AUDITORIA DE SISTEMAS

AUDITORIA EN INFORMATICA

I. ANTECEDENTES

 La Informtica se enfoc hacia la sistematizacion de las reas del negocio. (Sistemas de Informacin). La informtica cubri todos los niveles de una empresa o institucin. La funcin del auditor no es ser un policia. Se orienta a ser un punto de control, confianza y un facilitador de soluciones. Orientacin del auditor: Conducir a la empresa a la bsqueda permanente de la salud ptima de los recursos de informtica y de todos aquellos elementos que se relacionen con ella.

Un poco de actualidad
Todas las actividades de la sociedad buscan apoyarse en la tecnologa informtica. Tendencia a obtener una solucin integrada y actualizada. El control y seguridad de los recursos de informtica es una necesidad creciente.
=> Evaluar, formal y peridicamente, la funcin de informtica integrada al proceso de negocios.

 Las entidades deben contar con controles, polticas y procedimientos que aseguren a la alta direccin que los recursos humanos, materiales y financieros estan adecuadamente orientados a la rentabilidad y competitividad del negocio. La improductividad, mal servicio y carencia de soluciones totales de la funcin informtica, fueron, son y seguiran siendo mal de muchas organizaciones.

Problemas: Debilidades en la planeacin del negocio (informtica) Resultados negativos (imporductividad, duplicidad de funciones, etc) de los SI(Desarrollo, Mto. Operacin). Falta de actualizacin de personal informtico. Capacitacin deficiente de los usuarios de los SI Nulo involucramiento de los usuarios en el desarrollo e implantaciones de soluciones informticas. Administracin deficiente de los proyectos( Falta de un proceso de anlisis costo/beneficio, metodologas de planeacion y desarrollo no estandarizadas, poco uso de tcnicas formales, falta proceso formal de planeacin) Involucramiento mnimo de la alta direccin

Importancia de la auditoria en la informtica

La tcnologia informtica es una herramienta que brinda rentabilidad y ventaja competitiva; pero puede originar costos y desventajas si no es bien llevada.
Cmo saber si se est administrando y dirigiendo de manera correcta la funcin informtica? Es necesario auditar o evaluar la funcin de informtica? quines lo haran?.

II. Terminologa de la auditoria en informtica

2.1 Informtica
Campo que se encarga del estudio y aplicacin prctica de la tecnologa, mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo de la informacin por medios electrnicos.
Se divide en grandes ramas o se integra a otros elementos tecnolgicos y administrativos para fortalecer las empresas. Sistemas de informacin Redes locales Bases de datos Planeacin informtica Desarrollo de sistemas Soporte a usuarios Investigacin de nuevas tecnologas

 SI: Conjunto de mdulos computacionales o manuales organizados e interrelacionados de manera formal para la administracin y uso eficiente de todos los recursos de un rea especifica de la empresa. Pueden orientarse al apoyo de: Niveles operativos. Niveles estratgicos. Niveles tcticos. SIE: Proporcionan a la alta direccin una serie de parmetros y acciones encaminadas a la toma de decisiones que apoyarn en el seguimiento de la rentabilidad y competitividad respecto de la competencia. Metodologa: Conjunto de etapas estructuradas de manera que brinden a los interesados los parmetros de accin en el desarrollo de sus proyectos, siguientes: Plan general y detallado, tareas y acciones, tiempos, aseguramiento de calidad, involucrados, etapas, revisiones, responsables, recursos, etc.

 Tcnicas: Procedimientos y pasos ordenados que se usan en el desarrollo de un proyectos con el propsito de finalizar las etapas definidos en el procesos metodolgico
Anlisis estructurado Diseo estructurado Anlisis costo beneficio Grficas de Pert Grficas de Gantt.

Herramientas: Elementos fsicos utilizados para llevar a cabo las acciones y pasos definidos en la tcnica. Herramientas de productividad: Optimizan el tiempo de los recursos en el desarrollo de un proyecto, y se encaminan a proporcionar resultados de alta calidad.

