Professional Documents
Culture Documents
Justificacin
- Negocio
- Areas a Auditar
- Informtica
- Plan propuesto
Adecuacin
Revisin Informal
Formalizacin
- Mtodos
- Aprobacin
- Tcnicas
- Arranque
Revisin Formal
- Herramientas
Desarrollo
Aprobacin Formal
- Entrevistas
- Recomendaciones
- Visitas
- Informe de auditora
- Observaciones
Implantacin
- Acciones Preventivas y Correctivas
- Seguimiento
Matriz de riesgos/justificacin
por rea de revisin
Proceso metodolgico de la auditora en
informtica
Etapa
Tareas
Productos
Responsable
Involucrados
Hacer matriz Matriz
de Lder de proyecto / Responsable del rea
de riesgos
riesgos
Auditor en Informtica de auditora informtica
Justificar
la
auditora
por
cada rea de
revisin
Justificacin Hacer un plan
de auditora en
informtica
(global)
Aprobacin del
plan
Plan
aprobado
Lder de proyecto
Matriz de riesgos
Areas suceptibles de auditar:
Administracin de informtica
Direccin y niveles ejecutivos
Usuarios de informtica
Control interno
Ciclo de desarrollo e implantacin de SI
Mantenimiento
Redes locales
Matriz de riesgos
Areas suceptibles de auditar:
Hardware: microcomputadoras,
minicomputadoras y mainframes
Software: paquetes de uso generalizado y
especfico, lenguajes de programacin, SO
Seguridad
Investigacin tecnolgica: CASE, EDI,
Multimedia
Otros de inters especfico para el auditor en
informtica
Matriz de riesgos/justificacin
por rea de revisin
Consideraciones sobre la elaboracin de la matriz
de riesgos:
Es una tarea relevante y necesaria para el auditor en
informtica
Los parmetros para medir el nivel de riesgos varan
con:
la experiencia y conocimiento en auditora
el grado de profundidad y anlisis
Matriz de riesgos/justificacin
por rea de revisin
Consideraciones sobre la elaboracin de la matriz
de riesgos:
Algunos hechos indican la existencia de riesgos:
Software pirata
Inexistencia de metodologas o informalidad en su uso
Comunicacin nula o informal entre informtica y alta
direccin o reas usuarias
Compromiso Ejecutivo
Presentacin del plan
Actividades del Auditor en Informtica
Revisar el Plan
Documentar
Fechas
ETAPA DE
JUSTIFICACION
Etapa de Justificacin
reas de oportunidad
Matriz de riesgos
Plan general
Compromiso ejecutivo
Introduccin
En la etapa de justificacin se justifica la
revisin o evaluacin de las reas o funciones
crticas relacionadas con informtica.
Productos terminados
ms importantes de la
etapa
1
Matriz de riesgos
.
3
Compromiso ejecutivo
.
Introduccin
Metodologa de la Auditora en Informtica
Etapa de
Justificacin
rea a auditar
Plan propuesto
Etapa Preliminar
o de Diagnstico
Etapa de
Adecuacin
Aprobacin formal
Revisin informal
Etapa de
Formalizacin
Revisin formal
Etapa de
Desarrollo
Etapa de
Implantacin
Tareas
Productos
Responsable Involucrados
Diagns
Prelimin
3.
Detectar rea de
oportunidad
3.1
rea de oportunid.
mejoras inmediatas
Justifica
cin
1.
Hacer matriz de
riesgos
1.1
2.
Justificar la auditora
por
cada rea de revisin
Nomenc
latur
a
LP/RAI
AD/PU/RI
Matriz de riesgos
LP/AI
RAI
2.1
Justificacin de la
matriz
de riesgo
LP/AI
RAI
3.
Hacer un plan de
auditora
en informtica (global)
3.1
Plan general de
informtica
LP
RAI/AI
4.
