Aclases8 11

Estratgia para implantar un proceso
metodolgico de Auditora en Informtica

Preliminar (Diagnstico)
Justificacin
- Negocio
- Areas a Auditar
- Informtica
- Plan propuesto
Adecuacin
Revisin Informal
Formalizacin
- Mtodos
- Aprobacin
- Tcnicas
- Arranque
Revisin Formal
- Herramientas
Desarrollo
Aprobacin Formal
- Entrevistas
- Recomendaciones
- Visitas
- Informe de auditora
- Observaciones
Implantacin
- Acciones Preventivas y Correctivas
- Seguimiento
Areas de oportunidad para la funcin

de Informtica
Con el diagnstico actual el auditor en informtica
vislumbra ciertas reas de oportunidad.
Se pondrn en el plan tareas orientadas a dar un valor
agregado al negocio. (Seguridad, calidad y control)
Algunas areas de oportunidad:
Evaluacin de Hardware(compatibilidad, tipo de uso y
aprovechamiento)
Evaluacin de Software (estandarizacin, legalizacin,
capacitacin)
Apoyo a la informtica con un enfoque de seguridad, calidad
y control.

de Informtica
Algunos proyectos enfocados al aprovechamiento y logro
de reas de oportunidad, requieren que los responsables
sean personal de informtica
Algunos proyectos con responsabilidad directa de
informtica:
Diseo, instalacin y mantenimiento de una red de
comunicaciones.
Investigacin de tecnologa.
Capacitacin en el uso de nuevas metodologas
Mantenimiento de hardware.
Actualizacin de software.

de Informtica
Una vez analizadas, evaluadas y determinadas las reas de
oportunidad especficas de auditora en informtica deben
traducirse en el plan de auditora en informtica.
Las tareas o actividades que se reflejen en estos momentos
se complementarn con la matriz de riesgos.
Matriz de riesgos/justificacin
por rea de revisin
Proceso metodolgico de la auditora en
informtica
Etapa
Tareas
Productos
Responsable
Involucrados
Hacer matriz Matriz
de Lder de proyecto / Responsable del rea
de riesgos
riesgos
Auditor en Informtica de auditora informtica
Justificar
la
auditora
por
cada rea de
revisin
Justificacin Hacer un plan
de auditora en
informtica
(global)
Aprobacin del
plan
Justificacin Lder de proyecto / Responsable del rea

de la matriz Auditor en Informtica de auditora informtica
de riesgo
Plan general Lder de proyecto
de
informtica
Responsable del rea

de auditora informtica
/ Auditor en Informtica
Plan
aprobado
Responsable del rea

de auditora informtica
/ Auditor en Informtica
Lder de proyecto
Matriz de riesgos
Areas suceptibles de auditar:
Administracin de informtica
Direccin y niveles ejecutivos
Usuarios de informtica
Control interno
Ciclo de desarrollo e implantacin de SI
Mantenimiento
Redes locales
Matriz de riesgos
Areas suceptibles de auditar:
Hardware: microcomputadoras,
minicomputadoras y mainframes
Software: paquetes de uso generalizado y
especfico, lenguajes de programacin, SO
Seguridad
Investigacin tecnolgica: CASE, EDI,
Multimedia
Otros de inters especfico para el auditor en
informtica
por rea de revisin
Consideraciones sobre la elaboracin de la matriz
de riesgos:
Es una tarea relevante y necesaria para el auditor en
informtica
Los parmetros para medir el nivel de riesgos varan
con:
la experiencia y conocimiento en auditora
el grado de profundidad y anlisis
por rea de revisin
Consideraciones sobre la elaboracin de la matriz
de riesgos:
Algunos hechos indican la existencia de riesgos:
Software pirata
Inexistencia de metodologas o informalidad en su uso
Comunicacin nula o informal entre informtica y alta
direccin o reas usuarias
Asegurarse de tener el soporte para las anomalas

detectadas
Plan General del Proyecto

de AI
Plantear bsicamente las tareas importantes
Plan General
reas de Oportunidad
Matriz de Riesgos
Prioridades
Compromiso Ejecutivo
Presentacin del plan
Actividades del Auditor en Informtica
Revisar el Plan
Documentar
Fechas
ETAPA DE
JUSTIFICACION
Etapa de Justificacin
reas de oportunidad
Matriz de riesgos
Plan general
Compromiso ejecutivo
Introduccin
En la etapa de justificacin se justifica la
revisin o evaluacin de las reas o funciones
crticas relacionadas con informtica.
Productos terminados
ms importantes de la
etapa
1
Matriz de riesgos
.
Define las reas que sern auditadas
2 Plan general de auditora en

