Upload
dinhcong
View
221
Download
4
Embed Size (px)
Citation preview
LOGO
Metodología de la
Auditoría Informática.
Curso: Auditoría Informática
Prof.: MSc. Julio Rito Vargas Avilés
http://jrvargas.wordpress.com
Sábado 4 abril 2009
LOGO Contenido
Proceso de planeación del negocio1
2
3
4
Proceso de planeación en Informática
Proceso de planeación de la auditoría
Proceso de planeación de la A. I.
5 Metodología para la A.I.
Julio Rito Vargas Avilés
LOGO Gestión de la planeación de la Auditoría
Informática
La función de auditoría Informática debegenerar, como todas las áreas delnegocio,un plan de proyectos quejustifique su trabajo durante ciertotiempo; cada uno de esos proyectostendrán que contemplar un analísiscosto/beneficio y la estructura de losmismos con un enfoque metodológico, conel fin de que esta función se evalúe segúnsu desempeño, con parámetros tangiblesy mensurables.
Julio Rito Vargas Avilés
LOGO Gestión de la planeación de la Auditoría
Informática
Alta dirección: Seguimiento a proyectos relacionados con tecnología
informática.
Verificación y aseguramiento del cumplimiento depolíticas inherente a la tecnología informática.
Auditoría: Apoyo en la definición, implantación y
seguimiento de políticas, controles yprocedimientos de auditoría financiera,operativa, fiscal, etc., relacionada directa oindirectamente con la tecnología informática(SI, equipos de cómputo, comunicaciones,etc.)
Julio Rito Vargas Avilés
LOGO Gestión de la planeación de la Auditoría
Informática
Auditoría: Planes de capacitación en el uso y
entendimiento de software de auditoría,herramientas de productividad(hojas decálculo, procesadores de palabra,graficadores, etc.)
Informática: Apoyo en la definición,implantación y seguimiento de políticas,controles, procedimientos y estandares eninformática.
Julio Rito Vargas Avilés
LOGO Gestión de la planeación
Proceso de
Planeación
del negocio
Planeación
de la A.I.
Proceso de
planeación
de la
auditoría
Proceso de
Planeación
en
Informática
Proceso de
planeación
de la
auditoría
informática
Julio Rito Vargas Avilés
LOGO Proceso de planeación del negocio
Actividad Responsable de cambios
Responsable del
seguimiento
Comentarios
Determinación de las áreas de oportunidad para elnegocio.
Gerente de planeación
Alta dirección o director de planeación
Se determinan tendencias y amenazas del medio externo, fortalezas y debilidades del negocio, etc. Se seleccionan las áreas de oportunidad estratégicas y los proyectos de cada proceso básico del negocio
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de cambios
Responsable del
seguimiento
Comentarios
Elaboración del plan delnegocio
Gerente de planeación
Alta dirección o director de planeación
Cada proyectodebe justificar su inversión garantizando que brinda al negocio rentabilidad y ventaja competitiva.
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de cambios
Responsable del
seguimiento
Comentarios
Presentación del plan a los directivos o gerente o ambos.
Gerente de planeación
Alta dirección y/o directiva
Se recomienda que se haga de manera oportuna (al iniciar el período fiscal) y se autorice formalmente.
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de cambios
Responsable del
seguimiento
Comentarios
Ejecución del plan de negocio
Gerente o coordinador de cada área o proceso básico del negocio
Alta dirección o gerente de planeación.
Cada área o proceso básico del negocio ha de ejecutar los proyectos, con la ayuda de asesores externos si se justifica. Planeación verificará su cumplimiento.
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Determinación de áreas apoyadas por informática (plan del negocio)
Gerente o coordinador de planeación informática
Director o gerente de informática
Las áreas de oportunidades relativas al negocio, al igual que proyectos específicos solicitados por la alta dirección o recomendados por asesores externos de alto nivel, emanan del plan de negocio.
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Elaboración del plan informático
Gerente o coordinador de planeación informática
Director o gerente de informática
Es importante que el área responsable de ejecutar cada proyecto se involucre en esta tarea, ejemplo el área de desarrollo de software, área de telecomunicaciones.
