Title: SEMINARIO DE AUDITOR
1SEMINARIO DE AUDITORÍA INTEGRAL
TEMARIO
- CONCEPTOS GENERALES
- Informática, auditoría, planeación, alcance
de la auditoría. - LA IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
- Antecedentes, preguntas clave en la auditoría.
- METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE
LA AUDITORÍA EN INFORMÁTICA - Método 1 Etapa preliminar, etapa de
justificación, etapa de adecuación, etapa de
formalización, etapa de desarrollo, etapa de
implantación. - Método 2 Auditorías integrales pro procesos,
revisión financiera, operativa y de informática. - Método 3 Auditorías orientadas al proceso
técnico, firewalls, justificación de las bases
de datos, respaldos de información,
determinación de obsolencia operativa del
hardware y del software. - EL REPORTE FINAL
- Redacción en base a eventos comprobables,
sugerencias sustentables, el rol de auditor de
sistemas. - FORMA DE EVALUACIÓN
- Tareas y lecturas 20
- Casos y exposición de los mismos 80
2CONCEPTOS GENERALES
Generar información a tres niveles
básicos manual, mecánico y electrónico.
Examen constructivo sobre la estructura
organizacional orientada al procesamiento de
datos, sin olvidar que sirve a un objetivo
general (giro del negocio), dicho examen abarca
entre otros aspectos planes, objetivos, métodos
de trabajo, disponibilidad humana y física,
funcionalidad del equipo, etc.
Preveer situaciones futuras, a fin de evitar
problemas en lugar de solucionarlos (prevención
vs reacción).
Definir el impacto que tendrá el estudio, a fin
de delimitar los beneficios que serán obtenidos.
3IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
Una auditoría nos puede mostrar entre otros
factores de debilidad, los siguientes
- Debilidades en la planeación del negocio al no
involucrar la informática en sus operaciones. - Resultados negativos (improductividad,
duplicidad de funciones, etc), en el desarrollo,
operación y mantenimiento de sistemas de
información. - Falta de actualización del personal técnico y de
informática, mismo que opera los sistemas y
soluciones del negocio. - Mínimo o nulo involucramiento de los usuarios en
el desarrollo e implantación de soluciones de
informática. - Capacitación deficiente en el uso de los
sistemas de información, el software (procesador
de texto, hojas de cálculo, graficadores, etc),
y el hardware (equipos de cómputo, impresoras y
otros periféricos, etc). - Administración de proyectos que no es formal ni
completa (no se alinea a los objetivos del
negocio). - Carencia de un proyecto de análisis costo /
beneficio formal previo al arranque de cada
proyecto de informática. - Metodologías de planeación y desarrollo
orientada a sistematizar sistemas informales no
estandarizados y en muchos casos inexistentes. - Uso y entendimiento (al menos mínimo) de
técnicas formales para el desempeño de funciones
en las áreas de informática.
4IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
Algunas preguntas clave
- Los usuarios y la alta dirección conocen la
situación actual de la función informática en la
empresa? - Se aprueba formal y oportunamente el costo /
beneficio de cada proyecto relacionado en forma
directa con la informática? - La informática apoya las áreas críticas del
negocio? - El responsable del área de sistemas, conoce
los requerimientos actuales y futuros del
negocio, a fin de satisfacerlos desde el punto de
vista técnico? - Existen políticas y procedimientos de manera
formal? - Hay un plan de seguridad en informática?
- Se ha calculado el alcance e impacto de la
informática en la empresa? - Existe un plan estratégico de sistemas alineado
al negocio? - Existen responsables que que evalúen formal e
imparcialmente la función de sistemas? - Se cuenta con un control formal de cada
proyecto relativo al área de sistemas? - Auditan sólo sistemas de información y no
otras áreas de la informática?
5IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
De los planteamientos anteriores surge de
inmediato un par de preguntas determinantes
- Cómo saber si la función de sistemas está
- administrada correctamente ?
- La función de sistemas debe ser auditada,
- quién realizará este trabajo ?
6IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
Factores de éxito para realizar la auditoría
- Compromiso de los individuos relacionados.
- Continuidad en el proceso de evaluación y
control. - Especialización por parte de quienes llevan a
cabo dicha función. - Conocimiento del negocio a través de un
involucramiento permanente en las etapas de
planeación. - Enfoque preventivo, no correctivo.
