You are on page 1of 128

T M

Z7 1 64
. C8
FACPY A
1 993
H4
1020073604
N I V E R S I D A D A U T O N O M A E N U E V O L E O N
F A C U L T A D D E C O N T A D U R I A P U B L I C A
Y A D M I N I S T R A C I O N
D I V I S I O N D E P O S T - G R A D O
A U D I T O R I A D E I N F O R M A T I C A
( U N E N F O Q U E M E T O D O L O G I C O )
T E S I S
PARA OBTENER EL GRADO DE
MASTER EN I NFORMATI CA ADMI NI STRATI VA
P R E S E N T A
LI C. ENRI QUE HERNANDEZ HERNANDEZ
MONTERREY , N. L. J ULI O DE 1993,
C.&
M
32' l S
A gradecimientos :
A mi esposa V icky : Por ser la mujer que me enseo el camino de la verdad y del amor,
sin ella lo que soy hubiera tardado en ser o nunca hubiera sido,
con ella el valor y la alegra encuentro al extender mi mano,
gracias mi vida, por los hyos, comprensin y amor que me haz dado
A mis hijos :
A mi madre :
A mis hermanos:
A mis ami gos:
A mis maestros:
A mis alumnos :
A mis escuelas :
Enriquito, te dedico con todo mi corazn ste trabajo, muchas lneas,
fueron impresas por la inspiracin que me brindas cada da, seguir
luchando gracias al ejemplo que me diste, lo bueno de mi vida es para t
Carlos A ntonio y Erck Ivan : Cada maana despierto pensando en la
felicidad y fortaleza que me brindan, los admiro por su vitalidad, por
ser como son, vale la pena recalcar que mi objetivo principal es y ser
darles cada da el mejor ejemplo, mi apoyo y mi amor incondicional.
Por iniciarme en los estudios, por motivarme a continuarlos y por ser
fuerte y comprensiva para levantarme cuando me ca, por darme el
valor y conciencia para terminarlos. Usted ha sido siempre ejemplo de
rectitud, sencillez y honestidad, es tambin para usted dedicado el
presente trabajo, con mucho amor y eterno agradecimiento
Me dieron siempre alegras, sus recuerdos me siguen dando alegras,
ustedes me conocen y saben que mucho los quiero y los recuerdo
Recuerdan nuestros retos? sigamos luchando por cumplirlos
Mucho de ustedes va en mi mente y mi trabajo, gracias por su ejemplo
Sin ustedes no existen escuelas ni maestros ni progreso, muchas gracias
Ah creci, me eduque, me forme, lo malo lo tire y lo bueno a la
prctica llevar, opciones de vivir muchas encontr, pero siempre
por los estudios me inclin, a mis hyos lo mismo inculcar. G racias.
A D ios: Por permitirme la oportunidad de vivir y dar mi granito de arena
T E S I S :
A U D I T O R I A D E I N F O R M A T I C A
(U N E N F O Q U E M E T O L O G I C O )
FACULTAD DE CONTADURIA PUBLI CA Y DE ADMI NI STRACI ON
DIVISION DE POSTGRADO
MAESTRI A DE I NFORMATI CA ADMI NI STRATI VA
LI C. ENRI QUE HERNANDEZ HERNANDEZ
C O N T E N I D O : P gina
INTRODUCCION 2
1. A ntecedentes 3
1
2. T erminologa de la A uditora de I nformtica 8
2.1. Informtica
2.2. A uditora
2.3. A uditora de Informtica
3. L a A uditoria de I nformtica y su M edio A mbiente 13
4. P laneacin: 20
4.1. Planeacin de A uditora de Informtica
5. M etodologa para el D esarrollo e implantacin de la
A uditora de I nformtica:
5.1 Proceso M etodolgico de la Auditora de Informtica
6. E tapa P reliminar ( D iagnstico de la S ituacin A ctual) :
6.1. D iagnstico de Negocio (Alta Direccin y A reas U suarias)
6.2. Diagnstico de Informtica (Responsables de la Funcin)
7. E tapa de Justificacin : 43
7.1. M atriz de R iesgos / Justificacin por A rea de revisin
7.2 Plan G eneral del Proyecto de A uditora de Informtica
29
36
8. E tapa de A decuacin ( a caractersticas del N egoci o) : 49
8.1. Plan detallado del Proyecto de Auditora Informtica
8.2. A spectos a evaluar por Area de Revisin
83. D efinicin de Tcnicas y Herramientas a utilizar por
k
Area de revisin
8.4. D efinicin y/o Actualizacin de Estndares, Polticas
y Procedimientos a verificar por A rea de R evisin
8.5. Elaboracin y/o Actualizacin de Cuestionarios por A rea
de Revisin
9. E tapa de F ormalizacin : 106
9.1. V erificacin de Prioridades, R estricciones y A lcances del
Proyecto
9.2 Actualizacin del Han de Auditora de Informtica
9.3. Presentacin Formal del Plan de Auditora de Informtica
9.4. Aprobacin Formal del Proyecto de A uditora de Informtica
10.1. Concertar fechas de entrevistas, visitas y aplicacin de
cuestionarios
10.2. C lasificar tcnicas, herramientas, cuestionarios, entrevistas, etc.
103 A plicacin de Entrevistas y C uestionarios
10.5 E fectuar visitas de verificacin
10.6 Elaborar informe preliminar por:
- Area auditada
10.7 Revisin del Informe Preliminar
10.8 Elaborar el Informe Final de Auditora de Informtica :
10.9 Presentacin a la Alta Direccin e involucrados claves
11. F uentes de I nformacin para una actualizacin permanente de la
F uncin de A uditora de I nformtica 117
10. E tapa de D esarrollo : 110
B I B L I O G R A F I A 118
I N T R O D U C C I O N
1. A N T E C E D E N T E S
1.1. O B JE T I V O S
I N T R O D U C C I O N
El presente trabajo fue elaborado debido a la gran inquietud y necesidad que
existe en los medios educativos de nivel profesional y postgrado de contar con un
proceso de Auditora de I nformtica formal, prctico y eficiente para la evaluacin de
la Funcin de I nformtica en el planteamiento oportuno de las recomendaciones y
cursos de accin requeridos para dar una solucin integral a los negocios
aprovechando las reas de oportunidad que emergen de dicho proceso.
El proceso metodolgico aqu planteado fu desarrollado en base a una extensa
ejecucin de la Auditora de I nformtica de acuerdo a los estndares y procedimientos
recomendados por las Asociaciones nacionales e internacionales de Auditora, de
I nformtica y de la conjuncin de ambas, las de Auditora de I nformtica.
As mismo se realizo una investigacin detallada del material existente en
Mxico y Estados Unidos relacionados con la Auditora en I nformtica, Esta integrado
tambin por cuestionarios y formatos prcticos, que brindarn a los Auditores en
I nformtica elementos para cubrir de manera satisfactoria los tpicos de Auditora,
Seguridad y Control inherentes a la Funcin de I nformtica.
Cabe sealar que va inmerso en este trabajo una serie de experiencias
asimiladas con el desempeo diario de la Auditora de I nformtica y que han brindado
a las empresas y centros educativos la facilidad de entender este proceso obteniendo
del mismo grandes beneficios para el mejoramiento continuo de la I nformtica.
Deseo brindar a la institucin, as como a sus alumnos y maestros un mtodo
derivado de mis conocimientos y vivencias profesionales un proceso formal para la
planeacin y/o ejecucin de la Auditora o Evaluacin en las areas mas relevantes de
la Funcin de I nformtica, para que pueda ser discutido en nuestras aulas.
Una gran cantidad de alumnos que he tenido el gusto de asesorar a travs de mi
estancia en sta escuela ha desarrollado proyectos de Auditora en I nformtica en
empresas de los diversos sectores concluyendo con acciones y recomendaciones de
mejoramiento y reposicionamiento de la Funcin de I nformtica con una aprobacin
formal de cada uno de los estudios realizados por los estudiantes.
Los cuestionarios y formatos que aqu recomiendo son resultado de un analisis
detallado, que busca simplemente hacer mas til y amigable el uso de los mismos.
1. A N T E C E D E N T E S
Desde que el uso de la I nformtica se enfoc al apoyo de la sistematizacin de
las reas del negocio, se empezaron a implantar Aplicaciones administrativas como la
Contabilidad, la Nmina, Etc. dando inicio a lo que se conocio como la Auditora a
Sistemas de I nformacin.
Posteriormente, el uso de la I nformtica se extendi a todas las reas de
negocio en todos los niveles, con productos y servicios muy variados, proliferarn las
mi ni computadoras o equipos departamentales, despues las microcomputadoras o
computadoras personales, entraron de lleno las Redes Locales, la I ntegracin de las
empresas a travs de las Telecomunicaciones y un gran nmero de componentes de
tecnologa que imposibilitaron materialmente al responsable de I nformtica y a los
Auditores de Sistemas tradicionales a seguir evaluando este campo con mtodos y
procedimientos ordinarios.
Se hizo entonces necesario un replanteamiento del fondo y forma de la
Auditora de I nformtica, mi trabajo entre otros prpositos busca darle una dimensin
ms realista y adecuada a la Auditora de I nformtica.
Se espera de cada alumno interesado en el campo que hoy me ocupa a un
auditor profesional, experto, pero sobre todo un ser flexiblemente humano que
entienda el contexto real del negocio. Ser su principal objetivo darle la dimensin
justa a cada problemtica conviertindola en rea de oportunidad y orientarla a una
solucin de negocio.
Debemos recordar que en los negocios existen objetivos comunes para todas
ls reas respecto a los recursos de I nformtica, por ejemplo sera el relacionado con el
logro del mximo uso y aprovechamiento de los Recursos de I nformtica mediante
polticas, procedimientos y mtodos apropiados, siendo la Funcin de Auditora de
I nformtica uno de los medios ms importantes y especializados para apoyarnos en la
obtencin permanente de dicho fin.
S urgimiento de la A uditora de I nformtica en el tiempo :
En los aos cuarentas empezaron a darse resultados relevantes en el campo de
la computacin, con sistemas de apoyo para estrategias militares entre otros,
posteriormente se vino incrementando el uso de las computadoras y sus aplicaciones.
Se diversifico el apoyo a otros sectores de la sociedad: Educacin, Salud,
I ndustrial, Poltico, Banca, Aeronutica, Comercio, Etc.
En aquellos aos la seguridad y control de ese medio ambiente se limitaba a dar
custodia fsica a los equipos y a permitir el uso de los mismos por personal altamente
calificado (no haba un gran nmero de usuarios ya sea tcnicos o administrativos).
Actualmente el medio ambiente de la Informtica se ha extendido a todas las
ramas de la sociedad, es tan factible controlar un vuelo espacial por medio de una
computadora, como seleccionar las compras del hogar desde una microcomputadora.
Esta rapidez en el crecimiento de la Informtica nos orilla a deducir que los
beneficios se han incrementado con la misma velocidad, algunos con mediciones
tangibles como reduccin de costos e incremento porcentual en ventas y otros con
aspectos intangibles como mejora en la imagen, obtencin de productos de ms calidad
pero ambos con la misma importancia que permiten seguir impulsando la
investigacin y actualizacin constante de dicha Tecnologa.
La idea de que se obtienen beneficios en mayor grado y magnitud que antes no
est tan lejos de la realidad, sin embargo es tn valido afirmar que los costos han sido
altos y en muchas ocasiones rebasado los lmites esperados, ocasionando grandes
perdidas y decepciones en las diferentes reas usaurias de las empresas.
A pesar de lo anterior el futuro que se vislumbra a corto y mediano plazo, es
que las empresas sigan invirtiendo en I nformtica, as como en la Seguridad requerida.
Las empresas y organismos interesados en que la I nformtica siga creciendo
para beneficio de la humanidad (Educacin, Productividad, Calidad, Ecologa, Etc.)
desean que dicho crecimiento sea controlado y orientado de una manera profesional, se
debe obtener un resultado planeado y esperado de cada inversin en esta rama.
Asegurar que todas las inversiones y proyectos inherentes a la Funcin de
I nformtica sean justificados y brinden los resultados esperados es una responsabilidad
de todo aquel que administre dicha funcin.
Con el paso de los aos la Informtica y todos los elementos tecnolgicos que la
rodean han ido creando una necesidad en cada sector en la sociedad y se ha vuelto un
requerimiento permanente para el logro de soluciones.
Por ejemplo la Manufactura, Finanzas, Ventas, as como las funciones internas
de los sectores Educativos o Comerciales, se encuentran buscando la manera de
integrar los diversos elementos de I nformtica, que se hayan diseminados a travs de
toda la organizacin, adems desean comunicarse con otras entidades externas, como
proveedores, clientes y sectores de gobierno, lo que implica inversin de tiempo,
recursos y una planeacin y evaluacin formal de dicho proceso de cambio.
A continuacin se describen algunas consideracin es que podemos asegurar son
ya una realidad.
* Todas las actividades de la sociedad buscan apoyarse de alguna forma con la
Tecnologa de I nformtica
* Se piensa que las Computadoras y Aplicaciones deben estar al alcance de todos
* Equipos de Cmputo de diferentes Marcas y capacidades, as como las Bases de
Datos y los Sistemas de I nformacin deben ser una solucin integrada.
* La capacitacin debe ser permanente en el uso de la Tecnologa de I nformtica
debido a su constante crecimiento y actualizacin
* Hardware, Software, Telecomunicaciones y otros medios electrnicos deben
I ntegrarse para explotar al mximo las bondades que ofrecen y dar soluciones a
todos los sectores de la sociedad.
* I ntegrar a la comunidad de manera permanente a las Asociaciones
profesionales relacionadas con I nformtica
* Alta penetracin de la I nformtica en todos los niveles del sector educativo, as
como en los sectores sociales y culturales.
* El control y seguridad sobre todos los recursos de I nformtica es una necesidad.
* Se debe evaluar de manera formal y peridica a la Funcin de I nformtica
* El proceso de planeacin de los negocios debe integrar de manera permanente a
la Funcin de I nformtica.
* Otros.
El incremento permanente de las expecttivas y necesidades hacia I nformtica,
al igual que la actualizacin continua de los elementos que componen dicha
Tecnologa orilla a los negocios a contar con controles, polticas y procedimientos que
aseguren a la Alta Direccin que los Recursos involucrados sean debidamente
protegidos y garantizar que se orienten a la contribucin de la rentabilidad y
competitividad del negocio.
S i la respuesta a alguna( s) de las siguientes preguntas es negativa es
conveniente reafirmar o considerar la necesidad de asumir la responsabilidad de
un control y seguridad permanente sobre los recursos de I nformtica :
* Conocen los usuarios y Alta Direccin la situacin actual de la Funcin de
I nformtica en la empresa (Organizacin, Polticas, Servicios, Etc.) ?
* Se aprueban formal y oportunamente el costo /beneficio de cada proyecto de
I nformtica ?
* Son las Areas crticas del negocio apoyadas por I nformtica ?
* Conoce el Responsable de Informtica los requerimientos actuales y futuros
del negocio que deben apoyarse en los servicios y productos de su area ?
* Existe un entendimiento de los problemas y causas existentes en I nformtica?
Cada una de esas preguntas encierra una importancia especfica para el buen
funcionamiento de I nformtica en cualquier negocio, sin embargo todas las preguntas
estn interrelacionadas y la negacin de alguna de ellas es una pequea fuga de gas
que con el tiempo y un pequeo chispazo pueden ocasionar graves daos a los
negocios, sean estos traducidos en fraudes, proyectos cancelados con alto porcentaje
de costos no recuperables, rechazo de los servicios de I nformtica por los usuarios
claves del negocio, improductividad y baja calidad de los recursos de I nformtica,
planes de I nformtica no orientados a las metas y estrategias de negocio, Piratera de
Software, Fuga de I nformacin a la competencia o proveedores, etc.
1.1. O bjetivos :
- Plantear a maestros y estudiantes un proceso metdico para el entendimiento
de la planeacin, el desarrollo e implementacin de la Auditora de I nformtica.
- Brindar a los estudiantes un mtodo estructurado y prctico que permite el
ejercicio prctico de dicho proceso metodolgico en las aulas.
- Facilitar el procedimiento metodolgico asimilado a lo largo de mis
experiencias como consultor de empresas, catedrtico y estudiante en diversas
instituciones profesionales a los diferentes alumnos que lo requieran con fines
acadmicos.
- Es una finalidad prioritaria del presente trabajo apoyar a los catedrticos en la
actualizacin de sus temarios relacionados con el tema que hoy me ocupa, as mismo
se busca impulsar en los estudiantes de las reas relacionadas con la I nformtica un
sentimiento conciente de la necesidad e importancia que tiene el control y la seguridad
de los diferentes recursos humanos y financieros involucrados con I nformtica.
2. Terminologa de la Auditora de I nformtica
2.1. Informtica
2.2. A uditora
2.3. A uditora de I nformtica
2. T erminologa de la A uditora de I nformtica
L as definiciones y conceptos mencionados a continuacin corresponden a las
experiencias y conocimientos adquiridos a travs del tiempo en el desarrollo de actividades
profesionales y/o estudiantiles, seminarios, cursos, etc.
2.1. I nformtica:
L a I nformtica se desarrolla en base a normas, procedimientos y tcnicas
definidas formalmente por Institutos establecidos a nivel nacional e internacional.
En base a lo anterior solo mencionaremos algunos aspectos de I nformtica
necesarios para el entendimiento ya supuestamente asimilados por los usuarios de este
libro, sin embargo recomendamos leer los libros sugeridos en la bibliografa, asi como
la participacin ms directa y activa en los institutos o asociaciones relacionadas con el
campo de la I nformtica.
A . Campo que se encarga del estudio y aplicacin prctica de la T ecnologa, M todos,
T cnicas y Herramientas relacionadas con las computadoras y manejo de la informacin por
medios electrnicos.
B . Son aquellas Areas de la Tecnologa de Informacin orientadas al buen uso y
aprovechamiento de los Recursos Coraputacionales para asegurar que la informacin de las
organizaciones fluya en las organizaciones (Entidades internas y externas de los negocios) de
manera oportuna, veraz y confiable.
Hardware : Componentes fsicos/tangibles de las computadoras, generalmente
clasificadas en CI NCO grandes ramas :
- Microcomputadoras - Redes (Locales, remotas, etc.)
- Minicomputadoras - Supercomputadoras (Mainframes) - Perifricos
Software : Parte no fsica de las computadoras, esto significa que es la porcin no
tangible de los equipos de computo, son un conjunto de programas con orientaciones
especificas para la administracin y uso eficiente de los recursos de computo. Su
clasificacin generalizada podemos resumirla en los trminos siguientes :
- Software de Aplicaciones (Sistemas de I nformacin):
-Administrativos -Financieros - De Manufactura -Etc.
- Software de Paquetes Com putaciona les :
- Hojas Electrnicas - Procesadores de Palabras - Etc.
- Software de Programacin :
- Lenguajes de Tercera Generacin - Lenguajes de Cuarta Generacin
- Software de Sistemas Operativos
- Productos CASE (Computer Aided Software Engenieering)
- Otros para propsitos especficos :
S istemas de I nformacin : Conjunto de mdulos computacionales y o manuales
organizados e interrelacionados entre si de una manera formal para la administacin y uso
