Beruflich Dokumente
Kultur Dokumente
AUDITORIA EN INFORMATICA
I. ANTECEDENTES
La Informtica se enfoc hacia la sistematizacion de las reas del negocio. (Sistemas de Informacin). La informtica cubri todos los niveles de una empresa o institucin. La funcin del auditor no es ser un policia. Se orienta a ser un punto de control, confianza y un facilitador de soluciones. Orientacin del auditor: Conducir a la empresa a la bsqueda permanente de la salud ptima de los recursos de informtica y de todos aquellos elementos que se relacionen con ella.
Un poco de actualidad
Todas las actividades de la sociedad buscan apoyarse en la tecnologa informtica. Tendencia a obtener una solucin integrada y actualizada. El control y seguridad de los recursos de informtica es una necesidad creciente.
=> Evaluar, formal y peridicamente, la funcin de informtica integrada al proceso de negocios.
Las entidades deben contar con controles, polticas y procedimientos que aseguren a la alta direccin que los recursos humanos, materiales y financieros estan adecuadamente orientados a la rentabilidad y competitividad del negocio. La improductividad, mal servicio y carencia de soluciones totales de la funcin informtica, fueron, son y seguiran siendo mal de muchas organizaciones.
Problemas: Debilidades en la planeacin del negocio (informtica) Resultados negativos (imporductividad, duplicidad de funciones, etc) de los SI(Desarrollo, Mto. Operacin). Falta de actualizacin de personal informtico. Capacitacin deficiente de los usuarios de los SI Nulo involucramiento de los usuarios en el desarrollo e implantaciones de soluciones informticas. Administracin deficiente de los proyectos( Falta de un proceso de anlisis costo/beneficio, metodologas de planeacion y desarrollo no estandarizadas, poco uso de tcnicas formales, falta proceso formal de planeacin) Involucramiento mnimo de la alta direccin
2.1 Informtica
Campo que se encarga del estudio y aplicacin prctica de la tecnologa, mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo de la informacin por medios electrnicos.
Se divide en grandes ramas o se integra a otros elementos tecnolgicos y administrativos para fortalecer las empresas. Sistemas de informacin Redes locales Bases de datos Planeacin informtica Desarrollo de sistemas Soporte a usuarios Investigacin de nuevas tecnologas
SI: Conjunto de mdulos computacionales o manuales organizados e interrelacionados de manera formal para la administracin y uso eficiente de todos los recursos de un rea especifica de la empresa. Pueden orientarse al apoyo de: Niveles operativos. Niveles estratgicos. Niveles tcticos. SIE: Proporcionan a la alta direccin una serie de parmetros y acciones encaminadas a la toma de decisiones que apoyarn en el seguimiento de la rentabilidad y competitividad respecto de la competencia. Metodologa: Conjunto de etapas estructuradas de manera que brinden a los interesados los parmetros de accin en el desarrollo de sus proyectos, siguientes: Plan general y detallado, tareas y acciones, tiempos, aseguramiento de calidad, involucrados, etapas, revisiones, responsables, recursos, etc.
Tcnicas: Procedimientos y pasos ordenados que se usan en el desarrollo de un proyectos con el propsito de finalizar las etapas definidos en el procesos metodolgico
Anlisis estructurado Diseo estructurado Anlisis costo beneficio Grficas de Pert Grficas de Gantt.
Herramientas: Elementos fsicos utilizados para llevar a cabo las acciones y pasos definidos en la tcnica. Herramientas de productividad: Optimizan el tiempo de los recursos en el desarrollo de un proyecto, y se encaminan a proporcionar resultados de alta calidad.
2.2 Auditoria
Proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Conjunto de tareas realizadas por un especialista para la evaluacin o revisin de polticas y procedimientos relacionados con las siguientes reas: Administrativas, Financieras, Operativas, Informtica, Crdito, Fiscales (por disposicin gubernamental) Tareas: Estudiar y actualizar permanentemente las reas susceptibles de revisin Apegarse a la tareas que desempeen las normas, polticas, procedimientos y tcnicas de auditoria establecidas por los organismos aceptados a nivel internacional. Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables directos del negocio. Elaboracin del informe (debilidades y recomendaciones).
Los negocios definen estrategias de planeacin con las que afrontar los factores externos, para minimizar su impacto negativo o sacar ventaja estratgica de los mismos. La Auditora en informtica siendo un proceso bsico de evaluacin y control en el uso de los recursos tecnolgicos para el logro de las estrategias; debe contemplar el entendimiento del entorno del negocio como parte de sus actividades primarias.
Con esta accin se obtiene una ventaja competitiva. Permite una integracin ms eficiente entre las entidades del negocio.
