SlideShare una empresa de Scribd logo

Tema 5

Carmelo Branimir España Villegas
Carmelo Branimir España Villegas
1 de 49
Descargar para leer sin conexión
LOGO Auditoria de la Dirección Tema 5 Auditoria Informática Docente: Carmelo España V. E-mail: carmelobranimir@gmail.com
INTRODUCCIÓN Cómo auditar los procesos de la alta dirección No podemos negar que cuando hablamos de la Auditoria a la alta dirección se dispara cierta preocupación de los auditores para poder planificar la auditoria de manera que salga muy bien, esa planificación por momentos se hace muy extensa y abunda en notas a auditar y por momentos se resume a algunos pocos puntos. Mucho depende si la auditoria es externa o es interna, generalmente en el primer caso siempre queremos dejar demostrado a la empresa que nos contrata, que nos ceñimos o ajustamos al mayor profesionalismo y conocemos técnicamente de que estamos hablando, mientras que en el caso de una auditoria interna tratamos de demostrar a nuestra Dirección que tenemos una buena planificación para que la auditoria sea efectiva, no quite tiempo productivo y aporte el mayor valor agregado.
INTRODUCCIÓN Cómo auditar los procesos de la alta dirección Aclaremos algo muy importante, si realizamos una buena planificación de la auditoria a la alta dirección y aplicamos criterios adecuados y sentido común, el buen aporte del auditor en esta área tendrá casi siempre un muy buen efecto a lo largo de toda la cadena, ya que es el lugar indicado para poner en juego todo nuestros conocimientos y agregar valor a la organización. Reconociendo que la auditoria de los procesos de la alta dirección es un asunto sensible, este tema brinda una guía para esta categoría de auditoría.
Como empezar… Es recomendable que los auditores involucren a la alta dirección en la auditoría, es decir, invitarlos a las reuniones de apertura y cierre, programar tiempo suficiente en el plan de auditoria para entrevistar a los altos directivos, discutir los hallazgos de la auditoría directamente con ellos, buscar evidencia de su compromiso, etc. Es importante que el centro de atención deje de estar sólo en el responsable de calidad, o del director de calidad y pase a la alta dirección de la organización. Se recomienda que el auditor considere las actividades de la alta dirección como procesos y los audite de acuerdo a ello.
Planificación de la auditoría El auditor debe identificar los procesos de la alta dirección y: Comprender la organización y su estructura de gestión analizando información tal como: organigramas, reportes anuales, planes de negocio, perfil de la organización, comunicados de prensa, sitios web. Prever en el plan de la auditoría la recolección de información pertinente respecto al compromiso de la alta dirección, entrevistando directamente a la alta dirección Comprender la cultura de la organización y de su alta dirección, con el fin de determinar el impacto sobre el plan de la auditoría, haciendo los ajustes que sean necesarios Encarar en forma profesional el enfoque de los auditores respecto a su vestimenta, identificando las prácticas de la organización al respecto Planificar el momento de la auditoría a la alta dirección, para asegurar puntualidad y su conveniencia Un auditor con poca experiencia en auditoría no debería ser designado para entrevistar a la alta dirección.
Conducción de la auditoría Durante las entrevistas a la alta dirección, el auditor puede, haciendo uso de terminología de los negocios apropiada, hacer preguntas pertinentes que: permitan obtener evidencias de la toma de conciencia y del compromiso de la alta dirección con respecto a la calidad, y su pertinencia a los objetivos generales de la organización y a su sistema de gestión de la calidad permitan obtener evidencias de cumplimiento de los requisitos de la norma ISO 9001 aplicables a la responsabilidad de la dirección.
Recolección y verificación de evidencias El auditor/equipo auditor debería buscar constantemente oportunidades de corroborar las respuestas recibidas de la alta dirección durante las entrevistas correspondientes. Esto incluye: la disponibilidad y pertinencia de la política y los objetivos el establecimiento de una relación entre la política y los objetivos la obtención de evidencias de que la política y los objetivos son eficaces y comprendidos en toda la organización la determinación si las políticas y los objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y para lograr la satisfacción de los clientes la determinación si la lata dirección se involucra en las revisiones por al dirección.
Recolección y verificación de evidencias Entrevistas adicionales o la recolección de nuevas evidencias pueden ser necesarias para poder corroborar la información relevada. El equipo auditor debería asegurarse de que se recolecta toda evidencia adicional referida al compromiso de la alta dirección. Asimismo, deberían analizar todas las evidencias recolectadas para asegurar que la información es exacta y completa, y para proporcionar confianza en las conclusiones a las que se arriben.
Auditoria de la Dirección Teniendo en cuenta todas estas pautas, vamos a centrarnos en la Auditoria de la Dirección de Informática o Sistemas
Alcance de la auditoria Organización y calificación de la dirección informática. Plan estratégico en sistema de información. Análisis de puestos. Planes y procedimientos. Normativas.
Objetivo de la auditoria Realizar un informe con el objetivo de verificar la adecuación de medidas de aplicación a las amenazas definidas, así como el cumplimiento de requisitos exigidos. Resultados: se obtendrá: Informe de auditoria detectando riesgos y deficiencias en el manejo de la dirección informática. Plan de recomendaciones a aplicar en función de una normativa a cumplir.
Dirección de Informática  Los departamentos informáticos están integrados en organizaciones mayores y que, por tanto son destinatarios de un sin fin de estímulos de las mismas, que duda cabe de que, dado el ámbito tecnológico tan particular de la informática, la principal influencia que dichos departamentos reciben viene inducida desde la propia dirección de informática.  Las enormes sumas que las empresas dedican a las tecnologías de información en un crecimiento que no se vislumbra el final y la absoluta dependencia de las mismas al uso correcto de dicha tecnología hacen muy necesaria una evaluación independiente de la función que la gestiona. La dirección informática no debe quedar fuera: es una pieza clave del engranaje.
Dirección de Informática  Se podría decir que algunas de las actividades básicas de todo proceso de dirección son:  Planificar.  Organizar.  Coordinar  Controlar
Planificar Planificar es tratar de prever la utilización de las TI’s en la empresa. Esta es una etapa muy importante en el desarrollo de una buena Auditoria, ya que nos va a permitir obtener una buena organización y poder seguir un hilo conductor de los procesos y áreas de la empresa evitando que podamos desviarnos de nuestros objetivos.
Planificar Existen varios tipos de planes informáticos, siendo el principal el Plan Estratégico de Sistemas de Información; de este plan se derivan otros, tales como: Plan Operativo Anual, Plan de Dirección Tecnológica, Plan de Arquitectura de la Información y Plan Recuperación de desastres.
Planificar El Plan Estratégico de Sistemas de Información es el marco básico de actuación de los SI’s en la empresa, por lo que debe asegurarse el alineamiento de los mismos con los objetivos de la empresa. Existen varias metodologías de realización de planes, y el auditor debe evaluar si dichas metodologías se están utilizando y son de utilidad para la empresa.
Planificar Otros aspectos a evaluar son: Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc. Si se presta la adecuada consideración a las nuevas TI’s, siempre desde el punto de vista de su contribución a los fines de la empresa y no como experimentación tecnológica. Si las tareas presentes en el Plan tienen la correspondiente y adecuada asignación de recursos para realizarlas, y si los plazos para realizar dichas tareas son realistas en función de la situación actual de la empresa, de la organización informática, del estado de la TI, etc.
Planificar Plan estratégico del sistema de información.  Debe asegurar el alineamiento de los mismos con los objetivos de la empresa.  Desgraciadamente la transformación de los objetivos de la empresa en objetivos informáticos no es siempre una tarea fácil.  Estos planes no son responsabilidad exclusiva de la dirección de informática, pero debe ser el permanente impulsor de una planificación de sistemas de información adecuada y a tiempo.
