V. PLANEACINProceso de planeacin del negocio.Proceso de planeacin en informtica.Proceso de planeacin de la auditora.Proceso de planeacin de la auditora en informtica.

PlaneacinLa funcin de auditoria en informtica debe generar un plan de proyectos que justifique su trabajo durante cierto tiempo, con parmetros lo ms tangibles y mensurables posibles.

Cada proyecto de AI respalda los objetivos y requerimientos de tres entidades del negocio en alto o bajo grado: Alta Direccin, Auditoria e Informtica.

Es muy importante la comunicacin entre la funcin de auditoria en informtica y la alta direccin, as como las direcciones o gerencias de auditoria o informtica.

Para elaborar un plan maestro de auditoria que asegure un apoyo permanente y eficiente, se debe tener en cuenta: - Crear un comit de control y seguimiento - Analizar los proyectos de negocio en forma conjunta.- Establecer fechas de reuniones formales e informales

5.1 Proceso de Planeacin del NegocioEste proceso consiste en establecer las metas y cursos de accin del negocio, a travs de entrevistas y del anlisis detallado de cada uno de los procesos bsicos de la organizacin:

Empresa manufactura (produccin, ventas, rr. hh., administracin).Institucin bancaria (crditos, ahorros y RR.HH.).Otras empresas con giros bien definidos.

Cualquier entidad privada o pblica de distintos tamaos y estructura organizacional debe formalizar el plan del negocio, ya que aqu se define el rumbo del mismo.

Los proyectos que se deriven de este proceso deben contemplar que: Es un proceso que involucra todas las reas del negocio.Se evala el medio externo en sus diferentes entornos.Se apoya en asesores externos o especialistas del negocio.Detecta fortalezas, debilidades y oportunidades.Determina amenazas que representa la competencia.Determina metas y estrategias del negocio.Los proyectos se establecen a corto, mediano y largo plazo.Es aprobado por los accionistas o dueos del negocio.Etc.

Tareas bsicas del proceso de planeacin del negocio y responsabilidades

El periodo de elaboracin o actualizacin del plan de negocio depende de las estrategias y formalidades que tenga este proceso en cada negocio.

Se recomienda que, despus de haber sido aprobado de manera formal por los accionistas, se ejecute con eficiencia y se actualice al menos cada ao; esta actualizacin debe estar de acuerdo con las estrategias y metas del negocio y autorizada por la alta direccin.

5.2 Proceso de Planeacin en informtica

Consiste en definir los proyectos relacionados con el rea de informtica, en tiempos a corto, mediano y largo plazo. Cada proyecto debe estar orientado a las metas y estrategias especificas del negocio.

Tareas bsicas del proceso de planeacin en informtica y responsabilidades

Proceso de la Planeacin de la Auditoria

Definir un conjunto proyectos de evaluacin y verificacin de polticas, controles y procedimientos inherentes a las reas administrativas, financieras, operativas, etc. del negocio, con objeto de asegurar el buen manejo y administracin de los recursos de la organizacin.

En el negocio, los diferentes planes emanados del plan de auditoria son implantados y llevados a cabo en diferentes periodos, de acuerdo con los requerimientos y caractersticas del negocio.

Proceso de Planeacin de la AuditoriaLos negocios deben tener un conjunto de polticas emanadas por la alta direccin que manifiesten la necesidad de contar con una funcin externa o interna del negocio que asegure la congruencia de todos lo estados financieros y contables con las operaciones y transacciones que se realicen en la empresa.

Esta funcin ha de ser un rea de control y aseguramiento, entidad independiente y capacitada.

La funcin de auditoria se ocupa de la planeacin, ejecucin y seguimiento de las polticas, controles y procedimientos establecidos por la alta direccin.

Tabla 5.3 Tareas Bsicas del Proceso de Planeacin de Auditoria y Responsabilidades

Actividad

Responsable Ejecucin

Responsable Seguimiento

Determinacin de las reas por auditar en el negocio

Coordinador o supervisor de auditoria

Director o Gerente de Auditoria

Elaboracin del Plan de Auditoria

Coordinador o supervisor de auditoria

Director o Gerente de Auditoria

Presentacin del Plan a la Alta Direccin

Director o Gerente de Auditoria

Alta Direccin del Negocio

Ejecucin del Plan de Auditoria

Supervisor o Auditores )externos o internos)

Gerente o Supervisores

Proceso de Planeacin de la Auditoria Informtica

Definicin y formalizacin de proyectos.

Actividades desarrolladas por el Auditor de Informtica.

Asegurar la calidad y el control de los diferentes elementos que se encuentran relacionados de manera indirecta con los recursos de informtica.