eficiente de todos los recursos (Humanos, materiales, finacieros, tecnolgicos, etc.) de una
rea especfica del negocio (Manufactura, Administracin, Direccin, etc.) con la finalidad
de orientar dichos recursos, as como los procedimientos, polticas y funciones inherentes a los
mismos al logro de las metas y objetivos de negocio de una manera productiva.
L os S istemas de I nformacin pueden orientarse a los siguientes aspectos :
- Apoyo a los niveles operativos, Tcticos y estratgicos del negocio
Sistemas de I nformacin Estratgica (SIE) : Son aquellos que de manera
permanente proporcionan a la Alta Direccin una oportuna serie de parmetros y
acciones encaminadas a la toma de decisiones que brindarn al negocio rentabilidad y
alta competitividad respecto a la competencia y al mismo negocio respecto a periodos
pasados en su historial como empresa formal.
M etodologa : Es un conjunto de Etapas (fases / mdulos) formalmente estructurados que
se orienta a proporcionar una trayectoria secuencial y lgica para el logro de resultados.
E jemplos de M etodologas:
- De Planeacin de Sistemas - De Desarrollo de Sistemas - De Calidad
- De Auditoria de Informtica (Como la propuesta en este libro) - Otras
T cnicas : Es el conjunto de procedimientos y pasos ordenados utilizados en el desarrollo
de un proyecto con el fin de finalizar las etapas / fases / mdulos definidas en el proceso
metodolgico.
A lgunas de las Tcnicas generalmente aceptadas son:
- Anlisis estructurado- Diseo estructurado - Anlisis Costo/Beneficio
- Pert - Gantt - Documentacin - Entrevistas - Otras
Herramientas : Es el conjunto de elementos fsicos utilizados para llevar a cabo de manera
prctica las acciones y pasos definidos en la Tcnica. A ntes del auge de las computadoras, as
como de otros elementos tecnololgicos relacionados con la ingeniera, arquitectura, etc. dichas
herramientas eran simples mquinas o utencilios manuales que nos apoyaban en el desarrollo de
las tareas de cada uno de los proyectos.
Herramientas de P roductividad : S on aquellas orientadas a lograr la
optimizacin del tiempo de los recursos en el desarrollo de un proyectos, asi mismo se
encaminan a proporcionar resultados de alta calidad, por ejemplo :
- Procesadores de Palabras - Diagramadores - Graficadores
- Productos CASE - I mpresoras - Microcomputadoras - Etc.
2.2. A uditora:
La auditora se desarrolla en base a normas, procedimientos y tcnicas definidas
formalmente por Institutos establecidos a nivel nacional e internacional.
A . A uditora : UD proceso formal y necesario para las empresas con el fin de asegurar
que todos sus activos sean protegidos permanentemente.
B . A uditora : Es un conjunto de tareas llevadas a cabo por un especialista para la
evaluacin y/o revisin de Polticas y procedimientos relacionados con las siguientes reas ;
- Administrativas - Financieras - Operativas
- De I nformtica - De Crdito - Fiscales
C. Es un proceso formal que se efecta por requerimientos de las empresas y/o de
gobierno en perodos establecidos previamente por los interesados con el objetivo de verificar el
cumplimiento oportuno de las polticas y procedimientos relacionadas con cada una de las
actividades existentes en la organizacin
T areas principales de la Auditora :
- Estudio y actualizacin permanente en las reas susceptibles a revisar
- Apegarse en las tareas que desempee a las normas, polticas, procedimientos
y tcnicas de Auditora establecidas por los organismos generalmente aceptados
a nivel nacional e internacional
- Evaluacin y verificacin de las reas requeridas por la Alta Direccin y/o
responsables directos del negocio
- Elaboracin del I nforme de Auditora (Debilidades y Recomendaciones)
- Otras recomendadas para el desempeo eficiente de la Auditora
N ota : La Auditora puede ser ejecutada en una organizacin por A uditores Internos
A s como A uditores Externos.
23. A uditora de I nformtica
La Auditora de I nformtica se desarrolla en base a normas, procedimientos y
tcnicas definidas formalmente por Institutos establecidos a nivel nacional e
internacional.
A uditora de I nformtica :
A . E s un proceso formal ejecutado por especialistas del A rea de A uditora y de
I nformtica, que se orienta a la verificacin y aseguramiento de que las P olticas y
procedimientos establecidos para el manejo y uso adecuado de la T ecnologa de
I nformtica en la O rganizacin se lleven a cabo de una manera oportuna y eficiente.
B . S on aquellas actividades llevadas a cabo por profesionales del A rea de
I nformtica y de A uditora encaminadas a evaluar el grado de cumplimiento de las
P olticas, C ontroles y P rocedimientos inherentes al uso de los R ecursos de I nformtica
por el personal de la empresa ( U suarios, I nformtica, A lta D ireccin, etc.) .
C . E s un conjunto de acciones que realiza el personal especializado en las reas
de A uditora y de I nformtica para el aseguramiento permanente de que todos los
R ecursos de I nformtica operen bajo un ambiente de seguridad y control eficientes.
N ota : La Auditora puede ser ejecutada en una organizacin por A uditores Internos
A s como A uditores Externos.
3. L a A uditoria de I nformtica y su M edio A mbiente:
3. L a A uditoria de I nformtica y su M edio A mbiente :
Las actividades de un negocio u organizacin tienen un efecto directo sobre sectores
especficos de la sociedad, de igual manera los eventos y actividades externos al negocio tienen
un grado de impacto en el mismo.
No han sido pocos los negocios que han fracasado al mantenerse estticos ante los
movimientos que se presentan a su alrededor, as mismo una gran cantidad de ellos que se han
adaptado oportunamente a los cambios sufridos por los elementos extemos obtienen ventajas
competitivas de dichas variaciones para lograr el liderazgo o al menos mantenerse en el
mercado.
El medio Ambiente marca regularmente las pautas y caminos estratgicos a seguir en
los diferentes aspectos que contemmpla un negocio y los factores que lo afectan pueden ser:
- Econmicos - Polticos - Culturales - Tecnolgicos
- Organizadonales - Ecolgicos - Etc.
Es importante para los negocios el evaluar de manera constante cada factor extemo
que predomine o afecte de manera trascendente el medio ambiente externo, con la finalidad de
llevar a cabo las acciones necesarias para minimizar o sacar ventaja estratgica del mismo.
Las estrategias de los negocios son definidas formalmente en un proceso de planeacin
de negocios mediante reuniones o juntas en las que se involucran los Accionistas, Alta
Direccin y en algunas ocasiones Consejeros o Consultores expertos en una actividad tan
relevante como es la definicin de el plan estratgico para cualquier ente organizacional.
Una de las tareas bsicas de este proceso es el de determinar los factores internos y
externos que pueden afectar y/o facilitar de manera directa o indirecta las estrategias emanadas
de dicho plan.
La Auditora en Informtica siendo un proceso bsico de validacin y control del uso
de los Recursos Tecnolgicos utilizados en el logro de las estrategias, debe tambin
contemplar como parte de sus actividades primarias el entendimiento del entorno que rodea al
negocio, as como de la estructura y tiempos del Plan estratgico de Negocios.
En ocasiones la Funcin de Auditora en Informtica se ve relacionada de manera
directa o indirecta con las acciones definidas por la Alta Direccin, ya sea porque ser el
responsable de llevadas a cabo o porque ser el responsable de darle seguimiento formal a su
cumplimiento, a continuacin se dar una explicacin a manera de ejemplo en la Figura 3-1.
M E D I O A M B IE N T E (FA C TO R ES E XT E R N O S )
F actor Externo A cciones de la Empresa Responsabilidad del A uditor
de Informtica
Comentario
Reducin a las cifras
monetarias en tres
dgitos (por ejemplo,
antes 5,000 ahora 5)
Es poltica de la empresa que
todos los documentos y/o
transacciones reflejen esa
reduccin de tres dgitos
Verificar que todos los
Sistemas de Informacin,
contemplen esta disposicin
de manera formal y oportuna
Emana como
un decreto
Gobierno
A uge en el oso de la
T ecnologa de
comunicaciones Va
Satelite
Se define como estratgico
que exista un enlace entre
empresas/entidades de la
organizacin por este medio
Se proyecta a futuro
enlazar clientes y
proveedores con la
empresa
Verificar y/o Recomendar
que exista un proyecto de
Anlisis Costo/Beneficio
para la Adquisicin de los
permisos de Gobierno, as
como la Tecnologa que se
requiere para la
Implantacin de dicha
Estrategia
Verificar su Implantacin
Adecuada y oportuna.
Se obtiene
con esta
accin una
ventaja
competitiva
Permite una
integracin
ms eficiente
entre las
entidades de
un negocio
T ratado de L ibre
Comercio con uno o
ms pases
Se define como poltica de
empresa que cada rea o
entidad de negocio impulse
la calidad y la eficiencia en
cada individuo,actividad y
producto terminado
Recomendar polticas y
procedimientos que
aseguren la Calidad y
eficiencia en cada una de las
funciones de Informtica,
as como en los productos
y Servicios de esta rea.(-)
(-) Aplica para la Funcin
de Auditora de Informtica
Algunas
Sugerencias
de Auditora:
- Capacitar
a personal
- Uso de
Mtodos y
Tcnicas
Estandar
- Etc.
Legalizacin del
Software mediante
D erechos de A utor
Es una poltica en todos los
niveles de la organizacin
el contar con Software en la
empresa que solo sea
original (con licencia de uso)
Establecer una serie de
Controles y Procedimientos
que aseguren y verifiquen que
solo Software Original se
encuentre instalado en el
equipo de computo del negocio
Acciones:
- Inventariar
el Softare de
la empresa
- Comprar e
Instalar solo
Software
Legal
Figura 3-1
M edio A mbiente de I nformtica :
Son aquellas caractersticas dominantes del mercado en cada una de las ramas o
criterios relacionados con la Tecnologa de Informtica, que definen el rumbo y estrategias de
Implementacin y operacin de la misma en los negocios.
La Funcin de Informtica debe estructurar sus servicios, funciones y proyectos en
base a los requerimientos especficos del negocio, apoyndose en gran parte en la Tecnologa
de Vanguardia que domina el mercado, considerando las tendencias de la misma. El grado de
apoyo que se buscar en el medio ambiente Tecnolgico depende en gran medida de la
orientacin y justificacin que se le asigne al enfocarlo a cada estrategia de la empresa.
No todo lo que ofrece el mercado como estndares y soluciones Tecnolgicas en caso
de adoptarlos nos garantizar el desempeo eficiente de la Funcin de Informtica en una
Organizacin, el Auditor de Informtica deber verificar la existencia de un Anlisis
Costo/Benefico en cada proyecto de Inversin orientado a la Adquisicn de Nueva Tecnologa
o Estndares para el uso y manejo de la misma. Adems Auditora de Informtica mantendra
un proceso permanente de seguimiento al uso de los Recursos de Tecnologa, Metodologas,
Tcnicas, Procedimientos y Polticas inherentes a Informtica que Asegure Calidad y
Productividad en esta rea, no con el fin de ser 'un polica informtico* sino un punto de apoyo.
El medio ambiente de Informtica sufre de manera continua cambios en algunos de sus
elementos, ya sea en Hardware, Software, Telecomunicaciones, Etc. debido a la busqueda
constante de soluciones ms eficientes en aspectos relativos al Desempeo, Costo, etc.
En consecuencia, cualquier rea que tenga como objetivo el operar, manejar y /o
evaluar (Que es el caso que nos interesa) debe estar dispuesta a llevar las acciones pertinentes
que nos aseguren su debido entendimiento y aprovechamiento para brindarle a la Organizacin
resultados de Alta Calidad y la confianza de que la Informacin seguir cumpliendo con los
requisitos de control esperados : Exactitud, Totalidad, Autorizacin, Actualizacin, etc.
E n las ltimas decadas el medio ambiente de I nformtica ha sido uno de los campos que
ha registrado un mayor ritmo de crecimiento en todas sus reas de accin, traducindose
esto en :
a) Mejores equipos de cmputo, ya que cuentan con caractersticas difcilmente encontradas
anteriormente, tales como conectividad, escalabilidad, etc.
b) Lenguajes de programacin y paquetes de software ms flexibles y dinmicos que permiten
actualmente a los desarrolladores de aplicaciones ser ms productivos, dando un alto grado de
participacin a los usuarios en el proceso de Desarrollo e Implantacin de Soluciones de
Negocio.
c) Innovaciones Tecnolgicas en Telecomunicaciones, ya que se pueden transmitir voz, datos,
imagen y video, As mismo se ha logrado enlazar a diferentes empresas con clientes y
proveedores a travs de Redes Locales (LAN), Redes Metropolitanas (MAN) y Redes
Abiertas (WAN) (Iniciales derivadas de su significado en ingles), la capacidad de volmenes de
informacin, la velocidad de transmisin y la proteccin de los datos ha venido obteniendose
con la aparicin del cable coaxial y la Tecnologa de Redes Digitales Integradas por ejemplo.
d) En el campo de la Tecnologa Vanguardista se encuentran en proceso de Implantacin y
Formalizacin en la mayora de las empresas :
- Cdigo de Barras
- Multimedia (Integracin de Video, Televisin, Computadora, Etc.)
- C.A.S.E. (Ingeniera de Software Asistida por Computadora)
- E.D.I. (Intercambio Electrnico de Datos)
- Automatizacin de Oficinas (el enfoque del 'paper less' / 'sin papel')
- Ambientes orientados a Objetos
e) Metodologas, tcnicas y herramientas para la Administracin de la Funcin de Informtica,
la Planeacin y Desarrollo de Sistemas han venido formalizndose y apegndose a los
estndares comunmente aceptados a nivel nacional e internacional, lo que ha sido un factor de
suma utilidad para el desempeo eficiente de las tareas y servicios inherentes a la Informtica y
de la misma Auditora de Informtica.
f) La integracin de especialidades profesionales (Ingeniera, Auditora, Informtica, etc.) en
Asociaciones Profesionales reconocidas formalmente a nivel Nacional e Internacional, como la
EDP Auditors Association, Inc. (Asociacin Mexicana de Auditores en Informtica, A.C. en
Mxico) entre otras, brindan la oportunidad a las instituciones y organizaciones privadas y de
gobierno tener un contacto directo y oportuno con los conocedores y/o impulsadores de las
tendencias dominantes del medio ambiente en sus areas econmicas, sociales, tecnolgicas, etc.
La Figura 3-2 ilustra de manera general algunos comentarios relevantes sobre las
caractersticas y aportaciones que han surgido en la Tecnologa de Informtica y de las cuales
los negocios deben estar evaluando para su posible implantacin y lograr el mximo de
beneficios.
En la Figura 3-2 se comenta tambin de manera somera, la contribucin e impacto que ha
tenido la Tecnologa de Informtica en su campo de accin.
Hardware:
- M ainframes
- M ini computadoras
- M icrocomputadoras
- P orttiles
- I mpresoras
- D ispositivos
de A lmacenamiento
- O tros
C omunicaciones:
- V oz
- D atos
- I magen
- V ideo
- E lementos fsicos y tangibles de
la T ecnologa de I nformtica
P or ellos es posible alimentar,
P rocesar, G enerar, transmitir y
A lmacenar los datos de los
S istemas de I nformacin
( E stratgicos, T cticos y
O perativos del negocio)
- El Hardware sufre cambios de
manera dinmica , hoy en da su
tamao F sico ha disminuido y su
caractersticas de desempeo y
portabilidad han mejorado de
manera sorprendente :
- A lmacenamiento
- P rocesamiento
- P ortabilidad
E scalabilidad
- C onectividad
- E tc.
- A l surgir las primeras computadoras y se
trasladaron a ellas los S istemas F inancieros Y
C ontables, el A uditor utilizo los E quipos de
C mputo para C onsulta, C aptura, P roceso y
G eneracin de R eportes para E valuar la
S ituacin que guardaban dichos sistemas.
- A ctualmente los equipos de C mputo
brindan ms facilidades al A uditor de I nformtica
que se pueden E valuar
S istemas de I nformacin y otros aspectos de
I nteres a travs de accesos remotos y en lnea,
S e pueden utilizar equipos portables que
permiten auditar tareas en el lugar de los hechos.
L as facilidades que brindan las comunicaciones
y los equipos de C omputo, permiten al A uditor
registrar y min i torear una gran cantidad de
actividades inherentes al uso de las computadoras
y equipos de T eleccomunicaciones.
S oftware :
- P rocesadores de
P alabras
- Hojas de C lculo
- G rafcadores
- D iagramadores
- P resentadores
- E specializado:
- A uditora
- S eguridad
- D esempeo
- C ase:
- M todo
- T cnica
- Herramienta
S on los E lementos
L gicos de la C omputadora.
E s por medio de este elemento qu<
se ha logrado con el paso del
tiempo la S istematizacin
C omputacional de los P rocesos
de negocio( tareas operativas,
tcticas y estratgicas)
E n un nivel ms especializado, se
ha logrado con la I ngeniera de
S oftware la S istematizacin a
T ravs de las C omputadoras de
las actividades del D esarrollo de
S istemas y en gran medida de la
P laneacin de S istemas a travs
del C A S E ( I ngeniera de S oftware
A sistida por C omputadora) .
- A l surgir la necesidad de evaluar S istemas
C omputacionales que guardaban datos
de los estados F inancieros y C ontables de la
empresa, el A uditor se apoyo en personal con
especializacin en I nformtica, ya que la
programacin ( en lenguajes como C O B O L ) y
el manejo de los equipos de C omputo requera
de conocimientos especficos. El apoyo que
se le brindo al A uditor fu el de programar rutina
control y evaluacin de procesos
en los S istemas C omputacionales, o para generar
re procesos y respaldos de la I nformacin a ser
auditada.
- A i surgir el A uditor de I nformtica, ste se
perfilo como el individuo que domina ambos
campos la A uditora y La I nformtica, siendo este
el enlace ideal para la E valuacin, no solo de
S istemas de I nformacin, sino tambin del uso
eficiente de todos los R ecursos, S ervicios y
P roductos de I nformtica en el negocio
F igura 3- 2
O bjetivo del A uditor de Informtica al estudiar el M edio A mbiente
y su impacto en el negocio :
Es definir el grupo de proyectos de Auditora de Informtica que sern ejecutados en un plazo
determinado con el fin de apoyar directa o indirectamente a las estrategias del negocio, considerando los
diversos factores internos y externos que se relacionan con la organizacin. Es conveniente sealar que
cada uno de estos proyectes deber estar enmarcado en los lmites definidos para la funcin, esto es
debe enfocarse al control, seguridad y auditora de los diferentes elementos que tengan impacto directo o
indirecto con la Tecnologa de Informtica.
JV
4. P L A N E A C I O N :
La Funcin de Auditora de Informtica debe generar al igual que todas las reas del
negocio, un plan de proyectos que justifiquen su trabajo durante un cierto periodo, de igual
manera debern de contemplar cada uno de esos proyectos un Anlisis Costo/Beneficio y la
estructura de los mismos con un enfoque metodolgico , lo anterior con la finalidad de que