Planificar Plan estratégico del sistema de información… Aunque se suele definir la vigencia de un plan estratégico de 3 a 5 años, tal plazo es muy dependiente del entorno en el que se mueve la empresa. Cada empresa tiene su equilibrio natural y el auditor deberá evaluar si los plazos en uso en su empresa son los adecuados. Debe existir un proceso, con participación activa de los usuarios, que regularmente elabore planes estratégico de sistemas de información a largo plazo y el auditor deberá evaluar su adecuación.
Planificar Guía de auditoria.  El auditor deberá examinar el proceso de planificación de sistemas de información y evaluar si se cumple los objetivos.  Deberá evaluar si durante el proceso de planificación se presta adecuada atención al plan estratégico de la empresa y se presta adecuada consideración a nuevas TI.  Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignación de recursos para poder llevarlas a cabo así mismo si tiene plazo de consecución realista.
Planificar Acciones a realizar:  Lectura de actas de sesiones del comité de informática y dedicadas a la planificación estratégica.  Identificación y lectura de los documentos intermedios preescritos por la metodología de planificación.  Lectura y comprensión detallada del plan e identificación de las consideraciones incluidas en el mismo.  Realización de entrevista al director de informática y otros miembros del comité de informática participantes en el proceso de elaboración de plan estratégico así como a los usuarios  Identificación y comprensión de los mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa .
Otros planes relacionados. Plan operativo anual.  Se establece al comienzo de cada ejercicio y es el que marca las pautas a seguir durante el mismo.  Entre otros aspectos, debe señalar los SI a desarrollar, los cambios tecnológicos previstos, los recursos y los plazos necesarios, etc.  El auditor deberá evaluar la existencia del plan y su nivel de la calidad.  Deberá estudiar su alineamiento con el plan estratégico, grado de atención a las necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar acabo el plan, etc.  Deberá analizar si los plazos descritos son realistas, teniendo en cuenta las experiencias anteriores en la empresa.
Otros planes relacionados. Plan de recuperación ante desastres.  Una instalación informática puede verse afectada por desastres de variada naturaleza, que tengan como consecuencia inmediata la indisponibilidad de un servicio informático adecuado.  La dirección debe prever esta posibilidad y, por tanto, planificar para hacerle frente.
Organizar y Coordinar El proceso de organizar sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación. El auditor debe verificar diversos puntos correspondientes a organización y control, entre los cuales se encuentran los siguientes:
Organizar y Coordinar Comité de Informática  El comité de informática es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios: es el lugar en el que se debate los grandes asuntos de la informática que afectan a toda la empresa y permiten a los usuarios conocer las necesidades del conjunto de la organización y participar en la fijación de prioridades.  Si bien estrictamente el nombramiento, la fijación de funciones, etc. del comité de informática no son responsabilidades directas de la dirección de informática, sino de la dirección general, la dirección de informática se ha de convertir en el principal impulsor de la existencia de dicho comité.
Organizar y Coordinar  Se ha escrito mucho sobre las funciones que debe realizar un comité de informática y parece existir un cierto consenso en los siguientes aspectos:  Aprobación del plan estratégico de SI.  Aprobación de las grandes inversiones en TI.  Fijación de prioridades entre los grandes proyectos informáticos.  Vehículo de discusión entre la informática y sus usuarios.  Vigila y realiza el seguimiento de la actividad del departamento de informática
Organizar y Coordinar Guía de auditoria  El auditor deberá asegurar que el Comité de Informática existe y cumple su papel adecuadamente.  Para ello, deberá conocer, en primer lugar, las funciones encomendadas al Comité. Entre las acciones a realizar tenemos:  Lectura de la normativa interna, si la hubiera, para conocer las funciones que debería cumplir el Comité de Informática.  Entrevistas a miembros destacados del Comité con el fin de conocer las funciones que en la práctica realiza dicho Comité.  Entrevistas a los representantes de los usuarios, miembros del Comité, para conocer si entienden y están de acuerdo con su papel en el mismo.  Una vez establecida la existencia del Comité de Informática, habrá que evaluar la adecuación de las funciones que realiza.
Organizar y Coordinar Posición del Departamento de Informática en la empresa.  El Departamento debería estar suficientemente alto en la jerarquía y contar con masa critica suficiente para disponer de autoridad e independencia frente a los departamentos usuarios.  Hoy en día, la informática da soporte a un conjunto mucho mayor de áreas empresariales y, por ello, cada vez es más habitual encontrar a departamentos de informática dependiendo directamente de Dirección General.  Incluso en las grandes organizaciones, el Director de Informática es miembro de derecho del Comité de Dirección u órgano semejante
Organizar y Coordinar Guía de auditoria  El auditor deberá revisar el emplazamiento organizativo del Departamento de Informática y evaluar su independencia frente a departamentos usuarios.  Para este proceso, será muy útil realizar entrevistas con el Director de Informática y directores de algunos departamentos usuarios para conocer su percepción sobre el grado de independencia y atención del Departamento de Informática.
Organizar y Coordinar Descripción de funciones y responsabilidades del Departamento de Informática. Segregación de funciones.  Es necesario que las grandes unidades organizativas dentro del Departamento de informática tengan sus funciones descritas y sus responsabilidades claramente delimitadas y documentadas.  Es necesario que este conocimiento se extienda a todo el personal perteneciente a Informática; todos ellos deben conocer sus funciones y responsabilidades en relación con los sistemas de información. Y todo ello es una labor que compete, en gran medida, a la Dirección de Informática.
Organizar y Coordinar Aseguramiento de la Calidad  La calidad de los servicios ofrecidos por el Departamento de Informática debe estar asegurada mediante el establecimiento de una función organizativa de Aseguramiento de la Calidad.  Es muy importante que esta función, de relativa nueva aparición en el mundo de las organizaciones informáticas, tenga el total respaldo de la Dirección y sea percibido así por el resto del Departamento.
Organizar y Coordinar Guía de auditoria  El auditor deberá comprobar que las descripciones están documentadas y son actuales y que las unidades organizativas informáticas las comprenden y desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor podrá realizar. figuran:  Examen del organigrama del Departamento de Informática e identificación de las grandes unidades organizativas.  Revisión de la documentación existente para conocer la descripción de las funciones y responsabilidades.
Organizar y Coordinar Guía de auditoria  Realización de entrevistas a los directores de cada una de las grandes unidades organizativas para determinar su conocimiento de las responsabilidades de su unidad y que éstas responden a las descripciones existentes en la documentación correspondiente.  Examen de las descripciones de las funciones para evaluar si existe adecuada segregación de funciones, incluyendo la separación entre desarrollo de sistemas de información, producción y departamentos usuarios. Igualmente, será menester evaluar la independencia de la función de seguridad.  Observación de las actividades del personal del Departamento para analizar, en la práctica, las funciones realizadas, la segregación entre las mismas y el grado de cumplimiento con la documentación analizada.
