Etapa de justificacin Cap.

ETAPA DE JUSTIFICACIN
En sta etapa se legitima la revisin o evaluacin de las reas o funciones crticas relacionadas con informtica. Define las reas que sern auditadas Establece las tareas, tiempos, responsables, involucrados, etc. Vo.Bo. Del Plan de auditora

ETAPA DE JUSTIFICACIN
Productos terminados: Deteccin de riesgos Matriz de riesgos: anlisis de riesgos y reas de oportunidad Plan de auditora en informtica: Definir responsables y tiempos. Compromiso ejecutivo.

Tareas

y Productos de la etapa de justificacin

Reporte de deteccin de riesgos. Matriz de riesgos Justificacin de la matriz de riesgo Plan general de informtica. Plan aprobado.

Realizar la tabla de deteccin de riesgos por rea. Realizar la matriz de riesgos Justificar la auditora por rea de revisin Realizar el plan de auditora. Aprobacin del plan

REAS DE OPORTUNIDAD PARA LA FUNCIN DE INFORMTICA

Uno de los aspectos relevantes del diagnstico actual es que orienta al auditor en SI a vislumbrar ciertas reas de oportunidad para mejorar alguna funcin especfica del negocio.

ETAPA DE JUSTIFICACIN

REAS DE OPORTUNIDAD PARA LA FUNCIN DE INFORMTICA

Existen muchas razones para que un auditor De SI tome en cuenta las reas de oportunidad expresadas por la alta direccin, usuarios clave y el responsable de informtica :

La principal es que estas personas viven y dedican gran parte de su tiempo al negocio, por lo que conocen mejor que nadie sus fortalezas, debilidades y tipo de soluciones

ETAPA DE JUSTIFICACIN

REAS DE OPORTUNIDAD PARA LA FUNCIN DE INFORMTICA

Ejemplos de proyectos que son responsabilidad de informtica : Diseo, instalacin y mantenimiento de una red Mantenimiento de hardware Desarrollo de sistemas Soporte a usuarios (Help desk)

ETAPA DE JUSTIFICACIN

REAS DE OPORTUNIDAD PARA LA FUNCIN DE INFORMTICA

Ejemplos de proyectos de auditora, financiera, operativa etc.

Elaboracin y difusin de polticas y procedimientos. Evaluacin del cumplimiento formal del control interno.

ETAPA DE JUSTIFICACIN

reas de oportunidad
Elaboracin, formalizacin y difusin de polticas y procedimientos de informtica (funciones, servicios, tcnicas, herramientas de productividad) Elaboracin o adquisicin del plan de contingencias para informtica. Evaluacin del hardware. (compatibilidad, tipo de uso y aprovechamiento) Evaluacin del software.

 Evaluacin y seleccin de hardware y software de acuerdo a polticas del negocio. Apoyo a informtica con un enfoque de seguridad, calidad y control. Apoyo a auditoras en la implantacin de los controles y procedimientos de un SI prximo. Apoyo a auditoras con un enfoque de seguridad, calidad y control. Algunos proyectos de oportunidad vistos en la etapa preliminar sern realizados por la funcin de informtica otras reas, no por la auditora en informtica.

Proyectos que son responsabilidad de informtica.

Diseo, instalacin y mantenimiento de una red de comunicaciones. Investigacin de tecnologa (hardware, software, etc.) Capacitacin en el uso de metodologas de desarrollo de sistemas. Capacitacin en el uso de nueva tecnologa de informtica en el negocio. Mantenimiento de hardware Actualizacin de software Desarrollo e implantacin de sistemas. Soporte a usuarios.

Proyectos que son responsabilidad de auditoras financieras, operativas, administrativas.

Elaboracin y difusin de polticas y procedimientos de control interno. Evaluacin del cumplimiento formal del control interno. Auditora a sistemas de informacin (contabilidad, inventarios, inversiones, etc.) Establecimientos de control y procedimientos operativos a sistemas de informacin antes de implantarse.

DETECCIN DE RIESGOS

Matriz de riesgos, justificacin por rea de revisin.

Objetivo:

Debilidades que pueden motivar la auditora SI.

Detectar las reas de mayor riesgo en relacin con informtica y que requieren una revisin formal y oportuna.