tambin dicha funcin pueda ser evaluada en base a su desempeo, con parmetros que sean lo
ms tangibles y medibles posibles.
Cada proyecto de Auditoria en Informtica soporta en un bajo o alto grado a los objetivos y
requerimientos de tres entidades del negocio :
A . A lta D ireccin
- Seguimiento a proyectos relacionados con la Tecnologa de Informtica
- Verificacin y Aseguramiento en el cumplimiento de Polticas inherentes
a la Tecnologa de Informtica
- Otros aspectos de Interes para la Alta Direccin
B . A uditoria
- A poyo en la D efinicin, I mplantacin y S eguimiento en :
- Polticas, Controles y Procedimientos de Auditora Financiera,
Operativa, de Crditos, Fiscal, etc. Relacionadas directa o
Indirectamente con la Tecnologa de Informtica (Sistemas de
Informacin, Equipos de Cmputo, Comunicaciones, Etc.)
- Planes de capacitacin en el uso y entendimiento de :
1. Software de Auditora
2. Herramientas de Productividad (Hojas Electrnicas,
Procesadores de Palabras, Graficadores, Diagramadores, etc.)
3. Bases de Datos (Consulta de Informacin por ejemplo)
4. Equipos de Cmputo (Micros, terminales, porttiles, etc.)
5. Otros de Interes para los Auditores
- Otros de nteres para el desarrollo eficiente de los auditores cuando evalan
reas del negocio que se apoyan en Informtica.
C. I nformtica:
- A poyo en la D efinicin, I mplantacin y S eguimiento en :
- Polticas, controles, procedimientos y Estndares relativos a :
1. Organizacin y Administracin de Informtica
2. Proceso de Planeacin de Informtica
3. Evaluacin y Adquisicin de nueva Tecnologa
4. Evaluacin y Adquisicin de Servicios
5. Desarrollo e Implantacin de Soluciones (EDI, CASE, Base de
Datos, Telecomunicaciones, Sistemas Estratgicos, Multimedia, etc.)
6. Etc.
- Otros de Interes para Informtica
Lo anterior nos lleva a concluir que es muy importante que exista una permanente
comunicacin entre la Funcin de Auditora de Informtica y la Alta Direccin, as como con
las Direcciones y/o Gerencias de Auditora o Informtica.
A continuacin se mencionarn algunos puntos a considerar para obtener un Plan
Maestro de Auditoria en Informtica que asegure un apoyo permanente y eficiente a las
entidades del negocio antes mencionadas :
1. Crear o formalizar un comit de control y seguimiento integrado por:
- Alta Direccin
- Responsable directo de Auditora
- Responsable directo de Informtica
- Responsable directo de Auditora de Informtica
2. Analizar los proyectos de Negocio, Informtica, Auditora y Auditora de
Informtica de manera conjunta, con el objetivo de ver la relacin o impacto que tienen
entre si y facilitarse de manera formal los compromisos que aseguren el cumplimiento de los
mismos.
Nota : Los proyectos de cada rea pueden ser desarrollados y planeados de
manera independiente.
3. Establecer fechas de reuniones formales e informales para dar seguimiento a los
planes de compromiso conjunto.
4.1. E l P roceso de P laneacin de A uditoria de I nformtica
Son las actividades desarrolladas por el Auditor en Informtica que tienen como
objetivo principal elaborar y presentar un conjunto de Proyectos inherentes a la Funcin de
Auditora de Informtica a la Alta Direccin, y que estarn orientados primordial mente al
aseguramineto de la Calidad, Seguridad y Control de los diferentes elementos que se
encuentran relacionados directa o indirectamente con los Recursos de Informtica.
Para un entendimiento de las tareas crticas de un proceso de planeacin de Auditora
de Informtica ver laF igura 4- 1.
T areas B sicas del P roceso de P laneacn de
A uditora de I nformtica y R esponsabilidades
A ctividad
Responsable de
Ejecusin
Responsable del
seguimiento Comentarios
D eterminacin
de las reas a
A udi ta r en el
N egocio
Coordinador y/o
Supervisor de
Auditora de
Informtica
Director y/o
Gerente de
Auditora de
Informtica
Se efecta un Diagnstico actual de
la Funcin de Informtica (Desde el
punto de vista de negocio y desde el
punto de vista del negocio) con e!
fin de detectar reas de riesgo o
debilidades de la Funcin de
Informtica.(Ver mtriz de Riesgos)
E laboracin de
P lan de
A uditora de
I nformtica
Coordinador y/o
Supervisor de
Auditora de
Informtica
Director y/o
Gerente de
Auditora de
Informtica
Las fechas y periodos en que se
auditaran las reas puede obedecer
a solicitud expresa de la Alta
Direccin o a requerimientos de la
Funcin de Auditora de Informtica
P resentacin
del P lan a la
A lta D ireccin
Director y/o
Gerente de
Auditora de
Informtica
AJta Direccin del
Negocio
Se recomienda que se haga de
manera oportuna (Al iniciar el
periodo fiscal por ejemplo) y que
se autorize formalmente
E jecucin del
P lan de
A uditora de
I nformtica
Supervisor y/o
Auditores de
informtica
(Extemos o
Internos)
Gerente y/o
Supervisores de la
Funcin de
Auditora de
Informtica
Algunas empresas consideran que
es recomendable utilizar personal de
Auditora extemo, esto para darle
independencia al Informe o para
aligerar las cargas de trabajo.
F igura 4- 1
P roceso D etallado de la P laneacin de A uditora de I nformtica :
E s importante aclarar que este proceso de planeacin depende en gran medida
del D iagnostico P revio que haga el A uditor de I nformtica de la S ituacin que guarda
en ese momento cada una de las reas o servicios de la F uncin de I nformtica, A s
como tambin es de suma relevancia el considerar las necesidades o prioridades que
tenga la A lta D ireccin de auditar o evaluar una rea especfica de I nformtica.
C onsideraciones para el P roceso elaboracin, D ocumentacin,
A utorizacin y D ifusin formal del P lan de A uditora de I nformtica.
1. Es importante identificar el nivel de riesgo de cada uno de los Elementos que
integran la Funcin de Informtica en el negocio a travs del D iagnostico de la situacin
actual de I nformtica (Los cuestionarios y formatos sugeridos para su desarrollo sern
contemplados en un capitulo posterior).
Las reas que sern diagnosticadas pueden variar de acuerdo al tamao y estructura del
negocio, pueden ser empresas que dependan de un corporativo o 'Holding', el giro de la
empresa y el nmero de sucursales o subsidiarias originan en ocasiones que el Auditor de
Informtica tenga que evaluar productos y servicios de Informtica con un enfoque
centralizado o descentralizado segn sea el caso.
Algunos de los siguientes servicios sern mencionados de manera ilustrativa, sin
embargo no son limitativos o totalitarios para ninguna empresa, ya que ser el perfil y
caracterstica propia la que defina el alcance de la Funcin de Informtica :
- Sistemas de Informacin en Operacin
- Administracin de Hardware y Software
- Desarrollo de Sistemas de Informacin
- Soporte a usuarios ( Capacitacin, Asesora, etc.)
- Administracin de Telecomunicaciones
- Investigacin y Desarrollo Tecnolgico
-Etc.
2. El Auditor deber utilizar todos los parmetros de medicin y evaluacin posibles,
sin caer en un anlisis detallado, ya que aqu solo se trata de detectar la problemtica principal
de cada una de las reas.
Si este proceso mostrar anomalas de considerable importancia, en alguno de sus
elementos evaluados, se deben tomar acciones inmediatas orientadas a minimizar y/o eliminar
la anomala.
3. Determinar el nivel de Riesgo que existe en cada una de las reas de la Funcin de
Informtica : Cada rea, producto o servicio de Informtica es susceptible de evaluacin y
control para el aseguramiento de que se desarrolle de acuerdo a los estndares, polticas y
procedimientos especificos que le han sido asignados de acuerdo a su funcin.
A ctividades para el P roceso elaboracin, D ocumentacin, A utorizacin y D ifusin
formal del P lan de A uditora de I nformtica
1.- D iagnstico de la S ituacin A ctual de los S istemas de I nformacin en O peracin.
1.1. Sistemas de Informacin en Operacin : Por ser este un elemento crtico dentro del
funcionamiento formal de cualquier negocio (Aqu se manejan los datos de las reas
financieras, productivas y administrativas para la toma de dedsiones) haremos nfasis en las
consideraciones y criterios ms importantes que debe tomar en cuenta el Auditor de
Informtica (de las dems reas, como desarrollo de Sistemas, Telecomunicaciones, etc.
haremos referencia ms detallada en los siguientes captulos).
E l D iagnstico general de esta rea se puede llevara cabo de la siguiente manera :
A.l) Obtener una lista de los principales Sistemas de Informacin, los Usuarios
Principales de cada uno (Determinar cuales fueron desarrollados por la empresa y cuales
fueron comprados a terceros, esto con el fin de que si se llegase a determinar que algunos de
estos deben ser evaluados con ms detalle, sepamos cual ser la fuente principal de estudio).
A .2) Tomando como base los comentarios positivos y negativos de los principales
usuarios de cada sistema de informacin que se encuentre en operacin, determinar con ellos
los volmenes de transacciones promedio.
A .3) Las fallas y/o regularidades ms comunes que presenta el Sistema y/o Equipo de
Computo donde se encuentra, prioridades de operacin.
A .4) Informes del desempeo hechos con anterioridad a los usuarios principales, a los
analistas del sistemas y personal de produccin.(Oportunidad, Calidad, Confiabilidad).
D ebilidades que pueden motivar a que se lleve a cabo la A uditora a un S istema de
I nformacin:
Primero: Que el Sistema no haya sido liberado formalmente, lo que puede traer como
consecuencia el desconocimiento real por parte de los usuarios y del personal de Auditora de
las debilidades y fortalezas del Sistema.
Segundo : Que el sistema nunca haya sido auditado, esto sugiere la alternativa de
auditarlo de manera inmediata, sobre todo, si es un sistema crtico para Alta Direccin (Un
Sistema de Cheques en un banco, un Sistema de Ventas en una empresa comercial o un
Sistema de Manufactura en una empresa de giro Industrial); en caso de no ser un Sistema
crtico para el negocio, programar una revisin al mismo en los proyectos intermedios o finales
de Auditora de Informtica..
2. C lasificar el nivel de riesgo que representa el uso Hardware y S oftware dentro de la
organizacin. Lo que se desea determinar en este punto es que los Sistemas de Informacin
Computarizados y datos sean procesados en un ambiente tecnolgico confiable, seguro y
eficiente. Aqu se pueden auditar aquellos equipos o paquetes de software que dan soporte a
los Sistemas crticos del negocio, o se podra auditar de manera peridica el mantenimiento.
2.1 Evaluar as mismo la capacidad de los equipos, cantidad de unidades (Discos, Cintas,
Terminales,etc.),los Tipos (Micros, Redes, Minis, Mainframes), Distribucin fsica de los
mismos, reportes de Desempeo de los mismos son datos que pueden ayudar a determinar la
secuencia y grado de intensidad con que se auditar el Hardware.
El uso y propsito de los paquetes de software, la existencia de procedimientos y polticas en
la evaluacin y adquisicin de Software, as como la estandarizacin de paquetes, apoyan al
auditor en la programacin de los proyectos de Auditora.
3 O tros aspectos a clasificar : A dministracin del C entro de C omputo, O rganizacin de
I nformtica, S ervicios y P roductos ( E xternos o I nternos) de I nformtica,
T elecomunicaciones, E D I ( I ntercambio E lectrnico de D atos por sus siglas en I ngles) ,
A utomatizacin de P rocesos, C A S E ,E tc.
Estos deben ser evaluados en base a estndares comunmente aceptados a nivel
nacional e internacional y en base a la proyeccin de uso que piensa darle el negocio en el
corto, mediano y largo plazo. Adems deben considerarse los comentarios y/o asesoras de
personal especializado en esta rea, siendo gente externa o de la misma Funcin de
Informtica de la empresa que se est evaluando.
4.- C lasificacin de los riesgos en base a criterios establecidos por la F uncin de
A uditora de I nformtica, tales como:
- Cumplimiento de Estndares comunmente aceptados a nivel nacional e internacional
- Cumplimiento formal de Polticas y Procedimientos
- Grado de Satisfacin de la Alta Direccin y del Personal Usuario
-Etc.
N ota : El Auditor deber utilizar todos los parmetros de medicin y evaluacin
posibles, sin caer en un anlisis detallado, ya que aqu solo se trata de detectar la problemtica
principal de cada una de las reas.
Si este proceso mostrar anomalas de considerable importancia, en alguno de sus
elementos evaluados, se deben tomar acciones inmediatas orientadas a minimizar y/o eliminar
la anomala.
C onsideraciones a tomar en cuenta al hacer el Diagnostico de la Situacin A ctual para la
obtencin de la M atriz de R iesgos: Es importante sealar que el Auditor de Informtica, debe
conocer de manera suficientemente aceptable los aspectos relativos a Auditora e Informtica
que debe tener cada una de las reas de Informtica, lo anterior es un requisito
indispensable, ya que ser en base a su experiencia y dominio de la A uditora de
I nformtica en lo que har un D iagnstico objetivo y contundente, ademas se apoyar en
la visin de los principales usuarios del negocio y del responsable de Informtica.
Consideraciones a tomar en cuenta al hacer el Diagnostico de la Situacin Actual para la obtencin
de la M atriz de R iesgos: Es importante sealar que el Auditor de Informtica, debe conocer de
manera suficientemente aceptable los aspectos relativos a Auditora e Informtica que debe
tener cada una de las reas de Informtica, lo anterior es un requisito indispensable, ya
que ser en base a su experiencia y dominio de la A uditora de I nformtica en lo que
har un D iagnstico objetivo y contundente, ademas se apoyar en la visin de los
principales usuarios del negocio y del responsable de Informtica.
5.> E laborar una matriz de R iesgos que muestre las A reas de la F uncin de
I nformtica, que sern susceptibles de una revisin por parte de A uditora en el
siguiente periodo.
Dicha matriz muestra resultados en un orden descendente. Esto implica que el Area que
muestre el valor ms alto es la entidad con mayor riesgo, por lo tanto deber ser la primera
en evaluarse por parte de Auditora y as sucesivamente hasta conocer las Areas de menor
riesgo.
6.- E laborar un plan consolidado de P royectos que tenga al menos la siguiente
informacin :
- Fechas de Inicio y Terminacin de cada Auditora
- Etapas de cada Auditora
- Tareas Principales de Cada Etapa
- Equipo de Trabajo (Auditores), Representante de Informtica y
Representante de las reas Usuarias
- Requerimientos (Recursos, Apoyo de la Direccin,
Capacitacin, Material de Auditora en Informtica,etc)
7.- R evisar con la G erencia o D ireccin a la que reporta directamente la F uncin de
A uditora I nformtica, la M atriz de R iesgos y el P ronostico de P royectos de A uditora de
I nformtica.
Debe ser llevada a cabo de manera oportuna y formal con el fin de que se de el visto
bueno o se lleven a cabo las adaptaciones o mejoras que se consideren pertinentes, antes de
presentarlo a la A lta D ireccin de la O rganizacin.
8. E laborar formalmente el plan, cubriendo al menos los siguientes aspectos :
- Area a Auditar - Prioridad - Fechas de Inicio y Trmino
- Involucrados - Responsables
- Fechas de Revisin formales e Informales
- Otros de nteres particular del Auditor de Informtica en el momento de
efectuar esta tarea
9.- P resentar a la A lta D ireccin el P lan de P royectos de la F uncin de A uditora en
I nformtica. L o anterior es con los siguientes propositos :
- Que conozcan antes de que inicie el ao fiscal los proyectos de Auditora en Informtica
- Verificar que las Areas que ellos consideran crticas para el buen funcionamiento del
negocio, hayan sido contempladas en el Plan de Auditora de Informtica y en la Matriz de
Riesgos, para su debida reorganizacin antes de que sea autorizado.
- Otros
10.- L levar a cabo cada uno de los proyectos de acuerdo al P lan de A uditora en
I nformtica.
10.1 ejecutar actividades de Seguimiento y Revisin formal a cada uno de los proyectos
11.- I ntegrar y formalizar equipos de trabajo formados por:
a) Gerente(s) de las Areas Usuarias a Evaluar
b) Gerente de la Funcin de Informtica
c) Lider del Proyecto de la Funcin de Auditora en Informtica
d) Otros que sean necesarios
12.- O btener la aprobacin formal de la A lta D ireccin del I nforme F inal de la
A uditora de I nformtica R ealizada
13 A plicar este proceso de P laneacin de A uditora de I nformtica de manera
permanente.
5, Metodologa para el Desarrollo e Implantacin de la
Auditora de Informtica:
5.1 Proceso Metodolgico de la Auditora de Informtica
5. M etodologa para el D esarrollo e implantacin de la
A uditora de I nformtica:
La Auditora de Informtica debe ser respaldada por un proceso formal que asegure
su previo entendimiento por cada uno de los responsables de llevar a la prctica dicho
proceso en la empresa. Al igual que otras funciones en el negocio la Auditora de
Informtica debe efectuar sus tareas y actividades mediante una Metodologa Formal (Ver
F igura 5- 1) .
No es recomendable que se fomente en las organizaciones la dependencia en el
desempeo de tan importante funcin solo en base a la experiencia, habilidades, criterios y
conocimientos sin una referencia metodolgica, el contar con un mtodo nos garantiza que
todas las cualidades de cada Auditor de Informtica sean orientadas a trabajar en equipo
para la obtencin de productos de calidad estandarizados.
La Funcin de Auditora de Informtica debe contar tmbien con un desarrollo de
activades basadas en un mtodo de trabajo formal, que sea entendido por todos los
Auditores de Informtica y complementado con Tcnicas y Herramientas propias de la
Funcin.
Lo anterior se facilita si los Auditores de Informtica cuentan con una
metodologa que oriente cada proyecto a una ejecucin armoniosa y planeada en cada una
de las tareas y actividades involucradas.
Un alto porcentaje de los especialistas en Areas de Investigacin, Planeacin
Financiera o de Informtica, en Desarrollo de Sistemas, en Manufactura y otras ms se
apoyan en gran medida en tareas, actividades, productos terminados, revisiones, roles y
responsabilidades, etc. definidas previamente en un documento formal llamado
Mtodologa, donde lo que se busca es brindarle a los responsables de dichas reas un
camino estructurado por donde llegar a los resultados esperados por la empresa.
Es importante sealar que el uso de la metodologa no garantiza por si sola el xito
de los proyectos de Auditora de Informtica, se requiere adems un buen dominio y uso
constante de los siguientes aspectos complementarios :
Tcnicas y Herramientas de productividad
Habilidades personales
Conocimientos tcnicos y administrativos
Experiencia en el campo de Auditora y de Informtica
Concocimiento de los factores del negocio y del medio ambiente
Actualizacin permanente
Involucracin y comunicacin constante con Asociaciones
Nacionales e Internacionales relacionadas con este campo
Otras
o
t
Z
MM
t
O
<