4.1
Plan aprobado
LP
RAI/RI
AD =
PU =
RI =
PI =
RAI =
LP =
AI =
alta direccin
personal
usuario
responsable
del rea de
informtica
personal de
informtica
responsable
del rea de
auditora de
informtica
lder de
proyecto de
auditora
informtica
auditor de
informtica
Etapa
Productos
Responsabl
e
Involucrados
Justificacin
1. Hacer matriz de
riesgos
LP / AI
RAI
2. Justificar la
auditora por cada
area de revisin
2.1 Justificacin de la
matriz de Riesgo
LP / AI
RAI
3. Hacer un plan de
Auditora en
informtica (global)
LP
RAI / AI
LP
RAI / RI
Nomenclatura: LP: Lder del proyecto AI: Auditor en Informtica RAI: Responsible
del rea de Auditora de Informtica RI: Responsible del rea de Informtica
reas de oportunidad
Etapa
preliminar
Etapa de
justificacin
reas de
oportunidad:
provechosas y
de alto
beneficio
Comienza el plan de
auditora en informtica
con deduccin y
objetividad
Orientadas a dar un
valor agregado al
negocio
Enfocadas a la
reas de oportunidad
Proyectos que deben ser
responsabilidad directa de
informtica son:
Elaboracin y difusin de
polticas y procedimientos de
control interno
Evaluacin del cumplimiento
formal del control interno
Auditora a sistemas de
informacin (contabilidad,
inventarios, inversiones, etc.)
Establecimiento de controles y
procedimientos operativos a
sistemas de informacin antes de
implantarse
Otros
Matriz de Riesgos
Objetivo Principal: detectar las reas de mayor
riesgo en relacin con informtica y que requieren
una revisin formal y oportuna.
Aspectos mas importantes del procedimiento de
anlisis y elaboracin de la matriz:
Identificar el nivel de riesgo de cada uno de los
elementos que integran la funcin informtica
en el negocio.
Matriz de Riesgos
Las reas que sern diagnosticadas puede
variar segn el tamao y estructura del
negocio, originando que el auditor asuma
diferentes enfoques.
Algunos servicios de informtica:
Matriz de Riesgos
El auditor debe utilizar todos los parmetros de
medicin y evaluacin posibles sin caer en un
anlisis detallado.
Determinar el nivel de riesgo que existe en cada
rea de la funcin de informtica.
Matriz de Riesgos
El auditor en informtica debe conocer de
manera aceptable los aspectos relativos a cada
una de las reas de informtica.
Se apoyar en la visin de los principales
usuarios del negocio.
Analizar y clasificar todas las debilidades o
anomalas que encuentre.
Matriz de Riesgos
Es una tarea relevante y necesaria para el
auditor en informtica.
Los parmetros para medir el nivel de riesgos
pueden variar de acuerdo con factores como la
experiencia y conocimiento en auditoria.
Hechos que indican la existencia de riesgos
relevantes.
Revisar la matriz de riesgos con el responsable
de auditoria.
Asegurarse de tener el soporte que requieran las
debilidades o anomalas detectadas.
Matriz de Riesgos
Circunstancia
Riesgos
Software pirata
Problemas legales
Mala imagen ante clientes y proveedores.
Susceptibilidad de virus computacionales
Falta de documentacin.
Prdida de ofertas del proveedor del software.
Inexistencia de
metodologas o
informalidad en su uso
(implantacin,
desarrollo, etc.)
Matriz de Riesgos
reas
Aspectos o componentes
susceptibles por evaluar del rea
de auditar
Riesgo
por
compo
nente
%
%
%
%
Sistemas
de
informaci
n
Planeacin
Desarrollo
Operacin
Soluciones de mercado
%
%
%
%
Redes
locales
Administracin
Instalacin
Operacin / seguridad
%
%
%
Clasificaci
n del riesgo
por rea
(Total)
Secuencia para
auditar cada
componente y rea
segn el nivel de
riesgo estimado
Gerencia:
Fecha de aprobacin:
Representante usuario:
Representante de informtica:
reas por
auditar segn
clasificacin y
prioridades
Aspectos o
componentes del
rea por auditar
Prioridad
asignada
Clasificac
Fecha de
in del
inicio / Fecha
riesgo por
de
rea
terminacin
(total)
rea
seleccionada
Componente(s)
seleccionado(s) del
rea
Nmero
aa/mm/dd
aa/mm/dd
rea
seleccionada
Componente(s)
seleccionado(s) del
rea
Nmero
aa/mm/dd
aa/mm/dd
rea
Componente(s)
Nmero
aa/mm/dd
Compromiso Ejecutivo
Objetivo: obtener el visto bueno inicial
de la alta direccin, usuarios clave y del
responsable de informtica.
Aspectos fundamentales:
Presentacin del plan:
Resumen del diagnstico actual.
reas de oportunidad.