. informtica
Establece las tareas, tiempos,

responsables, etc., del proyecto
Le da el visto bueno al lder de proyecto

para continuar con las siguientes etapas
contempladas en el plan general
3
.
Introduccin
Metodologa de la Auditora en Informtica
Etapa de
Justificacin
rea a auditar
Plan propuesto
Etapa Preliminar
o de Diagnstico
Etapa de
Adecuacin
Aprobacin formal
Revisin informal
Etapa de
Formalizacin
Revisin formal
Etapa de
Desarrollo
Etapa de
Implantacin
Proceso metodolgico de la auditora en

informtica: un enfoque prctico
Etapa
Tareas
Productos
Responsable Involucrados
Diagns
Prelimin
3.
Detectar rea de
oportunidad
3.1
rea de oportunid.
mejoras inmediatas
Justifica
cin
1.
Hacer matriz de
riesgos
1.1
2.
Justificar la auditora
por
cada rea de revisin
Nomenc
latur
a
LP/RAI
AD/PU/RI
Matriz de riesgos
LP/AI
RAI
2.1
Justificacin de la
matriz
de riesgo
LP/AI
RAI
3.
Hacer un plan de
auditora
en informtica (global)
3.1
Plan general de
informtica
LP
RAI/AI
4.
Aprobacin del plan
4.1
Plan aprobado
LP
RAI/RI
AD =
PU =
RI =
PI =
RAI =
LP =
AI =
alta direccin
personal
usuario
responsable
del rea de
informtica
personal de
informtica
responsable
del rea de
auditora de
informtica
lder de
proyecto de
auditora
informtica
auditor de
informtica
Etapa
Tareas, productos terminados,

responsables e involucrados
Tareas
Productos
Responsabl
e
Involucrados
Justificacin
1. Hacer matriz de
riesgos
1.1 Matriz de Riesgo
LP / AI
RAI
2. Justificar la
auditora por cada
area de revisin
2.1 Justificacin de la
matriz de Riesgo
LP / AI
RAI
3. Hacer un plan de
Auditora en
informtica (global)
3.1 Plan general de

Informtica
LP
RAI / AI
4. Aprobacin del plan
3.4 Plan aprobado
LP
RAI / RI
Nomenclatura: LP: Lder del proyecto AI: Auditor en Informtica RAI: Responsible
del rea de Auditora de Informtica RI: Responsible del rea de Informtica
reas de oportunidad
Etapa
preliminar
Etapa de
justificacin
reas de
oportunidad:
provechosas y
de alto
beneficio
Comienza el plan de
auditora en informtica
con deduccin y
objetividad
Orientadas a dar un
valor agregado al
negocio
Enfocadas a la
funcin del auditor

en informtica:
seguridad, calidad y
control
reas de oportunidad
Proyectos que deben ser
responsabilidad directa de
informtica son:
Diseo, instalacin y mantenimiento de

una red de comunicaciones
Investigacin de tecnologa (hardware,
software, etc.)
Capacitacin en el uso de metodologas
de desarrollo de sistemas
Capacitacin en el uso de nueva
tecnologa de informtica en el negocio
Mantenimiento de hardware
Actualizacin de software
Desarrollo e implantacin de sistemas
Soporte a usuarios de informtica en el
negocio
Otros
Proyectos que deben ser

responsabilidad directa de
auditora (financiera, operativa,
etc.) son:
Elaboracin y difusin de
polticas y procedimientos de
control interno
Evaluacin del cumplimiento
formal del control interno
Auditora a sistemas de
informacin (contabilidad,
inventarios, inversiones, etc.)
Establecimiento de controles y
procedimientos operativos a
sistemas de informacin antes de
implantarse
Otros
Matriz de Riesgos
Objetivo Principal: detectar las reas de mayor
riesgo en relacin con informtica y que requieren
una revisin formal y oportuna.
Aspectos mas importantes del procedimiento de
anlisis y elaboracin de la matriz:
Identificar el nivel de riesgo de cada uno de los
elementos que integran la funcin informtica
en el negocio.
Matriz de Riesgos
Las reas que sern diagnosticadas puede
variar segn el tamao y estructura del
negocio, originando que el auditor asuma
diferentes enfoques.
Algunos servicios de informtica:
Administracin de redes locales.

Plantacin de informtica.
Sistemas de informacin en operacin.
Administracin de hardware y software.
Desarrollo e implantacin de sistemas de
informacin.
Matriz de Riesgos
El auditor debe utilizar todos los parmetros de
medicin y evaluacin posibles sin caer en un
anlisis detallado.
Determinar el nivel de riesgo que existe en cada
rea de la funcin de informtica.
Consideraciones que hay que tomar en cuenta al

hacer el diagnostico de la situacin actual que
sirven para la obtencin de la matriz de riesgos:
Matriz de Riesgos
El auditor en informtica debe conocer de
manera aceptable los aspectos relativos a cada
una de las reas de informtica.
Se apoyar en la visin de los principales
usuarios del negocio.
Analizar y clasificar todas las debilidades o
anomalas que encuentre.
Consideraciones que se deben de tomar en