o
H
M
Q

t
O
t
t
z
t
o
o

M
o
o
t
o
o
o
s
o
t
u
o
X
fi-

1

i
< <
e5
Q ^
< 05
CL. p-
J J
S
o I
w c
z o
t
Q
os
<
z
cM
M
o o
o
H P
75 CO
o o
z z
s s
HH
o
(N
o
u
m*
H
5
O
z
o
S
a
T <
< *
05
p. a,
J J
C/
O
t

oo
O
O
S3
2
u

N
<
S
z
O
u
<
V
h
<z>
D
cu
< <
c c
c P
Qu
J <
UJ
Z
O
M

S

t

<
D D
CU c
)H N
< <
O PC
M
o5 c

< <
(X
J
Q
D
c
i -
c
ri
<
z
o
8 ?

J
g
J
g
o S
t
a
<
i
g
O
t
t
O
os
O
<
c/2
t
O
< <
u y
H
o ,9
2
o
gc
W
Q
05
g
W
W
P
CQ

il
M ^
8 3
0H _]
05
D
S
-
05 < P
00 -
Z
O
CL,
S
5
II
O
<
U
a;
O
in
D
Z
O
t
a.
m
P
PU
11
U
H
05 pj
O
(J <
o
S o
SB
s
Z
1-1
o
Ogi
^ ^ W
113
Z
- O !
w S
m
II
ri c
2
3
(J
z
u
S
O
z
5.X P roceso M etodolgico de la A uditora de I nformtica
Las ventajas de usar un proceso de trabajo metodolgico y estandar dentro de la Funcin de
Auditora de Informtica por todo el personal de la funcin genera al mnos las siguientes ventajas :
Se elimina el proceso informal de trabajo
Los recursos orientan sus esfuerzos a la obtencin de productos de calidad, con
caractersticas y requisitos comunes para todos los responsables
Las tareas y productos terminados de los proyectos se encuentran definidos y
formalizados en un documento al alcance de todos los Auditores de Informtica
Se facilita en un alto grado la administracin y seguimiento de los proyectos, debido a
que la metodologa obliga a la planeacin detallada de cada proyecto bajo criterios
estndares.
Trabaja sobre tareas y productos terminados perfectamente definidos.
Otros
La F igura 5- 1 nos muestra una descripcin general de las Etapas de la Metodologa de
Auditora de Informtica as como los Datos generales relacionados con cada una de ellas.
Esta visin ser de gran utilidad tanto para el Auditor de Informtica como para los dems
involucrados en el Proyecto.
El Responsable de la Funcin de Auditora de Informtica puede valerse de la informacin
consolidada contenida en la Tabla de descripcin general de la Metodologa de Auditora de
Informtica, para darle un seguimiento oportuno y estructurado a cada uno de los proyectos, debido
a que todas las tareas y productos terminados (Salvo algunas tareas y resultados)
E n los captulos posteriores cada una de las etapas ser explicada de manera detallada
Tal como se ha venido comentado en capitulos anteriores, el desarrollo exitoso de la
Auditora de Informtica depende de un conjunto de factores interrelacionados entre si. El conjuntar
y coordinar de manera eficiente los siguientes factores nos brindar el aseguramineto de resultados
satisfactorios por parte del desempeo de la Funcin de los Auditores de Informtica :
- Dominio de los conceptos Tcnicos y Administrativos relacionados
con Auditora de Informtica
- Habilidades Inherentes a la Auditora de Informtica
- Normas personales
- Entendimiento de la Auditora de Informtica y sus tendencias
- Adaptacin y/o Actualizacin de acuerdo al Medio Ambiente dominante
- E ntendimiento satisifactorio de M todos, T cnicas y Herramientas necesarias
para auditar las reas seleccionadas en el proceso de P laneacin de A uditora
de I nformtica
- Otros que dependen de las caractersticas de cada organizacin donde se
desarrolle la Funcin de Auditora de Informtica
Uno de los factores que son crticos para el Auditor de Informtica en el desempeo eficiente
de su trabajo es el conocimiento y/o aplicacin de los Mtodos, Tcnicas y Herramientas
comunmente aceptados para Informtica en los Negocios o Asociaciones.
En medida que el Auditor de Informtica tenga experiencia y conocimientos actualizados
sobre los diferentes aspectos que evaluar, tendr resultados pobres o exitosos dentro de la
Organizacin donde trabaja.
En la Figuras 5-2, 5-3 se muestran un conjunto de elementos metodolgicos, tcnicos y
operativos recomendados para apoyar a la Funcin de Auditora de Informtica en la revisin y
evaluacin de reas especficas de Informtica y los dems componentes relacionados con ella.
GRADO DE IMPORTANCIA DE METODOS, TECNICAS Y HERRAMIENTAS EN LAS ETAPAS
DEL PROCESO METODOLOGICO DE At IDITORI DE INFORMATICA
ETAPA ETAPA DE ETAPA DE
CONCEPTO
PRELIMINAR J USTIFICACION ADECUACION
Mtodologa:
- Planeacin de Informtica CRITICO CRITICO CRITICO
- Implantacin de sistemas NO REQUERIDO NO CONVENIENTE
REQUERIDO
Tcnicas :
- Anlisis:
- Organizacional CRITICO CRITICO CRITICO
- Sistemas NO REQUERIDO CONVENIENTE CONVENIENTE
- Computacional NO REQUERIDO NO NO REQUERIDO
REQUERIDO
- Diseo:
- Conceptual NO REQUERIDO CONVENIENTE CRITICO
- Computacional NO REQUERIDO NO NO REQUERIDO
REQUERIDO
- Costo/Beneficio CONVENIENTE CRITICO CRITICO
- Modelo de Datos y Procesos
CONVENIENTE CRITICO CRITICO
- Documentacin :
- Detallada NO REQUERIDO CONVENIENTE CONVENIENTE
- Entrevistas CRITICO CRITICO CRITICO
- Cuestionarios CONVENIENTE CRITICO CRITICO
- Otras Tcnicas (Se)
(&) (&) (&)
- Controles, Polticas y
Estndares Nacionales
e Internacionales
NO REQUERIDO CONVENIENTE CONVENIENTE
Areas de Especializacin :
- Comunicaciones (&)
(&) (&) (&)
- Otros (&) (&) (&)
(&)
Habilidades y/o Virtudes :
- Creatividad NO REQUERIDO CONVENIENTE CONVENIENTE
- Abstraccin CRITICO CRITICO CRITICO
- Otros (&) (&) (&) (&)
F igura 5- 2
GRADO DE IMPORTANCIA DE METODOS, TECNICAS y HERRAMIENTAS EN LAS
ETAPAS DEL PROCESO METODOLOGICO DE AUDITORIA DE INFORMATICA
ETAPA DE ETAPA DE
C O N C E P T O
FORMALIZACION DESARROLLO
M etodologa :
- Planeacin de Informtica CRITICO CRITICO
- Implantacin de Sistemas NOREQUERIDO CRITICO
T cnicas:
- Anlisis:
- Organizacional CRITICO CRITICO
- Sistemas CONVENIENTE CRITICO
- Computacional NO REQUERIDO CRITICO
- Diseo :
- Conceptual CONVENIENTE CRITICO
- Computacional NO REQUERIDO CRITICO
- Costo/Beneficio CRITICO CRITICO
- Modelo de Datos y Procesos
CONVENIENTE CRITICO
- Documentacin:
- Detallada NO REQUERIDA CRITICO
- Entrevistas CRITICO CRITICO
- Cuestionarios NO REQUERIDO CRITICO
- Otras Tcnicas (&) (&) (&)
- Controles, Polticas y
Estndares Nacionales
e Internacionales
NO REQUERIDO CRITICO
- Areas de Especializacin :
- Comunicaciones (&) (&) (&)
- Otros (&) (&)
(&)
Habilidades y/o Virtudes :
- Creatividad CONVENIENTE CRITICO
- Abstraccin CRITICO CRITICO
- Otros (&) (&)
(&)
F igura 5- 3
(&) Es importante aclarar que las tablas anteriores no buscan limitar el buen desarrollo de
la Auditora de Informtica. Se recomienda analizar de manera objetiva, la Tecnologa y
tipo de Organizacin para definir la magnitud y el nfasis que debe drsele a cada uno de
los conceptos sealados.
6. E t apa P rel i mi nar ( D iagnstico de la S i tuaci n A ctual ) :
6.1. Diagnstico de Negocio (Alta Direccin y Usuarios de i nformti ca)
6.1.1. Conocimiento del Negocio
6.1.2. Apoyo ai negocio
6.2. Diagnstico de I nformti ca (Responsables de la Funci n)
6.2.1. Conocimiento de ia Funcin de Informtica
6.2^. Servicios
6.2.3. Aspectos de Control
6. E tapa P reliminar ( D iagnstico de la S ituacin A ctual ) :
6.1. D iagnstico de N egocio ( A lta D ireccin y U suarios de I nformtica)
Este es el primer paso que de manera prctica inica el Auditor de Informtica dentro de las
empresas o Instituciones al efectuar un proyecto de Auditora de Informtica, se busca una opinin
de la Alta Direccin para estimar el grado de satisfaccin y confianza que se tiene hacia los
productos, servicios y recursos de informtica en el negocio, as mismo es posible detectar en esta
etapa las fortalezas, aciertos y apoyo que brinda dicha funcin desde la perspectiva de los directivos
del negocio.
Un punto importante que debe quedar plasmado en esta fase o etapa preliminar son las reas
de oportunidad que tiene Informtica para hacer ms competitivo y rentable al negocio, sea este
soporte directo o indirecto, en alto o menor grado.
Es conveniente aclarar que esta etapa no debe ser tratada como un conjunto de tareas que
requieren muchos recursos involucrados ni un tiempo considerable, es simplemente un aspecto
necesario y generalizado para entender los puntos debiles y fuertes de la Funcin de Informtica
desde un punto de vista de los usuarios claves y la Alta Direccin.
T A R E A S , P R O D U C T O S T E R M I N A D O S , R E S P O N S A B L E S E I N V O L U C R A D O S :
Todas las actividades del Auditor de Informtica deben estar claramente definidas en todos
los componentes formales que integran cualquier trabajo dentro de una organizacin, en
la Figura 6-1 tenemos toda la informacin detallada que guiara al Auditor de Informtica en esta
etapa.
los aspectos a evaluar son al menos los tres mencionados a continuacin, ms si el Auditor
considera que la complejidad del negocio, la fusin o compra de la empresa, la informalidad palpable
de Informtica o alguna consideracin especfica para el Lider de Proyectos y/o a peticin de la Alta
Direccin requieren ms puntos a considerar y un tiempo ms prolongado, se recomienda que lo
apliquen, ya que aqu se detectan los primeros sntomas de Informtica y pueden ser a la postre los
ms relevantes.
JO
O
<
<
c
( X
J
O

O
O
w
a
O
>
E
>>

O
>
Z
O
So

O
o
u
z
a
a
o
u
M
H
C/2
O
z
CJ?
S
a
y H
E
5 O
s z
t o
t <
*
Ou O
z
o
u
<
H
M
ca
D
Ci
<
<
<c <
t e
c o)
J J
t
S
t u
o <
Oh
t. t. CC
f
< < < <
t c os c
Oc - CL. O.
j j J J
<
<
05
<

04
J
Ck,
-j
<s
e*
Z
O
M

<

H
3
H
<J
z
w
s
O
z
O

t>
ci
co
c
'5b
O.
6.1.1. C onocimiento del N egocio
El Auditor de Informtica debe conocer el tipo de organizacin, la misin, estrategias, planes
(de ser posible al menos sus proyectos globales), nivel jerrquico que tiene la Funcin de
Informtica, los procesos bsicos de negocio, asi como las entidades externas al negocio que se
relacionan con cada rea de negocio.
Los aspectos relevantes que debe solicitar el Auditor de Informtica para su anlisis
preliminar y que emanan de este punto son :
- Misin del Negocio
- Areas o Proceso del negocio
- Organigrama del Negocio ( Detectar ubicacin de Informtica)
- Relacin entre las diversas reas del negocio
- Relacin del Negocio con reas externas (Clientes, Proveedores, por ejemplo)
- Organigrama
- Polticas referentes a Informtica
- Otros de Interes para el Auditor de Informtica de acuerdo a las
caractersticas propias del proyecto
6.1.2. A poyo al negocio
El Auditor de Informtica debe obtener una concepcin inicial del grado de apoyo y
satisfaccin que existe en el negocio, debe ubicar al menos una estimacin de haca donde se orienta
el soporte de la Funcin de Informtica :
- Apoyo a la Alta Direccin (Sistemas de Informacin Estratgica, Tecnologa, Etc.)
- Apoyo a las Gerencias (Sistemas de Informacin Integrales, Tecnologa, etc.)
- Apoyo a Niveles Operativos ( Sistemas de Informacin bsicos, Tecnologa, Etc.)
D ebe conocer de manera general los siguientes aspectos :
- Involucracin de la Funcin de Informtica en los proyectos claves del negocio
- Difusin de las Polticas y Planes de Informtica en los niveles Estratgico, Tctico
y Operativos del Negocio
- Imagn de Informtica que tiene la Alta Direccin y Responsables de cada rea del
Negocio
- Grado de Satisfaccin que existe por cada servicio prestado por la Funcin de Informtica
- Expecttivas que tiene el negocio por Informtica
- Fortalezas de Informtica y debilidades de Informtica
- Areas de Oportunidad (Propuestas ya sea por la Alta Direccin, Usuarios o Informtica)
- Otros de Interes especfico del Auditor de Informtica
6.2. D iagnstico de I nformtica ( R esponsables de la F uncin)
6.2.1. C onocimiento de la F uncin de I nformtica
En este parte de la etapa Preliminar el Auditor de Informtica pretende conocer:
- La estructura interna de Informtica
- Funciones
- Objetivos
- Estrategias
- Planes
- Polticas
- De manera general la Tecnologa de Software y Hardware en que se apoya
para llevar a cabo su Funcin dentro del negocio.
Otros de nteres especfico para el Auditor de Informtica
Se busca tambin obtener la Informacin relacionada con algunos aspectos que han sido
indagados con los usuarios y la Alta direccin con el objetivo de encontrar la consistencia o en su
defectos las discrepancias entre una opinin y la otra.
Las entrevistas deben efectuarse con el responsable de Informtica y ocasionalmente con los
encargados directos de las funciones claves de esta rea. La importancia de concientizarlos en la
necesidad y provecho que brinda su apoyo a este tipo de proyectos es indispensable, el Auditor de
Informtica debe ser profesional y tico en su trabajo para brindarles la seguridad de que al final todo
redundar en beneficios para todos los involucrados (la direccin, los usuarios e Informtica).
El hacer un equipo de trabajo unido es un aspecto muy positivo en cualquier proyecto, los de
Auditora de Informtica no son la excepcin, se requiere que el Lider del Proyecto desarrolle en la
etapa preliminar una buena comunicacin con el personal de Informtica, lo que podr ser logrado en
gran medida si entiende satisfactoriamente los logros, debilidades y fortalezas tecnolgicas, humanas
y organizacionales del personal que integra la Funcin de Informtica.
En caso de que el Auditor de Informtica revise vaga e informalmente la informacin aqui
recomendada o simplemente omita su busqueda, corre el riesgo de planear o sugerir proyectos que
no tengan el alcance requerido para asegurar que todas las reas de oportunidad y aspectos de riesgo
sean contemplados o evaluados.
6.2.2. S ervicios
Un aspecto clave a considerar en la Etapa Preliminar es la evaluacin general de los servicios
que presta Informtica a las diferentes reas del negocio y en los diferentes niveles organizacionales.
El Auditor de Informtica puede ya formarse un juicio inicial de la congruencia que existe
entre las reas usuarias y el responsable de Informtica, aqui se detecta por lo general que servicios
ya son aceptados formalmente en el negocio como estratgicos y cuales son meramente operativos o
necesarios para llevar a cabo tareas que no producen valor agregado.
El objetivo de conocer su opinin respecto a esto es encontrar una consistencia entre lo que
es su funcin y lo que dice la Alta Direccin que debe ser. No se busca crear controversias, ni de
encontrar fallas personales.
El Auditor de Informtica tiene la responsabilidad moral de darle un sentido crtico y
prctico para orientar los esfuerzos de todas las reas del negocio a encontrar un mejor modo de
hacer las cosas desde el punto de vista profesional en el campo de Informtica y de ser posible en las
reas del negocio involucradas en este tipo de proyectos.
L os servicios que brinda generalmente I nformtica son :
- Implantacin de Soluciones de Informacin :
- Desarrollo de Sistemas de Informacin :
- No integrados - Integrales - Estratgicos
- Compra y adecuacin de Aplicaciones hechas por externos
- Bases de Datos :
- Centralizadas - Descentralizadas
- Evaluacin, Adquisicin, Instalacin y Reemplazo de :
- Equipo de Computo
- Paquetes de Software (Procesadores de palabras, Hojas de Clculo, etc.)
- Equipos de Telecomunicaciones
- Lenguajes de Programacin
- Mantenimiento:
- Sistemas de Informacin
- Base de Datos
- Equipe de Computo y de Telecomunicaciones
- Redes Locales
- Soporte a Usuarios
- Capacitacin y Asesora
- Investigacin :
- Tecnologa (Equipos de Computo, Comunicaciones, CASE, EDI, etc.)
- Otros de acuerdo al tipo de negocio
6.2.3. A spectos de C ontrol
Otra actividad de la Etapa preliminar para e! Auditor de Informtica es el evaluar el G rado
de F ormalidad y C umplimiento que se le da a las P olticas, C ontroles y P rocedimientos
relativos a cada una de las reas de I nformtica.
Una manera de obtener dicha informacin es a travs de la entrevista que concede el
responsable de Informtica al Lider de Proyector o una manera ms directa es entrevistar a cada uno
de los encargados de cada una de las reas que conforman la Funcin de Informtica, evitando caer
en el detalle y ocupar mucho tiempo en las entrevistas.
A lgunos aspectos que deben ser considerados, son al menos los siguientes :
- Polticas y Procedimientos de Organizacin de la Funcin de Informtica :
- Descripcin de Puestos y Funciones - Evaluacin de Desempeo
- Polticas y Procedimientos para el Desarrollo e Implantacin de Sistemas
- Polticas y Procedimientos de Evaluacin de Hardware y Software
- Polticas y Procedimientos de Seguridad
- Polticas y Procedimientos de Mantenimiento
- Preventivo - Detectivo - Correctivo
- Plan de Contingencias
- Otros de Interes especfico del Auditor de Informtica
L a actividad inicial de la siguiente E tapa, que es la de Justificacin, depende en alto
grado de los resultados y observaciones relativos al control emanados de los puntos de control
mencionados anteriormente.
7. Etapa de J ustificacin :
7.1, M atriz de R iesgos / Justificacin por rea de revisin
7.2 P lan G enera] del P royecto de A uditora de I nformtica
7. E tapa de Justificacin :
Una vez que se ha concluido la E tapa P reliminar (Cuando todas las tareas se han
terminado satisfactoriamente y se obtuvieron los Productos Terminados para esa fase) se
procede a continuar con la Etapa de J ustificacin ( F igura 6- 1) , la cual se explicar a
continuacin.
Etapa Preliminar
( T erminada)
E tapa de Justificacin
( E n ejecusin)
Etapa de Adecuacin
( P osterior)
N ota : Es Factible que el Lider del Proyecto de Auditora de Informtica desee realizar
algunas actividades en paralelo, lo cual es muy valido y justificado si se cuenta con los recursos
necesarios y la experiencia en este tipo de proyectos.
Volviendo a la descripcin de la E tapa de Justificacin diremos concretamente que es
aqu donde se justifica la Revisin o Evaluacin de las reas o funciones crticas relacionadas
con Informtica.
L os P roductos terminados ms importantes de la etapa son tres :
1. Matriz de Riesgos 2. Plan General de Auditora de Informtica 3. Vo. Bo. por escrito
Cada uno de ellos forma parte escencial del Proceso Metodolgico, el primero porque
define las Areas que sern auditadas, el segundo porque establece las tareas, tiempos,
responsables, etc. del Proyecto y el tercero debido a que le da el visto bueno al Lider de
proyecto para continuar con las siguientes etapas contempladas en el Plan general.
7.1. M atriz de R iesgos / Justificacin por A rea de revisin
La siguiente tarea a realizar por el Auditor de Informtica en la presente tapa
(J ustificacin) es elaborar la Matriz de Riesgos, cuyo objetivo principal es detectar las reas de
mayor riesgo que existene en relacin a Informtica y que requieren una revisin de manera
formal y oportuna.Las tareas, productos terminados, responsables e involucrados vienen en la
F igura 6- 1
En las F iguras 7- 1, 7- 2 se muestra el contenido que debe tener la M atriz de R iesgos
<Z)
O
O
t
t
Q
N
M
as
H
<
<
U
M
S

