Access - Auditoria A Access - Capitulos 7,8 y 9 Marz 2013 Por EHH

 

Capitulo 7 Capitulo 8 Capitulo 9

Autor:

Enrique Hernández Hernández

 

CAPITULO 7 Metodología para el desarrollo e implantación de la auditoria en Informática

 

La función de auditoria de informática debe contar con un desarrollo de actividades basadas en un método de trabajo formal, que se a entendido por todos los auditores de informática y complementado con técnicas y herramientas propias de la función. ¿La razón para auditar informática? •

•

•

•

Asegurar (Totalidad, (Totalidad, exactitud, manteni mantenimiento, miento, actualización actualización y autorización) Diagnosticar el estado de Informática Asegurar continuidad en operaciones Apoyo en la calidad de informática

•

Establecimiento de políticas, controles ydefinidos procedimientos informática Orientar al cumplimineto de estándares a nivel de nacional e internacional.  Asesorar a los administradores de informática para una mejo mejora ra continua.

•

•

¿Qué es la auditoria de Informática Informáti ca (MAI)? •

Un camino estructurado de forma lógica para el éxito de proyectos de Auditoría de Informática Especificar el qué, cómo, cuando y quien

•

Clarifica:

•

Roles y responsabilidades Requeriminetos para el logro exitoso del proyecto Etapas Requeriminetos para el éxito del proyecto Tareas y productos terminados (por etapa y proyecto)

 

¿QUE ELEMENTOS COMPLEMENTAN LA METODOLOGÍA?

1. TECNICAS Documentación  Analisis Observación •

•

•

•

•

2. HERRAMIENTAS Software de oficina Aplicaciones Hardware Comunicaciones CAATS Control de proyectos •

•

•

Entrevistas Costo/Beneficio Control de proyectos

•

•

•

3. RECOMENDA RECOMENDACIONES CIONES DE ASOCIA ASOCIACIONES CIONES PROFESIONALES ISACA /AMAI THEIIA IMCP/ ICPNL

 

METODOLOGÍA DE AUDITORIA DE INFORMATICA (MAI)

Diagnóstico -Negocio -Informática

 Adecuación -Método -Técnicas -Herramientas

Justificación -Áreas a Auditar  -Plan Propuesto

Revisión Informal

Formalización -Aprobación -Arranque

Revisión Formal

Desarrollo  Aprobación Formal

Menú

-Entrevistas Observaciones -Recomendaciones -Informe final Implantación -Acciones -Seguimiento

 

CAPITULO 8 Etapa de Diagnostico

 

DIAGNOSTICO DEL NEGOCIO : ALTA DIRECCIÓN Y ÁREAS USUARIAS

Es el primer paso práctico auditorde enauditoria informática dentro de las empresas o instituciones al efectuar undel proyecto en informática. METODOLOGÍA LA AUDITORÍA EN INFORMÁTICA: ETAPA DE DIAGNÓSTICO ETAPA ETAP A

TAREAS TAREAS

Diagnóstico preeliminar 

1. Diagnostico de negocio

1.1 Misión y objetivos de negocio 1.2 Organización de informática. 1.3 Grado de apoyo al negocio.

LP/RAI LP/RAI LP/RAI

 AD  AD  AD/UP

2. Diagnóstico de informática

2.1 Misión y objetivos de la función de informática 2.2 Organización de Informática 2.3 Control (Formalidad) 2.4 Productos y servicios

LP/RAI

RI

LP/RAI

RI

LP/RAI LP/RAI

RI/PI RI

3.1 Áreas de oportunidad para mejoras inmediatas

LP/RAI

AD/PU/RI

3. Diagnóstico área de oportunidad

PRODUCTOS PRODUC TOS

RESPON RESPO N SABLE

INVOLUCRADOS

Nomenclatura: AD = Alta dirección; PU = Personal Usuario; RI = Responsable de informática; PI = Personal de informática; RAI = Responsable del área de auditoria en informática; LP = Líder del proyecto de auditoria en informática; AI = Auditor en informática.

