A d Ecuacion

January 13, 2019 | Author: Roberto Armando Castillo Albino | Category: Comptroller, Tecnología, Leadership, Liderazgo y tutoría, Computing
Share Embed Donate


Short Description

Download A d Ecuacion...

Description

Etapa de Adecuación y

y

y

y

La etapa de adecuación se enfoca a ejecutar un proyecto de auditoría en informática conforme a las características del nego egocio cio se enfoc foca en el análisis, sis, adecuac uación y actualización detallados de los elementos que intervienen en la auditoria. Aquí se busca adaptar el proyecto a las características del neg negocio sin sin olv olvidar los estánda ndares, es, políticas y procedimientos procedimientos de auditoria en informática. Al termino de esta etapa el auditor de informática contara con un proyecto adaptado que servirá de base para las siguientes etapas. La etapa de adecuación es un trabajo interno de tareas que involucra a usuarios y personal de informática.

Etapa de adecuación

y

La ejecución formal for mal y continua del proceso metodológico hará que muchas actividades se desarrollen con mas agilidad agilida d y eficiencia con el transcurso del tiempo. tiempo.

Etapa de adecuación

y

La ejecución formal for mal y continua del proceso metodológico hará que muchas actividades se desarrollen con mas agilidad agilida d y eficiencia con el transcurso del tiempo. tiempo.

Etapa de adecuación TAREAS

PRODUCTOS

RESPONSABLE

1

. Definir Definir objetivos objetivos del proyecto

1 1

. Objetivos y alcances del proyecto proyecto

Líde Líderr del del pro proyect yectoo

2. Definir etapas del proyecto proyecto y su detalle

2.1 Etapas y sus tareas 2.2 Plan actualizado 2.3 Responsables e involucrados 2.4 Productos terminados 2.5 Revisiones (formal e informal)

-Auditor en informática - Responsable del área de informática

INVOLUCRADOS

- Re Resp spon onsab sable le del del área área de informática - Líder del proyecto proyecto - Líder del proyecto proyecto

TAREAS

PRODUCTOS

3. Definir los 3.1 Aspectos o elementos por auditar elementos por evaluar por áreas de revisión por cada área de revisión 4. Establecer técnicas 4.1 Técnicas y herramientas por 4.2 Software área de revisión 4.3 Equipo de cómputo 4.4 Otros de interés para el auditor 5. Definición o 5.1 Políticas y actualización de procedimientos por políticas por áreas verificar de acuerdo con cada área que será auditada. 5.2 Políticas complementarias

RESPONSABLES

INVOLUCRADOS

-Auditor en Informática

- Líder de proyecto

-Auditor en Informática

- Líder de proyecto

-Auditor en Informática

- Líder de proyecto

TAREAS

. Elaboración o actualización de cuestionarios por cada área 6

PRODUCTOS

. Cuestionarios por cada área que será auditada 6.2 Cuestionarios adicionales 6 1

INVOLUCRADOS

-Auditor en Informática - Responsable del área de auditoria en informática

R ESPONSABLES

- Líder de proyecto

Definición de objetivos y requerimientos de éxito por área que se auditara. y

y

La primera tarea de la etapa de adecuación se lleva a la practica tomando como referencia la información de la tabla Metodología la auditoría en informática, así como la matriz de riesgos y el plan general de auditoria en informática. Se sugiere que los objetivos de cada etapa y tarea sean elaborados entre el líder de proyecto y los auditores en informática, los que el primero coordinara a lo largo de auditoría. Adicionalmente, se recomienda que se validen con el responsable de la función de informática.

y

y

La tabla Objetivos y requerimientos de auditoría en informática contienen los datos mas relevantes que se deben documentar en la presente tarea. Cada área de revisión debe contemplar para el auditor  en informática, sus objetivos (cuantitativos y cualitativos) para saber si se han logrado con el paso del tiempo. De igual manera, cada área de revisión ha de especificar los requerimientos de éxito que guiaran al auditor en informática hacia la culminación exitosa del proyecto.

y

y

Los objetivos y requerimientos de cada área que será auditada se pueden determinar tomando como base la información detallada que se incluye en los cuestionarios por área de la etapa de desarrollo.

