1. LOGO
Metodología de la
Auditoría Informática.
Curso: Auditoría Informática
Prof.: MSc. Julio Rito Vargas Avilés
http://jrvargas.wordpress.com
Sábado 4 abril 2009
2. LOGO Contenido
Proceso de planeación del negocio
1
2
3
4
Proceso de planeación en Informática
Proceso de planeación de la auditoría
Proceso de planeación de la A. I.
5 Metodología para la A.I.
Julio Rito Vargas Avilés
3. LOGO Gestión de la planeación de la Auditoría
Informática
La función de auditoría Informática debe
generar, como todas las áreas del
negocio,un plan de proyectos que
justifique su trabajo durante cierto
tiempo; cada uno de esos proyectos
tendrán que contemplar un analísis
costo/beneficio y la estructura de los
mismos con un enfoque metodológico, con
el fin de que esta función se evalúe según
su desempeño, con parámetros tangibles
y mensurables.
Julio Rito Vargas Avilés
4. LOGO Gestión de la planeación de la Auditoría
Informática
Alta dirección:
Seguimiento a proyectos relacionados con tecnología
informática.
Verificación y aseguramiento del cumplimiento de
políticas inherente a la tecnología informática.
Auditoría:
Apoyo en la definición, implantación y
seguimiento de políticas, controles y
procedimientos de auditoría financiera,
operativa, fiscal, etc., relacionada directa o
indirectamente con la tecnología informática
(SI, equipos de cómputo, comunicaciones,
etc.)
Julio Rito Vargas Avilés
5. LOGO Gestión de la planeación de la Auditoría
Informática
Auditoría:
Planes de capacitación en el uso y
entendimiento de software de auditoría,
herramientas de productividad(hojas de
cálculo, procesadores de palabra,
graficadores, etc.)
Informática: Apoyo en la definición,
implantación y seguimiento de políticas,
controles, procedimientos y estandares en
informática.
Julio Rito Vargas Avilés
6. LOGO Gestión de la planeación
Proceso de
Planeación
del negocio
Planeación
de la A.I.
Proceso de
planeación
de la
auditoría
Proceso de
Planeación
en
Informática
Proceso de
planeación
de la
auditoría
informática
Julio Rito Vargas Avilés
7. LOGO Proceso de planeación del negocio
Actividad Responsable
de cambios
Responsable
del
seguimiento
Comentarios
Determinación
de las áreas
de oportunidad
para el
negocio.
Gerente de
planeación
Alta dirección o
director de
planeación
Se determinan
tendencias y
amenazas del
medio externo,
fortalezas y
debilidades del
negocio, etc. Se
seleccionan las
áreas de
oportunidad
estratégicas y los
proyectos de cada
proceso básico
del negocio
Julio Rito Vargas Avilés
8. LOGO Proceso de planeación en Informática
Actividad Responsable
de cambios
Responsable
del
seguimiento
Comentarios
Elaboración del
plan del
negocio
Gerente de
planeación
Alta dirección o
director de
planeación
Cada proyecto
debe justificar su
inversión
garantizando que
brinda al negocio
rentabilidad y
ventaja
competitiva.
Julio Rito Vargas Avilés
9. LOGO Proceso de planeación en Informática
Actividad Responsable
de cambios
Responsable
del
seguimiento
Comentarios
Presentación
del plan a los
directivos o
gerente o
ambos.
Gerente de
planeación
Alta dirección
y/o directiva
Se recomienda
que se haga de
manera oportuna
(al iniciar el
período fiscal) y
se autorice
formalmente.
Julio Rito Vargas Avilés
10. LOGO Proceso de planeación en Informática
Actividad Responsable
de cambios
Responsable
del
seguimiento
Comentarios
Ejecución del
plan de
negocio
Gerente o
coordinador
de cada área
o proceso
básico del
negocio
Alta dirección o
gerente de
planeación.
Cada área o
proceso básico
del negocio ha de
ejecutar los
proyectos, con la
ayuda de
asesores externos
si se justifica.