- Facilitar soluciones, no limitar la operación
de la compañía implantando un exceso de
controles. - Estudio del medio tecnológico y organizacional
por parte de los encargados de la función. - Trabajar con base en requerimientos y riesgos
propios del negocio y no según críticas de
mercado. - Lograr que el personal de las organizaciones,
advierta que las medidas preventivas forman parte
- importante del trabajo diario y que
incumben a todos por igual.
7CASO NO. 1
- Desde su punto de vista, la tecnología que
aplica el área de sistemas y que transforma en
informática, debe considerarse un activo en las
empresas? por qué?. - Es necesario auditar los sistemas computarizados
existentes en la empresa donde labora?, mencione
y justifique tres razones para sustentar su
respuesta. - Qué acontecimientos llevaron a su empresa a a
formalizar o rechazar el proceso de evaluación
del área de sistemas? - Cuál cree que debe ser el perfil de un auditor
en informática?, mencione y justifique cuatro
características inherentes a esta función.
8PLANEACIÓN DE LA AUDITORÍA
Nosotros comenzaremos a cavar desde este lado de
la montaña. Usted y su grupo comenzarán a cavar
desde el otro lado. Cuando nos encontremos en
el centro, habremos hecho un túnel, y si no nos
encontramos, habremos hecho dos túneles !
9PLANEACIÓN DE LA AUDITORÍA
Consiste en definir de manera anticipada las
áreas o departamentos o sistemas o procesos o
procedimientos, que serán revisados, mediante el
uso de métodos y herramientas, tendientes a
decubrir debilidades y amenazas.
10PLANEACIÓN DEL NEGOCIO
Determina las estrategias y cursos de acción del
negocio se establece mediante entrevistas y
análisis detallados de cada proceso básico de la
organización.
11PROCESO DE PLANEACIÓN EN SISTEMAS
Consiste en definir el conjunto de proyectos
relacionados con la función de sistemas a corto
mediano y largo plazo, cada proyecto debe estar
orientado a objetivos y estrategias específicas
del negocio -mismas que debieron ser definidas
en el plan de negocio-.
12PLANEACIÓN DE LA AUDITORÍA
TIENE UN OBJETIVO
Algunos de los puntos más importantes que debe
considerar la auditoría son
UTILIZA VARIOS RECURSOS
TAREAS NO REPETITIVAS
MARCO DE TIEMPO ESPECÍFICO
TIENE UN GRADO DE INCERTIDUMBRE
TIENE UNO O VARIOS CLIENTES
13PUNTOS CENTRALES EN LA PLANEACIÓN DE LA AUDITORÍA
ALCANCE
Es el trabajo que debe realizarse a fin de que el
cliente quede satisfecho, (también podemos
manejarlo como el dimensionamiento de la
auditoría).
COSTO
Son los montos a erogar, es importante considerar
que el presupuesto juega un papel determinante.
PROGRAMA
Está integrado por una relación de tiempos,
misma que especifica cuándo debe ser iniciada y
terminada una actividad.
SATISFACC. AL CLIENTE
Consiste en cumplir con las expectativas creadas
al cliente, por ello debe documentarse en la
auditoría las actividades a desarrollar, los
costos y el tiempo necesario para realizar el
proyecto.
14COSTOS QUE IMPACTAN LA AUDITORÍA
- Sueldos y salarios remuneración a las personas
que participan en el proyecto ya sea por hora o
por proyecto. - Materiales compra de los enseres que demanda el
proyecto, por ejemplo lápices, cds, papel,
plumas, folders, etc. - Asesores contratación de expertos en ciertas
fases, para que el proyecto sea completado. - Alquiler de equipos e instalaciones se refiere
a la compra de equipo, herramientas o
instalaciones especiales, para realizar la
auditoría. - Viajes En caso de que el proyecto requiera que
algunos de los participantes efectúen viajes, es
necesario incluír costos tales como boletos de
avión, habitación de hotel, comidas, etc.
15ELEMENTOS NEGATIVOS QUE IMPACTAN LA AUDITORÍA
Por qué algunas auditorías exceden el
presupuesto ?
La respuesta está en base a cuatro puntos
centrales
- Muchos excesos en costos, provienen de
estimaciones deficientes de los mismos. - En muchas compañías no existen normas ni un
grupo común de reglas para desarrollar las
estimaciones de costos y técnicas para su
control como tampoco a ninguna de ellas se le
da mucha importancia. - Muchas personas creen que, debido al enorme
número de variables en un proyecto de auditoría,
los excesos en los costos, son simplemente
irremediables -lo cual es una forma de pensar
devastadora, en particular, por no ser cierta- - Con frecuencia los planes y controles de la
auditoría, no toman en cuenta medidas
probabilísticas, que pueden ser aplicadas.