Es conveniente aclarar que la experiencia y criterio de los auditores darán mas riqueza y personalidad a la información solicitada a lo largo del proceso sugerido.

Definición de Objetivos y requerimientos de éxito por área que se Auditará  Área que se

Objetivos de una Auditoría

Requerimientos de éxito

auditará Usuarios de Informática

Verificar la presencia de un comité de

informática/ usuarios.

Conocimiento satisfacción de los usuarios de informática y sus funciones

Asegurarse que exista una comunicación formal al final del proyecto.

y

y

y

y

Comprobar que haya un seguimiento formal de los proyectos de informática donde se involucre a los usuarios. y

Confirmar la presencia del análisis costo / beneficio en los proyectos de informática. y

Verificar el grado de satisfacción que

y

experimentan los usuarios de informática.

Conocimiento de los servicios que presta informática. Apoyo de la alta dirección en el desarrollo de la auditoría en informática y

Apoyo de la alta dirección en el desarrollo de la auditoría en informática. y

Aplicación de los cuestionarios propios en ésta área. y

Elaboración de conclusiones emanadas de la falta o cumplimiento formal de políticas y procedimientos definidos para esta área. los que apliquen de acuerdo a las áreas seleccionadas y

Otras Seleccionadas en la matriz de riesgos.

Las que apliquen a las áreas seleccionadas y

y

Actualización del plan general y

y

y

y

y

Conviene llevar una bitácora de cambios al plan general que contemple:

Cambio/Motivo del cambio/Responsable de solicitar el cambio. Tarea o fechas que afecta/Área por evaluar afectadas por el cambio. Responsable de aprobar el cambio/Fecha de cambio/Versión del plan. Otros que el auditor en informática considere necesarios.

Plan detallado del proyecto de auditoría en y

y

informática Aquí es adecuado contar con dos planes: uno de seguimiento interno a tareas y responsabilidades de los auditores y otro que especifica el detalle emanado del plan general de auditoría en informática de la fase de justificación, donde se involucra a la alta dirección, usuarios e informática. A continuación se explica brevemente:

PLAN DETALLADO DE LA AUDITORÍA EN INFORMATICA Tarea

Actividades

Productos Terminados

Responsable

Involucrados

Verificación de

1.

1. Prioridades y matriz de riesgos aprobadas.

Líder de proyecto / Auditores de informática.

Alta dirección /usuarios/informática.

Auditores en informática.

Usuarios/informática.

Auditores en informática

Usuarios/ informática.

2.

Revisar datos del proyecto. Documentar 

1.

Concertar citas.

2.

Realizar  entrevistas.

Datos / documentos de

Efectuar visitas.

Datos /Documentos de

datos

Evaluación de las áreas por  auditar.  Las

visitas se pueden llevar a cabo en centro de computo y áreas de los usuarios donde se operen sistemas y donde se encuentren computadoras personales, redes locales , equipos de seguridad (extinguidores, detectores de humo, cámaras, cinto tecas, papelería, entre otros).

3.

Compromiso formal.

soporte/otros.

soporte. 4.

5.

Análisis de información. Elaboración del informe preliminar.

Datos. Documentos de soporte.

Observaciones iniciales. Conclusiones iniciales. Acciones recomendadas.

6.

Elaboración del informe preliminar.

a) Antecedentes. b) Situación actual: Fortalezas. Debilidades (observaciones). Áreas de oportunidad.

c) Situación propuesta: Acciones de mejora. Plazos. Responsables.

Auditores en informática

Responsables de las áreas por visitar.

Auditores en informática

Usuarios/informática.

Auditores en informática

Usuarios/informática.

Líder proyecto / Auditores de informática

Usuarios/informática.

Fecha de inicio / Fecha de termino

Fecha de revisión

PLAN DETALLADO DE LA AUDITORÍA EN INFORMATICA Tarea

Actividades

Productos Terminados

Responsable

Involucrados

Verificación de

1.

1. Prioridades y matriz de riesgos aprobadas.

Líder de proyecto / Auditores de informática.