cuenta al elaborar la matriz de riesgos:
Matriz de Riesgos
Es una tarea relevante y necesaria para el
auditor en informtica.
Los parmetros para medir el nivel de riesgos
pueden variar de acuerdo con factores como la
experiencia y conocimiento en auditoria.
Hechos que indican la existencia de riesgos
relevantes.
Revisar la matriz de riesgos con el responsable
de auditoria.
Asegurarse de tener el soporte que requieran las
debilidades o anomalas detectadas.
Matriz de Riesgos
Circunstancia
Riesgos
Software pirata
Problemas legales
Mala imagen ante clientes y proveedores.
Susceptibilidad de virus computacionales
Falta de documentacin.
Prdida de ofertas del proveedor del software.
Inexistencia de
metodologas o
informalidad en su uso
(implantacin,
desarrollo, etc.)
Trabajo desarrollado segn el criterio de cada

individuo.
Proyectos individuales y no de equipo de
trabajo.
Seguimiento nulo o informal a los proyectos de
informtica.
Se trabaja con base en la inspiracin y no a
partir de un mtodo formal.
Matriz de Riesgos
reas
Aspectos o componentes
susceptibles por evaluar del rea
de auditar
Riesgo
por
compo
nente
Administr Misin y objetivos

acin de
Organizacin
informtic Servicios
a
Parmetros de
medicin.
%
%
%
%
Sistemas
de
informaci
n
Planeacin
Desarrollo
Operacin
Soluciones de mercado
%
%
%
%
Redes
locales
Administracin
Instalacin
Operacin / seguridad
%
%
%
Clasificaci
n del riesgo
por rea
(Total)
reas por auditar segn

clasificacin
Secuencia para
auditar cada
componente y rea
segn el nivel de
riesgo estimado
Plan General del Proyecto en

Auditoria en Informtica
Los principales aspectos al elaborar el plan
general de Auditoria en Informtica son:
Tomar como referencia los datos
recomendados en el proceso metodolgico.
El plan general de auditoria en informtica
se deriva de los siguientes elementos:
reas de oportunidad
Matriz de riesgos
Prioridades

El plan general es elaborado en esta etapa
general.
El plan detallado se lleva a cabo
posteriormente.
Es muy importante la retroalimentacin.
Basarse en la siguiente tabla para la
elaboracin del plan general.

Empresa:
Gerencia:
Fecha de aprobacin:
Representante usuario:
Representante de informtica:
Lder del proyecto:
reas por
auditar segn
clasificacin y
prioridades
Aspectos o
componentes del
rea por auditar
Prioridad
asignada
Clasificac
Fecha de
in del
inicio / Fecha
riesgo por
de
rea
terminacin
(total)
rea
seleccionada
Componente(s)
seleccionado(s) del
rea
Nmero
aa/mm/dd
aa/mm/dd
rea
seleccionada
Componente(s)
seleccionado(s) del
rea
Nmero
aa/mm/dd
aa/mm/dd
rea
Componente(s)
Nmero
aa/mm/dd

Las actividades principales del auditor
en informtica o del lder del proyecto son:
Estimar el tiempo necesario para auditar cada
rea.
Analizar y definir los aspectos o componentes
ms relevantes que se evaluaran.
Verificar la importancia y la validez de los
puntos anteriores con los involucrados.

Asignar prioridades a cada rea por evaluar
o revisarlas con los principales involucrados
del proyecto.
Definir fechas estimadas de inicio y
terminacin por rea de revisin.
Establecer fechas de revisin formales e
informales.
Definir responsables e involucrados directos
por etapas del proyecto.
Otras de inters para el AI.
Objetivo: obtener el visto bueno inicial
de la alta direccin, usuarios clave y del
responsable de informtica.
Aspectos fundamentales:
Presentacin del plan:
Resumen del diagnstico actual.
reas de oportunidad.
Matriz de riesgos.
Prioridades
Otros comentarios de apoyo.
Empresa:
Gerencia:
Fecha de aprobacin:
Representante usuario:
Representante de informtica:
Lder del proyecto:
reas por auditar

segn clasificacin
y prioridades
Aspectos o
componentes del
rea por auditar
Prioridad Clasificacin
Fecha de
asignada
del riesgo
inicio / Fecha
por rea
terminacin
(total)
rea seleccionada Componente(s)