Tabla 5.4 Tareas Bsicas del proceso de planeacin de auditoria en informtica y responsabilidades

Proceso detallado de la planeacin de Auditoria InformticaDepende del diagnstico previo que haga el auditor en informtica de la situacin que prevalece en cada una de las reas o servicios de la funcin de informtica.

El diagnstico de la situacin informtica previo, deber ser breve y objetivo.

El objetivo principal es determinar las reas de mayor riesgo de la funcin de informtica con base a diferentes criterios.

Actividades sugeridas para el proceso

Elaboracin, Documentacin, Autorizacin y Difusin Formal del Plan de Auditoria en Informtica.

Identificar el nivel de Riesgo de cada uno de los elementos que integran la funcin de informtica (diagnstico de la situacin actual).

Las reas a ser diagnosticadas pueden variar de acuerdo al tamao y estructura del negocio.

Actividades sugeridas para el procesoAlgunos Servicios:

Sistemas de Informacin en operacin.Administracin de Hardware y software.Desarrollo de Sistemas de Informacin.Soporte a Usuarios (capacitacin, asesora, etc.)Administracin de Telecomunicaciones.Investigacin y desarrollo tecnolgico. Otros.

Actividades sugeridas para el proceso

Consideraciones a tener en cuenta para efectuar el diagnstico de la situacin actual:

El auditor en informtica ha de conocer de manera aceptable los aspectos relativos a auditora e informtica que deben tener cada una de las reas de Informtica.

Se apoyar en la visin de los principales Usuarios del negocio y del responsable de Informtica.

Diagnostico de la Situacin actual de los SI en Operacin. Manera de llevar el diagnostico:

Obtener una lista de los principales SI y de sus usuarios principales.

Obtener comentarios positivos y negativos de los usuarios de cada SI.

Registrar fallas ms comunes del Sistema de computo.

Anotar fecha de liberacin de Sistemas y su ltima auditora.

Revisar la configuracin del equipo donde fue instalado.

Se estudia su integracin a otros SI.

Evaluar otros aspectos de inters del auditor.

Debilidades que pueden motivar la Auditoria de un SI

Primero: Que el sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento.

Segundo: Que el sistema nunca haya sido auditado, esto sugiere una auditoria inmediata, intermedia o final.

Clasificacin del Nivel de Riesgo que Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un ambiente tecnolgico confiable, seguro y eficiente.

Equipos o Paquetes de Sw.

Mantenimiento de la tecnologa del Equipo y Sw.

Diversos factores motivan la intensidad de la auditoria de Hw.

Evaluacin del nivel de Riesgo que representa el uso inadecuado de Productos y Servicios

Se refiere al grado de conocimiento sobre uso de servicios, Sw y equipos.

Informacin de apoyo: Organigramas, descripcin de puestos y polticas relacionadas a productos y servicios de informtica.

Se debe determinar el grado de confianza del usuario con el manejo del sistema, paquetes de Sw y equipos.

Otros Aspectos: Telecomunicaciones, redes, automatizacin de procesos.Estos se evalan en base a estndares internacionales.

Considerar la proyeccin de uso que piensa darle el negocio a corto, mediano y largo plazo.

Tener en cuenta comentarios de personal especializado en el rea.

Clasificacin de Riesgos segn criterios de la Funcin de Auditoria en Informtica

Cumplimiento de Estndares.

Cumplimiento formal de polticas y procedimientos.

Grado de Satisfaccin: Alta Direccin y personal usuario.

Prioridades de la alta direccin.

Prioridades de la funcin de auditoria en informtica.

Otros de inters del auditor.

Elaboracin de una matriz de Riesgos

Muestra las reas de la funcin de informtica susceptibles de auditoria.

Resultados en forma descendente.

Entidades o reas con mayor y menor riesgo.

Elaboracin de un Plan consolidado de Proyectos.Considera:

Fechas de inicio y final de cada Auditoria.

Etapas de cada auditoria.

Tareas principales de cada etapa.

Equipo de Trabajo (auditor, representantes, )

Requerimientos (recursos, apoyo, capacitacin, ...)

Revisin de la Matriz de Riesgos Pronosticar proyectos de auditoria en informtica con la gerencia.

Visto bueno antes de presentarlo a la alta direccin.

Se cubren los siguientes Aspectos:

rea por auditar, prioridad, Fechas de inicio y final, involucrados, responsables, fechas de revisin y otros.

Presentacin del plan de proyectos a la alta direccin.Tiene como finalidad:

Conocer los proyectos de auditoria informtica.

Verificar contemplacin de reas fundamentales.

Compromiso de la alta direccin con los auditores.

Obtener la aprobacin del plan de auditoria en informtica por parte de la alta direccin.

Realizacin de cada proyecto de acuerdo con el plan de Auditoria en Informtica.

Ejecucin de actividades de seguimiento.

