Escolar Documentos
Profissional Documentos
Cultura Documentos
Cap. 8
ETAPA DE JUSTIFICACIÓN
ETAPA DE JUSTIFICACIÓN
ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA
Existen muchas razones para que un auditor
De SI tome en cuenta las áreas de oportunidad
expresadas por la alta dirección, usuarios
clave y el responsable de informática :
ETAPA DE JUSTIFICACIÓN
ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA
ETAPA DE JUSTIFICACIÓN
ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA
ETAPA DE JUSTIFICACIÓN
Áreas de oportunidad
• Elaboración, formalización y difusión de
políticas y procedimientos de informática
(funciones, servicios, técnicas, herramientas
de productividad)
• Elaboración o adquisición del plan de
contingencias para informática.
• Evaluación del hardware. (compatibilidad, tipo
de uso y aprovechamiento)
• Evaluación del software.
• Evaluación y selección de hardware y software de
acuerdo a políticas del negocio.
• Apoyo a informática con un enfoque de seguridad,
calidad y control.
• Apoyo a auditorías en la implantación de los
controles y procedimientos de un SI próximo.
• Apoyo a auditorías con un enfoque de seguridad,
calidad y control.
Algunos proyectos de oportunidad vistos en la etapa
preliminar serán realizados por la función de
informática ú otras áreas, no por la auditoría en
informática.
Proyectos que son responsabilidad de
informática.
• Diseño, instalación y mantenimiento de una red de
comunicaciones.
• Investigación de tecnología (hardware, software,
etc.)
• Capacitación en el uso de metodologías de desarrollo
de sistemas.
• Capacitación en el uso de nueva tecnología de
informática en el negocio.
• Mantenimiento de hardware
• Actualización de software
• Desarrollo e implantación de sistemas.
• Soporte a usuarios.
Proyectos que son responsabilidad de auditorías
financieras, operativas, administrativas.
• Elaboración y difusión de políticas y procedimientos
de control interno.
• Evaluación del cumplimiento formal del control
interno.
• Auditoría a sistemas de información (contabilidad,
inventarios, inversiones, etc.)
• Establecimientos de control y procedimientos
operativos a sistemas de información antes de
implantarse.
DETECCIÓN DE RIESGOS
Matriz de riesgos, justificación por área de
revisión.
Objetivo:
Detectar las áreas de mayor riesgo en relación
con informática y que requieren una revisión
formal y oportuna.
Debilidades que pueden motivar la auditoría SI.
ETAPA DE JUSTIFICACION
EVALUACIÓN DEL NIVEL DE RIESGO QUE REPRESENTA EL USO
INADECUADO DE LOS PRODUCTOS Y SERVICIOS POR EL
PRESONAL DE INFORMÁTICA Y USUARIOS DENTRO DE LA
ORGANIZACIÓN.
Esto se refiere básicamente al grado de
conocimiento que posee sobre el uso de los
servicios, software y hardware, los puntos que
pueden servir para la auditoría son los
organigramas la descripción de los puestos,
procedimientos y políticas que se relacionan
con los productos y servicios de informática.
CLASIFICACIÓN DE LOS RIESGOS SEGÚN CRITERIOS
ESTABLECIDOS POR LA FUNCIÓN DE AUDITORÍA DE SI
ETAPA DE JUSTIFICACION
ELABORAR UNA MATRIZ DE RIESGOS Y PRONÓSTICOS DE
PROYECTOS DE AUDITORÍA DE SI CON LA
GERENCIA O DIRECCIÓN A LA QUE REPORTA
DIRECTAMENTE LA FUNCIÓN DE AUDITORÍA SI
ETAPA DE JUSTIFICACION
REVISION DE LA MATRIZ DE RIESGOS Y PRONÓSTICOS
DE PROYECTOS DE AUDITORÍA DE SI CON LA
GERENCIA Y DIRECCIÓN A QUE REPORTA DIRECTAMENTE
LA FUNCIÓN DE AUDITORÍA DE SI
Áreas susceptibles de Aspectos o componentes Riesgo por componente Clasificación del riesgo por Área por auditar según
auditar por evaluar del área área clasificación
Áreas susceptibles de Aspectos o componentes Riesgo por componente Clasificación del riesgo por Área por auditar según
auditar por evaluar del área área clasificación
Áreas susceptible Aspectos o componentes por Clasificación del riesgo por Área por auditar según
de auditoria evaluar del área. Riesgo por componente área (Total) clasificación.