O
t
z
MM
t
H

o
z
a

t 06
O
H
Z
t
t

t
M
I
c
D
t
H
Z

z
<t
t t
O o
cu a.
^ S
y QC
S3
S
S S
a
S c
o -o
2 "G
o -o
2 "G
a

.a S
a

"i 1 "i 1
a
Wi
rt
S
-H
O
s
s"
"S
3
o
a C.
R
E 4>
S
s
s
4)
a
&
g
ri
a
e

s
9
SA
s 41
S

T!
o V

T!
v>o -u
</ >
41
4
c?
M
a
CA
4
ri
41
a
&
c
V
1
9
O"
Su
S
JS
VI
53
S 2
<a c
cl.
I i
e
en 0
e l
C U.
S s
H 1
4>
>
2
=.i
f >2
w
o
co bri
S
2
S
>>
^ ^ ^
(A
4>
C
o
0
1
c .
<



a
c/3

'G
C
u
efl
-S c
c ^
8 g

O S <U
CO - Q
ri rn
Q
2
t
N
8
u
S
Oft
S
e
S
u u
3
ss

a 4>
U
'C

en
s

o
o ~>k
s u
S
a
3
es o
h.
4*
o
4>
S3
3
w
B
4*
</ >
.S
^
</ >
.S
4>
'S S
e
t
a
0
4>
CA
ex aT
P
s
aT
P
CA L>
S
O
V)
es
w
"H.
(A
4
a
i-
s
e
4
'C .O
4>
ri
^
B
0
4)
3
6
ri
I
IA

O"
IA

CA
Z
J
O
ce u
H
CA
S
a>
ri
B
4
a
T5
mm
S
s
S
S 41
4
s
ri
CA .4
O
ri
S
SS
<A 4
e
4
3
S &
c
o
M
a; o
S
B
1)
a
O
V
G
t
o
^S
es
B T3
es o
CA
es
A
"S
s
4>
CA
es
(J
"S
s
4>
4<
a
A
s
CA
2
&
<U
2
CA
SS
B

S
4>
4
J B

S
a
CA
O
a.
S
S3
A
O
X
41
ri
(J
e

a
o
t-
CA
9
S
B

e
u
o
<s
u
'u
CA
41
T
41
CS
ri
"3
ai
"U
E
L.
e
^
<A O u
a s 4)
4 s 3
La M tj
4>
es
(A
o
f
4>
T3
o
t
e
5
3
U
a
s
S
Z <
IT}
-fl-
ee
C
'ob
Cu
7.1. M atriz de R iesgos / Justificacin por A rea de revisin
Si de aqu emanan anomalas de considerable importancia, en alguno de sus elementos
evaluados, se deben tomar acciones inmediatas orientadas a minimizar y/o eliminar la
anomala (Se plantearn en el Plan de Auditora de Informtica como acciones Inmediatas).
Se debe determinar el nivel de Riesgo que existe en cada una de las reas de la
Funcin de Informtica : Cada rea, producto o servicio de Informtica es susceptible de
evaluacin y control para el aseguramiento de que se desarrolle de acuerdo a los
estndares, polticas y procedimientos especficos que le han sido asignados de acuerdo a
su funcin.
7.2. P lan G eneral del P royecto de A uditora de I nformtica
Una vez elaborada, revisada y documentada la M triz de Riesgos de acuerdo a los
riesgos ms relevantes se procede a la Formulacin del Plan General de Informtica, el cual
consiste bsicamente en plantear las tareas ms importantes que se llevarn durante un cierto
periodo al efectuar la Auditora de Informtica( V er F igura 7- 3) .
L as actividades principales a ejecutar por el A uditor de I nformtica o por el
L ider del P royecto para la elaboracin del P lan G eneral son al menos las siguientes :
* Estimar el tiempo que le llevar el auditar cada rea determinada en la Matriz de
Riesgos y en las tareas de apoyo para lograr las Areas de Oportunidad planteadas.
* Analizar y definir cuales sern los aspectos o componentes ms relevantes a evaluar
* De ser necesario verificar su importancia y validez con los involucrados sin llevarse
mucho tiempo y tecnisismos en las entrevistas (Puede servia telefnica, fax o personalmente)
* Asignar prioridades a cada rea a evaluar o revisar en conjunto con los principales
involucrados en el proyecto
* Definir fechas estimadas de Inicio y Terminacin por Area de Revisin, no por
componente.
* Otras de Interes para el Auditor de Informtica de acuerdo a las caractersticas del
Proyecto y el negocio

o

u
<
o
z
o
ta*

<
C
O
os
<
w

O
H
U
w
>-
o
cu
_
t
O
os
u


t
tu
X
<
X
t
H
z
<
H
Z
< t
t t
tf
CL O-
S W
t
ta
m


g
s
9
o
CS



o
O
u.
U
a
2
9
t
<
V
3
o
ts "O
S
s
c
.2
O. u
l a
a


S
o
o
SI


E
o
T9
S
<U
S
v
3
z
es

<
o
4> O
="S
e *
.2
j
$
<
z
o
M
u
u
t
J
t
<x
<
ce
es

S
o
c
es

"s
E
o
S
o

S
2
es

<
"O
4>e
s "
S
g l
Q. W
S i

CA
<
Q
<
Z
O
NH
u
u
w
u
w
c/5
55"
2
3
OD

4
o
es
fi.
3
e

4*
3
O"
U
(S
o
e
m
r
S
9
S
U
.O
r-
<3-
<e
c
'5o
H
8. E tapa de A decuacin ( A daptacin a caractersticas del N egoci o) :
8.1. Plan detallado del Proyecto de Auditora I nformtica
8.2. Aspectos a evaluar por Area de Revisin
83. Definicin de Tcnicas y Herramientas a utilizar por
Area de revisin
8.4. Definicin y/o Actualizacin de Estndares, Polticas
y Procedimientos a verificar porArea de Revisin
8.5. Elaboracin y/o Actualizacin de Cuestionarios por Area
de Revisin
8. E tapa de A decuacin ( A daptacin a caractersticas del N egocio) :
La Etapa que ahora nos ocupa es la que se enfoca al anlisis, adecuacin y
actualizacin de todos los elementos que se involucran en un Proyecto de Auditora de
Informtica pero a un nivel detallado.
Las tareas ejecutadas en la E tapa de A decuacin tienen como objetivo principal el
adaptar todo el proyecto a las caractersticas del negocio, sin olvidar la referencia de los
estndares, polticas y procedimientos de Auditora de Informtica comunmente aceptados y
recomendados por las Asociaciones relacionadas con Auditora de Informtica, as como las
formuladas y aprobadas de manera particular en los negocios para Informtica.
Las tareas, Productos Terminados, Responsables e Involucrados de la E tapa de
A decuacin se encuentran en laF igura 8- 1
Etapa de Justificacin
( T erminada)
E tapa de A decuacin
( E n ejecusin)
Etapa de Formalizacin
( P osterior)
o
m

C
'5b
CU
8.1. P lan detallado del P royecto de A uditora I nformtica
Esta es, sin duda una de las tareas ms importantes de la E tapa de A decuacin, ya
que en ella se define todo el detalle de los elementos involucrados en el proyecto, se
especifican tareas, productos terminados, responsables, fechas, etc. que sern validadas y
aprobadas en la E tapa de F ormalizacin para arrancar el Proyecto definitiva y formalmente.
P lan D etallado de A uditora de I nformtica : Es el que detalla la informacin
relacionada con:
* El desarrollo de la Auditora de Informtica (Auditora a las Areas seleccionadas en la
fase de J ustificacin)
* La documentacin, la revisin y aprobacin del Informe de Auditora de Informtica
Los datos mencionados en el Plan Detallado de informtica se enfocan a ser la gua del
Proyecto de Auditora de Informtica desde el punto de vista del cliente ya que describe las
tareas, productos terminados, responsables, involucrados, fechas de revisin, etc.
A spectos relevantes del P lan D etallado de A uditora de I nformtica :
+Especifica Responsables e Involucrados en cada Area a Auditar
+Es el detalle final del Plan
+Ya fu adaptado y actualizado en base a caractrsticas especificas del proyecto
+Otros
8.2. A spectos a evaluar por A rea de R evisin
Los aspectos o componentes a evaluar ya fueron mencionados en la Matriz de Riesgos,
lo que procede en esta tarea es hacer una verificacin de si son las requeridas y si los objetivos
de las reas mencionados son vlidos y completos
Es recomendable que las Areas Susceptibles de Auditar y los componentes de cada
Area que sean agregados por el Auditor de Informtica en el momento de que un proyecto as
lo requiera, se les elaboren los cuestionarios correspondientes y de ser posible que sean
manejados en los formatos y secuencia de tareas aqu sugeridos para no perder continuidad.
Pgi na: 51
32618
83. D efinicin de T cnicas y Herramientas a utilizar por
A rea de revisin
Aqu se especifican las Tcnicas y Herramientas recomendadas que debe conocer
amplia y satisfactoriamente el Auditor de Informtica para a revisin con conocimiento de
causa de cada una de las Areas plasmadas en el Plan Detallado.( V er F iguras 5- 2 y 5- 3)
La experiencia profesional que se haya obtenido en cada una de las reas (Desarrollo,
Telecomunicaciones, Mantenimiento, Administracin de Informtica, etc.) hacen ms viable
una auditora y definicin de soluciones eficiente y sin contratiempos.
No es un presagio negativo el no haber trabajado en las Areas que sern auditadas,
simplemente el grado de investigacin y actualizacin en los temas o aspectos que sern
evaluados debe ser ms profundo.
Es casi imposible asegurar que todos los Auditores de Informtica dominan todas las
Areas de Informtica susceptibles a auditarse, sin embargo el Auditor de Informtica debe
especializarse y actualizarse en medida de lo posible en las Areas que el considere criticas para
su negocio o especficamente de los requerimientos que van surgiendo a lo largo de su trabajo,
no debemos olvidar por ultimo, que debemos ser proactivos, no reactivos.
8.4. D efinicin y/o A ctualizacin de E stndares, P olticas
y P rocedimientos a verificar por A rea de R evisin
Todas las acciones operativas y administrativas de las organizaciones deben ser
direccionadas en base a lincamientos, polticas y procedimientos, con el objetivo principal de
que los individuos que en ella laboran, lo hagan en forma metdica (sin entenderse como un
trabajo mecnico y robotizado), con estndares de negocio o con normas de calidad y
productividad comunmente aceptadas en negocios similares al mismo giro de empresa.
Adems existen Asociaciones Profesionales, Instituciones Educativas, etc. que orientan
a los individuos a trabajar de una manera productiva y especializada.
En lo que se refiere a Estndares, Polticas y Procedimientos se aclara que las
actividades y elementos que se involucran con Informtica se manejan con este criterio de
operar bajo estndares comunmente aceptados en el medio ambiente de dicho campo.
Las funciones de Desarrollo e Implantacin de Sistemas de Informacin, al igual que
las de Planeacin de Informtica o las de Telecomunicaciones e Investigacin se encuentran en
un marco nacional e internacional donde existen estndares, metodologas, tcnicas y
herramientas de trabajo recomendadas para un desempeo eficiente de cada una de las
actividades inherentes a sus tareas.
C omo se definen los E stndares, P olticas, P rocedimientos
de A uditora de I nformtica ?
Al igual que para las funciones de Planeacin, Telecomunicaciones, etc. existen
Asociaciones Nacionales e Internacionales que se integran por profesionistas de gran
experiencia y conocimiento en el campo, que se enfocan a establecer, formalizar, difundir y
recomendar la aplicacin de los estndares, polticas y procedimientos ms convenientes a las
necesidades actuales y futuras de la rea de especializacin a la que ellos se dediquen.
S e menciona a continuacin las ventajas que tienen las A sociaciones N acionales e
I nternacionales en lo referente al punto que se est tratando :
+Le estndares recomendados son reconocidos a nivel nacional e internacional
+Agrupan personal de gran experiencia en el campo
+Existen programas de actualizacin e iniciacin en la Auditora de Informtica
+Cursos y seminarios son impartidos continuamente
+Se pueden cambiar experiencias con miembros de diferentes empresas y paises
+Otras
8.5. E laboracin y/o A ctualizacin de C uestionarios por A rea de
R evisin:
Cada entrevista, visita o verificacin que vaya a realizarse en la Etapa de Desarrollo de
la Auditora de Informtica (Reflejada en el Plan Detallado de Auditora de Informtica como
la Evaluacin de las Areas Seleccionadas) debe ser soportada por preguntas especficas y
definidas previamente.
La forma en que se aplicarn los cuestionarios, puede ser a travs de una entrevista
personal con los involucrados en el proyecto (Usuarios o personal de Informtica), por medio
de visitas de verificacin fsica (Evaluando los equipos y materiales de informtica de nteres
para el proyecto) o la aplicacin de checklists (Lista de preguntas breves y concretas)
orientadas a personal que requiere una atencin breve por sus mltiples aplicaciones o
simplemente porque lo que se busca de l es una participacin mnima en el trabajo del
proyecto.
L as caractersticas ms importantes que deben cubrir los cuestionarios son al
menos los siguientes : A ctualizadas, orientadas a los aspectos evaluados, no
redundantes, concretas, tcnicas y basadas si es posible en estndares .
A C O N T I N U A C I O N S E D E S G L O S A N L O S C U E S T I O N A R I O S S U G E R I D O S P A R A
A P L I C A R L A A U D I T O R I A D E I N F O R M A T I C A , L A F O R M A , L A S E C U E N C I A D E A P L I C A C I O N ,
L A S P R E G U N T A S C O M P L E M E N T A R I A S U O T R O S A S P E C T O S Q U E D E S E E N S E R E V A L U A D O S
C O N C U E S T I O N A R I O S A D I C I O N A L E S S E R E C O M I E N D A S E A N E L A B O R A D O S
F O R M A L M E N T E P A R A E F E C T U A R U N A E V A L U A C I O N C O M P L E T A Y V E R A Z.
C U E S T I O N A R I O S P A R A E F E C T U A R L A A U D I T O R I A
D E I N F O R M A T I C A P O R A R E A S D E R E V I S I O N
ADMI NI STRACI ON DE INFORMATICA
USUARIOS DE INFORMATICA
CONTROL I NTERNO
METODOLOGI A DE DESARROLI.O (CDISI)
SI STEMAS DE INFORMACION
MANTENI MI ENTO
REDES LOCALES
S O F T WA R E
SEGURIDAD
N ota : A l aplicar cada uno de los siguientes cuestionarios recomendados se debe
tomar como referencia a las figuras 5- 2 y 5- 3 que muestran algunas de las T cnicas
sugeridas para el desarrollo de la A uditora de I nformtica.
D ichas figuras podrn ser complementadas con el uso de T cnicas y Herramientas
especificas recomendadas comunmente por los especialistas de cada una de las reas que
sern evaluadas.
O B JE T I V O S D E E S T A R E V I S I O N :
- Verificar que se exista un uso eficiente de los recursos de Informtica
(Personal, Tiempo, Tecnologa y Dinero)
- Asegurar que la Funcin de Informtica cubra los mayores riesgos y exposiciones
existentes en el Medio Ambiente de Informtica
- Asegurar que los recursos de Informtica (Hardware, Software, Telecom i nunicaciones,
Servicios, Personal, Etc.) sean orientados a los objetivos y las estrategias del negocio.
- V erificar que exista una :
- Elaboracin y Formalizacin de Planes de Informtica
- Organizacin y control formal sobre los recursos de Informtica
- Direccin, coordinacin y control de los proyectos de Informtica
- Verificar la existencia de Servicios de Informtica documentados y difundidos en el
negocio
- Asegurar que existan parmetros de medicin para el desempeo de cada una de las
Funciones de Informtica
ADMI NI STRACI ON DE I NFORMATI CA
1. MI SI ON Y OBJ ETI VOS DE I NFORMATI CA
A D M I N I S T R A C I O N D E I N F O R M A T I C A
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.- Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o encargados de Informtica
A D M I N I S T R A C I O N D E I N F O R M A T I C A
1. M I S I O N Y O B JE T I V O S D E I N F O R M A T I C A
A spectos C laves a E valuar
1. Existe un documento formal que describa claramente los siguientes aspectos :
- Misin de Informtica en el Negocio
- Estructura Organizacional de la Funcin
- Roles dentro de la organizacin
- Funciones y actividades por cada puesto existente en el organigrama
- Planes de Informtica (Corto, Mediano y Largo Plazo)
- Polticas y Procedimientos de Informtica
- Otros
1.1. Si el documento no existe, cul ha sido la causa o motivos para no hacerlo
formalmente (en documento) ?
2. En caso de que exista dicho documento, fu el mismo comentado con las reas
internas de Informtica, Areas Usuarias y con la Alta Direccin respectivamente ?
3. Si es as cual fu el procedimiento que se utiliz :
- J untas
- Va memorndum's, circulares, etc.
- Platicado en un reunin informal
- Induccin al momento de que el personal de Informtica ingresa
al negocio
- Otros
4. Fu aprobado por la Alta Direccin ?
5. Est conciente el personal de Informtica de la importancia que tiene el orientar los
esfuerzos al cumplimiento formal y oportuno de : La misin, objetivos, estrategias y de las
Polticas y Procedimientos de la Funcin de Informtica ?
6. Se encuentran bien establecidos y entendidos los Roles de Informtica en la
organizacin ?
6.1. Cuales son dichos roles desde un punto de vista objetivo y prctico ?
6.2. Son los roles que se ejercen actualmente los requeridos por el negocio ?
6.3. En caso de que los roles deban ser actualizados o complementados que
descripcin les dara a los roles requeridos para un apoyo ms significativo al negocio
7. Existe un Comit de Informtica ?
7.1. Quienes forman parte del Comit de Informtica?
7.2. Cuales son los objetivos y funciones principales del Cmite ?
1. MI SI ON Y OBJ ETI VOS DE I NFORMATI CA
8. Existe una Estructura formal de Informtica (Manual, Documento, etc.) que
contemple al menos lo siguiente :
- Organigrama
- Descripcin de objetivos, funciones, responsabilidades y mtodos de
trabajo por cada puesto existente en el organigrama
- Flujos de informacin entre los diferentes niveles y reas de Informtica
- Otros aspectos organizacionales
9. Tiene el responsable de Informtica o la Alta Direccin planeado algn cambio
significativo en la estructura de Informtica para los prximos doce meses ?
10. Cules de los siguientes factores negativos se presentan actualmente en la Funcin
de Informtica :
- Improductividad
- Falta de Motivacin
- Imagen negativa en el negocio
- Otros
11. Existe un catalogo de servicios de informtica ? Est acorde a las necesidades
actuales del negocio?
12. Cuando existen servicios de Informtica proporcionados por terceros y que tienen
un alcance periodico y estratgico en el negocio ( Planeacin de Informtica, Desarrollo de
Sistemas, Asesora al personal usuario y/o Alta Direccin y/o Informtica, etc.) se integran al
catalogo de servicios ?
13. E xiste un procedimiento formal de seguimiento al desempeo y
rendimiento del personal de I nformtica ? E n que consiste? C omo se lleva a la
prctica ? E n que periodos?
14. O tros aspectos que considere relevantes para el mejoramiento de la
A dministracin de la funcin de I nformtica?
U S U A R I O S D E I N F O R M A T I C A
1. C O M U N I C A C I O N E I N T E G R A C I O N
OBJ ETI VOS DE ESTA REVISION :
- Detectar el grado de confianza, satisfaccin y respaldo que perciben los usuarios de parte de
la Funcin de Informtica.
- Detectar el soporte real que brinda la Funcin de Informtica a los diferentes
Departamentos Usuarios del Negocio.
Verificar que las bondades y limitaciones de cada uno de los Sistemas de Informacin sean
percibidos claramente (detalle) por los usuarios y que este entendimiento sea congruente con
la realidad.
La calidad, oportunidad, utilidad y confiabilidad real de cada uno de los Sistemas de
Informacin debe ser definida por el auditor y validado por los responsables de Informtica y
de los Usuarios.
- Verificar el grado de involucracin de los usuarios en
proyectos especifeos,como pueden ser el Desarrollo de Sistemas, Evaluaciny Adquisicin de
Paquetes que sern utilizadospor los mismos usuarios, Etc.
- Verificar Si existen procedimientos formales para el seguimiento de la comunicacin entre
los usuarios e Informtica.
- Verificar si existe un comit formal integrado por representantes de Informtica y de los
Departamentos Usuarios.
U S U A R I O S D E I N F O R M A T I C A
A ctividades P rincipales para A uditaresta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.- Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o encargados del (os) Departamento(s) Usuario(s)
U S U A R I O S D E I N F O R M A T I C A
1. C O M U N I C A C I O N E I N T E G R A C I O N :
A spectos C laves a evaluar
1.- Conocen las reas usuarias la misin de Informtica en la empresa ?
2.- Conocen Cuales son los roles de Informtica en la empresa ?
2.1. Conocen los Usuarios los Servicios y Productos proporcionados por Informtica ?
3.- Ha difundido el Area de Informtica a las Areas Usuarias los conceptos anteriores
de manera formal ?
3.1. Estn por escrito ?
3.2. Como lo han difundido (reuniones entre las reas usuarias - Informtica, etc.)
3.3. Fueron aprobados formalmente ?
4.- Existe un compromiso formal de parte de las Areas Usuarias para cooperar en lo
necesario con la Funcin de Informtica en el cumplimiento oportuno y satisfactorio de sus
responsabilidades ?
4.1 Si es as, en que forma se da este compromiso ?
4.2. Existe un cmite integrado por los Usuarios e Informtica ? Que hace dicho cmite?
5.- Si no hay cmite, quien se hace responsable de la funcin de informtica por parte
de las reas usuarias ?
6.- Como se difunde a las reas usuarias los roles y responsabilidades de Informtica a
travs de la organizacin ?
7 .- Existen sugerencias que considere los usuarios que puedan apoyar a los objetivos
estrategias, roles y responsabilidades de la Organizacin por medio de los servicios de la
Informtica ? Cmo las han externado a Informtica ?
8. Como considera usted el nivel de comunicacin que existe entre ustedes e
Informtica actualmente ? Porque ?
9. Como se aseguran que los compromisos de apoyo, seguimiento y aprobacin a
proyectos de Informtica para las reas usuarias se lleve a cabo oportuna y formalmente ?
1. C O M U N I C A C I O N E I N T E G R A C I O N :
10..- Conoce cuales son los proyectos a corto, mediano y largo plazo donde el usuario
deba involucrarse ? Como los difundi Informtica? Se han dado los resultados esperados?
11 Si es as, que tipo de proyectos sern o estn siendo desarrollados en conjunto con
Informtica : (mencinelos y clasifiquelos por orden de Importancia para usted) ?
12. El proceso utilizado para la elaboracin y formalizacin de los proyectos se basa
en alguna metodologa formal utilizada por Informtica o en las dems reas del negocio ?
13. Que procedimiento o actividad se realiza para verificar avance y Calidad en los
proyectos ? quien lo lleva a cabo ?
14. En caso de existir inconsistencias entre los proyectos que acciones se llevan a la
prctica ?
15.- Ha difundido la Funcin de Informtica los productos y Servicios que ofrece a
los usuarios ? Si es as, como los difundieron? Son acordes a sus necesidades reales?
16.- Que opina de los productos o servicios que usted est utilizando ? (especifique por
servicio)
17.- Existe(n) algun(os) Requermiento(s) en su departamento que no esten apoyados
por los productos y servicios de la Funcin de Informtica ?
18.- Segn su opinin se da atencin oportuna y formal a las solicitudes de servicios
que usted hace ?
19. sugerencias para mejorar los Servicios y Productos de Informtica?
20.- Le brinda Informtica cursos de capacitacin ? Son formales ? Oportunos?
21. Respecto a los recursos de Informtica (Aplicaciones, Equipos de Computo,
Paquetes de Software) que existen en sus departamentos (reas usuarias) Quien es el
responsable de su administracin? Cmo se lleva a cabo? (especifique por tipo de recurso)
C O N T R O L I N T E R N O
1. POLITICAS Y PROCEDIMIENTOS
O B JE T I V O S D E E S T A R E V I S I O N :
- Detectar el grado de estandarizacin y seguimiento formal que existe en el medio ambiente
de Informtica
- Evaluar la existencia de Polticas y Procedimientos requeridos para el desempeo eficiente
de cada una de las funciones de Informtica :
- Administracin de la Funcin de Informtica
- Soporte a Usuarios (Capacitacin, Aseora en HW, SW, Aplicaciones, etc.)
- Desarrollo e Implantacin de Sistemas de Informacin
- Mantenimiento de Sistemas de Informacin
- Operacin de Sistemas de Informacin
- Automatizacin de Oficinas
- Otras especficas en su negocio
- Verificar y asegurar el cumplimiento oportuno y formal de las Polticas y Procedimientos
relacionados con la funcin de Informtica
C O N T R O L I N T E R N O
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al personal de Informtica y a los usuarios
C O N T R O L I N T E R N O
P O L I T I C A S Y P R O C E D I M I E N T O S
A spectos C laves a E valuar
1. Existen Polticas y Procedimientos formales (Aprobados por el Responsable de
Informtica y/o Alta Direccin y/o Auditora de Informtica relativos a la Administracin de
cada una de las funciones de Informtica ?
1.1. Si es as, Mencinelas a continuacin, explicando brevemente en que consiste cada
una de ellas y las acciones que ejecuta para asegurar que se difundan, se entiendan, se cumplan
y se les de seguimiento formal y oportunamente.
A rea / F uncin Polticas /
Procedimientos
D escripcin
y O bjetivos
A cciones para
C umplimiento
(S eguimiento)
Soporte a los Usuarios (Capacitacin,
Asesora, etc.)
Desarrollo e Implementacin de los
Sistemas de Informacin
Mantenimiento / Actualizacin a los
Sistemas de Informacin
Operacin de Sistemas de Informacin
Auditora de Informtica
O tras especificas en su negocio
2. Existe una funcin dentro de la organizacin o alguna funcin externa encargada de
evaluar el grado de cumplimiento de las Polticas y Procedimientos establecidos por Control
Interno ( o Funciones Similares) ?
2.1. Si es as, Cuales son las tareas y actividades que lleva a cabo ? En que periodos efecta
dicha evaluacin? Que tipo de informes presenta y a quienes lo entrega? Como se le da
seguimiento a sus recomendaciones?
2.2. Dicha funcin verifica el grado de actualizacin que requieren dichas Polticas y
Procedimientos para satisfacer los objetivos de control requeridos por el negocio ?
P O L I T I C A S Y P R O C E D I M I E N T O S
3. Que acciones de Control se llevan a cabo cuando algunas de las siguientes funciones no
cuentan con Polticas y Procedimientos que asegueren al negocio que la implantacin,
operacin de tales servicios y productos no alteren la Integridad, veracidad y
Confidenciabilidad requerida en el manejo de la Informacin del negocio :
CONCEPTO ACCIONES
DE CONTROL
- Soporte a Usuarios
- Desarrollo e Implantacin de Sistemas de Informacin
- Mantenimiento de Sistemas de Informacin
- Operacin de Sistemas de Informacin
- Otras especficas en su negocio ?
4. Existe una adecuada segregacin de Funciones para el desarrollo de cada uno de los
conceptos antes mecionados ?
M E T O D O L O G I A D E D E S A R R O L L O ( C D I S I )
1. M E T O D O L O G I A
O B JE T I V O S D E E S T A R E V I S I O N :
- A segurar que exista un proceso metodolgico para ejecutar el C iclo de V ida de
D esarrollo e I mplantacin de S istemas de I nformacin ( C D I S I ) formal y estandarizado
en la organizacin.
- Verificar y asegurar que se utilice la Metodologa del CDISI en cada proyecto de
Implantacin de Sistemas de Informacin (Evaluar este aspecto durante el desarrollo e
implantacin de un Sistema de Informacin).
- Verificar que exista un proceso formal de Capacitacin para el entendimiento y manejo
satisfactorio de la Metodologa por todo el personal responsable de los proyectos de desarrollo
e implantacin de Sistemas de Informacin (Aplicable a personal de nuevo ingreso)
- Verificar que exista un curso de orientacin bsica enfocado al personal involucrado en los
proyectos que no pertenece al rea de desarrollo y que sin embargo juegan un rol importante en
ste tipo de proyectos (Usuarios, Alta Direccin, Auditores, etc.).
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.-Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o encargados del Desarrollo de Sistemas
1. M E T O D O L O G I A
A spectos C laves a evaluar
1. Existe en su rea una Metodologa formal de Desarrollo e Implantacin de Sistemas ?
2.- Si es asi, contempla dicha metodologa los pasos y lincamientos requeridos para la
siguiente CLASIFICACION DE PROYECTOS :
a) Desarrollo de Sistemas
b) Compra de aplicaciones de mercado
c) Adaptacin de Aplicaciones adquiridas a extemos (aplicaciones de mercado)
d) Rediseo de Sistemas ya existentes
e) Otros
3.- Esta documentada dicha metodologa formalmente ?
3.1. Si es as, contempla la documentacin al menos cada uno de los siguiente puntos :
- Un panorama general de la metodologa
- Equipos de Trabajo sugeridos de acuerdo al tipo de proyecto
- Etapas del Proyecto
- Secuencia dej as Etapas
- Responsables e involucrados en cada Etapa
- Productos Terminados a obtener por cada Etapa o Tarea
- Otros que el Auditor de Informtica o el Responsable de Informtica
consideren importantes
4.- En caso de contar con una metodologa de Desarrollo e Implantacin de Sistemas, la
misma, fu desarrollada por Personal de Informtica de la empresa, fue comprada o la rentan
cuando es requerida ?
5.- Se capacito al personal de desarrollo en el entendimiento y uso prctico de la misma ?
5.1. Si no se capacito al personal en el uso de la metodologa como se asegura su
entendimiento y uso eficiente durante los proyectos ?
6.- Se actualiza la metodologa cuando es requerido ? Cmo ?
7.- Se documentan formalmente estos cambios ?
8.-Capacitan formalmente al personal requerido en la actualizacin de la metodologa ?
9.- Existe una congruencia de la metodologa CDISI con las metodologas
recomendadas como estandar en el mercado ?
10. Conoce el Personal de Informtica cuales son las tcnicas requeridas para el
desarrollo, seguimiento y documentacin formal de las Etapas del CDISI mencionadas
anteriormente ? Cules son dichas Tcnicas y Herramientas ? Las clasifican por etapa?
11.- Que procedimiento se utiliza para la capacitacin al personal de desarrollo en el
uso de de dichas Tcnicas y Herramientas ?
12 .- Documentar de acuerdo a la siguiente tabla las etapas, tareas, productos
terminados y Responsables correspondientes a la Metodologa de CDISI utilizadas por la
Funcin de Informtica para los Proyectos de Desarrollo e Implantacin de Sistemas de
Informacin :
s
s
o
Sq
r
Z
^
w

