Etapa de justificación

Cap. 8
 ETAPA DE JUSTIFICACIÓN

En ésta etapa se legitima la revisión o evaluación de las áreas

o funciones críticas relacionadas con informática.

Define las áreas que serán auditadas

Establece las tareas, tiempos, responsables, involucrados, etc.

Vo.Bo. Del Plan de auditoría

 ETAPA DE JUSTIFICACIÓN
Productos terminados:
Detección de riesgos
Matriz de riesgos:
análisis de riesgos y
áreas de oportunidad
Plan de auditoría en informática:
Definir responsables y tiempos.
Compromiso ejecutivo.
Tareas y Productos
de la etapa de justificación
• Realizar la tabla de • Reporte de detección
detección de riesgos de riesgos.
por área.
• Realizar la matriz de • Matriz de riesgos
riesgos
• Justificar la auditoría • Justificación de la
por área de revisión matriz de riesgo
• Realizar el plan de • Plan general de
auditoría. informática.
• Aprobación del plan • Plan aprobado.
 ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA

Uno de los aspectos relevantes del diagnóstico

actual es que orienta al auditor en SI a
vislumbrar ciertas áreas de oportunidad para
mejorar alguna función específica del
negocio.

ETAPA DE JUSTIFICACIÓN
ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA
Existen muchas razones para que un auditor
De SI tome en cuenta las áreas de oportunidad
expresadas por la alta dirección, usuarios
clave y el responsable de informática :

“La principal es que estas personas viven y

dedican gran parte de su tiempo al negocio, por
lo que conocen mejor que nadie sus fortalezas,
debilidades y tipo de soluciones”

ETAPA DE JUSTIFICACIÓN
 ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA

Ejemplos de proyectos que son responsabilidad de

informática :

• Diseño, instalación y mantenimiento de una red

• Mantenimiento de hardware
• Desarrollo de sistemas
• Soporte a usuarios (Help desk)

ETAPA DE JUSTIFICACIÓN
 ÁREAS DE OPORTUNIDAD PARA LA FUNCIÓN DE
INFORMÁTICA

Ejemplos de proyectos de auditoría, financiera,

operativa etc.

• Elaboración y difusión de políticas y procedimientos.

• Evaluación del cumplimiento formal del control
interno.

ETAPA DE JUSTIFICACIÓN
 Áreas de oportunidad
• Elaboración, formalización y difusión de
políticas y procedimientos de informática
(funciones, servicios, técnicas, herramientas
de productividad)
• Elaboración o adquisición del plan de
contingencias para informática.
• Evaluación del hardware. (compatibilidad, tipo
de uso y aprovechamiento)
• Evaluación del software.
• Evaluación y selección de hardware y software de
acuerdo a políticas del negocio.
• Apoyo a informática con un enfoque de seguridad,
calidad y control.
• Apoyo a auditorías en la implantación de los
controles y procedimientos de un SI próximo.
• Apoyo a auditorías con un enfoque de seguridad,
calidad y control.
Algunos proyectos de oportunidad vistos en la etapa
preliminar serán realizados por la función de
informática ú otras áreas, no por la auditoría en
informática.
 Proyectos que son responsabilidad de
informática.
• Diseño, instalación y mantenimiento de una red de
comunicaciones.
• Investigación de tecnología (hardware, software,
etc.)
• Capacitación en el uso de metodologías de desarrollo
de sistemas.
• Capacitación en el uso de nueva tecnología de
informática en el negocio.
• Mantenimiento de hardware
• Actualización de software
• Desarrollo e implantación de sistemas.
• Soporte a usuarios.
Proyectos que son responsabilidad de auditorías
financieras, operativas, administrativas.
• Elaboración y difusión de políticas y procedimientos
de control interno.
• Evaluación del cumplimiento formal del control
interno.
• Auditoría a sistemas de información (contabilidad,
inventarios, inversiones, etc.)
• Establecimientos de control y procedimientos
operativos a sistemas de información antes de
implantarse.
DETECCIÓN DE RIESGOS
 Matriz de riesgos, justificación por área de
revisión.
 Objetivo:
Detectar las áreas de mayor riesgo en relación
con informática y que requieren una revisión
formal y oportuna.
 Debilidades que pueden motivar la auditoría SI.

 Clasificación de riesgos que presenta el uso de

hardware y software.