Planeación
verificará su
cumplimiento.
Julio Rito Vargas Avilés
11. LOGO Proceso de planeación en Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Determinación
de áreas
apoyadas por
informática
(plan del
negocio)
Gerente o
coordinador de
planeación
informática
Director o
gerente de
informática
Las áreas de
oportunidades
relativas al
negocio, al igual
que proyectos
específicos
solicitados por la
alta dirección o
recomendados por
asesores externos
de alto nivel,
emanan del plan
de negocio.
Julio Rito Vargas Avilés
12. LOGO Proceso de planeación en Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Elaboración del
plan
informático
Gerente o
coordinador de
planeación
informática
Director o
gerente de
informática
Es importante que
el área responsable
de ejecutar cada
proyecto se
involucre en esta
tarea, ejemplo el
área de desarrollo
de software, área
de
telecomunicaciones
.
Julio Rito Vargas Avilés
13. LOGO Proceso de planeación en Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Presentación
del plan a la
alta dirección
Director o
gerente de
informática
Alta dirección
del negocio
Antes de presentar
el documento se
verifica que existe
un análisis
costo/beneficio de
cada proyecto, así
como fechas de
terminación.
Julio Rito Vargas Avilés
14. LOGO Proceso de planeación en Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Ejecución del
plan de
auditoría
Funciones de
informática:
Desarrollo,
investigación,
comunicación,
soporte a
usuarios,
entre otros.
Gerente En algunas
empresas las
funciones de
desarrollo de
sistemas, soporte
a usuarios,
planeación etc.,
han sido delegadas
a personal externo
y en ciertas
ocasiones han
pasado a ser
responsabilidad
del mismo usuario.
Julio Rito Vargas Avilés
15. LOGO Proceso de planeación de auditoría
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Determinación
de las áreas
por auditar en
el negocio.
Coordinador o
supervisor de
auditoria
Gerente de
auditoría
Aquí se da
prioridad a la
evaluación de los
sistemas
información
financieros y
contables. El
auditor debe
verificar si
requiere el apoyo
de auditoría
informática(interno
o externo)
Julio Rito Vargas Avilés
16. LOGO Proceso de planeación de auditoría
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Elaboración
del plan de
auditoría
Coordinador o
supervisor de
auditoria
Gerente de
auditoría
Las fechas y
periodos en que se
auditarán las áreas
pueden obedecer a
estrategias propias
de la alta dirección
o a necesidades de
la función de
auditoría.
Julio Rito Vargas Avilés
17. LOGO Proceso de planeación de auditoría
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Presentación
del plan a la
alta dirección
Coordinador o
supervisor de
auditoria
Gerente de
auditoría
Se recomienda
que se haga de
manera oportuna
(al iniciar el
periodo fiscal) y
que se autorice
formalmente.
Julio Rito Vargas Avilés
18. LOGO Proceso de planeación de auditoría
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Ejecución del
plan de
auditoria
Coordinador o
supervisor de
auditoria
(interna o
externa)
Gerente de
auditoría
Algunas empresas
consideran que es
recomendable
utilizar personal de
auditoría externa
para dar
independencia al
informe o aligerar
las cargas de
trabajo.
Julio Rito Vargas Avilés
19. LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Determinación
de las áreas
por auditar del
negocio.
Coordinador o
supervisor de
auditoria
informática
Gerente de
auditoría
informática
Se efectúa un
diagnóstico actual
de la función de
informática (desde
el punto de vista
del negocio) con el
fin de detectar
áreas de riesgo o
debilidades de la
función de
informática.
Julio Rito Vargas Avilés
20. LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Elaboración
del plan de
auditoría
informática
Coordinador o
supervisor de
auditoria
informática
Gerente de
auditoría
informática
Las fechas y
periodos en que se
auditarán las áreas
puede obedecer a
la solicitud expresa
de la alta dirección
o a requerimientos
de la función de
auditoría
informática.