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Presentación del plan a la alta dirección
Director o gerente de informática
Alta dirección del negocio
Antes de presentar el documento se verifica que existe un análisis costo/beneficio de cada proyecto, así como fechas de terminación.
Julio Rito Vargas Avilés
LOGO Proceso de planeación en Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Ejecución del plan de auditoría
Funciones de informática: Desarrollo, investigación, comunicación,soporte a usuarios, entre otros.
Gerente En algunas empresas las funciones de desarrollo de sistemas, soporte a usuarios, planeación etc., han sido delegadas a personal externo y en ciertas ocasiones han pasado a ser responsabilidad del mismo usuario.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de auditoría
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Determinación de las áreas por auditar en el negocio.
Coordinador o supervisor de auditoria
Gerente de auditoría
Aquí se da prioridad a la evaluación de los sistemas información financieros y contables. El auditor debeverificar si requiere el apoyo de auditoría informática(interno o externo)
Julio Rito Vargas Avilés
LOGO Proceso de planeación de auditoría
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Elaboración del plan de auditoría
Coordinador o supervisor de auditoria
Gerente de auditoría
Las fechas y periodos en que se auditarán las áreas pueden obedecer a estrategias propias de la alta dirección o a necesidades de la función de auditoría.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de auditoría
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Presentacióndel plan a la alta dirección
Coordinador o supervisor de auditoria
Gerente de auditoría
Se recomienda que se haga de manera oportuna (al iniciar el periodo fiscal) y que se autorice formalmente.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de auditoría
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Ejecución delplan de auditoria
Coordinador o supervisor de auditoria (interna o externa)
Gerente de auditoría
Algunas empresasconsideran que es recomendable utilizar personal de auditoría externa para dar independencia al informe o aligerar las cargas de trabajo.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Determinación de las áreas por auditar del negocio.
Coordinador o supervisor de auditoria informática
Gerente de auditoría informática
Se efectúa un diagnóstico actual de la función de informática (desde el punto de vista del negocio) con el fin de detectar áreas de riesgo o debilidades de la función deinformática.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Elaboración del plan de auditoría informática
Coordinador o supervisor de auditoria informática
Gerente de auditoría informática
Las fechas y periodos en que se auditarán las áreas puede obedecer a la solicitud expresa de la alta dirección o a requerimientos de la función de auditoría informática.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Presentación del plan a la alta dirección
Director de Auditoría Informática
Alta Dirección Se recomienda que se haga de manera oportuna y que se autorice formalmente.
Julio Rito Vargas Avilés
LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable de ejecución
Responsable del
seguimiento
Comentarios
Ejecución del plan de auditoría informática
Auditores informáticos
Gerenteauditoría informática
Algunas empresas no cuentan con unidades de auditoría informática y quienes hacen esta labor son auditores en informática externos.
Julio Rito Vargas Avilés
LOGO Etapas de la Metodología
-Aprobación-Inicio de auditoría inf.
-Métodos-Técnicas-Herramientas
-Áreas a auditar-Plan propuesto
Diagnóstico- Negocio-Informática
Etapa Formalización
Etapa Adecuación
Etapa Justificación
Etapa Preliminar
Etapa Desarrollo
Etapa Implantación
-Entrevistas, visitas, observaciones,-Recomendaciones e informe de auditoría
-Acciones correctivas y preventivas-Seguimiento.
Julio Rito Vargas Avilés
LOGO Etapa preliminar
PRELIMINAR
(DIAGNÓSTICO)
Diagnóstico del
Negocio
Diagnóstico de
Informática
Detectar áreas
de oportunidad
Misión y objetivos de negocio
Organización de la informática
Grado de apoyo al negocio
Áreas de oportunidad
para mejoras inmediatas.
Misión y objetivos de la función
de informática
Organización de la Informática
Control (formalidad)
Productos y Servicios.
Julio Rito Vargas Avilés
LOGO Etapa preliminar
DIAGNÓSTICO DE INFORMATICA.
Aquí el auditor se coordinará con el responsable de la función de
informática.