Revisin formal de cada proyecto.

Integracin y formalizacin de Equipos de trabajo.Equipos Integrados por:

Gerente (s) de las reas usuarias que se evaluarn.

Gerente de la Funcin de Informtica.

Lder del proyecto de la funcin de AI.

PlaneacinProceso de Planeacin, pilar de todas las actividades que se ejecutan en la organizacin

Prdidas Irreparables - Decepciones

Planear es una prdida de tiempo y un recipiente de buenos deseos.

Si no se planea el trabajo, es lgico pensar que tampoco se planean las anomalas y decepciones que dicho trabajo acarrear.

PlaneacinProblema, proyectos mediano-largo plazo:

Falta de definicin de funcin, responsabilidad, tiempos ni resultados.

Dejemos de depender de la buena suerte No se vive de buenos deseos sino de metas claras, medibles y factibles.Principal Beneficio: Poder asegurar, con alto grado de credibilidad, cunto invertir y cunto se obtendr de beneficio; plazos claros y establecidos.

PlaneacinUn proceso formal contiene los siguientes elementos:EtapasTareasActividadesCostos/BeneficiosResultados esperados por actividad, tarea y etapaResponsables de cada actividad tareaInvolucrados participantesRevisiones Formales e informalesTcnicas para ejecutar actividadesHerramientas para realizar las actividades del proyecto

PlaneacinRequisitos mnimos para que la planeacin en auditora informtica sea formal, permanente y exitosa:Involucramiento directo del auditor en informtica en el proceso de planeacin estratgicaRequerimientosTiemposPrioridades de cada proyectoCompromiso del responsable de auditora para implementar un esquema de control y seguridad preventivo y completo.

PlaneacinParticipacin en el proceso de planeacin de auditora tradicional, para hacer control y medidas correctivas.Beneficios de la participacin, supresin:Riesgos de no planear la auditoraResponsables de tareas inadecuadosFalta de compromiso de los involucrados en el proyectoAparicin de costos imprevistosRetrasos en la obtencin de beneficiosMala calidad en los resultadosRotacin del personal claveInadecuada segregacin de tareas y actividades, Etc.

Aprobacin formal de la Alta Direccin del informe final de la Auditoria en Informtica realizada

Se dar seguimiento oportuno y formal a cada una de las recomendaciones contempladas en el informe.

Aplicacin de Polticas y controles estandarizados internacionalmente.

Implantacin del proceso de planeacin de auditoria en informtica, permanente.

Tabla 5.5 Tipo de proyectos con responsables e involucrados sugeridos

VI. METODOLOGIA PARA EL DESARROLLO E IMPLANTACION DE LA AUDITORIA EN INFORMATICA

Metodologas para el Desarrollo e Implantacin de la Auditora en InformticaconocimientoshabilidadesExperiencia

Proceso Metodolgico de la Auditora en InformticaVentajas

Proceso Metodolgico de la Auditora en InformticaRequisitos de xito

Estratgia para implantar un proceso metodolgico de Auditora en InformticaPreliminar (Diagnstico)- Negocio- InformticaJustificacin- Areas a Auditar- Plan propuestoRevisin InformalAdecuacin- Mtodos Tcnicas HerramientasFormalizacin- Aprobacin- ArranqueRevisin FormalAprobacin FormalDesarrollo- Entrevistas - Recomendaciones Visitas - Informe de auditora ObservacionesImplantacin Acciones Preventivas y Correctivas Seguimiento

Proceso metodolgico general de la Auditora en Informtica

Mtodos Tcnicas y herramientas por rea de revisin (i)

Dominio de los conceptos tcnicos y administrativos relacionados.Habilidades inherentes a la AI.Entendimiento de la AI y sus tendencias.Adaptacin o actualizacin segn el medio dominante.Organizacin y administracin formal de la AI en el negocio.Involucramiento formal en el proceso de planeacin del negocio informtica y de la auditora tradicional.Desarrollo de un proceso formal de planeacin de AI.Factores que aseguran resultados satisfactorios de la AI:

Mtodos Tcnicas y herramientas por rea de revisin (ii)Entendimiento y aplicacin de un proceso metodolgico formal de la AI.Gusto e identificacin profesional por la carrera de AI.Participacin formal, en asociaciones, instituciones educativas, etc., con fines de actualizacin o de compartir las experiencias profesionales en el campo de la AI.Entendimiento satisfactorio de los mtodos, tcnicas y herramientas necesarios para auditar las reas seleccionadas en el proceso de planeacin de la AI.Otras de acuerdo a la organizacin

ResumenDefinir clara y detalladamente los requerimientos y condiciones que justifiquen cada proyecto . Las debilidades o carencias de polticas y procedimientos existentes en las reas relacionadas con informtica que generen necesidades de una auditoria. Responder a una solicitud expresa de la alta direccin para auditar la funcin de informtica en alguno de sus componentes Definir etapas o secuencias del proyecto (evaluacin preliminar, adecuacin, justificacin, formalizacin, desarrollo, implantacin) Especificar funciones y responsabilidades del personal que participar en los proyectos de AI (usuarios, lider, personal apoyo y auditor).Definir tcnicas y herramientas mnimas para cada etapa del proyecto de AI (muestreos, entrevistas, cuestionarios, inspeccin, observacin, documentacin, sw de auditora, anlisis de procesos de negocios, anlisis de sistemas, lenguajes de programacin, paquetes y equipos de computo).