La funcin de informtica debe estructurar sus servicios y proyectos con base en los requerimientos especficos del negocio (estrategias del negocio) , apoyndose en el uso de tecnologa de vanguardia y sus nuevas tendencias (TICs).
Concepto
Caractersticas
Hardware
Mainframes Minicomputadoras Microcomputadoras porttiles Impresoras Dispositivos de almacenamiento Telecomunicaciones - datos - voz -
Permiten alimentar procesar, generar, transmitir y almacenar los datos de los SI (estratgicos, tcticos y operativos del negocio) El Hw sufre cambios de manera dinmica; sus caractersticas de desempeo y perfomance han mejorado : -Almacenamiento -Procesamiento -Portabilidad -Escalabilidad -Conectividad -Otros
Utilizacin de los equipos de computo para consulta, captura, proceso y generacin de reportes a fin de evaluar y diagnosticar la situacin de los sistemas.
Evaluacin de SI y otros aspectos a travs de accesos remotos y en lnea. Auditar cada tarea en el lugar de los hechos, Registrar y monitorear gran cantidad de actividades inherentes al uso de computadoras y equipo de comunicaciones.
Concepto
Caractersticas
Son los elementos lgicos Por este medio se ha Ofimtica (Procesadores de logrado la sistematizacin palabras, Hojas de computacional de los clculo, Graficado- procesos de negocio. res,Diagramadores En un nivel ms Especializado especializado, se ha logrado Auditora la sistematizacin de actividades de desarrollo de Seguridad sistemas a travs de las Desempeo computadoras y en gran CASE medida la planeacin de Mtodo sistemas.
Software
Tcnicas Herramientas
El apoyo que brindo al auditor el personal de informtica, fue programar rutinas de control y evaluacin de procesos en los sistemas computacionales o para generar reprocesos y respaldos de la informacin por auditar. El auditor en informtica se perfila como el individuo que domina ambos campos, es el enlace ideal para la evaluacin de SI, y el uso eficiente de todos los recursos, servicios y productos de informtica en el negocio.
Una organizacin, tambin esta afectada por otros factores del entorno. Por lo que se hace imprescindible que la funcin de auditora en informtica se mantenga actualizada y enterada del entorno que rodea a los negocios. Es necesario documentarse mediante:
- Acceso a BD nacionales e internacionales - conferencias - lecturas de boletines, peridicos o revistas especializadas - incorporacin a asociaciones o colegios especializados, - contacto permanente con proveedores lderes de productos y servicios de la tecnologa informtica - anlisis permanente de los procesos bsicos de negocio y de sus competidores clave.
Hay que considerar elementos formales para aplicar oportunamente el cambio organizacional, cultural y tecnolgico, que conlleve facilitar el reposicionamiento y la competitividad del negocio:
Planeacin estratgica Evaluacin permanente de los procesos y flujos de datos. Investigacin de mercado. Estudio y asimilacin del aspecto social, cultural, poltico, econmico y tecnolgico del entorno. Compromiso de todos los niveles de la empresa con la calidad y satisfaccin del cliente. Orientar los recursos a los procesos fundamentales del negocio. Ver el recurso humano como la pieza clave de la organizacin.
IV. ORGANIZACION
1. Estrategias y cursos de accin para la implantacin formal de la funcin de auditoria en informtica. 2. Estructura organizacional y funciones de la auditoria en informtica. 3. Administracin de la funcin de auditoria en informtica. 4. Elementos de la administracin de la funcin. 5. Hacia una auditora informtica eficiente.