Organizar y Coordinar Estándares del funcionamiento y procedimientos. Descripción dé los puestos de trabajo.  Deben existir estándares de funcionamiento y rendimiento que gobiernen la actividad del Departamento de Informática por un lado y sus relaciones con los departamentos usuarios por otro.  Dichos estándares y procedimientos deberían estar documentados. actualizados y ser comunicados adecuadamente a todos los departamentos afectados.  Por otro lado deben existir documentadas descripciones de los puestos de trabajo dentro de Informática delimitando claramente la autoridad y la responsabilidad en cada caso.
Organizar y Coordinar Guía de auditoria  El auditor deberá evaluar si existen estándares de funcionamiento procedimientos y descripciones de puestos de trabajo, adecuados y actualizados. Entre las acciones a realizar, se pueden citar:  Evaluación del proceso por el que los estándares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados.  Revisión de los estándares y procedimientos existentes.  Revisión de las descripciones de los puestos de trabajo para evaluar si reflejan las actividades realizadas en la práctica.
Organizar y Coordinar Gestión de Recursos Humanos: Selección, Evaluación del Desempeño, Formación, Promoción, Finalización.  La gestión de los recursos humanos es uno de los elementos críticos en la estructura general informática.  La calidad de los recursos humanos influye directamente en localidad de los sistemas información producidos, mantenidos y operados por el departamento de informática.
Organizar y Coordinar Guía de auditoria Entre otros el auditor deberá evaluar que:  La selección de personal se basa en criterios objetivos.  El rendimiento de cada empleado se evalúa regularmente en base a estándares.  Existen procesos para determinar la necesidades de formación de empleados en base a su experiencia.  Existen procesos para la promoción del personal que tienen en cuenta su desempeño profesional.  Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la seguridad informática  Además el auditor deberá evaluar que todos los aspectos anteriores están en línea con las políticas y procedimientos de la empresa.
Organizar y Coordinar Entre las acciones realizadas se pueden citar:  Conocimiento y evaluación de los procesos utilizados para cubrir vacantes en el Departamento de Informática.  Análisis de las cifras de rotación de personal, niveles de absentismo laboral y estadísticas de proyectos terminados fuera de presupuesto y de plazo.  Realización de entrevistas a personal del Departamento.  Revisión del calendario de cursos, descripciones de los mismos, métodos y técnicas de enseñanza.  Revisión de los procedimientos para la finalización de contratos.
Organizar y Coordinar Comunicación  Es necesario que exista una comunicación efectiva y eficiente entre la Dirección de Informática y el resto del personal del Departamento.  Entre los aspectos que es importante comunicar se encuentran: actitud positiva hacia los controles, integridad, ética, cumplimiento de la normativa interna entre otras, la de seguridad informática compromiso con la calidad, etc.
Organizar y Coordinar Guía de auditoria  El auditor deberá evaluar las características de la comunicación entre la Dirección y el personal de Informática.  Para ello se podrá servir de tareas formales como las descritas hasta ahora y de otras, por ejemplo, a través de entrevistas informales con el personal del Departamento.
Organizar y Coordinar Gestión económica Este apartado de las responsabilidades de la Dirección de Informática tiene varias facetas: presupuestación, adquisición de bienes y servicios y medida y reparto de costes. Presupuestación  Como todo departamento de la empresa, el de Informática debe tener un presupuesto económico, normalmente en base anual.  Los criterios sobre cuáles deben ser los componentes del mismo varían grandemente.  Sea cual sea la política seguida en la empresa, el Departamento de Informática debe seguirla para elaborar su presupuesto anual.
Organizar y Coordinar Guía de auditoria El auditor deberá constatar la existencia de un presupuesto económico de un proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarlo, y que dicho proceso está en línea con las políticas y procedimientos de la empresa y con los planes estratégico y operativo del propio Departamento.
Organizar y Coordinar Adquisición de bienes y servicios  Los procedimientos que el Departamento de Informática siga para adquirir los bienes y servicios descritos en su plan operativo anual y/o que se demuestren necesarios a lo largo del ejercicio han de estar documentados y alineados con los procedimientos de compras del resto de la empresa. Aquí, las variedades infinitas, con lo que es imposible dar reglas fijas. Guía de auditoria  Una auditoria de esta área no debe diferenciarse de una auditoria tradicional del proceso de compras de cualquier otra área de la empresa, con lo que el auditor deberá seguir básicamente las directrices y programas de trabajo de auditoria elaborados para este proceso.
Organizar y Coordinar Medida y reparto de costes La dirección de informática debe en todo momento gestionar los costes asociados con la utilización de los recursos humanos y tecnológicos. Y ello, obviamente, exige medirlos. Guía de auditoria  El auditor deberá evaluar la conveniencia de que exista o no un sistema de reparto de costes informáticos y de que este sea justo, incluya los conceptos adecuados y de que el precio de transferencia aplicada este en línea o por debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar:  Realización de entrevistas a la dirección de los departamentos usuarios.  Análisis de los componentes y criterios con los que está calculado el precio de transferencia.  Conocimiento de los diversos sistemas existentes en el departamento.
Organizar y Coordinar SEGUROS  La dirección de informática debe tomar las medidas necesarias con el fin de tener la suficiente cobertura para los sistemas informáticos.  Estas coberturas amparan riesgos tales como la posible perdida de negocio, los costes asociados al hecho de tener que ofrecer servicio informático desde un lugar alternativo por no estar disponible en sitio primario, los costos asociados a la regeneración de datos por perdida o inutilización de los datos originales, etc. Guía de auditoria  El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura existente, analizando si la empresa está suficientemente cubierta o existen huecos en dicha cobertura. Por ejemplo, algunas pólizas sólo cubren el reemplazo del equipo, pero no los otros costes mencionados, etc.
CONTROLAR CONTROL Y SEGUIMIENTO  Un aspecto común a todo lo que se ha dicho hasta el momento es la obligación de la Dirección de controlar y efectuar un seguimiento permanente de la distinta actividad del Departamento.  Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los proyectos que los desarrollan, la ejecución del presupuesto, etc.  En esta labor, es muy conveniente que existan estándares de rendimiento con los que comparar las diversas tareas.
CONTROLAR Guía de auditoria Entre las acciones a realizar, se pueden mencionar:  Conocimiento y análisis de los procesos existentes en el Departamento para llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los mismos. Analizar igualmente los procesos de represupuestación.  Revisión de planes, proyectos, presupuestos de años anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y que se toman las medidas correctoras necesarias.
CONTROLAR Cumplimiento de la normativa legal  La Dirección de Informática debe controlar que la realización de sus actividades se lleva a cabo dentro del respeto a la normativa legal aplicable.  Asimismo, deben existir procedimientos para vigilar y determinar permanentemente la legislación aplicable. Guía de auditoria  El auditor deberá evaluar si la mencionada normativa aplicable se cumple.  Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de la empresa la Dirección de Recursos Humanos y la Dirección de Informática con el fin de conocer dicha normativa.  A continuación, evaluará el cumplimiento de las normas, en particular en los aspectos más críticos.
CONCLUSIONES  La contribución de la dirección de informática realiza un control de las operaciones informáticas dentro de una empresa y esto viene a ser una parte esencial de la misma.  La calidad de los controles impulsados e inspirados por la dirección de informática tiene gran influencia sobre el probable comportamiento de los SI.  Para poder tener una buena dirección de auditoria informática es necesario tener una buena planificación, organización, coordinación y un debido control de las diversas actividades que realiza la organización.

