PLANEACIN
1. 2. 3. 4. Proceso de planeacin del negocio. Proceso de planeacin en informtica. Proceso de planeacin de la auditora. Proceso de planeacin de la auditora en informtica.
Planeacin
La funcin de auditoria en informtica debe generar un plan de proyectos que justifique su trabajo durante cierto tiempo, con parmetros lo ms tangibles y mensurables posibles.
Cada proyecto de AI respalda los objetivos y requerimientos de tres entidades del negocio en alto o bajo grado: Alta Direccin, Auditoria e Informtica.
Es muy importante la comunicacin entre la funcin de auditoria en informtica y la alta direccin, as como las direcciones o gerencias de auditoria o informtica. Para elaborar un plan maestro de auditoria que asegure un apoyo permanente y eficiente, se debe tener en cuenta: - Crear un comit de control y seguimiento
- Analizar los proyectos de negocio en forma conjunta. - Establecer fechas de reuniones formales e informales
Cualquier entidad privada o pblica de distintos tamaos y estructura organizacional debe formalizar el plan del negocio, ya que aqu se define el rumbo del mismo.
Los proyectos que se deriven de este proceso deben contemplar que:
Es un proceso que involucra todas las reas del negocio. Se evala el medio externo en sus diferentes entornos. Se apoya en asesores externos o especialistas del negocio. Detecta fortalezas, debilidades y oportunidades. Determina amenazas que representa la competencia. Determina metas y estrategias del negocio. Los proyectos se establecen a corto, mediano y largo plazo. Es aprobado por los accionistas o dueos del negocio. Etc.
Presentacin del plan Director o gerente a los accionistas o de planeacin director general Ejecucin del plan de Gerente o negocio coordinadores de cada rea o proceso bsico del negocio.
Accionistas o alta Se realice al inicio direccin del negocio del periodo fiscal y se autoriza formalmente Alta direccin o gerente de planeacin Cada rea ejecuta los proyectos
El periodo de elaboracin o actualizacin del plan de negocio depende de las estrategias y formalidades que tenga este proceso en cada negocio.
Se recomienda que, despus de haber sido aprobado de manera formal por los accionistas, se ejecute con eficiencia y se actualice al menos cada ao; esta actualizacin debe estar de acuerdo con las estrategias y metas del negocio y autorizada por la alta direccin.
Verificar el anlisis costo-beneficio de cada proyecto Funciones hechas por el mismo personal o externos
Gerente o Supervisores
La funcin de auditoria se ocupa de la planeacin, ejecucin y seguimiento de las polticas, controles y procedimientos establecidos por la alta direccin.
Determinacin de las reas por auditar en el negocio Elaboracin del Plan en Auditoria Informtica Ejecucin del Plan en Auditoria en Informtica Presentacin del Plan a la alta direccin
Coordinador o supervisor de auditoria en informtica Coordinador o supervisor de auditoria en informtica Director o Gerente de auditoria en Informtica Supervisor o auditores de Informtica (externos o internos)
Identificar el nivel de Riesgo de cada uno de los elementos que integran la funcin de informtica (diagnstico de la situacin actual).
Las reas a ser diagnosticadas pueden variar de acuerdo al tamao y estructura del negocio.
El auditor en informtica ha de conocer de manera aceptable los aspectos relativos a auditora e informtica que deben tener cada una de las reas de Informtica. Se apoyar en la visin de los principales Usuarios del negocio y del responsable de Informtica.
Debilidades que pueden motivar la Auditoria de un SI Primero: Que el sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento. Segundo: Que el sistema nunca haya sido auditado, esto sugiere una auditoria inmediata, intermedia o final.
en un ambiente
Evaluacin del nivel de Riesgo que representa el uso inadecuado de Productos y Servicios
Se refiere al grado de conocimiento sobre uso de servicios, Sw y equipos. Informacin de apoyo: Organigramas, descripcin de puestos y polticas relacionadas a productos y servicios de informtica. Se debe determinar el grado de confianza del usuario con el manejo del sistema, paquetes de Sw y equipos.