Alta dirección /usuarios/informática.

Auditores en informática.

Usuarios/informática.

Auditores en informática

Usuarios/ informática.

2.

Revisar datos del proyecto. Documentar 

1.

Concertar citas.

2.

Realizar  entrevistas.

Datos / documentos de

Efectuar visitas.

Datos /Documentos de

datos

Evaluación de las áreas por  auditar.  Las

visitas se pueden llevar a cabo en centro de computo y áreas de los usuarios donde se operen sistemas y donde se encuentren computadoras personales, redes locales , equipos de seguridad (extinguidores, detectores de humo, cámaras, cinto tecas, papelería, entre otros).

3.

Compromiso formal.

soporte/otros.

soporte. 4.

5.

Análisis de información. Elaboración del informe preliminar.

Datos. Documentos de soporte.

Observaciones iniciales. Conclusiones iniciales. Acciones recomendadas.

6.

Elaboración del informe preliminar.

a) Antecedentes. b) Situación actual: Fortalezas. Debilidades (observaciones). Áreas de oportunidad.

c) Situación propuesta: Acciones de mejora. Plazos. Responsables.

Auditores en informática

Responsables de las áreas por visitar.

Auditores en informática

Usuarios/informática.

Auditores en informática

Usuarios/informática.

Líder proyecto / Auditores de informática

Usuarios/informática.

Fecha de inicio / Fecha de termino

Fecha de revisión

PLAN DETALLADO DE LA AUDITORÍA EN INFORMÁTICA ( CONTINUACIÓN)

Tarea

Actividades

7. Clasificar y documentar el informe preliminar  8. Revisión del informe preliminar  9. Ejecutar pendientes 10. Actualizar el informe 11. Revisar el informe preliminar  actualizador eliminar 

Productos Terminados

Responsable

Involucrados

Auditores en informática

Usuarios/informática

Informe preliminar  revisado

Auditores en informática

Usuarios/informática

Pendientes Pendientes terminados

Auditores en informática / líder  de proyecto

Informe preliminar  actualizad, revisado y aprobado.

Auditores en informática

Datos Documentos de soporte

Usuarios/informática

Usuarios/informática

Fecha de inicio / Fecha de termino

Fecha de revisión

PLAN DETALLADO DE LA AUDITORÍA EN INFORMATICA Tarea

Actividades

Productos Terminados

Responsable

Involucrados

Verificación de

1.

1. Prioridades y matriz de riesgos aprobadas.

Líder de proyecto / Auditores de informática.

Alta dirección /usuarios/informática.

Auditores en informática.

Usuarios/informática.

Auditores en informática

Usuarios/ informática.

2.

Revisar datos del proyecto. Documentar 

1.

Concertar citas.

2.

Realizar  entrevistas.

Datos / documentos de

Efectuar visitas.

Datos /Documentos de

datos

Evaluación de las áreas por  auditar.  Las

visitas se pueden llevar a cabo en centro de computo y áreas de los usuarios donde se operen sistemas y donde se encuentren computadoras personales, redes locales , equipos de seguridad (extinguidores, detectores de humo, cámaras, cinto tecas, papelería, entre otros).

3.

Compromiso formal.

soporte/otros.

soporte. 4.

5.

Análisis de información. Elaboración del informe preliminar.

Datos. Documentos de soporte.

Observaciones iniciales. Conclusiones iniciales. Acciones recomendadas.

6.

Elaboración del informe preliminar.

a) Antecedentes. b) Situación actual: Fortalezas. Debilidades (observaciones). Áreas de oportunidad. c) Situación propuesta: Acciones de mejora. Plazos. Responsables

Auditores en informática

Responsables de las áreas por visitar.

Auditores en informática

Usuarios/informática.

Auditores en informática

Usuarios/informática.

Líder proyecto / Auditores de informática

Usuarios/informática.

Fecha de inicio / Fecha de termino

Fecha de revisión

Plan interno: Le corresponde al líder de proyecto y su propósito es verificar el cumplimiento del proyecto y sirve para la evaluación del desempeño y detección de fallas en el cumplimiento del plan. Etapa Preliminar 

Justificación

Adecuación Formalización

Desarrollo

Implantación

Tareas

Productos

Involucrados Responsable Revisiones

Duración

Tabla 9.4 Plan detallado de la auditoria en informática

Tareas

Verificación de datos

Actividades

Productos terminados

1.- Revisar datos del proyecto.

