas a productos y servicios de informtica. Se debe determinar el grado de confianza del usuario con el manejo del sistema, paquetes de Sw y equipos.

Otros Aspectos: Telecomunicaciones, redes, automatizacin de procesos.

Estos se evalan internacionales. en base a estndares

Considerar la proyeccin de uso que piensa darle el negocio a corto, mediano y largo plazo. Tener en cuenta comentarios especializado en el rea. de personal

Clasificacin de Riesgos segn criterios de la Funcin de Auditoria en Informtica

Cumplimiento de Estndares. Cumplimiento formal de polticas y procedimientos. Grado de Satisfaccin: Alta Direccin y personal usuario. Prioridades de la alta direccin. Prioridades de la funcin de auditoria en informtica. Otros de inters del auditor.

Elaboracin de una matriz de Riesgos

Muestra las reas de la funcin de informtica susceptibles de auditoria. Resultados en forma descendente.

Entidades o reas con mayor y menor riesgo.

Elaboracin de un Plan consolidado de Proyectos.

Considera:

Fechas de inicio y final de cada Auditoria.

Etapas de cada auditoria.

Tareas principales de cada etapa. Equipo de Trabajo (auditor, representantes, ) Requerimientos (recursos, apoyo, capacitacin, ...)

Revisin de la Matriz de Riesgos

Pronosticar proyectos de auditoria en informtica con la gerencia.
Visto bueno antes de presentarlo a la alta direccin. Se cubren los siguientes Aspectos: rea por auditar, prioridad, Fechas de inicio y final, involucrados, responsables, fechas de revisin y otros.

Presentacin del plan de proyectos a la alta direccin.

Tiene como finalidad:

Conocer los proyectos de auditoria informtica.

Verificar contemplacin de reas fundamentales.

Compromiso de la alta direccin con los auditores. Obtener la aprobacin del plan de auditoria en informtica por parte de la alta direccin.

Realizacin de cada proyecto de acuerdo con el plan de Auditoria en Informtica.

Ejecucin de actividades de seguimiento. Revisin formal de cada proyecto.

Integracin y formalizacin de Equipos de trabajo.

Equipos Integrados por:
Gerente (s) de las reas usuarias que se evaluarn. Gerente de la Funcin de Informtica.

Lder del proyecto de la funcin de AI.

Planeacin
Proceso de Planeacin, pilar de todas las actividades que se ejecutan en la organizacin
Prdidas Irreparables - Decepciones Planear es una prdida de tiempo y un recipiente de buenos deseos. Si no se planea el trabajo, es lgico pensar que tampoco se planean las anomalas y decepciones que dicho trabajo acarrear.

Planeacin
Problema, proyectos mediano-largo plazo: Falta de definicin de funcin, responsabilidad, tiempos ni resultados. Dejemos de depender de la buena suerte No se vive de buenos deseos sino de metas claras, medibles y factibles. Principal Beneficio: Poder asegurar, con alto grado de credibilidad, cunto invertir y cunto se obtendr de beneficio; plazos claros y establecidos.

Planeacin
Un proceso formal contiene los siguientes elementos: Etapas Tareas Actividades Costos/Beneficios Resultados esperados por actividad, tarea y etapa Responsables de cada actividad tarea Involucrados participantes Revisiones Formales e informales Tcnicas para ejecutar actividades Herramientas para realizar las actividades del proyecto

Planeacin
Requisitos mnimos para que la planeacin en auditora informtica sea formal, permanente y exitosa: Involucramiento directo del auditor en informtica en el proceso de planeacin estratgica
Requerimientos Tiempos Prioridades de cada proyecto

Compromiso del responsable de auditora para implementar un esquema de control y seguridad preventivo y completo.

Planeacin
Participacin en el proceso de planeacin de auditora tradicional, para hacer control y medidas correctivas.
Beneficios de la participacin, supresin: Riesgos de no planear la auditora Responsables de tareas inadecuados Falta de compromiso de los involucrados en el proyecto Aparicin de costos imprevistos Retrasos en la obtencin de beneficios Mala calidad en los resultados Rotacin del personal clave Inadecuada segregacin de tareas y actividades,

Aprobacin formal de la Alta Direccin del informe final de la Auditoria en Informtica realizada
Se dar seguimiento oportuno y formal a cada una de las recomendaciones contempladas en el informe. Aplicacin de Polticas internacionalmente. y controles estandarizados

Implantacin del proceso de planeacin de auditoria en informtica, permanente.