Julio Rito Vargas Avilés
21. LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Presentación
del plan a la
alta dirección
Director de
Auditoría
Informática
Alta Dirección Se recomienda
que se haga de
manera oportuna y
que se autorice
formalmente.
Julio Rito Vargas Avilés
22. LOGO Proceso de planeación de la auditoría Informática
Actividad Responsable
de ejecución
Responsable
del
seguimiento
Comentarios
Ejecución del
plan de
auditoría
informática
Auditores
informáticos
Gerente
auditoría
informática
Algunas empresas
no cuentan con
unidades de
auditoría
informática y
quienes hacen
esta labor son
auditores en
informática
externos.
Julio Rito Vargas Avilés
23. LOGO Etapas de la Metodología
-Aprobación
-Inicio de auditoría inf.
-Métodos
-Técnicas
-Herramientas
-Áreas a auditar
-Plan propuesto
Diagnóstico
- Negocio
-Informática
Etapa Formalización
Etapa Adecuación
Etapa Justificación
Etapa Preliminar
Etapa Desarrollo
Etapa Implantación
-Entrevistas, visitas, observaciones,
-Recomendaciones e informe de auditoría
-Acciones correctivas y preventivas
-Seguimiento.
Julio Rito Vargas Avilés
24. LOGO Etapa preliminar
PRELIMINAR
(DIAGNÓSTICO)
Diagnóstico del
Negocio
Diagnóstico de
Informática
Detectar áreas
de oportunidad
Misión y objetivos de negocio
Organización de la informática
Grado de apoyo al negocio
Áreas de oportunidad
para mejoras inmediatas.
Misión y objetivos de la función
de informática
Organización de la Informática
Control (formalidad)
Productos y Servicios.
Julio Rito Vargas Avilés
25. LOGO Etapa preliminar
DIAGNÓSTICO DE INFORMATICA.
Aquí el auditor se coordinará con el responsable de la función de
informática.
Conocimiento de la función de Informática:
En este parte el auditor conocerá:
• La estructura de Informática
• Funciones
• Objetivos.
La tecnología de Sw. y Hw. en la que se apoya para llevar a cabo su función
dentro del negocio.
• Estrategias
• Planes
• Políticas
Julio Rito Vargas Avilés
26. LOGO Servicios de informática
Servicios
Evaluación, adquisición, instalación
y reemplazos de Hw y comunicaciones
Implantación de soluciones
de información
Investigación
Auditoría Informática
Mantenimiento
Soporte a usuarios
Soporte a la alta dirección
Satelite
1500 km
E-mail
Julio Rito Vargas Avilés
27. LOGO Control del Área Informática
Aspectos de Control del Área de Informática
Otro aspecto a evaluar en la etapa preliminar es evaluar el grado de
formalidad y cumplimiento que se da a políticas y procedimientos relativos a
cada área de informática.
Una manera es a través de entrevistas que concede el RI al LP; pero el
camino más directo es entrevistar al encargado de cada área que conforma
la función de informática.
Algunos aspectos que deben considerarse son los siguientes:
• Esquema de seguridad para Internet, intranet y comercio electrónico.
• Políticas y procedimientos de organización de la función de informática.
Julio Rito Vargas Avilés
28. LOGO Control del Área Informática
Aspectos de Control del Área de Informática
• Descripción de puestos y funciones
• Evaluación del desempeño
• Guías de control para proyectos de selección e implantación de un
sistema ERP
• Políticas y procedimientos para el desarrollo e implantación de
sistemas.
• Políticas y procedimientos de evaluación de Hw. y Sw.
• Políticas y procedimientos de seguridad
• Políticas y procedimientos de mantenimiento(preventivo,
detectivo y correctivo)
• Plan de contingencia y de reinicio de operaciones.
Julio Rito Vargas Avilés
29. LOGO Cuestionario del diagnóstico actual del negocio
Concepto Descripción Comentarios
Giro y misión del
negocio (se requerirá
organigrama) ….
