Unidad III - Desarrollo de La Auditoria en Informática

M. en C.
Lorena Carmina Moreno Jimnez
Desarrollo de la auditoria en Unidad III (Metodologa para el desarrollo de
Auditoria en Informtica
Desarrollo de la auditoria informtica en informtica
la auditoria en informtica, Etapa preliminar o diagnstico de la situacin actual, Etapa de justificacin, Etapa de adecuacin, Etapa de formalizacin, Etapa de desarrollo y Etapa de
implantacin
2 evaluacin Marzo 2007
M. en C. Lorena Carmina Moreno Jimnez
Contenido
e Imp. De Serv. Desarrollo de Uso la De auditoria Internet en informtica
Metodologa para el desarrollo de la auditoria en informtica

Proceso metodolgico de la auditoria en informtica
Requisitos para el xito del proceso metodolgico
Mtodos, tcnicas y herramientas por rea de revisin La razn para auditar informtica mediante una metodologa formal y acorde a los objetivos actuales de seguridad y control? Qu es una metodologa de auditoria en informtica (MAI)? Qu elementos complementan la metodologa?
Contenido
e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica
Etapa preliminar o diagnstico de la situacin actual

Diagnstico del negocio: alta direccin y reas usuarias
Tareas, productos terminados, responsables e involucrados Conocimiento del negocio Apoyo al negocio reas de oportunidad
Diagnstico de informtica: responsables de la funcin

Otros de inters especfico para l Servicios Aspectos de control del rea de informtica reas de oportunidad Otros de inters para el auditor en informtica de acuerdo con las caractersticas del negocio
Cuestionarios para llevar a cabo la etapa de diagnstico
Contenido
Etapa de justificacin
reas de oportunidad para la funcin de informtica Matriz de riesgos, justificacin por rea de revisin Plan general del proyecto de auditora en informtica Compromiso ejecutivo
Etapa de adecuacin
Definicin y formulacin de objetivos y requerimientos de xito por cada rea que se auditar Actualizacin del plan general Plan detallallado del proyecto de auditoria en informtica
Dos tipos de plaqnes detalaldos con orientacin diferente y objetivo comn: la administracin del proyecto
4
Contenido
Aspectos por evaluar en cada rea de revisin Definicin de tcnicas y herramientas por rea de revisin Definicin o actualizacin de estndares, polticas procedimientos por rea de revisin y
Elaboracin o actualizacin de cuestionarios por rea de revisin Elementos que se deben contemplar antes de iniciar formalmente la revisin de las reas aprobadas en la etapa de justificacin.
Cmo se definen los estndares, polticas y procedimientos de auditoria en informtica ? Es una obligacin el uso de estndares? nicamente las asociaciones pueden establecer estndares, polticas y procedimientos de auditoria en informtica?
Contenido
Etapa de formalizacin
Verificacin de prioridades, restricciones y alcances del proyecto Actualizacin del plan de auditoria en informtica Presentacin formal del plan de auditoria en informtica Aprobacin formal del proyecto de auditoria en informtica Compromiso ejecutivo
Etapa de desarrollo Etapa de implantacin Referencias

6
Metodologa para el desarrollo de auditoria en informtica

La auditoria en informtica debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la prctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoria en informtica efecta sus tareas y actividades mediante una metodologa. No es recomendable fomentar la dependencia en el desempeo de esta importante funcin slo con base en la experiencia, habilidades, criterios y conocimientos sin una referencia metodolgica. Contar con un mtodo garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtencin de resultados de alta calidad y de acuerdo a estndares predeterminados.

La funcin de auditoria en informtica ha de contar tambin con un desarrollo de actividades basado en un mtodo de trabajo formal, que sea entendido por los auditores en informtica y complementado con tcnicas y herramientas propias de la funcin. Lo anterior se facilita si los auditores en informtica cuentan con una metodologa que oriente en cada proyecto a una ejecucin armoniosa y planeada en cada una de las tareas y actividades involucradas.
Un alto porcentaje de los especialistas en reas de investigacin, planeacin financiera, informtica, sistemas, etc., se apoyan en gran medida en tareas, actividades, productos terminados, revisiones, funciones y responsabilidades, etc., definidas previamente en un documento formal que contiene la metodologa necesaria.
8

El objetivo es brindar a los responsables de dichas reas un camino estructurado por el que arriben a los resultados esperados por la empresa, siguiendo un plan. Es importante sealar que el uso de la metodologa no garantiza por s sola el xito de los proyectos de auditoria en informtica; adems, se requiere un buen dominio y uso constante de los siguientes aspectos complementarios:
Tcnicas Herramientas de productividad Habilidades personales Conocimientos tcnicos y administrativos Experiencia en los campos de auditoria en informtica Conocimiento de los factores del negocio y del medio externo al mismo Actualizacin permanente Comunicacin constante con asociaciones nacionales e internacionales relacionadas.
9

Podemos concluir:
1.
2.
En que xito de cualquier proyecto no se basa nicamente en que lo apruebe la alta direccin o en la disponibilidad de recursos destinados para ello. La estructura que plasma el camino que se ha de seguir, las funciones y compromisos de los involucrados, la secuencia y productos obtenidos a lo largo del proyecto son, en gran medida, otros elementos que garantizan un resultado final satisfactorio. La aprobacin de los proyectos de auditoria en informtica slo garantiza el inicio de actividades y el compromiso temporal de las personas que se vern involucradas en dicho proceso. Recordando siempre que existen prejuicios en las organizaciones hacia los procesos que impliquen revisiones, evaluaciones o tareas similares que podran perjudicar cada proyecto si no se tiene un plan que minimice y convierta esas actitudes en posiciones proactivas y de apoyo.
10

El proporcionar recursos econmicos, humanos y materiales a los proyectos de auditoria en informtica garantiza el abastecimiento de la materia para el proceso, mas no implica que el producto terminado sea de calidad y entregado con oportunidad. Es por eso la importancia de contar de manera formal con una metodologa de auditoria en informtica ya que es donde se plantea el camino de forma prctica y digerible para que los auditores en informtica conozcan, desde el inicio de los proyectos, los componentes y caractersticas de logstica requeridos para terminarlos exitosamente.
11

Ventajas del uso de un proceso de trabajo metodolgico y estndar en la funcin de auditoria en informtica: 1. Los recursos orientan sus esfuerzos a la obtencin de productos y servicios de calidad, con caractersticas y requisitos comunes para todos los responsables. 2. Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los auditores en informtica. 3. Se facilita en alto grado la administracin y seguimiento de los proyectos, pues la metodologa obliga a la planeacin detallada de cada proyecto bajo criterios estndares.
12

4. Facilita la superacin profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especializacin, responsabilidad, estructuracin y depuracin en las funciones del auditor en informtica Es un complemento clave en el desarrollo de cada individuo, pues su formal seguimiento, aunado a las habilidades, normas y criterios personales, colabora con el cumplimiento exitoso de los proyectos de auditoria en informtica. El proceso de capacitacin o actualizacin en el uso de un proceso metodolgico es ms gil y eficiente, dado que se trabaja sobre tareas y pautas perfectamente definidas.
5.
6.
13

1.
2.
3.
Requisitos para el xito del proceso metodolgico Aprobacin de la metodologa por la alta direccin. Adecuacin de la metodologa a los requerimientos especficos del negocio (cuidado con reducir tareas y eliminar productos importantes con el fin de ahorrar tiempo o por criterios personales; es til apoyarse en un asesor experto). Documentacin o actualizacin de la metodologa.
14

4. Capacitacin formal en el uso de la metodologa (de acuerdo con el perfil y nivel de participacin de cada individuo involucrado). Elaboracin de los planes de auditoria en informtica segn la metodologa. Verificacin del uso formal de la metodologa en cada proyecto. Capacitacin formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodologa.
15
5. 6. 7.

Mtodos, tcnicas y herramientas por rea de revisin El desarrollo exitoso de la auditoria en informtica depende de un conjunto de factores interrelacionados, por lo que agrupar y coordinar de manera eficiente los siguientes factores brindar resultados satisfactorios por parte de los auditores en informtica: Dominio de los conceptos tcnicos y administrativos Habilidades inherentes a la auditoria en informtica.
16
Normas personales. Entendimiento de la auditoria en informtica y sus tendencias. Adaptacin o actualizacin segn el medio dominante. Administracin formal de la auditoria en informtica en el negocio.
17

Involucramiento formal en los procesos de planeacin del negocio, informtica y de la auditoria tradicional. Desarrollo de un proceso formal de planeacin de auditoria en informtica. Entendimiento y aplicacin de un proceso metodolgico formal de la auditoria e informtica. Vocacin profesional por la auditoria en informtica (es un requisito moral, no una poltica organizacional).
18

Participacin formal -en la medida de lo posible- en las asociaciones, institutos educativos, etc., con fines de actualizacin o de compartir las experiencias profesionales adquiridas en el campo de la auditoria en informtica. Entendimiento satisfactorio de los mtodos, tcnicas y herramientas necesarios para auditar.
19

Otros que dependen de las caractersticas de la organizacin en que se desarrolle la funcin de auditoria en informtica. Uno de los factores primordiales para que el auditor en informtica obtenga un desempeo eficiente en su trabajo es el conocimiento y aplicacin de los mtodos, tcnicas y herramientas comnmente aceptados para la informtica en los negocios o asociaciones
20

En la medida en que el auditor en informtica posea experiencia y conocimientos actualizados sobre los diferentes aspectos que evaluar, obtendr resultados pobres o exitosos en la organizacin donde trabaja.
21

El conjunto de elementos metodolgicos, tcnicos y operativos recomendados para apoyar la funcin de auditoria en informtica en la revisin y evaluacin de reas especficas de informtica y los dems componentes relacionados con ella, que complementan la auditoria en informtica.
22

Diagnosticar el soporte real de informtica en cada proceso del negocio. Diagnosticar el estado de informtica. Asegurar continuidad en operaciones. Apoyo en la calidad de informtica. Establecimiento de polticas, controles y procedimientos de informtica. Orientar hacia el cumplimiento de estndares definidos a nivel nacional e internacional. Asesorar a los administradores de informtica para obtener una mejora continua. Establecer un esquema de seguridad y control en informtica.
La razn para auditar informtica mediante una metodologa formal y acorde a los objetivos actuales de seguridad y control?
23

Qu es una metodologa de auditoria de informtica Es un camino estructurado de forma lgica para asegurar el xito de proyectos de auditoria de informtica. Especifica el qu, cmo, cundo, quin y qu de los siguientes puntos:
Roles y responsabilidades de auditoria en informtica, personal de informtica y usuarios de sistemas de informacin y herramientas de tecnologa. Requerimientos para el logro exitoso del proyecto de auditoria en informtica. Etapas de cada proyecto. Requerimientos para el xito del proyecto. Tareas y productos terminados (por etapa y proyecto). Tcnicas y herramientas.
24

Preliminar (Diagnstico) - Negocio -Informtica Adecuacin - Mtodo - Tcnicas - Herramientas
Justificacin -reas por auditar -Plan propuesto Formalizacin -Aprobacin -Arranque Desarrollo - Entrevistas -Visitas -Observaciones - Recomendaciones -Informe de auditoria
Revisin informal
Revisin formal
Aprobacin formal
Implantacin - Acciones correctivas y preventivas - Seguimiento
25

Elementos y aspectos que complementan la metodologa Tcnicas Herramientas
Documentacin Anlisis Observacin Entrevistas Costo / beneficio Control de proyectos Software de oficina Aplicaciones Hardware Comunicaciones Control de proyectos CAATs, Computer Assisted Audit Techniques
Recomendaciones de asociaciones profesionales

AMAI, IIA (INSTITUTO DE AUDITORES INTERNOS), IMCP
26
Es el primer paso prctico del auditor en informtica dentro de las empresas o instituciones. Se busca la opinin de la alta direccin para estimar el grado de satisfaccin y confianza que tiene en los productos, servicios y recursos de informtica en el negocio; as mismo, es posible detectar las fortalezas, aciertos y apoyo que brinda dicha funcin desde la perspectiva de los directivos del negocio.
27
Tambin se detectan las fortalezas, aciertos y apoyo que brinda dicha funcin, por otro lado son muy importantes las oportunidades que puede ofrece la informtica para hacer ms competitivo el negocio. Las actividades del auditor en informtica deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organizacin. En esta fase, se visualizan los primeros sntomas, los cuales posteriormente pueden ser los ms relevantes.
28

Tareas
1. Diagnstico del negocio
Productos
Misin y objetivos del negocio Organizacin de informtica Grado de apoyo al negocio Misin y objetivos de la funcin de informtica Organizacin de informtica Control (formalidad Productos y servicio rea de oportunidad mejoras inmediatas para
2. Diagnstico de informtica
3. Detectar reas de oportunidad
29
Qu debe negocio?

conocer el auditor en informtica del
CONOCIMIENTO DEL NEGOCIO
Misin del negocio reas o proceso del negocio Organigrama del negocio (detectar la ubicacin de informtica) Relacin entre las diversas reas del negocio Relacin del negocio con reas externas (clientes y proveedores por ejemplo) Polticas referente a informtica Otros de inters para el auditor en informtica de acuerdo con las caractersticas del proyecto
30

APOYO AL NEGOCIO
El auditor en informtica debe tener una idea global del grado de apoyo y satisfaccin que existe en el negocio, y saber hacia donde se orienta el soporte de la funcin de informtica, Por lo que debe conocer de manera general los siguientes aspectos: - La participacin de la informtica en los proyectos clave para el negocio, - Imagen de informtica ante la alta direccin, - Grado de satisfaccin que existe por los servicios prestados por la informtica,
- Expectativas que tiene el negocio sobre la funcin de la informtica,

- Debilidades y fortalezas de informtica - Otros de inters especfico del auditor
31

reas de oportunidad
Aqu se detectan las caractersticas que facilitarn la implantacin de soluciones brindadas por informtica y que tendrn impacto relevante en alguna funcin o gerencia del negocio; de igual manera, pueden proponerse acciones inmediatas o a corto plazo que redunden en el corto, mediano o largo beneficios directos. No hay que confundir la fase preliminar con la fase de desarrollo e implantacin; en la primera el estudio es corto en tiempo y general en su investigacin. Se menciona aprovechar las reas de oportunidad que no requieran la terminacin de la auditoria en informtica para comenzar su implantacin.
32

Es conveniente recordar que se carece de mucho soporte documental y detallado en este momento, por lo que la sugerencia de reas de oportunidad topicas puede generar cierta incredulidad y rechazo hacia el auditor en informtica.
Para concluir slo reta mencionar que las reas de oportunidad pueden emanar de la alta direccin, los usuarios, del responsable de informtica o del mismo auditor en informtica; sin embargo, las propuestas deben ser analizadas y documentadas antes de ponerlas en prctica
33

Dichas acciones pueden encaminarse a aprovechar por ejemplo alguna de las siguientes reas de oportunidad: 1.Reubicacin de la funcin de informtica en la estructura organizacional 2.Capacitacin a los niveles ejecutivos o a los usuarios clave de las aplicaciones instaladas 3.Actualizacin tecnolgica 4.Sistematizacin de algunas reas de negocio 5.Creacin de algn comit de informtica 6.Formalizacin y divulgacin de polticas y planes de informtica en el negocio.
34
Diagnstico de informtica (Aqu el auditor se
coordina directamente con el responsable de la funcin de informtica.) Conocimiento de la funcin de informtica
Para llevar a cabo esta tarea, el auditor deber conocer: 1. La estructura interna de informtica, funciones, objetivos, estrategias, planes y polticas. 2. La tecnologa de software y hardware es en la que se apoya para llevar a cabo su funcin dentro del negocio.
35

Diagnstico de informtica
Recomendaciones para llevar a cabo esta tarea Se busca obtener la informacin relacionada con algunos aspectos indagados entre los usuarios y la alta direccin con objeto de encontrar la congruencia o discrepancia entre una opinin y otra. Las entrevistas deben hacerse con el responsable de informtica y ocasionalmente con los encargados directos de las funciones clave de esta rea. El auditor debe ser profesional y tico en su trabajo para brindarles seguridad de que al final de su tarea beneficiar a los involucrados.
36
1.
2.
3.

Recomendaciones para llevar a cabo esta tarea 4. El auditor en informtica debe lograr un equipo de trabajo unido, y que el lder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditoria;) desarrolle una buena comunicacin con el personal de informtica en esta etapa. 5. En caso de que el auditor revise vaga e informalmente la informacin aqu recomendada o que omita su bsqueda, corre el riesgo de planear o sugerir proyectos sin el alcance requerido para asegurar que las reas de oportunidad y aspectos de riesgo sean contemplados y evaluados.
37

Servicios
1. 2. Como punto clave se debe remarcar y evaluar los servicios que presta informtica a las diferentes reas del negocio y en los distintos niveles organizacionales. En esta parte se detecta qu servicios ya son aceptados en el negocio como estratgicos y los que slo son operativos o necesarios para llevar a cabo tareas que no producen valor agregado. El responsable de informtica no debe ser su propio juez; pero al menos puede brindar su opinin personal de lo que considera que es su grado de apoyo al negocio; as mismo, puede manifestar o comprobar el grado de apoyo que brindan sus servicios al negocio mediante minutas, memorandos, reconocimientos, entre otras cosas, de los usuarios y de la alta direccin
3.
38

Servicios
4. El objetivo de conocer su opinin al respecto es encontrar la congruencia entre su funcin y lo que dice la alta direccin que debe ser. No se busca crear controversias ni encontrar fallas personales. El auditor en informtica enfrenta la responsabilidad moral de dar un sentido crtico y prctico a las reas del negocio para hallar un mejor modo de hacer las cosas desde el punto de vista profesional en el campo de informtica.
39

Servicios
5. Algunos servicios pueden ser ejecutados por asesores externos y coordinados por informtica. El auditor en informtica ha de encontrar las causas y el efecto que estos provocan en el negocio. Es muy recomendable que en esta tarea el auditor en informtica documente las observaciones relevantes expuestas por el responsable de informtica en relacin con los servicios que proporciona, con la finalidad de cruzarlas con las hechas por la alta direccin y los principales usuarios de la organizacin.
40

Ejemplos de servicios brindados:
Implantacin de soluciones de informacin: Desarrollo de sistemas de informacin Compra y adecuacin de aplicaciones Bases de datos Evaluacin, adquisicin, instalacin y reemplazo de: Equipos de computo y telecomunicaciones Paquetes de software Lenguajes de programacin Mantenimiento de los sistemas y equipos Soporte a usuarios Capacitacin y asesora tcnica Investigaciones sobre tecnologas (equipos) y aplicaciones en el mercado Planeacin de informtica Auditoria en informtica Soporte a la alta direccin
41

Aspectos de control del rea de informtica
Otra actividad de la etapa preliminar es evaluar el grado de formalidad y cumplimiento que se da a polticas y procedimientos relativos a cada rea de informtica. Una manera de obtener dicha informacin es a travs de la entrevista que concede el responsable de informtica al lder del proyecto; pero el camino ms directo es entrevistar al encargado de cada rea que conforma la funcin de informtica, evitando caer en el detalle y ocupar mucho tiempo en las entrevistas
42

Algunos aspectos que se deben considerar son los siguientes: Esquemas de seguridad para internet, intranet Polticas y procedimientos de organizacin de la funcin de informtica Descripcin de puestos y funciones Evaluacin de desempeo Polticas y procedimientos para el desarrollo e implantacin de sistemas
43

Polticas y procedimientos de evaluacin de hardware y software Polticas y procedimientos de seguridad Polticas y procedimientos de mantenimiento:

Preventivo Detectivo Correctivo
Plan de contingencia y de reinicio de operaciones Otros de inters especfico del auditor en informtica
44

reas de oportunidad
Aqu se detectan las circunstancias que facilitarn la puesta en marcha de soluciones brindada por informtica y que tendrn un impacto relevante en algn proceso del negocio; de igual manera, es factible proponer acciones inmediatas o a corto plazo que redunden en el corto, mediano o largo beneficios directos para la organizacin; dichas acciones pueden encaminarse al aprovechamiento, por ejemplo, alguna de las siguientes reas de oportunidad:
45

reas de oportunidad
Capacitacin o actualizacin profesional del personal de informtica Creacin y difusin de nuevos servicios de informtica para el negocio Reubicacin de la funcin de informtica en la estructura organizacional Capacitacin a los niveles ejecutivos o a los usuarios clave acerca de las aplicaciones y sistemas de informacin en operacin Actualizacin tecnolgica Sistematizacin de algunas reas del negocio Creacin de algn comit de informtica Formalizacin y divulgacin de polticas y planes de informtica en el negocio Otras
46

En resumen: En esta fase del proceso metodolgico se estiman las reas de informtica que deben auditarse y se bosquejan los tiempos, costos y recursos inherentes a dicha revisin. Para obtener toda la informacin posible sobre el diagnstico del negocio y de informtica, el auditor se apoyar sobre cuestionarios detallados. El diagnstico inicial del negocio reflejar algunos puntos como el giro de la empresa, sus reas organizacionales, planes y proyectos del negocio, imagen de informtica ante la alta direccin, entre otras cosas. Los aspectos tecnolgicos, administrativos, culturales y financieros, entre otros, brindan al auditor en informtica un panorama real del escenario donde desarrollar su trabajo.
47
Una vez finalizada la etapa preliminar, el auditor en informtica se debe enfocar en la siguiente fase donde se va a dedicar a elaborar un documento fundamental para la aprobacin del proyecto.
Etapa preliminar
(terminada)
(en ejecucin)
(posterior)
Etapa de adecuacin
48
En esta etapa se legitima la revisin o evaluacin de las reas o funciones crticas relacionadas con la informtica. El documento elaborado en esta etapa contiene tres productos terminados que contemplan las reas que se auditarn (matriz de riesgo), el tiempo sugerido para hacerlo (plan de auditora en informtica) y el visto bueno (compromiso ejecutivo).
49
Aqu el auditor ha de definir qu reas y componentes de informtica se revisarn y cmo conseguir el compromiso del personal de informtica, de los usuarios y dems involucrados para participar cuando les sea requerido. El conjunto de reas que se auditarn se documenta y programa en la etapa de justificacin. Por otro lado, vale la pena mencionar que la fase en estudio se deriva de los siguientes elementos:
Informacin obtenida en la etapa preliminar Diagnstico del negocio Diagnstico de informtica Programas de revisiones rutinarias Apoyo a revisiones de auditoria tradicional Apoyo a revisiones de planes de seguridad de la empresa Otras
50
Matriz de riesgo:
El objetivo principal es detectar las reas de mayor peligro en relacin con informtica y que requieren una revisin formal y oportuna. Algunos ejemplos de las reas susceptibles a auditar, son: Administracin de informtica (misin, organizacin, servicios, etc.) Usuarios de informtica (comunicacin e integracin, proyectos conjuntos) Sistemas de informacin (planeacin, desarrollo, operacin) Mantenimiento (hardware, software, telecomunicaciones) Redes locales (administracin, instalacin, operacin y seguridad) Software (administracin y legalizacin de lenguajes de programacin, sistemas operativos) Seguridad (hardware, software/aplicaciones Investigacin tecnolgica (metodologas, tcnicas, herramientas, capacitacin)
51
El auditor debe utilizar los parmetros de medicin y evaluacin posibles sin caer en un anlisis detallado, ya que slo se trata de detectar la problemtica principal de cada rea (puede apoyarse en especialistas en informtica, auditoria financiera, asesores o consultores externos). Si emanan anomalas de considerable importancia de algn elemento evaluado, se deben tomar acciones inmediatas orientadas a eliminarlas o al menos minimizarlas (se plantearn en el plan de auditoria en informtica como acciones inmediatas)
52
Determinar el nivel de riesgo que existe en cada rea de la funcin de informtica: cada rea, producto o servicio de informtica es susceptible de evaluacin y control para que se desarrolle de acuerdo con los estndares, polticas y procedimientos especficos que le han sido asignados segn su funcin.
53
Consideraciones que hay que tomar en cuenta al realizar el diagnstico de la situacin actual (etapa preliminar) que ayudan a la obtencin de la matriz de riesgos: 1. El auditor en informtica debe conocer de manera aceptable los aspectos de control relativos a cada rea de informtica (considerando aspectos tcnicos y administrativos). 2. Se apoyar en la visin de los principales usuarios del negocio y del responsable de informtica. 3. Debe entender que las debilidades o anomalas que se encuentre sern analizadas y clasificadas por su nivel de riesgo e importancia de su impacto en el negocio.
54
Consideraciones que hay que tomar en cuenta para elaborar la matriz de riesgos: 1. Es una tarea relevante y necesaria para el auditor en informtica 2. Los parmetros para medir el nivel de riesgos pueden variar de acuerdo con factores coma la experiencia y conocimiento en la auditoria, as como con las reas que conforman informtica o el grado de profundidad y anlisis que desee darle el auditor en informtica 3. Algunos hechos pueden indicar directamente al auditor en informtica la existencia de riesgos relevantes. 4. Revisar la matriz de riesgos con el responsable de auditoria en informtica 5. Asegurarse de contar con el soporte que requieran las debilidades o anomalas detectadas (entrevistas, visitas y cuestionarios analizados, revisados y documentados) para ser validadas oportunamente.
55
Consideraciones para el momento de elaborar la matriz de riesgos: 1. Clasificar cada rea y sus componentes por nivel de riesgo, lo que puede determinarse por el lder del proyecto, los usuarios clave o el responsable de informtica. 2. Otorgar prioridades a cada rea de revisin de acuerdo con el nivel de riesgo o por factores especficos mencionados por la alta direccin o el responsable de informtica. 3. Justificar cada una de las reas seleccionadas para auditarse. La justificacin debe cimentarse en el nivel de riesgo que representa, segn las prioridades establecidas por los involucrados de alto nivel o por solicitud expresa de la alta direccin o del responsable de informtica
56
En resumen, el auditor en informtica deber ser los ms especfico posible y la matriz de riesgos no generar motivo alguno de confusiones o desacuerdos. Cada una de las reas que sern revisadas, segn el auditor en informtica, tendr al menos los siguientes elementos de apoyo: Descripcin de la debilidad encontrada y sus consecuencias actuales o futuras en el componente de informtica sugerido para auditarse: Segn se detecto en la evaluacin preliminar qu rea hay que revisar? Qu problemtica se deriva de las debilidades encontradas? Qu gastos o consideraciones econmicas genera dicha problemtica? Qu aspectos de improductividad proceden de la anomala detectada? Qu grado de insatisfaccin existe a causa de la problemtica hallada durante el estudio efectuado en la etapa anterior? Qu riesgos existen o se pueden presentar si persiste dicha anomala?
57
PLAN GENERAL DEL PROYECTO DE AUDITORIA EN INFORMATICA Una vez elaboradas, revisadas y documentadas la matriz de riesgos (de acuerdo con los riesgos ms relevantes) y las reas de oportunidad, se procede a la formulacin del plan general de informtica, el cual consiste bsicamente en plantear las tareas ms importantes que se ejecutarn durante cierto perodo al efectuar la auditoria en informtica. El plan generado en esta etapa es general, ya que slo busca plantear los datos bsicos para que la alta direccin los analice y apruebe. El plan detallado se lleva a cabo posteriormente, en la etapa de adecuacin.
58
El lder de proyectos debe: Estimar el tiempo necesario para auditar cada rea determinada en la matriz de riesgo Analizar y definir los aspectos ms relevantes que se evaluarn Asignar prioridades a cada rea por revisar o evaluar Establecer fechas estimadas de inicio y terminacin por rea de revisin Establecer fechas de revisin formales e informales Definir responsables directos por etapas de proyecto
59
Compromiso ejecutivo
Es la ltima tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobacin) inicial de la alta direccin y dems responsables para continuar con el proyecto de auditoria en informtica.
60
Los aspectos fundamentales para lograr el compromiso ejecutivo con el objetivo de continuar con el proyecto de auditoria en informtica son los siguientes: 1. Presentacin del plan con la informacin de soporte requerida bien documentada y validada por los principales involucrados: - Resumen del diagnstico actual - reas de oportunidad - Matriz de riesgos - Prioridades - Otros comentarios de apoyo - Ser objetivo y claro al exponer el plan general - Justificar cada una de las reas por auditar con datos concretos y bien documentados - Lograr que la alta direccin tome conciencia del compromiso requerido de su parte para la culminacin exitosa del proyecto - Recibir la aprobacin formal del plan general (firma) - El lder del proyecto deber de indicar las fechas de inicio y terminacin estimadas
61
Etapa de adecuacin
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoria en informtica se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estndares, polticas y procedimientos de auditoria que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso. A continuacin se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisin de las reas aprobadas en la etapa anterior. Objetivos y requerimientos de xito por cada rea que se auditar: Luego de terminar las etapas preliminar y de justificacin, el auditor en informtica podr definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisin de las reas mencionadas en el plan de auditora en informtica. Ejemplos de los objetivos y requerimientos para los usuarios de informtica:
62
Etapa de adecuacin
Objetivos y requerimientos de xito por cada rea que se auditar: Luego de terminar las etapas preliminar y de justificacin, el auditor en informtica podr definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisin de las reas mencionadas en el plan de auditoria en informtica. Ejemplos de los objetivos y requerimientos para los usuarios de informtica:
63
Etapa de adecuacin
Actualizacin del plan general Sabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, as como estimar gastos y el numero de personas de las reas usuarias y de informtica que participarn en el proyecto. As, ya es posible estimar, con bastante precisin, los aspectos o componentes que se deben evaluar por cada rea de informtica durante el desarrollo de la etapa de adecuacin.
64
Etapa de adecuacin
Plan detallado del proyecto de auditoria en informtica Es una de las tareas ms importantes de la etapa de adecuacin, ya que en ella se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que sern validados y aprobados en la etapa de formalizacin para arrancar el proyecto.
65
Etapa de adecuacin
Hay dos tipos de planes detallados con orientacin diferente y objetivo comn:
Plan interno: Le corresponde al lder de proyecto y su propsito es hacer un seguimiento interno a las tareas y responsabilidades de los auditores en informtica. Plan detallado de auditoria en informtica: Se especifica el detalle emanado del plan general de auditoria en informtica definido en la fase de justificacin. Los datos mencionados en este plan pretenden ser gua del proyecto de auditoria desde el punto de vista del cliente, ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisin, etc.
66
Etapa de adecuacin
Definicin de tcnicas y herramientas
Esta es una parte muy importante y estratgica para el buen desempeo de la auditora en informtica que consiste en definir las tcnicas y herramientas necesarias y fundamentales para revisar eficientemente cada rea seleccionada. Un claro ejemplo son los software que incluyen un conjunto de tcnicas como anlisis, documentacin, muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditora. La experiencia profesional que se haya obtenido en cada una de las reas (desarrollo, telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace ms viable la auditora como la definicin de soluciones.
67
Etapa de adecuacin
Adecuacin a la alta poltica de empresa
Todas las tareas realizadas por la auditora en informtica deben cumplir con los estndares, polticas y procedimientos establecidos por las asociaciones profesionales relativas a la misma; tambin se cumplirn con los de las empresas donde se preste el servicio durante la gestin de auditoria. Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicacin de los estndares, polticas y procedimientos ms convenientes a las necesidades actuales y futuras del rea de especializacin a la que se dedican.
68
Etapa de adecuacin
Definido y detallado el plan, el auditor proceder con objetividad y disciplina a establecer referencias cruzadas entre los estndares, polticas y procedimientos generalmente aceptados y cada uno de los componentes de informtica que se auditarn.
69
Etapa de adecuacin
Elaboracin de cuestionarios
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluacin; de los mismos derivan entrevistas, visitas a los centros de cmputo o departamentos usuarios. Los cuestionarios representan una herramienta de gran valor para el auditor en informtica; se estructuran de manera que funcionan como gua para verificar la confiabilidad de la informacin del personal entrevistado; adems, permiten percibir el grado de cumplimiento de estndares, polticas y procedimientos que generalmente son aceptados.
70
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situacin de la empresa y de la funcin de informtica; en ellas se detectaron las debilidades y fortalezas ms relevantes, tambin se defini la planeacin y proyeccin de las reas que requieren ser auditadas, y se documentaron las adecuaciones. En esta etapa corresponde a la alta direccin dar su aprobacin y apoyo formal para el desarrollo del proyecto de auditora (presentado por el lder de proyectos y el responsable de auditora en informtica), de manera tal que, su funcin es justificar el desarrollo del proyecto basndose en lo que se hizo en las etapas anteriores.
71
1) Verificacin de prioridades, restricciones y alcances del proyecto:
La verificacin, validacin, clasificacin y documentacin de las prioridades, restricciones y alcances del proyecto tienen un alto valor para el auditor en informtica, ya que mediante su realizacin se clarifica el rumbo, lmites y cobertura que tendr el proyecto. Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de conformidad de cada participante.
72
Prioridades: Son las acciones que deben llevarse a cabo antes que las dems sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algn hecho que perjudica en alto grado al negocio. RestriccionesSon los hechos o circunstancias que no se identifican con facilidad y que ocurren o pueden ocurrir durante el transcurso de la auditora y que afectan directa o indirectamente al proyecto. Generalmente son limitaciones o carencias que no se podran resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto para asignar recursos al proyecto. Alcance: Aqu se aclara que se realizar en el proyecto (tareas, etapas) y los resultados (productos terminados). Lo que no se mencione aqu no se obtendr durante el proyecto.
73
2) Presentacin formal del plan de auditoria en informtica: Esta tarea es la ms importante para el lder del proyecto y el responsable de la auditoria en informtica, ya que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son: * Asegurarse de contar con toda la informacin resumida y presentable, ya que su principal audiencia ser la alta direccin. * Revisarla y verificarla con este ltimo. * Concertar en una cita en una fecha y lugar apropiados. * Ser fluido, claro y contundente en la presentacin. * Asegurar el entendimiento de la audiencia de los datos presentados.
74
3) Aprobacin formal del proyecto:
Esta no es una tarea que demande mucho tiempo a pesar de ser una de las ms importantes, ya que en ella surge la aprobacin formal del proyecto de auditoria. Dado el visto bueno de los involucrados, la responsabilidad de la funcin de auditoria en informtica es mas clara y evidente.
75
4) Compromiso ejecutivo:
Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta direccin, los usuarios clave, el responsable de informtica y el de la auditora se comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e implantacin de las acciones recomendadas por auditora en informtica en su informe final.
76
Etapa de desarrollo
En esta etapa el auditor en informtica va a ejercer su funcin de manera prctica, es decir, comienza a ejecutar sus tareas con profesionalismo, tica personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
77
Etapa de desarrollo
En esta fase se llevan a cabo las siguientes tareas: 1. Concertacin de fechas de entrevistas, visitas y aplicacin de cuestionarios: NOTA: Las visitas se realizan con el objetivo de validar el uso de polticas y procedimientos de seguridad y control, como el registro de acceso a centros de cmputo y reas en donde existe documentacin o tecnologa importante para el negocio, existencia de extintores, detectores de humo, etc.; respaldos de informacin en algn dispositivo, equipos en buen estado avisos de seguridad, etc. Actividades principales: Se solicita al responsable de informtica una lista con los nombres, puestos y departamentos del personal de informtica y de las reas usuarias involucradas en el proyecto. Hablar personal o telefnicamente con los involucrados para concertar citas. Productos terminados: Lista del personal de informtica y de usuarios Fecha y hora formal de cada entrevista
78
Etapa de desarrollo
2. Verificacin de las tareas, involucrados y productos terminados: Actividades principales: Verificar si la tarea anterior alter el orden de las acciones mencionadas en el plan detallado Asegurar que los cambios sean mnimos y de bajo impacto en el plan. Documentar los cambios necesarios y justificados. Productos terminados: Cambios justificados Cambios documentados
79
Etapa de desarrollo
3. Clasificar tcnicas y herramientas:
Actividades principales Verificar la lista de mtodos, tcnicas y herramientas sugeridas por el rea auditada. Verificar los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada rea que se auditar. Actualizar cuestionarios solo si es necesario, Elaborar entrevistas con base en la experiencia, cuestionarios y necesidades del proyecto. Clasificar y documentar segn el proyecto Productos terminados: Lista de mtodos, tcnicas y herramientas clasificadas por rea de revisin Cuestionarios actualizados y documentados de cada rea Entrevistas documentadas al personal de informtica y usuarios
80
Etapa de desarrollo
4. Realizacin de entrevistas y cuestionarios:
Actividades principales Efectuar cada una de las entrevistas en las fechas y horas planeadas Aplicar cada uno de los cuestionarios en las fechas planeadas. Documentar las entrevistas y los cuestionarios Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros). Registrar entrevistas y cuestionarios Productos terminados: Entrevistas aplicadas y documentadas Cuestionarios aplicados y documentados Cancelaciones y causas documentadas Documentacin de comentarios de apoyo relevantes para el proyecto.
81
Etapa de desarrollo
5. Efectuar visitas para la verificacin:
Actividades principales Validar objetivos e informacin buscados en cada visita. Efectuar visitas a centros de cmputos o a los usuarios de informtica. Notificar la visita a los representantes de dicho departamento. Registrar la informacin ms relevante y obtener el soporte requerido.
Registrar visitas pendientes.
Productos terminados: Visitas de revisin y verificacin efectuadas Documentacin de los datos relevantes relacionados con debilidades o falta de control y seguridad Registro de causas de visitas canceladas Fechas de visitas pendientes aprobadas por los usuarios y personal de informtica responsables de los lugares por visitar
82
Etapa de desarrollo
6. Elaboracin de informes preliminares:
Actividades principales Analizar la informacin documentada que se origino en las entrevistas, visitas y aplicacin de cuestionarios Elaborar observaciones y conclusiones de cada uno de los componentes y reas auditadas Llenar hoja de resumen de observaciones y recomendaciones de la auditoria informtica. Productos terminados: Observaciones, conclusiones y recomendaciones verificadas y depuradas Reunin informal para la notificacin de avances del proyecto con el responsable de informtica y el responsable de cada rea de los usuarios Compromiso de terminacin de pendientes por medio de entrevistas, visitas o aplicacin de cuestionarios.
83
Etapa de desarrollo
7. Clasificacin y documentacin del
informe preliminar
Actividades principales Registrar de manera formal cada observacin, conclusin y recomendacin sugerida, revisada y aprobada Clasificar la informacin por componente y rea auditada. Productos terminados: Observaciones, conclusiones y recomendaciones clasificadas y documentadas por: rea y componente
84
Etapa de desarrollo
8. Finalizacin de tareas o productos
pendientes:
Actividades principales
Verificar lista de entrevistas, visitas y cuestionarios pendientes Finalizar cada tarea pendiente Analizar la informacin emanada de cada entrevista, visita o cuestionario terminados Elaborar observaciones y recomendaciones correspondientes Actualizar, documentar y clasificar el informe de la auditoria
Productos terminados: Entrevistas visitas y cuestionarios terminados Observaciones, conclusiones y recomendaciones clasificadas y documentadas en el informe de auditoria en infromtica por rea y componente
85
Etapa de desarrollo
9. Elaboracin del informe final de la auditora
en informtica:
Actividades principales
Elaborar un informe orientado a la alta direccin Redactar un informe detallado (que contenga antecedentes, observaciones, recomendaciones, etc.) para el responsable de informtica y los usuarios clave. Verificar que el informe contenga al menos: antecedentes, observaciones, conclusiones, recomendaciones, responsables y tiempos por rea auditada. Productos terminados: Informe orientado a la alta direccin Informe detallado para el responsable de informtica y los usuarios clave
86
Etapa de desarrollo
10. Presentacin a la alta direccin e involucrados clave: Actividades principales
Verificar que los informes sean claros, completos y congruentes entre s. Comprobar que se encuentre con el soporte documentado de lo mencionado en los informes Formalizar la fecha de la presentacin de informes a la alta direccin Elaborar una minuta Productos terminados: Informe verificados Informes finales Informes presentados a la alta direccin e involucrados clave del proyecto (responsable de informtica y responsable de los usuarios) Minuta de la reunin
87
Etapa de desarrollo
11. Aprobacin del proyecto y compromiso ejecutivo: Actividades principales
Obtener la aprobacin y el compromiso formal de la alta direccin para luego elaborar un plan de implantacin general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por ultimo se delega a informtica y las reas usuarias la implantacin de las acciones recomendadas.
Productos terminados:
Aprobacin formal de la alta direccin relacionada con la terminacin del proyecto de auditora en informtica Compromiso ejecutivo para brindar el apoyo requerido en la etapa de implantacin de las recomendaciones contempladas en los informes Compromiso del responsable de informtica y de las reas usuarias para ejecutar la etapa de implantacin.
88
Etapa de desarrollo
5. Revisin de estos informes:
Actividades principales Verificar cada una de las observaciones y recomendaciones por componente y rea con el lder del proyecto. Registrar sugerencias de auditoria para el mejor planteamiento de observaciones y recomendaciones Asegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de reporte, documentos fuente, etc.). Concertar citas con el responsable de informtica y los usuarios para sacar conclusiones. Productos terminados: Hoja de resumen de observaciones y recomendaciones de la auditoria informtica. Observaciones, conclusiones y recomendaciones por: rea y componente
89
Informe preliminar
Deben de contener la siguiente informacin Observaciones (debilidades, carencias) de los aspectos de informtica auditados reas de oportunidad para mejorar de inmediato los procesos de negocio apoyados en informtica Recomendaciones preliminares para cada una de las observaciones encontradas Responsables de ejecutar las recomendaciones Actualizacin del plan de auditoria en informtica Revisin detallada de los aspectos que tengan un impacto considerable en la operacin del negocio o que soporten alguna estrategia del negocio
90
Informe preliminar
Deben de contener la siguiente informacin Comunicacin abierta con los usuarios y el personal de informtica involucrados Presentar un plan de implantacin de auditoria en informtica factible y realista qye contemple los siguientes elementos:
Debilidades o carencias de control, su problemtica y causas que la originan Acciones inmediatas de corto y mediano plazo Responsables e involucrados en la implantacin de estndares, polticas y procedimientos en cada componente de informtica que as lo requiera Anlisis costo-beneficio del proyecto de implantacin Aprobacin formal de los directivos usuarios y del responsable de informtica
91
Informe final
La funcin de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboracin del informe final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.
92
Informe final
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditoria y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Se tiene que entregar el informe con una carta de introduccin o presentacin, la cual tiene especial importancia porque en el ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.
93
Informe final
Estructura del informe final
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditoria no har copias de la citada carta de Introduccin. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 pginas. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.
94
Informe final
a)
b) c)
Requisitos del informe final Ser veraz. Todas las consideraciones y conclusiones deben ser tomadas con certeza de que los datos son reales y de buena fuente Estar documentado formalmente Mostrar las observaciones (debilidades) encontradas, se clasificaran en orden de importancia o el impacto negativo que pueden tener en el negocio si no se atienden oportunamente. Si se considera conveniente, se deben de exponer los motivos de esa debilidad con el fin de aclarar las responsabilidades y percibir los efectos que pueden llegar a tener en el negocio Aqu es muy importante sealar que esas observaciones se identificaron a lo largo del proyecto y que, de alguna manera se comentaron con los responsables de las reas o funciones que la originaron, excepto en situaciones muy delicadas como fraudes o delitos graves contra la empresa.
95
Informe final
d)
Contar con recomendaciones y soluciones para cada observacin, las cuales debern de tener una solucin clara y contundente que comprenda la siguiente observacin:
a) b) c) d)
e)
Observacin reas de oportunidad Productos terminados Plazos de implantacin Responsable de cada accin
96
e Imp. De Serv. Beneficios de Uso la auditoria De Internet en informtica
ETAPA DE IMPLANTACION
Esta es la ms importante para los involucrados en el proyecto de auditoria en informtica, ya que termina la tarea de los auditores y comienza para los responsables de las reas usuarias y de informtica. Ellos ejecutaran las acciones recomendadas en los informes detallados y aprobados por la alta direccin. La funcin del auditor se convierte as en una labor de seguimiento y apoyo.
97
Los elementos clave de la etapa de implantacin son:
Definicin de requerimientos para el xito de la etapa de implantacin (la ejecuta el responsable de informtica): Aqu se analizan algunos aspectos (recursos humano, materiales tecnolgicos, inversiones, etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados anteriormente. Desarrollo del plan (tambin a cargo del responsable de informtica): Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobacin de la alta direccin.
98
Los elementos clave de la etapa de implantacin son: Implantacin de las acciones sugeridas por auditoria en informtica (responsable de inf.): 1) Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior. 2) Consultar los informes para verificar acciones y tiempos de terminacin 3) Elaborar un plan de implantacin que tenga:
- Tareas - Productos terminados - Responsables e involucrados - Fechas de inicio y trmino - Fechas de revisin - Verificar tareas, productos terminados, etc. del plan de implantacin -Ejecutar cada una de las tareas
99
Seguimiento
a la implantacin (esta tarea le corresponde al auditor en informtica):

Tiene que solicitar el plan de implantacin para revisar su congruencia con los informes de la auditoria en informtica. Luego comprobar el cumplimiento formal de las tareas en los tiempos y formas que considere convenientes para asegurar resultados. Documentar debilidades y anomalas relevantes. Y por ultimo, sugerir acciones para el cumplimiento oportuno de la implantacin al nivel que se considere pertinente.
100
Referencias
Hernndez, Hernndez Enrique; Auditoria en Informtica; 2 edicin; Editorial CECSA
101

Unidad III - Desarrollo de La Auditoria en Informática

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad III - Desarrollo de La Auditoria en Informática

Uploaded by

Copyright:

Available Formats

M. en C.

Lorena Carmina Moreno Jimnez

Desarrollo de la auditoria en Unidad III (Metodologa para el desarrollo de

Desarrollo de la auditoria informtica en informtica

2 evaluacin Marzo 2007

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la De auditoria Internet en informtica

Metodologa para el desarrollo de la auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Etapa preliminar o diagnstico de la situacin actual

Diagnstico de informtica: responsables de la funcin

Cuestionarios para llevar a cabo la etapa de diagnstico

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Etapa de desarrollo Etapa de implantacin Referencias

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez

e Imp. De Serv. Desarrollo de Uso la auditoria De Internet en informtica

Metodologa para el desarrollo de auditoria en informtica

M. en C. Lorena Carmina Moreno Jimnez