Recomendados

Taller numero 2 A.S.I II
Taller numero 2 A.S.I IITaller numero 2 A.S.I II
Taller numero 2 A.S.I IIGema Zambrano Cruzatty
 
Material 3.2
Material 3.2Material 3.2
Material 3.2Diomedes Nunez
 
Tablero De Mandos Estrategicos
Tablero De Mandos EstrategicosTablero De Mandos Estrategicos
Tablero De Mandos EstrategicosGestioPolis com
 
la gestion integral empresarial del presente
la gestion integral empresarial del presentela gestion integral empresarial del presente
la gestion integral empresarial del presenteguest118fe2ae
 
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...EUROsociAL II
 
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)Karen Vargas Peñafiel
 
CLASE 1: AUDITORIA
CLASE 1: AUDITORIACLASE 1: AUDITORIA
CLASE 1: AUDITORIAangeles111
 
T5. Implantación de un sistema de control
T5. Implantación de un sistema de controlT5. Implantación de un sistema de control
T5. Implantación de un sistema de controlmatilderuiz
 

Recomendados

Taller numero 2 A.S.I II
Taller numero 2 A.S.I IITaller numero 2 A.S.I II
Taller numero 2 A.S.I IIGema Zambrano Cruzatty
 
Material 3.2
Material 3.2Material 3.2
Material 3.2Diomedes Nunez
 
Tablero De Mandos Estrategicos
Tablero De Mandos EstrategicosTablero De Mandos Estrategicos
Tablero De Mandos EstrategicosGestioPolis com
 
la gestion integral empresarial del presente
la gestion integral empresarial del presentela gestion integral empresarial del presente
la gestion integral empresarial del presenteguest118fe2ae
 
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...EUROsociAL II
 
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)Karen Vargas Peñafiel
 
CLASE 1: AUDITORIA
CLASE 1: AUDITORIACLASE 1: AUDITORIA
CLASE 1: AUDITORIAangeles111
 
T5. Implantación de un sistema de control
T5. Implantación de un sistema de controlT5. Implantación de un sistema de control
T5. Implantación de un sistema de controlmatilderuiz
 
5 guia imp lss v controlar weps 02 ago 13
5 guia imp lss v controlar weps 02 ago 135 guia imp lss v controlar weps 02 ago 13
5 guia imp lss v controlar weps 02 ago 13WILFREDO ELIAS PIMENTEL SERRANO
 
Gpr
GprGpr
Gprjohy_cabrera
 
Guia #3 gestion de planes y proyectos
Guia #3 gestion de planes y proyectosGuia #3 gestion de planes y proyectos
Guia #3 gestion de planes y proyectosprofetellez
 