* Prioridades y  matriz de riesgos aprobadas.

Líder del Proyecto / auditores en Informática

Alta dirección /usuarios/ informática

* Com promiso formal. * Datos /Documentos de soporte /Otros * Datos /Documentos de soporte * Datos /Documentos de soporte * O bservaciones iniciales/ Conclusiones iniciales/ Acciones recomendadas

Auditores en informática

Usuarios/ Informática

Auditores en informática

Usuarios/ Informática

Auditores en informática

Responsables de las áreas por visitar

Auditores en informática

Usuarios/ Informática

Auditores en informática

Usuarios/ Informática

Líder del Proyecto /Auditores en informática

Usuarios/ Informática

2.- Documentar 1.- Concertar citas. 2.- Realizar Entrevistas.

3.- Efectuar visitas

4.- Aplicar cuestionarios Evaluación de las áreas por auditar

5.- Análisis de Información

6.- Elaboración del informe preliminar.

a) Antecedentes b) Situación Actual: fortalezas, debilidades, áreas de oportunidad c) Situación propuesta: Acciones de mejora, plazos, responsables.

Responsable Involucrados

Fecha inicio/Fecha de término

Fecha de revisión

Tabla 9.4 Plan detallado de la auditoria en informática

Tareas

Actividades

Productos terminados

7.-

Clasificar y  documentar el informe preliminar. 8.- Revisión del informe preliminar.

* Datos /Documentos de soporte * Informe prelimar revisado * Pendientes 9.- Ejecutar pendientes. /Pendientes terminados * Informe prelimar Documentar el 10.- Actualizar el informe. actualizado informe final del * Informe prelimar proyecto 11.- Revisar el informe actualizado, preliminar actualizado. revisado y  aprobado 12.- Elaborar el informe de * Informe de la alta la alta dirección dirección 13.- Elaborar el informe detallado.

* I nforme detallado (para usuarios e informática)

1.- Presentar los informes de la alta dirección actualizados, revisados y  detallados.

* Informes revisados.

Responsable Involucrados Auditores en informática

Usuarios/ Informática

Auditores en informática

Usuarios/ Informática

Auditores en informática

Usuarios/ Informática

Líder del proyecto

Usuarios/ Informática

Líder del proyecto

Usuarios/ Informática

Auditores en informática

Responsable de la función de Alta dirección auditoria en /usuarios clave informática. Revisión del Responsable de * Informes informe final de 2.- Aprobación de los Líder del la función de aprobados la auditoria en informes. proyecto auditoria en formalmente. informática informática. * Com promiso Responsable de ejecutivo para Líder del la función de 3.- Com promiso ejecutivo. ejecutar las proyecto auditoria en acciones sugeridas. informática.

Fecha inicio/Fecha de término

Fecha de revisión

ASPECTOS POR EVALUAR EN CADA ÁREA DE REVISIÓN Confirmar si son requeridas los aspectos o componentes y si los objetivos de las áreas mencionadas son válidos y completos. completos . Los cuestionarios relativos a los componentes de cada área evaluable se mencionan en los apéndices; los mismos deben ser actualizados y validados de acuerdo con las modificaciones relevantes que sufran las características de las áreas de revisión por efecto del medio tecnológico o del mismo negocio. negocio .

Continua ... Es

recomendable que las áreas susceptibles de auditar y los componentes de cada área sean agregados por el auditor en informática en el momento en que un proyecto lo requiera, cuenten con los cuestionarios correspondientes y, de ser posible, con el formato y secuencia de tareas sugeridas para no perder  la continuidad

DEFINICIÓN DE TÉCNICAS Y HERRAMIENTAS POR ÁREA DE REVISIÓN

Se especifican las técnicas y herramientas recomendadas que debe conocer amplia y satisfactoriamente el auditor para revisar las áreas contempladas en el plan detallado. El

especialista en el campo debe actualizarse en la medida de lo posible en las áreas que considere críticas para su negocio o, en los requerimientos que surjan a lo largo del trabajo. No hay que olvidar que se debe ser proactivo, no reactivo.

