V.

PLANEACIÓN

1. Proceso de planeación del negocio.

2. Proceso de planeación en informática.
3. Proceso de planeación de la auditoría.
4. Proceso de planeación de la auditoría en
informática.
 Planeación
• La función de auditoria en informática debe
generar un plan de proyectos que justifique su
trabajo durante cierto tiempo, con parámetros lo
más tangibles y mensurables posibles.

• Cada proyecto de AI respalda los objetivos y

requerimientos de tres entidades del negocio en
alto o bajo grado: Alta Dirección, Auditoria e
Informática.
• Es muy importante la comunicación entre la
función de auditoria en informática y la alta
dirección, así como las direcciones o gerencias de
auditoria o informática.

• Para elaborar un plan maestro de auditoria que

asegure un apoyo permanente y eficiente, se debe
tener en cuenta:
- Crear un comité de control y seguimiento
- Analizar los proyectos de negocio en forma conjunta.
- Establecer fechas de reuniones formales e informales
 5.1 Proceso de Planeación del Negocio

• Este proceso consiste en establecer las metas y

cursos de acción del negocio, a través de
entrevistas y del análisis detallado de cada uno de
los procesos básicos de la organización:
– Empresa manufactura (producción, ventas, rr. hh., ó
administración).
– Institución bancaria (créditos, ahorros y RR.HH.).
– Otras empresas con giros bien definidos.
• Cualquier entidad privada o pública de distintos
tamaños y estructura organizacional debe
formalizar el plan del negocio, ya que aquí se
define el rumbo del mismo.

• Los proyectos que se deriven de este proceso

deben contemplar que:
– Es un proceso que involucra todas las áreas del negocio.
– Se evalúa el medio externo en sus diferentes entornos.
– Se apoya en asesores externos o especialistas del negocio.
– Detecta fortalezas, debilidades y oportunidades.
– Determina amenazas que representa la competencia.
– Determina metas y estrategias del negocio.
– Los proyectos se establecen a corto, mediano y largo plazo.
– Es aprobado por los accionistas o dueños del negocio.
– Etc.
 Tareas básicas del proceso de planeación del negocio
y responsabilidades
Actividad Responsable de Responsable de Comentarios
ejecución seguimiento
Determinación de las Gerente o Alta dirección o FODA, y proyectos
áreas de oportunidad coordinador de director de de cada área del
para el negocio. planeación planeación negocio.

Elaboración del plan Gerente o Alta dirección o Cada proyecto

del negocio coordinador de director de justifica su inversión
planeación planeación

Presentación del plan Director o gerente Accionistas o alta Se realice al inicio

a los accionistas o de planeación dirección del negocio del periodo fiscal y
director general se autoriza
formalmente
Ejecución del plan de Gerente o Alta dirección o Cada área ejecuta los
negocio coordinadores de gerente de proyectos
cada área o proceso planeación
básico del negocio.
• El periodo de elaboración o actualización del plan
de negocio depende de las estrategias y
formalidades que tenga este proceso en cada
negocio.

• Se recomienda que, después de haber sido

aprobado de manera formal por los accionistas, se
ejecute con eficiencia y se actualice al menos cada
año; esta actualización debe estar de acuerdo con
las estrategias y metas del negocio y autorizada
por la alta dirección.
5.2 Proceso de Planeación en informática

• Consiste en definir los proyectos relacionados

con el área de informática, en tiempos a corto,
mediano y largo plazo. Cada proyecto debe
estar orientado a las metas y estrategias
especificas del negocio.
 Tareas básicas del proceso de planeación en
informática y responsabilidades
Actividad Responsable de Responsable de Comentarios
ejecución seguimiento
Determinación de las Coordinador o Director o gerente de Las áreas se derivan
áreas apoyadas por Supervisor de informática del plan de negocios
informática planeación de
informática
Elaboración del plan Coordinador o Director o gerente de Involucrarse en cada
de informática Supervisor de informática tarea
planeación de
informática
Presentación del plan Director o gerente de Alta dirección del Verificar el análisis
a la alta dirección informática negocio costo-beneficio de
cada proyecto

