Informe Final De Auditoria En Informática

Etapa 1
Antecedentes de la Auditoría
La auditoría se ha practicado desde tiempos remotos. El hecho de que los soberanos
exigieran el mantenimiento de las cuentas de su residencia por dos escribanos
independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar
desfalcos en dichas cuentas. Podemos intuir que la primera auditoría nació desde el
momento en que fue necesario rendir cuentas de algún negocio y revisar que éstas fueran
correctas; es evidente que dicha función fue evolucionando a la par que el crecimiento de la
actividad de registros de operaciones mercantiles. En los que podría llamarse los días en los
que se formó la auditoria, a los estudiantes se les enseñaban que los objetivos primordiales
de ésta eran: La detección y prevención de fraude. La detección y prevención de errores; sin
embargo, en los años siguientes hubo un cambio decisivo en la demanda y el servicio, y los
propósitos actuales son: El cerciorarse de la condición financiera actual y de las ganancias de
una empresa. La detección y prevención de fraude, siendo éste un objetivo menor.

Antecedentes de la auditoria en sistemas computacionales.

La tecnología informática (hardware, software, redes, bases de datos, etc.) es una
herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios
frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si
no es bien administrada por el personal encargado. La solución clara es entonces realizar
evaluaciones oportunas y completas de la función informática, a cargo de personal
calificado, consultores externos, auditores en informática o evaluaciones periódicas
realizadas por el mismo personal de informática. Surge entonces la obvia necesidad de
auditar la función informática, ya que resulta innegable que la misma se ha convertido en
una herramienta permanente y necesaria de los procesos principales de los negocios, en un
aliado confiable y oportuno. Esto es posible si se implementan los controles y esquemas de
seguridad requeridos para su aprovechamiento óptimo. Una vez que la alta dirección
comprenda la importancia de contar con un área independiente que asegure y promueva el
buen uso y aprovechamiento de la tecnología de informática, ya puede delegar la
responsabilidad en personal altamente capacitado para ejercer la auditoría en informática
dentro de la organización de manera formal y permanente.

¿Qué es ISO 17799?

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión
de la seguridad de la información dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de una organización.
ISO 17799 define la información como un activo que posee valor para la organización y
requiere por tanto de una protección adecuada. El objetivo de la seguridad de la
información es proteger adecuadamente este activo para asegurar la continuidad del
negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las
oportunidades de negocio.
El ISO 17799, al definirse como una guía en la implementación del sistema de administración
de la seguridad de la información, se orienta a preservar los siguientes principios de la
seguridad informática:
Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la
información.
Integridad. Garantizar que la información no será alterada, eliminada o destruida por
entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información
cuando la requieran.

ETAPA 2
Estructura Organizacional
Ubicación de la Auditoría en informática:
Área de Auditoria/Área de Informática. A menudo la función de la auditoría en informática
se encuentra ubicada dentro del área de auditoría y en un número menos de empresas o
negocios en la función de informática.
Funciones de la Auditoría en Informática:
En cualquiera de las estructuras mencionadas hay que asegurar al negocio un conjunto e
acciones mínimas que vuelvan rentable la auditoría en informática.
• Funciones Mínimas:
*Evaluación y verificación de los controles y procedimientos relacionados con la función
informática.
*Validación de controles y procedimientos utilizados (evaluación, verificación e
implantación oportuna.
*Utilización de los recursos de informática de acuerdo a las políticas de la organización.
*Desarrollar la AI conforme a normas y políticas estandarizadas.
*Evaluar y justificar las áreas de riesgo de la función de informática.
*Elaborar un plan de AI en los plazos determinados por el responsable de la función.
*Aprobación y difusión del plan de AI entre los involucrados para su compromiso
*Administrar o ejecutar de manera eficiente los proyectos del plan de AI.
ADMINISTRACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Una vez formalizada la función en cualquiera de las situaciones organizacionales señaladas,
se define un mecanismo de administración y función.
Dicho mecanismo tiene la función de garantizar que los recursos involucrados obedezcan los
principios básicos de un proceso administrativo, como: la planeación, el personal, el control
y el seguimiento del desempeño.
Objetivos principales de la administración de AI:
1. Cubrir y proteger los riesgos informáticos
2. Asegurar los recursos sean orientados al logro de objetivos
3. Asegurar la formulación, elaboración, difusión y cumplimiento de las políticas, funciones y
procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el éxito: Elaborar y formalizar

Elementos de la Administración.
Planificación.
• Desarrollar una matriz de la planeación de AI para determinar las áreas que serán
evaluadas.
• Tener información de los sistemas, equipos, Software, planes de informática y de
auditoria, actuales.
• Coordinar los planes con Gerencia de Auditoría interna
• Componentes de éxito de la Planeación:
*Juntas formales de discusión de planes periódicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitación conjunta
*Metodología, técnicas y herramientas comunes.