2.2 Auditoria
Proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Conjunto de tareas realizadas por un especialista para la evaluacin o revisin de polticas y procedimientos relacionados con las siguientes reas: Administrativas, Financieras, Operativas, Informtica, Crdito, Fiscales (por disposicin gubernamental) Tareas: Estudiar y actualizar permanentemente las reas susceptibles de revisin Apegarse a la tareas que desempeen las normas, polticas, procedimientos y tcnicas de auditoria establecidas por los organismos aceptados a nivel internacional. Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables directos del negocio. Elaboracin del informe (debilidades y recomendaciones).

2.3 Auditoria en informtica

Proceso formal ejecutado por especialistas del rea de auditoria y de informtica; se orienta a la verificacin y aseguramiento de que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informtica se lleven a cabo de una manera oportuna y eficiente. Actividades ejecutadas por profesionales del rea de informtica y auditoria encaminadas a evaluar el grado de cumplimiento de polticas controles y procedimientos correspondientes al uso de recursos de informtica por el personal de la empresa. Acciones que realiza el personal especializado en las reas para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficientes. Proceso metodolgico que tiene el propsito de evaluar todos los recursos relacionados con la funcin de informtica para garantizar al negocio que este conjunto opera con criterios de integracin y desempeo de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.

III. La Auditora en informtica y su entorno

1. El entorno en la Informtica. 2. Objetivos del auditor en informtica al estudiar el entorno y su impacto en el negocio. 3. Garantizar el apoyo directo a la estrategia del negocio.

III. La Auditora en informtica y su entorno

Las actividades de una organizacin afectan sectores especficos de la sociedad; asimismo, los hechos y actividades externas al negocio tienen un grado de impacto en el mismo. Tales hechos factores externos pueden ser:
Econmicos Polticos Culturales Tecnolgicos Sociales Otros.

Los negocios definen estrategias de planeacin con las que afrontar los factores externos, para minimizar su impacto negativo o sacar ventaja estratgica de los mismos. La Auditora en informtica siendo un proceso bsico de evaluacin y control en el uso de los recursos tecnolgicos para el logro de las estrategias; debe contemplar el entendimiento del entorno del negocio como parte de sus actividades primarias.

Tabla 3.1 Entorno

Factor Externo Adecuacin al uso de nuevos mercados (ecommerce) Acciones de la empresa Es poltica de la empresa la expansin y adaptacin de los procedimientos y recursos al uso de nuevos mercados Se define como estratgico que exista una red satelital entre empresas y entidades de la organizacin por este medio Responsabilidad del auditor informtica Verificar que los sistemas de informacin contemplen esta disposicin de manera formal y oportuna Constatar que exista un proyecto de costobeneficio para adquirir permisos de gobierno, as como la tecnologa que se requiera para su implantacin Comentarios Emana como una necesidad, dentro de la globalizacin

Auge en el uso de la tecnologa de comunicaciones va satlite

Con esta accin se obtiene una ventaja competitiva. Permite una integracin ms eficiente entre las entidades del negocio.

El entorno en la informtica (I)

La funcin de informtica debe estructurar sus servicios y proyectos con base en los requerimientos especficos del negocio (estrategias del negocio) , apoyndose en el uso de tecnologa de vanguardia y sus nuevas tendencias (TICs).

El entorno en la informtica (II)

El auditor en informtica deber verificar la existencia de un anlisis costo-beneficio en cada proyecto de inversin orientado a la adquisicin de nueva tecnologa o estndares para su uso.
Mantendr un proceso de seguimiento de los recursos de tecnologa, metodologas, tcnicas, procedimientos y polticas de informtica que aseguren calidad y productividad en esta rea.