 Evaluación del nivel de riesgo que representa el uso

inadecuado de los productos y servicios por el
personal de informática y usuarios dentro de la
organización
 CLASIFICACION DE RIESGOS QUE REPRESENTA
EL USO DE HW Y SW

Aquí se pueden auditar los equipos de cómputo y

paquetes de software que dan soporte a los sistemas
críticos del negocio; o bien se audita de manera periódica
el mantenimiento y administración de centros de
cómputo.
La capacidad de los equipos, cantidad de unidades (discos,
cintas, terminales, etc.)los tipos (computadoras
personales, etc.), distribución física de desempeño de los
mismos son datos que pueden determinar la secuencia y
grado de intensidad con que se audita el HW.
ETAPA DE JUSTIFICACION
El uso y propósitos de los paquetes de software, la existencia
de procedimientos y políticas de evaluación y adquisición del
mismo, así como la estandarización de paquetes, apoyan al
auditor en la programación de los proyectos de auditoría.

ETAPA DE JUSTIFICACION
EVALUACIÓN DEL NIVEL DE RIESGO QUE REPRESENTA EL USO
INADECUADO DE LOS PRODUCTOS Y SERVICIOS POR EL
PRESONAL DE INFORMÁTICA Y USUARIOS DENTRO DE LA
ORGANIZACIÓN.
Esto se refiere básicamente al grado de
conocimiento que posee sobre el uso de los
servicios, software y hardware, los puntos que
pueden servir para la auditoría son los
organigramas la descripción de los puestos,
procedimientos y políticas que se relacionan
con los productos y servicios de informática.
 CLASIFICACIÓN DE LOS RIESGOS SEGÚN CRITERIOS
ESTABLECIDOS POR LA FUNCIÓN DE AUDITORÍA DE SI

• Cumplimiento de estándares comúnmente

aceptados a nivel nacional e internacional.
• Cumplimiento formal de procedimientos y políticas.
• Grado de satisfacción de alta dirección y del
personal usuario.
• Prioridades de la alta dirección / Prioridades de la
función de informática.
• Prioridades de la función de auditoría de SI.
• Otros de interés específico del auditor de SI en el
momento de llevar a cabo la evaluación.

ETAPA DE JUSTIFICACION
 ELABORAR UNA MATRIZ DE RIESGOS Y PRONÓSTICOS DE
PROYECTOS DE AUDITORÍA DE SI CON LA
GERENCIA O DIRECCIÓN A LA QUE REPORTA
DIRECTAMENTE LA FUNCIÓN DE AUDITORÍA SI

Dicha matriz muestra los resultados en

orden descendente.
Indica el área con el valor más alto de
riesgo hasta la de menor riesgo.

ETAPA DE JUSTIFICACION
 REVISION DE LA MATRIZ DE RIESGOS Y PRONÓSTICOS
DE PROYECTOS DE AUDITORÍA DE SI CON LA
GERENCIA Y DIRECCIÓN A QUE REPORTA DIRECTAMENTE
LA FUNCIÓN DE AUDITORÍA DE SI

Se ejecuta de manera oportuna y formal con el fin de

que se de el visto bueno o se lleven a cabo las
adaptaciones o mejoras.
Elaborar un plan cubriendo los siguientes puntos:
• Áreas por auditar / prioridad / fecha de inicio y
termino / fechas de revisión formales e informales /
Involucrados / Responsables.
• Otros de interés particular del auditor en informática
al efectuar estas áreas.
ETAPA DE JUSTIFICACION
Empresa Gerencia Fecha de Elaboración
Representante Usuario: Responsable de Informática: Líder de Proyecto:

Áreas susceptibles de Aspectos o componentes Riesgo por componente Clasificación del riesgo por Área por auditar según
auditar por evaluar del área área clasificación

Administración de la 1.- Misión y objetivos Secuencia sugerida por

informática 2.- Organización auditar cada componente
3.- Servicios y área según nivel de
riesgo estimado
4. Parámetros de revisión

Dirección y niveles 1.-Seguimiento a la Secuencia sugerida por

ejecutivos función de Informática auditar cada componente
2.- Comunicación e y área según nivel de
Integración riesgo estimado
3.- Apoyo a toma de
decisiones
Usuarios de Informática 1.- Comunicación e Secuencia sugerida por
Integración auditar cada componente
2.-Proyectos Conjuntos y área según nivel de
3.- Administración de riesgo estimado
Recursos de Informática
4.- Grado de Satisfacción
Control Interno 1.- Políticas y Secuencia sugerida por
Procedimientos auditar cada componente
y área según nivel de
riesgo estimado