Personal
• Políticas de selección y reclutamiento
• Preparación suficiente y confiable Informática/Auditoría
• Personal con experiencia, educación, adaptabilidad, entendimiento, determinación y
diligencia.
• Establecer el número de auditores y horas de auditoría

Control
• Supervisión oportuna garantiza un producto consistente
• Ayuda en el desarrollo y control de los presupuestos
• Es un proceso continuo, desde la planeación hasta el informe final
• Verificación con los estándares y procedimientos.
29

Reportes de desempeño
Herramientas muy importantes para evaluar:
– Productividad y calidad de los proyectos
– Resultados
– Avances de los proyectos
– Áreas susceptibles de control y seguimiento individual y de grupo.

ETAPA 3
PROCESO DE PLANEACIÓN DEL NEGOCIO
Este proceso consiste en determinar las estrategias y cursos de acción del negocio; se
establece mediante entrevistas y análisis detallados de cada proceso básico de la
organización como:
Producción, ventas recursos humanos o administración en una empresa de manufactura.
Recursos humanos, administración, ventas u compras en una empresa dedicada a la
comercialización de productos ya manufacturados.
Inversiones, ahorros y recursos humanos en una empresa bancaria
Secretaría académica, posgrado, control escolar y recursos humanos en una institución
educativa.
Auditoría, finanzas, administración, informática y recursos humanos en una empresa de
auditoría y consultoría de negocios.
Otras áreas de empresas con giros bien definidos

PROCESO DE PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA

Consta de la definición y formalización de proyectos. Abarca las actividades desarrolladas
por el auditor en informática que tienen como objetivo principal elaborar y presentar un
conjunto de proyectos inherentes a la función de auditoría en informática a la alta dirección,
y que estarán primordialmente al aseguramiento de la calidad y control de los diferentes
elementos que se encuentran relacionados de manera directa o indirecta con los recursos
de la informática.
PROCESO DE LA METODOLOGÍA DE LA AUDITORÍA EN INFORMÁTICA
La auditoría en informática debe ser respaldada por un proceso formal que asegure su
previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso
en la empresa.
Factores que determinan un proceso exitoso de la AI se desarrolla en función del
desempeño de la función de los auditores en AI:
Dominio de los conceptos técnicos y administrativos relacionados con la AI
Habilidades inherentes a la auditoría en informática
Normas personales
Entendimiento de la AI y sus tendencias
Adaptación o actualización según el medio dominante
Organización y administración formal de la AI en el negocio
Involucramiento formal en el proceso de planeación del negocio, informática del negocio
Desarrollo del proceso formal de planeación de AI
Entendimiento y aplicación de un proceso metodológico formal de la auditoría en
informática
Entre otras que dependen de las características de la organización.

CUESTIONARIOS
Las auditorías informáticas se materializan recabando información y documentación de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del
auditor consiste en lograr toda la información necesaria para la emisión de un juicio global
objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

ENTREVISTAS
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de
tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método
estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste
recoge más información, y mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a cuestionarios.

CHECKLIST
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus
cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual
no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales",
que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus
Checklists.

SOFTWARE DE INTERROGACIÓN
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente
“paquetes de auditoría”, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron
hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias
e hipótesis de la situación real de una instalación.
En la actualidad, los productos Software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos
de la empresa auditada. Estos productos son utilizados solamente por los auditores
externos, por cuanto los internos disponen del software nativo propio de la instalación.

