Capítulo 6

Metodología para el Desarrollo e Implantación de la Auditoría

en Informática

Un camino estructurado de forma lógica para el éxito de proyectos de auditoría de informática

• Especifica el qué, cómo, cuándo y quién

• Clarifica

• Roles y responsabilidades

• Etapas

• Requerimientos para el éxito del proyecto

• Tareas y productos terminados (por etapa y proyecto)

Metodología de auditoría de sistemas de información

La auditoría de SI al igual que otras funciones del negocio, efectúa sus operaciones de acuerdo a una metodología con el fin de que sea entendida por cada una de las personas involucradas.

También ha de contar con un desarrollo de actividades basado en un método de trabajo formal, que sea entendido por los auditores en S.I y complementado con técnicas y herramientas propias de la función.

Para obtener éxito en la auditoría se requiere tener un dominio y uso en los aspectos• Técnicas• Herramientas de

productividad• Habilidades y normas

personales• Conocimientos

técnicos y administrativos (informática, auditoría)

• Experiencia en los campos de auditoría en SI y tendencias.

• Actualización o adaptación permanente

• Conocimientos de los factores del negocio y medio externo al mismo

• Involucramiento y participación con asociaciones nacionales e internacionales.

• Otras.

Qué elementos complementan la metodología?

1.-Técnicas

• Documentación

• Análisis

• Observación

• Entrevistas

• Costo beneficio

• Control de proyectos

2.-Herramientas

• Software de oficinas

• Aplicaciones

• Hardware

• Comunicaciones

• Caats

• Control de proyectos

3.- Recomendaciones de asociaciones

Profesionales .

• ISACA

• ALAPSI

• THEIIA

• IMCP/ICPNL

• Se elimina el proceso informal de trabajo.• Los recursos orientan sus esfuerzos a la

obtención de productos y servicios de calidad, con características y requisitos comunes para todos los responsables.

• Las tareas y productos terminados de los proyectos se encuentren definidos y formalizados en un documento al alcance de los auditores en SI.

VENTAJAS DEL USO DE UN PROCESO METODOLÓGICO EN LA FUNCIÓN DE AUDITORÍA EN INFORMÁTICA

¿La razón para auditar informática?• Todos los objetivos de ASI .

• Asegurar ( totalidad, exactitud, mantenimiento, actualización y autorización).

• Diagnosticar el estado de informática.

• Asegurar continuidad en operaciones.

• Apoyo en la calidad de informática.

• Establecimiento de políticas, controles y procedimientos de

informática.

• Orientar el cumplimiento de estándares definidos a nivel

nacional e internacional.

• Asesorar a los administradores de informática para una

mejora continua.

CONDICIONES PARA EL ÉXITO DEL PROCESO METODOLOGICO:

• Aprobación de la metodología por la alta dirección.• Adecuación de la metodología a los

requerimientos específicos del negocio(cuidado con reducción de tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es útil apoyarse en un asesor experto)

• Documentación o actualización de la metodología.• Otros observados por la misma empresa en sus

proyectos.

• Verificación del uso formal de la metodología en cada proyecto.

• Capacitación formal del uso de la metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado).

• Elaboración de los planes de auditoría SI según la metodología.

• Capacitación formal para el personal de nuevo ingreso o cuando se lleva a cabo actualizaciones relevantes a la metodología.

METODOLOGÍA DE AUDITORÍA DE INFORMÁTICA (MAI).

DIAGNÓSTICO

· NEGOCIO

· INFORMÁTICA

JUSTIFICACIÓN

· ÁREAS DE AUDITAR

· PLAN PROPUESTO

REVISIÓN INFORMAL

ADECUACIÓN

· MÉTODO

· TÉCNICAS

· HERRAMIENTAS

FORMALIZACIÓN

· APROBACIÓN

· ARRANQUE

REVISIÓN FORMAL

Desarrollo

· Entrevistas

· Observaciones

· Recomendaciones

· INFORME FINALAprobación formal

Implementación

• Acciones

• Seguimientos

PROCESO METODOLÓGICO.....

.