1 guia imp lss i definir weps 02 ago13
1 guia imp lss i definir weps 02 ago131 guia imp lss i definir weps 02 ago13
1 guia imp lss i definir weps 02 ago13WILFREDO ELIAS PIMENTEL SERRANO
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foodsdaylisyfran
 
Clase 4
Clase 4Clase 4
Clase 4RobertoMendez74
 
Expo gestion por resultados viri
Expo gestion por resultados viriExpo gestion por resultados viri
Expo gestion por resultados viriV G
 
Control de Gestión con Balance Scorecard
Control de Gestión con Balance ScorecardControl de Gestión con Balance Scorecard
Control de Gestión con Balance ScorecardJuan Carlos Fernandez
 
Gestión por resultados
Gestión por resultadosGestión por resultados
Gestión por resultadosCarlos Javier Regazzoni
 
Gestión por resultados 2013
Gestión por resultados 2013Gestión por resultados 2013
Gestión por resultados 2013Paúl Alejandro Rivera
 
modelo de cambio organizacional de alto desmepeño 1.0
modelo de cambio organizacional de alto desmepeño 1.0modelo de cambio organizacional de alto desmepeño 1.0
modelo de cambio organizacional de alto desmepeño 1.0Mario Brieño
 
Gpr guía-metodológica
Gpr guía-metodológicaGpr guía-metodológica
Gpr guía-metodológicallerenamarieta
 
Kaizen 4 problemas de implementacion 2018
Kaizen 4 problemas de implementacion 2018Kaizen 4 problemas de implementacion 2018
Kaizen 4 problemas de implementacion 2018Primala Sistema de Gestion
 
Tablero De Comando
Tablero De ComandoTablero De Comando
Tablero De ComandoUNAM Facultad de Contaduría, Administración e Informática
 
Control estratégico
Control estratégicoControl estratégico
Control estratégicoJESSY CHICAIZA
 
Planificación Estratégica
Planificación EstratégicaPlanificación Estratégica
Planificación EstratégicaYonathan Mejias
 
COBIT
COBITCOBIT
COBITlorena espano
 
Se 01 conf_modelo de las 6 p's del mapeo 1.0
Se 01 conf_modelo de las 6 p's del mapeo 1.0Se 01 conf_modelo de las 6 p's del mapeo 1.0
Se 01 conf_modelo de las 6 p's del mapeo 1.0Mario Brieño
 
Po3 determinar la direccion tecnologica
Po3 determinar la direccion tecnologicaPo3 determinar la direccion tecnologica
Po3 determinar la direccion tecnologicaKaterine Clavo Navarro
 
Portafilio trabajos-recientes-john-tangarife-morales
Portafilio trabajos-recientes-john-tangarife-moralesPortafilio trabajos-recientes-john-tangarife-morales
Portafilio trabajos-recientes-john-tangarife-moralesJohn Tangarife Morales
 
Enbridge presentation, May 16, 2013
Enbridge presentation, May 16, 2013Enbridge presentation, May 16, 2013
Enbridge presentation, May 16, 2013ONEIA
 

Más contenido relacionado

La actualidad más candente

Guia #3 gestion de planes y proyectos
Guia #3 gestion de planes y proyectosGuia #3 gestion de planes y proyectos
Guia #3 gestion de planes y proyectosprofetellez
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foodsdaylisyfran
 
Expo gestion por resultados viri
Expo gestion por resultados viriExpo gestion por resultados viri
Expo gestion por resultados viriV G
 
Control de Gestión con Balance Scorecard
Control de Gestión con Balance ScorecardControl de Gestión con Balance Scorecard
Control de Gestión con Balance ScorecardJuan Carlos Fernandez
 
modelo de cambio organizacional de alto desmepeño 1.0
modelo de cambio organizacional de alto desmepeño 1.0modelo de cambio organizacional de alto desmepeño 1.0
modelo de cambio organizacional de alto desmepeño 1.0Mario Brieño
 
Gpr guía-metodológica
Gpr guía-metodológicaGpr guía-metodológica
Gpr guía-metodológicallerenamarieta
 
Planificación Estratégica
Planificación EstratégicaPlanificación Estratégica
Planificación EstratégicaYonathan Mejias
 
Se 01 conf_modelo de las 6 p's del mapeo 1.0
Se 01 conf_modelo de las 6 p's del mapeo 1.0Se 01 conf_modelo de las 6 p's del mapeo 1.0
Se 01 conf_modelo de las 6 p's del mapeo 1.0Mario Brieño
 
Po3 determinar la direccion tecnologica
Po3 determinar la direccion tecnologicaPo3 determinar la direccion tecnologica
Po3 determinar la direccion tecnologicaKaterine Clavo Navarro
 

La actualidad más candente (20)

5 guia imp lss v controlar weps 02 ago 13
5 guia imp lss v controlar weps 02 ago 135 guia imp lss v controlar weps 02 ago 13
5 guia imp lss v controlar weps 02 ago 13
 
Gpr
GprGpr
Gpr
 
Guia #3 gestion de planes y proyectos
Guia #3 gestion de planes y proyectosGuia #3 gestion de planes y proyectos
Guia #3 gestion de planes y proyectos
 
1 guia imp lss i definir weps 02 ago13
1 guia imp lss i definir weps 02 ago131 guia imp lss i definir weps 02 ago13
1 guia imp lss i definir weps 02 ago13
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Caso United Foods
Caso United FoodsCaso United Foods
Caso United Foods
 
Clase 4
Clase 4Clase 4
Clase 4
 
Expo gestion por resultados viri
Expo gestion por resultados viriExpo gestion por resultados viri
Expo gestion por resultados viri
 
Control de Gestión con Balance Scorecard
Control de Gestión con Balance ScorecardControl de Gestión con Balance Scorecard
Control de Gestión con Balance Scorecard
 
Gestión por resultados
Gestión por resultadosGestión por resultados
Gestión por resultados
 
Gestión por resultados 2013
Gestión por resultados 2013Gestión por resultados 2013
Gestión por resultados 2013
 
modelo de cambio organizacional de alto desmepeño 1.0
modelo de cambio organizacional de alto desmepeño 1.0modelo de cambio organizacional de alto desmepeño 1.0
modelo de cambio organizacional de alto desmepeño 1.0
 
Gpr guía-metodológica
Gpr guía-metodológicaGpr guía-metodológica
Gpr guía-metodológica
 
