SEMINARIO DE AUDITORÍA INTEGRAL TEMARIO CONCEPTOS GENERALES Informática, auditoría, planeación, alcance de la auditoría. LA IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Antecedentes, preguntas clave en la auditoría. METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Método 1; Etapa preliminar, etapa de justificación, etapa de adecuación, etapa de formalización, etapa de desarrollo, etapa de implantación. Método 2; Auditorías integrales pro procesos, revisión financiera, operativa y de informática. Método 3; Auditorías orientadas al proceso técnico, firewalls, justificación de las bases de datos, respaldos de información, determinación de obsolencia operativa del hardware y del software. EL REPORTE FINAL Redacción en base a eventos comprobables, sugerencias sustentables, el rol de auditor de sistemas. FORMA DE EVALUACIÓN: * Tareas y lecturas = 20% * Casos y exposición de los mismos = 80%
CONCEPTOS GENERALES Generar información a tres niveles básicos; manual, mecánico y electrónico. Examen constructivo sobre la estructura organizacional orientada al procesamiento de datos, sin olvidar que sirve a un objetivo general (giro del negocio), dicho examen abarca entre otros aspectos: planes, objetivos, métodos de trabajo, disponibilidad humana y física, funcionalidad del equipo, etc. Preveer situaciones futuras, a fin de evitar problemas en lugar de solucionarlos (prevención vs reacción). Definir el impacto que tendrá el estudio, a fin de delimitar los beneficios que serán obtenidos.
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Una auditoría nos puede mostrar entre otros factores de debilidad, los siguientes: Debilidades en la planeación del negocio al no involucrar la informática en sus operaciones. Resultados negativos (improductividad, duplicidad de funciones, etc), en el desarrollo, operación y mantenimiento de sistemas de información. Falta de actualización del personal técnico y de informática, mismo que opera los sistemas y soluciones del negocio. Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. Capacitación deficiente en el uso de los sistemas de información, el software (procesador de texto, hojas de cálculo, graficadores, etc), y el hardware (equipos de cómputo, impresoras y otros periféricos, etc). Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio). Carencia de un proyecto de análisis costo / beneficio formal previo al arranque de cada proyecto de informática. Metodologías de planeación y desarrollo orientada a sistematizar sistemas informales no estandarizados y en muchos casos inexistentes. Uso y entendimiento (al menos mínimo) de técnicas formales para el desempeño de funciones en las áreas de informática.
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Algunas preguntas clave: ¿Los usuarios y la alta dirección conocen la situación actual de la función informática en la empresa? ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? ¿La informática apoya las áreas críticas del negocio? ¿El responsable del área de sistemas, conoce los requerimientos actuales y futuros del negocio, a fin de satisfacerlos desde el punto de vista técnico? ¿Existen políticas y procedimientos de manera formal? ¿Hay un plan de seguridad en informática? ¿Se ha calculado el alcance e impacto de la informática en la empresa? ¿Existe un plan estratégico de sistemas alineado al negocio? ¿Existen responsables que que evalúen formal e imparcialmente la función de sistemas? ¿Se cuenta con un control formal de cada proyecto relativo al área de sistemas? ¿Auditan sólo sistemas de información y no otras áreas de la informática?
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA De los planteamientos anteriores surge de inmediato un par de preguntas determinantes: ¿ Cómo saber si la función de sistemas está administrada correctamente ? La función de sistemas debe ser auditada, ¿quién realizará este trabajo ?
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Factores de éxito para realizar la auditoría: Compromiso de los individuos relacionados. Continuidad en el proceso de evaluación y control. Especialización por parte de quienes llevan a cabo dicha función. Conocimiento del negocio a través de un involucramiento permanente en las etapas de planeación. Enfoque preventivo, no correctivo. Facilitar soluciones, no limitar la operación de la compañía implantando un exceso de controles. Estudio del medio tecnológico y organizacional por parte de los encargados de la función. Trabajar con base en requerimientos y riesgos propios del negocio y no según críticas de mercado. Lograr que el personal de las organizaciones, advierta que las medidas preventivas forman parte importante del trabajo diario y que incumben a todos por igual.
CASO NO. 1 Desde su punto de vista, ¿la tecnología que aplica el área de sistemas y que transforma en informática, debe considerarse un activo en las empresas? ¿por qué?. ¿Es necesario auditar los sistemas computarizados existentes en la empresa donde labora?, mencione y justifique tres razones para sustentar su respuesta. ¿Qué acontecimientos llevaron a su empresa a a formalizar o rechazar el proceso de evaluación del área de sistemas? ¿Cuál cree que debe ser el perfil de un auditor en informática?, mencione y justifique cuatro características inherentes a esta función.