Macroproyectos del
negocio. ….
Objetivos del negocio
Políticas referentes a
la función de
informática.
Áreas de oportunidad
que se derivan de
informática.
30. LOGO Soluciones de informática(diagnóstico del
negocio
¿Cuáles de las siguientes soluciones le han
sido proporcionadas por informática y como
las califica?
Descripción Comentarios
E B R D
Soluciones de consultoría.
Asesoría y soporte en la definición, evaluación y
selección de estrategias para la obtención de
soluciones de negocio
Soluciones de sistematización de procesos de
negocio. Instalación de sistemas requeridos en el
desarrollo de sus funciones operativas, tácticas y
estratégicas.
Soluciones de desarrollo tecnológico.
Evaluación y selección de tecnología: definición de
nuevos enlaces con otras empresas vía
telecomunicaciones, automatización de oficinas,
etc.
Servicios operativos.
Instalación de equipo de cómputo y telecomunica-
ciones, capacitación en el uso de la tecnología,
atención a fallas de software y aplicaciones,
atención a fallas a equipos de cómputo y
comunicaciones.
31. LOGO Cuestionario del diagnóstico actual de informática
Concepto Descripción Comentarios
Misión de informática
(organigrama)
Funciones o áreas de
informática
Macroproyectos de
informática
Objetivos de la función
de informática
Políticas referente a
cada función de
informática
Áreas de oportunidad
relativas a informática
32. LOGO Etapa de Justificación
1
Matriz de
riesgo:
Áreas de
mayor peligro
con relación
con
informática.
2
Plan general
de auditoría
informática
3
Compromiso
ejecutivo
Productos a obtener de la etapa de justificación
Julio Rito Vargas Avilés
33. LOGO Etapa de justificación
Etapa Tareas Productos Resp. Involucrado
Justificación Realizar
matriz de
riesgos.
Justificar la
AI por cada
área de
revisión
Hacer un
plan de AI
Aprobación
plan AI
Matriz de
riesgo.
Justificación
de la matriz
de riesgo.
Plan
general de
AI
Plan
aprobado
LP/AI
LP/AI
LP
LP
RAI
RAI
RAI/AI
RAI/AI
Julio Rito Vargas Avilés
34. LOGO Matriz de riego
Áreas
susceptibles
de auditar
Componentes
por evaluar
Riesgo por
componente
Clasif. del
riesgo por
Área
Área por
auditar
según clasif.
Administración
de informática
Direcciones y
niveles
ejecutivos
Misión y
objetivos
Organización
Servicios
Parámetros de
medición.
Seguimiento de
la función
informática por
la AD.
Comunicación e
integración
Apoyo a toma
de decisiones.
%
%
%
%
%
%
%
%
%
Secuencia
sugerida para
auditar cada
componente y
área según el
nivel de
riesgo
idem
Julio Rito Vargas Avilés
35. LOGO Matriz de riesgo
Áreas
susceptibles
de auditar
Componentes
por evaluar
Riesgo por
componente
Clasif. del
riesgo por
Área
Área por
auditar
según clasif.
Usuarios de
Informática
Control Interno
Informático
Comunicación e
integración.
Proyectos
conjuntos.
Administración
de recursos
informáticos.
Grado de
satisfacción.
Políticas y
procedimientos
%
%
%
%
%
%
%
Secuencia
sugerida para
auditar cada
componente y
área según el
nivel de
riesgo
idem
Julio Rito Vargas Avilés
36. LOGO Matriz de riego
Áreas
susceptibles
de auditar
Componentes
por evaluar
Riesgo por
Componente
Clasif. del
riesgo por
Área
Área por
auditar
según clasif.
Ciclo de
desarrollo e
implantación
de SI
Sistemas de
información
Metodología
Técnicas
Herramientas
Capacitación/ac
tualización
Planeación
Desarrollo
Operación
Soluciones de
mercado.