Tabla 5.5 Tipo de proyectos con responsables e involucrados sugeridos

Tipo de Proyectos Responsables Accionistas Directores Involucrados Gobierno, asesores Gerencias, asesores

Negocio
Adquirir empresas Reduccin de costos Reingeniera Informtica Automatizacin de oficinas Red Local Desarrollo de sistemas Informtica Informtica Informtica Proveedores, reas usuarias Proveedores, usuarios de la red reas usuarias, asesores

Accionistas, directores Asesores, gerencias, clientes y proveedores

Tipo de Proyectos Auditora

Responsables

Involucrados

Financiera
Fiscal

Auditores internos o externos

Auditores internos o externos

reas de la empresa
reas de la empresa

Operativa
Auditora en informtica Auditora a sistemas de informacin

Auditores internos o externos

reas de la empresa

Auditores en informtica internos o auditores externos

Informtica, usuarios de los sistemas de informacin

Auditora en seguridad

Auditores en informtica internos o auditores externos

Auditores en informtica internos o auditores externos

Informtica, reas usuarios de los recursos de informtica

reas de operacin informtica y reas usuarias

Auditora en el mantenimiento de Hw y Sw

VI. METODOLOGIA PARA EL DESARROLLO E IMPLANTACION DE LA AUDITORIA EN INFORMATICA

Metodologas para el Desarrollo e Implantacin de la Auditora en Informtica

Experiencia conocimientos habilidades

Metodologa

Proceso Metodolgico de la Auditora en Informtica

Ventajas
Eliminacin de Informalidad

Obtencin de procesos de calidad Mejor Administracin Mejor Comunicacin

Facilidad de Seguimiento

Proceso Metodolgico de la Auditora en Informtica

Requisitos de xito
Adecuacin a requerimientos del negocio

Capacitacin en la metodologa

Planes AI acordes
Comprobacin de uso

Estratgia para implantar un proceso metodolgico de Auditora en Informtica

Preliminar (Diagnstico) Justificacin

- Negocio
- Informtica

- Areas a Auditar
- Plan propuesto

Revisin Informal

Adecuacin

Formalizacin

- Mtodos
- Tcnicas - Herramientas

- Aprobacin
- Arranque

Revisin Formal

Desarrollo - Entrevistas Aprobacin Formal - Visitas - Observaciones Implantacin - Acciones Preventivas y Correctivas - Recomendaciones - Informe de auditora

- Seguimiento

Proceso metodolgico general de la Auditora en Informtica

Mtodos Tcnicas y herramientas por rea de revisin (i)

Factores que aseguran resultados satisfactorios de la AI:

Dominio de los conceptos tcnicos y administrativos relacionados.

Habilidades inherentes a la AI.

Entendimiento de la AI y sus tendencias. Adaptacin o actualizacin segn el medio dominante.

Organizacin y administracin formal de la AI en el negocio.

Involucramiento formal en el proceso de planeacin del negocio informtica y de la auditora tradicional.

Desarrollo de un proceso formal de planeacin de AI.

Mtodos Tcnicas y herramientas por rea de revisin (ii)

Entendimiento y aplicacin de un proceso metodolgico formal de la AI. Gusto e identificacin profesional por la carrera de AI. Participacin formal, en asociaciones, instituciones educativas, etc., con fines de actualizacin o de compartir las experiencias profesionales en el campo de la AI. Entendimiento satisfactorio de los mtodos, tcnicas y herramientas necesarios para auditar las reas seleccionadas en el proceso de planeacin de la AI. Otras de acuerdo a la organizacin

Resumen
Objetivos de la metodologa de AI
Definir clara y detalladamente los requerimientos y condiciones que justifiquen cada proyecto . Las debilidades o carencias de polticas y procedimientos existentes en las reas relacionadas con informtica que generen necesidades de una auditoria. Responder a una solicitud expresa de la alta direccin para auditar la funcin de informtica en alguno de sus componentes Definir etapas o secuencias del proyecto (evaluacin preliminar, adecuacin, justificacin, formalizacin, desarrollo, implantacin) Especificar funciones y responsabilidades del personal que participar en los proyectos de AI (usuarios, lider, personal apoyo y auditor). Definir tcnicas y herramientas mnimas para cada etapa del proyecto de AI (muestreos, entrevistas, cuestionarios, inspeccin, observacin, documentacin, sw de auditora, anlisis de procesos de negocios, anlisis de sistemas, lenguajes de programacin, paquetes y equipos de computo).

Resumen
Herramientas de la metodologa de AI
Auditorias peridicas establecidas en la empresa formalmente. Auditorias emanadas de manera excepcional de factores no considerados en el plan de auditoria en informtica desde el inicio.