S
o
3
o
c
o
D
o
If)
41
o
c
o
3
e
c
O
S
o
</i
o
s
K:
41
>
2
b

T3
C
>0
"C
S
w
C
S
o
<


a
o
"3
"C
V
bt
3

u
0
: 'i
I
m
g
>-
o
a.
E)
a
i9

w
z
o
u
s
<
H
z
r"
co
'S I/)
CL, -1
LU
tt

o
D
S
<
(2
V)
CO
m
t-
03
C
'5b
ix
S I S T E M A S D E I N F O R M A C I O N :
1. O P E R A C I O N
SI STEMAS DE INFORMACION
OBJ ETI VOS DE ESTA REVISION :
- Verificar la existencia de polticas y procedimientos formales relativos a la operacin
de los Sistemas de Informacin
- Verificar que la liberacin de los Sistemas que se encuentran en operacin haya sido
aprobada por los usuarios de manera formal
- Asegurar que existan al menos los controles y procedimientos requeridos para :
- Entendimiento y uso eficiente de los Sistemas de Informacin en Operacin
- Documentacin (Manuales de Operacin)
- Capacitacin Previa a la Operacin Inicial y Capacitacin a personal
de nuevo ingreso que estar involucrado con la operacin de los Sistemas
- Satisfaccin de los requerimientos de Usuarios
- Procedimientos que aseguren la Continuidad en la operacin
- Seguridad en la operacin de los Sistemas
- Totalidad, Mantenimiento, Actualizacin, Autorizacin, Exactitud y Registro de datos
- Asegurar que los Sistemas de Informacin en Operacin hayan sido desarrollodos bajo el
Proceso Metodolgico CDISI establecido por Informtica como el estandar en la empresa
S I S T E M A S D E I N F O R M A C I O N
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.-Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable de los Sistemas en Operacin (Usuarios e Informtica)
S I S T E M A S D E I N F O R M A C I O N
1. O P E R A C I O N
A spectos C laves a evaluar
1 .-Cules son los sistemas de informacin que usted requiere para el soporte de las
funciones y actividades de su Gerencia/rea/departamento ?
2.- Cuales de ellos Estn en operacin/produccin de manera formal actualmente ?
1* ^
3.Estan los usuarios debidamente capacitados en el uso de los sistemas que operan
actualmente ?
4.- Manejan de manera formal y satisfactoria el :
- Llenado de documentos
- Captura de transacciones
- Proceso de Transacciones
- Uso y distribucin de reportes
- Manejo de los manuales de usuario
- Procedimientos y controles del sistema
4.1. Existen sugerencias para el mejoramiento de cada uno de los aspectos
mencionados a continuacin para el mejoramiento de la Operacin de los Sistemas actuales :
- Llenado de documentos
- Captura de transacciones
- Proceso de Transacciones
- Uso y distribucin de reportes
- Manejo de los manuales de usuario
- Procedimientos y controles del sistema
5.- Que procedimientos se siguen en la atencin y solucin de los nuevos
requerimientos de su Area para el mejoramiento de los sistemas en Operacin?
6.- Cmo se definieron, autorizaron y difundieron estos procedimientos ?
1. OPERACI ON
7.- Existe una funcin responsable, ya sea de su rea o de Informtica a darle
seguimiento oportuno a dichos procedimientos ?
8. Conocen todos los usuarios que operan los Sistemas dichos procedimientos?
Porque?
9. Considera que los procedimientos anteriormente mencionados son suficientes?
Porque?
10.- Existen procedimientos para el manejo de errores o cambios en los sistemas
actuales ?
11.- Existe Documentacin formal de los Sistemas que se encuentran actualmente en
operacin?
11.1.- Si la respuesta es afirmativa verificar si existe al menos la siguiente
documentacin :
- Manuales de Usuarios
- Manuales de Operacin
- Procedimientos de Contingencia y recuperacin
- Procedimientos para el manejo del equipo donde se encuentran
operando los sistemas
- Lista de Usuarios responsables de cada sistema y sus principales funciones
- Personal de informtica responsable de cada Sistema
- Otros ?
13.- Existe un conocimiento real por parte de los usuarios de los alcances y
limitaciones de cada sistema en operacin ? Porque ?
14.- Estn distribuidos estos manuales donde les corresponde? (Verificarlo mediante
observacin directa en las res de los usuarios, de operacin y de Informtica)
M A N T E N IM IE N T O
1. HA R D WA R E
2. SI STEMAS DE I NFORMACI ON
OBJ ETI VOS DE ESTA REVISION :
- Verififcar la existencia de polticas y procedimientos formales relativos al Mantenimiento
Preventivo y Correctivo del Hardware y los Sistemas de Informacin dentro de la
organizacin.
- Verificar que el mantenimiento efectuado a los elementos antes mencionados, garantice la
continuidad en las operaciones crticas del negocio.
- Verificar que el Area de Informtica y las Areas usuarias sean oportunamente informadas
de los calendarios de mantenimiento, y en su caso si son mantenimiento de tipo correctivo,
debe proveerse a las areas afectadas de los elementos necesarios que les garanticen la
continuidad en el manejo de equipo, sistemas y software.
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla a los responsables de dar Mantenimiento al Hardware y los Sistemas de
Informacin.
M A N T E N I M I E N T O
1. HARDWARE
Aspectos Claves a Evaluar
1.- Existe una lista del Hardware existente en su negocio (Departamento de Informtica y
Areas Usuarias) ?
2.- Esta identificado el lugar fsico del Hardware y los responsables de su uso y custodia ?
3.- Se cuenta con manuales y/o procedimientos para el manejo del Equipo ?
4.-Existe un procedimiento formal, para darle mantenimiento al Hardware ?
4.1. Contempla dicho procedimiento al menos lo siguiente :
- Formulacin y Difusin del Plan de Mantenimiento Preventivo/Correctivo
- Difusin del Plan de Mantenimiento Preventivo/Correctivo
- Identificacin del tipo de Mantenimiento (Preventivo o Correctivo)
y las causas o razones de su realizacin
- Identificacin de los Recursos de Hardware que tendrn mantenimiento
- Registro de las actividades realizadas, pendientes y problemas originados
durante el Mantenimiento Preventivo/Correctivo
4.2.- Es este procedimiento valido para :
- Microcomputadoras / Redes Locales
- Minicomputadoras
- Mainframes
- Equipo periferico
_ rWm ani unA ? / f i ma ^ f i n i i ^
6. Existen acciones complementarias que apoyen al proceso de Mantenimiento y que
registren algunos datos relacionados con el mismo, dichas acciones pueden ser :
- Registro del hardware que reemplazar al equipo que recibir mantenimiento
- Registro del Costo originado por el Mantenimiento Preventivo y el causado por
el Mantenimiento Correctivo
- Procedimientos de Seguridad (Egreso e ingreso del equipo)
-Etc.
MANTENI MI ENTO
SI STEMAS DE I NFORMACI ON
Aspectos Claves a evaluar
1.Existe una lista de los Sistemas de Informacin que estn en operacin actualmente ?
2.- Dichos Sistemas fueron aprobados formalmente por los usuarios ?
3.- Se cuenta con manuales de usuario, tcnicos y de operacin para cada uno de los
sistemas de informacin actualmente en produccin ?
4.- Estn dichos manuales actualizados ? (verificarlo)
5.- Existe un procedimiento formal de mantenimiento a los Sistemas de informacin ?
6.- Estn Identificados los Sistemas de Informacin Comprados a externos ?
7.- Existe un mismo procedimiento formal para darle Mantenimiento (Actualizacin) a
los Sistemas de Informacin instalados en:
-Miaros - Minis -Mainframes
7.1.- Se actualiza la Informacin de los manuales de usuarios, tcnicos y de operacin
cuando as corresponda (verificar con los ltimos cambios) ?
8.- Existen controles para que nicamente personal autorizado, le de mantenimiento a
los sistemas de informacin que se encuentran en operacin ?
8.1. Si es as, cules son esos controles ?
9.- Existe algn sistema computarizado que apoye el control del mantenimiento, en
aspectos como:
- Calendarizacin del mantenimiento preventivo
- Seguimiento al mantenimiento (correctivo y preventivo)
- Niveles de servicio
- Costos del mantenimiento
- Causas y soluciones del mantenimiento
. Tareas, Fechas y Responsables del mantenimiento ^ \ >
1 ' j > '
4 !< "
w
R E D E S L O C A L E S
1. ADMI NI STRACI ON
REDES LOCALES
OBJ ETI VOS DE ESTA REVISION :
- Asegurar que exista un funcin formal de Administracin de la(s) Red(es) Local(es)
- Asegurar la existencia de Procedimientos y Controles que orienten a la satisfaccin de :
- La Administracin de las redes Locales
- La Instalacin de las Redes Locales
- La Operacin y Seguridad de las Redes Locales (Ver cuestionario de Seguridad
para mayor detalle)
- El Mantenimiento de las Redes Locales
- Verificar que existan parmetros de medicin del desempeo de las Redes (Bitcoras,
Grficas, Estadsticas, Etc.)
- Evaluar el grado de soporte que se brinda a los usuarios de la Red en el uso de
Sistemas y Software al que tienen acceso en la misma.
- Determinar si existen los suficientes controles y procedimientos de Seguridad
inherentes a la(s) Red(es) de la empresa.
REDES LOCALES
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Plane acin de Auditoria.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.-Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla a los responsables y usuarios de las Redes Locales
REDES LOCALES
1. ADMI NI STRACI ON
1. Cuenta su empresa con Red(es) Local(es) ?
1.1. Si es as, Cuantas micros hay en dicha RED (incluyendo el servidor), mencione sus
caractersticas bsicas? (mencione los perrifericos y cactersticas bsicas)
1.2. Que Software (Paquetes, Lenguajes, Sistemas de Informacin, Sistemas Operativos
(S.O.), Bases de Datos, Etc. hay instalados ? Cuales son las versiones correspondientes?
FUNCI ON TAREAS ACCI ONES DE
SEGUI MI ENTO
1.3. M encione que aspectos mencionados a
continuacin son cubiertos en su empresa :
- La evaluacin de HW, SW, Etc. de la RED
- Adquisicin/Instalacin de: HW/SW de RED
- Asignacin y Baja de Usuarios a 1 a RED
- Nivel de Servicios para usuarios de la RED :
- Desempeo - Capacitacin
- Soporte - Mantenimiento
- Operacin de :
- Equipo
- Software
- Aplicaciones
- Seguridad :
- Datos
- Procesos
- Equipos
- Software
- Otros
1. ADMI NI STRACI ON
2. Existe alguna participacin de personal externo para el desempeo de las funciones
de Administracin de la RED antes mencionada ?
2.1 Si es as, mencione cuales son y el porque de que lo efecte dicho personal ?
3. Existen procedimientos que aseguren la oportuna y adecuada instalacin de los
diferentes componentes de la RED, conforme se hayan realizado los contratos y compras
formales de los mismos ?
4.-Se cuenta con manuales de operacin de la red ? Contemplan aspectos de
Seguridad?
5.- Se tiene identificada formalmente la siguiente Informacin :
- Usuarios de la Red
- Logins y niveles de Acceso
- Terminales conectadas a la Red
- Responsables de la Red
- Capacidad de Discos/Espacio Libre x Servidor y micros
- Etc. ?
5.1. Estos registros son generados por algn software de RED o los generan de manera
independiente los responsables de la administracin de misma ?
.- Existe un procedimiento formal para dar un servicio oportuno y eficiente a los
requerimientos de los usuarios de la Red ?
6.1.- Lo conocen los usuarios de la Red ?
7. Se tienen procedimientos de Respaldo (Equipo / Datos Software Etc.) ?
7.1. Se conocen por todos los usuarios y responsables de la Red?
8.- Se tiene un seguro que proteja el software y equipo de la Red ?
S O F T WA R E
1. ADMI NI STRACI ON
Z LEGALI ZACI ON
OBJ ETI VOS DE ESTA REVISION :
- Asegurar que exista un funcin formal de Administracin del SOFTWARE
- Asegurar la existencia de Procedimientos y Controles que orienten a la satisfaccin de :
- La Administracin del SOFTWARE
- La Instalacin del SOFTWARE
- La Operacin y Seguridad del SOFTWARE (Ver cuestionario de Seguridad
para mayor detalle)
- El Actualizacin del SOFTWARE
- Detectar el grado de confianza, satisfaccin y desempeo que brinda al negocio el
SOFTWARE existente.
- Determinar si existen los suficientes controles y procedimientos de Seguridad inherentes al
SOFTWARE de la empresa.
- Asegurar que solo Software Legalizado se encuentre instalado en todas las
microcomputadoras y/o Redes Locales de la organizacin
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.- Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.- Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.- Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla al responsable y/o usuarios del Software
1. ADMI NI STRACI ON
1. Cuenta su empresa con microcomputadoras, minicomputadoras o mainframes ?
1.1. Existe un documento que muestre la distribucin del equipo y sus usuarios?
1.2. Que Software (Paquetes, Lenguajes, Sistemas de Informacin, Sistemas
Operativos (S.O.), Bases de Date, Etc. hay instalados ? Cuales son las versiones
correspondientes?.
2. Se llev a cabo en su empresa un Estudio de J ustificacin de Instalacin /
Actualizacin/Reemplazo de Software que contemplar al menos lo siguiente :
- SW Requerido :
- Aspectos Legales - Paquetes de Computo
- Lenguajes de Programacin -S.O. -Etc.
- HW Requerido :
- Micros - Perifricos, Etc.
- Evaluacin Costo/Beneficio
- Procedimientos de:
- Capacitacin - Seguridad - Operacin
- Actualizacin - Monitoreo - Etc.
3. Que procedimientos de Seguridad existen para el manejo adecuado del software
instalado en la empresa'
3. Cuales son dichos procedimientos ?
3.2. Quienes son los responsables de ejecutar dichos procedimientos ?
3.3. Cmo se da seguimiento formal al cumplimiento de dichos procedimientos ?
3.4. Cmo se ejecuta dicho procedimiento?
4. Existe alguna participacin de personal externo para el desempeo de las funciones
de Administracin del Software antes mencionada ?
4.1 Si es as, mencione cuales son y el porque de que lo efecte dicho personal ?
5. Existe la documentacin formal que especifique el que hacer y como llevar a cabo
cada una de las funciones de Administracin del Software ?
SOFTWARE
2. LEGALI ZACI ON
Aspectos Claves a Evaluar :
1. Existen procedimientos que aseguren la oportuna y adecuada evaluacin /
legalizacin / instalacin y actualizacin del Software , conforme se hayan realizado los
contratos y compras formales del mismo ?
2. Las compras del Software , as como su instalacin se derivan de un proceso de
planeacin y evaluacin formal ? Como se aseguran de que esto sea cumplido siempre?
3. En caso de que las compras e instalacin del Software no hayan sido planeadas
formalmente como se justifican ante los responsables de Informtica y de las Areas usuarias
involucradas en el uso del mismo ?
4. Se tiene un plan de evaluacin y compra de Software por semestre / ao?
5. Respecto a la Instalacin de Software Como se aseguran que ste haya sido
comprado legalmente ? Como se aseguran que dicho Software no sea instalado en otros
equipos de la empresa que no tienen licencia de uso ? Que hacen cuando detectan algunas
anomalas al respecto?
6. Se conoce cual es el inventario actual de Software instalado en su empresa ?
7. Se conoce cual de ese Software instalado es legal ?
8. Que se piensa hacer respecto al Software que no es legal ?
9. Existen Polticas que aseguren que se compre solo Software estandar y que no se
violen los acuerdos de legalizacin de la empresa ?
10. Cuales son ?
10.1 Quien les da seguimiento ?
10.2. Cmo se les da seguimiento ?
PROCEDI MI ENTOS RESPONSABLES
DE EJ ECUTARLOS
RESPONSABLES
DE SEGUI MI ENTO
S E G U R I D A D
HARDWARE
SOFTWARE / APLI CACI ONES
PLAN DE CONTI NGENCI AS V DE RECUPERACI ON
OBJ ETI VOS DE ESTA REVISION :
- Verificar que existan los planes, polticas y procedimientos relativos a la seguridad dentro
de la Organizacin.
-Verificar que exista un Anlisis Costo / Beneficio de los controles y procedimientos de
Seguridad antes de ser implantados.
Verificar que los planes y polticas de Seguridad y de Recuperacin sean difundidos y
conocidos por la Alta Direccin.
- Evaluar el grado de compromiso que existe por parte de la Alta Direccin, de los
Departamentos Usuarios y del personal de Informtica hacia el cumplimiento satisfactorio de
los planes, polticas y procedimientos relativos a la Seguridad
- Asegurar la disponibilidad y continuidad del equipo de computo, por el tiempo que requiera
los usuarios para el procesamiento oportuno de sus aplicaciones.
- Asegurar que las polticas y procedimientos brinden confidenciabilidad a la informacin
que es manejada en el medio ambiente de desarrollo, implantacin, operacin y mantenimiento.
- Verificar que exista la Seguridad requerida para el aseguramineto de la Integridad de la
Informacin que es procesada, en los aspectos de totalidad y exactitud.
- Asegurar que se brinde la seguridad necesaria a los diferentes equipos de computo que
existen en la organizacin.
- V erificar que exista una funcin responsable de la A dministracin de la S eguridad
para :
- Recursos Humanos relacionados con la Tecnologa de Informtica
- Recursos Materiales relacionados con la Tecnologa de Informtica
- Recursos Financieros relacionados con la Tecnologa de Informtica
- Recursos Tecnolgicos de Informtica