Conocimiento de la función de Informática:
En este parte el auditor conocerá:
• La estructura de Informática
• Funciones
• Objetivos.
La tecnología de Sw. y Hw. en la que se apoya para llevar a cabo su función
dentro del negocio.
• Estrategias
• Planes
• Políticas
Julio Rito Vargas Avilés
LOGO Servicios de informática
Servicios
Evaluación, adquisición, instalación
y reemplazos de Hw y comunicacionesImplantación de soluciones
de información
Investigación
Auditoría Informática
Mantenimiento
Soporte a usuarios
Soporte a la alta dirección
Satelite1500 km
Julio Rito Vargas Avilés
LOGO Control del Área Informática
Aspectos de Control del Área de Informática
Otro aspecto a evaluar en la etapa preliminar es evaluar el grado de
formalidad y cumplimiento que se da a políticas y procedimientos relativos a
cada área de informática.
Una manera es a través de entrevistas que concede el RI al LP; pero el
camino más directo es entrevistar al encargado de cada área que conforma
la función de informática.
Algunos aspectos que deben considerarse son los siguientes:
• Esquema de seguridad para Internet, intranet y comercio electrónico.
• Políticas y procedimientos de organización de la función de informática.
Julio Rito Vargas Avilés
LOGO Control del Área Informática
Aspectos de Control del Área de Informática
• Descripción de puestos y funciones
• Evaluación del desempeño
• Guías de control para proyectos de selección e implantación de un
sistema ERP
• Políticas y procedimientos para el desarrollo e implantación de
sistemas.
• Políticas y procedimientos de evaluación de Hw. y Sw.
• Políticas y procedimientos de seguridad
• Políticas y procedimientos de mantenimiento(preventivo,
detectivo y correctivo)
• Plan de contingencia y de reinicio de operaciones.
Julio Rito Vargas Avilés
LOGO Cuestionario del diagnóstico actual del negocio
Concepto Descripción Comentarios
Giro y misión del negocio (se requerirá organigrama) ….
Macroproyectos del negocio. ….
Objetivos del negocio
Políticas referentes a la función de informática.
Áreas de oportunidad que se derivan de informática.
LOGO Soluciones de informática(diagnóstico del
negocio¿Cuáles de las siguientes soluciones le hansido proporcionadas por informática y comolas califica?
Descripción ComentariosE B R D
Soluciones de consultoría.Asesoría y soporte en la definición, evaluación yselección de estrategias para la obtención desoluciones de negocio
Soluciones de sistematización de procesos de negocio. Instalación de sistemas requeridos en el desarrollo de sus funciones operativas, tácticas y estratégicas.
Soluciones de desarrollo tecnológico.Evaluación y selección de tecnología: definición denuevos enlaces con otras empresas víatelecomunicaciones, automatización de oficinas,etc.
Servicios operativos.Instalación de equipo de cómputo y telecomunica-ciones, capacitación en el uso de la tecnología,atención a fallas de software y aplicaciones,atención a fallas a equipos de cómputo ycomunicaciones.
LOGO Cuestionario del diagnóstico actual de informática
Concepto Descripción Comentarios
Misión de informática (organigrama)
Funciones o áreas de informática
Macroproyectos de informática
Objetivos de la función de informática
Políticas referente a cada función de informática
Áreas de oportunidad relativas a informática
LOGO Etapa de Justificación
1
Matriz de riesgo:Áreas de mayor peligrocon relacióncon informática.
2
Plan general de auditoríainformática
3
Compromisoejecutivo
Productos a obtener de la etapa de justificación
Julio Rito Vargas Avilés
LOGO Etapa de justificación
Etapa Tareas Productos Resp. Involucrado
Justificación Realizar matriz de riesgos.
Justificar la AI por cadaárea de revisión
Hacer un plan de AI
Aprobación plan AI
Matriz de riesgo.
Justificación de la matriz de riesgo.