 

Líder del proyecto: es quien se encarga de coordinar y supervisar los proyectos de auditoria en informática, por lo general reporta al responsable de la función de auditotia en informática y puede tener a su cargo uno o más auditores en informática. 

Conocimiento del negocio: El auditor en informática debe conocer el tipo de organización: la misión, estrategias, planes (de ser posible, o al menos los proyectos globales) y nivel jerárquico de la función de informática.

Apoyo al negocio: El auditor en informática debe obtener una idea global del grado de apoyo y satisfacción en el negocio y al menos hacia donde se orienta el soporte de la función de informática.

Áreas de oportunidad  Aquí se detectan las características que facilitarán la implantación de soluciones brindadas por informática y que tendrán un impacto relevante en alguna función o gerencia del negocio.

 

DIAGNÓSTICO DE INFORMÁTICA: RESPONSABLES DE LA FUNCIÓN  Aquí el auditor en informática se coordina directamente directamente con el responsable de la función en informática

Conocimiento de la función de informática

En esta parte el auditor conocerá: La estructura interna de informática •

•

Infraestructura

•

Funciones

•

Centros de cómputo

•

Objetivos

•

Planes

•

Estrategias

•

Políticas

•

Inventarios (sistemas, software, hardware)

•

Proyectos

•

Servicios

•

Otros de interés específico para él

 

Los servicios que generalmente brinda informática son: 1. Implan Implantac tación ión de solucio soluciones nes de inform informaci ación ón 2. Evalua Evaluación ción,, adquisi adquisició ción, n, insta instalac lación ión y reemp reemplazo lazo de de : Cómputo/Software/ Equipos de telecomunicaciones/ Lenguajes de programación 3. Mantenimiento 4. Soporte de usuarios 5. Investigación 6. Planeación de informática 7. Auditoría en informática/ Soporte a la alta dirección 8. Otros de acuerdo con le tipo de negocio.

Aspectos de control del área de informática  Algunos aspectos que se deben deben considerar son los siguientes: Esquema de seguridad para Internet, intranet y comercio electrónico. Políticas y procedimientos de organización de la función de informática. Descripción de puestos y funciones /Evaluación de desempeño. Guías de control para proyectos de selección e implementación de un sistema ERP. ERP. Políticas y procedimientos para el desarrollo e implementación de sistemas Políticas y procedimientos de evaluación de hardware y software. Politicas y procedimientos de seguridad / politicas y procedimientos de mantenimineto

•

•

•

•

•

•

•

•

Plan de contingencias y de reinicio reinici o de operaciones Otros de interes específico del auditor en informática.

•

 

Áreas de oportunidad  Aquí se detectan las circunstancias que facilitarán faun cilitarán la puesta en en marcha soluciones brindadas para informática y que tendrán impacto relevante algúnde proceso del negocio.

EVALUAR POLITICAS Y PROCEDIMINETOS POR AREA DE REVISION Las políticas y procedimientos de informática son elementos que al ser ejecutados formal y oportunamente garantizan que funciones y servicios de informática se lleven ll even a cabo con eficiencia para el apoyo estratégico, táctico y operativo que requiere el negocio. Los datos en lay en hojalade políticas y procedimientos que el auditor recabar enmanejados el diagnóstico etapa de desarrollo deben asegurarse de debe proporcionar al auditor de informática los siguientes criterios de control: •

Políticas recomendadas/ Evidencia requerida (Para diagnostico de informática) i nformática)

Objetivos/Técnicas /Cuestionarios / Evidencia /Procedimientos / Actividades de auditoria por área y componente a revisar / Requerimientos de éxito. •

 