El entorno en la informtica (III)

Las TICs estn en cambio continuo, desarrollando soluciones ms eficientes; por lo que cualquier rea que tenga como objetivo operar o evaluar, estar dispuesta a ejecutar las acciones pertinentes que aseguren su entendimiento y aprovechamiento para brindar a la organizacin resultados de alta calidad y la confianza de que la informacin seguir cumpliendo los requisitos de control esperados: exactitud, totalidad, autorizacin, actualizacin, etc.

En el entorno de la informtica se han desarrollado:

Mejores equipos de cmputo. Lenguajes de programacin y paquetes de Sw ms flexibles y dinmicos. Innovaciones tecnolgicas en telecomunicaciones. Metodologas, tcnicas y herramientas para la administracin de la funcin informtica y la planeacin y desarrollo de sistemas. Integracin de especialidades profesionales en asociaciones reconocidas formalmente.

Concepto

Caractersticas

Impacto en el proceso de auditoria en informtica

Hardware
Mainframes Minicomputadoras Microcomputadoras porttiles Impresoras Dispositivos de almacenamiento Telecomunicaciones - datos - voz -

Permiten alimentar procesar, generar, transmitir y almacenar los datos de los SI (estratgicos, tcticos y operativos del negocio) El Hw sufre cambios de manera dinmica; sus caractersticas de desempeo y perfomance han mejorado : -Almacenamiento -Procesamiento -Portabilidad -Escalabilidad -Conectividad -Otros

Utilizacin de los equipos de computo para consulta, captura, proceso y generacin de reportes a fin de evaluar y diagnosticar la situacin de los sistemas.
Evaluacin de SI y otros aspectos a travs de accesos remotos y en lnea. Auditar cada tarea en el lugar de los hechos, Registrar y monitorear gran cantidad de actividades inherentes al uso de computadoras y equipo de comunicaciones.

Concepto

Caractersticas

Impacto en el proceso de auditoria en informtica

Son los elementos lgicos Por este medio se ha Ofimtica (Procesadores de logrado la sistematizacin palabras, Hojas de computacional de los clculo, Graficado- procesos de negocio. res,Diagramadores En un nivel ms Especializado especializado, se ha logrado Auditora la sistematizacin de actividades de desarrollo de Seguridad sistemas a travs de las Desempeo computadoras y en gran CASE medida la planeacin de Mtodo sistemas.

Software

Tcnicas Herramientas

El apoyo que brindo al auditor el personal de informtica, fue programar rutinas de control y evaluacin de procesos en los sistemas computacionales o para generar reprocesos y respaldos de la informacin por auditar. El auditor en informtica se perfila como el individuo que domina ambos campos, es el enlace ideal para la evaluacin de SI, y el uso eficiente de todos los recursos, servicios y productos de informtica en el negocio.

Una organizacin, tambin esta afectada por otros factores del entorno. Por lo que se hace imprescindible que la funcin de auditora en informtica se mantenga actualizada y enterada del entorno que rodea a los negocios. Es necesario documentarse mediante:
- Acceso a BD nacionales e internacionales - conferencias - lecturas de boletines, peridicos o revistas especializadas - incorporacin a asociaciones o colegios especializados, - contacto permanente con proveedores lderes de productos y servicios de la tecnologa informtica - anlisis permanente de los procesos bsicos de negocio y de sus competidores clave.

Hay que considerar elementos formales para aplicar oportunamente el cambio organizacional, cultural y tecnolgico, que conlleve facilitar el reposicionamiento y la competitividad del negocio:
Planeacin estratgica Evaluacin permanente de los procesos y flujos de datos. Investigacin de mercado. Estudio y asimilacin del aspecto social, cultural, poltico, econmico y tecnolgico del entorno. Compromiso de todos los niveles de la empresa con la calidad y satisfaccin del cliente. Orientar los recursos a los procesos fundamentales del negocio. Ver el recurso humano como la pieza clave de la organizacin.