Plan general de AI
Plan aprobado
LP/AI
LP/AI
LP
LP
RAI
RAI
RAI/AI
RAI/AI
Julio Rito Vargas Avilés
LOGO Matriz de riego
Áreas susceptiblesde auditar
Componentespor evaluar
Riesgo porcomponente
Clasif. del riesgo por
Área
Área por auditar
según clasif.
Administración de informática
Direcciones y niveles ejecutivos
Misión y objetivosOrganizaciónServicios Parámetros de medición.
Seguimiento de la función informática por la AD.Comunicación e integraciónApoyo a toma de decisiones.
%
%%%
%
%
%
%
%
Secuenciasugerida paraauditar cadacomponente yárea según elnivel deriesgo
idem
Julio Rito Vargas Avilés
LOGO Matriz de riesgo
Áreas susceptiblesde auditar
Componentespor evaluar
Riesgo porcomponente
Clasif. del riesgo por
Área
Área por auditar
según clasif.
Usuarios de Informática
Control InternoInformático
Comunicación e integración.Proyectos conjuntos.Administración de recursos informáticos.Grado de satisfacción.
Políticas y procedimientos
%
%
%
%
%
%
%
Secuenciasugerida paraauditar cadacomponente yárea según elnivel deriesgo
idem
Julio Rito Vargas Avilés
LOGO Matriz de riego
Áreas susceptiblesde auditar
Componentespor evaluar
Riesgo porComponente
Clasif. del riesgo por
Área
Área por auditar
según clasif.
Ciclo de desarrollo e implantación de SI
Sistemas de información
MetodologíaTécnicasHerramientasCapacitación/actualización
PlaneaciónDesarrolloOperaciónSoluciones de mercado.
%%
%
%%%%
%
%
Secuenciasugerida paraauditar cadacomponente yárea según elnivel deriesgo
idem
Julio Rito Vargas Avilés
LOGO Matriz de riego
Áreas susceptiblesde auditar
Componentespor evaluar
Riesgo porComponente
Clasif. del riesgo por
Área
Área por auditar
según clasif.
Mantenimiento
Redes
Telecomunicaciones
HardwareSoftwareS. InformaciónTelecomunicaciones
InstalaciónOperaciónOperatividad ySeguridad
AdministraciónInstalaciónOperación ySeguridad.
%%%%
%%%
%%%
%
%
%
Secuenciasugerida paraauditar cadacomponente yárea según elnivel deriesgo
Idem
idem
Julio Rito Vargas Avilés
LOGO Matriz de riego
Áreas susceptiblesde auditar
Componentespor evaluar
Riesgo porComponente
Clasif. del riesgo por
Área
Área por auditar
según clasif.
Hardware:PCMinicomputadorasMainframes
Software: paquetes de uso generalizado, lenguajes de programación.SO, paquetes de uso específicos
AdministraciónInstalaciónOperación ySeguridad.
Administración
Legalización
Operatividad y seguridad
Capacitación
%%%
%
%
%
%
%
%
Secuenciasugerida paraauditar cadacomponente yárea según elnivel deriesgo
Idem
Julio Rito Vargas Avilés
LOGO Matriz de riego
Áreas susceptiblesde auditar
Componentespor evaluar
Riesgo porComponente
Clasif. del riesgo por
Área
Área por auditar
según clasif.
Seguridad
Planeación de informática
Investigación tecnológica
HardwareSoftware y aplicacionescomunicaciones
Plan de contingencia y de recuperación.
MetodologíaTécnicasHerramientasCapacitación y actualización
%%%
%
%
%%
%
%
Secuenciasugerida paraauditar cadacomponente yárea según elnivel deriesgo
Idem
Julio Rito Vargas Avilés
LOGO Detección de riesgo
Circunstancias Riesgos
Software pirata • problemas legales• mala imagen ante clientes y proveedores.• susceptible a virus• falta de documentación• sin soporte técnico del proveedor
Inexistencia de metodologías o informalidad en su utilización(planeación, desarrollo, etc.)
