tecnologa, mtodos, tcnicas y herramientas relacionadas con las computadoras y el manejo de la informacin. Desarrolla en las organizaciones anlisis, evaluacin, seleccin, implantacin y actualizacin de los recursos humanos tecnolgicos.
Componentes fsicos tangibles de las computadoras - Computadores - Redes (locales, abiertas,) - Perifricos y Dispositivos mviles - Comunicaciones Parte lgica de la computadora Software de Aplicaciones Administrativos Financieros De manufactura Otros Software Ofimtico y Personal Hojas Calculo Procesadores de textos Otros Software de Sistemas Operativos Para computadoras Para Dispositivos mviles Software de Programacin Lenguajes de cuarta / quintageneracin
Mdulos computacionales o manuales organizados e interrelacionados de una manera formal, para la administracin y uso eficiente de los recursos humanos, materiales financieros y tecnolgicos. Proporcionan a la alta direccin una serie de indicadores y acciones, encaminadas a la toma de decisiones, que apoyaran al negocio en el seguimiento de la rentabilidad y competitividad respecto a la competencia. Etapas, fases o mdulos para la creacin y desarrollo de proyectos Plan general y detallado Tareas y acciones Tiempos Aseguramientos de calidad Involucrados Etapas(Fases y mdulos) Revisiones de avance Responsables Recursos Requeridos Otros Conjuntos de procedimientos y pasos ordenados que se usan en el desarrollo e un proyecto
Analisis FORD Elicitacin, Diseo Anlisis costo/beneficio Programacin proyectos Documentacin Programacin softwar Modelacin de datos Procesos, entrevistas Otros
Conjuntos de elementos fisicos utilizados para llevar a cabo las acciones pasos y definidos en la tcnica. Procesador de textos Diagramadores Herramientas CASE Graficadores Impresoras Computadores personales Otros
Que es la auditora? Es la revisin independiente que realiza un auditor profesional, aplicando tcnicas, mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organizacin, as como dictaminar sobre el resultado de dicha evaluacin.
Muoz (2002,34)
Proceso formal y necesario para las empresas, que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Tareas Estudiar y actualizar permanentemente las tareas susceptibles a revisin Apegarse a las tareas que desempeen normas, polticas, procedimientos y tcnicas. Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables directos del negocio. Elaboracin del informe de auditoria (debilidades y recomendaciones) Tipos de Auditoria Tipos
Financi era Operac ional Sistem as Fiscal Admini strativa Calidad Social Es la revisin y evaluacin de: Controles Sistemas Procedimientos de informtica Infraestructura de cmputo de la organizacin o rea encargada del procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que sirve para la toma de decisiones. Auditoria en Informtica Proceso formal y necesario para las empresas, que tiene como fin asegurar que sus recursos informticos se empleen de manera adecuada. Su objetivo es Incrementar la satisfaccin de los usuarios de los sistemas informticos Capacitacin y educacin sobre controles en los Sistemas de Informacin Mejor relacin costo beneficio de los sistemas computarizados diseados e implantados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de la funcin informtica a las metas y objetivos de la organizacin
Minimizar existencias de riesgos en el uso de Tecnologas de informacin. Decisiones de inversin y gastos ms adecuados. Factores Econmicos Polticos Culturales Tecnolgicos Ecolgicos Sociales Organizacionales Elementos para facilitar el reposicionamiento de los negocios: Planeacin estratgica Evaluacin de los procesos y flujos de datos del negocio a travs de controles en los sistemas Investigacin de mercados Asimilacin de los aspectos social, cultural, politico, economico y tecnolgico. Compromiso de cada nivel con la calidad y satisfaccin del cliente.
Formalizar la auditoria en la organizacin a travs : Cursos de accin Presentar a la alta direccin Aprobacin del proceso Difusin de la auditoria informtica en las areas relacionadas Desarrollo del proceso de auditoria Proporcionar a la empresa o institucin un proceso de auditoria en informtica La seguridad , polticas y procedimientos se orienten hacia los recursos de informtica e informacin. Apoyando los objetivos del negocio Verificando el uso de tecnologa Proceso de evaluacin y justificacin Elaboracin y desarrollo formal de un proceso de planeacin Uso formal de metodologas, tcnicas y herramientas Desarrollo de un ambiente de profesionalismo y alta productividad 1. Que la alta direccin, usuarios y el personal de informtica reconozcan la necesidad de la AI. 2. Formalizar un procedimiento que divulgue los planes, objetivos, beneficios de la AI 3. Compromiso del personal y usuarios con el proyecto de AI, planeacin y desarrollo formal del mismo 4. El proceso de planeacin de la auditoria en informtica mediante proyectos Antecedentes Justificacin Objetivos y alcances Etapas Productos terminados Fechas de revisiones formales e informales Funciones y responsabilidades Costos /beneficios (cantidades aproximadas) Otros que se consideren relevantes para el auditor en informtica Auditora Interna y Externa. La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
La auditora externa es realizada por personas afines a la empresa auditada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.
