Metodologia de Auditoria Informatica
-
Upload
carlos-aragon -
Category
Documents
-
view
221 -
download
2
description
Transcript of Metodologia de Auditoria Informatica
Capítulo 6
Metodología para el Desarrollo e Implantación de la Auditoría
en Informática
Un camino estructurado de forma lógica para el éxito de proyectos de auditoría de informática
• Especifica el qué, cómo, cuándo y quién
• Clarifica
• Roles y responsabilidades
• Etapas
• Requerimientos para el éxito del proyecto
• Tareas y productos terminados (por etapa y proyecto)
Metodología de auditoría de sistemas de información
La auditoría de SI al igual que otras funciones del negocio, efectúa sus operaciones de acuerdo a una metodología con el fin de que sea entendida por cada una de las personas involucradas.
También ha de contar con un desarrollo de actividades basado en un método de trabajo formal, que sea entendido por los auditores en S.I y complementado con técnicas y herramientas propias de la función.
Para obtener éxito en la auditoría se requiere tener un dominio y uso en los aspectos• Técnicas• Herramientas de
productividad• Habilidades y normas
personales• Conocimientos
técnicos y administrativos (informática, auditoría)
• Experiencia en los campos de auditoría en SI y tendencias.
• Actualización o adaptación permanente
• Conocimientos de los factores del negocio y medio externo al mismo
• Involucramiento y participación con asociaciones nacionales e internacionales.
• Otras.
Qué elementos complementan la metodología?
1.-Técnicas
• Documentación
• Análisis
• Observación
• Entrevistas
• Costo beneficio
• Control de proyectos
2.-Herramientas
• Software de oficinas
• Aplicaciones
• Hardware
• Comunicaciones
• Caats
• Control de proyectos
3.- Recomendaciones de asociaciones
Profesionales .
• ISACA
• ALAPSI
• THEIIA
• IMCP/ICPNL
• Se elimina el proceso informal de trabajo.• Los recursos orientan sus esfuerzos a la
obtención de productos y servicios de calidad, con características y requisitos comunes para todos los responsables.
• Las tareas y productos terminados de los proyectos se encuentren definidos y formalizados en un documento al alcance de los auditores en SI.
VENTAJAS DEL USO DE UN PROCESO METODOLÓGICO EN LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA
¿La razón para auditar informática?• Todos los objetivos de ASI .
• Asegurar ( totalidad, exactitud, mantenimiento, actualización y autorización).
• Diagnosticar el estado de informática.
• Asegurar continuidad en operaciones.
• Apoyo en la calidad de informática.
• Establecimiento de políticas, controles y procedimientos de
informática.
• Orientar el cumplimiento de estándares definidos a nivel
nacional e internacional.
• Asesorar a los administradores de informática para una
mejora continua.
CONDICIONES PARA EL ÉXITO DEL PROCESO METODOLOGICO:
• Aprobación de la metodología por la alta dirección.• Adecuación de la metodología a los
requerimientos específicos del negocio(cuidado con reducción de tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es útil apoyarse en un asesor experto)
• Documentación o actualización de la metodología.• Otros observados por la misma empresa en sus
proyectos.
• Verificación del uso formal de la metodología en cada proyecto.
• Capacitación formal del uso de la metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado).
• Elaboración de los planes de auditoría SI según la metodología.
• Capacitación formal para el personal de nuevo ingreso o cuando se lleva a cabo actualizaciones relevantes a la metodología.
METODOLOGÍA DE AUDITORÍA DE INFORMÁTICA (MAI).
DIAGNÓSTICO
· NEGOCIO
· INFORMÁTICA
JUSTIFICACIÓN
· ÁREAS DE AUDITAR
· PLAN PROPUESTO
REVISIÓN INFORMAL
ADECUACIÓN
· MÉTODO
· TÉCNICAS
· HERRAMIENTAS
FORMALIZACIÓN
· APROBACIÓN
· ARRANQUE
REVISIÓN FORMAL
Desarrollo
· Entrevistas
· Observaciones
· Recomendaciones
· INFORME FINALAprobación formal
Implementación
• Acciones
• Seguimientos
PROCESO METODOLÓGICO.....
.