16PLANEACIÓN Y CONTROL DE LA AUDITORÍA
Duración estimada de las actividades
El tiempo más probable (tm) Es el tiempo en que
se completará una actividad en particular bajo
condiciones normales.
El tiempo optimista (to) Es el tiempo en que una
actividad puede ser completada sin si todo marcha
perfectamente y sin complicaciones
El tiempo pesimista (tp) Es el tiempo en que se
puede terminar una actividad en particular bajo
condiciones adversas.
17PLANEACIÓN Y CONTROL DE LA AUDITORÍA
Estimar el tiempo optimista (to), el tiempo más
probable (tm) y el tiempo pesimista (tp), hace
posible tomar en cuenta la incertidumbre y
estimar cuánto durará una actividad y con ello
calcular en base a distribución de
probabilidades, la duración esperada
(te). EJEMPLO 1
Supóngase que el tiempo optimista para una
actividad es de 1 semana, el más probable es de
5 y el pesimista es de 15, calcule la duración
esperada
te to 4(tm) tp
te 1 4(5) 15
6
6
te 6 semanas
18PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 2
Supóngase que el tiempo optimista para otra
actividad es de 10 semanas, el más probable es
de 15 y el pesimista es de 20, calcule la
duración esperada
te to 4(tm) tp
te 10 4(15) 20
6
6
te 15 semanas
19PLANEACIÓN Y CONTROL DE LA AUDITORÍA
La varianza de la distribución de probabilidad
beta de una actividad se determina con la fórmula
siguiente
(
)
tp - to 2
?2
6
-3? -2? -1? Media
1? 2? 3?
68
95
99
20PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3
Supóngase que la auditoría al departamento X,
en cuanto a su aplicación y uso de sistemas, se
puede iniciar el día 0 y tiene para completarse
42 días, además tiene las siguientes duraciones
para las tres actividades que lo integran
ACTIVIDAD To Tm tp
A 2 4 6
B 5 13 15
C 13 18 35
Total 20 35 56
te 2 4(4) 6
4 días
6
te 5 4(13) 15
12 días
6
te 13 4(18) 35
te 20 4(35) 56
20 días
36 días
6
6
Total 36 días
21PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3
Por lo tanto, la auditoría tiene el tiempo de
terminación esperado más temprano del día 36.
Como se afirmó antes, el proyecto tiene un tiempo
de terminación requerido del día 42. Por regla
probabilística, existe un 0.5 de que la auditoría
sea completado el día 36 y una probabilidad del
0.5 de que sea completado después, las
varianzas serían las mostradas a continuación
6 - 2
(
)
2
Actividad A ?2
0.444
6
15 - 5
(
)
2
Actividad B ?2
Total 16.666
2.778
6
35 - 13
(
)
2
Actividad C ?2
13.444
6
22PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3
La varianza para la distribución total, que es
una distribución de probabilidades normal, es la
suma de las tres varianzas individuales, o sea,
16.666, la desviación estándar de la
distribución total es
Desviación estándar ?
16.666
Desviación estándar 4.08 días
Para encontrar la probabilidad de completar la
auditoría antes de su tiempo de terminación
requerido, se usa la fórmula siguiente
LF - EF
Donde LF el tiempo de terminación requerido
(la terminación más tardía), para el
proyecto. EF el tiempo de terminación más
temprano, esperado para el proyecto (la media de
la distribución normal). es la
desviación estándar en cuanto a la distribución
total de las actividades
(
)
Z
?t
?t
23PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3, Sustituyendo
LF - EF
42 - 36
6
(
)
(
)
(
)
Z
1.47
?t
4.08
4.08
El valor de Z, señala que hay 1.47
desviaciones estándar (1 desviación estándar
equivale a 4.08 días) entre LF y EF. Sin
embargo, el valor Z no genera directamente la
proporción del área bajo la curva entre LF y
EF. Para encontrar esta área, se tiene que
convertir el valor Z mediante tablas,
Conclusión Z 0.42922, lo cual señala que
la probabilidad de completar realmente la
auditoría entre entre EF (36 días) a LF (42
días), es de 42.92, sin embargo, el interés es
de encontrar la probabilidad de completar
realmente el proyecto en algún momento antes de
los 42 días, por lo que el razonamiento a seguir
es el de añadir la probabilidad de terminar a
los 36 días. Esto significa que la probabilidad
de concluír la auditoría antes de 42 días es
igual a la probabilidad de acabar a los 36 días,
más la probabilidad de terminar entre 36 y 41
días
24PLANEACIÓN Y CONTROL DE LA AUDITORÍA
Conclusión . . .