4.1 Estrategias y cursos de accin para la implantacin formal de la funcin de auditoria en informtica
Estrategias
1.Formalizar la AI en la organizacin, a travs de : *Cursos de Accin justificados *Documentos de justificacin a Alta Direccin *Difusin de la AI en las reas relacionadas *Desarrollo del proceso de AI 2. Auditoria Permanente para garantizar a la Alta Direccin: *Seguridad, Polticas y procedimientos de los recursos de informtica, eficientes y confiables. *Apoyo a los objetivos del negocio. *Verificacin del uso de la Tecnologa en el negocio. *Proceso de Evaluacin y justificacin de los pys informa *Elaboracin y desarrollo de un proceso de planeacin informtica, orientado al plan de negocio. *Uso de Metodologas, Tcnicas, Herramientas. *Personal: ambiente de Profesionalismo y productividad
Cursos de Accin
1.Alta Direccin,usuarios y personal: conciencia de la necesidad de AI, para el uso eficiente de los recursos. 2.Formalizar un procedimiento que divulgue los planes, objetivos, beneficios y reas de oportunidad que representa la AI. 3.Compromiso del personal y usuarios con el proyecto de AI. 4.Planeacin y desarrollo del proceso de AI, previa aprobacin. 5.Proceso de Planeacin: Proyectos: Prioridades: Calidad/eficiencia *Justificar expectativas: involucrar reas *Planear detalladamente: responsables directos *Responsable AI: Presentacin ejecutiva *Reunin formal: Jefes de rea, exponer: a) Antecedentes b) Justificacin c) Objetivos y alcances d) Etapas e) Productos Terminados f) Fechas de Revisin formales e informales g) Funciones y responsabilidades h) Costes-Beneficios
Caractersticas
Independencia funcional Proceso Estratgico Compromiso con alta direccin En Instituciones y empresas financieras , crdito, etc. Personal con visin del negocio
Ventajas
Comunicacin formal y permanente Apoyo y soporte de Alta Direccin Objetividad Formalizacin de polticas, controles y procedimientos
Desventajas
Seguimiento de alta direccin: Complejo No se acepta AI No existen especialistas (experiencia, tcnicas y habilidades)
Desventajas
Dbil compromiso de la alta direccin Menor % de empresas considera importante funcin a este nivel No especialistas
Nivel Tctico No hay independencia (gerencias, funcionales con jefaturas) otras direcciones Est en diversos sectores de la comunidad Se limita al estilo del trabajo del nivel superior
Estructura Organizacional
Ubicacin de la Auditoria en informtica: rea de Auditoria/rea de Informtica
Consideraciones de la funcin
Independiente de la funcin informtica Integracin de los controles y polticas de informtica al resto Dependencia funcional con el Director Director: Negociador / impulsador de la AI
Ventajas
Objetividad en el desempeo Planeacin y desarrollo conjunto Control y seguim. Se facilita apoyo Conocim.proyecto Concientizacin polticas y control
Desventajas
No aceptacin de la evaluacin Puede desconocer el alcance y misin del rea informtica. Incertidumbre por los problemas de la funcin informt. Enfoque limitante. Alta direcc autoriza y da seguimiento al desempeo informt. Orientan los proyectos Informt. Fugas de informac. > costo y tiempo Soluc. no adecuadas Comprom. Formal
Funcin estratgica Apoyo Alta direcc. Responsable: visin neg Compromiso Compromiso,valor agre formal de las reas Justifica perfil AI Coordina A. Direccin Amplia experiencia Evaluar su desempeo Tcnicas y estand. Nivel profesional+ Independen/tica Exige resultados
Responsable de Auditoria
Supervisor de Auditoria
Auditor
2.Sistemas
3.Computacional Diseo 1.Conceptual 2.Computacional
Bueno
Regular
Alto
Bueno
Alto
Alto
Regular Mnimo
Alto Alto
Alto Alto
Alto Mnimo
Alto Bueno
Alto Alto
Documentacin
1.Ejecutiva 2.Detallada Entrevista Cuestionarios Otras Tcnicas Controles , polticas y estndares Alto Alto Alto Alto Mnimo Alto Bueno Alto Bueno Alto Alto Bueno Alto Alto Bueno
reas de Especializac.
1.Comunicaciones 2.CASE 3.EDI 4.Multimedia 5.Otros Regular Regular Regular Regular Regular Bueno Bueno Bueno Bueno Bueno Alto Alto Alto Alto Alto
Habilidades o virtudes
1.Creatividad 2.Abstraccin 3.Responsabilidad Bueno Alto Alto Bueno Bueno Alto Bueno Bueno Alto
Desarrollar una matriz de la planeacin de AI para determinar las reas que sern evaluadas. Tener informacin de los sistemas, equipos, Sw, planes de informtica y de auditoria, actuales. Coordinar los planes con Gerencia de Auditoria interna Componentes de xito de la Planeacin: *Juntas formales de discusin de planes peridicas. *Seguimiento de deficiencias y debilidades *Reportes de Auditoria y aseguramiento de calidad *Capacitacin conjunta *Metodologa, tcnicas y herramientas comunes.
Personal 1. Polticas de seleccin y reclutamiento 2. Preparacin suficiente y confiable Informtica/Auditora 3. Personal con experiencia, educacin, adaptabilidad, entendimiento, determinacin y diligencia. 4. Establecer el nmero de auditores y horas de auditora Control 1. Supervisin oportuna garantiza un producto consistente 2. Ayuda en el desarrollo y control de los presupuestos 3. Es un proceso continuo, desde la planeacin hasta el informe final 4. Verificacin con los estndares y procedimientos. Reportes de desempeo 1. Herramientas muy importantes para evaluar:
Productividad y calidad de los proyectos Resultados Avances de los proyectos reas susceptibles de control y seguimiento individual y de grupo.
V. PLANEACIN
1. 2. 3. 4. Proceso de planeacin del negocio. Proceso de planeacin en informtica. Proceso de planeacin de la auditora. Proceso de planeacin de la auditora en informtica.