Matriz de riesgos.
Prioridades
Otros comentarios de apoyo.
Compromiso ejecutivo
Empresa:
Gerencia:
Fecha de aprobacin:
Representante usuario:
Representante de informtica:
Aspectos o
componentes del
rea por auditar
Prioridad Clasificacin
Fecha de
asignada
del riesgo
inicio / Fecha
por rea
terminacin
(total)
Nmero
aa/mm/dd
aa/mm/dd
Nmero
aa/mm/dd
aa/mm/dd
Nmero
aa/mm/dd
aa/mm/dd
Compromiso ejecutivo
Objetividad y claridad
Justificar cada una de las reas por auditar.
Lograr que la alta direccin tome conciencia
del compromiso requerido de su parte.
Recibir una aprobacin formal del plan
general.
Indicar fechas de inicio y terminacin
estimadas.
Compromiso Ejecutivo
Principales actividades:
Revisar el plan general.
Fecha posible de reunin con los involucrados.
Documentar y resumir el diagnstico actual.
Verificar y documentar reas de oportunidad y
riesgos.
Justificar cada rea de revisin.
Negociar fecha de revisin y aprobacin del plan.
Efectuar reunin.
Compromiso Ejecutivo
Exponer y justificar el plan de auditora.
Obtener aprobacin formal del plan
general.
Establecer fechas de inicio del proyecto.
Obtener el compromiso ejecutivo.
Otros.
Resumen
Etapa de justificacin: elaborar un
documento fundamental para la elaboracin
del proyecto:
Matriz de riesgos.
Plan de auditora en informtica.
Compromiso ejecutivo.
Resumen
Documentar y programar el conjunto de reas a
auditar.
Se deriva de los siguientes elementos:
Resumen
Requerimientos especficos de la
alta direccin para auditar.
El auditor en informtica debe ser lo ms especfico
posible
Matriz de riesgos ninguna confusin.
Elementos de apoyo:
Descripcin de debilidades encontradas.
Consecuencias de stas, actuales o futuras.
Resumen
Explicacin objetiva de la solucin
recomendada
Detallar todas las reas y componentes de
informtica que presentan debilidades.
Clasificar por porcentaje de riesgo de acuerdo
con la importancia e impacto; tambin, sealar
el orden prioritario.
Establecer un compromiso ejecutivo, a fin de
que se vayan programando y estimando
recursos para que el proyecto de auditora sea
exitoso.
ETAPA DE
ADECUACIN
Introduccin
Etapa de justificacin
Etapa de adecuacin
Etapa de formalizacin
03/14/15
ETAPA
TAREAS
ADECUACION
PRODUCTOS
RES
INV
LP
RAI
proyecto y su detalle
AI/R
AI
AI
AI
AI
RAI
LP
LP
LP
LP
4.1 Tcnicas
4.2 Software
4.3 Equipo de cmputo
4.4 Otros de inters para el
5.1
Polticas y proced por
auditor
verificar de acuerdo con cada
rea por auditar
5.2 Polticas complementarias
6.1 Cuestionarios para cada rea
que ser auditada
6.2 Cuestionarios adicionales
AI
AI
AI
AI
AI
LP
LP
LP
LP
LP
AI
LP
AI
LP
AI
LP
Definicin y formulacin de
objetivos de xito por rea
03/14/15
Cancelaciones
03/14/15
Prioridades
03/14/15
Requerimientos
03/14/15
Expectativas
03/14/15
Nuevos Involucrados
03/14/15
Cancelaciones
Prioridades
Requerimientos
Expectativas
Nuevos Involucrados
03/14/15
Cambio
Motivo de cambio
Responsable de solicitar el cambio
Tareas o fechas que afecta
reas por evaluar afectadas por el cambio
Otros
03/14/15
Plan detallado de
auditoria en
informtica
Tareas
Producto
s
Involucrados
Responsable
Revisione
s
Duracin
Preliminar
justificacin
Adecuacin
Formalizaci
n
Desarrollo
Implantacin
Describen tareas
Productos terminados
Responsables
Involucrados
Fechas de revisin
Cliente
Tarea
Actividades
Productos
terminados
Responsable
Involucrados
Alta
direccin
usuarios
informtica
2. Documentar
Evaluaci 1. Concertar
n de las
citas
reas por
auditar
2. Realizar
entrevistas
Fecha
inicio
fecha
trmin
o
Fechas
de
revisi
n
Tarea
Actividades
Productos
terminados
Responsable
Involucrados
Documentar
el informe
final del PY