LF - EF
41 - 36
5
(
)
(
)
(
)
Z
1.22
?t
4.08
4.08
0.50000 0.38877 0.88877
PROBABILIDAD DE TERMINAR EL PROYECTO A LOS 36 DÍAS
PROBABILIDAD DE TERMINAR EL PROYECTO ANTES DE 42
DÍAS
PROBABILIDAD DE TERMINAR EL PROYECTO ENTRE 36 Y
41 DÍAS
La probabilidad de completar la auditoría antes
de su tiempo de terminación requerido de 42 días
es del 88.87
25CASO NO. 2
- Qué se entiende en su organización por
planeación? - Qué se entiende en su organización por realizar
un plan de negocios? - Conocen los auditores de sistemas el plan de
negocios? - si . cuál es la forma en que
accesaron al plan? - no porqué ?
- Qué entiende el área de sistemas por planeación
de auditoría en informática ? - Muestre un plan de auditoría de sistemas de la
organización donde labora, considerando los
siguientes puntos - Fecha y responsable de la auditoría.
- Tiempo utilizado para concluír la misma.
- Costo aproximado de la auditoría (mencione a
que fecha están expresados los - costos).
- Documento de saqtisfacción del usuario o
comentarios sobre el resultado de la - revisión.
- Listado de salvedades.
- Actualización de los resultados de la
auditoría. - Metodología utilizada para realizar la
auditoría. -
26METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Lo primero, es definir claramente las actividades
que desempeñará el auditor en informática y
sistemas, dentro de la organización. Es
importante determinar el medio que rodea a la
auditoría, en términos del negocio, es decir
- Se auditará una ( o varias ) aplicación (es)
actual (es) ? - Se auditará una nueva aplicación ?
- Es complejo el negocio en su forma de operar ?
- Se tiene que auditar una fusión entre negocios
? - Se tiene que auditar una alianza entre
negocios ?
27METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
TAREAS PRODUCTOS RESPONSABLE INVOLUCRADOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio. LPA / RAI 1.1 AD 1.2 AD 1.3 AD / PU
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas. LPA / RAI 2.1 RI 2.2 RI 2.3 RI / PI 2.4 RI
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas. LPA / RAI 3.1 AD / PU / RI
28METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Algunas métricas . . .
TIEMPOS DE ATENCIÓN duración de un evento desde
su inicio, hasta su conclusión.
EFICIENCIA Cantidad de recursos de cómputo que
consume el software durante su ejecución.
OPERATIVIDAD Apego a las políticas y
procedimientos definidos por la normatividad de
la organización y sistemas.
ARQUITECTURA Apego y uso de la infraestructura
definida en la normatividad de sistemas.
CONTINGENCIAS Existencia de procedimientos para
recuperar la información o en su caso, para
trabajar de manera alterna sin impactar
negativamente a la operación.
29METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
POR QUÉ HACER ESTO? Para que el auditor conozca
la organización y determine si ésta tiene
misión, estrategias, planes y sobre todo
jerarquías (organigrama)
30METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
POR QUÉ HACER ESTO? Para que el auditor conozca
el grado de apoyo y satisfacción que brinda la
función de sistemas al negocio, este paso debe
estar orientado a los siguientes puntos Apoyo a
la alta dirección, por ejemplo sistemas de
info. estratégica, tecnología, etc.) Apoyo a las
gerencias, por ejemplo sistemas de info.
Integrales, entre otros. Apoyo a niveles
operativos, por ejemplo sistemas de info.
básicos, etc.
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
31METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
POR QUÉ HACER ESTO? Para que el auditor
determine, si la función informática tiene
misión, estrategias, planes y sobre todo
jerarquías (organigrama)
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
32METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
POR QUÉ HACER ESTO? Para que el auditor
determine, si la función informática maneja
bitácoras, guardias, productos y servicios
entregados al usuario, árboles de operación,
documentación de las peticiones del usuario,
Matrices de impactos entre programas, manuales
de programación, de comunicaciones, del usuario,
de calidad entre otros, programas (piezas)
fuentes, files, jobs, objetos, manejo de derechos
de autor, etc.
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
33METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
- POR QUÉ HACER ESTO?
