Story Transcript
Metodología de la Auditoría Informática.
Prof.: MSc. Julio Rito Vargas Avilés
http://jrvargas.wordpress.com
Curso: Auditoría Informática
Sábado 4 abril 2009
LOGO
LOGO
Contenido 1
Proceso de planeación del negocio
2
Proceso de planeación en Informática
3
Proceso de planeación de la auditoría
4
Proceso de planeación de la A. I.
5
Metodología para la A.I.
Julio Rito Vargas Avilés
LOGO
Gestión de la planeación de la Auditoría Informática
La función de auditoría Informática debe generar, como todas las áreas del negocio,un plan de proyectos que justifique su trabajo durante cierto tiempo; cada uno de esos proyectos tendrán que contemplar un analísis costo/beneficio y la estructura de los mismos con un enfoque metodológico, con el fin de que esta función se evalúe según su desempeño, con parámetros tangibles y mensurables.
Julio Rito Vargas Avilés
LOGO
Gestión de la planeación de la Auditoría Informática
Alta dirección: Seguimiento a proyectos relacionados con tecnología informática. Verificación y aseguramiento del cumplimiento de políticas inherente a la tecnología informática.
Auditoría: Apoyo en la definición, implantación y seguimiento de políticas, controles y procedimientos de auditoría financiera, operativa, fiscal, etc., relacionada directa o indirectamente con la tecnología informática (SI, equipos de cómputo, comunicaciones, etc.) Julio Rito Vargas Avilés
LOGO
Gestión de la planeación de la Auditoría Informática
Auditoría: Planes de capacitación en el uso y entendimiento de software de auditoría, herramientas de productividad(hojas de cálculo, procesadores de palabra, graficadores, etc.)
Informática: Apoyo en la definición, implantación y seguimiento de políticas, controles, procedimientos y estandares en informática.
Julio Rito Vargas Avilés
LOGO
Gestión de la planeación
Planeación de la A.I.
Proceso de Planeación del negocio
Proceso de Planeación en Informática
Julio Rito Vargas Avilés
Proceso de planeación de la auditoría
Proceso de planeación de la auditoría informática
LOGO
Proceso de planeación del negocio
Actividad
Responsable de cambios
Determinación Gerente de de las áreas planeación de oportunidad para el negocio.
Julio Rito Vargas Avilés
Responsable del seguimiento
Comentarios
Alta dirección o director de planeación
Se determinan tendencias y amenazas del medio externo, fortalezas y debilidades del negocio, etc. Se seleccionan las áreas de oportunidad estratégicas y los proyectos de cada proceso básico del negocio
LOGO
Proceso de planeación en Informática
Actividad
Responsable de cambios
Elaboración del Gerente de plan del planeación negocio
Julio Rito Vargas Avilés
Responsable del seguimiento
Comentarios
Alta dirección o director de planeación
Cada proyecto debe justificar su inversión garantizando que brinda al negocio rentabilidad y ventaja competitiva.
LOGO
Proceso de planeación en Informática
Actividad
Presentación del plan a los directivos o gerente o ambos.
Responsable de cambios Gerente de planeación
Julio Rito Vargas Avilés
Responsable del seguimiento Alta dirección y/o directiva
Comentarios
Se recomienda que se haga de manera oportuna (al iniciar el período fiscal) y se autorice formalmente.
LOGO
Proceso de planeación en Informática
Actividad
Ejecución del plan de negocio
Responsable de cambios Gerente o coordinador de cada área o proceso básico del negocio
Julio Rito Vargas Avilés
Responsable del seguimiento
Comentarios
Alta dirección o gerente de planeación.
Cada área o proceso básico del negocio ha de ejecutar los proyectos, con la ayuda de asesores externos si se justifica. Planeación verificará su cumplimiento.
LOGO
Proceso de planeación en Informática
Actividad
Determinación de áreas apoyadas por informática (plan del negocio)
Responsable de ejecución
Responsable del seguimiento
Gerente o Director o coordinador de gerente de planeación informática informática
Julio Rito Vargas Avilés
Comentarios
Las áreas de oportunidades relativas al negocio, al igual que proyectos específicos solicitados por la alta dirección o recomendados por asesores externos de alto nivel, emanan del plan de negocio.