El diagnostico general de esta área se puede llevar acabo de la siguiente manera: 1. Inventariar Inventariar los los sistemas sistemas de informa información, ción, propie propietarios tarios y usuarios usuarios de la informació información n (se establece cuales fueron desarrollados por la empresa y cuales comprados a terceros, para saber la fuente principal de estudio en caso de que se requiera mayor evaluación). 2. Se toman toman como base base los comentarios comentarios positivo positivoss o negativo negativoss de los los principale principaless usuarios usuarios de de cada sistema de información que se encuentre en operación con el objetivo de de establecer los niveles de satisfacción ( funcionalidad, productividad, calidad, etc). 3. Identificar fallas comunes en los sistemas, hardware, y las prioridades de operación 4. Se recaban los informes de desempeño anteriores con los usuarios principales de los analistas de sistemas y personal de operación. 5. Se registran fecha de liberación de los sistemas y fecha en que se auditaron. Se analizandelos hallazgos y sus recomendaciones para valorar las fortalezas y escenarios riesgo. 6. Se revisa configuración del equipo donde se encuentran instalados los sistemas ( en una computadora personal aislada, en una red, en una mini computadora, etc.) 7. Se estudia por cada sistema su integración a otros sistemas si stemas de información. 8. Se valoran otras áreas de interés propio del auditor en informática.

Menú

 

CAPITULO 9 Etapa de Justificación

 

Una vez que se ha concluido la etapa preliminar, preliminar, se procede a continuar con la etapa de justificación, la cual se explica a continuación Etapa Preliminar  (Concluida)

Etapa Justificación (Ende Desarrollo)

Etapa de Adecuación (Posterior)

Los productos terminados mas importantes de la etapa son tres: Matriz de Riesgos. Plan general de auditoria en informática Compromiso ejecutivo

 

Metodología de auditoria en informática: Etapa de Justificacion Etapa

Tareas

Producto

Justificación

1.Realizar Matriz de riesgo 2. Justificar la auditoria por cada

1.1. Matriz de Riego 2.1. Justificar la matriz de

área de revision 3. Hacer un plan de auditoria en informática (global)

riesgos 3.1 Plan general de Informática 4.1 Plan Aprobado

Responsable Involucrado LP/AI

RAI

LP / AID

RAI

LP

RAI / AI

LP

RAI / AI RAI / AI

LP  – Líder del Proyecto AI  – Auditoria en Informática RAI  – Responsable del área de auditoria en informática RI - Responsable del área de informática info rmática

 

Matriz de Riesgos, Justificación por área de revision Empresa: Representante Usuario

Gerencia: Responsable de Informática

Fecha de elaboración: Líder de Proyecto

 Áreas susceptibles susceptibles de auditar 

Riesgo por  componente

 Área por auditar según según clasificación

 Administracion de  Administracion informatica

 Aspectos o componentes componentes por evaluar del área 1. 2. 3. 4.

Direccion y niveles ejecutivos

1. 2. 3.

Usuarios de Informática

1. 2. 3. 4.

Misión y objetivos. Organización Servicios Parámetros de revisión

% % % %

Seguimiento a la función de informática por la dirección. Comunicación e integración  Apoyo a toma toma de decisiones

%

Comunicación e Integración Proyectos conjuntos  Administración de recursos de informática. Grado de satisfacción

% % %

Control Interno

1. Politicas y Procedimisntes

Ciclo de desarrollo e implantación de

1.

sistemas de informacion

3.

2. 4.

Metodologia Técnicas Herramientas Capacitación / Actualizacion

Clasificación del riesgo por área (Total)

%

% %

Secuencia sugerida por  auditar cada componente y área según el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo estimado.

%

%

Secuencia sugerida para auditar cada componente y área según nivel de riesgo estimado.

% %

% % % %

%

%

Secuencia sugerida para auditar cada componente y área según el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y área según nivel de riegos estimado.

 

Empresa: Representante Usuario

Gerencia: Responsable de Informática

Fecha de elaboración: Líder de Proyecto

 Áreas susceptibles de auditar 

Riesgo por  componente

 Área por auditar según según clasificación

Sistemas de Información

 Aspectos o del componen componentes por evaluar área tes

4.