Ciclo de Implantación de 1.- Metodología Secuencia sugerida por

Sistemas 2.- Técnicas auditar cada componente
3.- Herramientas y área según nivel de
riesgo estimado
4.-
Capacitación/Actualización
Empresa Gerencia Fecha de Elaboración
Representante Usuario: Responsable de Informática: Líder de Proyecto:

Áreas susceptibles de Aspectos o componentes Riesgo por componente Clasificación del riesgo por Área por auditar según
auditar por evaluar del área área clasificación

Mantenimiento 1.- Hardware 50 Hardware

2.- Software 40 60 Software
3.- Sistemas de 10 S.I
Información
4. Telecomunicaciones

Redes Locales 1.-Administracion Secuencia sugerida por

2.- Instalación auditar cada componente
3.- Operación / Seguridad y área según nivel de
riesgo estimado

Telecomunicaciones 1.-Administracion Secuencia sugerida por

2.- Instalación auditar cada componente
3.- Operación / Seguridad y área según nivel de
riesgo estimado

Hardware, computadoras 1.-Administracion Secuencia sugerida por

Personales, 2.- Instalación auditar cada componente
Minicomputadoras y 3.- Operación / Seguridad y área según nivel de
Mainframes riesgo estimado

Software, Paquetes de uso 1.-Administracion Secuencia sugerida por

generalizado, lenguajes de 2.- Instalación auditar cada componente
programación, sistemas 3.- Operación / Seguridad y área según nivel de
operativos, Paquetes de riesgo estimado
uso especifico 4.-
Capacitación/Actualización
 MATRIZ DE RIESGOS.
Empresa: Gerencia: Fecha de Elaboración:
Representarte Usuario: Responsable de Informática: Líder del Proyecto:

Áreas susceptible Aspectos o componentes por Clasificación del riesgo por Área por auditar según
de auditoria evaluar del área. Riesgo por componente área (Total) clasificación.

% secuencia sugerida por

1.- Hardware.
% auditar cada
2.- Software/aplicación
Seguridad % componente y área
3.- Plan de contingencias
% según el nivel de
de recuperación.
riesgo estimado.

1.- Metodologías.
secuencia sugerida por
2.- Técnicas. %
% auditar cada
Plantación de 3.- Herramientas.
% componente y área
informática 4.-
% según el nivel de
capacitación/actualizació
riesgo estimado.
n.

Investigación % secuencia sugerida por

tecnológico
1.- Administración. % auditar cada
: CASE,
2.- Instalación % componente y área
EDI,
3.- Operación/seguridad. % según el nivel de
Multimedia
riesgo estimado.
,etc.

Otros de interés % secuencia sugerida por

especifico
auditar cada
para el
1.-Consideraciones generales. % componente y área
auditor de
según el nivel de
informática
riesgo estimado.
.

ETAPA DE JUSTIFICACIÓN
 Aspectos relevantes
 Identificación del nivel de riesgos de cada uno de los
elementos que integran la función de informática en el
negocio a través del diagnóstico de la situación actual de
informática.
 Las áreas que serán diagnosticadas varían según el tamaño y
estructura del negocio, originando que el ASI.
Evalúe con un enfoque centralizado o descentralizado, según
el caso.
 Clasificación de los riesgos según criterios establecidos por la
función de auditoria en informática.
 Cumplimiento de estándares comúnmente aceptados a nivel
nacional e internacional.
 Cumplimiento formal de políticas y procedimientos.
 Grado de satisfacción de la alta dirección y del personal
usuario.
 Prioridades de la alta dirección / prioridades de la función de
informática.
• El auditor debe utilizar todos los parámetros de
medición y evaluación posibles sin caer en un análisis
detallado, ya que aquí sólo se trata de detectar la
problemática principal de cada área.
• Si surgen anomalías de consideración importante de
algún elemento evaluado, se debe tomar acciones
inmediatas orientadas a eliminarlas o al menos
minimizarlas.
• Determinar el nivel de riesgos que existe en cada
área de la función de informática: cada área,
producto o servicio de informática es susceptible de
evaluación y control para asegurar que se desarrolle
de acuerdo con los estándares, políticas y
procedimientos específicos que le han sido asignados
de acuerdo con su función
 Consideraciones que se deben de
tomar en cuenta al elaborar la
matriz de riesgos
• Aspectos (componentes o elementos) por
evaluar
• Políticas y procedimientos recomendados
• Técnicas y herramientas requeridas para su
revisión.
• Cuestionarios por cada aspecto(subárea)
por evaluar.
• Clasificar cada área y sus componentes por
nivel de riesgos(LP,AI,U,AD)
• Dar prioridades a cada área de revisión de
acuerdo con el nivel de riesgos o por
factores específicos mencionados por AD ú
otros.
• Justificar cada una de las áreas
seleccionadas por auditar.(debe basarse
por el nivel de riesgo que representa, de
acuerdo a prioridades establecidas por los
involucrados de alto nivel o a solicitud
expresa de la AD o Informática
Actividades principales del auditor SI
• Estimar el tiempo necesario para auditar cada área
determinada en la matriz de riesgo.
• Analizar y definir los aspectos o componentes mas
relevantes que de evaluaran.
• Asignar prioridades a cada área por evaluar o revisarlas
con los principales involucrados.
• Definir fechas estimadas de inicio y terminación por
área de revisión, no por componente.
• Definir responsables e involucrados directos por etapa
del proyecto.
Plan general del proyecto de auditoría
SI
• Consiste en plantear las tareas más importantes que
se ejecutarán durante cierto periodo al efectuar la
auditoría SI.