• Trabajo desarrollado según criterio decada individuo.• Proyectos individuales y no de equipos• Seguimiento nulo o informal a los proyectos informáticos.• Dependencia de personal que maneja proyectos claves.• Se trabaja en base en “inspiración”
Julio Rito Vargas Avilés
LOGO Detección de riesgo
Circunstancias Riesgos
Comunicación nula o informal entre informática y Alta dirección
• Proyectos cancelados• Desconocimiento de los requerimientos de negocio.• Prioridades mal entendidas• Recursos desperdiciados• Incertidumbre entre el personal de la empresa en objetivos comunes.• Falta de compromiso de la alta dirección• Estrategias y objetivos de negocio no soportados por equipos de trabajo.• Amigos distantes.
Otros detectados en el diagnóstico
Julio Rito Vargas Avilés
LOGO Etapa de Adecuación
La etapa de adecuación o adaptación a lascaracterísticas del negocio se enfoca en el análisis,adecuación y actualización detallado de loselementos que intervienen en un proyecto deauditoría informática.
Esta etapa tiene por objetivo adaptar el proyecto deauditoría a las características del negocio, tomandoen cuenta los estándares, políticas, procedimientosde auditoría informática comúnmente aceptados.
Al terminar esta etapa el auditor informáticocontará con un proyecto bien especificado yclasificado.
Julio Rito Vargas Avilés
LOGO Etapa de Adecuación
Etapa Tareas Productos Resp. Involu-crado
Adecuación Definir objetivos del proyecto
Definir etapas del proyecto y sus detalles
Objetivos yalcances delproyecto.
Etapas y sustareas.Plan actualizado.Responsables einvolucrados.Productosterminados.Revisiones
LP
AI/RAIAIAIAI
AI
AI
RAI
LPLPLPLP
LP
LP
Julio Rito Vargas Avilés
LOGO Etapa de Adecuación
Etapa Tareas Productos Resp. Involu-crado
Adecuación Definir los elementos por auditar por área de revisión.
Establecer técnicas y herramientas por área de revisión
Aspectos oelementos aevaluar por cadaárea de revisión.
TécnicasSoftwareEquipo de cómputoOtros de interéspara el auditor
AI
AIAIAIAI
LP
LPLPLPLP
Julio Rito Vargas Avilés
LOGO Etapa de Adecuación
Etapa Tareas Productos Resp. Involu-crado
Adecuación Definición o actualización de políticas por área.
Elaboración o actualización de cuestionarios por área.
Políticas yprocedimientos porverificar deacuerdo con cadaárea que seráauditada.
Políticascomplementarias.
Cuestionario porcada área que seráauditada.
Cuestionariosadicionales
AI
AI
AI
RAI
LP
LP
LP
LP
Julio Rito Vargas Avilés
LOGO Etapa de Formalización
En esta etapa la alta direcciónda su aprobación y apoyoformal para el desarrollo delproyecto de A.I presentado
LOGO Etapa de Formalización
Etapa Tareas Productos Resp. Involu-crado
Formalización Verificar prioridades y cursos de acción
Verificar plan y actividades
Presentación formal del proyecto
Prioridadesclasificadas.Áreas por auditarverificadas.
Etapas y sus tareasPlan detallado final
Proyecto revisadode la AI
LPAI/LP
AI
RAI
RAI
LP
AD/PU/RI
Julio Rito Vargas Avilés
LOGO Etapa de Formalización
Etapa Tareas Productos Resp. Involu-crado
Formalización Aprobación formal del plan de A.I.
Presentación del proyecto a los usuarios de informática
Aprobación delproyectoCompromisoejecutivoInicio formal delproyecto.
Entendimiento delproyecto.Aceptación delproyectoCompromiso paracada una de lasáreas involucradas.
AD/PU/RI
AD
PI/PU
RI
PI/PU
PI/PU
RAI/LP
AD/PU/RI
AD/PU/PI
LP/AI
LP/AI
LP/AI
Julio Rito Vargas Avilés
LOGO Etapa de Formalización
Etapa Tareas Productos Resp. Involu-crado
Formalización Definir las áreas por visitar y concretar citas con el personal que se entrevistará
Fechas deentrevistas.Fechas de visitasFechas paraaplicación decuestionarios.