Tipos de Auditora Informtica
Auditora Informtica de Seguridad. Permite detectar y prevenir intromisiones no autorizadas, espionaje a computadoras y/o redes computacionales, intromisin en centros de datos. Auditora Informtica de Datos. Observa los resultados que se producen como salida en los procesos computacionales. Auditora de Sistemas de Informacin. Se encarga de corregir los problemas que suceden en los sistemas informticos Evaluacin, verificacin e implantacin oportuna de los controles y procedimientos para el buen uso de la funcin informtica. Aseguramiento permanente del cumplimiento de los controles y procedimientos en los recursos y actividades informticas Evaluacin de las areas de riesgos de la funcin de informtica y su justificacin con la alta direccin Elaborar un plan de auditoria en informtica en los plazos determinados Obtener la aprobacin formal de los proyectos de plan y difundirlos Desarrollar la auditoria den informtica conforme normas y polticas estandarizadas Administrar o ejecutar de manera eficiente los proyectos Funciones A I Evaluar las polticas y normas de los sistemas de informacin, que estn acordes con las polticas generales de la empresa. Revisar el rea de informtica, sus empleados, sus funciones, la distribucin de tareas, el cumplimiento de objetivos. Evaluar las aplicaciones en funcionamiento. Verificar y comprobar la seguridad fsica y lgica.
Planeacin Matriz de planificacin de A I Informacin de los sistemas Coordinacin con alta direccin, informtica y usuarios Personal Seleccin de personal adecuado con destrezas y habilidades Preparacin suficiente en informtica y auditoria
Control Supervisin oportuna , Verificacin con los estndares y procedimientos Seguimiento del Desempeo Para evaluar : Productividad y calidad de los proyectos Resultados y Avances de los proyectos Areas susceptibles de control y seguimiento Sntomas de Necesidad de una Auditoria Informtica. Sntomas de descoordinacion y desorganizacin Sntomas de mala imagen e insatisfaccin de los usuarios Sntomas de debilidades econmico-financieras Sntomas de inseguridad y riesgos Perfil del Auditor de Sistemas. 1. Formacin universitaria, en Informtica. 2. Slida experiencia en desarrollo y 3. programacin de sistemas. 4. Dominio de las tcnicas de auditoria computacional. 5. Especializacin en funcin del entorno empresarial, Gestin del cambio, Calidad total. 6. Actuacin anterior en estudios de Auditora o en auditorias internas. 7. Excepcionales condiciones personales para tratar con los sectores auditados. tica, idoneidad y normas profesionales 8. Alta adaptacin a los cambios tecnolgicos y metodolgicos.
Planeacin de la auditora en informtica La funcin de Auditora Informtica debe generar, como todas las reas del negocio, un plan de proyectos que justifique el trabajo durante cierto periodo Con el fin de que esta funcin se evale segn su desempeo, con parmetros tangibles y mesurables Importancia de la Planeacin de la auditora en informtica Alta direccin: Seguimiento a proyectos informticos. Verificacin y aseguramiento del cumplimiento de polticas
Auditora: Apoyo a la auditora financiera (polticas, controles y procedimientos). Capacitacin para auditores (en software y hardware).