ETAPA 4
ETAPA PRELIMINAR O DIAGNÓSTICO
METODOLOGIA DE DIAGNOSTICO
1. Primer paso práctico para estimar el grado de satisfacción de la alta dirección en los
productos, servicios y recursos de informática del negocio (fortalezas, aciertos y apoyo). Es
el primer paso práctico del AI dentro de las empresas o instituciones al efectuar un proyecto
de AI. Se busca la opinión de la alta dirección al efectuar el proyecto para estimar el grado
de satisfacción y confianza que tiene en los productos, servicios y recursos de informática
del negocio; así mismo es posible detectar las fortalezas, aciertos y apoyo que brinda dicha
función desde la perspectiva de los directivos del negocio.
Aspectos relevantes a considerar:
• Misión del negocio
• Áreas o proceso del negocio
• Organigrama
• Relación entre las áreas
• Relación con las áreas externas
• Políticas referentes a informática
• Otros
Apoyo al negocio: Obtener una idea global del grado de apoyo y satisfacción que existe en el
negocio y de la orientación de la función informática: Apoyo a alta dirección (SI
estratégicos), apoyo a las gerencias (SI integrales), apoyo a niveles operativos (SI
transaccionales)
Aspectos a conocer:
- Participación de la función informática en los pys. clave
- Difusión de las políticas y planes informáticos en los niveles del negocio
- Imagen de informática ante la alta dirección y los responsables de área
- Grado de satisfacción y expectativas
- Fortalezas y debilidades de informática
- Áreas de oportunidad
- Otros
ETAPA DE JUSTIFICACIÓN
Una vez finalizada la etapa anterior, el auditor informático se centrará en elaborar un
documento que es fundamental para la aprobación del proyecto.
El documento contiene tres partes que contemplan
1. Las áreas que se auditarán (matriz de riesgo),
2. El tiempo sugerido para hacerlo (plan de auditoría informática) y
3. El visto bueno (compromiso ejecutivo).
Matriz de riesgo:
El objetivo principal es detectar las áreas de mayor peligro en relación con informática y que
requieren una revisión formal y oportuna. Ejemplos de las áreas susceptibles a auditar:
· Administración de informática (misión, organización, servicios, etc.)
· Usuarios de informática (comunicación e integración, proyectos conjuntos)
· Sistemas de información (planeación, desarrollo, operación)
· Mantenimiento (hardware, software, telecomunicaciones)
· Redes locales (administración, instalación, operación/ seguridad)
· Software (administración y legalización de lenguajes de programación, sistemas
operativos)
· Seguridad (hardware, software/ aplicaciones)
· Investigación tecnológica (metodologías, técnicas, herramientas, capacitación)
Procedimiento de análisis y elaboración de la matriz:
Es importante identificar el nivel de riesgo de cada uno de los elementos en el negocio a
través del diagnóstico de la situación actual de informática. Las áreas que se van a
diagnosticar pueden variar según el tamaño y estructura del negocio.
El auditor debe utilizar los elementos de medición y evaluación posibles sin caer en un
análisis detallado, ya que solo se trata de detectar la problemática principal de cada área. Si
se producen dificultades de considerable importancia de algún elemento evaluado, se
deben tomar acciones inmediatas para eliminar o minimizar el problema.
ETAPA DE ADECUACIÓN
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría
informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la
referencia de los estándares, políticas y procedimientos de auditoría que siempre son
aceptados y recomendados por las asociaciones relacionadas con el proceso.
A continuación se mencionan los elementos que se deben contemplar antes de iniciar
formalmente la revisión de las áreas aprobadas en la etapa anterior.
ETAPA DE FORMALIZACIÓN
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la
empresa y de la función de informática; en ellas se detectaron las debilidades y fortalezas
más relevantes, también se definió la planeación y proyección de las áreas que requieren
ser auditadas, y se documentaron las adecuaciones.
En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el
desarrollo del proyecto de auditoría (presentado por el líder de proyectos y el responsable
de auditoría informática), de manera tal que, su función es justificar el desarrollo del
proyecto basándose en lo que se hizo en las etapas anteriores.
ETAPA DE DESARROLLO
En esta etapa, el auditor informático va a ejercer su función de manera práctica, es decir,
comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus
conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el
fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
IMPLANTACIÓN
· Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el
responsable de informática):
Se analizan algunos aspectos (recursos humanos, materiales tecnológicos, inversiones, etc.)
que se necesitan para ejecutar las acciones recomendadas en los plazos acordados
anteriormente.
· Desarrollo del plan (también a cargo del responsable de informática):
Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la alta
dirección.
· Implantación de las acciones sugeridas por auditoria en informática (responsable de inf.):
· Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior.
· Consultar los informes para verificar acciones y tiempos de terminación
· Elaborar un plan de implantación que tenga:
Tareas.
Productos terminados
Responsables e involucrados
Fechas de inicio y término
Fechas de revisión
· Verificar tareas, productos terminados, etc. del plan de implantación
· Ejecutar cada una de las tareas