S E G U R I D A D
A ctividades P rincipales para A uditar esta A rea :
1.- Verificar proyectos contra la Planeacin de Auditora.
2.- Concertar Citas con Personal a entrevistar.
3.- Revisar formulario correspondiente y ver conveniencia de actualizarlo a necesidades
especificas del negocio.
4.- Ratificar y formalizar fechas de entrevistas y de visitas.
5.- Efectuar las entrevistas y visitas que sean necesarias para cubrir los puntos
correspondientes a este mdulo.
6.- Elaborar borrador con principales conclusiones y recomendaciones.
7.- Revisarlo con el encargado de la Funcin de Auditora en Informtica.
8.- Clasificar y almacenar la informacin de Soporte en dispositivos de almacenamiento
seguros.
9.-Revisar borrador con el responsable del proyecto por parte de las Areas evaluadas.
10.-Elaborar y documentar formalmente conclusiones y recomendaciones finales de esta
revisin.
11.-Anexar esta informacin al documento que definir el Informe Final.
R equerimientos para el xito de la revisn :
1.- Formalizar el apoyo de la Alta Direccin al Auditor de Informtica con el fin de
brindarle las facilidades necesarias, para la ejecucin satisfactoria de sus actividades; Algunas
acciones de apoyo serian :
2. Conocimiento por parte del Auditor de Informtica del Area a evaluar
3. Uso de Tcnicas y Herramientas de Productividad apropiadas para la revisin
4. Aplicarla a los Responsables de Seguridad, as como a los usuarios de Informtica
S E G U R I D A D
1. HA R D WA R E
A spectos a E valuar
1.- Existen polticas y procedimientos relativos al uso y proteccin del Hardware existente
en la Organizacin ?
2.- Si existen, Estn formalmente identificados los siguientes aspectos de seguridad :
- A dministracin del Hardware :
M icros, M nis y M acrocomputadoras ( M ainframes)
T ecnologa de C omunicaciones, R edes, E tc.
- Cuantificacin del Hardware
- Descripcin del Hardware (Caractersticas bsicas)
- Distribucin del Hardware (Ubicacin Fsica)
- Registro de: Hardware instalado, dado de baja, en proceso de adquisicin, etc.)
- Uso del Hardware :
- Funciones responsables del control del Hardware
- Etc.
- P rocedimientos y C ontroles de seguridad para :
- La Evaluacin, Seleccin y Adquisicin de Hardware :
A) Existen polticas que verifiquen que el software que sea adquirido cubra los
siguientes puntos :
- Mdulos de seguridad para :
- Acceso al Hardware (Llaves de seguridad, por ejemplo)
- Uso del Hardware (Facilidades de monitorear la operacin)
- Bitacoras de uso del Hardware :
- Quien ? , Cundo ?, Para que ?, etc.
- Etc. ?
C) Existen polticas que verifiquen que el Hardware que sea reemplazado y/o
actualizado cubra los siguientes puntos :
- Autorizacin del Hardware por medio de :
- J ustificacin del reemplazo del Hardware
- Impacto de la implantacin del Hardware en el medio ambiente de Informtica
- Implicaciones de control en la Implantacin y uso del Hardware nuevo.
-Etc. ?
2.- En cuanto al equipo de Soporte se tienen al menos los siguientes datos :
. Localizacin Fsica, Control y Mantenimiento de :
- Aire Acondicionado
- Equipo No-Break
- Equipos contra Incendios
- Otros
4.- La ubicacin fsica del Equipo de Computo dentro del edificio es la ms adecuada
contra los diversos desastres o contingencias que se pueden presentar :
- Manifestaciones (Huelgas, por ejemplo) - Inundaciones - Incendios
- Robos - Temblores - Etc.
Nota : Verificar si el edificio presenta facilidades de escape en casos de emergencia
5.- Existen procedimientos que garantizen la continuidad y disponibilidad del equipo de
computo en caso de desastres o contingencias ?
6.- Si es as, estn documentadas y difundidas formalmente ? (Verificar la existencia de
esos documentos y la difusin de los mismos en la Organizacin)
7.- Se cuenta con controles y procedimientos para :
- Clasificacin y justificacin del personal que tiene acceso a los centros de computo del
negocio y a las oficinas donde se encuentra papelera y/o accesorios relacionados a Informtica
- Restringir el acceso a los centros de computo solo a personal autorizado
- Definicin y difusin de las horas de acceso que son permitidas al centro de computo
- Uso y control de bitacoras de acceso a centros de computo
- Definir la aceptacin de entrada a visitantes
- Manejo de bitacoras especiales para visitantes a los centros de computo ?
Nota : Verificar el cumplimiento de estos controles y procedimientos.
8.- Existe personal de Seguridad encargado de manera especfica a la salvaguarda de los
equipos de computo del negocio?
9.- Existen polticas relacionadas al ingreso y salida de Hardware dentro de la organizacin,
que aseguren al menos lo siguiente :
S E G U R I D A D
2. S O F T WA R E / A P L I C A C I O N E S
A spectos C laves a E valuar
1.- Existen polticas y procedimientos relativos al uso y proteccin del Software existente
en la Organizacin ?
2.- Si existen, Estn formalmente identificados los siguientes aspectos de seguridad :
- A dministracin del S oftware :
S istemas O perativos, U tileras, P aquetes, etc.
- Cuantifcacin del Software (Original y copias)
- Descripcin del software (Por original)
- Distribucin del Software (En que equipos y/o dispositivos de almacenamiento
secundarios se encuentra, mencionar un lugar fsico donde se localizan: Areas del
negocio, Bancos, etc.)
- Registro de: Software instalado, dado de baja, en proceso de adquisicin, etc.)
- Uso del Software (Tipo de uso, responsables de su uso, Etc.)
- Etc. ?
- P rocedimientos y C ontroles de seguridad para :
- La Evaluacin, Seleccin y Adquisicin de Software :
A) Existen polticas que verifiquen que el software que sea adquirido cubra los
siguientes puntos :
- Acceso al Software
- Uso del Software
- Bitcoras de uso del Software :
- Quien ? , Cundo ?, Qu ?, etc.
- Etc. ?
B) Existen polticas que verifiquen que el software que sea reemplazado cubra los
siguientes puntos :
- Autorizacin del Software por medio de :
- J ustificacin del reemplazo del Software
- Impacto de la implantacin del Software en el medio ambiente de Informtica :
- Implicaciones de control en la Implantacin y uso del software nuevo.
-Etc. ?
3.- Existen polticas relacionadas al ingreso y salida de software dentro de la
organizacin? Cules son ?
- Q ue el software que ingrese a la empresa sea :
- Revisado (Contenido, cantidad, destino)
- Aprobado por el responsable de Informtica
- Registrado
- Devuelto (Verificar contra fecha estimada de devolucin)
- El personal este comprometido formalmente a no hacer un mal uso del mismo (Copia,
Daos, etc.)
-Etc. ?
4. En cuanto a las aplicaciones (Sistemas de Informacin) que se desarrollan en la empresa
los controles y procedimientos necesarios para garantizar la seguridad mnima que requieren
los sistemas a ser desarrollados ?
4.1. - En caso de que existan, contemplan dichos controles al menos lo siguiente :
- Procedimientos de llenado de documentos fuente
- Procedimientos de uso del computador:
- Encedido y arranque del equipo
- Restauracin del equipo en caso de fallas
- Manejo de bitacoras de uso del computador
- Monitoreo de uso del computador
-Etc.
- Niveles de acceso (perfil de Usuarios) a los mdulos de :
- Captura
- Actualizacin
- Consulta
- Generacin de Reportes
- Respaldos
- Etc.
- Procedimientos de uso de los mdulos de :
- Captura
- Actualizacin
- Consulta
- Generacin de Reportes
- Respaldos
- Etc.
- Etc.
Aspectos Claves a Evaluar
1. Considera usted que tanto la Alta Direccin, Usuarios y Personal de Informtica estn
concientes que todos los recursos involucrados con la informtica son activos del negocio y
deben protegerse de una manera formal y permanente ? Porque?
1.1. Cuales de los siguientes Recursos relacionados con Informtica considera usted que
son ms crticos para la organizacin y cuales crea que contemplan ms y mejores mtodos de
proteccin para que puedan seguir operando/trabajando/apoyando a los objetivos del negocio
en condiciones ptimas :
RECURSOS Grado de I mportancia (A) Mtodos Formales
(C /1 / N / M / NS) para su Proteccin (-)
HUMANOS
MATERIALES
FINANCIEROS
TECNOLOGICOS
DE INFORMACION
(A) C =CRITICO I =IMPORTANTE N =NECESARIO
M =MINIMO NS =NO SABE
() Verificar que los recursos que ellos consideran crticos, importantes o necesarios
tengan los mtodos de seguridad necesarios para prevenir y enfrentar contingencias, en caso de
que no existan se podr observar que dichas consideraciones son ms tericas que prcticas.
Para aquellos recursos que ellos consideren de importancia mnima o que la
desconozcan tendremos que preguntar el porque de tales afirmaciones.
1.2.- Existen planes de contingencias y de recuperacin de operaciones para casos de
contingencias o desastres ?
1.3. Contemplan dichos Planes de Contingencia y de Recuperacin al menos los siguientes
aspectos :
- Red de Comunicaciones (RC)
- Hardware
- Software / Aplicaciones / Datos
- Recursos Humanos
- Lugares Fsicos donde se localizan los recursos anteriores
- Otros
2.- Si es as, fueron difundidos formalmente en toda la organizacin ?
2.1. Fueron elaborados por terceros, personal de Informtica, por los usuarios o fu un
proyecto donde se involucraron varias reas del negocio ?
2.2. En el proceso de Planeacin de Contingencias y Recuperacin y de su Implementacin
de su empresa, cuales fueron las Tareas realizadas, cuales estn pendientes, cuales en desarrollo
y quienes son sus responsables :
TAREA STATUS ( D / T / NI) (-) PRODUCTOS
TERMI NADOS
1 .DEFINICION DE
METAS Y OBJ ETIVOS
DEL PLAN
2. EVALUACION E
IDENTIFICACION DE
RIESGOS
3. ELABORACION DE
ACCIONES. POLITICAS
Y PROCEDIMIENTOS
POR TIPO DE RIESGO
4. DOCUMENTACION DEL
PLAN
5. APROBACION DEL PLAN
DIFUSION DEL PLAN
6. SIMULACION DEL PLAN
7. ACTUALIZACION DEL
PLAN
(-) D =TAREA EN DESARROLLO
T =TAREA TERMMINADA
N/I =TAREA NO INICIADA
2.3. Se han presentado contingencias que hayan sido enfrentadas con el Plan de
Contingencias y de recuperacin diseado para su empresa ? Cuales fueron los resultados ?
2.4. Si no existe un Plan de Contingencias y de Recuperacin que acciones han tomado
para enfrentar dichas eventualidades y quienes han sido los responsable de ejecutar estas
acciones ?
9. Etapa de Form alizacin :
9.1. Verificacin de Prioridades, Restricciones y Alcances del
Proyecto
9.2 Actualizacin del Has de Auditora de Informtica
93. Presentacin Forma! del Plan de Auditora de Informtica
9.4. Aprobacin Formal del Proyecto de Auditoria de I nformtica
9. E tapa de F ormalizacin :
Las Etapas anteriores fueron de introducin e investigacin a la empresa y sus diversas
funciones de negocio, sus debilidades y fortalezas ms relevantes fueron detectadas, la
planeacin y proyeccin de las reas que requieren ser auditadas ya se han definido, as como
las adecuaciones y/o agregados requeridos ya fueron documentados, ahora en la presente
E tapa de F ormalizacin ( F igura 9- 1) corresponde a la A lta D ireccin, dar su aprobacin
y apoyo formal para el desarrollo del P royecto de A uditora de I nformtica presentado
por el L der de P royecto y del R esponsable de la F uncin de A uditora de I nformtica.
Etapa de Adecuacin
( T erminada)
E tapa de F ormalizacin
( E n ejecusin)
Etapa de Desarrollo
( P osterior)
La participacin real de la Alta Direccin es crtica, lo mismo que la del Responsable
de la Funcin de Informtica en el negocio. Los usuarios claves deben tambin estar presentas
durante el proceso de Formalizacin del Proyecto.
9.1. V erificacin de P rioridades, R estricciones y A lcances del P royecto :
La verificacin, validacin, clasificacin y documentacin de las prioridades,
restricciones y alcances del proyecto son de alto valor para el Auditor de Informtica, ya que
mediante su realizacin se clarifica el rumbo, lmites y cobertura que tendr el proyecto.
Aqu las actividades requeridas para efectuar la presente tarea son una serie de
pequeas entrevistas personales o reuniones de varios involucrados con un enfoque muy
objetivo y prctico.
Se recomienda que de las reuniones o entrevistas que se efecten, el Auditor de
Informtica (o el Lider de Proyecto) documenten lo ah expuesto mediante una minuta o
resumn (Tablas, grficas, narrativa, etc) donde se mencionen los puntos tratados y las
conclusiones a que se lleg, lo anterior se soporta ms formalmente si aparecen las firmas de
conformidad de cada uno de los involucrados.
u ZJ
w <
il h
u
z
w
s
o
z
9.2 A ctualizacin del P lan de A uditora de I nformtica
Se ha hablado ya de como efectuar la tarea de actualizacin de un Plan, lo importante
en este momento es asegurarnos de que los pocos ( pero significativos) cambios que se
hayan efectuado despues de realizar la T area anterior, sean reflejados en el P lan
D etallado de A uditora de I nformtica que ser presentado a la Alta Direccin para su
aprobacin final y formal.
93. P resentacin F ormal del P lan de A uditora de I nformtica
La presente tarea es la ms crtica para el Lider del Proyecto y para el Responsable de
Auditora de Informtica, ya que justificar en sta, la continuacin del proyecto.
L as actividades ms relevantes y necesarias del responsable de esta tarea son :
+Asegurarse de contar con toda la informacin en un formato de presentacin
sumarizada y entendible, ya que su principal audiencia ser la Alta Direccin, los
Usuarios Claves y el Responsable de Informtica.
+Revisarla y verificarla con el Responsable de Auditora de Informtica
+Concertar la cita en una fecha y lugar apropiados
+Otras que se consideren oportunas para el xito de la tarea
9.4. A probacin F ormal del P royecto de A uditora de I nformtica
Se puede decir que es la Tarea que lleva menos tiempo y que sin embargo es una de las
ms importantes, ya que de ella surge la aprobacin formal del proyecto. Aqui el proyecto
pasa a ser un proyecto autorizado para su desarrollo y terminacin segn el Plan de Auditora
de Informtica.
C onsideraciones claves que aseguran la terminacin satisfactoria de esta tarea :
+Presentar un resumen de la Matriz de Riesgos, Areas de Oportunidad, Plan detallado
de Auditora de Informtica, Prioridades, restricciones, etc. (en trminos claros)
+Entendimiento del Proyecto (La informacin tiene el mismo significado para todos)
+No surgen adecuaciones al proyecto (Nuevas prioridades, reas a revisin, etc.)
+Se aprueba formalmente el proyecto (Firma de conformidad de los involucrados)
+Se autoriza las fechas de incio del proyecto
+Otras que el Auditor de Informtica considere pertinentes en su negocio
Nota : No todo lo planeado y justificado es siempre autorizado por la Alta Direccin,
en ocasiones, la falta de una buena venta del proyecto en la presentacin o la falta de
compromiso por alguno de los involucrados puede retrasar la aprobacin formal del proyecto,
sin embargo el Lider de Proyecto debe lograr el visto bueno de todos a travs de buen soporte.
10. ETAPA DE DESARROLLO
10.1. Concertar fechas de entrevistas, visitas y aplicacin de
cuestionarlos
10.2, Clasificar tcnicas, herramientas, cuestionarios, entrevistas, etc.
103 Aplicacin de Entrevistas y Cuestionarios
10.5 Efectuar visitas de verificacin
10.6 Elaborar informe preliminar por?
+Area auditada
10.7 Revisin del I nforme Preliminar
10.8 Elaborar el I nforme Final de Auditora de I nformtica :
10.9 Presentacin a la Alta Direccin e involucrados claves
10. E T A P A D E D E S A R R O L L O :
L a E tapa de D esarrollo ( F igura 10-1) es la ms importante para el A uditor de
I nformtica, ya que es aqu donde se ejerce su funcin de manera prctica, empieza a
ejecutar las tareas de su trabajo de acuerdo al Plan aprobado en la Etapa de Formalizacin.
Etapa de Formalizacin
( T erminada)
E tapa de D esarrollo
(En ejecusin)
L as actividades ms importantes del A uditor en I nformtica en la E tapa de
D esarrollo son al menos las siguientes :
+Ejecutar las tareas de acuerdo a la secuencia establecida en el Plan detallado de
Auditora de Informtica
+Respetar el Proceso Metodolgico (Capitulo Cinco)
+Coordinar los Recursos Humanos ficientemente para el cumplimiento
oportuno del proyecto
+Impulsar el apoyo permanente de la Alta Direccin
+Motivar a todos los involucrados del Proyecto
+Orientar a los recursos humanos, tecnolgicos y financieros a
resultados que brinden soluciones factibles y de valor agregado
+Otros considerados por el Lider del Proyecto de acuerdo a las caractrsticas de
su negocio y de la Funcin de Informtica
N ota : C ada una de las tareas de la E tapa de D esarrollo ser explicada de una
manera uniforme para hacerla ms prctica y entendible, se mencionarn las
actividades ms importantes que llevar a cabo el A uditor de I nformtica y los
P roductos T erminados mnimos que debe obtener al finalizar cada una de ellas.
( V E R F I G U R A S 10.2,103,10.4)
o
u
NM
H
U
2
o>
o
b
Z
t
z
p
<
u
X
o
t
z
H-
t
a
S
X
o
H
H"
O
3

