Plan: Recursos, prioridades, disponibilidades, estructura de tareas El Plan de Auditoría se elabora teniendo en cuenta, entre otros criterios, los siguientes Si la Revisión ha de realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración final es más compleja y costosa, lo cual redunda en una superior calidad. Si la Auditoría es global, de toda la informática, o parcial. El volumen determina no solamente el número de auditores necesarios, si no las especialidades necesarias de personal. En el Plan NO se consideran calendarios, porque se manejan recursos genéricos y no específicos. En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.

Plan: Recursos, prioridades, disponibilidades, estructura de tareas El Plan establece la disponibilidad futura del personal y de los demás recursos mientras dure la Revisión. El Plan estructura las tareas a realizar por cada integrante del equipo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto.

son las cuantificaciones del Plan Programa de Trabajo son las cuantificaciones del Plan En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan Posee la naturaleza de una verdadero Proyecto, y por ello le son aplicables las reglas generales de los mismos. se establece el calendario real de actividades a realizar La Auditoría informática necesita de Planificación y Programación detallada

Programa de Trabajo

Auditoría por temas generales o por áreas específicas Programas de trabajo: Cuantificación del Plan, Asignación de recursos, calendario real de actividades. Hagamos un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan Auditoría por temas generales o por áreas específicas Si se examina por grandes temas: Por ejemplo desde el punto de vista de la Seguridad, resulta evidente: la mayor calidad, y el empleo de más tiempo total, y mayores recursos. Revisada la Seguridad, pasaríamos luego a la identificación de la Dirección con el modelo informático de la empresa en todas sus áreas. Luego a la percepción de los usuarios finales respecto a la Explotación, el Desarrollo, etc., y finalmente al funcionamiento interno de la informática como centro de trabajo.

Auditoría por temas generales o por áreas específicas Programas de trabajo: Cuantificación del Plan, Asignación de recursos, calendario real de actividades. Hagamos un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan Auditoría por temas generales o por áreas específicas Por el contrario, cuando la auditoría se realiza por áreas específicas: se abarcan de una vez todas las peculiaridades que afectan a las mismas, de forma que el resultado se obtiene más rápidamente y con menor calidad.

Basta con enumerarlas, ya se ha hablado del tema en clases: Técnicas de Trabajo Basta con enumerarlas, ya se ha hablado del tema en clases: Análisis de la información recabada del auditado Análisis de la información propia Cruzamiento de las informaciones anteriores Entrevistas Simulación Muestreos

Herramientas Procedamos igualmente a su enumeración: Cuestionario general inicial Cuestionario-Checklist Simuladores (Generadores de Datos) Paquetes de Auditoría (Generadores de Programas) Matrices de Riesgo Las matrices de riesgo tienen la doble particularidad de que deben ser incorporadas al Informe Final y de que pueden considerarse también como elementos decisorios para la realización de una Auditoría Informática de Seguridad.

Hecho encontrado Ha de ser relevante Ha de ser exacto, y además convincente No deben existir hechos repetidos. Debe procurarse, evitar incluso las referencias y alusiones a otros hechos

Consecuencias Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

Repercusión del hecho Se redactará, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa auditada.

No debe redactarse conclusiones, Conclusión del hecho No debe redactarse conclusiones, más que en los casos en la exposición haya sido muy extensa y compleja

Recomendación del auditor informático Siempre se explicitará la palabra “Recomendación”, y ninguna otra. Deberá entenderse por sí sola, por su simple lectura Deberá estar suficientemente soportada en el propio texto Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Deberá evitarse las Recomendaciones demasiado generales. No deberá redactarse expresiones como “…se den las órdenes oportunas para que…”. Se deberá decir “…se elabore un programa para que en 60 días…”

GRAFICO 1 LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA DE FINANZAS O DEL USUARIO PRINCIPAL GERENTE GENERAL 1er. NIVEL DE LA ORGANIZACIÓN GERENTE DE FINANZAS 2do.Nivel de la organización USUARIO PRINCIPAL DE INFORMÁTICA GERENTE DE VENTAS GERENTE DE PRODUCCIÓN OTROS GERENTES DIRECCIÓN DE INFORMÁTICA JEFE DE OPERACIÓN JEFE DE PROGRAMACIÓN JEFE DE ANÁLISIS OTRAS JEFATURAS DIRECTOR DIRECTOR DIRECTOR DIRECTOR

GERENTE DE INFORMÁTICA GRAFICO 2 LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA GENERAL – EN LINEA GERENTE GENERAL 1er. NIVEL DE LA ORGANIZACIÓN GERENTE DE FINANZAS GERENTE DE PRODUCCIÓN GERENTE DE INFORMÁTICA 2do.Nivel de la organización OTRAS GERENCIAS DIRECTOR DIRECTOR DIRECCIÓN DE INFORMÁTICA DIRECTOR DE OPERACIÓN DIRECTOR DE PROGRAMACIÓN DIRECTOR DE ANÁLISIS OTROS DIRECTORES DIRECTOR

GERENTE DE INFORMÁTICA GRAFICO 3 LA DIRECCIÓN DE INFORMÁTICA ESTÁ DEPENDIENDO DE LA GERENCIA GENERAL COMO STAFF GERENTE GENERAL 1er. NIVEL DE LA ORGANIZACIÓN GERENTE DE INFORMÁTICA NIVEL STAFF GERENTE DE FINANZAS GERENTE DE PRODUCCIÓN GERENTE DE VENTAS OTRAS GERENCIAS DIRECTOR DIRECTOR DIRECTOR DIRECTOR

GRAFICO 4 LA GERENCIA DE INFORMÁTICA SE ENCUENTRA DEPENDIENDO DE LA GERENCIA GENERAL Y SE TIENE UNA ORGANIZACIÓN CORPORATIVA GERENTE GENERAL 1er. Nivel de la Organización GERENTE DE FINANZAS GERENTE DE INFORMÁTICA 2do. Nivel de la org. OTRAS GERENCIAS GERENTES FORANEOS OTROS DIRECTORES DIRECTOR DE OPERACIÓN OTROS DIRECTORES OTROS DIRECTORES DIRECTOR DE PROGRAMACIÓN DIRECTOR DIRECTOR DIRECTOR DE INFORMÁTICA DIRECTOR DE ANÁLISIS JEFE DE OPERACIÓN JEFES OTROS DEPARTAMENTOS JEFES OTROS DEPARTAMENTOS COORDINADOR DE FORÁNEAS JEFE DE PROGRAMACIÓN JEFE DE INFORMATICA JEFE DE INFORMATICA OTRAS DIRECCIONES JEFE DE SISTEMAS OTRAS JEFATURAS