Informtica: Polticas, controles, procedimientos y estndares (referentes a informtica), nueva tecnologa, desarrollo e implantacin de soluciones. Consiste en determinar las estrategias y cursos de accin del negocio Se establece mediante entrevistas y anlisis detallado de cada proceso bsico de la organizacin. Plan de negocio Consiste en definir el conjunto de proyectos relacionados con la funcin de informtica, a corto, mediano y largo plazos. Cada proyecto debe estar orientado a objetivos y estrategias especficos del negocio (los cuales fueron definidos en el plan de negocio). Plan de informtica Consiste en definir un conjunto de proyectos de evaluacin y verificacin de polticas, controles y procedimientos propios de las reas administrativas, financieras, operativas, etc., del negocio Con objeto de asegurar el buen manejo y administracin de los recursos de la organizacin. Plan de auditora Consta de la definicin y formalizacin de proyectos, orientados primordialmente al aseguramiento de la calidad y control de los diferentes elementos que se encuentran relacionados con los recursos de informtica. Plan de auditora informtica Este proceso de planeacin depende en gran medida del diagnstico previo que lleve a cabo el auditor en informtica sobre la situacin que prevalece en cada una de las reas o servicios de la funcin de informtica. Tambin se deben considerar las necesidades o prioridades que tenga la alta direccin de auditar o evaluar un rea especfica de informtica. Para el plan de auditora informtica Diagnstico de la situacin actual de los sistemas de informacin en operacin Debilidades que pueden motivar la auditora de un sistema de informacin Clasificacin de riesgos que representa el uso de hardware y software en la organizacin Evaluacin del nivel de riesgo que representa el uso inadecuado de los productos y servicios por el personal de informtica y usuarios dentro de la organizacin Otros aspectos: Telecomunicaciones, EDI (intercambio electrnico de datos), automatizacin de procesos, CASE Clasificacin de los riesgos segn criterios establecidos por la funcin de auditora informtica. Elaboracin de una matriz de riesgos que muestre las reas de la funcin de informtica susceptibles de una revisin por parte de auditora en el siguiente periodo Elaboracin de un plan consolidado de proyectos Revisin de la matriz de riesgos y del pronstico de proyectos de auditoria en informtica con la gerencia o direccin a la que reporta directamente la funcin de informtica Presentacin del plan de proyectos de la funcin de auditora en informtica a la alta direccin Realizacin de cada uno de los proyectos de acuerdo con el plan de auditora en informtica Integracin y formalizacin de equipos de trabajo Aprobacin formal de la alta direccin del informe final de la auditora en informtica realizada 1. Identificar el origen de la auditora 2. Realizar una visita preliminar al rea que ser evaluada 3. Establecer los objetivos de la auditora 4. Determinar los puntos que sern evaluados en la auditora 5. Elaborar planes, programas y presupuestos para realizar la auditora
6. Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora
7. Asignar los recursos y sistemas computacionales para la auditora FIN
COMPARACIONES
IDEAL REAL
DIFERENCIA
OBSERVAC IONES
Figura 1. Esquema del concepto clsico de Auditora AUDITORA GESTIN DE LAS TECNOLOGAS
Comparaciones
Gestin IDEAL de las Gestin REAL de las Tecnologas de Informacin Tecnologas de Informacin Diferencias RIESGOS CONTROLES Figura 2. Esquema de Auditora Informtica de la gestin de tecnologas de informacin CONTROLES cmo eliminarlos, transferirlos, reducirlos RIESGOS Proceso de Benchmarking Estndares Internacionales COBIT NAGU MAGU Normas legales, etc. MEJORES PRCTICAS Figura 3. Esquema de implementacin de controles Trabajo en Equipo Avance Tecnolgico Cotos de la Tecnologa Competencia
L
Leyes
Procesos de Negocio
Estndares
Lmite del rea de Sistemas/ Informtica/ Telemtica/ Teleproceso de la Entidad
Idiosincrasia de la TI
Polticas
Catstrofes
Figura 4. Visin sistemtica de la auditora informtica >>> AUDITORA A LA GESTIN DE LAS TECNOLOGAS Y SISTEMAS DE INFROMACIN GESTIN DE LA TECNO OGA DE LA INFORMACIN IDEAL REAL
Cultura Organizacional Qu controles implementar Procedimientos Cultura RIESGO CONTROL Organizacional Para controlar riesgos Infraestructura Tecnolgica EFECTOS: Comparar Seguridad DESARROLLO DE Fiabilidad CONFIABILIDAD EN SISTEMAS DE Conformidad EL USO DE TI INFORMACIN
ADMINISTRACIN MEJORES COBIT, DE LOS RECURSOS PRCTICAS ISACAF CAMBIOS DE TI EN EL USO DE TI DEPENDENCIA SEGURIDAD FSICA Y NAGU, EN EL USO SEGURIDAD DE LA MAGU DE TI INFORMACIN CONTINUIDAD EMPRESAS Normas DE LOS INTERNACIONALES Nivel de Conocimientos SISTEMAS AUDITORAS de TI PROCESO DE SEGUIMIENTO