LOGO
Proceso de planeación en Informática
Actividad
Elaboración del plan informático
Responsable de ejecución
Responsable del seguimiento
Gerente o Director o coordinador de gerente de planeación informática informática
Julio Rito Vargas Avilés
Comentarios
Es importante que el área responsable de ejecutar cada proyecto se involucre en esta tarea, ejemplo el área de desarrollo de software, área de telecomunicaciones .
LOGO
Proceso de planeación en Informática
Actividad
Presentación del plan a la alta dirección
Responsable de ejecución
Responsable del seguimiento
Director o gerente de informática
Alta dirección del negocio
Julio Rito Vargas Avilés
Comentarios
Antes de presentar el documento se verifica que existe un análisis costo/beneficio de cada proyecto, así como fechas de terminación.
LOGO
Proceso de planeación en Informática
Actividad
Ejecución del plan de auditoría
Responsable de ejecución
Responsable del seguimiento
Funciones de Gerente informática: Desarrollo, investigación, comunicación, soporte a usuarios, entre otros.
Julio Rito Vargas Avilés
Comentarios
En algunas empresas las funciones de desarrollo de sistemas, soporte a usuarios, planeación etc., han sido delegadas a personal externo y en ciertas ocasiones han pasado a ser responsabilidad del mismo usuario.
LOGO
Proceso de planeación de auditoría
Actividad
Responsable de ejecución
Responsable del seguimiento
Determinación Coordinador o Gerente de de las áreas supervisor de auditoría por auditar en auditoria el negocio.
Julio Rito Vargas Avilés
Comentarios
Aquí se da prioridad a la evaluación de los sistemas información financieros y contables. El auditor debe verificar si requiere el apoyo de auditoría informática(interno o externo)
LOGO
Proceso de planeación de auditoría
Actividad
Elaboración del plan de auditoría
Responsable de ejecución
Responsable del seguimiento
Coordinador o Gerente de supervisor de auditoría auditoria
Julio Rito Vargas Avilés
Comentarios
Las fechas y periodos en que se auditarán las áreas pueden obedecer a estrategias propias de la alta dirección o a necesidades de la función de auditoría.
LOGO
Proceso de planeación de auditoría
Actividad
Presentación del plan a la alta dirección
Responsable de ejecución
Responsable del seguimiento
Coordinador o Gerente de supervisor de auditoría auditoria
Julio Rito Vargas Avilés
Comentarios
Se recomienda que se haga de manera oportuna (al iniciar el periodo fiscal) y que se autorice formalmente.
LOGO
Proceso de planeación de auditoría
Actividad
Ejecución del plan de auditoria
Responsable de ejecución
Responsable del seguimiento
Coordinador o Gerente de supervisor de auditoría auditoria (interna o externa)
Julio Rito Vargas Avilés
Comentarios
Algunas empresas consideran que es recomendable utilizar personal de auditoría externa para dar independencia al informe o aligerar las cargas de trabajo.
LOGO
Proceso de planeación de la auditoría Informática
Actividad
Determinación de las áreas por auditar del negocio.
Responsable de ejecución
Responsable del seguimiento
Coordinador o Gerente de supervisor de auditoría auditoria informática informática
Julio Rito Vargas Avilés
Comentarios
Se efectúa un diagnóstico actual de la función de informática (desde el punto de vista del negocio) con el fin de detectar áreas de riesgo o debilidades de la función de informática.
LOGO
Proceso de planeación de la auditoría Informática
Actividad
Elaboración del plan de auditoría informática
Responsable de ejecución
Responsable del seguimiento
Coordinador o Gerente de supervisor de auditoría auditoria informática informática
Julio Rito Vargas Avilés
Comentarios
Las fechas y periodos en que se auditarán las áreas puede obedecer a la solicitud expresa de la alta dirección o a requerimientos de la función de auditoría informática.
LOGO
Proceso de planeación de la auditoría Informática
Actividad
Presentación del plan a la alta dirección
Responsable de ejecución
Responsable del seguimiento
Comentarios
Director de Auditoría Informática
Alta Dirección
Se recomienda que se haga de manera oportuna y que se autorice formalmente.