Objetivo del auditor en informtica al estudiar el entorno y su impacto en el negocio

Evaluar y dar seguimiento oportuno al conjunto de proyectos de auditoria en informtica que sern ejecutados en un plazo determinado con el fin de apoyar las estrategias del negocio, considerando los factores externos e internos que se relacionan con la organizacin. Cada uno de los proyectos deber estar enmarcado en los lmites definidos para la funcin de AI, enfocndose al control, seguridad y auditoria en contacto con la tecnologa informtica.

Garantizar el apoyo directo a las estrategias del negocio

La Auditoria en informtica se enfoca en evitar la interrupcin de las operaciones del negocio, al mismo tiempo busca salvaguardar los activos relacionados de manera natural con el campo de accin de la informtica. Los auditores en informtica dirigirn la participacin directa del personal y usuarios involucrados durante la auditora. Cada proyecto de la auditora se orienta al cumplimiento de normas, procedimientos y estndares, tanto de auditora como de informtica, comnmente aceptados.

Garantizar el apoyo directo a las estrategias del negocio (ii)

El responsable de la funcin de auditora en informtica (externo o interno) que revise las diferentes reas de informtica, ha de coordinar con el responsable de la auditora tradicional (operativa, administrativa, financiera, etc.), la alta direccin (director o gerente general) y con el responsable de informtica, mediante reuniones formales y peridicas, con objeto de lograr objetivos comunes para el bien del negocio.

IV. ORGANIZACION
1. Estrategias y cursos de accin para la implantacin formal de la funcin de auditoria en informtica. 2. Estructura organizacional y funciones de la auditoria en informtica. 3. Administracin de la funcin de auditoria en informtica. 4. Elementos de la administracin de la funcin. 5. Hacia una auditora informtica eficiente.

4.1 Estrategias y cursos de accin para la implantacin formal de la funcin de auditoria en informtica
Estrategias
1.Formalizar la AI en la organizacin, a travs de : *Cursos de Accin justificados *Documentos de justificacin a Alta Direccin *Difusin de la AI en las reas relacionadas *Desarrollo del proceso de AI 2. Auditoria Permanente para garantizar a la Alta Direccin: *Seguridad, Polticas y procedimientos de los recursos de informtica, eficientes y confiables. *Apoyo a los objetivos del negocio. *Verificacin del uso de la Tecnologa en el negocio. *Proceso de Evaluacin y justificacin de los pys informa *Elaboracin y desarrollo de un proceso de planeacin informtica, orientado al plan de negocio. *Uso de Metodologas, Tcnicas, Herramientas. *Personal: ambiente de Profesionalismo y productividad

 Cursos de Accin
1.Alta Direccin,usuarios y personal: conciencia de la necesidad de AI, para el uso eficiente de los recursos. 2.Formalizar un procedimiento que divulgue los planes, objetivos, beneficios y reas de oportunidad que representa la AI. 3.Compromiso del personal y usuarios con el proyecto de AI. 4.Planeacin y desarrollo del proceso de AI, previa aprobacin. 5.Proceso de Planeacin: Proyectos: Prioridades: Calidad/eficiencia *Justificar expectativas: involucrar reas *Planear detalladamente: responsables directos *Responsable AI: Presentacin ejecutiva *Reunin formal: Jefes de rea, exponer: a) Antecedentes b) Justificacin c) Objetivos y alcances d) Etapas e) Productos Terminados f) Fechas de Revisin formales e informales g) Funciones y responsabilidades h) Costes-Beneficios

5. Coordinar reuniones con los responsables e involucrados.

6. Ejecutar de manera formal y oportuna cada py. 7. Informes ejecutivos y detallados a la alta direccin.

8. Los involucrados deben reconocer la importancia de su aporte.

9. Investigar, analizar, actualizar y formalizar la metodologa de AI: considerar requerimientos, procedimientos y estndares. 10. Capacitar permanentemente al personal de AI. 11. Adaptarse a los estndares nacionales e internacionales. 12. Orientar los esfuerzos al objetivo del negocio.