1. Elaborar el
informe de la
alta direccin
Informe de
la alta
direccin
Lder de PY
Usuarios
informtica
2. Elaborar el
informe
detallado
Informe
detallado
(para
usuarios e
informtica)
Auditores en
informtica
1. Presentar
los informes
de la alta
direccin
actualizados,
revisados y
detallados
Informes
revisados
Informes
aprobados
formalmente
Responsable de
la funcin de
auditoria en
informtica
2. Realizar
entrevistas
Datos
Auditores en
Documento Informtica
s de soporte
Otros
Revisin del
informe
final de la
auditoria en
informtica
Alta direccin
Usuarios
clave
Responsable
de la funcin
de informtica
Fecha
inicio
fecha
trmino
Fechas
de
revisin
DEFINICIN O ACTUALIZACIN DE
ESTNDARES, POLTICAS Y
PROCEDIMIENTOS POR REA DE
REVISIN
ESTNDARES,
POLTICAS,
PROCEDIMIENTOS
OBJETIVO
PRINCIPAL
UTILICEN
METODOLOGA
Consideraciones
Debe haber compatibilidad y congruencia entre las
reglas de trabajo y las habilidades del personal
Las actividades relacionadas con informtica operan
bajo estndares aceptados en el medio de dicho
campo
Las funciones de desarrollo, implementacin, la
planeacin de informtica o de telecomunicaciones
se encuentran en un marco nacional e internacional
APLICAR
Estndares,
polticas,
procedimientos
Consideraciones
Los estndares se orientan a uniformar mtodos de
trabajo, tecnologas, costos, cualidades, etc.
El AI no depender de lo que dicten a nivel nacional o
internacional
Normas
Internacionales
NO
Control y seguridad
Justificar la necesidad de su existencia
Autorizados por el responsable donde se ejercern
Aprobados por la alta direccin
ELABORACIN O
ACTUALIZACIN DE
CUESTIONARIOS POR REA DE
REVISIN
estn
Orientados
Debilidades
Control
Seguridad
Actualizacin
Orientados a aspectos evaluados
Sintticos
Tcnicos
Conclusiones
Definir los objetivos y requerimientos de
cada rea que se va a auditar es de mucha
importancia para lograr el xito de nuestro
proyecto.
Evitar caer en un ciclo en las
actualizaciones, esto genera retrasos al
acuerdo inicial.
Conclusiones
Los componentes de la matriz de
riesgos deben ser confirmadas y verificar
si los objetivos son los adecuados.
Para obtener mayor beneficio se debe
trabajar con estndares ya sean internos,
nacionales o internacionales.
Capitulo 11
Etapa de Desarrollo
ETAPA DE DESARROLLO
Etapa ms importante:
Comprende de:
Concertacin de fechas de entrevistas, visitas, cuestionarios.
Verificacin de tareas.
Clasificacin de tcnicas, entrevistas.
Visitas de verificacin.
Aplicacin de cuestionarios.
tica
personal
Habilidades
Metodologa
Tcnicas
Herramientas
productividad
Experiencia
Seguridad y confianza
Verificar y
dar seguimiento
Funciones de involucrados
Detectar
reas de oportunidad
Verificar
Impulsar al
cumplimiento
Actividades ms importantes
Coordinar los recursos humanos.
Impulsar apoyo permanente.
Motivar a los involucrados.
Orientacin a los recursos humanos, tecnolgicos y
financieros.
Documentacin de datos relevantes.
Auditora Informtica
Productos Terminados Mnimos
Actividad Principal
Solicitar lista de personal
Comunicacin con el personal
Producto terminado
Lista de personal de informtica
Fecha y hora formal de cada entrevista
Actividad Principal
Verificar lista de mtodos y tcnicas
Verificar cuestionarios.
Actualizar cuestionarios y documentar cambios
Clasificar y documentar segn el proyecto
Producto terminado
Lista de mtodos, tcnicas y herramientas por rea de
revisin.
Cuestionarios actualizados y documentados de cada
rea
Entrevistas documentadas al personal de informtica
Actividad Principal
Respetar fechas planteadas para aplicar cuestionarios y
entrevistas.
Documentar entrevistas y cuestionarios.