seleccionado(s)
del rea
Nmero
aa/mm/dd
aa/mm/dd

seleccionado(s)
del rea
Nmero
aa/mm/dd
aa/mm/dd

seleccionado(s)
del rea
Nmero
aa/mm/dd
aa/mm/dd
Objetividad y claridad
Justificar cada una de las reas por auditar.
Lograr que la alta direccin tome conciencia
del compromiso requerido de su parte.
Recibir una aprobacin formal del plan
general.
Indicar fechas de inicio y terminacin
estimadas.
Principales actividades:
Revisar el plan general.
Fecha posible de reunin con los involucrados.
Documentar y resumir el diagnstico actual.
Verificar y documentar reas de oportunidad y
riesgos.
Justificar cada rea de revisin.
Negociar fecha de revisin y aprobacin del plan.
Efectuar reunin.
Exponer y justificar el plan de auditora.
Obtener aprobacin formal del plan
general.
Establecer fechas de inicio del proyecto.
Obtener el compromiso ejecutivo.
Otros.
Resumen
Etapa de justificacin: elaborar un
documento fundamental para la elaboracin
del proyecto:
Matriz de riesgos.
Plan de auditora en informtica.
Compromiso ejecutivo.
Definir qu reas y componentes de

informtica sern revisados, y conseguir el
compromiso de los involucrados.
Resumen
Documentar y programar el conjunto de reas a
auditar.
Se deriva de los siguientes elementos:
Informacin obtenida de la etapa preliminar.

Diagnstico del negocio.
Diagnstico de informtica.
Muestreos especficos.
Transacciones en los SI.
Transferencia de archivos paralelos en la red de
comunicacin o revisiones va reprocesos.
Programas de revisiones rutinarias.
Apoyo a revisiones de auditora tradicional.
Resumen
Requerimientos especficos de la
alta direccin para auditar.
El auditor en informtica debe ser lo ms especfico
posible
Matriz de riesgos ninguna confusin.
Elementos de apoyo:
Descripcin de debilidades encontradas.
Consecuencias de stas, actuales o futuras.
Segn la etapa preliminar:

Qu rea hay que revisar? problemtica gastos
improductividad grado de insatisfaccin riesgos
que se pueden presentar.
Resumen
Explicacin objetiva de la solucin
recomendada
Detallar todas las reas y componentes de
informtica que presentan debilidades.
Clasificar por porcentaje de riesgo de acuerdo
con la importancia e impacto; tambin, sealar
el orden prioritario.
Establecer un compromiso ejecutivo, a fin de
que se vayan programando y estimando
recursos para que el proyecto de auditora sea
exitoso.
ETAPA DE
ADECUACIN
Introduccin
Etapa de justificacin
Etapa de adecuacin
Etapa de formalizacin
03/14/15
ETAPA
TAREAS
ADECUACION
PRODUCTOS
RES
INV
LP
RAI
1. Definir objetivos del

proyecto
2. Definir etapas del
1.1 Objetivos y alcances del

proyect.
2.1 Etapas y sus tareas
proyecto y su detalle
2.2 Plan actualizado

2.3 responsable e involucrados
2.4 Productos terminados
2.5 Revisiones(formal e informal)
3.1 Aspectos o elementos por
evaluar por cada rea de revisin
AI/R
AI
AI
AI
AI
RAI
LP
LP
LP
LP
4.1 Tcnicas
4.2 Software
4.3 Equipo de cmputo
4.4 Otros de inters para el
5.1
Polticas y proced por
auditor
verificar de acuerdo con cada
rea por auditar
5.2 Polticas complementarias
6.1 Cuestionarios para cada rea
que ser auditada
6.2 Cuestionarios adicionales
AI
AI
AI
AI
AI
LP
LP
LP
LP
LP
AI
LP
AI
LP
AI
LP
3. Definir los elementos por

auditar por rea de revisin
4. Establecer tcnicas y
herramientas por rea de
revisin
5. Definicin o actualizacin
de polticas por rea
6. Elaboracin o
actualizacin de
cuestionarios por rea
Definicin y formulacin de
objetivos de xito por rea
Es elaborado por el lder del

proyecto y los auditores en
informtica
03/14/15
9.2 Actualizacin Del Plan

General
Proyecto
P
royecto
Proyecto
Cancelaciones
03/14/15

General
Proyecto
P
royecto
Proyecto
Prioridades
03/14/15

General
Proyecto
P
royecto
Proyecto
Requerimientos
03/14/15

General
Proyecto
P
royecto
Proyecto
Expectativas
03/14/15

General
Proyecto
P
royecto
Proyecto
Nuevos Involucrados
03/14/15

General
Proyecto
Cancelaciones
Prioridades
Requerimientos
Expectativas
Nuevos Involucrados
03/14/15

General
Cambio
Motivo de cambio
Responsable de solicitar el cambio
Tareas o fechas que afecta
reas por evaluar afectadas por el cambio
Otros
9.3 Plan Detallado Del

Proyecto De Auditoria En
Informtica
Se detallan elementos del proyecto.
Tareas.
Productos terminados.
Responsables.
Fechas.
03/14/15

Informtica
Planes detallados.
Plan Interno
03/14/15
Plan detallado de
auditoria en
informtica
Administracin del Proyecto