%
%
%
%
%
%
%
%
%
Secuencia
sugerida para
auditar cada
componente y
área según el
nivel de
riesgo
idem
Julio Rito Vargas Avilés
37. LOGO Matriz de riego
Áreas
susceptibles
de auditar
Componentes
por evaluar
Riesgo por
Componente
Clasif. del
riesgo por
Área
Área por
auditar
según clasif.
Mantenimiento
Redes
Telecomunicaci
ones
Hardware
Software
S. Información
Telecomunicacio
nes
Instalación
Operación
Operatividad y
Seguridad
Administración
Instalación
Operación y
Seguridad.
%
%
%
%
%
%
%
%
%
%
%
%
%
Secuencia
sugerida para
auditar cada
componente y
área según el
nivel de
riesgo
Idem
idem
Julio Rito Vargas Avilés
38. LOGO Matriz de riego
Áreas
susceptibles
de auditar
Componentes
por evaluar
Riesgo por
Componente
Clasif. del
riesgo por
Área
Área por
auditar
según clasif.
Hardware:
PC
Minicomputado
ras
Mainframes
Software:
paquetes de
uso
generalizado,
lenguajes de
programación.
SO, paquetes
de uso
específicos
Administración
Instalación
Operación y
Seguridad.
Administración
Legalización
Operatividad y
seguridad
Capacitación
%
%
%
%
%
%
%
%
%
Secuencia
sugerida para
auditar cada
componente y
área según el
nivel de
riesgo
Idem
Julio Rito Vargas Avilés
39. LOGO Matriz de riego
Áreas
susceptibles
de auditar
Componentes
por evaluar
Riesgo por
Componente
Clasif. del
riesgo por
Área
Área por
auditar
según clasif.
Seguridad
Planeación de
informática
Investigación
tecnológica
Hardware
Software y
aplicaciones
comunicaciones
Plan de
contingencia y
de
recuperación.
Metodología
Técnicas
Herramientas
Capacitación y
actualización
%
%
%
%
%
%
%
%
%
Secuencia
sugerida para
auditar cada
componente y
área según el
nivel de
riesgo
Idem
Julio Rito Vargas Avilés
40. LOGO Detección de riesgo
Circunstancias Riesgos
Software pirata • problemas legales
• mala imagen ante clientes y
proveedores.
• susceptible a virus
• falta de documentación
• sin soporte técnico del proveedor
Inexistencia de
metodologías o
informalidad en su
utilización(planeación,
desarrollo, etc.)
• Trabajo desarrollado según criterio de
cada individuo.
• Proyectos individuales y no de equipos
• Seguimiento nulo o informal a los
proyectos informáticos.
• Dependencia de personal que maneja
proyectos claves.
• Se trabaja en base en “inspiración”
Julio Rito Vargas Avilés
41. LOGO Detección de riesgo
Circunstancias Riesgos
Comunicación nula o
informal entre informática
y Alta dirección
• Proyectos cancelados
• Desconocimiento de los requerimientos
de negocio.
• Prioridades mal entendidas
• Recursos desperdiciados
• Incertidumbre entre el personal de la
empresa en objetivos comunes.
• Falta de compromiso de la alta dirección
• Estrategias y objetivos de negocio no
soportados por equipos de trabajo.
• Amigos distantes.
Otros detectados en el
diagnóstico
Julio Rito Vargas Avilés
42. LOGO Etapa de Adecuación
La etapa de adecuación o adaptación a las
características del negocio se enfoca en el análisis,
adecuación y actualización detallado de los
elementos que intervienen en un proyecto de
auditoría informática.
Esta etapa tiene por objetivo adaptar el proyecto de
auditoría a las características del negocio, tomando
en cuenta los estándares, políticas, procedimientos
de auditoría informática comúnmente aceptados.
Al terminar esta etapa el auditor informático
contará con un proyecto bien especificado y
clasificado.