Actividades de apoyo a la auditoria tradicional en la revisin de sistemas de informacin, aspectos de seguridad, etctera

Los elementos que intervienen en cada proyecto que vaya a ejecutar el auditor en informtica debern orientarse a integrar tanto los aspectos metodolgicos, como los recursos humanos, econmicos y materiales.

ETAPA PRELIMINAR Diagnstico de la Situacin Actual.

Diagnstico del negocio: alta direccin y reas usuarias

Primer paso prctico para estimar el grado de satisfaccin de la alta direccin en los productos, servicios y recursos de informtica del negocio (fortalezas, aciertos y apoyo).
Identificar las reas de oportunidad de la informtica para hacer ms competitivo y rentable el negocio. Entender los puntos fuertes y dbiles de la funcin informtica, desde el punto de vista de la alta direccin y de los usuarios clave.

Tareas, productos terminados, responsables e involucrados

Etapa Tareas Productos Responsable Involucrados Diagnstico preliminar 1. Diagnstico de negocio 1.1 Misin y objetivos del negocio 1.2 Organizacin de informtica 1. 3 Grado de apoyo al negocio LP/RAI LP/RAI LP/RAI AD AD AD/PU

2. Diagnstico de Informtica

2.1 Misin y objetivos de la funcin de informtica 2.2 Organizacin de informtica 2.3 Control 2.4 Productos y servicios

LP/RAI LP/RAI LP/RAI LP/RAI

RI RI RI/PI RI

3. Detectar reas de oportunidad

3.1 rea de oportunidad para mejoras inmediatas

LP/RAI

AD/PU/RI

Nomenclatura: AD alta direccin; PU personal usuario; RI responsable del rea de informtica; PI personal de informtica; RAI= responsable del rea de auditora en informtica; LP lider del proyecto de auditora en informtica; AI auditor de informtica.

Conocimiento del negocio

El Auditor en informtica debe conocer el tipo de organizacin, y nivel jerrquico de la funcin informtica, los procesos bsicos del negocio y las entidades externas relacionadas.
Aspectos relevantes a considerar: -Misin del negocio -reas o proceso del negocio -Organigrama -Relacin entre las reas -Relacin con las reas externas -Polticas referentes a informtica -Otros

Apoyo al negocio
Obtener una idea global del grado de apoyo y satisfaccin que existe en el negocio y de la orientacin de la funcin informtica: Apoyo a alta direccin (SI estratgicos), apoyo a las gerencias (SI integrales), apoyo a niveles operativos (SI transaccionales)
Aspectos a conocer: -Participacin de la funcin informatica en los pys. clave -Difusin de las polticas y planes informticos en los niveles del negocio -Imagen de informtica ante la alta direccin y los responsables de rea -Grado de satisfaccin y expectativas -Fortalezas y debilidades de informtica -reas de oportunidad -Otros

reas de oportunidad
Deteccin de las caractersticas que facilitarn la implantacin de soluciones informticas de relevancia para el negocio Proponer acciones que redunden el beneficios directos para la alta direccin (a corto, mediano largo plazo).
Aspectos a considerar: -Reubicacin de la funcin informtica en la estructura organizacional -Actualizacin tecnolgica -Sistematizacin de algunas reas de negocio -Formulacin/Divulgacin de polticas y planes informticos -Otros

Diagnstico de informtica: responsables de la funcin

CONOCIMIENTO DE LA FUNCIN DE INFORMATICA
-Estructura interna de informtica -Funciones -Objetivos -Estrategias -Planes -Polticas -Otros

SERVICIOS
-Implantaciones de soluciones de informacin -Evaluacin, adquisicin, instalacin, mantenimiento y reemplazo de H&S -Mantenimiento -Soporte a usuarios -Investigacin -Otros

ASPECTOS DE CONTROL
-Polticas y procedimientos de organizacin de la funcin informtica. -Descripcin de puestos y funciones -Evaluacin de desempeo -Polticas y procedimientos para el desarrollo e implantacin de sistemas -Polticas y procedimientos de seguridad -Polticas y procedimientos de mantenimiento -Plan de contingencias -Otros

AREAS DE OPORTUNIDAD
Capacitacin o actualizacin profesional del personal de informtica. -Creacin y difusin de nuevos servicios de informtica al negocio -Reubicacin de la funcin informtica en la estructura organizacional -Capacitacin a los niveles ejecutivos o a los usuarios clave acerca de las aplicaciones instaladas -Actualizacin tecnolgica -Sistematizacin de algunas reas de negocio -Creacin de algn comit de informtica -Formalizacin y divulgacin de polticas y planes de informtica en el negocio -Otras

ETAPA DE JUSTIFICACION