1

8

o
u
o
o
o
o
%
o
C/5
a
u
o
X
CU
t
t
o
s
i
Ir*
"8
I

o.
D
c
O
t
t
o
a:

<
<*>
t
o
b Q> Q>
J J J
< < <
-5 OS
< < ~
a- o. .
J J <
C/3 O r
s l
H ci d
TT TT Tf
Ctf
<
>
H
X
>
O

a
cu cl, a.
J J < J
<<< <<<<
H rj en ^r
u- i/-T wT wi
H
D-
J
<
o
ti
c
Q
<
t
S
a
O
bu
Z
t
t
X

g
m d
i
h
a s
p E
o
UJ
W S

<
2
<
w
x
9
co
Z
O
IX
o
LU

OS
g
Q
D
<
S i
J
U
_ Q
n
C < P
V3
z
oo O
W fe
a: Z
O
<! * 2
o
t u
Z ~
2g
o
z
o
C/3
<
UJ

O
G
U
O
OS
a,

o
OS
W
Q
MM
J
II
C
J
T A R E A
A C T I V I D A D E S PRODUCTOS
PRI NCI PALES TERMI NADOS
C oncertar fechas de
entrevistas, visitas y +Solicitar una lista con +Lista del Persona! de
de A plicacin de todos los nombres, puestos Informtica y de usuarios
C uestionarios y departamentos del
Personal de Informtica y +Fecha y hora formal de
de las reas usuarias cada entrevista
involucrados en el proyecto
+ concertar citas
C lasificar T cnicas, +Verificar la lista de +Lista de Mtodos,
Herramientas, Mtodos, Tcnicas y Tcnicas y Herramientas
cuestionarios, entrevistas, Herramientas requeridas clasificadas por rea de
etc. +Verificar cuestionarios Revisin
requeridos
+Cuestionarios de cada
+Clasificar y documentar rea, actualizados y
de acuerdo al Proyecto. documentados
A plicacin de E ntrevistas +Efectuar Entrevistas y +Entrevistas y
y cuestionarios Cuestionarios cuestionarios aplicados y
documentados
+Elaborar Observaciones y
Recomendaciones +Observaciones y
Recomendaciones iniciales
E fectuar visitas de +Realizar cada entrevista +Visitas de revisin y
verificacin programada verificacin efectuadas
+Documentar debilidades +Observaciones y
de control y seguridad Recomendaciones iniciales
detectadas en cada visita
( F igura 10- 2)
TAREA ACTIVIDADES PRODUCTOS
PRI NCI PALES TERMI NADOS
E laborar I nforme +Analizar la Informacin +Hojas de Resumen de
P reliminar documentada en tareas Observaciones y
anteriores Recomendaciones de
+Elaborar observaciones y Auditora
conclusiones de cada rea (Ver Figura 10- 5)
auditada. +Observaciones,
+Documentar conclusiones y
Observaciones y Recomendaciones por:
Recomendaciones de * A rea
Auditora de Informtica
(Ver Figura 10- 5)
R evisin del I nforme +Verificar cada una de las +Observaciones,
P reliminar observaciones y conclusiones y
recomendaciones por Area recomendacioes verificadas
con el Lider del Proyecto y depurada
+Asegurarse que se tenga +Reunin informal de
en documento todo el notificacin de avance del
soporte requerido para proyecto con el responsable
cada observacin de Informtica y con el
+Concertar citas con el Responsable de los
responsable de Informtica usuarios
y de los usuarios para dar +Compromiso de
un avance del proyecto y terminacin de pendientes
sus principales conclusiones por medio de entrevistas
y recomendaciones y/o visitas y/o aplicacin de
cuestionarios
E laborar el I nforme F inal +Elaborar el Informe Final + I nforme para la A lta
de A uditora de +Verificar que el Informe D ireccin
I nformtica contenga al menos:
* Antecedentes + I nforme detallado para:
* Observaciones,
Conclusiones, * R esponsable de
Recomendaciones, I nformtica
Responsables y * U suarios C laves
Tiempos por Area
Auditada
(Figura 10-3)
T A R E A
P resentacin a la A lta
D ireccin e I nvolucrados
C laves
A C T I V I D A D E S
P R I N C I P A L E S
+Verificar que los
Informes sean claros,
completos y congruente
entre s
+Verificar que se tenga el
soporte de lo mencionado
en los informes
+Formalizar fecha de la
presentacin de informes
+Presentar los Informes de
Alta Direccin y detallado
+Elaborar una minuta
+Obtener la aprobacin
formal (documento) de la
Terminacin del Proyecto
de Auditora de
Informtica.
+Delegar en Informtica y
las reas usuarias la
implantacin de las
acciones recomendadas
P R O D U C T O S
T E R M I N A D O S
+Informes verificados
+Informes finales
+Informes presentados a la
Alta Direccin y a los
Involucrados claves del
Proyecto (Responsable de
Informtica y el
Responsable de los
Usuarios al menos)
+Minuta de la Reunin
+Aprobacin formal de la
Alta Direccin dla
terminacin del proyecto de
Auditora de Informtica
+Compromiso del
Responsable de Informtica
y de las Areas usuarias para
ejecutar la Etapa de
Implantacin.
( F igura 10-4)
Pgina : 114
Pc.
CD
Q
S
<_>
l-U
PS
CO
CC
LU
CO
PQ
CO
UJ
PC
WZ
iJ O
ZRh
0<r0
Mena
UZhJ
z o o
3d en
ken
U<r
KJ
OOa<
yi j zs
O
H
Z
t
<x
H
K
<x
cu
M

\
a
en
U
K
Ph

Id
O
M
en
M
K
U
A
U
K
U
O

U
K
<x
A
en
U
H
Z
U
Z
o
FU
Z
o
u
K
O
H
U
e
en
a
O
en
U
U
O
K
CU
U
H
en
W
z
U
en
a
A

U N
en
W
O
U
H
H
3
a
o
a
H
en
H
K
H
Z
U
o
en
K
U
(U
o
H
en
U
K
O
H
h
A


H
A
O
W
(s.
CK
C
H
A

en
o
NN
K
<E
H
Z
w

O
O
11. F U E N T E S D E I N F O R M A C I O N P A R A U N A A C T U A L I ZA C I O N
P E R M A N E N T E D E L A F U N C I O N D E A U D I T O R I A D E I N F O R M A T I C A
A l gunas acciones que nos garantizan la eficiencia en el desarrollo permanente de la
A uditora de I nformtica son entre otras ;
- Apoyo de la Alta Direccin
- Planeadn formal de la Auditora de I nformtica
- Involucracin de los Usuarios y del Personal de I nformtica
- Apoyo en los proyectos por Asesores externos cuando as se requiera
- Actualizacin del Proceso Metodolgico de Auditora de I nformtica
- Actualizacin del Auditor de I nformtica en los campos de Auditora
e I nformtica
- Otros
L a actualizacin del A uditor en los aspectos metodologicos, tcnicos y de manejo de
herramientas de productividad se puede lograr llevando al menos las siguientes acciones :
- C apacitacin por medio de :
- S eminarios o C ursos de :
- Auditora de I nformtica
- Auditora
- Informtica
- Areas especializadas de Negocio (Finanzas, manufactura, etc.)
- S uscripciones a revistas especializadas de A uditora de I nformtica
- S uscripciones a revistas especializadas de I nformtica y/o A uditora
- P articipacin permanente y formal en :
- A sociaciones P rofesionales N acionales o I nternacionales de :
- Auditora de I nformtica
- Auditora
- Informtica
- O tros medios que se consideren convenientes
Dicha actualizacin tiene como objetivo primordial el garantizar que el proceso
formal de Auditora de Informtica cumpla con los requerimientos de Seguridad y
Control apropiados para el negocio, as como con los estndares sugeridos por las
Asociaciones Profesionales a nivel nacional e internacional.
P
A
I
S

1

M

x
i
c
o

M

x
i
c
o

M

x
i
c
o

E
s
t
a
d
o
s

U
n
i
d
o
s

E
s
t
a
d
o
s

U
n
i
d
o
s

M

x
i
c
o

/

E
s
t
a
d
o
s

U
n
i
d
o
s

E
s
t
a
d
o
s

U
n
i
d
o
s

M

x
i
c
o

A
N
O

1
9
9
0

1
9
9
3

1
9
9
0

1
9
9
1

1
9
9
2

1
9
9
1

1
9
9
1

i
1
9
9
3

1
9
8
8
-
1
9
9
3

1
9
9
2

1
9
9
2

1
9
9
3

E
D
I
T
O
R
I
A
L

A
s
o
c
i
a
c
i

n

M
e
x
i
c
a
n
a

d
e

A
u
d
i
t
o
r
e
s

d
e

I
n
f
o
r
m

t
i
c
a

A
s
o
c
i
a
c
i

n

M
e
x
i
c
a
n
a

d
e

A
u
d
i
t
o
r
e
s

d
e

I
n
f
o
r
m

t
i
c
a

M
e

G
r
a
w

H
i
l
l

T
h
e

E
D
P

A
u
d
i
t
o
r
s

F
o
u
n
d
a
t
i
o
n
,

I
n
c
.

M
I
S

T
r
a
i
n
i
n
g

I
n
s
t
i
t
u
t
e

A
s
o
c
i
a
c
i

n

M
e
x
i
c
a
n
a

d
e

A
u
d
i
t
o
r
e
s

e
n

I
n
f
o
r
m

t
i
c
a

/

T
h
e

E
D
P

A
u
d
i
t
o
r
s

F
o
u
n
d
a
t
i
o
n
,

I
N
C
.

I
N
T
E
R
E
X

I
M
C
P

A
U
T
O
R

E
x
p
o
s
i
t
o
r
e
s

d
e

l
a

A
s
o
c
i
a
c
i

n

M
e
x
i
c
a
n
a

d
e

A
u
d
i
t
o
r
e
s

d
e

I
n
f
o
r
m

t
i
c
a

E
x
p
o
s
i
t
o
r
e
s

d
e

l
a

A
s
o
c
i
a
c
i

n

M
e
x
i
c
a
n
a

d
e

A
u
d
i
t
o
r
e
s

d
e

I
n
f
o
r
m

t
i
c
a

J
o
s


A
n
t
o
n
i
o

E
c
h
e
n
i
q
u
e

T
h
e

E
D
P

A
u
d
i
t
o
r
s

F
o
u
n
d
a
t
i
o
n
,

I
n
c
.

M
I
S

T
r
a
i
n
i
n
g

I
n
s
t
i
t
u
t
e

A
s
o
c
i
a
c
i

n

M
e
x
i
c
a
n
a

d
e

A
u
d
i
t
o
r
e
s

e
n

I
n
f
o
r
m

t
i
c
a

/

T
h
e

E
D
P

A
u
d
i
t
o
r
s

F
o
u
n
d
a
t
i
o
n
,

I
N
C

I
N
T
E
R
E
X

T
h
e

I
n
t
e
r
n
a
t
i
o
n
a
l

;

A
s
s
o
c
i
a
t
i
o
n

o
f

H
e
w
l
e
t
t

P
a
c
k
a
r
d

C
o
m
p
u
t
e
r
s

U
s
e
r
s

I
n
s
t
i
t
u
t
o

M
e
x
i
c
a
n
o

d
e

C
o
n
t
a
d
o
r
e
s

P

b
l
i
c
o
s

1

L
I

U
R
O

/

F
U
E
N
T
E

A
u
d
i
t
o
r
i
a

I

A
u
d
i
t
o
r

a

1
1

A
u
d
i
t
o
r

a

e
n

I
n
f
o
r
m

t
i
c
a

C
o
n
t
r
o
l

O
b
j
e
t
i
v
e
s

i
E
D
P

A
u
d
i
t
i
n
g

a
n
d

C
o
n
t
r
o
l
s

I
N
F
O
A
M
A
I

(
B
O
L
E
T
I
N
E
S
)

/

T
h
e

E
D
P

A
u
d
i
t
o
r
s

J
o
u
r
n
a
l

I
N
T
E
R
E
X

H
P

C
o
m
p
u
t
e
r

U
s
e
r
s

C
o
n
f
e
r
e
n
c
e

N
o
r
m
a
s

y

p
r
o
c
e
d
i
m
i
e
n
t
o
s

00
eo
a
'5b
a.