Informtica (Plan A)
Se da el seguimiento interno a las
tareas y responsabilidades de los
auditores en informtica. Es
importante por lo siguiente:
Elaborar compromisos.
Permite asignar responsabilidades a los Aud Inf
El LP puede dar un seguimiento a los Aud Inf
Sirve para evaluaciones futuras del personal

Informtica (Plan A)
Etapa
Tareas
Producto
s
Involucrados
Responsable
Revisione
s
Duracin
Preliminar
justificacin
Adecuacin
Formalizaci
n
Desarrollo
Implantacin
Lder del Proyecto

Informtica (Plan B)
Se especifica el detalle emanado del plan
general de auditoria en informtica (fase de
justificacin)
Alta direccin y usuarios

De informtica

Informtica (Plan B)
El desarrollo de la auditoria en informtica.
Documentacin, revisin y aprobacin del
informe de auditoria en informtica.
Implantacin de las acciones recomendadas.

Informtica (Plan B)
Describen tareas
Productos terminados
Responsables
Involucrados
Fechas de revisin
Cliente

Informtica (Plan B)
Es el detalle final del plan
Con base en dicho plan se dar seguimiento
por alta direccin, los responsables de los
usuarios de informtica, de informtica y AI
Tarea
Actividades
Productos
terminados
Responsable
Verificaci 1. Revisar datos Prioridad Lder de

n de
del PY
es y
PY
datos
matriz de auditores
riesgos
en
aprobado informtica
s
Involucrados
Alta
direccin
usuarios
informtica
2. Documentar
Evaluaci 1. Concertar
n de las
citas
reas por
auditar
2. Realizar
entrevistas
Compro Auditores Usuarios

miso
en
informtica
formal
Informtica
Datos
Auditores Usuarios
Informtica
Docume en
Informtica
ntos de
soporte
Fecha
inicio
fecha
trmin
o
Fechas
de
revisi
n
Tarea
Actividades
Productos
terminados
Responsable
Involucrados
Documentar
el informe
final del PY
1. Elaborar el
informe de la
alta direccin
Informe de
la alta
direccin
Lder de PY
Usuarios
informtica
2. Elaborar el
informe
detallado
Informe
detallado
(para
usuarios e
informtica)
Auditores en
informtica
1. Presentar
los informes
de la alta
direccin
actualizados,
revisados y
detallados
Informes
revisados
Informes
aprobados
formalmente
Responsable de
la funcin de
auditoria en
informtica
2. Realizar
entrevistas
Datos
Auditores en
Documento Informtica
s de soporte
Otros
Revisin del
informe
final de la
auditoria en
informtica
Alta direccin
Usuarios
clave
Responsable
de la funcin
de informtica
Fecha
inicio
fecha
trmino
Fechas
de
revisin
9.4 Aspectos para evaluar en cada

rea de revisin
* Matriz de riesgo
* Cuestionarios
* reas susceptibles
9.5 Definicin de Tcnicas y

Herramientas por reas de
Revisin
Tcnicas y herramientas recomendadas.
Experiencia profesional.
Dominio del rea de informtica.
DEFINICIN O ACTUALIZACIN DE
ESTNDARES, POLTICAS Y
PROCEDIMIENTOS POR REA DE
REVISIN
ESTNDARES,
POLTICAS,
PROCEDIMIENTOS
OBJETIVO
PRINCIPAL
UTILICEN
METODOLOGA
Consideraciones
Debe haber compatibilidad y congruencia entre las
reglas de trabajo y las habilidades del personal
Las actividades relacionadas con informtica operan
bajo estndares aceptados en el medio de dicho
campo
Las funciones de desarrollo, implementacin, la
planeacin de informtica o de telecomunicaciones
se encuentran en un marco nacional e internacional
Cmo se definen estndares,

polticas y procedimientos de
auditora en informtica?
ASOCIACIN
Establecen
Formalizan
Difunden
Recomiendan
APLICAR
Estndares,
polticas,
procedimientos
Es una obligacin el uso de

estndares?
Los estndares no son dogma de
ninguna empresa
Consideraciones
Los estndares se orientan a uniformar mtodos de
trabajo, tecnologas, costos, cualidades, etc.
El AI no depender de lo que dicten a nivel nacional o
internacional
Normas
Internacionales
NO
nicamente Las Asociaciones Pueden

Establecer Estndares, Polticas Y
Procedimientos De Auditora En
Informtica?
La respuesta es NO
Existen consultores independientes que pueden
establecer estndares. Las caractersticas que deben
cumplir para tomarlas como tales son:
Control y seguridad
Justificar la necesidad de su existencia
Autorizados por el responsable donde se ejercern
Aprobados por la alta direccin
Polticas Y Procedimientos Por rea De