1.- Metodologías.
secuencia sugerida por
2.- Técnicas. %
% auditar cada
Plantación de 3.- Herramientas.
% componente y área
informática 4.-
% según el nivel de
capacitación/actualizació
riesgo estimado.
n.
ETAPA DE JUSTIFICACIÓN
Aspectos relevantes
Identificación del nivel de riesgos de cada uno de los
elementos que integran la función de informática en el
negocio a través del diagnóstico de la situación actual de
informática.
Las áreas que serán diagnosticadas varían según el tamaño y
estructura del negocio, originando que el ASI.
Evalúe con un enfoque centralizado o descentralizado, según
el caso.
Clasificación de los riesgos según criterios establecidos por la
función de auditoria en informática.
Cumplimiento de estándares comúnmente aceptados a nivel
nacional e internacional.
Cumplimiento formal de políticas y procedimientos.
Grado de satisfacción de la alta dirección y del personal
usuario.
Prioridades de la alta dirección / prioridades de la función de
informática.
• El auditor debe utilizar todos los parámetros de
medición y evaluación posibles sin caer en un análisis
detallado, ya que aquí sólo se trata de detectar la
problemática principal de cada área.
• Si surgen anomalías de consideración importante de
algún elemento evaluado, se debe tomar acciones
inmediatas orientadas a eliminarlas o al menos
minimizarlas.
• Determinar el nivel de riesgos que existe en cada
área de la función de informática: cada área,
producto o servicio de informática es susceptible de
evaluación y control para asegurar que se desarrolle
de acuerdo con los estándares, políticas y
procedimientos específicos que le han sido asignados
de acuerdo con su función
Consideraciones que se deben de
tomar en cuenta al elaborar la
matriz de riesgos
• Aspectos (componentes o elementos) por
evaluar
• Políticas y procedimientos recomendados
• Técnicas y herramientas requeridas para su
revisión.
• Cuestionarios por cada aspecto(subárea)
por evaluar.
• Clasificar cada área y sus componentes por
nivel de riesgos(LP,AI,U,AD)
• Dar prioridades a cada área de revisión de
acuerdo con el nivel de riesgos o por
factores específicos mencionados por AD ú
otros.
• Justificar cada una de las áreas
seleccionadas por auditar.(debe basarse
por el nivel de riesgo que representa, de
acuerdo a prioridades establecidas por los
involucrados de alto nivel o a solicitud
expresa de la AD o Informática
Actividades principales del auditor SI
• Estimar el tiempo necesario para auditar cada área
determinada en la matriz de riesgo.
• Analizar y definir los aspectos o componentes mas
relevantes que de evaluaran.
• Asignar prioridades a cada área por evaluar o revisarlas
con los principales involucrados.
• Definir fechas estimadas de inicio y terminación por
área de revisión, no por componente.
• Definir responsables e involucrados directos por etapa
del proyecto.
Plan general del proyecto de auditoría
SI
• Consiste en plantear las tareas más importantes que
se ejecutarán durante cierto periodo al efectuar la
auditoría SI.
ETAPA DE JUSTIFICACIÓN
PLAN GENERAL DEL PROYECTO DE AUDITORÍA EN INFORMÁTICA.
ETAPA DE JUSTIFICACIÓN
Las actividades principales del auditor de SI o del líder del proyecto para que estos
elaboren el plan general son al menos las siguientes.
ETAPA DE JUSTIFICACIÓN
Compromiso ejecutivo
• Objetivo: es obtener el visto bueno o
aprobación inicial de:
– La alta dirección
– Usuarios claves.
– Responsable de informática