Ejecución del plan de Funciones de Gerente o Funciones hechas

auditoria informática: Supervisores por el mismo
Desarrollo, personal o externos
investigación, otros
 Proceso de la Planeación de la
Auditoria
• Definir un conjunto proyectos de evaluación y verificación
de políticas, controles y procedimientos inherentes a las
áreas administrativas, financieras, operativas, etc. del
negocio, con objeto de asegurar el buen manejo y
administración de los recursos de la organización.

• En el negocio, los diferentes planes emanados del plan de

auditoria son implantados y llevados a cabo en diferentes
periodos, de acuerdo con los requerimientos y
características del negocio.
 Proceso de Planeación de la
Auditoria
• Los negocios deben tener un conjunto de políticas
emanadas por la alta dirección que manifiesten la
necesidad de contar con una función externa o interna del
negocio que asegure la congruencia de todos lo estados
financieros y contables con las operaciones y transacciones
que se realicen en la empresa.
• Esta función ha de ser un área de control y aseguramiento,
entidad independiente y capacitada.
• La función de auditoria se ocupa de la planeación,
ejecución y seguimiento de las políticas, controles y
procedimientos establecidos por la alta dirección.
 Tabla 5.3 Tareas Básicas del Proceso de
Planeación de Auditoria y Responsabilidades
 Proceso de Planeación de la
Auditoria Informática
• Definición y formalización de proyectos.
• Actividades desarrolladas por el Auditor de
Informática.
• Asegurar la calidad y el control de los diferentes
elementos que se encuentran relacionados de
manera indirecta con los recursos de informática.
 Tabla 5.4 Tareas Básicas del proceso de planeación de
auditoria en informática y responsabilidades
Actividad Responsable de Ejecución Responsable del
Seguimiento

Determinación de las áreas Coordinador o supervisor Director o Gerente de

por auditar en el negocio de auditoria en informática auditoria en Informática

Elaboración del Plan en Coordinador o supervisor Director o Gerente de

Auditoria Informática de auditoria en informática auditoria en Informática

Ejecución del Plan en Director o Gerente de Alta Dirección del Negocio

Auditoria en Informática auditoria en Informática

Presentación del Plan a la Supervisor o auditores de Gerente o supervisores de

alta dirección Informática (externos o la función de auditoria en
internos) informática
 Proceso detallado de la planeación de
Auditoria Informática
• Depende del diagnóstico previo que haga el auditor en
informática de la situación que prevalece en cada una de
las áreas o servicios de la función de informática.

• El diagnóstico de la situación informática previo, deberá

ser breve y objetivo.

• El objetivo principal es determinar las áreas de mayor

riesgo de la función de informática con base a diferentes
criterios.
 Actividades sugeridas para el
proceso

• Elaboración, Documentación, Autorización y Difusión

Formal del Plan de Auditoria en Informática.

• Identificar el nivel de Riesgo de cada uno de los

elementos que integran la función de informática
(diagnóstico de la situación actual).

• Las áreas a ser diagnosticadas pueden variar de acuerdo

al tamaño y estructura del negocio.
 Actividades sugeridas para el
proceso
• Algunos Servicios:
– Sistemas de Información en operación.
– Administración de Hardware y software.
– Desarrollo de Sistemas de Información.
– Soporte a Usuarios (capacitación, asesoría, etc.)
– Administración de Telecomunicaciones.
– Investigación y desarrollo tecnológico.
– Otros.
 Actividades sugeridas para el
proceso
Consideraciones a tener en cuenta para efectuar el diagnóstico
de la situación actual:

– El auditor en informática ha de conocer de manera

aceptable los aspectos relativos a auditoría e
informática que deben tener cada una de las áreas de
Informática.