Revisin
Datos manejados en la hoja de polticas y
procedimientos de control
Acciones recomendadas y obligatorias
Polticas recomendadas y obligatorias
Procedimientos recomendados y obligatorios
Algunas Normas Internacionales
ICAF (Normas Tcnicas de auditora) : Estudio y
evaluacin del sistema de control interno
ISACF
Ventajas De Las Asociaciones

Nacionales E Internacionales
Los estndares son reconocidos a nivel mundial
Personal de gran experiencia en el campo
Programas de iniciacin y actualizacin en Auditora
Informtica
Cursos y seminarios continuos
ELABORACIN O
ACTUALIZACIN DE
CUESTIONARIOS POR REA DE
REVISIN
estn
Orientados
Debilidades
Control
Seguridad
Los cuestionarios pueden aplicarse en:

Entrevista personal
Visitas de verificacin fsica
Listas de verificacin
Caractersticas de los cuestionarios
Actualizacin
Orientados a aspectos evaluados
Sintticos
Tcnicos
Conclusiones
Definir los objetivos y requerimientos de
cada rea que se va a auditar es de mucha
importancia para lograr el xito de nuestro
proyecto.
Evitar caer en un ciclo en las
actualizaciones, esto genera retrasos al
acuerdo inicial.
Conclusiones
Los componentes de la matriz de
riesgos deben ser confirmadas y verificar
si los objetivos son los adecuados.
Para obtener mayor beneficio se debe
trabajar con estndares ya sean internos,
nacionales o internacionales.
Capitulo 10: Etapa de

Formalizacin
Antes de iniciar: se debe contar con todo el
detalle de componentes metodolgicos,
tcnicos y de logstica necesarios
(adecuacin) para resolver con xito el
proyecto de auditoria en informtica.
Objetivo : Justificar el desarrollo del proyecto
con base en todos los argumentos y detalles
encontrados, analizados y clasificados en las
fases anteriores
Proceso metodolgico de la auditoria en informtica
10.1 Verificacin de prioridades , restricciones y alcances del

proyecto
Son de alto valor para el auditor en informtica, ya que mediante su
realizacin se clarifica el rumbo, limites y cobertura que tendr el
proyecto
Prioridades, acciones que deben llevarse acabo antes que las
dems sugeridas para el proyecto
Restricciones, por lo general son limitaciones o carencias que no
se podrn resolver de inmediato o a lo largo del proyecto
Alcance, se define la cobertura especifica que tendr el proyecto;
se aclara que se har en este y los resultados
10.2 Actualizacin del plan de auditoria en informtica

Lo importante es asegurarse de que los cambios que hayan
surgido despus de realizar la tarea anterior, se reflejen en el
plan detallado de auditoria en informtica que se presentara a
la alta direccin para su aprobacin final y formal
10.3 Presentacin formal del plan de auditoria en
informtica
Esta tarea es la mas importante para el Lder del proyecto y
para el responsable de la auditoria en informtica, ya que en
esta etapa se justificara la continuacin del proyecto
10.4 Aprobacin formal del proyecto de auditoria en

informtica
Se puede decir que es la tarea mas breve y una de las mas
importantes, ya que de ella surge la aprobacin formal del
proyecto.
10.5 Compromiso Ejecutivo
El siguiente paso es lograr que la alta direccin, los usuarios
clave, el responsable de informtica y el responsable de la
auditoria en informtica se comprometan a lo largo del
proyecto, desde ese momento hasta lo que es el desarrollo e
implantacin de las acciones recomendadas por auditoria en
informtica en su informe final.
Capitulo 11
Etapa de Desarrollo
ETAPA DE DESARROLLO
Etapa ms importante:
Ejecutar tareas de acuerdo al plan aprobado en etapa de

formalizacin.
Comprende de:
Concertacin de fechas de entrevistas, visitas, cuestionarios.
Verificacin de tareas.
Clasificacin de tcnicas, entrevistas.
Visitas de verificacin.
Aplicacin de cuestionarios.
Elaborar informe preliminar del rea auditada.

Revisar informe preliminar.
Clasificar y documentar informe.
Elaboracin final de informe.
Presentacin a la alta direccin.
Aprobacin del proyecto
A partir de la primera tarea : CONCERTAR CITAS

se debe cumplir:
Profesiona
lismo
tica
personal
Habilidades
Metodologa
Tcnicas
Herramientas
productividad
Experiencia
La asimilacin de los aspectos anteriores tiene como objetivo:

Proyectar
Seguridad y confianza
Verificar y
dar seguimiento
Funciones de involucrados
Detectar
reas de oportunidad
Verificar
Debilidades de seguridad y control
Impulsar al
cumplimiento
Polticas para control y seguridad

informtica
Actividades ms importantes
Coordinar los recursos humanos.
Impulsar apoyo permanente.
Motivar a los involucrados.
Orientacin a los recursos humanos, tecnolgicos y
financieros.
Documentacin de datos relevantes.
Los informes preliminares deben contener:
reas de oportunidad para mejorar de inmediato el proceso d

negocios.
Observaciones de los aspectos informticos auditados
Recomendaciones para cada observacin.
Comunicacin abierta con los usuarios y el personal de inform