Julio Rito Vargas Avilés
LOGO
Proceso de planeación de la auditoría Informática
Actividad
Ejecución del plan de auditoría informática
Responsable de ejecución
Responsable del seguimiento
Auditores informáticos
Gerente auditoría informática
Julio Rito Vargas Avilés
Comentarios
Algunas empresas no cuentan con unidades de auditoría informática y quienes hacen esta labor son auditores en informática externos.
Etapas de la Metodología
LOGO
-Acciones correctivas y preventivas -Seguimiento.
Etapa Implantación
-Entrevistas, visitas, observaciones, -Recomendaciones e informe de auditoría
Etapa Desarrollo
-Aprobación -Inicio de auditoría inf.
Etapa Formalización
-Métodos -Técnicas -Herramientas
Etapa Adecuación
-Áreas a auditar -Plan propuesto Diagnóstico - Negocio -Informática
Etapa Justificación
Etapa Preliminar
Julio Rito Vargas Avilés
LOGO
Etapa preliminar
Diagnóstico del Negocio
PRELIMINAR (DIAGNÓSTICO)
Diagnóstico de Informática
Detectar áreas de oportunidad
Julio Rito Vargas Avilés
Misión y objetivos de negocio Organización de la informática Grado de apoyo al negocio Misión y objetivos de la función de informática Organización de la Informática Control (formalidad) Productos y Servicios. Áreas de oportunidad para mejoras inmediatas.
LOGO
Etapa preliminar
DIAGNÓSTICO DE INFORMATICA. Aquí el auditor se coordinará con el responsable de la función de informática. Conocimiento de la función de Informática: En este parte el auditor conocerá:
• La estructura de Informática • Funciones • Objetivos.
• Estrategias • Planes
• Políticas La tecnología de Sw. y Hw. en la que se apoya para llevar a cabo su función dentro del negocio.
Julio Rito Vargas Avilés
Servicios de informática
LOGO
Evaluación, adquisición, instalación y reemplazos de Hw y comunicaciones
Implantación de soluciones de información
Satelite 1500 km
Mantenimiento
Investigación
Servicios
Soporte a usuarios Soporte a la alta dirección
E-mail
Julio Rito Vargas Avilés
Auditoría Informática
LOGO
Control del Área Informática
Aspectos de Control del Área de Informática Otro aspecto a evaluar en la etapa preliminar es evaluar el grado de formalidad y cumplimiento que se da a políticas y procedimientos relativos a cada área de informática. Una manera es a través de entrevistas que concede el RI al LP; pero el camino más directo es entrevistar al encargado de cada área que conforma la función de informática. Algunos aspectos que deben considerarse son los siguientes:
• Esquema de seguridad para Internet, intranet y comercio electrónico. • Políticas y procedimientos de organización de la función de informática.
Julio Rito Vargas Avilés
LOGO
Control del Área Informática
Aspectos de Control del Área de Informática
• Descripción de puestos y funciones
• Evaluación del desempeño • Guías de control para proyectos de selección e implantación de un sistema ERP
• Políticas y procedimientos para el desarrollo e implantación de sistemas. • Políticas y procedimientos de evaluación de Hw. y Sw. • Políticas y procedimientos de seguridad • Políticas y procedimientos de mantenimiento(preventivo, detectivo y correctivo) • Plan de contingencia y de reinicio de operaciones.
Julio Rito Vargas Avilés
LOGO
Cuestionario del diagnóstico actual del negocio
Concepto Giro y misión del negocio (se requerirá organigrama) …. Macroproyectos del negocio. …. Objetivos del negocio
Políticas referentes a la función de informática. Áreas de oportunidad que se derivan de informática.
Descripción
Comentarios
LOGO
Soluciones de informática(diagnóstico del negocio
¿Cuáles de las siguientes soluciones le han sido proporcionadas por informática y como las califica? Soluciones de consultoría. Asesoría y soporte en la definición, evaluación y selección de estrategias para la obtención de soluciones de negocio Soluciones de sistematización de procesos de negocio. Instalación de sistemas requeridos en el desarrollo de sus funciones operativas, tácticas y estratégicas.