Considerar la proyeccin de uso que piensa darle el negocio a corto, mediano y largo plazo. Tener en cuenta comentarios especializado en el rea. de personal
Muestra las reas de la funcin de informtica susceptibles de auditoria. Resultados en forma descendente.
Planeacin
Proceso de Planeacin, pilar de todas las actividades que se ejecutan en la organizacin
Prdidas Irreparables - Decepciones Planear es una prdida de tiempo y un recipiente de buenos deseos. Si no se planea el trabajo, es lgico pensar que tampoco se planean las anomalas y decepciones que dicho trabajo acarrear.
Planeacin
Problema, proyectos mediano-largo plazo: Falta de definicin de funcin, responsabilidad, tiempos ni resultados. Dejemos de depender de la buena suerte No se vive de buenos deseos sino de metas claras, medibles y factibles. Principal Beneficio: Poder asegurar, con alto grado de credibilidad, cunto invertir y cunto se obtendr de beneficio; plazos claros y establecidos.
Planeacin
Un proceso formal contiene los siguientes elementos: Etapas Tareas Actividades Costos/Beneficios Resultados esperados por actividad, tarea y etapa Responsables de cada actividad tarea Involucrados participantes Revisiones Formales e informales Tcnicas para ejecutar actividades Herramientas para realizar las actividades del proyecto
Planeacin
Requisitos mnimos para que la planeacin en auditora informtica sea formal, permanente y exitosa: Involucramiento directo del auditor en informtica en el proceso de planeacin estratgica
Requerimientos Tiempos Prioridades de cada proyecto
Compromiso del responsable de auditora para implementar un esquema de control y seguridad preventivo y completo.
Planeacin
Participacin en el proceso de planeacin de auditora tradicional, para hacer control y medidas correctivas.
Beneficios de la participacin, supresin: Riesgos de no planear la auditora Responsables de tareas inadecuados Falta de compromiso de los involucrados en el proyecto Aparicin de costos imprevistos Retrasos en la obtencin de beneficios Mala calidad en los resultados Rotacin del personal clave Inadecuada segregacin de tareas y actividades,
Aprobacin formal de la Alta Direccin del informe final de la Auditoria en Informtica realizada
Se dar seguimiento oportuno y formal a cada una de las recomendaciones contempladas en el informe. Aplicacin de Polticas internacionalmente. y controles estandarizados
Negocio
Adquirir empresas Reduccin de costos Reingeniera Informtica Automatizacin de oficinas Red Local Desarrollo de sistemas Informtica Informtica Informtica Proveedores, reas usuarias Proveedores, usuarios de la red reas usuarias, asesores
Responsables
Involucrados
Financiera
Fiscal
reas de la empresa
reas de la empresa
Operativa
Auditora en informtica Auditora a sistemas de informacin
reas de la empresa
Auditora en seguridad
Auditora en el mantenimiento de Hw y Sw
Metodologa
Ventajas
Eliminacin de Informalidad
Facilidad de Seguimiento
Requisitos de xito
Adecuacin a requerimientos del negocio
Capacitacin en la metodologa
Planes AI acordes
Comprobacin de uso
- Negocio
- Informtica
- Areas a Auditar
- Plan propuesto
Revisin Informal
Adecuacin
Formalizacin
- Mtodos
- Tcnicas - Herramientas
- Aprobacin
- Arranque
Revisin Formal
Desarrollo - Entrevistas Aprobacin Formal - Visitas - Observaciones Implantacin - Acciones Preventivas y Correctivas - Recomendaciones - Informe de auditora
- Seguimiento
Resumen
Objetivos de la metodologa de AI
Definir clara y detalladamente los requerimientos y condiciones que justifiquen cada proyecto . Las debilidades o carencias de polticas y procedimientos existentes en las reas relacionadas con informtica que generen necesidades de una auditoria. Responder a una solicitud expresa de la alta direccin para auditar la funcin de informtica en alguno de sus componentes Definir etapas o secuencias del proyecto (evaluacin preliminar, adecuacin, justificacin, formalizacin, desarrollo, implantacin) Especificar funciones y responsabilidades del personal que participar en los proyectos de AI (usuarios, lider, personal apoyo y auditor). Definir tcnicas y herramientas mnimas para cada etapa del proyecto de AI (muestreos, entrevistas, cuestionarios, inspeccin, observacin, documentacin, sw de auditora, anlisis de procesos de negocios, anlisis de sistemas, lenguajes de programacin, paquetes y equipos de computo).