Clasificacin de riesgos que presenta el uso de hardware y software. Evaluacin del nivel de riesgo que representa el uso inadecuado de los productos y servicios por el personal de informtica y usuarios dentro de la organizacin

CLASIFICACION DE RIESGOS QUE REPRESENTA EL USO DE HW Y SW

Aqu se pueden auditar los equipos de cmputo y paquetes de software que dan soporte a los sistemas crticos del negocio; o bien se audita de manera peridica el mantenimiento y administracin de centros de cmputo. La capacidad de los equipos, cantidad de unidades (discos, cintas, terminales, etc.)los tipos (computadoras personales, etc.), distribucin fsica de desempeo de los mismos son datos que pueden determinar la secuencia y grado de intensidad con que se audita el HW.
ETAPA DE JUSTIFICACION

El uso y propsitos de los paquetes de software, la existencia de procedimientos y polticas de evaluacin y adquisicin del mismo, as como la estandarizacin de paquetes, apoyan al auditor en la programacin de los proyectos de auditora.

ETAPA DE JUSTIFICACION

EVALUACIN DEL NIVEL DE RIESGO QUE REPRESENTA EL USO INADECUADO DE LOS PRODUCTOS Y SERVICIOS POR EL PRESONAL DE INFORMTICA Y USUARIOS DENTRO DE LA ORGANIZACIN.

Esto se refiere bsicamente al grado de conocimiento que posee sobre el uso de los servicios, software y hardware, los puntos que pueden servir para la auditora son los organigramas la descripcin de los puestos, procedimientos y polticas que se relacionan con los productos y servicios de informtica.

CLASIFICACIN DE LOS RIESGOS SEGN CRITERIOS ESTABLECIDOS POR LA FUNCIN DE AUDITORA DE SI

Cumplimiento de estndares comnmente aceptados a nivel nacional e internacional. Cumplimiento formal de procedimientos y polticas. Grado de satisfaccin de alta direccin y del personal usuario. Prioridades de la alta direccin / Prioridades de la funcin de informtica. Prioridades de la funcin de auditora de SI. Otros de inters especfico del auditor de SI en el momento de llevar a cabo la evaluacin.

ETAPA DE JUSTIFICACION

ELABORAR UNA MATRIZ DE RIESGOS Y PRONSTICOS DE PROYECTOS DE AUDITORA DE SI CON LA GERENCIA O DIRECCIN A LA QUE REPORTA DIRECTAMENTE LA FUNCIN DE AUDITORA SI

Dicha matriz muestra los resultados en orden descendente. Indica el rea con el valor ms alto de riesgo hasta la de menor riesgo.

ETAPA DE JUSTIFICACION

REVISION DE LA MATRIZ DE RIESGOS Y PRONSTICOS DE PROYECTOS DE AUDITORA DE SI CON LA GERENCIA Y DIRECCIN A QUE REPORTA DIRECTAMENTE LA FUNCIN DE AUDITORA DE SI

Se ejecuta de manera oportuna y formal con el fin de que se de el visto bueno o se lleven a cabo las adaptaciones o mejoras. Elaborar un plan cubriendo los siguientes puntos: reas por auditar / prioridad / fecha de inicio y termino / fechas de revisin formales e informales / Involucrados / Responsables. Otros de inters particular del auditor en informtica al efectuar estas reas.
ETAPA DE JUSTIFICACION

Empresa Representante Usuario:

Gerencia Responsable de Informtica:

Fecha de Elaboracin Lder de Proyecto:

reas susceptibles de auditar

Administracin de la informtica

Aspectos o componentes por evaluar del rea

1.- Misin y objetivos 2.- Organizacin 3.- Servicios 4. Parmetros de revisin

Riesgo por componente

Clasificacin del riesgo por rea

rea por auditar segn clasificacin

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Direccin y niveles ejecutivos

1.-Seguimiento a la funcin de Informtica 2.- Comunicacin e Integracin 3.- Apoyo a toma de decisiones 1.- Comunicacin e Integracin 2.-Proyectos Conjuntos 3.- Administracin de Recursos de Informtica 4.- Grado de Satisfaccin 1.- Polticas y Procedimientos

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Usuarios de Informtica

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Control Interno

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Ciclo de Implantacin de Sistemas