4.2. Estructura Organizacional y funciones de la Auditoria en informtica

Ubicacin jerrquica de la funcin
1. 2. 3. 4. Alta Direccin debe entender que la auditoria es independiente jerrquicamente: control y seguridad. Apoyo y participacin de todas las reas La AI se establece en un nivel Estratgico, nunca Operativo. AI Externa: Seguimiento, coordinacin y apoyo alta direccin.

Tipos de estructuras donde se ubica la AI

1. 2. 3. En el alto nivel Organizacional Se subordina jerrquicamente a una direccin (admin/informat) Objetivo de la Alta Direccin: Asegurar el desempeo oportuno y eficiente de las actividades de AI, con: Independencia funcional, Libertad de accin, Facultad para la toma de decisiones, Negociacin, Involucramiento.

Caractersticas y consideraciones que pueden darse al estructurar formalmente la funcin de AI (i)

Nivel
Estratgico (Equipo de Apoyo de la Direccin)

Caractersticas
Independencia funcional Proceso Estratgico Compromiso con alta direccin En Instituciones y empresas financieras , crdito, etc. Personal con visin del negocio

Ventajas
Comunicacin formal y permanente Apoyo y soporte de Alta Direccin Objetividad Formalizacin de polticas, controles y procedimientos

Desventajas
Seguimiento de alta direccin: Complejo No se acepta AI No existen especialistas (experiencia, tcnicas y habilidades)

Caractersticas y consideraciones que pueden darse al estructurar formalmente la funcin de AI (ii)

Nivel Caractersticas Ventajas
Funcin indispensable para Alta direccin (polticas y procedimientos) Contacto con los que toman decisiones Impulso para formalizacin

Desventajas
Dbil compromiso de la alta direccin Menor % de empresas considera importante funcin a este nivel No especialistas

Nivel Tctico No hay independencia (gerencias, funcionales con jefaturas) otras direcciones Est en diversos sectores de la comunidad Se limita al estilo del trabajo del nivel superior

Estructura Organizacional
Ubicacin de la Auditoria en informtica: rea de Auditoria/rea de Informtica

Funciones de la Auditoria en Informtica

1.Funciones Mnimas: *Evaluacin y verificacin de los controles y procedimientos relacionados con la funcin informtica. *Validacin de controles y procedimientos utilizados (evaluacin, verificacin e implantacin oportuna. *Utilizacin de los recursos de informtica de acuerdo a las polticas de la organizacin. *Desarrollar la AI conforme a normas y polticas estandarizadas. *Evaluar y justificar las reas de riesgo de la funcin de informtica. *Elaborar un plan de AI *Aprobacin y difusin del plan de AI: compromiso involucrados *Administrar o ejecutar los proyecto del plan de AI

Probables escenarios de la funcin de auditoria en informtica

rea supeditada
Direccin o Gerencia de auditoria

Consideraciones de la funcin
Independiente de la funcin informtica Integracin de los controles y polticas de informtica al resto Dependencia funcional con el Director Director: Negociador / impulsador de la AI

Ventajas
Objetividad en el desempeo Planeacin y desarrollo conjunto Control y seguim. Se facilita apoyo Conocim.proyecto Concientizacin polticas y control

Desventajas
No aceptacin de la evaluacin Puede desconocer el alcance y misin del rea informtica. Incertidumbre por los problemas de la funcin informt. Enfoque limitante. Alta direcc autoriza y da seguimiento al desempeo informt. Orientan los proyectos Informt. Fugas de informac. > costo y tiempo Soluc. no adecuadas Comprom. Formal

Direccin o Gerencia de informtica Personal de Apoyo de la Direccin General Funcin de AI Externa

Funcin estratgica Apoyo Alta direcc. Responsable: visin neg Compromiso Compromiso,valor agre formal de las reas Justifica perfil AI Coordina A. Direccin Amplia experiencia Evaluar su desempeo Tcnicas y estand. Nivel profesional+ Independen/tica Exige resultados

4.3 Administracin de la Funcin de Auditoria en informtica

Garantizar que los recursos involucrados obedezcan los principios bsicos de un proceso administrativo, como: la planeacin, el personal , el control y el seguimiento del desempeo. Objetivos principales de la administracin de AI:
1. Cubrir y proteger los riesgos informticos 2. Asegurar los recursos sean orientados al logro de objetivos 3. Asegurar la formulacin, elaboracin, difusin y cumplimiento de las polticas, funciones y procedimientos 4. Asegurar resultados esperados por el negocio 5. Para el xito: Elaborar y formalizar planes, organizar la funcin, dirigir, revisar y evaluar el desempeo.

