SEMINARIO DE AUDITOR

1
SEMINARIO DE AUDITORÍA INTEGRAL
TEMARIO

• CONCEPTOS GENERALES
• Informática, auditoría, planeación, alcance
  de la auditoría.
• LA IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
• Antecedentes, preguntas clave en la auditoría.
• METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE
  LA AUDITORÍA EN INFORMÁTICA
• Método 1 Etapa preliminar, etapa de
  justificación, etapa de adecuación, etapa de
  formalización, etapa de desarrollo, etapa de
  implantación.
• Método 2 Auditorías integrales pro procesos,
  revisión financiera, operativa y de informática.
• Método 3 Auditorías orientadas al proceso
  técnico, firewalls, justificación de las bases
  de datos, respaldos de información,
  determinación de obsolencia operativa del
  hardware y del software.
• EL REPORTE FINAL
• Redacción en base a eventos comprobables,
  sugerencias sustentables, el rol de auditor de
  sistemas.
• FORMA DE EVALUACIÓN
• Tareas y lecturas 20
• Casos y exposición de los mismos 80

2
CONCEPTOS GENERALES
Generar información a tres niveles
básicos manual, mecánico y electrónico.
Examen constructivo sobre la estructura
organizacional orientada al procesamiento de
datos, sin olvidar que sirve a un objetivo
general (giro del negocio), dicho examen abarca
entre otros aspectos planes, objetivos, métodos
de trabajo, disponibilidad humana y física,
funcionalidad del equipo, etc.
Preveer situaciones futuras, a fin de evitar
problemas en lugar de solucionarlos (prevención
vs reacción).
Definir el impacto que tendrá el estudio, a fin
de delimitar los beneficios que serán obtenidos.
3
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
Una auditoría nos puede mostrar entre otros
factores de debilidad, los siguientes

• Debilidades en la planeación del negocio al no
  involucrar la informática en sus operaciones.
• Resultados negativos (improductividad,
  duplicidad de funciones, etc), en el desarrollo,
  operación y mantenimiento de sistemas de
  información.
• Falta de actualización del personal técnico y de
  informática, mismo que opera los sistemas y
  soluciones del negocio.
• Mínimo o nulo involucramiento de los usuarios en
  el desarrollo e implantación de soluciones de
  informática.
• Capacitación deficiente en el uso de los
  sistemas de información, el software (procesador
  de texto, hojas de cálculo, graficadores, etc),
  y el hardware (equipos de cómputo, impresoras y
  otros periféricos, etc).
• Administración de proyectos que no es formal ni
  completa (no se alinea a los objetivos del
  negocio).
• Carencia de un proyecto de análisis costo /
  beneficio formal previo al arranque de cada
  proyecto de informática.
• Metodologías de planeación y desarrollo
  orientada a sistematizar sistemas informales no
  estandarizados y en muchos casos inexistentes.
• Uso y entendimiento (al menos mínimo) de
  técnicas formales para el desempeño de funciones
  en las áreas de informática.

4
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
Algunas preguntas clave

• Los usuarios y la alta dirección conocen la
  situación actual de la función informática en la
  empresa?
• Se aprueba formal y oportunamente el costo /
  beneficio de cada proyecto relacionado en forma
  directa con la informática?
• La informática apoya las áreas críticas del
  negocio?
• El responsable del área de sistemas, conoce
  los requerimientos actuales y futuros del
  negocio, a fin de satisfacerlos desde el punto de
  vista técnico?
• Existen políticas y procedimientos de manera
  formal?
• Hay un plan de seguridad en informática?
• Se ha calculado el alcance e impacto de la
  informática en la empresa?
• Existe un plan estratégico de sistemas alineado
  al negocio?
• Existen responsables que que evalúen formal e
  imparcialmente la función de sistemas?
• Se cuenta con un control formal de cada
  proyecto relativo al área de sistemas?
• Auditan sólo sistemas de información y no
  otras áreas de la informática?

5
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
De los planteamientos anteriores surge de
inmediato un par de preguntas determinantes

• Cómo saber si la función de sistemas está
• administrada correctamente ?