El Plan se deriva de los siguientes elementos:

• Áreas de oportunidad
• Matriz de riesgos
• Prioridades de la alta dirección, de auditoría SI e
informatica.
 ELABORACION DE PLAN
CONSOLIDADO DE PROYECTOS:
• Fecha de inicio y terminación de cada / Etapas
de auditoría.
• Tareas principales de cada etapa / Equipo de
trabajo (auditor representante de informática
de las áreas usuarias).
• Requerimientos (recursos, apoyo de la
dirección, capacitación, material de SI, entre
otros).
 Plan General de Auditoria en Informática (etapa de justificación)

Empresa: Gerencia: Fecha elaboracion:

Representante usuario: Representante informatics: Líder auditoría

Área por Aspectos o Prioridad clasificación Fecha inicio/

auditar segun componentes asignada del riesgo por Fecha
clasificación y a auditar. área.(total) final(estimada
prioridades. s)

Área Componentes Número % dd/mm/aa

Seleccionada. seleccionados.

Area Componentes Número % dd/mm/aa

Seleccionada Seleccionadas.

Area Componentes números % dd/mm/aa

Seleccionada Seleccionados.

ETAPA DE JUSTIFICACIÓN
 PLAN GENERAL DEL PROYECTO DE AUDITORÍA EN INFORMÁTICA.

• Una vez elaboradas, revisadas y documentadas la matriz de riesgos (de

acuerdo con los riesgos mas relevante) y las áreas de oportunidad, se
produce a la formulación del plan general de informática, el cual consiste
básicamente en programar las revisiones a áreas de informática generadas
de la matriz de riesgos.
• Las principales aspectos que se deben contemplar al elaborar el plan
general de auditoria de SI:
• Tomar como referencia los datos recomendadas en el proceso
metodológico mencionado Cap... 6.
• El plan general de auditoria SI.
• El plan detallado se lleva a cabo, posteriormente, en la etapa de
adecuación.

ETAPA DE JUSTIFICACIÓN
 Las actividades principales del auditor de SI o del líder del proyecto para que estos
elaboren el plan general son al menos las siguientes.

• Estimar el tiempo necesario para auditar cada área determinada en la

matriz de riesgo.
• Analizar y definir los aspectos o componentes mas relevantes que se
evaluaran.
• Si es necesario verificar la importancia y validez de los puntos anteriores.
• Asignar prioridades a cada área por evaluación o revisarlas con los
principales involucrados.
• Definir fecha estimadas de inicio y terminación por área de revisión.
• Establecer fecha de revisión formal (firmas, aprobaciones).
• Definir responsables e involucrados directos por etapas del proyecto.

ETAPA DE JUSTIFICACIÓN
 Compromiso ejecutivo
• Objetivo: es obtener el visto bueno o
aprobación inicial de:
– La alta dirección
– Usuarios claves.
– Responsable de informática

Con el fin de continuar con el proyecto de auditoría

SI.
 Aspectos Fundamentales para lograr el
compromiso ejecutivo
• Presentación del plan con la información de soporte
requerida bien documentada con los principales
involucrados:
– Resumen del diagnóstico actual
– Áreas de oportunidad
– Matriz de riesgos
– Prioridades
– Plan general objetivo, específico y fechas de inicio
y terminación por áreas
– Justificar cada una de las áreas por auditar con
datos concretos y bien documentados.
– Lograr la concientización del compromiso
requerido de la alta dirección, para los objetivos
de auditoría.
– Aprobación (firma) formal del plan general.