Conocimiento o Habilidades requeridas para la administracin y desarrollo de la Auditoria en informtica

Concepto Metodologa Planeac. de sist. Desarro.de sist. Tcnicas Anlisis 1.Organizacional
Alto Alto Regular Alto Mnimo Alto Alto Bueno Alto

Responsable de Auditoria

Supervisor de Auditoria

Auditor

2.Sistemas
3.Computacional Diseo 1.Conceptual 2.Computacional

Bueno
Regular

Alto
Bueno

Alto
Alto

Regular Mnimo

Alto Alto

Alto Alto

Costo/Beneficio Mod. Datos y Procesam.

Alto Mnimo

Alto Bueno

Alto Alto

Documentacin
1.Ejecutiva 2.Detallada Entrevista Cuestionarios Otras Tcnicas Controles , polticas y estndares Alto Alto Alto Alto Mnimo Alto Bueno Alto Bueno Alto Alto Bueno Alto Alto Bueno

reas de Especializac.
1.Comunicaciones 2.CASE 3.EDI 4.Multimedia 5.Otros Regular Regular Regular Regular Regular Bueno Bueno Bueno Bueno Bueno Alto Alto Alto Alto Alto

Habilidades o virtudes
1.Creatividad 2.Abstraccin 3.Responsabilidad Bueno Alto Alto Bueno Bueno Alto Bueno Bueno Alto

4.4 Elementos de la administracin de la funcin

Planificacin
1.
2. 3. 4.

Desarrollar una matriz de la planeacin de AI para determinar las reas que sern evaluadas. Tener informacin de los sistemas, equipos, Sw, planes de informtica y de auditoria, actuales. Coordinar los planes con Gerencia de Auditoria interna Componentes de xito de la Planeacin: *Juntas formales de discusin de planes peridicas. *Seguimiento de deficiencias y debilidades *Reportes de Auditoria y aseguramiento de calidad *Capacitacin conjunta *Metodologa, tcnicas y herramientas comunes.

Personal 1. Polticas de seleccin y reclutamiento 2. Preparacin suficiente y confiable Informtica/Auditora 3. Personal con experiencia, educacin, adaptabilidad, entendimiento, determinacin y diligencia. 4. Establecer el nmero de auditores y horas de auditora Control 1. Supervisin oportuna garantiza un producto consistente 2. Ayuda en el desarrollo y control de los presupuestos 3. Es un proceso continuo, desde la planeacin hasta el informe final 4. Verificacin con los estndares y procedimientos. Reportes de desempeo 1. Herramientas muy importantes para evaluar:
Productividad y calidad de los proyectos Resultados Avances de los proyectos reas susceptibles de control y seguimiento individual y de grupo.

4.5 Hacia una Auditoria en Informtica Eficiente

Clave: Conocimiento, habilidades y capacidades profesionales y personales del auditor informtico.
Conocer tericamente normas, polticas y estndares de auditora/informtica, no son garanta de seguridad y confianza Experiencia: Prctica, Disciplina, Orden y Objetividad Facultades apropiadas de: anlisis objetivo, habilidades de comunicacin y modelacin conceptual, observacin y capacidad para tomar decisiones.

V. PLANEACIN
1. 2. 3. 4. Proceso de planeacin del negocio. Proceso de planeacin en informtica. Proceso de planeacin de la auditora. Proceso de planeacin de la auditora en informtica.