• La función de sistemas debe ser auditada,
• quién realizará este trabajo ?

6
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA
Factores de éxito para realizar la auditoría

• Compromiso de los individuos relacionados.
• Continuidad en el proceso de evaluación y
  control.
• Especialización por parte de quienes llevan a
  cabo dicha función.
• Conocimiento del negocio a través de un
  involucramiento permanente en las etapas de
  planeación.
• Enfoque preventivo, no correctivo.
• Facilitar soluciones, no limitar la operación
  de la compañía implantando un exceso de
  controles.
• Estudio del medio tecnológico y organizacional
  por parte de los encargados de la función.
• Trabajar con base en requerimientos y riesgos
  propios del negocio y no según críticas de
  mercado.
• Lograr que el personal de las organizaciones,
  advierta que las medidas preventivas forman parte
  
• importante del trabajo diario y que
  incumben a todos por igual.

7
CASO NO. 1

1. Desde su punto de vista, la tecnología que
   aplica el área de sistemas y que transforma en
   informática, debe considerarse un activo en las
   empresas? por qué?.
2. Es necesario auditar los sistemas computarizados
   existentes en la empresa donde labora?, mencione
   y justifique tres razones para sustentar su
   respuesta.
3. Qué acontecimientos llevaron a su empresa a a
   formalizar o rechazar el proceso de evaluación
   del área de sistemas?
4. Cuál cree que debe ser el perfil de un auditor
   en informática?, mencione y justifique cuatro
   características inherentes a esta función.

8
PLANEACIÓN DE LA AUDITORÍA
Nosotros comenzaremos a cavar desde este lado de
la montaña. Usted y su grupo comenzarán a cavar
desde el otro lado. Cuando nos encontremos en
el centro, habremos hecho un túnel, y si no nos
encontramos, habremos hecho dos túneles !
9
PLANEACIÓN DE LA AUDITORÍA
Consiste en definir de manera anticipada las
áreas o departamentos o sistemas o procesos o
procedimientos, que serán revisados, mediante el
uso de métodos y herramientas, tendientes a
decubrir debilidades y amenazas.
10
PLANEACIÓN DEL NEGOCIO
Determina las estrategias y cursos de acción del
negocio se establece mediante entrevistas y
análisis detallados de cada proceso básico de la
organización.
11
PROCESO DE PLANEACIÓN EN SISTEMAS
Consiste en definir el conjunto de proyectos
relacionados con la función de sistemas a corto
mediano y largo plazo, cada proyecto debe estar
orientado a objetivos y estrategias específicas
del negocio -mismas que debieron ser definidas
en el plan de negocio-.
12
PLANEACIÓN DE LA AUDITORÍA
TIENE UN OBJETIVO
Algunos de los puntos más importantes que debe
considerar la auditoría son
UTILIZA VARIOS RECURSOS
TAREAS NO REPETITIVAS
MARCO DE TIEMPO ESPECÍFICO
TIENE UN GRADO DE INCERTIDUMBRE
TIENE UNO O VARIOS CLIENTES
13
PUNTOS CENTRALES EN LA PLANEACIÓN DE LA AUDITORÍA
ALCANCE
Es el trabajo que debe realizarse a fin de que el
cliente quede satisfecho, (también podemos
manejarlo como el dimensionamiento de la
auditoría).
COSTO
Son los montos a erogar, es importante considerar
que el presupuesto juega un papel determinante.
PROGRAMA
Está integrado por una relación de tiempos,
misma que especifica cuándo debe ser iniciada y
terminada una actividad.
SATISFACC. AL CLIENTE
Consiste en cumplir con las expectativas creadas
al cliente, por ello debe documentarse en la
auditoría las actividades a desarrollar, los
costos y el tiempo necesario para realizar el
proyecto.
14
COSTOS QUE IMPACTAN LA AUDITORÍA

1. Sueldos y salarios remuneración a las personas
   que participan en el proyecto ya sea por hora o
   por proyecto.
2. Materiales compra de los enseres que demanda el
   proyecto, por ejemplo lápices, cds, papel,
   plumas, folders, etc.
3. Asesores contratación de expertos en ciertas
   fases, para que el proyecto sea completado.
4. Alquiler de equipos e instalaciones se refiere
   a la compra de equipo, herramientas o
   instalaciones especiales, para realizar la
   auditoría.
5. Viajes En caso de que el proyecto requiera que
   algunos de los participantes efectúen viajes, es
   necesario incluír costos tales como boletos de
   avión, habitación de hotel, comidas, etc.