Presentar un plan de implementacin de auditora.
Funciones comnmente auditadas :

Sistemas de informacin
Planeacin
Desarrollo
Operacin y mantenimiento
Metodologas de desarrollo
Administracin de la funcin informtica.
Planeacin de informtica.
Organizaciones de informtica
Areas particulares que se pueden auditar:

Comunicaciones
Redes locales
Investigacin de tecnologa
Usuarios de informtica
Auditora Informtica
Productos Terminados Mnimos

Tarea:
Concertar fechas para entrevistas, visitas, y aplicacin
de cuestionarios
Actividad Principal
Solicitar lista de personal
Comunicacin con el personal
Producto terminado
Lista de personal de informtica
Fecha y hora formal de cada entrevista

Tarea:
Clasificar tcnicas, herramientas, cuestionarios,
entrevistas y otros.
Actividad Principal
Verificar lista de mtodos y tcnicas
Verificar cuestionarios.
Actualizar cuestionarios y documentar cambios
Clasificar y documentar segn el proyecto
Producto terminado
Lista de mtodos, tcnicas y herramientas por rea de
revisin.
Cuestionarios actualizados y documentados de cada
rea
Entrevistas documentadas al personal de informtica

Tarea:
Aplicacin de entrevistas y cuestionarios.
Actividad Principal
Respetar fechas planteadas para aplicar cuestionarios y
entrevistas.
Documentar entrevistas y cuestionarios.
Obtener apoyo requerido de informacin
Registrar entrevistas y cuestionarios pendientes
Producto terminado
Documentacin de entrevistas y cuestionarios aplicadas
Documentacin de cancelaciones
Documentacin de cometarios de apoyo relevantes para
el proyecto

Tarea:
Efectuar visitas de verificacin
Actividad Principal
Validar objetivos e informacin buscada.
Efectuar visitas a centros de computo o a los
departamentos de informtica
Notificar la visita a los responsables de los diferentes
departamentos
Registrar informacin mas relevante.
Registrar pendientes.
Producto terminado
Visitas de revisin y verificacin efectuadas
Documentacin de datos relevantes

Tarea:
Elaborar informe preliminar
Actividad Principal
Analizar la informacin.
Elaborar observaciones y conclusiones de cada una de
las reas auditadas
Llenar la hoja de resmenes y observaciones.
Producto terminado
Hojas de resumen de observaciones y recomendaciones
de la auditoria.
Observaciones, conclusiones y recomendaciones por
componente y rea.

Tarea:
Revisin del informe preliminar
Actividad Principal
Verificar cada observacin y recomendacin con el
lder del proyecto.
Registrar sugerencias.
Tener toda la documentacin respectiva para validar las
observaciones.
Brindar un avance del proyecto al responsable de
informtica.
Producto terminado
Observaciones, conclusiones y recomendaciones
depuradas.

Tarea:
Clasificacin y documentacin del informe preliminar.
Actividad Principal
Registrar de manera formal todas las observaciones,
conclusiones y recomendaciones.
Clasificar la informacin.
Producto terminado
Observaciones conclusiones y recomendaciones
clasificadas y documentadas.

Tarea:
Finalizar tareas o productos pendientes.
Actividad Principal
Verificar lista de entrevistas y cuestionarios pendientes.
Finalizar cada pendiente.
Analizar la informacin obtenida.
Elaborar observaciones y recomendaciones.
Actualizar y documentar el informe de auditoria.
Producto terminado
Entrevistas visitas y cuestionarios terminados.
Observaciones clasificadas y documentadas.

Tarea:
Elaborar el informe final de auditoria en informtica.
Actividad Principal
Elaborar informe orientado a la alta direccin
Elaborar informe detallado para responsable de
informtica y usuarios claves.
El informe debe contener, antecedentes, observaciones
conclusiones, recomendaciones, responsables y tiempos por rea auditada.
Producto terminado
Informe para la direccin.
Informe detallado para el responsable de informtica y
usuarios clave

Tarea:
Presentacin a la alta direccin e involucrados clave.
Actividad Principal
Verificar claridad, completitud y congruencia.
Verificar documentacin de soporte.
Formalizar fecha de presentacin de informes.
Presentar informes y elaborar minuta.
Producto terminado
Informes verificados, finales y presentados.
Minuta de reunin.