“TABLA DE PROCESO METODOLÓGICO”
TABLA 6.1
DIAGNÓSTICO
• INFORMACIÓN REQUERIDA– Negocio
• Estrategias• Funciones de negocio• Admón. de informática• Proyectos • Imágenes de informática• Otros
• PRODUCTOS TERMINADOS– Fuerzas y debilidades– Admón. Y organización– Grado de satisfacción– Presupuestos– Expectativas y
requerimientos– Tendencias– Proyectos actuales y futuros
de informática
CONSIDERACIONES
No sobre analizar
Evaluar servicios externos
Proceso rápido de objetivos
Entrevistas con los niveles
Diagnostico Del Negocio
DIAGDiagnóstico de InformáticaNÓSTICO
• INFORMACIÓN REQUERIDA– Informática
• Proceso de gestión• Productos• Servicios• Control interno• Imagen de informática• Outsourcing• Auditorias previas
• INVENTARIOS– HW– SW– Aplicaciones– Usuarios / áreas
• PRODUCTOS TERMINADOS– Procesos – Admón. y organización– Presupuestos– Plan de informática– Respeto al control interno– Proyectos actuales y futuros
de informática– otros
CONSIDERACIONES
No sobre analizar
Evaluar servicios externos
Proceso rápido de objetivos
Entrevistas con los niveles claves
JUSTIFICACIÓNDDDDddddN• INFORMACIÓN REQUERIDA• Diagnóstico
– Negocio– Informática
• Datos Complementarios– Auditorias previas– Medio ambiente tecnológico– Planes de auditoria– Entrevistas adicionales usuarios claves del negocio– Vista a centros de computo
• Productos Terminados• Plan de auditoria
– etapas– Tareas– Productos terminados– Responsables– involucrados
• ÁREAS DE OPORTUNIDAD• MATRIZ DE RIESGOS
– Áreas a auditar– Componentes
CONSIDERACIONES • validar responsable del
proyecto• Estimar proceso de
adecuación a la empresa
ADECUACIÓNN
INFORMACIÓN REQUERIDA• Diagnóstico
– Negocio– Informática
• JUSTIFICACIÓN – Áreas de oportunidad– Matriz de riesgos– Plan general del proyecto– Compromiso inicial
PRODUCTOS TERMINADOS
• Objetivos y requerimientos de éxito para la auditoria
• Plan del proyecto de actualizado y detallado– Etapas / tareas– Responsabilidades involucrados– Productos terminados– Revisiones– Fechas de auditorias
• Componentes de cada área seleccionada
• Definir y actualizar estándares, políticas y procedimientos por áreas
• Cuestionarios por área
FORMALIZACIÓNInformación requerida• Diagnóstico
Negocio Informática
• Justificación Matriz de auditoría Plan de auditoría e
informática propuesto Adecuación Prioridades del negocio
Productos terminados• Plan aprobado
Adecuaciones Vo.Bo. por escrito Compromiso de los ejecutivos Difusión formal : Informática Usuarios Externos Auditoría
• Consideraciones Aprobación formal de dirección Proceso rápido Compromiso de los involucrados
DESARROLLOInformación requerida• Justificación
Matriz de auditoría Plan de auditoría
• Requerimientos por área que se auditará Técnicas de auditoría Herramientas Cuestionarios/entrevistas Control objetives-
• Otras fuentes Información técnica Normas y procedimientos
recomendados por IMCP
Productos terminados• Áreas auditadas por:
Cuestionarios Entrevistas Visitas-otros
• Informe final Observaciones Recomendaciones Áreas de oportunidad Acciones inmediatas Plan de implantación
• Consideraciones Aprobación formal de dirección Proceso más rápido y documentado Compromiso de los involucrados
IMPLANTACIÓN/SEGUIMIENTO
Información requerida• Desarrollo
Informe final Plan de implantación Sugerencias de
auditoría tradicional
Productos terminados• Implantación de:
Acciones inmediatas Acciones a corto, mediano, y largo
plazo• Seguimiento:
Aseguramiento de calidad Informe de avance sugerencias
Consideraciones Alta involucración de informática y de
los usuarios en la implantación Auditoría debe dar seguimiento
oportuno y orientarse hacia la calidad