– Se apoyará en la visión de los principales Usuarios

del negocio y del responsable de Informática.
 Diagnostico de la Situación actual de los SI
en Operación.
Manera de llevar el diagnostico:
• Obtener una lista de los principales SI y de sus usuarios
principales.

• Obtener comentarios positivos y negativos de los usuarios de

cada SI.

• Registrar fallas más comunes del Sistema de computo.

• Anotar fecha de liberación de Sistemas y su última auditoría.

• Revisar la configuración del equipo donde fue instalado.

• Se estudia su integración a otros SI.

• Evaluar otros aspectos de interés del auditor.

 Debilidades que pueden motivar la
Auditoria de un SI

• Primero: Que el sistema no haya sido

liberado formalmente, lo que ocasiona
desconocimiento.

• Segundo: Que el sistema nunca haya sido

auditado, esto sugiere una auditoria
inmediata, intermedia o final.
 Clasificación del Nivel de Riesgo que
Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un ambiente

tecnológico confiable, seguro y eficiente.

• Equipos o Paquetes de Sw.

• Mantenimiento de la tecnología del Equipo y Sw.

• Diversos factores motivan la intensidad de la auditoria de

Hw.
 Evaluación del nivel de Riesgo que
representa el uso inadecuado de Productos
y Servicios

• Se refiere al grado de conocimiento sobre uso de

servicios, Sw y equipos.

• Información de apoyo: Organigramas, descripción de

puestos y políticas relacionadas a productos y
servicios de informática.

• Se debe determinar el grado de confianza del usuario

con el manejo del sistema, paquetes de Sw y equipos.
Otros Aspectos: Telecomunicaciones, redes,
automatización de procesos.

• Estos se evalúan en base a estándares

internacionales.

• Considerar la proyección de uso que piensa darle

el negocio a corto, mediano y largo plazo.

• Tener en cuenta comentarios de personal

especializado en el área.
Clasificación de Riesgos según criterios de
la Función de Auditoria en Informática

• Cumplimiento de Estándares.

• Cumplimiento formal de políticas y procedimientos.

• Grado de Satisfacción: Alta Dirección y personal

usuario.

• Prioridades de la alta dirección.

• Prioridades de la función de auditoria en informática.

• Otros de interés del auditor.

Elaboración de una matriz de Riesgos

• Muestra las áreas de la función de informática

susceptibles de auditoria.

• Resultados en forma descendente.

• Entidades o áreas con mayor y menor riesgo.

 Elaboración de un Plan consolidado de
Proyectos.
Considera:

• Fechas de inicio y final de cada Auditoria.

• Etapas de cada auditoria.

• Tareas principales de cada etapa.

• Equipo de Trabajo (auditor, representantes, …)

• Requerimientos (recursos, apoyo, capacitación, ...)

 Revisión de la Matriz de Riesgos

• Pronosticar proyectos de auditoria en informática con la

gerencia.

• Visto bueno antes de presentarlo a la alta dirección.

Se cubren los siguientes Aspectos:

• Área por auditar, prioridad, Fechas de inicio y final,

involucrados, responsables, fechas de revisión y otros.
Presentación del plan de proyectos a la alta
dirección.
Tiene como finalidad:

• Conocer los proyectos de auditoria informática.

• Verificar contemplación de áreas fundamentales.

• Compromiso de la alta dirección con los auditores.

•Obtener la aprobación del plan de auditoria en informática

por parte de la alta dirección.
 Realización de cada proyecto de acuerdo
con el plan de Auditoria en Informática.

• Ejecución de actividades de seguimiento.

• Revisión formal de cada proyecto.

 Integración y formalización de
Equipos de trabajo.
Equipos Integrados por:

• Gerente (s) de las áreas usuarias que se evaluarán.

• Gerente de la Función de Informática.

• Líder del proyecto de la función de AI.