Julio Rito Vargas Avilés
43. LOGO Etapa de Adecuación
Etapa Tareas Productos Resp. Involu-
crado
Adecuación Definir objetivos
del proyecto
Definir etapas
del proyecto y
sus detalles
Objetivos y
alcances del
proyecto.
Etapas y sus
tareas.
Plan actualizado.
Responsables e
involucrados.
Productos
terminados.
Revisiones
LP
AI/RAI
AI
AI
AI
AI
AI
RAI
LP
LP
LP
LP
LP
LP
Julio Rito Vargas Avilés
44. LOGO Etapa de Adecuación
Etapa Tareas Productos Resp. Involu-
crado
Adecuación Definir los
elementos por
auditar por área
de revisión.
Establecer
técnicas y
herramientas
por área de
revisión
Aspectos o
elementos a
evaluar por cada
área de revisión.
Técnicas
Software
Equipo de cómputo
Otros de interés
para el auditor
AI
AI
AI
AI
AI
LP
LP
LP
LP
LP
Julio Rito Vargas Avilés
45. LOGO Etapa de Adecuación
Etapa Tareas Productos Resp. Involu-
crado
Adecuación Definición o
actualización de
políticas por
área.
Elaboración o
actualización de
cuestionarios
por área.
Políticas y
procedimientos por
verificar de
acuerdo con cada
área que será
auditada.
Políticas
complementarias.
Cuestionario por
cada área que será
auditada.
Cuestionarios
adicionales
AI
AI
AI
RAI
LP
LP
LP
LP
Julio Rito Vargas Avilés
46. LOGO Etapa de Formalización
En esta etapa la alta dirección
da su aprobación y apoyo
formal para el desarrollo del
proyecto de A.I presentado
47. LOGO Etapa de Formalización
Etapa Tareas Productos Resp. Involu-
crado
Formalización Verificar
prioridades y
cursos de
acción
Verificar plan y
actividades
Presentación
formal del
proyecto
Prioridades
clasificadas.
Áreas por auditar
verificadas.
Etapas y sus tareas
Plan detallado final
Proyecto revisado
de la AI
LP
AI/LP
AI
RAI
RAI
LP
AD/PU/RI
Julio Rito Vargas Avilés
48. LOGO Etapa de Formalización
Etapa Tareas Productos Resp. Involu-
crado
Formalización Aprobación
formal del plan
de A.I.
Presentación
del proyecto a
los usuarios de
informática
Aprobación del
proyecto
Compromiso
ejecutivo
Inicio formal del
proyecto.
Entendimiento del
proyecto.
Aceptación del
proyecto
Compromiso para
cada una de las
áreas involucradas.
AD/PU/RI
AD
PI/PU
RI
PI/PU
PI/PU
RAI/LP
AD/PU/RI
AD/PU/PI
LP/AI
LP/AI
LP/AI
Julio Rito Vargas Avilés
49. LOGO Etapa de Formalización
Etapa Tareas Productos Resp. Involu-
crado
Formalización Definir las áreas
por visitar y
concretar citas
con el personal
que se
entrevistará
Fechas de
entrevistas.
Fechas de visitas
Fechas para
aplicación de
cuestionarios.
LP
LP
LO
PI/PU
PI/PU
PI/PU
Julio Rito Vargas Avilés
50. LOGO Etapa de Desarrollo
Ésta es la etapa cumbre para
el auditor informático porque
éste ejerce su función de
manera práctica. Ejecución del
plan AI.
51. LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-
crado
Desarrollo Concertar citas
Verificar tareas,
involucrados,
etc.
Clasificar
técnicas,
cuestionarios y
herramientas
por usar.
Ejecutar
entrevistas
Fecha aprobada o
actualizada
Tareas,
involucrados, etc.
revisados
Técnicas,
Cuestionarios y
Herramientas
clasificadas
Entrevistas
realizadas,
documentadas y
analizadas
AI
AI
AI/LP
AI/LP
PI/PU
PI/PU
PI/PU/AI/
RAI
PI/PU/AI/
RAI
Julio Rito Vargas Avilés
52. LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-
crado
Desarrollo Aplicar
cuestionarios
Efectuar visitas
de verificación
Elaborar
informe
preliminar
acerca de las
áreas auditadas
Cuestionarios
aplicados,
documentados y
analizados.