Objetivos de la metodologa de AI

ResumenAuditorias peridicas establecidas en la empresa formalmente.Auditorias emanadas de manera excepcional de factores no considerados en el plan de auditoria en informtica desde el inicio.Actividades de apoyo a la auditoria tradicional en la revisin de sistemas de informacin, aspectos de seguridad, etctera

Los elementos que intervienen en cada proyecto que vaya a ejecutar el auditor en informtica debern orientarse a integrar tanto los aspectos metodolgicos, como los recursos humanos, econmicos y materiales.Herramientas de la metodologa de AI

ETAPA PRELIMINARDiagnstico de la Situacin Actual.

Diagnstico del negocio: alta direccin y reas usuariasPrimer paso prctico para estimar el grado de satisfaccin de la alta direccin en los productos, servicios y recursos de informtica del negocio (fortalezas, aciertos y apoyo).

Identificar las reas de oportunidad de la informtica para hacer ms competitivo y rentable el negocio.

Entender los puntos fuertes y dbiles de la funcin informtica, desde el punto de vista de la alta direccin y de los usuarios clave.

Tareas, productos terminados, responsables e involucradosNomenclatura: AD alta direccin; PU personal usuario; RI responsable del rea de informtica;PI personal de informtica; RAI= responsable del rea de auditora en informtica; LP lider del proyecto de auditora en informtica; AI auditor de informtica.

Conocimiento del negocioEl Auditor en informtica debe conocer el tipo de organizacin, y nivel jerrquico de la funcin informtica, los procesos bsicos del negocio y las entidades externas relacionadas.Aspectos relevantes a considerar:Misin del negocioreas o proceso del negocioOrganigramaRelacin entre las reasRelacin con las reas externasPolticas referentes a informtica Otros

Apoyo al negocioObtener una idea global del grado de apoyo y satis-faccin que existe en el negocio y de la orientacin de la funcin informtica: Apoyo a alta direccin (SI estratgicos), apoyo a las gerencias (SI integrales), apoyo a niveles operativos (SI transaccionales)Aspectos a conocer:Participacin de la funcin informatica en los pys. clave Difusin de las polticas y planes informticos en los niveles del negocioImagen de informtica ante la alta direccin y los responsables de rea Grado de satisfaccin y expectativasFortalezas y debilidades de informtica reas de oportunidad Otros

reas de oportunidadDeteccin de las caractersticas que facilitarn la implantacin de soluciones informticas de relevancia para el negocioProponer acciones que redunden el beneficios directos para la alta direccin (a corto, mediano largo plazo).Aspectos a considerar:Reubicacin de la funcin informtica en la estructura organizacionalActualizacin tecnolgicaSistematizacin de algunas reas de negocioFormulacin/Divulgacin de polticas y planes informticosOtros

CONOCIMIENTO DE LA FUNCIN DE INFORMATICAEstructura interna de informticaFuncionesObjetivosEstrategiasPlanes PolticasOtrosDiagnstico de informtica: responsables de la funcin

SERVICIOS

Implantaciones de soluciones de informacinEvaluacin, adquisicin, instalacin, mantenimiento y reemplazo de H&SMantenimientoSoporte a usuariosInvestigacinOtros

ASPECTOS DE CONTROL

Polticas y procedimientos de organizacin de la funcin informtica.Descripcin de puestos y funcionesEvaluacin de desempeoPolticas y procedimientos para el desarrollo e implantacin de sistemas Polticas y procedimientos de seguridadPolticas y procedimientos de mantenimientoPlan de contingenciasOtros

AREAS DE OPORTUNIDADCapacitacin o actualizacin profesional del personal de informtica.Creacin y difusin de nuevos servicios de informtica al negocioReubicacin de la funcin informtica en la estructura organizacionalCapacitacin a los niveles ejecutivos o a los usuarios clave acerca de las aplicaciones instaladasActualizacin tecnolgicaSistematizacin de algunas reas de negocioCreacin de algn comit de informticaFormalizacin y divulgacin de polticas y planes de informtica en el negocioOtras

ETAPA DE JUSTIFICACION