15
ELEMENTOS NEGATIVOS QUE IMPACTAN LA AUDITORÍA
Por qué algunas auditorías exceden el
presupuesto ?
La respuesta está en base a cuatro puntos
centrales

1. Muchos excesos en costos, provienen de
   estimaciones deficientes de los mismos.
2. En muchas compañías no existen normas ni un
   grupo común de reglas para desarrollar las
   estimaciones de costos y técnicas para su
   control como tampoco a ninguna de ellas se le
   da mucha importancia.
3. Muchas personas creen que, debido al enorme
   número de variables en un proyecto de auditoría,
   los excesos en los costos, son simplemente
   irremediables -lo cual es una forma de pensar
   devastadora, en particular, por no ser cierta-
4. Con frecuencia los planes y controles de la
   auditoría, no toman en cuenta medidas
   probabilísticas, que pueden ser aplicadas.

16
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
Duración estimada de las actividades
El tiempo más probable (tm) Es el tiempo en que
se completará una actividad en particular bajo
condiciones normales.
El tiempo optimista (to) Es el tiempo en que una
actividad puede ser completada sin si todo marcha
perfectamente y sin complicaciones
El tiempo pesimista (tp) Es el tiempo en que se
puede terminar una actividad en particular bajo
condiciones adversas.
17
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
Estimar el tiempo optimista (to), el tiempo más
probable (tm) y el tiempo pesimista (tp), hace
posible tomar en cuenta la incertidumbre y
estimar cuánto durará una actividad y con ello
calcular en base a distribución de
probabilidades, la duración esperada
(te). EJEMPLO 1
Supóngase que el tiempo optimista para una
actividad es de 1 semana, el más probable es de
5 y el pesimista es de 15, calcule la duración
esperada
te to 4(tm) tp
te 1 4(5) 15
6
6
te 6 semanas
18
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 2
Supóngase que el tiempo optimista para otra
actividad es de 10 semanas, el más probable es
de 15 y el pesimista es de 20, calcule la
duración esperada
te to 4(tm) tp
te 10 4(15) 20
6
6
te 15 semanas
19
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
La varianza de la distribución de probabilidad
beta de una actividad se determina con la fórmula
siguiente
(
)
tp - to 2
?2
6

-3? -2? -1? Media
1? 2? 3?
68
95
99
20
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3
Supóngase que la auditoría al departamento X,
en cuanto a su aplicación y uso de sistemas, se
puede iniciar el día 0 y tiene para completarse
42 días, además tiene las siguientes duraciones
para las tres actividades que lo integran
ACTIVIDAD To Tm tp
A 2 4 6
B 5 13 15
C 13 18 35
Total 20 35 56
te 2 4(4) 6
4 días
6
te 5 4(13) 15
12 días
6
te 13 4(18) 35
te 20 4(35) 56
20 días
36 días
6
6
Total 36 días
21
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3
Por lo tanto, la auditoría tiene el tiempo de
terminación esperado más temprano del día 36.
Como se afirmó antes, el proyecto tiene un tiempo
de terminación requerido del día 42. Por regla
probabilística, existe un 0.5 de que la auditoría
sea completado el día 36 y una probabilidad del
0.5 de que sea completado después, las
varianzas serían las mostradas a continuación
6 - 2
(
)
2
Actividad A ?2
0.444
6
15 - 5
(
)
2
Actividad B ?2
Total 16.666
2.778
6
35 - 13
(
)
2
Actividad C ?2
13.444
6
22
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3
La varianza para la distribución total, que es
una distribución de probabilidades normal, es la
suma de las tres varianzas individuales, o sea,
16.666, la desviación estándar de la
distribución total es
Desviación estándar ?
16.666
Desviación estándar 4.08 días
Para encontrar la probabilidad de completar la
auditoría antes de su tiempo de terminación
requerido, se usa la fórmula siguiente
LF - EF
Donde LF el tiempo de terminación requerido
(la terminación más tardía), para el
proyecto. EF el tiempo de terminación más
temprano, esperado para el proyecto (la media de
la distribución normal). es la
desviación estándar en cuanto a la distribución
total de las actividades
(
)
Z
?t
?t
23
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
EJEMPLO 3, Sustituyendo
LF - EF
42 - 36
6
(
)
(
)
(
)
Z



1.47
?t
4.08
4.08
El valor de Z, señala que hay 1.47
desviaciones estándar (1 desviación estándar
equivale a 4.08 días) entre LF y EF. Sin
embargo, el valor Z no genera directamente la
proporción del área bajo la curva entre LF y
EF. Para encontrar esta área, se tiene que
convertir el valor Z mediante tablas,
Conclusión Z 0.42922, lo cual señala que
la probabilidad de completar realmente la
auditoría entre entre EF (36 días) a LF (42
días), es de 42.92, sin embargo, el interés es
de encontrar la probabilidad de completar
realmente el proyecto en algún momento antes de
los 42 días, por lo que el razonamiento a seguir
es el de añadir la probabilidad de terminar a
los 36 días. Esto significa que la probabilidad
de concluír la auditoría antes de 42 días es
igual a la probabilidad de acabar a los 36 días,
más la probabilidad de terminar entre 36 y 41
días
24
PLANEACIÓN Y CONTROL DE LA AUDITORÍA
Conclusión . . .
LF - EF
41 - 36
5
(
)
(
)
(
)
Z



1.22
?t
4.08
4.08
0.50000 0.38877 0.88877
PROBABILIDAD DE TERMINAR EL PROYECTO A LOS 36 DÍAS
PROBABILIDAD DE TERMINAR EL PROYECTO ANTES DE 42
DÍAS
PROBABILIDAD DE TERMINAR EL PROYECTO ENTRE 36 Y
41 DÍAS
La probabilidad de completar la auditoría antes
de su tiempo de terminación requerido de 42 días
es del 88.87
25
CASO NO. 2

• Qué se entiende en su organización por
  planeación?
• Qué se entiende en su organización por realizar
  un plan de negocios?
• Conocen los auditores de sistemas el plan de
  negocios?
• si . cuál es la forma en que
  accesaron al plan?
• no porqué ?
• Qué entiende el área de sistemas por planeación
  de auditoría en informática ?
• Muestre un plan de auditoría de sistemas de la
  organización donde labora, considerando los
  siguientes puntos
• Fecha y responsable de la auditoría.
• Tiempo utilizado para concluír la misma.
• Costo aproximado de la auditoría (mencione a
  que fecha están expresados los
• costos).
• Documento de saqtisfacción del usuario o
  comentarios sobre el resultado de la
• revisión.
• Listado de salvedades.
• Actualización de los resultados de la
  auditoría.
• Metodología utilizada para realizar la
  auditoría.

26
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Lo primero, es definir claramente las actividades
que desempeñará el auditor en informática y
sistemas, dentro de la organización. Es
importante determinar el medio que rodea a la
auditoría, en términos del negocio, es decir

• Se auditará una ( o varias ) aplicación (es)
  actual (es) ?
• Se auditará una nueva aplicación ?
• Es complejo el negocio en su forma de operar ?
• Se tiene que auditar una fusión entre negocios
  ?
• Se tiene que auditar una alianza entre
  negocios ?

27
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
TAREAS PRODUCTOS RESPONSABLE INVOLUCRADOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio. LPA / RAI 1.1 AD 1.2 AD 1.3 AD / PU
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas. LPA / RAI 2.1 RI 2.2 RI 2.3 RI / PI 2.4 RI
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas. LPA / RAI 3.1 AD / PU / RI
28
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Algunas métricas . . .
TIEMPOS DE ATENCIÓN duración de un evento desde
su inicio, hasta su conclusión.
EFICIENCIA Cantidad de recursos de cómputo que
consume el software durante su ejecución.
OPERATIVIDAD Apego a las políticas y
procedimientos definidos por la normatividad de
la organización y sistemas.
ARQUITECTURA Apego y uso de la infraestructura
definida en la normatividad de sistemas.
CONTINGENCIAS Existencia de procedimientos para
recuperar la información o en su caso, para
trabajar de manera alterna sin impactar
negativamente a la operación.
29
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
POR QUÉ HACER ESTO? Para que el auditor conozca
la organización y determine si ésta tiene
misión, estrategias, planes y sobre todo
jerarquías (organigrama)
30
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
POR QUÉ HACER ESTO? Para que el auditor conozca
el grado de apoyo y satisfacción que brinda la
función de sistemas al negocio, este paso debe
estar orientado a los siguientes puntos Apoyo a
la alta dirección, por ejemplo sistemas de
info. estratégica, tecnología, etc.) Apoyo a las
gerencias, por ejemplo sistemas de info.
Integrales, entre otros. Apoyo a niveles
operativos, por ejemplo sistemas de info.
básicos, etc.
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
31
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
POR QUÉ HACER ESTO? Para que el auditor
determine, si la función informática tiene
misión, estrategias, planes y sobre todo
jerarquías (organigrama)
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
32
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar
POR QUÉ HACER ESTO? Para que el auditor
determine, si la función informática maneja
bitácoras, guardias, productos y servicios
entregados al usuario, árboles de operación,
documentación de las peticiones del usuario,
Matrices de impactos entre programas, manuales
de programación, de comunicaciones, del usuario,
de calidad entre otros, programas (piezas)
fuentes, files, jobs, objetos, manejo de derechos
de autor, etc.
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
33
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar

• POR QUÉ HACER ESTO?
• Para que el auditor conozca, si la función
  informática maneja mediciones que reflejen su
  productividad y su contribución al negocio,
  algunos ejemplos son los siguientes
• Arquitectura
• Tolerancia a errores
• Consumo de recursos
• Complejidad
• Estructuración
• Satisfacción de requerimientos al usuario

TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
34
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación
PASO 1 Diagnóstico preliminar

• POR QUÉ HACER ESTO?
• Para que el auditor determine, si la función
  informática presenta debilidades en su operación,
  por ejemplo
• No existe arquitectura definida
• El consumo de recursos es excesivo
• Complejidad para el usuario en la operación de
  los sistemas en funcionamiento
• No existe estructuración de los programas que
  conforman los sistemas actuales
• Bajo nivel de satisfacción de requerimientos del
  usuario
• Bajo nivel de capacitación del personal de
  sistemas
• No se actualiza el equipo y el software

TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
35
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa preliminar
Para atacar lo mencionado anteriormente, se
sugiere que en esta primera etapa se sigan los
pasos mencionados a continuación

• POR QUÉ HACER ESTO?
• Para que el auditor determine, el grado en que la
  función informática está amenazada en su
  operación, por ejemplo
• Nuevas tendencias en el cambio de arquitectura
• Sugimiento de nuevas aplicaciones
• Operación de los sistemas cada vez mayor en
  línea
• Técnicas de documentación para programas
  orientados a objetos
• Búsqueda del usuario, de apoyos externos para el
  desarrollo y administración de los sistemas de la
  organización
• Multihabilidades en el personal de sistemas de
  otras organizaciones

PASO 1 Diagnóstico preliminar
TAREAS PRODUCTOS
1. Diagnóstico preliminar 1.1 Misión y objetivos del negocio. 1.2 Organización de la información. 1.3 Grado de apoyo al negocio.
2. Diagnóstico de informática 2.1 Misión y objetivos de la función de informática y sistemas. 2.2 Organización de sistemas. 2.3 Controles formales. 2.4 Productos y servicios. 2.5 Definición de métricas.
3. Detectar áreas de oportunidad 3.1 Áreas de oportunidad para mejoras inmediatas.
36
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Caso 3