- Para que el auditor conozca, si la función
informática maneja mediciones que reflejen su
productividad y su contribución al negocio,
algunos ejemplos son los siguientes - Arquitectura
- Tolerancia a errores
- Consumo de recursos
- Complejidad
- Estructuración
- Satisfacción de requerimientos al usuario
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
34METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
- POR QUÉ HACER ESTO?
- Para que el auditor determine, si la función
informática presenta debilidades en su operación,
por ejemplo - No existe arquitectura definida
- El consumo de recursos es excesivo
- Complejidad para el usuario en la operación de
los sistemas en funcionamiento - No existe estructuración de los programas que
conforman los sistemas actuales - Bajo nivel de satisfacción de requerimientos del
usuario - Bajo nivel de capacitación del personal de
sistemas - No se actualiza el equipo y el software
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
35METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
- POR QUÉ HACER ESTO?
- Para que el auditor determine, el grado en que la
función informática está amenazada en su
operación, por ejemplo - Nuevas tendencias en el cambio de arquitectura
- Sugimiento de nuevas aplicaciones
- Operación de los sistemas cada vez mayor en
línea - Técnicas de documentación para programas
orientados a objetos - Búsqueda del usuario, de apoyos externos para el
desarrollo y administración de los sistemas de la
organización - Multihabilidades en el personal de sistemas de
otras organizaciones
PASO 1 Diagnóstico preliminar
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
36METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Caso 3
- Qué condiciones deben existir antes de que el
auditor en sistemas inicie la primera etapa de la
metodología ? - Cómo definiría la etapa de evaluación
preliminar ? - Existen dos tipos de diagnóstico de esta etapa,
cuáles son ? - Qué resultados mínimos ha de arrojar cada uno
de tales diagnósticos? - Qué restricciones se pueden presentar en la
etapa de evaluación preliminar, y que acciones
debe ejecutar el personal de auditoría en
informática para eliminarlas, o al menos
minimizarlas, con el fin de asegurar el éxito
del proyecto ? - Cuáles de las siguientes técnicas y
herramientas debe utilizar el personal del área
de auditoría en sistemas durante dicha etapa ? - - muestreo
- - observación / inspección
- - documentación
- - análisis costo / beneficio
- - software de auditoría
- - otros (especifique)
- 7. Qué problemática se puede presentar a
los auditores en informática, si se omite la
etapa de evaluación preliminar?
37METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa de justificación
TAREAS PRODUCTOS RESPONSABLE INVOLUCRADOS
1. Realizar matriz de riesgos. 1.1 Matriz de riesgos. LP / AI RAI
2. Justificar la auditoría por cada área de revisión. 2.1 Justificación de la matriz de riesgos. LP / AID RAI
3. Crear un plan de auditoría en sistemas. 3.1 Plan general de informática. LP RAI / AI
38Matriz de riesgos
39Justificación de la matriz de riesgos
40DEFINICIÓN Se emplea para diagramar de forma
sistemática todas las posibles cadenas de eventos
para alcanzar un objetivo amplio o para implantar
una solución compleja, esta técnica, se
implementa cuando existe incertidumbre en el
funcionamiento del sistema (electrónico o
administrativo),
- Reunir el equipo apropiado el equipo deberá
incluir a miembros que tengan un conocimiento
genérico de los flujogramas, así como personas
con experiencia en cada paso del proceso. - Elegir el flujo básico de implantación consiste
en construir un flujo básico de actividades que
deberá ser amplio y la ruta trazada deberá ser
directa y evitar el detalle. - Construir el formato de la gráfica consiste en
graficar mediante una combinación de diagrama de
árbol y flujograma el proceso en cuestión. - Establecer un objetivo principal.
- Enumerar los pasos del proceso consiste en dar
secuencia a cada uno de los pasos del proceso. - Deteminar contramedidas esta contramedida se
representará por medio de una nube. - Evaluar las contramedidas las contramedidas
serán marcadas con los signos - 0 seleccionada
- X no factible
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
41IMPLANTACIÓN DE NIVELES DE SEGURIDADCON RECS.
PROPIOS.
X
INEXISTENCIA DE SEGURIDAD
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
AJENOS.
0
EVALUAR LA SEGURIDAD LÓGICA
IMPLANTAR NIVELES CONFIABLES DE SEGURIDAD EN
MENOS DE 4 MESES
X
BAJOS NIVELES DE SEGURIDAD
IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE
4 MESES Y MENOS DE UN AÑO
SEGURIDAD DE LA INFO. DE LA CORPORACIÓN X
0
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
IMPLANTACIÓN DE NIVELES DE SEGURIDADCON RECS.