Soluciones de desarrollo tecnológico. Evaluación y selección de tecnología: definición de nuevos enlaces con otras empresas vía telecomunicaciones, automatización de oficinas, etc. Servicios operativos. Instalación de equipo de cómputo y telecomunicaciones, capacitación en el uso de la tecnología, atención a fallas de software y aplicaciones, atención a fallas a equipos de cómputo y comunicaciones.
Descripción Comentarios E B R D
LOGO
Cuestionario del diagnóstico actual de informática
Concepto Misión de informática (organigrama) Funciones o áreas de informática
Macroproyectos de informática Objetivos de la función de informática Políticas referente a cada función de informática Áreas de oportunidad relativas a informática
Descripción
Comentarios
Etapa de Justificación
LOGO
Productos a obtener de la etapa de justificación
1
2
Matriz de riesgo: Áreas de mayor peligro con relación con informática.
Plan general de auditoría informática
Julio Rito Vargas Avilés
3 Compromiso ejecutivo
LOGO
Etapa de justificación
Etapa
Tareas
Justificación Realizar matriz de riesgos.
Productos Matriz de riesgo.
Resp.
Involucrado
LP/AI
RAI
Justificar la AI por cada área de revisión
Justificación LP/AI de la matriz de riesgo.
RAI
Hacer un plan de AI
Plan general de AI
LP
RAI/AI
Aprobación plan AI
Plan aprobado
LP
RAI/AI
Julio Rito Vargas Avilés
LOGO
Matriz de riego
Áreas susceptibles de auditar
Administración de informática
Direcciones y niveles ejecutivos
Componentes por evaluar
Riesgo por componente
Misión y objetivos Organización Servicios Parámetros de medición.
%
Seguimiento de la función informática por la AD. Comunicación e integración Apoyo a toma de decisiones.
%
Julio Rito Vargas Avilés
% % %
% %
Clasif. del riesgo por Área
%
Área por auditar según clasif. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo idem
%
LOGO
Matriz de riesgo
Áreas susceptibles de auditar
Usuarios de Informática
Componentes por evaluar
Riesgo por componente
Comunicación e integración. Proyectos conjuntos. Administración de recursos informáticos. Grado de satisfacción.
%
Políticas y Control Interno procedimientos
Informático
Julio Rito Vargas Avilés
%
Clasif. del riesgo por Área
%
% %
%
%
Área por auditar según clasif. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo
idem
LOGO
Matriz de riego
Áreas susceptibles de auditar
Ciclo de desarrollo e implantación de SI
Sistemas de información
Componentes por evaluar
Riesgo por Componente
Metodología Técnicas Herramientas Capacitación/ac tualización
% %
Planeación Desarrollo Operación Soluciones de mercado.
% % % %
Julio Rito Vargas Avilés
%
Clasif. del riesgo por Área
%
%
Área por auditar según clasif. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo idem
LOGO
Matriz de riego
Áreas susceptibles de auditar
Componentes por evaluar
Riesgo por Componente
Mantenimiento
Hardware Software S. Información Telecomunicacio nes
% % % %
Instalación Operación Operatividad y Seguridad
% % %
%
Administración Instalación Operación y Seguridad.
% % %
%
Redes
Telecomunicaci ones
Julio Rito Vargas Avilés
Clasif. del riesgo por Área
%
Área por auditar según clasif. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo Idem
idem
LOGO
Matriz de riego
Áreas susceptibles de auditar
Hardware: PC Minicomputado ras Mainframes Software: paquetes de uso generalizado, lenguajes de programación. SO, paquetes de uso específicos
Componentes por evaluar
Riesgo por Componente
Administración Instalación Operación y Seguridad.
% % %
Administración
%
Legalización
%
Operatividad y seguridad
%
Capacitación
%
Julio Rito Vargas Avilés
Clasif. del riesgo por Área %
%
Área por auditar según clasif. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo
Idem
LOGO
Matriz de riego
Áreas susceptibles de auditar
Componentes por evaluar
Riesgo por Componente
Seguridad
Hardware Software y aplicaciones comunicaciones
% % %
%
Planeación de informática
Plan de contingencia y de recuperación.