 Planeación
• Proceso de Planeación, pilar de todas las
actividades que se ejecutan en la organización
• Pérdidas Irreparables - Decepciones
• “Planear es una pérdida de tiempo y un
recipiente de buenos deseos”.
• Si no se planea el trabajo, es lógico pensar que
tampoco se planean las anomalías y
decepciones que dicho trabajo acarreará.
 Planeación
• Problema, proyectos mediano-largo plazo:
• Falta de definición de función,
responsabilidad, tiempos ni resultados.
• “Dejemos de depender de la buena suerte”
• No se vive de buenos deseos sino de metas
claras, medibles y factibles.
• Principal Beneficio: Poder asegurar, con alto
grado de credibilidad, cuánto invertir y cuánto
se obtendrá de beneficio; plazos claros y
establecidos.
 Planeación
• Un proceso formal contiene los siguientes elementos:
– Etapas
– Tareas
– Actividades
– Costos/Beneficios
– Resultados esperados por actividad, tarea y etapa
– Responsables de cada actividad ó tarea
– Involucrados ó participantes
– Revisiones Formales e informales
– Técnicas para ejecutar actividades
– Herramientas para realizar las actividades del proyecto
 Planeación
• Requisitos mínimos para que la planeación en
auditoría informática sea formal, permanente y
exitosa:
– Involucramiento directo del auditor en
informática en el proceso de planeación
estratégica
– Requerimientos
– Tiempos
– Prioridades de cada proyecto
– Compromiso del responsable de auditoría para
implementar un esquema de control y seguridad
preventivo y completo.
 Planeación
• Participación en el proceso de planeación de
auditoría tradicional, para hacer control y
medidas correctivas.
• Beneficios de la participación, supresión:
– Riesgos de no planear la auditoría
– Responsables de tareas inadecuados
– Falta de compromiso de los involucrados en el
proyecto
– Aparición de costos imprevistos
– Retrasos en la obtención de beneficios
– Mala calidad en los resultados
– Rotación del personal clave
– Inadecuada segregación de tareas y actividades,
 Aprobación formal de la Alta Dirección del
informe final de la Auditoria en Informática
realizada

• Se dará seguimiento oportuno y formal a cada una de las

recomendaciones contempladas en el informe.

• Aplicación de Políticas y controles estandarizados

internacionalmente.

• Implantación del proceso de planeación de auditoria en

informática, permanente.
 Tabla 5.5 Tipo de proyectos con responsables e
involucrados sugeridos
Tipo de Proyectos Responsables Involucrados
Negocio
Adquirir empresas Accionistas Gobierno, asesores
Reducción de costos Directores Gerencias, asesores

Reingeniería Accionistas, directores Asesores, gerencias,

clientes y proveedores
Informática

Automatización de Informática Proveedores, áreas

oficinas usuarias
Red Local Informática Proveedores, usuarios
de la red
Desarrollo de sistemas Informática Áreas usuarias,
asesores
Tipo de Proyectos Responsables Involucrados
Auditoría
Financiera Auditores internos o Áreas de la empresa
externos
Fiscal Auditores internos o Áreas de la empresa
externos
Operativa Auditores internos o Áreas de la empresa
externos
Auditoría en informática

Auditoría a sistemas de Auditores en informática Informática, usuarios de

información internos o auditores los sistemas de
externos información
Auditoría en seguridad Auditores en informática Informática, áreas usuarios
internos o auditores de los recursos de
externos informática
Auditoría en el Auditores en informática Áreas de operación
mantenimiento de Hw y Sw internos o auditores informática y áreas
externos usuarias
 VI. METODOLOGIA PARA EL
DESARROLLO E
IMPLANTACION DE LA
AUDITORIA EN INFORMATICA
Metodologías para el Desarrollo e Implantación
de la Auditoría en Informática