“TABLA DE PROCESO METODOLÓGICO”

TABLA 6.1

DIAGNÓSTICO

• INFORMACIÓN REQUERIDA– Negocio

• Estrategias• Funciones de negocio• Admón. de informática• Proyectos • Imágenes de informática• Otros

• PRODUCTOS TERMINADOS– Fuerzas y debilidades– Admón. Y organización– Grado de satisfacción– Presupuestos– Expectativas y

requerimientos– Tendencias– Proyectos actuales y futuros

de informática

CONSIDERACIONES

No sobre analizar

Evaluar servicios externos

Proceso rápido de objetivos

Entrevistas con los niveles

Diagnostico Del Negocio

DIAGDiagnóstico de InformáticaNÓSTICO

• INFORMACIÓN REQUERIDA– Informática

• Proceso de gestión• Productos• Servicios• Control interno• Imagen de informática• Outsourcing• Auditorias previas

• INVENTARIOS– HW– SW– Aplicaciones– Usuarios / áreas

• PRODUCTOS TERMINADOS– Procesos – Admón. y organización– Presupuestos– Plan de informática– Respeto al control interno– Proyectos actuales y futuros

de informática– otros

CONSIDERACIONES

No sobre analizar

Evaluar servicios externos

Proceso rápido de objetivos

Entrevistas con los niveles claves

JUSTIFICACIÓNDDDDddddN• INFORMACIÓN REQUERIDA• Diagnóstico

– Negocio– Informática

• Datos Complementarios– Auditorias previas– Medio ambiente tecnológico– Planes de auditoria– Entrevistas adicionales usuarios claves del negocio– Vista a centros de computo

• Productos Terminados• Plan de auditoria

– etapas– Tareas– Productos terminados– Responsables– involucrados

• ÁREAS DE OPORTUNIDAD• MATRIZ DE RIESGOS

– Áreas a auditar– Componentes

CONSIDERACIONES • validar responsable del

proyecto• Estimar proceso de

adecuación a la empresa

ADECUACIÓNN

INFORMACIÓN REQUERIDA• Diagnóstico

– Negocio– Informática

• JUSTIFICACIÓN – Áreas de oportunidad– Matriz de riesgos– Plan general del proyecto– Compromiso inicial

PRODUCTOS TERMINADOS

• Objetivos y requerimientos de éxito para la auditoria

• Plan del proyecto de actualizado y detallado– Etapas / tareas– Responsabilidades involucrados– Productos terminados– Revisiones– Fechas de auditorias

• Componentes de cada área seleccionada

• Definir y actualizar estándares, políticas y procedimientos por áreas

• Cuestionarios por área

FORMALIZACIÓNInformación requerida• Diagnóstico

Negocio Informática

• Justificación Matriz de auditoría Plan de auditoría e

informática propuesto Adecuación Prioridades del negocio

Productos terminados• Plan aprobado

Adecuaciones Vo.Bo. por escrito Compromiso de los ejecutivos Difusión formal : Informática Usuarios Externos Auditoría

• Consideraciones Aprobación formal de dirección Proceso rápido Compromiso de los involucrados

DESARROLLOInformación requerida• Justificación

Matriz de auditoría Plan de auditoría

• Requerimientos por área que se auditará Técnicas de auditoría Herramientas Cuestionarios/entrevistas Control objetives-

• Otras fuentes Información técnica Normas y procedimientos

recomendados por IMCP

Productos terminados• Áreas auditadas por:

Cuestionarios Entrevistas Visitas-otros

• Informe final Observaciones Recomendaciones Áreas de oportunidad Acciones inmediatas Plan de implantación

• Consideraciones Aprobación formal de dirección Proceso más rápido y documentado Compromiso de los involucrados

IMPLANTACIÓN/SEGUIMIENTO

Información requerida• Desarrollo

Informe final Plan de implantación Sugerencias de

auditoría tradicional

Productos terminados• Implantación de:

Acciones inmediatas Acciones a corto, mediano, y largo

plazo• Seguimiento:

Aseguramiento de calidad Informe de avance sugerencias

Consideraciones Alta involucración de informática y de

los usuarios en la implantación Auditoría debe dar seguimiento

oportuno y orientarse hacia la calidad