Plantación Desarrollo Operación Soluciones de mercado

% % % %

1.

Hardware

%

2. 3.

Software Sistemas de Información Telecomunicaciones

% % %

 Administración Inhalación Operación/Seguridad.

% % %

%

 Administración

%

%

Inhalación Operación/Seguridad .

% %

1. 2. 3.

Mantenimiento

4.

Redes Locales

1. 2. 3.

Telecomunicaciones

1. 2. 3.

Seguridad

1. 2. 3.

Plantación de Informática

Clasificación del(Total) riesgo por área

1. 2. 3. 4.

Hardware Software / Aplicaciones Plan de contingencia

% % %

Metodologías Técnicas Herramientas Capacitacion/actualizacion

% % % %

%

Secuencia sugerida por  auditar cada componente y área según el nivel de riesgo estimado. Secuencia sugerida para

%

%

%

auditar cadaelcomponente y área según nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y área según nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y área según el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y área según nivel de riegos estimado. Secuencia sugerida para auditar cada componente y área según nivel de riegos estimado.

 

Plan general del Proyecto de auditoria en Informática Una vez elaboradas, revisadas y documentadas la matriz de riesgos y las áreas de oportunidad Se procedelas a la formulación del plan general de generadas informática,de el la cual consiste básicamente en programar revisiones a áreas de informática matriz de riegos.

Empresa: Representante usuario: Areas por auditar  Aspectos o componentes a según auditar  clasificacion y prioridades

Gerencia: Representante Informatica:

Fecha Elaboración: Lider auditoria:

Prioridad asignada ( esta se genera del diagnostico o de solicitud expresa de la alta direccion o de informatica)

Clasificacion del riesgo por area (Total)

Fecha Inicio / Fecha final (Estimadas)

Área

Componentes

Numero

%

dd/mm/aa

seleccionada Área seleccionada

seleccionados Componentes seleccionados

Numero

%

dd/mm/aa

 

Compromiso Ejecutivo Es la ultima tarea de la etapa de justificacion justificaci on y su objetivo rpincipal es obtener el visto bueno (Aprobacion) inicial de la alta direccion, usuarios clave y del responsable de informática para continuar con el proyecto de auditoria en informática son los siguientes:

Presentación del plan con la informacion de soporte requerida bien documentada y validada con los principales involucrados:          

Resumen del diagnostico actual  Areas Matriz de de oportunidad Riesgos Prioridades Otros comentarios de apoyo Se debe ser objetivo y claro al exponer el plan general. Justificar cada una de las áreas por auditar con datos concretos y bien documentados Lograr que la alta dirección tome conciencia del compromiso requerido de su parte para la culminación exitosa del proyecto. Recibir una aprobación formal del plan general (Firma) El líder del proyecto debe indicar fechas de inicio y terminación estimadas.

Menú

 

Actualización del plan general Conforme avanza el proyecto debe haber una actualización justificada, debido debido al compromiso inicial acerca de las áreas que serán auditadas, fechas, prioridades, etc. Establecida la etapa de  justificación. Conviene llevar una bitácora de cambios al plan general que contemple:    

Cambio/ Motivo de cambio/Responsable de solicitar el cambio Tareas o fechas que afecta/ Área (s) por evaluar afectadas por el cambio. Responsable de aprobar el cambio / Fecha del cambio/ Versión del plan. Otros que el auditor en informática considere necesarios

Plan detallado del proyecto de auditoria en informática

Es una de las másseimportantes la fase, ya que en ella se define cada detalle de losetc., a elementos del tareas proyecto; especificande tareas, productos terminados, responsables, fechas, presentar para su aprobación en la etapa de formalización.  Aquí es adecuado contar con dos planes uno de seguimiento interno a tareas y responsabilidades de los auditores y otro que especifica el detalle emanado del plan general de auditoria en informática de la fase de justificación, donde se involucra a la alta dirección, usuarios e informática.

Menú