Resumen
Herramientas de la metodologa de AI
Auditorias peridicas establecidas en la empresa formalmente. Auditorias emanadas de manera excepcional de factores no considerados en el plan de auditoria en informtica desde el inicio.
Actividades de apoyo a la auditoria tradicional en la revisin de sistemas de informacin, aspectos de seguridad, etctera
Los elementos que intervienen en cada proyecto que vaya a ejecutar el auditor en informtica debern orientarse a integrar tanto los aspectos metodolgicos, como los recursos humanos, econmicos y materiales.
2. Diagnstico de Informtica
2.1 Misin y objetivos de la funcin de informtica 2.2 Organizacin de informtica 2.3 Control 2.4 Productos y servicios
RI RI RI/PI RI
LP/RAI
AD/PU/RI
Nomenclatura: AD alta direccin; PU personal usuario; RI responsable del rea de informtica; PI personal de informtica; RAI= responsable del rea de auditora en informtica; LP lider del proyecto de auditora en informtica; AI auditor de informtica.
Apoyo al negocio
Obtener una idea global del grado de apoyo y satisfaccin que existe en el negocio y de la orientacin de la funcin informtica: Apoyo a alta direccin (SI estratgicos), apoyo a las gerencias (SI integrales), apoyo a niveles operativos (SI transaccionales)
Aspectos a conocer: -Participacin de la funcin informatica en los pys. clave -Difusin de las polticas y planes informticos en los niveles del negocio -Imagen de informtica ante la alta direccin y los responsables de rea -Grado de satisfaccin y expectativas -Fortalezas y debilidades de informtica -reas de oportunidad -Otros
reas de oportunidad
Deteccin de las caractersticas que facilitarn la implantacin de soluciones informticas de relevancia para el negocio Proponer acciones que redunden el beneficios directos para la alta direccin (a corto, mediano largo plazo).
Aspectos a considerar: -Reubicacin de la funcin informtica en la estructura organizacional -Actualizacin tecnolgica -Sistematizacin de algunas reas de negocio -Formulacin/Divulgacin de polticas y planes informticos -Otros
SERVICIOS
-Implantaciones de soluciones de informacin -Evaluacin, adquisicin, instalacin, mantenimiento y reemplazo de H&S -Mantenimiento -Soporte a usuarios -Investigacin -Otros
ASPECTOS DE CONTROL
-Polticas y procedimientos de organizacin de la funcin informtica. -Descripcin de puestos y funciones -Evaluacin de desempeo -Polticas y procedimientos para el desarrollo e implantacin de sistemas -Polticas y procedimientos de seguridad -Polticas y procedimientos de mantenimiento -Plan de contingencias -Otros
AREAS DE OPORTUNIDAD
Capacitacin o actualizacin profesional del personal de informtica. -Creacin y difusin de nuevos servicios de informtica al negocio -Reubicacin de la funcin informtica en la estructura organizacional -Capacitacin a los niveles ejecutivos o a los usuarios clave acerca de las aplicaciones instaladas -Actualizacin tecnolgica -Sistematizacin de algunas reas de negocio -Creacin de algn comit de informtica -Formalizacin y divulgacin de polticas y planes de informtica en el negocio -Otras
ETAPA DE JUSTIFICACION