Visitas realizadas,
comentarios
documentados y
analizados.
Observaciones,
áreas de
oportunidad,
alternativas por cada
área de oportunidad,
recomendaciones
por alternativas etc.
AI
AI
AI/LP
AI
LP
LP
LP
Julio Rito Vargas Avilés
53. LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-
crado
Desarrollo Revisar el
informe
preliminar por
área.
Autorizar el
borrador del
informe
preliminar.
Efectuar
entrevistas,
cuestionarios y
visitas
complementarias
Borrador de A.I
revisado
Informe preliminar
revisado, corregido,
entregado,
autorizado.
Entrevistas,
cuestionarios y
visitas pendientes
realizadas. Informe
actualizado con
observaciones,
acciones, etc.
LP
AI
LP/AI/
PU/PI
LP/AI
RAI/AI
LP/AD/PU
PI/PU
Julio Rito Vargas Avilés
54. LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-
crado
Desarrollo Elaborar informe
final
Informe final
revisado con
información de las
áreas auditadas.
Informe con VoBo
del RAI
Informe final
digitalizado.
Documentación para
la AD.
Documentación del
informe para RI y PI
AI
RAI
AI
LP/AI
AI
LP
LP/AI
AI
RAI
LP
Julio Rito Vargas Avilés
55. LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-
crado
Desarrollo Elaborar un plan
de implantación
general de
acciones
sugeridas.
Aprobar informe
y plan de
implantación
Acciones clasificadas
por plazos
sugeridos.
Costo/Beneficio del
plan.
Informe de AI y plan
de implantación
aprobado
AD/RI/P
U
RAI
LP/AI
RAI
AD/RI/LP
RAI/LP/PI
Julio Rito Vargas Avilés
56. LOGO Etapa de Desarrollo
Etapa Tareas Productos Resp. Involu-
crado
Desarrollo Presentación del
informe de AI y
del plan de
implantación.
Aprobar informe
final.
Informe final
presentado a la
dirección.
Informe final
presentado a PU y PI
Revisión del informe
de AI
Aprobación del
informe AI
Compromiso
ejecutivo.
RAI
LP/AI
AD/RI/PU
AD/RI
AD/RI
RAI/LP
AD/RI/PI
RAI/LP/PI
RAI/LP/P
U
RAI/PU
Julio Rito Vargas Avilés
57. LOGO Etapa de Implantación
En esta etapa del proyecto la
labor el AI se convierte así, en
una labor de seguimiento y
control.
58. LOGO Etapa de Implantación
Etapa Tareas Productos Resp. Involu-
crado
Implantación Definir
requerimientos
para el éxito del
plan de
implantación.
RRHH, tecnológicos
y financieros
requeridos para el
éxito de la
implantación
sugerida por AI.
Recursos aprobados
Personal de trabajo
para la implantación.
Equipo de trabajo
aprobado.
Funciones y
responsabilidades
Fechas de revisión
Resultados esperados
Análisis C/B revisado
Inicio de la
implantación.
RI/PU
AD
RI/PU
AD/RI
RI/PU
RI/PU
LP
RI/PU/LP
LP
LP
LP
LP/AI
LP
Julio Rito Vargas Avilés
59. LOGO Etapa de Implantación
Etapa Tareas Productos Resp. Involu-
crado
Implantación Desarrollar el
plan de
implantación
detallado
Plan de implantación
revisado según los
resultados de la
primera tarea.
Plan de implantación
corregido y
actualizado.
Documentar plan
final.
Plan final aprobado.