Kaizen 4 problemas de implementacion 2018
Kaizen 4 problemas de implementacion 2018Kaizen 4 problemas de implementacion 2018
Kaizen 4 problemas de implementacion 2018
 
Tablero De Comando
Tablero De ComandoTablero De Comando
Tablero De Comando
 
Control estratégico
Control estratégicoControl estratégico
Control estratégico
 
Planificación Estratégica
Planificación EstratégicaPlanificación Estratégica
Planificación Estratégica
 
COBIT
COBITCOBIT
COBIT
 
Se 01 conf_modelo de las 6 p's del mapeo 1.0
Se 01 conf_modelo de las 6 p's del mapeo 1.0Se 01 conf_modelo de las 6 p's del mapeo 1.0
Se 01 conf_modelo de las 6 p's del mapeo 1.0
 
Po3 determinar la direccion tecnologica
Po3 determinar la direccion tecnologicaPo3 determinar la direccion tecnologica
Po3 determinar la direccion tecnologica
 

Destacado

Portafilio trabajos-recientes-john-tangarife-morales
Portafilio trabajos-recientes-john-tangarife-moralesPortafilio trabajos-recientes-john-tangarife-morales
Portafilio trabajos-recientes-john-tangarife-moralesJohn Tangarife Morales
 
Enbridge presentation, May 16, 2013
Enbridge presentation, May 16, 2013Enbridge presentation, May 16, 2013
Enbridge presentation, May 16, 2013ONEIA
 
Clairvest presentation, May 16, 2013
Clairvest presentation, May 16, 2013Clairvest presentation, May 16, 2013
Clairvest presentation, May 16, 2013ONEIA
 
Endetec-Veolia presentation, May 16, 2013
Endetec-Veolia presentation, May 16, 2013Endetec-Veolia presentation, May 16, 2013
Endetec-Veolia presentation, May 16, 2013ONEIA
 
Evaluation question 3
Evaluation question 3Evaluation question 3
Evaluation question 3aroosa3105
 
Ejemplo de revision_por_la_direccion[1]
Ejemplo de revision_por_la_direccion[1]Ejemplo de revision_por_la_direccion[1]
Ejemplo de revision_por_la_direccion[1]andreasgallman
 
Ottawa NIEM SOA Open Data Event
Ottawa NIEM SOA Open Data EventOttawa NIEM SOA Open Data Event
Ottawa NIEM SOA Open Data EventBizagi Inc
 
Ejemplo acta revision por la direccion
Ejemplo acta revision por la direccionEjemplo acta revision por la direccion
Ejemplo acta revision por la direccionKaterine Zuluaga
 
Program statements and constructs
Program statements and constructsProgram statements and constructs
Program statements and constructstashannwatson
 

Destacado (13)

Portafilio trabajos-recientes-john-tangarife-morales
Portafilio trabajos-recientes-john-tangarife-moralesPortafilio trabajos-recientes-john-tangarife-morales
Portafilio trabajos-recientes-john-tangarife-morales
 
Enbridge presentation, May 16, 2013
Enbridge presentation, May 16, 2013Enbridge presentation, May 16, 2013
Enbridge presentation, May 16, 2013
 
Clairvest presentation, May 16, 2013
Clairvest presentation, May 16, 2013Clairvest presentation, May 16, 2013
Clairvest presentation, May 16, 2013
 
Semana santa
Semana santaSemana santa
Semana santa
 
Tema 3
Tema 3Tema 3
Tema 3
 
Endetec-Veolia presentation, May 16, 2013
Endetec-Veolia presentation, May 16, 2013Endetec-Veolia presentation, May 16, 2013
Endetec-Veolia presentation, May 16, 2013
 
Evaluation question 3
Evaluation question 3Evaluation question 3
Evaluation question 3
 
Ejemplo de revision_por_la_direccion[1]
Ejemplo de revision_por_la_direccion[1]Ejemplo de revision_por_la_direccion[1]
Ejemplo de revision_por_la_direccion[1]
 
Ottawa NIEM SOA Open Data Event
Ottawa NIEM SOA Open Data EventOttawa NIEM SOA Open Data Event
Ottawa NIEM SOA Open Data Event
 
El sistema fssc 22000
El sistema fssc 22000El sistema fssc 22000
El sistema fssc 22000
 
Ejemplo acta revision por la direccion
Ejemplo acta revision por la direccionEjemplo acta revision por la direccion
Ejemplo acta revision por la direccion
 
CURSO DE AUDITORIA RESUMEN
CURSO DE AUDITORIA RESUMENCURSO DE AUDITORIA RESUMEN
CURSO DE AUDITORIA RESUMEN
 
Program statements and constructs
Program statements and constructsProgram statements and constructs
Program statements and constructs
 

Similar a Tema 5

Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Anne Yackeline
 
Universidad de oriente implementacion estrategias
Universidad de oriente implementacion estrategiasUniversidad de oriente implementacion estrategias
Universidad de oriente implementacion estrategiasjorgepalaciios
 
15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf
15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf
15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdfSolInte
 
Cuadro de mando integral
Cuadro de mando integralCuadro de mando integral
Cuadro de mando integralDankoJimenez
 
Auditoria informatica cv
Auditoria informatica cvAuditoria informatica cv
Auditoria informatica cvfalco87
 
BSC Gestion de proyectos.pptx
BSC Gestion de proyectos.pptxBSC Gestion de proyectos.pptx
BSC Gestion de proyectos.pptxJaimedelaGala
 
Instituto politécnico
Instituto politécnico Instituto politécnico
Instituto politécnico Ing Jose
 
Auditoria de recursos humanos en la actualidad
Auditoria de recursos humanos en la actualidadAuditoria de recursos humanos en la actualidad
Auditoria de recursos humanos en la actualidad1627amaya
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumenfranyelis23
 

Similar a Tema 5 (20)

Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
MYPP - Semana 7
MYPP - Semana 7MYPP - Semana 7
MYPP - Semana 7
 
CobiT
CobiTCobiT
CobiT
 
Alineación total
Alineación totalAlineación total
Alineación total
 
Universidad de oriente implementacion estrategias
Universidad de oriente implementacion estrategiasUniversidad de oriente implementacion estrategias
Universidad de oriente implementacion estrategias
 