LP
LP
LO
PI/PU
PI/PU
PI/PU
Julio Rito Vargas Avilés
LOGO Etapa de Desarrollo
Ésta es la etapa cumbre parael auditor informático porqueéste ejerce su función demanera práctica. Ejecución delplan AI.
LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-crado
Desarrollo Concertar citas
Verificar tareas, involucrados, etc.
Clasificar técnicas, cuestionarios y herramientas por usar.
Ejecutar entrevistas
Fecha aprobada oactualizada
Tareas,involucrados, etc.revisados
Técnicas,Cuestionarios yHerramientasclasificadas
Entrevistasrealizadas,documentadas yanalizadas
AI
AI
AI/LP
AI/LP
PI/PU
PI/PU
PI/PU/AI/RAI
PI/PU/AI/RAI
Julio Rito Vargas Avilés
LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-crado
Desarrollo Aplicar cuestionarios
Efectuar visitas de verificación
Elaborar informe preliminar acerca de las áreas auditadas
Cuestionariosaplicados,documentados yanalizados.
Visitas realizadas,comentariosdocumentados yanalizados.
Observaciones,áreas deoportunidad,alternativas por cadaárea de oportunidad,recomendacionespor alternativas etc.
AI
AI
AI/LP
AI
LP
LP
LP
Julio Rito Vargas Avilés
LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-crado
Desarrollo Revisar el informe preliminar por área.
Autorizar el borrador del informe preliminar.
Efectuar entrevistas, cuestionarios y visitas complementarias
Borrador de A.Irevisado
Informe preliminarrevisado, corregido,entregado,autorizado.
Entrevistas,cuestionarios yvisitas pendientesrealizadas. Informeactualizado conobservaciones,acciones, etc.
LP
AI
LP/AI/ PU/PI
LP/AI
RAI/AI
LP/AD/PU
PI/PU
Julio Rito Vargas Avilés
LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-crado
Desarrollo Elaborar informe final
Informe finalrevisado coninformación de lasáreas auditadas.
Informe con VoBodel RAI
Informe finaldigitalizado.
Documentación parala AD.
Documentación delinforme para RI y PI
AI
RAI
AI
LP/AI
AI
LP
LP/AI
AI
RAI
LP
Julio Rito Vargas Avilés
LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-crado
Desarrollo Elaborar un plan de implantación general de acciones sugeridas.
Aprobar informe y plan de implantación
Acciones clasificadaspor plazossugeridos.
Costo/Beneficio delplan.
Informe de AI y plande implantaciónaprobado
AD/RI/PU
RAI
LP/AI
RAI
AD/RI/LP
RAI/LP/PI
Julio Rito Vargas Avilés
LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-crado
Desarrollo Presentación del informe de AI y del plan de implantación.
Aprobar informe final.
Informe finalpresentado a ladirección.Informe finalpresentado a PU y PI
Revisión del informede AIAprobación delinforme AICompromisoejecutivo.
RAI
LP/AI
AD/RI/PU
AD/RI
AD/RI
RAI/LP
AD/RI/PI
RAI/LP/PI
RAI/LP/PU
RAI/PU
Julio Rito Vargas Avilés
LOGO Etapa de Implantación
En esta etapa del proyecto lalabor el AI se convierte así, enuna labor de seguimiento ycontrol.
LOGO Etapa de Implantación
Etapa Tareas Productos Resp. Involu-crado
Implantación Definir requerimientos para el éxito del plan de implantación.
RRHH, tecnológicosy financierosrequeridos para eléxito de laimplantaciónsugerida por AI.Recursos aprobadosPersonal de trabajopara la implantación.Equipo de trabajoaprobado.Funciones yresponsabilidadesFechas de revisiónResultados esperadosAnálisis C/B revisadoInicio de laimplantación.
RI/PU
ADRI/PU
AD/RI
RI/PU
RI/PU
LP
RI/PU/LP
LP
LP
LP
LP/AI
LP
Julio Rito Vargas Avilés
LOGO Etapa de Implantación
Etapa Tareas Productos Resp. Involu-crado
Implantación Desarrollar el plan de implantación detallado
Plan de implantaciónrevisado según losresultados de laprimera tarea.