1.- Metodologa 2.- Tcnicas 3.- Herramientas 4.Capacitacin/Actualizacin

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Empresa Representante Usuario:

Gerencia Responsable de Informtica:

Fecha de Elaboracin Lder de Proyecto:

reas susceptibles de auditar

Mantenimiento

Aspectos o componentes por evaluar del rea

1.- Hardware 2.- Software 3.- Sistemas de Informacin 4. Telecomunicaciones 1.-Administracion 2.- Instalacin 3.- Operacin / Seguridad

Riesgo por componente

Clasificacin del riesgo por rea

rea por auditar segn clasificacin

Hardware Software S.I

50 40 10

60

Redes Locales

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Telecomunicaciones

1.-Administracion 2.- Instalacin 3.- Operacin / Seguridad

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Hardware, computadoras Personales, Minicomputadoras y Mainframes

1.-Administracion 2.- Instalacin 3.- Operacin / Seguridad

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

Software, Paquetes de uso generalizado, lenguajes de programacin, sistemas operativos, Paquetes de uso especifico

1.-Administracion 2.- Instalacin 3.- Operacin / Seguridad 4.Capacitacin/Actualizacin

Secuencia sugerida por auditar cada componente y rea segn nivel de riesgo estimado

MATRIZ DE RIESGOS.
Empresa: Representarte Usuario: Gerencia: Responsable de Informtica: Fecha de Elaboracin: Lder del Proyecto: reas susceptible de auditoria Aspectos o componentes por evaluar del rea. Riesgo por componente Clasificacin del riesgo por rea (Total) rea por auditar segn clasificacin.

Seguridad

1.- Hardware. 2.- Software/aplicacin 3.- Plan de contingencias de recuperacin.

%
% % %

secuencia sugerida por auditar cada componente y rea segn el nivel de riesgo estimado.

Plantacin de informtica

1.- Metodologas. 2.- Tcnicas. 3.- Herramientas. 4.capacitacin/actualizaci n.

% % %

secuencia sugerida por auditar cada componente y rea segn el nivel de riesgo estimado.

Investigacin tecnolgico : CASE, EDI, Multimedia ,etc.

% 1.- Administracin. 2.- Instalacin 3.- Operacin/seguridad. % % %

secuencia sugerida por auditar cada componente y rea segn el nivel de riesgo estimado.

Otros de inters especifico para el auditor de informtica .

% 1.-Consideraciones generales. %

secuencia sugerida por auditar cada componente y rea segn el nivel de riesgo estimado.

ETAPA DE JUSTIFICACIN

Aspectos relevantes
Identificacin del nivel de riesgos de cada uno de los elementos que integran la funcin de informtica en el negocio a travs del diagnstico de la situacin actual de informtica. Las reas que sern diagnosticadas varan segn el tamao y estructura del negocio, originando que el ASI. Evale con un enfoque centralizado o descentralizado, segn el caso. Clasificacin de los riesgos segn criterios establecidos por la funcin de auditoria en informtica. Cumplimiento de estndares comnmente aceptados a nivel nacional e internacional. Cumplimiento formal de polticas y procedimientos. Grado de satisfaccin de la alta direccin y del personal usuario. Prioridades de la alta direccin / prioridades de la funcin de informtica.

 El auditor debe utilizar todos los parmetros de medicin y evaluacin posibles sin caer en un anlisis detallado, ya que aqu slo se trata de detectar la problemtica principal de cada rea. Si surgen anomalas de consideracin importante de algn elemento evaluado, se debe tomar acciones inmediatas orientadas a eliminarlas o al menos minimizarlas. Determinar el nivel de riesgos que existe en cada rea de la funcin de informtica: cada rea, producto o servicio de informtica es susceptible de evaluacin y control para asegurar que se desarrolle de acuerdo con los estndares, polticas y procedimientos especficos que le han sido asignados de acuerdo con su funcin

Consideraciones que se deben de tomar en cuenta al elaborar la matriz de riesgos

Aspectos (componentes o elementos) por evaluar Polticas y procedimientos recomendados Tcnicas y herramientas requeridas para su revisin. Cuestionarios por cada aspecto(subrea) por evaluar.