Auditoria informatica cv
Auditoria informatica cvAuditoria informatica cv
Auditoria informatica cv
 
15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf
15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf
15.-PRESENTACIÓN-FORO-ESPECIALIZADO-ICONTEC-PENSAMIENTOS-BASADOS-EN-RIESGOS.pdf
 
Trabajo de auditoria
Trabajo de auditoria Trabajo de auditoria
Trabajo de auditoria
 
Expo Tesis
Expo TesisExpo Tesis
Expo Tesis
 
Bsc
BscBsc
Bsc
 
Cuadro de mando integral
Cuadro de mando integralCuadro de mando integral
Cuadro de mando integral
 
Auditoria informatica cv
Auditoria informatica cvAuditoria informatica cv
Auditoria informatica cv
 
BSC Gestion de proyectos.pptx
BSC Gestion de proyectos.pptxBSC Gestion de proyectos.pptx
BSC Gestion de proyectos.pptx
 
Instituto politécnico
Instituto politécnico Instituto politécnico
Instituto politécnico
 
Auditoria de recursos humanos en la actualidad
Auditoria de recursos humanos en la actualidadAuditoria de recursos humanos en la actualidad
Auditoria de recursos humanos en la actualidad
 
Semana 09 al 12
Semana 09 al 12Semana 09 al 12
Semana 09 al 12
 
Evis trabajo
Evis trabajoEvis trabajo
Evis trabajo
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumen
 
Tema 2_3.pdf
Tema 2_3.pdfTema 2_3.pdf
Tema 2_3.pdf
 

Más de Carmelo Branimir España Villegas

Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 

Más de Carmelo Branimir España Villegas (20)

La norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquelaLa norma de calidad ISO 25000, aplíquela
La norma de calidad ISO 25000, aplíquela
 
Nosotros los maduritos
Nosotros los maduritosNosotros los maduritos
Nosotros los maduritos
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Tema 2
Tema 2Tema 2
Tema 2
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tema 8
Tema 8Tema 8
Tema 8
 
Tema 9
Tema 9Tema 9
Tema 9
 
Tema 6
Tema 6Tema 6
Tema 6
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Introduccion ipv6 v11
Introduccion ipv6 v11Introduccion ipv6 v11
Introduccion ipv6 v11
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tema 4
Tema 4Tema 4
Tema 4
 
Tema 1tarea
Tema 1tareaTema 1tarea
Tema 1tarea
 
Memorias de un ingeniero
Memorias de un ingenieroMemorias de un ingeniero
Memorias de un ingeniero
 