%
%
Metodología Técnicas Herramientas Capacitación y actualización
%
Investigación tecnológica
Julio Rito Vargas Avilés
% %
Clasif. del riesgo por Área
Área por auditar según clasif. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo
Idem
LOGO
Detección de riesgo Circunstancias
Riesgos
Software pirata
• problemas legales • mala imagen ante clientes y proveedores. • susceptible a virus • falta de documentación • sin soporte técnico del proveedor
Inexistencia de metodologías o informalidad en su utilización(planeación, desarrollo, etc.)
• Trabajo desarrollado según criterio de cada individuo. • Proyectos individuales y no de equipos • Seguimiento nulo o informal a los proyectos informáticos. • Dependencia de personal que maneja proyectos claves. • Se trabaja en base en “inspiración”
Julio Rito Vargas Avilés
LOGO
Detección de riesgo Circunstancias
Comunicación nula o informal entre informática y Alta dirección
Riesgos • Proyectos cancelados • Desconocimiento de los requerimientos de negocio. • Prioridades mal entendidas • Recursos desperdiciados • Incertidumbre entre el personal de la empresa en objetivos comunes. • Falta de compromiso de la alta dirección • Estrategias y objetivos de negocio no soportados por equipos de trabajo. • Amigos distantes.
Otros detectados en el diagnóstico
Julio Rito Vargas Avilés
LOGO
Etapa de Adecuación
La etapa de adecuación o adaptación a las características del negocio se enfoca en el análisis, adecuación y actualización detallado de los elementos que intervienen en un proyecto de auditoría informática. Esta etapa tiene por objetivo adaptar el proyecto de auditoría a las características del negocio, tomando en cuenta los estándares, políticas, procedimientos de auditoría informática comúnmente aceptados. Al terminar esta etapa el auditor informático contará con un proyecto bien especificado y clasificado.
Julio Rito Vargas Avilés
LOGO
Etapa de Adecuación
Etapa
Adecuación
Tareas
Productos
Definir objetivos Objetivos del proyecto alcances proyecto. Definir etapas del proyecto y sus detalles
Julio Rito Vargas Avilés
y del
Etapas y sus tareas. Plan actualizado. Responsables e involucrados. Productos terminados. Revisiones
Resp.
Involucrado
LP
RAI
AI/RAI AI AI AI
LP LP LP LP
AI
LP
AI
LP
LOGO
Etapa de Adecuación
Etapa
Adecuación
Tareas
Productos
Resp.
Involucrado
Definir los elementos por auditar por área de revisión.
Aspectos o elementos a evaluar por cada área de revisión.
AI
LP
Establecer técnicas y herramientas por área de revisión
Técnicas Software Equipo de cómputo Otros de interés para el auditor
AI AI AI AI
LP LP LP LP
Julio Rito Vargas Avilés
LOGO
Etapa de Adecuación
Etapa
Adecuación
Tareas
Productos
Resp.
Involucrado
Definición o actualización de políticas por área.
Políticas y procedimientos por verificar de acuerdo con cada área que será auditada.
AI
LP
AI
LP
AI
LP
RAI
LP
Políticas complementarias.
Elaboración o actualización de cuestionarios por área.
Julio Rito Vargas Avilés
Cuestionario por cada área que será auditada. Cuestionarios adicionales
LOGO
Etapa de Formalización
En esta etapa la alta dirección da su aprobación y apoyo formal para el desarrollo del proyecto de A.I presentado
LOGO
Etapa de Formalización
Etapa
Formalización
Tareas
Productos
Resp.
Involucrado
Verificar prioridades y cursos de acción
Prioridades clasificadas. Áreas por auditar verificadas.
LP AI/LP
RAI
Verificar plan y actividades
Etapas y sus tareas Plan detallado final
AI
LP
Presentación formal del proyecto
Proyecto de la AI
RAI
AD/PU/RI
Julio Rito Vargas Avilés
revisado
LOGO
Etapa de Formalización
Etapa
Formalización
Tareas Aprobación formal del plan de A.I.
Presentación del proyecto a los usuarios de informática
Julio Rito Vargas Avilés
Productos Aprobación proyecto Compromiso ejecutivo Inicio formal proyecto.
del
del
Entendimiento del proyecto. Aceptación del proyecto Compromiso para cada una de las áreas involucradas.
Resp.