Plan de implantacióncorregido yactualizado.
Documentar planfinal.
Plan final aprobado.
PI
RI
AD
AD/RI
LP
RI/PU/LP
RI/PU/LP
RI/PU/LP
LP
Julio Rito Vargas Avilés
LOGO Etapa de Implantación
Etapa Tareas Productos Resp. Involu-crado
Implantación Efectuar la implantación sugerida por AI
Seguimiento a la implantación del plan recomendado por la AI
Inicio de losproyectos.Tareas terminadasPresentación deimplantación.Implantaciónaprobada.
Acciones deseguimientoseleccionadas.Seguimiento de laimplantación.Revisiones informalesRevisiones formalesAseguramiento de lacalidad.Implantación exitosafinal y aprobada
PI/PU
PI/PURI
AD/RI
LP
RAI
RI
RI
RI/RAI/LP
RAI/AI
RAI
Julio Rito Vargas Avilés
LOGO Proceso Metodológico de la A I.
Requisitos para el éxito del proceso metodológico:
Aprobación de la metodología por la Alta Dir.
Adecuación de la metodología a los requerimientos específicos del negocio
Documentación o actualización de la metodología.
Capacitación formal en el uso de metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado)
Verificación del uso formal de la metodología en cada proyecto.
Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodología.
Julio Rito Vargas Avilés
LOGO Proceso Metodológico de la A I.
Métodos, técnicas y herramientas por Areade revisión:
La AI depende de un conjunto de factores
interrelacionados. Conjugar y combinar
eficientemente estos factores brindará el
aseguramiento de resultados satisfactorio por
parte del desempeño de los AI.
Dominio de los conceptos técnicos y administrativos.
Relacionados con la AI.
Habilidades inherentes a la auditoría en informática.
Normas personales.
Entendimiento de la AI y sus tendencias.
Julio Rito Vargas Avilés
LOGO Proceso Metodológico de la A I.
Adaptación o actualización según el medio dominante.
Administración formal de la AI en el negocio.
Involucramiento formal en los procesos de planeación
del negocio, informática y de la auditoría tradicional.
Desarrollo de un proceso formal de planeación de AI
Entendimiento y aplicación de un proceso
metodológico formal de la auditoría en informática.
Vocación profesional por la AI (es un requisito moral,
no una política organizacional)
Julio Rito Vargas Avilés
LOGOTipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos
Auditoría de la gestión informática: Referido a la contratación de bienes y servicios que brinda por informática, unciones, control interno informático, estructura, relaciones con AD y PU, documentación de los programas, etc.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos, respaldo y recuperación.
LOGO Tipos de Auditoría informática
Auditoría informática de sistemas: revisión de los sistemasde información actuales, tanto a nivel hardware comosoftware, con objeto de descubrir potenciales puntos demejora y determinar en qué modo debería actuarse paramejorar tanto éstos como otros aspectos.
Auditoría informática de explotación: revisión de todos losprocesos encargados de producir resultados, entre ellos lacaptura de la información, los sistemas hardware deexplotación, los recursos humanos de explotación y otros.
Auditoría informática de comunicaciones: revisión de latopología de Red y determinación de posibles mejoras, análisisde caudales y grados de utilización.
LOGO Tipos de Auditoría informática
Auditoría informática de desarrollo: revisión del procesocompleto de desarrollo de proyectos por parte de la empresaauditada. El análisis se basa en cuatro aspectosfundamentales: revisión de las metodologías utilizadas, controlinterno de las aplicaciones, satisfacción de los usuarios ycontrol de procesos y ejecuciones de programas críticos.
Auditoría informática de seguridad: abarca los conceptosde seguridad física y seguridad lógica. La seguridad física serefiere a la protección del hardware y de los soportes de datos,así como a la de los edificios e instalaciones que los albergan,contemplando las situaciones de incendios, sabotajes, robos,catástrofes naturales, etc.
LOGO
www.jrvargas.wordpress.com
Julio Rito Vargas Avilés