• Qué condiciones deben existir antes de que el
  auditor en sistemas inicie la primera etapa de la
  metodología ?
• Cómo definiría la etapa de evaluación
  preliminar ?
• Existen dos tipos de diagnóstico de esta etapa,
  cuáles son ?
• Qué resultados mínimos ha de arrojar cada uno
  de tales diagnósticos?
• Qué restricciones se pueden presentar en la
  etapa de evaluación preliminar, y que acciones
  debe ejecutar el personal de auditoría en
  informática para eliminarlas, o al menos
  minimizarlas, con el fin de asegurar el éxito
  del proyecto ?
• Cuáles de las siguientes técnicas y
  herramientas debe utilizar el personal del área
  de auditoría en sistemas durante dicha etapa ?
• - muestreo
• - observación / inspección
• - documentación
• - análisis costo / beneficio
• - software de auditoría
• - otros (especifique)
• 7. Qué problemática se puede presentar a
  los auditores en informática, si se omite la
  etapa de evaluación preliminar?

37
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN
DE LA AUDITORÍA EN INFORMÁTICA
Etapa de justificación
TAREAS PRODUCTOS RESPONSABLE INVOLUCRADOS
1. Realizar matriz de riesgos. 1.1 Matriz de riesgos. LP / AI RAI
2. Justificar la auditoría por cada área de revisión. 2.1 Justificación de la matriz de riesgos. LP / AID RAI
3. Crear un plan de auditoría en sistemas. 3.1 Plan general de informática. LP RAI / AI
38
Matriz de riesgos
39
Justificación de la matriz de riesgos
40
DEFINICIÓN Se emplea para diagramar de forma
sistemática todas las posibles cadenas de eventos
para alcanzar un objetivo amplio o para implantar
una solución compleja, esta técnica, se
implementa cuando existe incertidumbre en el
funcionamiento del sistema (electrónico o
administrativo),

• Reunir el equipo apropiado el equipo deberá
  incluir a miembros que tengan un conocimiento
  genérico de los flujogramas, así como personas
  con experiencia en cada paso del proceso.
• Elegir el flujo básico de implantación consiste
  en construir un flujo básico de actividades que
  deberá ser amplio y la ruta trazada deberá ser
  directa y evitar el detalle.
• Construir el formato de la gráfica consiste en
  graficar mediante una combinación de diagrama de
  árbol y flujograma el proceso en cuestión.
• Establecer un objetivo principal.
• Enumerar los pasos del proceso consiste en dar
  secuencia a cada uno de los pasos del proceso.
• Deteminar contramedidas esta contramedida se
  representará por medio de una nube.
• Evaluar las contramedidas las contramedidas
  serán marcadas con los signos
• 0 seleccionada
• X no factible

NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
41
IMPLANTACIÓN DE NIVELES DE SEGURIDADCON RECS.
PROPIOS.
X
INEXISTENCIA DE SEGURIDAD
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
AJENOS.
0
EVALUAR LA SEGURIDAD LÓGICA
IMPLANTAR NIVELES CONFIABLES DE SEGURIDAD EN
MENOS DE 4 MESES
X
BAJOS NIVELES DE SEGURIDAD
IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE
4 MESES Y MENOS DE UN AÑO
SEGURIDAD DE LA INFO. DE LA CORPORACIÓN X
0
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
IMPLANTACIÓN DE NIVELES DE SEGURIDADCON RECS.
PROPIOS.
X
INEXISTENCIA DE SEGURIDAD
EVALUAR LA SEGURIDAD FÍSICA
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
AJENOS.
X
0
IMPLANTAR NIVELES CONFIABLES DE SEGURIDAD EN
MENOS DE 4 MESES
BAJOS NIVELES DE SEGURIDAD
IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE
4 MESES Y MENOS DE UN AÑO
X
0
SELECCIONADA NO FACTIBLE
X
42
EVALUAR LA SEGURIDAD LÓGICA
INEXISTENCIA DE SEGURIDAD
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
PROPIOS.