Experiencia

conocimientos

habilidades

Metodología
 Proceso Metodológico de la Auditoría en
Informática

Ventajas
Eliminación de Informalidad

Obtención de procesos de calidad

Mejor Administración

Mejor Comunicación

Facilidad de Seguimiento
 Proceso Metodológico de la Auditoría en
Informática

Requisitos de Éxito

Adecuación a requerimientos del negocio

Capacitación en
la metodología

Planes AI
acordes

Comprobación de uso
 Estratégia para implantar un proceso
metodológico de Auditoría en Informática
Preliminar (Diagnóstico) Justificación
- Negocio - Areas a Auditar Revisión Informal
- Informática - Plan propuesto

Adecuación Formalización
- Métodos - Aprobación Revisión Formal
- Técnicas - Arranque
- Herramientas

Desarrollo
- Entrevistas - Recomendaciones
- Visitas - Informe de auditoría
Aprobación Formal
- Observaciones

Implantación
- Acciones Preventivas y Correctivas
- Seguimiento
Proceso metodológico general de la Auditoría en
Informática
 Métodos Técnicas y herramientas
por área de revisión (i)
Factores que aseguran resultados satisfactorios de la AI:

• Dominio de los conceptos técnicos y administrativos

relacionados.
• Habilidades inherentes a la AI.
• Entendimiento de la AI y sus tendencias.
• Adaptación o actualización según el medio dominante.
• Organización y administración formal de la AI en el negocio.
• Involucramiento formal en el proceso de planeación del
negocio informática y de la auditoría tradicional.
• Desarrollo de un proceso formal de planeación de AI.
 Métodos Técnicas y herramientas
por área de revisión (ii)
• Entendimiento y aplicación de un proceso metodológico
formal de la AI.
• Gusto e identificación profesional por la carrera de AI.
• Participación formal, en asociaciones, instituciones
educativas, etc., con fines de actualización o de compartir
las experiencias profesionales en el campo de la AI.
• Entendimiento satisfactorio de los métodos, técnicas y
herramientas necesarios para auditar las áreas
seleccionadas en el proceso de planeación de la AI.
• Otras de acuerdo a la organización
 Resumen
Objetivos de la metodología de AI

• Definir clara y detalladamente los requerimientos y condiciones que

justifiquen cada proyecto .
• Las debilidades o carencias de políticas y procedimientos existentes en
las áreas relacionadas con informática que generen necesidades de una
auditoria.
• Responder a una solicitud expresa de la alta dirección para auditar la
función de informática en alguno de sus componentes
• Definir etapas o secuencias del proyecto (evaluación preliminar,
adecuación, justificación, formalización, desarrollo, implantación)
• Especificar funciones y responsabilidades del personal que participará
en los proyectos de AI (usuarios, lider, personal apoyo y auditor).
• Definir técnicas y herramientas mínimas para cada etapa del proyecto
de AI (muestreos, entrevistas, cuestionarios, inspección, observación,
documentación, sw de auditoría, análisis de procesos de negocios,
análisis de sistemas, lenguajes de programación, paquetes y equipos de
computo).
 Resumen
Herramientas de la metodología de AI

• Auditorias periódicas establecidas en la empresa formalmente.

• Auditorias emanadas de manera excepcional de factores no
considerados en el plan de auditoria en informática desde el inicio.
• Actividades de apoyo a la auditoria tradicional en la revisión de
sistemas de información, aspectos de seguridad, etcétera

Los elementos que intervienen en cada proyecto que vaya a

ejecutar el auditor en informática deberán orientarse a
integrar tanto los aspectos metodológicos, como los recursos
humanos, económicos y materiales.
ETAPA PRELIMINAR
ó
Diagnóstico de la
Situación Actual.
 Diagnóstico del negocio: alta
dirección y áreas usuarias
• Primer paso práctico para estimar el grado de
satisfacción de la alta dirección en los productos,
servicios y recursos de informática del negocio
(fortalezas, aciertos y apoyo).
• Identificar las áreas de oportunidad de la informática
para hacer más competitivo y rentable el negocio.
• Entender los puntos fuertes y débiles de la función
informática, desde el punto de vista de la alta
dirección y de los usuarios clave.
 Tareas, productos terminados,
responsables e involucrados
Etapa Tareas Productos Responsable Involucrados