PI
RI
AD
AD/RI
LP
RI/PU/LP
RI/PU/LP
RI/PU/LP
LP
Julio Rito Vargas Avilés
60. LOGO Etapa de Implantación
Etapa Tareas Productos Resp. Involu-
crado
Implantación Efectuar la
implantación
sugerida por AI
Seguimiento a la
implantación del
plan
recomendado por
la AI
Inicio de los
proyectos.
Tareas terminadas
Presentación de
implantación.
Implantación
aprobada.
Acciones de
seguimiento
seleccionadas.
Seguimiento de la
implantación.
Revisiones informales
Revisiones formales
Aseguramiento de la
calidad.
Implantación exitosa
final y aprobada
PI/PU
PI/PU
RI
AD/RI
LP
RAI
RI
RI
RI/RAI/LP
RAI/AI
RAI
Julio Rito Vargas Avilés
61. LOGO Proceso Metodológico de la A I.
Requisitos para el éxito del proceso
metodológico:
Aprobación de la metodología por la Alta Dir.
Adecuación de la metodología a los requerimientos
específicos del negocio
Documentación o actualización de la metodología.
Capacitación formal en el uso de metodología (de
acuerdo con el perfil y nivel de participación de cada
individuo involucrado)
Verificación del uso formal de la metodología en cada
proyecto.
Capacitación formal para el personal de nuevo ingreso
o cuando se lleven a cabo actualizaciones relevantes
a la metodología.
Julio Rito Vargas Avilés
62. LOGO Proceso Metodológico de la A I.
Métodos, técnicas y herramientas por Area
de revisión:
La AI depende de un conjunto de factores
interrelacionados. Conjugar y combinar
eficientemente estos factores brindará el
aseguramiento de resultados satisfactorio por
parte del desempeño de los AI.
Dominio de los conceptos técnicos y administrativos.
Relacionados con la AI.
Habilidades inherentes a la auditoría en informática.
Normas personales.
Entendimiento de la AI y sus tendencias.
Julio Rito Vargas Avilés
63. LOGO Proceso Metodológico de la A I.
Adaptación o actualización según el medio dominante.
Administración formal de la AI en el negocio.
Involucramiento formal en los procesos de planeación
del negocio, informática y de la auditoría tradicional.
Desarrollo de un proceso formal de planeación de AI
Entendimiento y aplicación de un proceso
metodológico formal de la auditoría en informática.
Vocación profesional por la AI (es un requisito moral,
no una política organizacional)
Julio Rito Vargas Avilés
64. LOGO Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos
Auditoría de la gestión informática: Referido a la
contratación de bienes y servicios que brinda por informática,
unciones, control interno informático, estructura, relaciones
con AD y PU, documentación de los programas, etc.
Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos, respaldo y
recuperación.
65. LOGO Tipos de Auditoría informática
Auditoría informática de sistemas: revisión de los sistemas
de información actuales, tanto a nivel hardware como
software, con objeto de descubrir potenciales puntos de
mejora y determinar en qué modo debería actuarse para
mejorar tanto éstos como otros aspectos.
Auditoría informática de explotación: revisión de todos los
procesos encargados de producir resultados, entre ellos la
captura de la información, los sistemas hardware de
explotación, los recursos humanos de explotación y otros.
Auditoría informática de comunicaciones: revisión de la
topología de Red y determinación de posibles mejoras, análisis
de caudales y grados de utilización.
66. LOGO Tipos de Auditoría informática
Auditoría informática de desarrollo: revisión del proceso
completo de desarrollo de proyectos por parte de la empresa
auditada. El análisis se basa en cuatro aspectos
fundamentales: revisión de las metodologías utilizadas, control
interno de las aplicaciones, satisfacción de los usuarios y
control de procesos y ejecuciones de programas críticos.
Auditoría informática de seguridad: abarca los conceptos
de seguridad física y seguridad lógica. La seguridad física se
refiere a la protección del hardware y de los soportes de datos,
así como a la de los edificios e instalaciones que los albergan,
contemplando las situaciones de incendios, sabotajes, robos,
catástrofes naturales, etc.