1. S e cuenta con asignación de claves (passwords)
   ? (fuerza) si
2. Hay personal capacitado para la administración
   del sistema y asignación de claves ? (debilidad)
   no
3. Existe la capacidad humana y tecnológica para
   diseñar e implantar firewalls ? (amenaza) no
4. Existe la capacidad humana y tecnológica para
   diseñar e implantar métodos tipo kerberos ?
   (amenaza) no

NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
EVALUAR LA SEGURIDAD FÍSICA
BAJOS NIVELES DE SEGURIDAD
IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE
4 MESES Y MENOS DE UN AÑO

1. S e cuenta con un plan de traslado y guarda de
   la información ? (fuerza) si
2. Existe un espacio físico (edificio), que
   tenga capacidad para guardar la información?
   (fuerza) si
3. Existe una estructura administrativa que maneje
   el proceso de traslado y guarda de la información
   ? (debilidad) no
4. Existen procedimientos para consultar y/o
   disponer de la información en guarda? (fuerza)
   si
5. La organización cuenta con la capacidad
   tecnológica para la guarda de información ?
   (debilidad) no

43
EVALUAR LA SEGURIDAD LÓGICA
INEXISTENCIA DE SEGURIDAD
IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS.
PROPIOS.
Se cuenta con asignación de claves
(passwords) ? (30)
FUERZAS
OPORTUNIDADES
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE
PROCESOS
Hay personal capacitado para la
administración del sistema y asignación de
claves ? (30)
Existe la capacidad humana y tecnológica para
diseñar e implantar firewalls ? (20)
Existe la capacidad humana y tecnológica para
diseñar e implantar métdos tipo kerberos ? (20)
DEBILIDADES
AMENAZAS
44
DEFINICIÓN Son herramientas que se emplean para
revelar las correlaciones entre
responsabilidades y funciones, éstas matrices
son utilizadas por auditoría, para descubrir
desviaciones en términos generales o específicos
de las áreas sujetas a revisión.

1. Reunir el equipo apropiado el equipo deberá
   incluir a miembros que tengan un conocimiento de
   los procesos.
2. Elegir las consideraciones clave consiste en
   definir qué información queremos mostrar en la
   matriz ?.
3. Construir la matriz consiste en cruzar la
   información (variables), definidas en el paso
   anterior.
4. Asignación de pesos a cada una de los cruces. en
   este paso, debe ser calculado el grado de
   correlación.
5. Requisitar la matriz consiste en calificar las
   variables relacionadas, en base a un índice de
   correlación obtenido en el paso anterior.

NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
45
NO. DE ERRORES MENCIONADOS POR LA DIRECCIÓN
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES ENE FEB MZO ABR MAY
CONECTIVIDAD 22 14 18 20 19
COMPLEJIDAD 18 20 13 16 13
SOPORTE A ERRORES 20 9 10 11 11
VELOCIDAD 15 3 9 13 11
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
46
NO. DE ERRORES MENCIONADOS POR EL USUARIO
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES ENE FEB MZO ABR MAY
CONECTIVIDAD 20 9 10 20 12
COMPLEJIDAD 12 22 10 19 13
SOPORTE A ERRORES 16 11 6 8 7
VELOCIDAD 10 1 3 1 3
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
47
NO. DE HORAS DEDICADAS A ATENDER REQUERIMIENTOS
DE LA DIRECCIÓN
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES ENE FEB MZO ABR MAY
CONECTIVIDAD 32 44 28 20 6
COMPLEJIDAD 14 32 3 16 13
SOPORTE A ERRORES 17 19 10 12 7
VELOCIDAD 25 1 4 0 5
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
48
PROBLEMÁTICA DEL SISTEMA DE CARTERA DE CLIENTES SATISFACCIÓN DE LA DIRECCIÓN SATISFACCIÓN DEL USUARIO
CONECTIVIDAD
COMPLEJIDAD
SOPORTE A ERRORES
VELOCIDAD
NUEVAS HERRAMIENTAS DE AUDITORÍA DE
SISTEMAS DIAGRAMA MATRICIAL
VISIÓN GLOBAL DE SISTEMAS
VISIÓN A DETALLE DE SISTEMAS