DEFINICIÓN O ACTUALIZACIÓN DE ESTÁNDARES, POLÍTICAS Y PROCEDIMIENTOS POR ÁREA DE REVISIÓN.

Las

acciones operativas y administrativas de las organizaciones se deben orientar con base en lineamientos, políticas y procedimientos, con el objetivo principal de que los individuos que en ella laboran lo hagan en forma metódica, con estándares de negocio o con normas de calidad y productividad comúnmente aceptadas en negocios similares al giro de la empresa.

Cómo se definen los estándares, políticas y procedimientos de auditoría en informática? ¿

Existen

asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir  y recomendar la aplicación de los estándares, políticas y procedimientos más convenientes a las necesidades actuales y futuras del área de especialización a la que se dedican.

Continua ... Las

empresas pueden crear, formalizar y difundir  sus propias políticas y procedimientos, aunque su alcance y cumplimiento será interno y, en ocasiones, con sus clientes o proveedores.

¿Es una obligación el uso de estándares? Los estándares no son dogma de empresa alguna. Es posible llevarlos a la práctica total o parcialmente u omitir su aplicación; depende de cada negocio. Es conveniente atender los estándares propuestos por los especialistas independientes del campo, llámese consultores o asociaciones reconocidos a nivel local, nacional o internacional, los cuales se pueden enriquecer si intervienen proveedores líderes de mercado en el campo de la informática que se estudie.

y

y

Los estándares o normas se orientan a uniformar métodos de trabajo, tecnología, parámetros de desempeño, costos, cualidades, facilidades, etc. Son puntos de referencia

y

Los estándares, políticas y procedimientos de informática, tanto como las técnicas de análisis y diseño de sistemas de información, los diferentes tipos de bases de datos, las topologías y protocolos en comunicaciones, técnicas de seguridad y criptografías y los lineamientos de control interno, emanan de asociaciones, pero las empresas pueden crear, formalizar y difundir sus propias políticas y procedimientos, aunque su alcance y cumplimiento será interno, y en ocasiones, con sus clientes o proveedores.

¿Únicamente las asociaciones pueden establecer estándares, políticas y procedimientos de auditoría en informática?

No, aunque el mayor número de personas expertas en la auditoría en la auditoría e informática dedicadas a estudiar y sugerir los elementos tecnológicos o administrativos relacionados con informática, quienes se encuentran en el mercado o se pueden introducir al mismo para brindar soluciones a los negocios de una manera más eficiente y segura.

Continua ... En ocasiones las ventas que logra un proveedor a nivel mundial establecen un nuevo estándar o, la caída estrepitosa o los problemas legales afectan a tal grado la imagen de algún proveedor líder en el mercado.

estándares, procedimientos y políticas internos y y y

y

y

Referir exigencias externas relativas al control y la seguridad. Justificar la necesidad de sus existencia ante el negocio Probadas, difundidas y autorizados por el responsable directo donde se ejercerá o llevará a la práctica. Elaborados y descritos formalmente por los involucrados en su cumplimiento Aprobados por la alta dirección

Continuación. y

y y

Difundidos amplia y formalmente por los involucrados en su cumplimiento Cumplirlos formalmente Actualizados con oportunidad.

definen estándares, procedimientos y políticas. y

y y

y

Los estándares recomendados son reconocidos a nivel nacional e internacional. Agrupan personal de gran experiencia en el campo. Existen programas de actualización e iniciación en la auditoría en informática. Conocen los requerimientos y habilidades de la Auditoría en informática.

Continua......... y y y

Cursos y seminarios continuos. Investigación Intercambiar experiencias.

ELABORACIÓN O ACTUALIZACIÓN DE CUESTIONARIOS POR ÁREA DE REVISIÓN

Las características básicas de los cuestionarios son: actualización, orientados a los aspectos evaluados, sintéticos, técnicos y basados en estándares nacionales o internacionales.

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF