Práctica profesional I Trabajo práctico No 1 AUDITORIA INFORMÁTICA ÍNDICE Capítulo 1 Introducción, conceptos y terminología ..........................................................3 1.1 Introducción y antecedentes del tema..................................................................3 tema..................................................................3 1.2 Informática............................... Informática...................................................................... ............................................................................. ......................................55 1.3 Auditoría................................... Auditoría.......................................................................... ......................................................................... .................................. 7 1.4 Auditoría en informática..................................................................................... informática..................................................................................... 7
Capítulo 2 Entorno y funciones de la auditoria, estructura organizacional................ 9 2.1 Entorno de la informática 2.2 Estructura organizacional. 2.3 Plan de negocios. Definición. 2.4 Funciones de la auditoría en informática dentro de la estructura. .........................................................................................................11 ..............................11 Capítulo 3 Planificar........................................................................... 3.1 Que es planificar y porque planificar.............................. planificar................................................................11 ..................................11 3.2 Planeación en informática............................. informática.................................................................... ...................................................11 ............11 3.3 Planeación de la auditoría.................................................................... auditoría................................................................................12 ............12 3.4 Planeación de la auditoría en informática........................................................ informática........................................................ 12 ....................................................................................................16 ...........................16 Capítulo 4 Metodología......................................................................... 4.1 Proceso metodológico de la auditoría en informática......................................17 Métodos.......................................................... Métodos................................................................................................. .................................................19 ..........19 Técnicas.......................................................................................................... ......................................21 21 • Técnicas.................................................................... •
4.4 Herramientas................................ Herramientas....................................................................... ...................................................................21 ............................21 .............................................................................................................. ...........................................27 .....27 Capítulo 5 Etapas........................................................................ 5.1 Preliminar o diagnóstico.................................................................................. diagnóstico.................................................................................. 27 1
5.2 Justificación............................ Justificación................................................................... ......................................................................... .................................. 31 5.3 Adecuación................................. Adecuación....................................................................... ..................................................................... ............................... 32 5.4 Formalización............................. Formalización.................................................................... ..................................................................... .............................. 34 5.5 Desarrollo e implantación................................................................................ implantación................................................................................ 35 5.6 Presentación del informe final......................................................................... final......................................................................... 38
Anexos........................................................... Anexos.................................................................................................. .........................................................................47 ..................................47 ................................................................................................................. .........................................47 ...47 Objetivos........................................................................... .................................................................................................................47 ...................................47 Bibliografía.............................................................................. .............................................................................................................47 .................................47 Conclusiones............................................................................
Capítulo 1 Introducción, conceptos y terminología 1.1 Introducción y antecedentes del tema En este capitulo vamos a realizar una breve reseña para explicar las causas por las cuales surgió la actividad denominada auditoría en informática y también dar una idea del entorno en el cual se desenvuelve la función. Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, liquidación de sueldos, etc., a partir de la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, se originó el proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Mas adelante la informática pasó a formar parte de toda organización y el uso de computadoras personales, redes locales de computadoras, etc., se difundió a lo largo de toda la empresa, la informática también da apoyo a la relación entre empresas a través de redes WAN y también en la actualidad a través de INTERNET (B2B / B2C, etc.) De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces. Así surgió la necesidad del replanteamiento total de la auditoría en informática, conocida también como auditoría de sistemas, si bien esta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento. Entonces la auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información. El rol del auditor en informática no es el de oficiar como capataz o policía del negocio, como se suele plantear comúnmente, sino el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos. 2
5.2 Justificación............................ Justificación................................................................... ......................................................................... .................................. 31 5.3 Adecuación................................. Adecuación....................................................................... ..................................................................... ............................... 32 5.4 Formalización............................. Formalización.................................................................... ..................................................................... .............................. 34 5.5 Desarrollo e implantación................................................................................ implantación................................................................................ 35 5.6 Presentación del informe final......................................................................... final......................................................................... 38
Anexos........................................................... Anexos.................................................................................................. .........................................................................47 ..................................47 ................................................................................................................. .........................................47 ...47 Objetivos........................................................................... .................................................................................................................47 ...................................47 Bibliografía.............................................................................. .............................................................................................................47 .................................47 Conclusiones............................................................................
Capítulo 1 Introducción, conceptos y terminología 1.1 Introducción y antecedentes del tema En este capitulo vamos a realizar una breve reseña para explicar las causas por las cuales surgió la actividad denominada auditoría en informática y también dar una idea del entorno en el cual se desenvuelve la función. Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, liquidación de sueldos, etc., a partir de la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, se originó el proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Mas adelante la informática pasó a formar parte de toda organización y el uso de computadoras personales, redes locales de computadoras, etc., se difundió a lo largo de toda la empresa, la informática también da apoyo a la relación entre empresas a través de redes WAN y también en la actualidad a través de INTERNET (B2B / B2C, etc.) De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces. Así surgió la necesidad del replanteamiento total de la auditoría en informática, conocida también como auditoría de sistemas, si bien esta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento. Entonces la auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información. El rol del auditor en informática no es el de oficiar como capataz o policía del negocio, como se suele plantear comúnmente, sino el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos. 2
Por otro lado es incorrecto pensar que la auditoría informática producirá un cambio instantáneo en la cultura organizacional, en los métodos de trabajo, o en la mala calidad o improductividad, se debe pensar que la auditoría en informática es un elemento estratégico directo que apoya o promueve la eliminación o corrección de cada una de las debilidades antes mencionadas. Se espera que un auditor en informática sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contexto real del negocio que está auditando. Su principal objetivo es darle a cada problema la dimensión justa y convertirlo en una solución para el negocio de la empresa.
Un poco de historia: En los años cuarenta empezaron a presentarse resultados relevantes en el campo de la computación, a raíz de los sistemas de apoyo para estrategias militares, posteriormente se incrementó el uso de computadoras y sus aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación, salud, industria, política, aeronáutica, comercio, etc. En aquellos años la seguridad y control se limitaba a proporcionar custodia física a los equipos y a permitir la utilización de los mismos a personas altamente calificadas, ya que no existía un gran número de usuarios técnicos ni administrativos. En las últimas décadas, la informática se ha extendido a todas las ramas de la sociedad, es decir, es posible desde controlar un vuelo espacial por medio de computadoras hasta armar una receta de cocina en una computadora o llevar los gastos personales. De lo anterior se desprende la idea de que se han obtenido importantes beneficios (reducción de costos, incremento en ventas, etc.), pero, también se debe tener en cuenta que los costos de estos beneficios han sido altos y en muchas ocasiones han superado los límites esperados, ocasionando grandes pérdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informática continúe creciendo para beneficio de la humanidad (educación, productividad, calidad, ecología, etc.) desean que este incremento se controle y oriente de manera profesional. Esto significa que se debe obtener el resultado planteado y esperado de cada inversión realizada. Es razonable decir que corre por cuenta de quien administra la función de informática la responsabilidad de que las inversiones y proyectos sean justificados y eficaces. También es lógico suponer que la dirección no debe aprobar proyectos que no aseguren la rentabilidad de la inversión a realizar. El incremento constante de las expectativas y necesidades relacionadas con la informática, al igual que la actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades que la aplican, a disponer de controles, políticas y procedimientos que aseguren a la alta dirección la correcta utilización de los recursos humanos, materiales, y financieros involucrados, para que se protejan adecuadamente y se orienten a la rentabilidad y competitividad del negocio. La improductividad, el mal servicio, el rechazo de los usuarios a los sistemas de información y la carencia de soluciones totales de la función de informática, fueron, son y pueden continuar siendo mal de muchas organizaciones. Paradójicamente los proyectos prioritarios hacen gala del apoyo que obtienen de la informática. Por este motivo es ilógico descuidar su control y no garantizar su eficacia. 3
Importancia de la auditoria en informática: La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática i nformática o evaluaciones periódicas realizadas por el mismo personal de informática. Surge entonces la obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Esto es posible si se implementan los controles y esquemas de seguridad requeridos para su aprovechamiento óptimo. Una vez que la alta dirección comprenda la importancia de contar con un área independiente que asegure y promueva el buen uso y aprovechamiento de la tecnología de informática, ya puede delegar la responsabilidad en personal altamente capacitado para ejercer la auditoría en informática dentro de la organización de manera formal y permanente.
Terminología de la auditoría en informática: 1.2 Informática: La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya (entidades internas y externas de los negocios) de manera oportuna y veraz. También se puede decir que es el proceso metodológico que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación, selección, implementación y actualización de los recursos humanos, conocimientos, habilidades, normas, etc., tecnológicos (hardware, software, etc.), mate-riales (escritorios, edificios, accesorios, etc.) y financieros (inversiones) encaminados al manejo de la información, buscando que no se pierdan los propósitos, confiabilidad, oportunidad, integridad y veracidad, entre otros.
1.3 Auditoría Es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las políticas, controles y procedimientos definidos formalmente, con objeto de que cada individuo o sector de la organización opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas. También es un conjunto de tareas realizadas por un especialista para la evaluación o revisión de políticas y procedimientos relacionados con las diferentes áreas de una empresa Administrativas. • Financieras. • Operativas. •
4
Informática. • Crédito. • Fiscales. •
1.4 Auditoría en informática Es un proceso formal ejecutado por especialistas del área de auditoría y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se realicen de manera eficiente y eficaz. Las actividades ejecutadas por los profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.). Dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. También se puede definir como el conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para asegurar que los recursos de infomática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la informa-ción que circula por el área se maneja con los conceptos básicos de integridad, to-talidad, exactitud y confiabilidad requeridos. Proceso metodológico que tiene el propósito principal de evaluar los recursos (hu-manos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apo-yen la productividad y rentabilidad de la organización.
Capitulo 2: Entorno y funciones de la auditoría, estructura organizacional. Ubicación jerárquica de la función
La alta dirección de cualquier organización tiene que esar consciente de que la función de auditoría se debe ejercer con el criterio básico de independencia funcional jerárquica, es de-cir, el desempeño de las actividades profesionales en el proceso de evaluación y control no debe verse afectado por aspectos emocionales ni de autoridad emanados de los respon-sables e involucrados en el momento de la auditoría. En la medida en que la dirección establezca políticas claras que especifiquen que la función del auditor es asegurar el control y la seguridad de los elementos relacionados con la informática y que responde a una necesidad de la alta dirección, el apoyo y participa-ción de las áreas del negocio fluirá de manera natural; asimismo, se evitará que esta situación se convierta en un proceso tenso y complicado, o en una actividad burocrática e improductiva. Es recomendable ubicar la función de auditoría en informática en un nivel organizacio-nal que le asegure la independencia y soporte requerido de la alta dirección, con la finali-dad de que su desempeño sea confiable y eficiente. La falta de una posición organizacional adecuada a las características específicas que la rodean puede convertirla en foco de frustración e incertidumbre con el paso del tiempo. 5
El control y la seguridad no pueden establecerse ni supervisarse desde los niveles inferiores de una empresa; su posición debe estar en la parte superiror del organigrama. La taread de auditoria nunca se debería ejercer desde un nivel operativo. La alternativa es que los rea-lice personal profesional externo. Si la auditoría en informática es ejercida por personal externo a la empresa, se reco-mienda que el seguimiento, coordinación, apoyo y aprobación del trabajo efectuado por los asesores externos sea llevado a cabo por la alta dirección (director o gerentes de au-ditoría y del área de informática). Tipos de estructuras donde se ubica la auditoría en informática
La auditoría en informática se debe considerar en un alto nivel organizacional, de igual manera que cualquier otra rama de la auditoría tradicional. La ubicación deseable es subordinada jerárquicamente a una dirección o subdirección, ya sea administrativa o de informática. El objetivo primordial para la alta dirección del negocio es asegurar que el desempe-ño de las actividades de auditoría en informática se ejecuten oportuna y eficientemente, de forma que se logre que los auditores cuenten con: Independencia funcional. • Libertad de acción. • Facultad para la toma de decisiones. • Negociación con los niveles gerenciales. • Participación en proyectos de alto impacto en el negocio. •
Es importante resaltar que en la actualidad existe muy poca difusión y menor acep-tación por parte de las empresas sobre la necesidad de contar con una función de audito-ría en informática. Sin embargo, es factible pronosticar, con un alto grado de certidum-bre, que el crecimiento acelerado de las inversiones y proyectos de informática, donde se involucran todas las empresas, forzará a que se tome una decisión al respecto, aunque a la auditoría en informática se le denomine aseguramiento de calidad, evaluación de in-formática o auditoría de sistemas y sea ejercida por personal externo o interno. Una cantidad considerable de empresas aún cuestiona la rentabilidad y productividad de la función de informática, Prueba de ello son las corporaciones e instituciones donde la función de informática depende de la dirección o las gerencias de recursos humanos, fi-nanzas, manufactura (empresas industriales), etc., y en algunos casos (que resultan in-creíbles en estos tiempos) de alguna jefatura de contabilidad o de los usuarios.
Capítulo 3: 3.1 Planificar
En términos generales, podemos decir que planificar es establecer, en función del tiempo, a través de un enfoque metodológico, la distribución de tareas y la asignación de recursos inherentes a un proyecto, de manera de cumplir con el objetivo del mismo, de la mejor manera posible. Esto permitirá controlar el estado de avance de las actividades para el posterior ajuste de las tareas que no se desarrollen de la manera planeada y de ésta forma pongan en peligro el éxito del proyecto. Es muy importante considerar el proceso de planeación en cualquier organización, como la base de las actividades que se ejecutan en ella. 6
La informalidad en el desarrollo de los planes de trabajo sorprenden a quienes sostienen que planear es una pérdida de tiempo. Es lógico pensar que si no se planea el trabajo, tampoco se planean las anomalías y decepciones que el desarrollo de dicho trabajo derivará. Existen muchos beneficios asociados a la planificación, pero el mas importante es poder asegurar con alto grado de credibilidad a ejecutivos y empresarios, cuánto invertirán y cuánto obtendrán de beneficio por un proyecto.
3.2 Planeación en informática: La planificación en informática podemos definirla como el proceso de identificar el conjunto de proyectos relacionados con la función de informática. Cada proyecto debe estar orientado a objetivos y estrategias específicos de acuerdo al tipo de organización. El período de elaboración o actualización del plan de informática depende de las estrategias y formalidad que posea dicho proceso en cada organización. Se recomienda que al ser aprobado por la alta dirección se ejecute oportuna y formalmente, con su actualización. Las tareas básicas del proceso de planeación en informática son: La determinación de áreas apoyadas por informática, cuyo responsable de ejecución puede ser el coordinador o supervisor de planeación de informática y su responsable de seguimiento es el director o gerente del área de informática. La elaboración del plan de informática, donde el responsable de la ejecución también es el coordinador o supervisor de planeación en informática y el responsable del seguimiento es el director o gerente de informática. La presentación del plan a la alta dirección, donde en este caso el responsable de la ejecución es el director o gerente de informática y la responsabilidad del seguimiento queda a cargo de la alta dirección de la organización. La ejecución del plan de informática queda bajo la responsabilidad del área de desarrollo, investigación, comunicaciones, soporte a usuarios, entre otros y los responsables del seguimiento son el gerente o los supervisores.
3.3 Planeación en auditoría: En toda organización es importante asegurar el buen manejo y administración de los recursos. Pare ello existe el proceso de planificación de la auditoría, el cual consiste en la definición de un conjunto de proyectos de evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas, financieras, operativas, etc. Las cuatro tareas básicas del proceso de planeación de auditoría son: La determinación de las áreas que se va a auditar, lo cual debe ser realizado por el coordinador o supervisor de auditoría y controlado por el director o el gerente de auditoría. En este punto, se deben evaluar los sistemas de información financieros y contables. El auditor definirá si requiere el apoyo del personal de auditoría informática, el cual puede ser interno o externo. 7
La elaboración del plan de auditoría debe ser también efectuada por el coordinador o supervisor de auditoría y el responsable del seguimiento será el director o gerente de auditoría. Las áreas serán auditadas en las fechas y períodos en las cuales las estrategias propias de la alta dirección lo dispongan. La presentación del plan a la alta dirección será ejecutada por el director o gerente de auditoría y controlada por la alta dirección del negocio. Esta tarea debe ser efectuada de manera oportuna y autorizada formalmente. La ejecución del plan de auditoría está a cargo del supervisor o auditores (los cuales pueden ser externos o internos) y el seguimiento será efectuado por el gerente o supervisores. Algunas empresas consideran recomendable que el personal de auditoría sea externo para dar independencia al informe y/o aligerar las cargas de trabajo. La función de auditoría debe ser un área de control y aseguramiento, o sea una entidad independiente y profesional que evalúe y efectúe un seguimiento sobre las actividades que afecten, ya sea de manera directa o indirecta, lo estados administrativos, contables y financieros. El período de elaboración o actualización del plan de auditoría depende de las necesidades externas o de las prioridades del negocio que tenga dicho proceso dentro de la organización.
3.4 Planeación de la Auditoría en Informática: Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo. •
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto, planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Investigación preliminar: Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. La investigación preliminar se debe realizar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:
Administración Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura a auditar se debe solicitar: 8
Al área de informática: Objetivos a corto y largo plazo. Recursos y materiales técnicos: Solicitar documentos sobre los equipos, número de ellos, localización y características. • Estudios de viabilidad. • Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) • Fechas de instalación de los equipos y planes de instalación. • Contratos vigentes de compra, renta y servicio de mantenimiento. • Contratos de seguros. • Convenios que se tienen con otras instalaciones. • Configuración de los equipos y capacidades actuales y máximas. • Planes de expansión. • Ubicación general de los equipos. • Políticas de operación. • Políticas de uso de los equipos. •
Sistemas Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. • Manual de normas • Manual de procedimientos de los sistemas. • Descripción genérica. • Diagramas de entrada, archivos, salida. • Salidas. • Fecha de instalación de los sistemas. • Proyecto de instalación de nuevos sistemas. •
En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la información y se ve que: No se tiene y se necesita. • No se tiene y no se necesita. • No se tiene pero es necesaria. • Se tiene la información: • No se usa • Es incompleta. • No esta actualizada. • No es la adecuada. • Se usa, está actualizada, es la adecuada y está completa. •
En el caso de 1), se debe evaluar la causa por la que no es necesaria. En el caso 3) , se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.
9
El éxito del análisis crítico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento). • Investigar las causas, no los efectos. • Atender razones, no excusas. • No confiar en la memoria, preguntar constantemente. • Criticar objetivamente y a fondo todos los informes y los datos recabados. •
Personal participante Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas. También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características: Técnico en Informática • Experiencia en el área de informática. • Experiencia en operación y análisis de sistemas. • Conocimientos de los sistemas más importantes. •
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características señaladas.
Capitulo 4: Metodología 10
La auditoría en informática debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoría en informática efectúa sus tareas y actividades mediante una metodología. No es recomendable fomentar la dependencia en el desempeño de esta importante fun-ción sólo con base en la experiencia, habilidades, criterios y conocimientos sin una refe-rencia metodológica. Contar con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo a estándares predeterminados. La función de auditoría en informática ha de contar también con un desarrollo de ac-tividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias de la función. Lo anterior se facilita si los auditores en informática cuentan con una metodología que oriente en cada proyecto a una ejecución armoniosa y planeada en cada una de las tareas y actividades involucradas. Un alto porcentaje de los especialistas en áreas de investigación, planeación financiera, informática, sistemas, etc., se apoyan en gran medida en tareas, actividades, productos terminados, revisiones, funciones y responsabili-dades, etc., definidas previamente en un documento formal que contiene la metodología ne-cesaria. El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que arriben a los resultados esperados por la empresa, siguiendo un plan. Es importante señalar que el uso de la metodología no garantiza por sí sola el éxito de los proyectos de auditoria en informática; además, se requiere un buen dominio y uso constante de los siguientes aspectos complementarios: Técnicas • Herramientas de productividad • Habilidades personales • Conocimientos técnicos y administrativos • Experiencia en los campos de auditoría e informática • Conocimiento de los factores del negocio y del medio externo al mismo • Actualización permanente • Comunicación constante con asociaciones nacionales e interna-cionales relacionadas. •
4.1 Proceso metodológico de la auditoría en Informática El uso de un proceso de trabajo metodológico y estándar en la función de auditoría en in-formática genera las siguientes ventajas: Los recursos orientan sus esfuerzos a la obtención de productos y servicios de ca-lidad, con características y requisitos comunes para todos los responsables. • Las tareas y productos terminados de los proyectos se encuentran definidos y for-malizados en un documento al alcance de los auditores en informática. • Se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios están-dares. • Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración en las funciones del auditor en informática. • Es un complemento clave en el desarrollo de cada individuo, pues su formal segui-miento, aunado a •
11
las habilidades, normas y criterios personales, colabora con el cum-plimiento exitoso de los proyectos de auditoría en informática. • El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y pautas per-fectamente definidas.
Requisitos para el éxito del proceso metodológico Contar con una metodología formalmente documentada no es garantía de que los proyec-tos de auditoría en informática tendrán éxito; pero, no cumplir con las siguientes con-diciones conducirá a la función de auditoría en informática a que sus proyectos no cum-plan con los tiempos, costos o resultados esperados: Aprobación de la metodología por la alta dirección. • Adecuación de la metodología a los requerimientos específicos del negocio (cuida-do con reducir tareas y eliminar productos importantes con el fin de ahorrar tiem-po o por criterios personales; es útil apoyarse en un asesor experto). • Documentación o actualización de la metodología. • Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado). • Elaboración de los planes de auditoría en informática según la metodología. • Verificación del uso formal de la metodología en cada proyecto. • Capacitación formal para el personal de nuevo ingreso o cuando se lleven a cabo actualizaciones relevantes a la metodología. •
A continuación podemos ver un cuadro que muestra las etapas de un ejemplo de metodología de auditoría en informática:
Etapas metodología auditoría Preliminar (Diagnóstico): Se define el negocio y releva la Informática. Justificación: Se estudian las areas a auditar siguiendo el plan propuesto. Adecuación: Se buscan y estudian métodos, técnicas y herramientas. Formalización: Aprobación de plan y del proyecto para determinar el Arranque. Desarrollo: Se llevan a cabo las Entrevistas, Visitas, Observaciones y Recomendaciones mientras se desarrola el Informe de auditoría. Implantación: Se implementan las Acciones Correctivas y preventivas estudiadas anteriormente mientras se hace un Seguimiento continuo de su transcurso en el tiempo y como afectan al sistema. Revisión Informal: Se vuelve a revisar y estudiar el sistema para verificar cambios, falencias, mejoras y cumplimiento del plan acordado. Revisión Formal: Se vuelve a estudiar el sistema más detalladamente, documentando todas evaluaciones del mismo. Aprobación Final: Se realiza la aprobación final por los ejecutivos de la empresa auditada. El cuadro anterior muestra los caminos a seguir en la aplicación de la metodología, pasando por todas las etapas hasta llegar a la aprobación final. Esta visión será de gran utilidad tanto para el auditor en informática 12
como para los demás involucrados en el proyecto. El responsable de la función de auditoría en informática puede valerse de la información consolidada de la tabla de descripción general de la metodología de auditoría en informática, para realizar un seguimiento oportuno y estructurado con cada proyecto, debido a que tareas y productos están terminados (salvo algunas tareas y resultados). Mas adelante detallaremos cada etapa con el fin de explicarlas detalladamente; por otro lado, el proceso metodológico no debe tomarse al pie de la letra; al contrario, ha de considerarse como una referencia que trata de orientar al líder de proyecto e involucrados en un mejor desarrollo de cada tarea requerida en la auditoría en informática. Una obligación de cada área dentro de una organización es actualizarse, adecuando procesos y métodos a las características propias del negocio, sin perder las recomendaciones comúnmente aceptadas por los negocios, asociaciones profesionales y demás especialistas.
Métodos, técnicas y herramientas por área de revisión Como hemos comentado en capítulos anteriores, el desarrollo exitoso de la auditoría en informática depende de un conjunto de factores inter−relacionados. Agrupar y coordinar de manera eficiente los siguientes factores brindará resultados satisfactorios por parte de los auditores en informática: Dominio de los conceptos técnicos y administrativos • Habilidades inherentes a la auditoria en informática. • Normas personales. • Entendimiento de la auditoría en informática y sus tendencias. • Adaptación o actualización según el medio dominante. • Administración formal de la auditoría en informática en el negocio. • Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoría tradicional. • Desarrollo de un proceso formal de planeación de auditoria en informática. • Entendimiento y aplicación de un proceso metodológico formal de la auditoria e informática. • Vocación profesional por la auditoría en informática (es un requisito moral, no una política organizacional). • Participación formal −en la medida de lo posible− en las asociaciones, institutos educativos, etc., con fines de actualización o de compartir las experiencias profesionales adquiridas en el campo de la auditoria en informática. • Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar. • Otros que dependen de las características de la organización en que se desarrolle la función de auditoría en informática. • Uno de los factores primordiales para que el auditor en informática obtenga un desempeño eficiente en su trabajo es el conocimiento y aplicación de los métodos, técnicas y herramientas comúnmente aceptados para la informática en los negocios o asociaciones. • En la medida en que el auditor en informática posea experiencia y conocimientos actualizados sobre los diferentes aspectos que evaluará, obtendrá resultados pobres o exitosos en la organización donde trabaja. • El conjunto de elementos metodológicos, técnicos y operativos recomendados para apoyar la función de auditoría en informática en la revisión y evaluación de áreas específicas de informática y los demás componentes relacionados con ella, se van a mencionar más adelante en el punto que hace referencia a elementos que complementan la Auditoría •
Porque utilizar una metodología formal y acorde a los objetivos actuales de seguridad y control 13
Diagnosticar el soporte real de informática en cada proceso del negocio. • Diagnosticar el estado de informática. • Asegurar continuidad en operaciones. • Apoyo en la calidad de informática. • Establecimiento de políticas, controles y procedimientos de informática. • Orientar hacia el cumplimiento de estándares definidos a nivel nacional e internacional. • Asesorar a los administradores de informática para obtener una mejora continua. • Establecer un esquema de seguridad y control en informática. •
Qué es una metodología de auditoría de informática Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática. • Especifica el qué, cómo, cuándo, quién y qué de los siguientes puntos. •
Roles y responsabilidades de auditoría en informática, personal de informática y usuarios de sistemas de información y herramientas de tecnología. • Requerimientos para el logro exitoso del proyecto de auditoría en informática. • Etapas de cada proyecto. • Requerimientos para el éxito del proyecto. • Tareas y productos terminados (por etapa y proyecto). • Técnicas y herramientas. •
Elementos y aspectos que complementan la metodología •
Técnicas
Documentación • Análisis • Observación • Entrevistas • Costo / beneficio • Control de proyectos •
•
Herramientas
Software de oficina • Aplicaciones • Hardware • Comunicaciones • Control de proyectos • CAATs • COBIT •
•
Asociaciones Profesionales
AMAI • IIA • IMCP,ICPNL • ISACA •
COBIT Control Objectives for Information and related Technology 14
Introducción: Es muy importante para el suceso y sobre vivencia de una organización que tenga un efectivo sistema de management y control de las tecnologías de información (IT). Si una empresa quiere crecer formal y armoniosamentetiene tiene que tener en cuenta los siguientes puntos: Aumentar la dependencia de la información y de los sistemas que le distribuyen la información, pero esto traeun aumento de las vulnerabilidades de un gran espectro de tareas, desde espionaje empresarial hasta el hacking en Internet, es por eso que una buena inversión en el control ayuda a reducir los costos y crear nuevas oportunidades de negocios para el desarrollo de la empresa. Para muchas organizaciones, la tecnología y la información que la soporta son su mas valuable capital, y practimente están contenidas en esta estructura, que cualquier falencia o problema que posea va a determinar el fracaso del objetivo de la misma. Para minimizar los problemas relacionados con la tecnología de información, se desarrollo COBIT, Objetivos de Control para la Información y la Tecnología relacionada, es un marco de trabajo (Framework) Especialmente desarrollado para la auditoría en Informática. La misión y Objetivos de COBIT son Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de IT (Tecnologías de Información) internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores. Actualmente se encuentra desarrollada la 3 versión de este producto. COBIT ha sido desarrollado con estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (IT) que provean un marco de referencia para la Administración, Usuarios y Auditores. Básicamente consta de 4 libros, a saber: 1. Resumen Ejecutivo 2. Antecedentes y Marco de Referencia 3. Guías de Auditoría 4. Herramientas de Implementación
1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. 2. El marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para la implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI. 3. Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras. 4. Una Herramienta de implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva 15
herramienta es diseñada para facilitar la implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.
COBIT información y recursos requeridos
La orientación de los negocios es el gran tema que abarca Cobit. Fue diseñado no solo para ser implementado por los usuarios, sino que también y aún más importante, para los dueños de los negocios. Incluye todo el refuerzo de los procesos de los negocios, por lo que tiene total responsabilidad de todos los aspectos del proceso del negocio. En particular incluye todos los controles adecuados. El marco de trabajo Cobit provee una herramienta que facilita la delegación de responsabilidades, la cual empieza con una premisa pragmática. Para proveer información que la organización necesita cumplir con sus objetivos, Los recursos IT necesitan ser manejados por un conjunto de procesos agrupados. Continua con un conjunto de 34 niveles de control y objetivos, uno para cada proceso IT, agrupado en 4 dominios:
1 Planeamiento 2 Adquisición de la Organización 3 Distribución de la implementación 4 Soporte y Monitoreo Estas estructuras cubren todos los aspectos de la información y la tecnología. Accediendo a estos 34 niveles de control, con las políticas de la organización. Los dueños del proceso del negocio pueden adecuar los controles de los sistemas provistos por el ambiente IT. A esto se le suma que los 34 niveles tienen una guía de Auditoría, para que la información pueda ser auditada y revisada contra los objetivos recomendados por Cobit para proveer a la Dirección de la empresa una fuente 16
fiel de los informes de cada proceso. Los procesos IT definidos en los 4 dominios: Cobit es una herramienta que permite a los directores comunicarse y hacer de puente entre los controles de requerimiento, partes técnicas y riesgos de negocios. El desarrollo de Cobit esta determinado en 5 pasos. Teniendo en cuenta los objetivos del negocio, el primer paso es la recopilación de la información. Luego sigue el planeamiento y la organización del plan a seguir, basicamente en esta etapa se definen los planes, arquitecturas, recursos (humanos o tecnológicos), riesgos y calidades. El segundo paso es la adquisición y la implementación de lo determinado anteriormente, en donde se adquieren y se mantienen los recursos, planes y soportes. El siguiente paso es el de entrega y de soporte, en esta etapa se definen los niveles de servicio para el monitoreo y mantención de lo acordado, verificando posibles problemas o conflictos a surgir. El último paso es el de Monitoreo, que una vez puesto en marcha el plan se monitorean los procesos intentando obtener una independencia asegurada, especialmente en el control interno.
Actualizaciones, el futuro y las herramientas de manejo: Un nuevo agregado para la familia de Cobit (se encuentra en la versión 3) es el desarrollo de productos para guías de control de management, que incluyen Factores de suceso crítico, Indicadores de rendimiento y estadísticas. Todas estas herramientas para asesorar el ambiente de la organización, especialmente para la parte directiva de la empresa en donde pueda comparar los datos estadísticos y de control contra los 34 niveles de contrl de objetivos, y los factores de indicadores críticos que identifican los más importantes puntos para tener en cuenta a la hora de tomar decisiones para direccionar el management, y el control de los procesos IT. Las Guías para el management que se encuentran dentro del marco de trabajo, se encuentran divididas en tres partes que son: el Factor de sucesos críticos. Los indicadores de eficacia y las estadísticas. Otra parte importante del marco de trabajo es el control detallado de los objetivos, junto con el uso de guías para auditar. Cobit implementado en Argentina. En la Argentina Cobit fue implementado en los niveles nacionales y provinciales de la siguiente manera: La organización reguladora de las pensiones y la administración de fondos mutuales de las companías (Superintendencia Administradoras de Fondos de Jubilaciones y Pensiones) adoptó a Cobit como política del marco de Trabajo en su plan estratégico para ser usado en sus exámenes de la tecnología de información. El uso de Cobit en el control de Metodologías IT, es referenciado en la página 24 del Boletín Oficial 29.198. El gobierno de Mendoza ha seleccionado a Cobit como el control del marco de trabajo para su auditoría interna de las tecnologías de información. La implementación va a tener lugar en todos los departamentos del gobierno provincial. El texto de la aprobación del gobierno esta incluido en la Resolución N 54.
Capítulo 5: Etapas de la auditoria en informática 5.1 Etapa preliminar o diagnóstico
17
El primer paso que tiene el auditor en informática dentro de las empresas o instituciones al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las áreas usuarias. Se busca la opinión de la primera para poder saber el grado de satisfacción y confianza que tienen en los productos, servicios y recursos de informática en el negocio. También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro lado son muy importantes las oportunidades que puede ofrece la informática para hacer más competitivo el negocio. Las actividades del auditor en informática deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización. En esta fase, se visualizan los primeros síntomas, los cuales posteriormente pueden ser los más relevantes.
Diagnóstico del negocio: Conocimiento del negocio: El auditor en informática debe conocer e interiorizarse en el tipo de organización que actúa: la misión, estrategias, planes y el nivel jerárquico de la función de informática; también es importante saber las entidades externas a la empresa que se relacionan con cada área de la misma. Apoyo al negocio: El auditor en informática debe tener una idea global del grado de apoyo y satisfacción que existe en el negocio, y saber hacia donde se orienta el soporte de la función de informática. Por ejemplo, se deben conocer de manera general los siguientes aspectos: La participación de la informática en los proyectos clave para el negocio, • Imagen de informática ante la alta dirección, • Grado de satisfacción que existe por los servicios prestados por la informática, • Expectativas que tiene el negocio sobre la función de la informática, • Debilidades y fortalezas de informática • Otros de interés específico del auditor •
Áreas de oportunidad: Aquí se detectan las características que van a facilitar la implementación de soluciones brindadas por informática y que tendrán un gran impacto sobre alguna función o gerencia del negocio; También se pueden proponer acciones inmediatas o a corto plazo, de las cuales se podrá obtener beneficios directos. En esta fase preliminar el estudio es corto en tiempo y general en su investigación. Es muy importante mencionar que las propuestas de las áreas de oportunidad deben ser analizadas y documentadas antes de ponerlas en practica.
Diagnostico de informática Aquí el auditor se coordina directamente con el responsable de la función de informática.
18
Conocimiento de la función de informática: En esta parte el auditor conocerá la estructura interna de informática, funciones, objetivos, estrategias, planes y políticas. La tecnología de software y hardware es en la que se apoya para llevar a cabo su función dentro del negocio. Las entrevistas deben hacerse con el responsable de informática. El auditor debe ser profesional y ético en su trabajo para brindarles seguridad de que al final de su tarea beneficiará a los que lo contrataron. El auditor en informática debe lograr un equipo de trabajo unido, y que el líder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditoría; puede tener a uno o más auditores) desarrolle una buena comunicación con el personal de informática en esta etapa. Es clave remarcar y evaluar los servicios que presta informática a las diferentes áreas del negocio y en los distintos niveles organizacionales, estos servicios pueden ser ejecutados por personal externo y coordinados por informática. Ejemplos de servicios brindados: •
Implantación de soluciones de información:
Desarrollo de sistemas de información • Compra y adecuación de aplicaciones • Bases de datos •
•
Evaluación, adquisición, instalación y reemplazo de:
Equipos de computo y telecomunicaciones • Paquetes de software • Lenguajes de programación •
Mantenimiento de los sistemas y equipos • Soporte a usuarios •
•
Capacitación y asesoría técnica Investigaciones sobre tecnologías (equipos) y aplicaciones en el mercado • Planeación de informática • Auditoría en informática • Soporte a la alta dirección •
Observación: Para obtener toda la información posible sobre el diagnóstico del negocio y de informática, el auditor se apoyara sobre cuestionarios detallados. El diagnóstico inicial del negocio reflejará algunos puntos como el giro de la empresa, sus áreas organizacionales, planes y proyectos del negocio, imagen de informática ante la alta dirección, etc. Los aspectos tecnológicos, administrativos, culturales y financieros, entre otros, brindan al auditor en informática un panorama real del escenario donde desarrollará su trabajo. 19
Ejemplos de cuestionarios: 1) Cuestionario de diagnóstico actual )aspectos administrativos de informática)
Concepto Descripción Misión de informática (solicitar organigrama) Funciones
Comentarios
• Macroproyectos de informática
• Objetivos de la función de informática
• referentes a cada función de Políticas informática
Áreas •de oportunidad que se derivan de informática • 2) Cuestionario de capacitación/actualización (diagnóstico de informática) E = Excelente
B = Buena R = Regular D = Deficiente EBRD Sistemas estratégicos de información ()()()() Nombre (s) Sistemas tácticos de información ()()()() Nombre (s) Sistemas operativos de información dedicados a tareas diarias y repetitivas (operación)
()()()()
Nombre (s) 3) Cuestionario de capacitación/actualización (diagnóstico de informática) E = Excelente B = Buena R = Regular D = Deficiente 20
EBRD Procesador de palabras ()()()() Nombre (s) Hojas de cálculo/graficadores ()()()() Nombre (s) Lenguajes/manejador de base de datos ()()()() Nombre (s) Presentador/textos ()()()() Nombre (s) Correo electrónico/control de proyectos
()()()()
Nombre (s) Interfase ()()()() Nombre (s)
5.2 Etapa de justificación Una vez finalizada la etapa preliminar, el auditor en informática debe enfocar en la siguiente fase donde se va a dedicar a elaborar un documento fundamental para la aprobación del proyecto. Tal documento contiene tres productos terminados que contemplan las áreas que se auditarán (matriz de riesgo), el tiempo sugerido para hacerlo (plan de auditoría en informática) y el visto bueno (compromiso ejecutivo).
Matriz de riesgo: El objetivo principal es detectar las áreas de mayor peligro en relación con informática y que requieren una revisión formal y oportuna. Ejemplos de las áreas susceptibles a auditar: Administración de informática (misión, organización, servicios, etc.) • Usuarios de informática (comunicación e integración, proyectos conjuntos) • Sistemas de información (planeación, desarrollo, operación) • Mantenimiento (hardware, software, telecomunicaciones) • Redes locales (administración, instalación, operación/seguridad) • Software (administración y legalización de lenguajes de programación, sistemas operativos) • Seguridad (hardware, software/aplicaciones) • Investigación tecnológica (metodologías, técnicas, herramientas, capacitación) •
Procedimiento de análisis y elaboración de la matriz: Es importante identificar el nivel de riesgo de cada uno de los elementos en el negocio a través del diagnóstico de la situación actual de informática. Las áreas que se van a diagnosticar pueden variar según el tamaño y estructura del negocio.
21
El auditor debe utilizar los elementos de medición y evaluación posibles sin caer en un análisis detallado, ya que solo se trata de detectar la problemática principal de cada área. Si se producen dificultades de considerable importancia de algún elemento evaluado, se deben tomar acciones inmediatas para eliminar o minimizar el problema. También hay que determinar el nivel de riesgo que existe en cada área de la función de informática, ya que son susceptibles a una evaluación y control para asegurar que se desarrolle de acuerdo con los estándares, políticas y procedimientos que se le asignaron según su función.
Plan de auditoría en informática: Una vez elaboradas, revisadas y documentadas la matriz de riesgos, se procede a la formulación del plan general de informática, que consiste en plantear las tareas más importantes que se ejecutarán durante cierto período al efectuar la auditoría. Este plan se deriva de los siguientes elementos: Áreas de oportunidad, matriz de riesgos y las prioridades de la alta dirección, de auditoría y de informática. El líder de proyectos debe: Estimar el tiempo necesario para auditar cada área determinada en la matriz de riesgo • Analizar y definir los aspectos más relevantes que se evaluarán • Asignar prioridades a cada área por revisar o evaluar • Establecer fechas estimadas de inicio y terminación por área de revisión • Establecer fechas de revisión formales e informales • Definir responsables directos por etapas de proyecto •
Luego el plan detallado se lleva a cabo, posteriormente, en la etapa de adecuación.
Compromiso ejecutivo Es la ultima tarea de esta etapa y su objetivo principal es obtener el visto bueno (aprobación) inicial de la alta dirección y demás responsables para continuar con el proyecto de auditoría en informática. 5.3 Etapa de adecuación
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría en informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estándares, políticas y procedimientos de auditoría que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso. A continuación se mencionan los elementos que se deben contemplar antes de iniciar formalmente la revisión de las áreas aprobadas en la etapa anterior.
Objetivos y requerimientos de éxito por cada área que se auditará: Luego de terminar las etapas preliminar y de justificación, el auditor en informática podrá definir mejor los objetivos y requerimientos particulares, tomando como referencia la matriz de riesgo, con el objetivo de concluir exitosamente la revisión de las áreas mencionadas en el plan de auditoría en informática. Ejemplos de los objetivos y requerimientos para los usuarios de informática: 22
Objetivos de auditoría Verificar la presencia de un comité de informática/usuarios Asegurar que exista una comunicación formal al final de proyecto Comprobar que haya un seguimiento
Requerimiento de éxito Conocimiento satisfactorio de los usuarios de informática y sus funciones Conocimiento de los servicios que presta informática Apoyo a la alta dirección en el desarrollo de la auditoría en informática
Actualización del plan general Sabiendo que en el proyecto, a medida que avanza surgen cancelaciones, prioridades, requerimientos, expectativas, nuevos involucrados, etc. el auditor se encuentra obligado a actualizar el plan de trabajo y detallar fechas, tiempos, resultados esperados, funciones y responsabilidades, así como estimar gastos y el numero de personas de las áreas usuarias y de informática que participarán en el proyecto. Así, ya es posible estimar, con bastante precisión, los aspectos o componentes que se deben evaluar por cada área de informática durante el desarrollo de la etapa de adecuación.
Plan detallado del proyecto de auditoría en informática Es una de las tareas más importantes de la etapa de adecuación, ya que en ella se define cada detalle de los elementos del proyecto; se especifican las tareas, productos terminados, responsables, fechas, etc., que serán validados y aprobados en la etapa de formalización para arrancar el proyecto. Hay dos tipos de planes detallados con orientación diferente y objetivo común: •
•
Plan interno: Le corresponde al líder de proyecto y su propósito es hacer un seguimiento interno a las tareas y responsabilidades de los auditores en informática. Plan detallado de auditoria en informática: Se especifica el detalle emanado del plan general de auditoría en informática definido en la fase de justificación. Los datos mencionados en este plan pretenden ser guía del proyecto de auditoría desde el punto de vista del cliente, ya que describen tareas, productos terminados, responsables, involucrados, fechas de revisión, etc.
Definición de técnicas y herramientas Esta es una parte muy importante y estratégica para el buen desempeño de la auditoría en informática que consiste en definir las técnicas y herramientas necesarias y fundamentales para revisar eficientemente cada área seleccionada. Un claro ejemplo son los software que incluyen un conjunto de técnicas como análisis, documentación, muestreo, etc., resultan elementos indispensables para asegurar la calidad y confiabilidad de la auditoría. La experiencia profesional que se haya obtenido en cada una de las áreas (desarrollo, telecomunicaciones, mantenimiento, base de datos, seguridad, etc.) hace más viable la auditoría como la definición de soluciones.
Adecuación a la alta política de empresa Todas las tareas realizadas por la auditoría en informática deben cumplir con los estándares, políticas y procedimientos establecidos por las asociaciones profesionales relativas a la misma; también se cumplirán con los de las empresas donde se preste el servicio durante la gestión de auditoria. 23
Dichas asociaciones integradas por profesionales de gran experiencia y conocimiento en el campo que se enfocan a establecer, formalizar, difundir y recomendar la aplicación de los estándares, políticas y procedimientos más convenientes a las necesidades actuales y futuras del área de especialización a la que se dedican. Definido y detallado el plan, el auditor procederá con objetividad y disciplina a establecer referencias cruzadas entre los estándares, políticas y procedimientos generalmente aceptados y cada uno de los componentes de informática que se auditarán.
Elaboración de cuestionarios Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluación; de los mismos derivan entrevistas, visitas a los centros de cómputo o departamentos usuarios. Los cuestionarios representan una herramienta de gran valor para el auditor en informática; se estructuran de manera que funcionan como guía para verificar la confiabilidad de la información del personal entrevistado; además, permiten percibir el grado de cumplimiento de estándares, políticas y procedimientos que generalmente son aceptados.
5.4 Etapa de formalización Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la empresa y de la función de informática; en ellas se detectaron las debilidades y fortalezas más relevantes, también se definió la planeación y proyección de las áreas que requieren ser auditadas, y se documentaron las adecuaciones. En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el desarrollo del proyecto de auditoría (presentado por el líder de proyectos y el responsable de auditoría en informática), de manera tal que, su función es justificar el desarrollo del proyecto basándose en lo que se hizo en las etapas anteriores. 1) Verificación de prioridades, restricciones y alcances del proyecto: La verificación, validación, clasificación y documentación de las prioridades, restricciones y alcances del proyecto tienen un alto valor para el auditor en informática, ya que mediante su realización se clarifica el rumbo, límites y cobertura que tendrá el proyecto. Es recomendable que el auditor documente lo expuesto en las reuniones o entrevistas, donde se mencionen los puntos tratados y las conclusiones. Y para que tenga mas validez el documento, se necesita las firmas de conformidad de cada participante. Prioridades: Son las acciones que deben llevarse a cabo antes que las demás sugeridas para el proyecto. Por ejemplo, la urgencia de mejorar algún hecho que perjudica en alto grado al negocio. Restricciones: Son los hecho o circunstancias que no se identifican con facilidad y que ocurren o pueden ocurrir durante el transcurso de la auditoría y que afectan directa o indirectamente al proyecto. Generalmente don limitaciones o carencias que no se podrían resolver de inmediato o a lo largo del proyecto, por ejemplo el bajo presupuesto para asignar recursos al proyecto. Alcance: Aquí se aclara que se realizará en el proyecto (tareas, etapas) y los resultados (productos terminados). Lo que no se mencione aquí no se obtendrá durante el proyecto. 2) Presentación formal del plan de auditoría en informática:
24
Esta tarea es la más importante para el líder del proyecto y el responsable de la auditoría en informática, ya que se justificara la continuidad del proceso. Las actividades fundamentales del responsable de esta tarea son: Asegurarse de contar con toda la información resumida y presentable, ya que su principal audiencia será la alta dirección. • Revisarla y verificarla con este último. • Concertar en una cita en una fecha y lugar apropiados. • Ser fluido, claro y contundente en la presentación. • Asegurar el entendimiento de la audiencia de los datos presentados. •
3) Aprobación formal del proyecto: Esta no es una tarea que demande mucho tiempo a pesar de ser una de las más importantes, ya que en ella surge la aprobación formal del proyecto de auditoría. Dado el visto bueno de los involucrados, la responsabilidad de la función de auditoría en informática es mas clara y evidente. 4) Compromiso ejecutivo: Una vez terminada la tarea anterior, el siguiente paso es lograr que la alta dirección, los usuarios clave, el responsable de informática y el de la auditoría se comprometan a lo largo del proyecto, desde ese momento hasta el desarrollo e implantación de las acciones recomendadas por auditoría en informática en su informe final.
5.5 Etapa de Desarrollo e Implantación En esta etapa, el auditor en informática va a ejercer su función de manera práctica, es decir, comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio. Esta Fase comprende los siguientes puntos explicados paso por paso: •
Concertación de fechas:
Fechas de entrevistas, de visitas y de aplicación de cuestionarios. La acción es inmediata y hay que corroborar las fechas aprobadas o actualizadas. Las visitas se realizan con el objetivo de validar el uso de políticas y procedimientos de seguridad y control, como el registro de acceso a centros de cómputo y áreas en donde existe documentación o tecnología importante para el negocio. Se solicita al responsable de informática una lista con los nombres, puestos y departamentos del personal de informática y de las áreas usuarias involucradas en el proyecto. •
Verificación de las tareas y productos involucrados:
El personal involucrado también debe ser revisado al igual que tareas y productos. Se verifica si la tarea anterior alteró el orden de las acciones mencionadas en el plan detallado, y hay que asegurar que los cambios sean mínimos y de bajo impacto en el plan. También se tienen que documentar los cambios necesarios y justificados. •
Clasificar técnicas y herramientas:
25
Verificar la lista de métodos, técnicas y herramientas sugeridas por el área auditada, junto con los cuestionarios sugeridos con el objetivo de asegurar que sean los requeridos para cada área que se auditará. Actualizar cuestionarios solo si es necesario, y elaborar la entrevista con base en la experiencia, cuestionarios y necesidades del proyecto. Realización de entrevistas y cuestionarios:
•
Efectuar cada una de las entrevistas en las fechas y horas planeadas y aplicar cada uno de los cuestionarios en las fechas planeadas. (siempre hay que documentar todo los hechos). Obtener apoyo requerido (reportes, copias, documentos fuente, entre otros). Registrar entrevistas y cuestionarios pendientes. Efectuar visitas para la verificación:
•
Hacer visitas a centros de cómputos o a los usuarios de informática. Notificar la visita a los representantes de dicho departamento. Registrar la información más relevante y obtener el soporte requerido. Registrar visitas pendientes. Elaboración de informes preliminares:
•
Por lo general son de largo plazo y su información es sacada detalladamente de las vistas realizadas, comentarios documentados y previamente analizados. Luego se elabora observaciones y conclusiones de cada uno de los componentes y áreas auditadas y llenar la hoja de resumen de observaciones y recomendaciones de la auditoría informática. Revisión de estos informes:
•
Se tiene que verificar detalladamente cada área comprendida con la ayuda de borradores revisados. Asegurarse de registrar por escrito el soporte requerido para validar cada una de las observaciones (copias de reporte, documentos fuente, etc.). Y por ultimo, concertar citas con el responsable de informática y los usuarios para sacar conclusiones. •
Clasificación y documentación de los informes, para su correcta lectura:
Registrar de manera formal cada observación, conclusión y recomendación sugerida, revisada y aprobada y luego clasificar la información por componente de área auditada. •
Finalización de tareas o productos pendientes:
Se analizará la información emanada de cada entrevista, visita o cuestionario, y luego actualizar, documentar y clasificar el informe de la auditoría. Elaboración del informe final de la auditoría en informática:
•
Elaborar un informe orientado a la alta dirección y otro mas detallado (que contenga antecedentes, observaciones, recomendaciones, etc.) para el responsable de informática y los usuarios clave. •
Presentación a la alta dirección e involucrados clave:
Se debe verificar que los informes sean claros, completos y congruentes entre sí. Comprobar que se encuentre con el soporte documentado de lo mencionado en los informes y formalizar la fecha de la presentación de informes a la alta dirección.
26
Aprobación del proyecto y compromiso ejecutivo:
•
Se obtiene la aprobación y el compromiso formal de la alta dirección para luego elaborar un plan de implantación general de acciones sugeridas y clasificadas por plazos sugeridos. Luego se presenta el costo beneficio del plan a seguir. Y por ultimo se delega a informática y las áreas usuarias la implantación de las acciones recomendadas. En este momento nos encontramos en la etapa media del proceso de la auditoría. La etapa de formalización ya se encuentra determinada, y la etapa de desarrollo se encuentra en ejecución, para pasar luego a la etapa de implantación. Esta es la más importante para los involucrados en el proyecto de auditoría en informática, ya que termina la tarea de los auditores y comienza para los responsables de las áreas usuarias y de informática. Ellos ejecutaran las acciones recomendadas en los informes detallados y aprobados por la alta dirección. La función del auditor se convierte así en una labor de seguimiento y apoyo. Los elementos clave de la etapa de implantación son: •
Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el responsable de informática):
Se analizan algunos aspectos (recursos humano, materiales tecnológicos, inversiones, etc.) que se necesitan para ejecutar las acciones recomendadas en los plazos acordados anteriormente. •
Desarrollo del plan (también a cargo del responsable de informática):
Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la alta dirección. •
Implantación de las acciones sugeridas por auditoria en informática (responsable de inf.):
Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior. • Consultar los informes para verificar acciones y tiempos de terminación • Elaborar un plan de implantación que tenga: •
Tareas • Productos terminados • Responsables e involucrados • Fechas de inicio y término • Fechas de revisión • Verificar tareas, productos terminados, etc. del plan de implantación • Ejecutar cada una de las tareas •
•
Seguimiento a la implantación (esta tarea le corresponde al auditor en informática):
Tiene que solicitar el plan de implantación para revisar su congruencia con los informes de la auditoría en informática. Luego comprobar el cumplimiento formal de las tareas en los tiempos y formas que considere convenientes para asegurar resultados. Documentar debilidades y anomalías relevantes. Y por ultimo, sugerir acciones para el cumplimiento oportuno de la implantación al nivel que se considere pertinente.
6.6 Presentación del informe final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración del informe 27
final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.
Estructura del informe final El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. El informe tiene especial importancia porque en el ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe final como solicite el cliente, la auditoría no hará copias del citado informe.
Preguntas sobre trabajo práctico Auditoría en informática: •
¿Tradicionalmente, antes de la difusión masiva de la informática, los sistemas de información daban soporte a operaciones y administración de que áreas o departamentos y porqué surgió la necesidad de auditar los sistemas de información ?
Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, liquidación de sueldos, etc., La necesidad de auditar los sistemas de información surgió a partir de la necesidad de conocer y medir el apoyo que la informática realizaba en las áreas antes mencionadas, y a la empresa en general, así se originó el proceso conocido como Auditoría a sistemas de información o Auditoria de sistemas.
Página 3 Trabajo práctico Página 1 Auditoria en infomática Hernandez (ver bibliografía). •
¿Cuál fué la razón por la cual se vieron desboradas las tareas de los responsables de informática y los auditores de sistemas?
La razón es que la informática pasó a formar parte de toda organización y el uso de computadoras personales, redes locales de computadoras, etc., se difundió a lo largo de toda la empresa, la informática también da apoyo a la relación entre empresas a través de redes WAN y también en la actualidad a través de INTERNET (B2B / B2C, etc.) De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vio desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces.
Página 3 del trabajo práctico Página 2 − 3 (Un poco de historia...) del libro •
Mencione algunas consecuencias negativas que suelen suceder en una organización como consecuencia de la falta de auditoría informática. 28
La improductividad, el mal servicio, rechazo de usuarios a los sistemas de información y la carencia de soluciones totales de la función de informática, fueron, son y pueden continuar siendo mal de muchas organizaciones.
Pagina 3 − 4 del trabajo práctico Página 6 libro •
¿Porque es necesario realizar auditorias de la función de informática?
La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática. Surge entonces la obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno.
Página 4 (Importancia de..) trabajo práctico Página 6 libro •
¿Qué es informática?
La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya (entidades internas y externas de los negocios) de manera oportuna y veraz
Página 5 trabajo práctico Página 9 libro •
¿Que es la auditoria tradicional y que aspectos evalúa?
Es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las políticas, controles y procedimientos definidos formalmente, con objeto de que cada individuo o sector de la organización opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas.
Página 7 del trabajo práctico Página 13 libro •
¿Qué es auditoria en informática? 29
Es un proceso formal ejecutado por especialistas del área de auditoría y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se realicen de manera eficiente y eficaz.
Página 7 del trabajo práctico Página 14 libro •
Defina auditoría informática en función de proceso metodológico y recursos que evalua
Proceso metodológico que tiene el propósito principal de evaluar los recursos (hu-manos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apo-yen la productividad y rentabilidad de la organización.
Página 8 trabajo práctico Página 13 libro •
¿En que nivel del organigrama de una empresa es recomendable ubicar al sector o función de auditoria en informática ?
Es recomendable ubicar la función de auditoría en informática en un nivel organizacio-nal que le asegure la independencia y soporte requerido de la alta dirección, con la finali-dad de que su desempeño sea confiable y eficiente.
Página 9 párrafo 3 del trabajo práctico Página 13 libro •
Qué objetivos busca la gerencia al ubicar a la auditoría infomrmática en una alta posición dentro de la organización?
Que los auditores cuenten con: Independencia funcional. • Libertad de acción. • Facultad para la toma de decisiones. • Negociación con los niveles gerenciales. • Participación en proyectos de alto impacto en el negocio. •
Página 9 del trabajo práctico Página 30 del libro •
¿Cuál es la difusión actual de la función de auditoria en informática?
En la actualidad existe muy poca difusión y menor acep-tación por parte de las empresas sobre la necesidad de contar con una función de audito-ría en informática.
Página 10 del trabajo práctico
30
Página 30 del libro •
Puede aumentar la necesidad o difusión de la función de auditoria en informática?
Si, es factible pronosticar, con un alto grado de certidum-bre, que el crecimiento acelerado de las inversiones y proyectos de informática, donde se involucran todas las empresas, forzará a que se tome una decisión al respecto, aunque a la auditoría en informática se le denomine aseguramiento de calidad, evaluación de in-formática o auditoría de sistemas y sea ejercida por personal externo o interno.
Página 11 del trabajo práctico Página 30 del libro •
¿Que significa planificar?
Planificar es establecer, en función del tiempo, a través de un enfoque metodológico, la distribución de tareas
y la asignación de recursos inherentes a un proyecto, de manera de cumplir con el objetivo del mismo, de la mejor manera posible.
Capítulo 3 Tema Planificar (Pág 8 ) •
¿Cuáles son los beneficios de planificar?
La planificación permitirá controlar el estado de avance de las actividades, para el posterior ajuste de las tareas que no se desarrollen de la manera planeada y de ésta forma pongan en peligro el éxito del proyecto. El mas importante de los beneficios, es poder asegurar con alto grado de credibilidad a ejecutivos y empresarios, cuánto invertirán y cuánto obtendrán de beneficio por un proyecto.
Capítulo 3 Tema Planificar (Pág 9 ) •
¿En que consiste la planeación en informática?
Consiste en el proceso de identificar el conjunto de proyectos relacionados con dicha función, y desarrollar el plan de trabajo para cada uno de ellos. Cada proyecto debe estar orientado a objetivos y estrategias específicos de acuerdo al tipo de organización.
Capítulo 3 Tema Planeación en Informática (Pág 10 ) •
¿Cuáles son las tareas básicas del proceso de planeación en informática?
Las cuatro tareas básicas son: La determinación de áreas apoyadas por informática • La elaboración del plan de informática • La presentación del plan a la alta dirección • La ejecución del plan de informática •
Capítulo 3 Tema Planeación en Informática (Pág 11 ) •
¿En que consiste la planeación en auditoría?
31
Consiste en la definición de un conjunto de proyectos de evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas, financieras, operativas, etc.
Capítulo 3 Tema Planeación en Auditoría (Pág 12 ) •
¿Cuáles son las ventajas del uso de un proceso metodológico en la auditoría en Informática?
El uso de un proceso de trabajo metodológico y estándar en la función de auditoría en in-formática genera las siguientes ventajas: Los recursos orientan sus esfuerzos a la obtención de productos y servicios de ca-lidad, con características y requisitos comunes para todos los responsables. Las tareas y productos terminados de los proyectos se encuentran definidos y for-malizados en un documento al alcance de los auditores en informática, también se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios están-dares. Esto facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración en las funciones del auditor en informática. Es un complemento clave en el desarrollo de cada individuo, pues su formal segui-miento, aunado a las habilidades, normas y criterios personales, coadyuva al cum-plimiento exitoso de los proyectos de auditoría en informática. El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y pautas per-fectamente definidas. •
¿En qué se basa el éxito del proceso metodológico?
Requisitos para el éxito del proceso metodológico: Aprobación de la metodología por la alta dirección junto a los requerimientos específicos del negocio como documentación o actualización de la metodología. La Capacitación formal en el uso de la metodología (de acuerdo con el perfil y nivel de participación de cada individuo involucrado), es otro factor importante para determinar el éxito. La elaboración de los planes de auditoría en informática según la metodología verificando el uso formal de la metodología en cada proyecto. Actualizar el personal nuevo o cuando se lleven a cabo actualizaciones relevantes a la metodología. •
¿Cuáles son las etapas de la metodología?
Preliminar (Diagnóstico): Se define el Negocio y releva la Informática. Justificación: Se estudian las Areas a auditar siguiendo el Plan propuesto. Adecuación: Se buscan y estudian Métodos, Técnicas y Herramientas. Formalización: Aprobación de plan y del proyecto para determinar el Arranque. Desarrollo: Se llevan a cabo las Entrevistas, Visitas, Observaciones y Recomendaciones mientras se desarrola el Informe de Auditoría. Implantación: Se implementan las Acciones Correctivas y preventivas estudiadas anteriormente mientras se hace un Seguimiento continuo de su transcurso en el tiempo y como afectan al sistema.
32
Revisión Informal: Se vuelve a revisar y estudiar el sistema para verificar cambios, falencias, mejoras y cumplimiento del plan acordado. Revisión Formal: Se vuelve a estudiar el sistema más detalladamente, documentando todas evaluaciones del mismo. Aprobación Final : Se realiza la aprobación final por los ejecutivos de la empresa auditada. •
¿Cuáles son los conceptos, habilidades y actitudes para llevar acabo la Auditoría en Informática?
Dominio de los conceptos técnicos y administrativos Habilidades inherentes a la auditoria en informática. Normas personales. Entendimiento de la auditoría en informática y sus tendencias. Adaptación o actualización según el medio dominante. Administración formal de la auditoría en informática en el negocio. Involucramiento formal en los procesos de planeación del negocio, informática y de la auditoría tradicional. Desarrollo de un proceso formal de planeación de auditoria en informática. Entendimiento y aplicación de un proceso metodológico formal de la auditoria e informática. Vocación profesional por la auditoría en informática (es un requisito moral, no una política organizacional). Participación formal −en la medida de lo posible− en las asociaciones, institutos educativos, etc., con fines de actualización o de compartir las experiencias profesionales adquiridas en el campo de la auditoria en informática. Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar. Otros que dependen de las características de la organización en que se desarrolle la función de auditoría en informática. Uno de los factores primordiales para que el auditor en informática obtenga un desempeño eficiente en su trabajo es el conocimiento y aplicación de los métodos, técnicas y herramientas comúnmente aceptados para la informática en los negocios o asociaciones. En la medida en que el auditor en informática posea experiencia y conocimientos actualizados sobre los diferentes aspectos que evaluará, obtendrá resultados pobres o exitosos en la organización donde trabaja. •
¿Qué es una metodología de la auditoría en Informática?
Una metodología es el proceso formal por el cual un auditor en Informática llega a su objetivo siguiendo un camino estructurado por el que arribe a los resultados esperados por la empresa, siguiendo un plan. Con lo cual se facilita si los auditores en informática cuentan con una metodología, que esta se oriente en cada 33
proyecto a una ejecución armoniosa y planeada en cada una de las tareas y actividades involucradas. Especifica el qué, cómo, cuándo, quién y qué de los siguientes puntos: Roles y responsabilidades de auditoría en informática, personal de informática y usuarios de sistemas de información y herramientas de tecnología. Requerimientos para el logro exitoso del proyecto de auditoría en informática. Etapas de cada proyecto. Requerimientos para el éxito del proyecto. Tareas y productos terminados (por etapa y proyecto). Técnicas y herramientas. •
¿Qué es Cobit?
COBIT, Objetivos de Control para la Información y la Tecnología relacionada, es un marco de trabajo (Framework) Especialmente desarrollado para la auditoría en Informática. La misión y Objetivos de COBIT son: Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de IT (Tecnologías de Información) internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores. •
¿Cuáles son los libros que conforman el marco de Cobit?
1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. 2. El marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para la implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI. 3. Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras. 4. Una Herramienta de implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo. •
¿Cuáles son los aspectos complementarios de la Metodología?
34
Para el éxito de los proyectos de auditoria en informática; además, se requiere un buen dominio y uso constante de los siguientes aspectos complementarios: Técnicas Herramientas de productividad Habilidades personales Conocimientos técnicos y administrativos Experiencia en los campos de auditoría e informática Conocimiento de los factores del negocio y del medio externo al mismo Actualización permanente Comunicación constante con asociaciones nacionales e interna-cionales relacionadas. •
¿Por qué se debe utilizar una metodología para realizar una auditoría en informática?
Es imprescindible para seguir una metodología, que se siga un proceso formal para diagnosticar el soporte real de informática en cada proceso del negocio y el estado de informática. Tambien para Asegurar continuidad en operaciones y el apoyo en la calidad de informática. Este entorno ayuda al auditor a establecer las políticas, controles y procedimientos de la informática, para orientar hacia el cumplimiento de estándares definidos a nivel nacional e internacional. Al seguir una metodología es posible asesorar a los administradores de informática para obtener una mejora continua estableciendo un esquema de seguridad y control en informática. •
Enumere las etapas de la metodología de la auditoría en informática.
Etapa preliminar Etapa de justificación Etapa de adecuación Etapa de formalización Etapa de desarrollo e implantación Presentación del Informe final
Páginas 27/38 T.P. Páginas 75/149 libro •
¿Que es la etapa preliminar o diagnóstico en una auditoría en informática?
Es el primer paso que tiene el auditor en informática dentro de las empresas o instituciones al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las 35
áreas usuarias. Se busca la opinión de la primera para poder saber el grado de satisfacción y confianza que tienen en los productos, servicios y recursos de informática en el negocio. También se detectan las fortalezas, aciertos y apoyo que brinda dicha función, por otro lado son muy importantes las oportunidades que puede ofrece la informática para hacer más competitivo el negocio.
Página 27 T.P. Página 75 libro •
¿Que es el líder de proyectos en una auditoría?
Es quien se encarga de coordinar y supervisar los proyectos de la auditoría; puede tener a cargpo a uno o más auditores.
Página 28 T.P. Página 75 libro •
Ubicar en que etapa de una auditoría en informática se disena la matriz de riesgo y explicarla brevemente.
La matriz de riesgo se encuentra en la etapa de justificación y su objetivo principal de es detectar las áreas de mayor peligro en relación con informática y que requieren una revisión formal y oportuna.
Página 31 T.P. Página 92 libro •
Explicar brevemente de que trata la etapa de adecuación de la auditoría en informática
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría en informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la referencia de los estándares, políticas y procedimientos de auditoría que siempre son aceptados y recomendados por las asociaciones relacionadas con el proceso.
Página 32 T.P. Página 105 libro •
¿Para que le sirven los cuestionarios al auditor en informática?
Un conjunto de cuestionarios particulares complementan el trabajo del auditor durante el desarrollo de su evaluación; de los mismos derivan entrevistas, visitas a los centros de cómputo o departamentos usuarios. Los cuestionarios representan una herramienta de gran valor para el auditor en informática; se estructuran de manera que funcionan como guía para verificar la confiabilidad de la información del personal entrevistado; además, permiten percibir el grado de cumplimiento de estándares, políticas y procedimientos que generalmente son aceptados.
36
Página 34 T.P. Página 116 libro •
Explicar brevemente la etapa de desarrollo e implantación de la auditoría en informática.
En esta etapa, el auditor en informática va a ejercer su función de manera práctica, es decir, comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
Página 35 T.P. Página 129 libro •
¿Por que es tan importante el informe final de una auditoría en informática?
El informe final tiene especial importancia porque en el ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrato la auditoría. Así como pueden existir tantas copias del informe final como solicite el cliente, la auditoría no hará copias del citado informe.
Página 39 T.P. Anexos A1 Objetivos Explicar el concepto de Auditoría en informática, cuales son sus objetivos, que actores intervienen en el proceso de auditoría y de que medios se vale para lograr los objetivos. Explicación de la metodología que se debe utilizar. Determinar que se debe auditar, como y quienes deben participar.
A2 Alcance La explicación de los temas con la información mas actualizada y la bibliografía que se adapte a las nuevas realidades tecnológicas.
A3 Conclusiones El trabajo realizado nos permitió conocer con bastante profundidad la función denominada Auditoria en sistemas, su ubicación dentro de la empresa, su estado actual y futuro. Paralelamente nos hizo ver el cuadro general de las actividades de una empresa, ya que el conocerlo es parte fundamental de la tarea del auditor. Consideramos que el haber podido conocer las actividades de esta función nos podrá ayudar en nuestro futuro profesional ya sea para consultar con un auditor o para convertirnos nosotros mismos en uno.
Grupo 3 Auditoría en informática A4 Bibliografía AUDITORIA EN INFORMÁTICA.
37
Enrique Hernández Hernández, C.E.C.S.A, Edición 2000. 334 páginas AUDITORIA EN INFORMÁTICA. José Antonio Echenique García, McGraw−HILL, Enero 1997, 200 paginas. ISO 9000 EN EMPRESAS DE SERVICIOS. Andrés Senlle − Joan Vilar, Ediciones Gestión 2000, S.A. Edición 1996.
Auditoria en informática 47
Preliminar (Diagnóstico) −Negocio −Informática
Desarrollo −Entrevistas −Visitas −Observaciones −Recomendaciones −Informe Auditoría
Implantación −Acciones Correctivas y preventivas −Seguimiento
Justificación −Areas a auditar −Plan propuesto
Adecuación −Método −Técnicas −Herramientas
38
Revisión Informal Formalización −Aprobación −Arranque
Revisión formal Aprobación Final COBIT Definir los niveles de servicio Manejar los servicios de terceros Manejar la capacidad y eficacia Asegurar los servicios continuos Asegurar la seguridad del sistema Indentificar y atribuir Costos Educar y entrenar a usuarios Asistir y advertir a los consumidores de IT Manejar las configuraciones Manejar los problemas e incidentes Manejar los datos Manejar las facilidades manejar las Operaciones Identificar soluciones Adquirir y mantener aplicaciones de software Adquirir y mantener la arquitectura de la tecnología Desarrollar y mantener los procedimientos de IT Instalar y acreditar Systemas Manejar cambios
39
Definir un plan estratégico Definir la arquitectura de la Información Determinar la dirección tecnológica Definir la Organización y las relaciones Manejar la inversión Comunicar a los directivos a donde se apunta y se dirige Manejar los recursos humanos Asegurar los requeriminentos externos Posibles riesgos Manejar los proyectos Manejar la calidad
Objetivos del Negocio Monitorear los procesos Obtener independencia asegurada Proveer Independencia a la auditoría Asegurar el control interno
Información Monitoreo Adquisición y Implemetación Planeamiento y Organización Recursos de IT Entrega y Soporte
40