 Clasificar cada rea y sus componentes por nivel de riesgos(LP,AI,U,AD) Dar prioridades a cada rea de revisin de acuerdo con el nivel de riesgos o por factores especficos mencionados por AD otros. Justificar cada una de las reas seleccionadas por auditar.(debe basarse por el nivel de riesgo que representa, de acuerdo a prioridades establecidas por los involucrados de alto nivel o a solicitud expresa de la AD o Informtica

Actividades principales del auditor SI

Estimar el tiempo necesario para auditar cada rea determinada en la matriz de riesgo. Analizar y definir los aspectos o componentes mas relevantes que de evaluaran.

Asignar prioridades a cada rea por evaluar o revisarlas con los principales involucrados.
Definir fechas estimadas de inicio y terminacin por rea de revisin, no por componente. Definir responsables e involucrados directos por etapa del proyecto.

Plan general del proyecto de auditora SI

Consiste en plantear las tareas ms importantes que se ejecutarn durante cierto periodo al efectuar la auditora SI.

El Plan se deriva de los siguientes elementos: reas de oportunidad Matriz de riesgos Prioridades de la alta direccin, de auditora SI e informatica.

ELABORACION DE PLAN CONSOLIDADO DE PROYECTOS:

Fecha de inicio y terminacin de cada / Etapas de auditora. Tareas principales de cada etapa / Equipo de trabajo (auditor representante de informtica de las reas usuarias). Requerimientos (recursos, apoyo de la direccin, capacitacin, material de SI, entre otros).

Plan General de Auditoria en Informtica (etapa de justificacin) Empresa: Gerencia: Fecha elaboracion: Lder auditora Fecha inicio/ Fecha final(estimada s)

Representante usuario: rea por auditar segun clasificacin y prioridades.

Representante informatics: Prioridad asignada

Aspectos o componentes a auditar.

clasificacin del riesgo por rea.(total)

rea Seleccionada. Area Seleccionada Area Seleccionada

Componentes seleccionados. Componentes Seleccionadas. Componentes Seleccionados.

Nmero

dd/mm/aa

Nmero

dd/mm/aa

nmeros

dd/mm/aa

ETAPA DE JUSTIFICACIN

PLAN GENERAL DEL PROYECTO DE AUDITORA EN INFORMTICA.

Una vez elaboradas, revisadas y documentadas la matriz de riesgos (de acuerdo con los riesgos mas relevante) y las reas de oportunidad, se produce a la formulacin del plan general de informtica, el cual consiste bsicamente en programar las revisiones a reas de informtica generadas de la matriz de riesgos. Las principales aspectos que se deben contemplar al elaborar el plan general de auditoria de SI: Tomar como referencia los datos recomendadas en el proceso metodolgico mencionado Cap... 6. El plan general de auditoria SI. El plan detallado se lleva a cabo, posteriormente, en la etapa de adecuacin.

ETAPA DE JUSTIFICACIN

Las actividades principales del auditor de SI o del lder del proyecto para que estos elaboren el plan general son al menos las siguientes.

Estimar el tiempo necesario para auditar cada rea determinada en la matriz de riesgo. Analizar y definir los aspectos o componentes mas relevantes que se evaluaran. Si es necesario verificar la importancia y validez de los puntos anteriores. Asignar prioridades a cada rea por evaluacin o revisarlas con los principales involucrados. Definir fecha estimadas de inicio y terminacin por rea de revisin. Establecer fecha de revisin formal (firmas, aprobaciones). Definir responsables e involucrados directos por etapas del proyecto.

ETAPA DE JUSTIFICACIN

Compromiso ejecutivo
Objetivo: es obtener el visto bueno o aprobacin inicial de:
La alta direccin Usuarios claves. Responsable de informtica Con el fin de continuar con el proyecto de auditora SI.

 Presentacin del plan con la informacin de soporte requerida bien documentada con los principales involucrados: Resumen del diagnstico actual reas de oportunidad Matriz de riesgos Prioridades Plan general objetivo, especfico y fechas de inicio y terminacin por reas

Aspectos Fundamentales para lograr el compromiso ejecutivo

 Justificar cada una de las reas por auditar con datos concretos y bien documentados. Lograr la concientizacin del compromiso requerido de la alta direccin, para los objetivos de auditora. Aprobacin (firma) formal del plan general.