Involucrado
AD/PU/RI
RAI/LP
AD
AD/PU/RI
PI/PU
AD/PU/PI
RI
LP/AI
PI/PU
LP/AI
PI/PU
LP/AI
LOGO
Etapa de Formalización
Etapa
Formalización
Tareas
Productos
Resp.
Involucrado
Definir las áreas por visitar y concretar citas con el personal que se entrevistará
Fechas de entrevistas. Fechas de visitas Fechas para aplicación de cuestionarios.
LP
PI/PU
LP
PI/PU
LO
PI/PU
Julio Rito Vargas Avilés
LOGO
Etapa de Desarrollo
Ésta es la etapa cumbre para el auditor informático porque éste ejerce su función de manera práctica. Ejecución del plan AI.
LOGO
Etapa de Desarrollo
Etapa
Desarrollo
Tareas
Productos
Resp.
Involucrado
Concertar citas
Fecha aprobada o actualizada
AI
PI/PU
Verificar tareas, involucrados, etc.
Tareas, involucrados, revisados
AI
PI/PU
Clasificar técnicas, cuestionarios y herramientas por usar.
Técnicas, Cuestionarios y Herramientas clasificadas
AI/LP
PI/PU/AI/ RAI
Ejecutar entrevistas
Entrevistas realizadas, documentadas analizadas
AI/LP
PI/PU/AI/ RAI
Julio Rito Vargas Avilés
etc.
y
LOGO
Etapa de Desarrollo
Etapa
Desarrollo
Tareas Aplicar cuestionarios
Productos Cuestionarios aplicados, documentados analizados.
y
Resp.
Involucrado
AI
LP
AI
Efectuar visitas de verificación
Visitas realizadas, comentarios documentados y analizados.
AI/LP
Elaborar informe preliminar acerca de las áreas auditadas
Observaciones, áreas de oportunidad, alternativas por cada área de oportunidad, recomendaciones por alternativas etc.
AI
Julio Rito Vargas Avilés
LP
LP
LOGO
Etapa de Desarrollo
Etapa
Desarrollo
Tareas
Productos A.I
Involucrado
LP
RAI/AI
Revisar el informe preliminar por área.
Borrador revisado
Autorizar el borrador del informe preliminar.
Informe preliminar revisado, corregido, entregado, autorizado.
LP/AI/ PU/PI
LP/AD/PU
Efectuar entrevistas, cuestionarios y visitas complementarias
Entrevistas, cuestionarios y visitas pendientes realizadas. Informe actualizado con observaciones, acciones, etc.
LP/AI
PI/PU
Julio Rito Vargas Avilés
de
Resp.
AI
LOGO
Etapa de Desarrollo
Etapa
Desarrollo
Tareas
Productos
Resp.
Involucrado
Elaborar informe final
Informe final revisado con información de las áreas auditadas.
AI
LP
VoBo
RAI
LP/AI
final
AI
AI
LP/AI
RAI
AI
LP
Informe del RAI
con
Informe digitalizado.
Documentación para la AD. Documentación del informe para RI y PI
Julio Rito Vargas Avilés
LOGO
Etapa de Desarrollo
Etapa
Desarrollo
Tareas
Productos
Resp.
Involucrado
Elaborar un plan de implantación general de acciones sugeridas.
Acciones clasificadas por plazos sugeridos.
AD/RI/P U
RAI
RAI
AD/RI/LP
Aprobar informe y plan de implantación
Informe de AI y plan de implantación aprobado
LP/AI
RAI/LP/PI
Julio Rito Vargas Avilés
Costo/Beneficio plan.
del
LOGO
Etapa de Desarrollo
Etapa
Desarrollo
Tareas Presentación del informe de AI y del plan de implantación. Aprobar informe final.
Julio Rito Vargas Avilés
Productos
Resp.
Involucrado
Informe final presentado a la dirección. Informe final presentado a PU y PI
RAI
RAI/LP
LP/AI
AD/RI/PI
Revisión del informe de AI Aprobación del informe AI Compromiso ejecutivo.
AD/RI/PU
RAI/LP/PI
AD/RI
RAI/LP/P U
AD/RI
RAI/PU
LOGO
Etapa de Implantación
En esta etapa del proyecto la labor el AI se convierte así, en una labor de seguimiento y control.