PROPIOS.
X
INEXISTENCIA DE SEGURIDAD
EVALUAR LA SEGURIDAD FÍSICA
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
AJENOS.
X
0
IMPLANTAR NIVELES CONFIABLES DE SEGURIDAD EN
MENOS DE 4 MESES
BAJOS NIVELES DE SEGURIDAD
IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE
4 MESES Y MENOS DE UN AÑO
X
0
SELECCIONADA NO FACTIBLE
X
42EVALUAR LA SEGURIDAD LÓGICA
INEXISTENCIA DE SEGURIDAD
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
PROPIOS.
- S e cuenta con asignación de claves (passwords)
? (fuerza) si - Hay personal capacitado para la administración
del sistema y asignación de claves ? (debilidad)
no - Existe la capacidad humana y tecnológica para
diseñar e implantar firewalls ? (amenaza) no - Existe la capacidad humana y tecnológica para
diseñar e implantar métodos tipo kerberos ?
(amenaza) no
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
EVALUAR LA SEGURIDAD FÍSICA
BAJOS NIVELES DE SEGURIDAD
IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE
4 MESES Y MENOS DE UN AÑO
- S e cuenta con un plan de traslado y guarda de
la información ? (fuerza) si - Existe un espacio físico (edificio), que
tenga capacidad para guardar la información?
(fuerza) si - Existe una estructura administrativa que maneje
el proceso de traslado y guarda de la información
? (debilidad) no - Existen procedimientos para consultar y/o
disponer de la información en guarda? (fuerza)
si - La organización cuenta con la capacidad
tecnológica para la guarda de información ?
(debilidad) no
43EVALUAR LA SEGURIDAD LÓGICA
INEXISTENCIA DE SEGURIDAD
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
PROPIOS.
Se cuenta con asignación de claves
(passwords) ? (30)
FUERZAS
OPORTUNIDADES
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
Hay personal capacitado para la
administración del sistema y asignación de
claves ? (30)
Existe la capacidad humana y tecnológica para
diseñar e implantar firewalls ? (20)
Existe la capacidad humana y tecnológica para
diseñar e implantar métdos tipo kerberos ? (20)
DEBILIDADES
AMENAZAS
44DEFINICIÓN Son herramientas que se emplean para
revelar las correlaciones entre
responsabilidades y funciones, éstas matrices
son utilizadas por auditoría, para descubrir
desviaciones en términos generales o específicos
de las áreas sujetas a revisión.
- Reunir el equipo apropiado el equipo deberá
incluir a miembros que tengan un conocimiento de
los procesos. - Elegir las consideraciones clave consiste en
definir qué información queremos mostrar en la
matriz ?. - Construir la matriz consiste en cruzar la
información (variables), definidas en el paso
anterior. - Asignación de pesos a cada una de los cruces. en
este paso, debe ser calculado el grado de
correlación. - Requisitar la matriz consiste en calificar las
variables relacionadas, en base a un índice de
correlación obtenido en el paso anterior.
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
45NO. DE ERRORES MENCIONADOS POR LA DIRECCIÓN
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES ENE FEB MZO ABR MAY
CONECTIVIDAD 22 14 18 20 19
COMPLEJIDAD 18 20 13 16 13
SOPORTE A ERRORES 20 9 10 11 11
VELOCIDAD 15 3 9 13 11
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
46NO. DE ERRORES MENCIONADOS POR EL USUARIO
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES ENE FEB MZO ABR MAY
CONECTIVIDAD 20 9 10 20 12
COMPLEJIDAD 12 22 10 19 13
SOPORTE A ERRORES 16 11 6 8 7
VELOCIDAD 10 1 3 1 3
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
47NO. DE HORAS DEDICADAS A ATENDER REQUERIMIENTOS
DE LA DIRECCIÓN
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES ENE FEB MZO ABR MAY
CONECTIVIDAD 32 44 28 20 6
COMPLEJIDAD 14 32 3 16 13
SOPORTE A ERRORES 17 19 10 12 7
VELOCIDAD 25 1 4 0 5
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
48PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES SATISFACCIÓN DE LA DIRECCIÓN SATISFACCIÓN DEL USUARIO
CONECTIVIDAD
COMPLEJIDAD
SOPORTE A ERRORES
VELOCIDAD
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
VISIÓN GLOBAL DE SISTEMAS
VISIÓN A DETALLE DE SISTEMAS