Tarea:
Aprobacin del proyecto y compromiso ejecutivo.
Actividad Principal
Obtener el documento de aprobacin formal.
Obtener el compromiso formal para la implantacin de
la auditoria informtica.
Delegar la implantacin de las acciones recomendadas.
Producto terminado
Aprobacin formal.
Compromiso ejecutivo para la implantacin.
Compromiso del responsable para ejecutar la etapa de
implantacin.
Capitulo 12
Etapa de Implantacin
ETAPA DE IMPLANTACION
Etapa ms importante para todos los involucrados en
la
Auditora informtica:
Ejecutar las acciones recomendadas en los informes aprobados en
la etapa anterior.
Funcin del Auditor en Informtica: Seguimiento y apoyo.
Abarca :
Definicin de requerimientos.
Desarrollo del plan de implantacin.
Implantacin de las acciones sugeridas por la AI.

Tarea:
Definicin de requerimientos para el exito de la etapa
de implantacin
Actividades Principales
Analizar recursos humanos, materiales, financieros, etc.
necesarios
Producto terminado
Requerimientos de implantacin documentados
Requerimientos aprobados por la alta direccin

Tarea:
Desarrollo del plan de implantacin
Documentar los requerimientos
Verificar disponibilidad de recursos
Verficar acciones y tiempos de terminacin
Elaborar un plan de implantacin : Tareas, Productos
terminados, Responsables, Involucrados, Fechas de
inicio y termino, Fechas de revisin
Producto terminado
Plan de implantacin documentado

Tarea:
Implantacin de las acciones sugeridas por AI
(responsable de informtica)
Verificar tareeas, productos terminados, etc. del plan de
implantacin
Ejecutar tareas
Producto terminado
Plan de implantacin ejecutado

Tarea:
Seguimiento a la Implantacin
(auditor en informtica)
Verificar congruencia del plan de implantacin con los
informes de AI
Comprobar cumplimiento de tareas
Documentar debilidades y anomalas
Sugerir acciones de mejora
Producto terminado
Seguimiento del plan de implantacin
Observaciones (Debilidades y anomalias)
Implantacin de las acciones recomendadas por la AI
Objetivos del Responsable de informtica :

Asegurar
ejecucin de las recomendaciones y

y plazos de terminacin
Utilizar
recursos adecuados
Cumplir
Polticas de seguridad y control
Verificar
Debilidades de seguridad y control
Otros
Implantacin eficiente
La participacin del Auditor en Infomtica en la etapa de

Implantacin es indirecta pero fundamental, porque debe
garantizar que se ponga en practica las acciones de
mejoramiento en los plazos sugeridos.
Los auditores de informtica, deben programar revisiones posteriores a la implantacin; que aseguren a la
empresa en manejo y administracin adecuados de los
elementos de la funcin informtica.
Anexos
FIN

Aclases8 11

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aclases8 11

Uploaded by

Copyright:

Available Formats

Estratgia para implantar un proceso

metodolgico de Auditora en Informtica

Areas de oportunidad para la funcin

Areas de oportunidad para la funcin

Areas de oportunidad para la funcin

Justificacin Lder de proyecto / Responsable del rea

Responsable del rea

Responsable del rea

Asegurarse de tener el soporte para las anomalas

Plan General del Proyecto

Define las reas que sern auditadas

2 Plan general de auditora en

Establece las tareas, tiempos,

Le da el visto bueno al lder de proyecto

Proceso metodolgico de la auditora en

Aprobacin del plan

Tareas, productos terminados,

1.1 Matriz de Riesgo

3.1 Plan general de

4. Aprobacin del plan

3.4 Plan aprobado

funcin del auditor

Diseo, instalacin y mantenimiento de

Proyectos que deben ser

Administracin de redes locales.

Consideraciones que hay que tomar en cuenta al

Consideraciones que se deben de tomar en

Trabajo desarrollado segn el criterio de cada

Administr Misin y objetivos

reas por auditar segn

Plan General del Proyecto en

Plan General del Proyecto en

Plan General del Proyecto en

Lder del proyecto:

Plan General del Proyecto en

Plan General del Proyecto en

Lder del proyecto:

reas por auditar

rea seleccionada Componente(s)

rea seleccionada Componente(s)

rea seleccionada Componente(s)

Definir qu reas y componentes de

Informacin obtenida de la etapa preliminar.

Segn la etapa preliminar:

1. Definir objetivos del

1.1 Objetivos y alcances del

2.2 Plan actualizado

3. Definir los elementos por

Es elaborado por el lder del

9.2 Actualizacin Del Plan

9.2 Actualizacin Del Plan

9.2 Actualizacin Del Plan

9.2 Actualizacin Del Plan

9.2 Actualizacin Del Plan

9.2 Actualizacin Del Plan

9.2 Actualizacin Del Plan

9.3 Plan Detallado Del

9.3 Plan Detallado Del

Administracin del Proyecto

9.3 Plan Detallado Del

9.3 Plan Detallado Del

Lder del Proyecto

9.3 Plan Detallado Del