Diagnóstico 1. Diagnóstico de 1.1 Misión y objetivos del negocio LP/RAI AD

preliminar negocio 1.2 Organización de informática LP/RAI AD
1. 3 Grado de apoyo al negocio LP/RAI AD/PU

2. Diagnóstico de 2.1 Misión y objetivos de la LP/RAI RI

Informática función de informática RI
2.2 Organización de informática LP/RAI RI/PI
2.3 Control LP/RAI RI
2.4 Productos y servicios LP/RAI

3. Detectar áreas de 3.1 Área de oportunidad para LP/RAI AD/PU/RI

oportunidad mejoras inmediatas

Nomenclatura: AD alta dirección; PU personal usuario; RI responsable del área de informática;

PI personal de informática; RAI= responsable del área de auditoría en informática;
LP lider del proyecto de auditoría en informática; AI auditor de informática.
Conocimiento del negocio
El Auditor en informática debe conocer el tipo de
organización, y nivel jerárquico de la función
informática, los procesos básicos del negocio y las
entidades externas relacionadas.
Aspectos relevantes a considerar:
-Misión del negocio
-Áreas o proceso del negocio
-Organigrama
-Relación entre las áreas
-Relación con las áreas externas
-Políticas referentes a informática
-Otros
Apoyo al negocio
Obtener una idea global del grado de apoyo y satis-
facción que existe en el negocio y de la orientación de
la función informática: Apoyo a alta dirección (SI
estratégicos), apoyo a las gerencias (SI integrales),
apoyo a niveles operativos (SI transaccionales)
Aspectos a conocer:
-Participación de la función informatica en los pys. clave
-Difusión de las políticas y planes informáticos en los niveles
del negocio
-Imagen de informática ante la alta dirección y los
responsables de área
-Grado de satisfacción y expectativas
-Fortalezas y debilidades de informática
-Áreas de oportunidad
-Otros
Áreas de oportunidad
Detección de las características que facilitarán la
implantación de soluciones informáticas de relevancia
para el negocio
Proponer acciones que redunden el beneficios
directos para la alta dirección (a corto, mediano ó
largo plazo).
Aspectos a considerar:
-Reubicación de la función informática en la estructura
organizacional
-Actualización tecnológica
-Sistematización de algunas áreas de negocio
-Formulación/Divulgación de políticas y planes informáticos
-Otros
 Diagnóstico de informática:
responsables de la función
CONOCIMIENTO DE LA FUNCIÓN DE
INFORMATICA
-Estructura interna de informática
-Funciones
-Objetivos
-Estrategias
-Planes
-Políticas
-Otros
SERVICIOS

-Implantaciones de soluciones de información

-Evaluación, adquisición, instalación, mantenimiento
y reemplazo de H&S
-Mantenimiento
-Soporte a usuarios
-Investigación
-Otros
ASPECTOS DE CONTROL

-Políticas y procedimientos de organización de la

función informática.
-Descripción de puestos y funciones
-Evaluación de desempeño
-Políticas y procedimientos para el desarrollo e
implantación de sistemas
-Políticas y procedimientos de seguridad
-Políticas y procedimientos de mantenimiento
-Plan de contingencias
-Otros
AREAS DE OPORTUNIDAD
Capacitación o actualización profesional del personal de
informática.
-Creación y difusión de nuevos servicios de informática al
negocio
-Reubicación de la función informática en la estructura
organizacional
-Capacitación a los niveles ejecutivos o a los usuarios clave
acerca de las aplicaciones instaladas
-Actualización tecnológica
-Sistematización de algunas áreas de negocio
-Creación de algún comité de informática
-Formalización y divulgación de políticas y planes de
informática en el negocio
-Otras
 ETAPA DE
JUSTIFICACION