LOGO
Etapa de Implantación
Etapa
Implantación
Tareas Definir requerimientos para el éxito del plan de implantación.
Julio Rito Vargas Avilés
Productos
Resp.
Involucrado
RRHH, tecnológicos y financieros requeridos para el éxito de la implantación sugerida por AI. Recursos aprobados Personal de trabajo para la implantación. Equipo de trabajo aprobado. Funciones y responsabilidades Fechas de revisión Resultados esperados Análisis C/B revisado Inicio de la implantación.
RI/PU
LP RI/PU/LP
AD RI/PU
LP LP
AD/RI
LP
RI/PU
LP/AI
RI/PU
LP
LOGO
Etapa de Implantación
Etapa
Implantación
Tareas Desarrollar el plan de implantación detallado
Productos
Resp.
Involucrado
Plan de implantación revisado según los resultados de la primera tarea.
PI
LP
Plan de implantación corregido y actualizado.
RI
RI/PU/LP
Documentar final.
AD
RI/PU/LP
AD/RI
LP
plan
Plan final aprobado.
Julio Rito Vargas Avilés
RI/PU/LP
LOGO
Etapa de Implantación
Etapa
Implantación
Tareas Efectuar la implantación sugerida por AI
Seguimiento a la implantación del plan recomendado por la AI
Julio Rito Vargas Avilés
Productos
Resp.
Involucrado
Inicio de los proyectos. Tareas terminadas Presentación de implantación. Implantación aprobada.
PI/PU
RI
PI/PU RI
RI
AD/RI
RI/RAI/LP
LP
RAI/AI
Acciones de seguimiento seleccionadas. Seguimiento de la implantación. Revisiones informales Revisiones formales Aseguramiento de la calidad. Implantación exitosa final y aprobada
RAI
RAI
LOGO
Proceso Metodológico de la A I.
Requisitos para el éxito del proceso metodológico: Aprobación de la metodología por la Alta Dir. Adecuación de la metodología a los requerimientos específicos del negocio Documentación o actualización de la metodología. Capacitación formal en el uso de metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado) Verificación del uso formal de la metodología en cada proyecto. Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodología. Julio Rito Vargas Avilés
LOGO
Proceso Metodológico de la A I.
Métodos, técnicas y herramientas por Area de revisión:
La AI depende de un conjunto de factores interrelacionados. Conjugar y combinar eficientemente estos factores brindará el aseguramiento de resultados satisfactorio por parte del desempeño de los AI. Dominio de los conceptos técnicos y administrativos. Relacionados con la AI. Habilidades inherentes a la auditoría en informática. Normas personales. Entendimiento de la AI y sus tendencias. Julio Rito Vargas Avilés
LOGO
Proceso Metodológico de la A I.
Adaptación o actualización según el medio dominante. Administración formal de la AI en el negocio. Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoría tradicional. Desarrollo de un proceso formal de planeación de AI Entendimiento y aplicación de un proceso metodológico formal de la auditoría en informática. Vocación profesional por la AI (es un requisito moral, no una política organizacional)
Julio Rito Vargas Avilés
LOGO
Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos
Auditoría de la gestión informática: Referido a la contratación de bienes y servicios que brinda por informática, unciones, control interno informático, estructura, relaciones con AD y PU, documentación de los programas, etc. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos, respaldo y recuperación.
LOGO
Tipos de Auditoría informática
Auditoría informática de sistemas: revisión de los sistemas de información actuales, tanto a nivel hardware como software, con objeto de descubrir potenciales puntos de mejora y determinar en qué modo debería actuarse para mejorar tanto éstos como otros aspectos. Auditoría informática de explotación: revisión de todos los procesos encargados de producir resultados, entre ellos la captura de la información, los sistemas hardware de explotación, los recursos humanos de explotación y otros. Auditoría informática de comunicaciones: revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados de utilización.
LOGO
Tipos de Auditoría informática
Auditoría informática de desarrollo: revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis se basa en cuatro aspectos fundamentales: revisión de las metodologías utilizadas, control interno de las aplicaciones, satisfacción de los usuarios y control de procesos y ejecuciones de programas críticos.
Auditoría informática de seguridad: abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan, contemplando las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
www.jrvargas.wordpress.com
LOGO Julio Rito Vargas Avilés