Obtener apoyo requerido de informacin
Registrar entrevistas y cuestionarios pendientes
Producto terminado
Documentacin de entrevistas y cuestionarios aplicadas
Documentacin de cancelaciones
Documentacin de cometarios de apoyo relevantes para
el proyecto
Actividad Principal
Validar objetivos e informacin buscada.
Efectuar visitas a centros de computo o a los
departamentos de informtica
Notificar la visita a los responsables de los diferentes
departamentos
Registrar informacin mas relevante.
Registrar pendientes.
Producto terminado
Visitas de revisin y verificacin efectuadas
Documentacin de datos relevantes
Actividad Principal
Analizar la informacin.
Elaborar observaciones y conclusiones de cada una de
las reas auditadas
Llenar la hoja de resmenes y observaciones.
Producto terminado
Hojas de resumen de observaciones y recomendaciones
de la auditoria.
Observaciones, conclusiones y recomendaciones por
componente y rea.
Actividad Principal
Verificar cada observacin y recomendacin con el
lder del proyecto.
Registrar sugerencias.
Tener toda la documentacin respectiva para validar las
observaciones.
Brindar un avance del proyecto al responsable de
informtica.
Producto terminado
Observaciones, conclusiones y recomendaciones
depuradas.
Actividad Principal
Registrar de manera formal todas las observaciones,
conclusiones y recomendaciones.
Clasificar la informacin.
Producto terminado
Observaciones conclusiones y recomendaciones
clasificadas y documentadas.
Actividad Principal
Verificar lista de entrevistas y cuestionarios pendientes.
Finalizar cada pendiente.
Analizar la informacin obtenida.
Elaborar observaciones y recomendaciones.
Actualizar y documentar el informe de auditoria.
Producto terminado
Entrevistas visitas y cuestionarios terminados.
Observaciones clasificadas y documentadas.
Actividad Principal
Elaborar informe orientado a la alta direccin
Elaborar informe detallado para responsable de
informtica y usuarios claves.
El informe debe contener, antecedentes, observaciones
Producto terminado
Informe para la direccin.
Informe detallado para el responsable de informtica y
usuarios clave
Actividad Principal
Verificar claridad, completitud y congruencia.
Verificar documentacin de soporte.
Formalizar fecha de presentacin de informes.
Presentar informes y elaborar minuta.
Producto terminado
Informes verificados, finales y presentados.
Minuta de reunin.
Actividad Principal
Obtener el documento de aprobacin formal.
Obtener el compromiso formal para la implantacin de
la auditoria informtica.
Delegar la implantacin de las acciones recomendadas.
Producto terminado
Aprobacin formal.
Compromiso ejecutivo para la implantacin.
Compromiso del responsable para ejecutar la etapa de
implantacin.
Capitulo 12
Etapa de Implantacin
ETAPA DE IMPLANTACION
Etapa ms importante para todos los involucrados en
la
Auditora informtica:
Ejecutar las acciones recomendadas en los informes aprobados en
la etapa anterior.
Funcin del Auditor en Informtica: Seguimiento y apoyo.
Abarca :
Definicin de requerimientos.
Desarrollo del plan de implantacin.
Implantacin de las acciones sugeridas por la AI.
Actividades Principales
Analizar recursos humanos, materiales, financieros, etc.
necesarios
Producto terminado
Requerimientos de implantacin documentados
Requerimientos aprobados por la alta direccin
Actividades Principales
Documentar los requerimientos
Verificar disponibilidad de recursos
Verficar acciones y tiempos de terminacin
Elaborar un plan de implantacin : Tareas, Productos
terminados, Responsables, Involucrados, Fechas de
inicio y termino, Fechas de revisin
Producto terminado
Plan de implantacin documentado
Actividades Principales
Verificar tareeas, productos terminados, etc. del plan de
implantacin
Ejecutar tareas
Producto terminado
Plan de implantacin ejecutado
Actividades Principales
Verificar congruencia del plan de implantacin con los
informes de AI
Comprobar cumplimiento de tareas
Documentar debilidades y anomalas
Sugerir acciones de mejora
Producto terminado
Seguimiento del plan de implantacin
Observaciones (Debilidades y anomalias)
Implantacin de las acciones recomendadas por la AI
Utilizar
recursos adecuados
Cumplir
Verificar
Otros
Implantacin eficiente
Anexos
FIN