Edad media
Edad mediaEdad media
Edad media
 
Edad media
Edad mediaEdad media
Edad media
 
Explicacion crisis
Explicacion crisisExplicacion crisis
Explicacion crisis
 
Techyredes espanol
Techyredes espanolTechyredes espanol
Techyredes espanol
 

Tema 5

  • 1. LOGO Auditoria de la Dirección Tema 5 Auditoria Informática Docente: Carmelo España V. E-mail: carmelobranimir@gmail.com
  • 2. INTRODUCCIÓN Cómo auditar los procesos de la alta dirección No podemos negar que cuando hablamos de la Auditoria a la alta dirección se dispara cierta preocupación de los auditores para poder planificar la auditoria de manera que salga muy bien, esa planificación por momentos se hace muy extensa y abunda en notas a auditar y por momentos se resume a algunos pocos puntos. Mucho depende si la auditoria es externa o es interna, generalmente en el primer caso siempre queremos dejar demostrado a la empresa que nos contrata, que nos ceñimos o ajustamos al mayor profesionalismo y conocemos técnicamente de que estamos hablando, mientras que en el caso de una auditoria interna tratamos de demostrar a nuestra Dirección que tenemos una buena planificación para que la auditoria sea efectiva, no quite tiempo productivo y aporte el mayor valor agregado.
  • 3. INTRODUCCIÓN Cómo auditar los procesos de la alta dirección Aclaremos algo muy importante, si realizamos una buena planificación de la auditoria a la alta dirección y aplicamos criterios adecuados y sentido común, el buen aporte del auditor en esta área tendrá casi siempre un muy buen efecto a lo largo de toda la cadena, ya que es el lugar indicado para poner en juego todo nuestros conocimientos y agregar valor a la organización. Reconociendo que la auditoria de los procesos de la alta dirección es un asunto sensible, este tema brinda una guía para esta categoría de auditoría.
  • 4. Como empezar… Es recomendable que los auditores involucren a la alta dirección en la auditoría, es decir, invitarlos a las reuniones de apertura y cierre, programar tiempo suficiente en el plan de auditoria para entrevistar a los altos directivos, discutir los hallazgos de la auditoría directamente con ellos, buscar evidencia de su compromiso, etc. Es importante que el centro de atención deje de estar sólo en el responsable de calidad, o del director de calidad y pase a la alta dirección de la organización. Se recomienda que el auditor considere las actividades de la alta dirección como procesos y los audite de acuerdo a ello.
  • 5. Planificación de la auditoría El auditor debe identificar los procesos de la alta dirección y: Comprender la organización y su estructura de gestión analizando información tal como: organigramas, reportes anuales, planes de negocio, perfil de la organización, comunicados de prensa, sitios web. Prever en el plan de la auditoría la recolección de información pertinente respecto al compromiso de la alta dirección, entrevistando directamente a la alta dirección Comprender la cultura de la organización y de su alta dirección, con el fin de determinar el impacto sobre el plan de la auditoría, haciendo los ajustes que sean necesarios Encarar en forma profesional el enfoque de los auditores respecto a su vestimenta, identificando las prácticas de la organización al respecto Planificar el momento de la auditoría a la alta dirección, para asegurar puntualidad y su conveniencia Un auditor con poca experiencia en auditoría no debería ser designado para entrevistar a la alta dirección.
  • 6. Conducción de la auditoría Durante las entrevistas a la alta dirección, el auditor puede, haciendo uso de terminología de los negocios apropiada, hacer preguntas pertinentes que: permitan obtener evidencias de la toma de conciencia y del compromiso de la alta dirección con respecto a la calidad, y su pertinencia a los objetivos generales de la organización y a su sistema de gestión de la calidad permitan obtener evidencias de cumplimiento de los requisitos de la norma ISO 9001 aplicables a la responsabilidad de la dirección.
  • 7. Recolección y verificación de evidencias El auditor/equipo auditor debería buscar constantemente oportunidades de corroborar las respuestas recibidas de la alta dirección durante las entrevistas correspondientes. Esto incluye: la disponibilidad y pertinencia de la política y los objetivos el establecimiento de una relación entre la política y los objetivos la obtención de evidencias de que la política y los objetivos son eficaces y comprendidos en toda la organización la determinación si las políticas y los objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y para lograr la satisfacción de los clientes la determinación si la lata dirección se involucra en las revisiones por al dirección.
  • 8. Recolección y verificación de evidencias Entrevistas adicionales o la recolección de nuevas evidencias pueden ser necesarias para poder corroborar la información relevada. El equipo auditor debería asegurarse de que se recolecta toda evidencia adicional referida al compromiso de la alta dirección. Asimismo, deberían analizar todas las evidencias recolectadas para asegurar que la información es exacta y completa, y para proporcionar confianza en las conclusiones a las que se arriben.
  • 9. Auditoria de la Dirección Teniendo en cuenta todas estas pautas, vamos a centrarnos en la Auditoria de la Dirección de Informática o Sistemas
  • 10. Alcance de la auditoria Organización y calificación de la dirección informática. Plan estratégico en sistema de información. Análisis de puestos. Planes y procedimientos. Normativas.
  • 11. Objetivo de la auditoria Realizar un informe con el objetivo de verificar la adecuación de medidas de aplicación a las amenazas definidas, así como el cumplimiento de requisitos exigidos. Resultados: se obtendrá: Informe de auditoria detectando riesgos y deficiencias en el manejo de la dirección informática. Plan de recomendaciones a aplicar en función de una normativa a cumplir.
  • 12. Dirección de Informática  Los departamentos informáticos están integrados en organizaciones mayores y que, por tanto son destinatarios de un sin fin de estímulos de las mismas, que duda cabe de que, dado el ámbito tecnológico tan particular de la informática, la principal influencia que dichos departamentos reciben viene inducida desde la propia dirección de informática.  Las enormes sumas que las empresas dedican a las tecnologías de información en un crecimiento que no se vislumbra el final y la absoluta dependencia de las mismas al uso correcto de dicha tecnología hacen muy necesaria una evaluación independiente de la función que la gestiona. La dirección informática no debe quedar fuera: es una pieza clave del engranaje.
  • 13. Dirección de Informática  Se podría decir que algunas de las actividades básicas de todo proceso de dirección son:  Planificar.  Organizar.  Coordinar  Controlar
  • 14. Planificar Planificar es tratar de prever la utilización de las TI’s en la empresa. Esta es una etapa muy importante en el desarrollo de una buena Auditoria, ya que nos va a permitir obtener una buena organización y poder seguir un hilo conductor de los procesos y áreas de la empresa evitando que podamos desviarnos de nuestros objetivos.
  • 15. Planificar Existen varios tipos de planes informáticos, siendo el principal el Plan Estratégico de Sistemas de Información; de este plan se derivan otros, tales como: Plan Operativo Anual, Plan de Dirección Tecnológica, Plan de Arquitectura de la Información y Plan Recuperación de desastres.
  • 16. Planificar El Plan Estratégico de Sistemas de Información es el marco básico de actuación de los SI’s en la empresa, por lo que debe asegurarse el alineamiento de los mismos con los objetivos de la empresa. Existen varias metodologías de realización de planes, y el auditor debe evaluar si dichas metodologías se están utilizando y son de utilidad para la empresa.
  • 17. Planificar Otros aspectos a evaluar son: Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc. Si se presta la adecuada consideración a las nuevas TI’s, siempre desde el punto de vista de su contribución a los fines de la empresa y no como experimentación tecnológica. Si las tareas presentes en el Plan tienen la correspondiente y adecuada asignación de recursos para realizarlas, y si los plazos para realizar dichas tareas son realistas en función de la situación actual de la empresa, de la organización informática, del estado de la TI, etc.
  • 18. Planificar Plan estratégico del sistema de información.  Debe asegurar el alineamiento de los mismos con los objetivos de la empresa.  Desgraciadamente la transformación de los objetivos de la empresa en objetivos informáticos no es siempre una tarea fácil.  Estos planes no son responsabilidad exclusiva de la dirección de informática, pero debe ser el permanente impulsor de una planificación de sistemas de información adecuada y a tiempo.
  • 19. Planificar Plan estratégico del sistema de información… Aunque se suele definir la vigencia de un plan estratégico de 3 a 5 años, tal plazo es muy dependiente del entorno en el que se mueve la empresa. Cada empresa tiene su equilibrio natural y el auditor deberá evaluar si los plazos en uso en su empresa son los adecuados. Debe existir un proceso, con participación activa de los usuarios, que regularmente elabore planes estratégico de sistemas de información a largo plazo y el auditor deberá evaluar su adecuación.
  • 20. Planificar Guía de auditoria.  El auditor deberá examinar el proceso de planificación de sistemas de información y evaluar si se cumple los objetivos.  Deberá evaluar si durante el proceso de planificación se presta adecuada atención al plan estratégico de la empresa y se presta adecuada consideración a nuevas TI.  Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignación de recursos para poder llevarlas a cabo así mismo si tiene plazo de consecución realista.
  • 21. Planificar Acciones a realizar:  Lectura de actas de sesiones del comité de informática y dedicadas a la planificación estratégica.  Identificación y lectura de los documentos intermedios preescritos por la metodología de planificación.  Lectura y comprensión detallada del plan e identificación de las consideraciones incluidas en el mismo.  Realización de entrevista al director de informática y otros miembros del comité de informática participantes en el proceso de elaboración de plan estratégico así como a los usuarios  Identificación y comprensión de los mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa .
  • 22. Otros planes relacionados. Plan operativo anual.  Se establece al comienzo de cada ejercicio y es el que marca las pautas a seguir durante el mismo.  Entre otros aspectos, debe señalar los SI a desarrollar, los cambios tecnológicos previstos, los recursos y los plazos necesarios, etc.  El auditor deberá evaluar la existencia del plan y su nivel de la calidad.  Deberá estudiar su alineamiento con el plan estratégico, grado de atención a las necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar acabo el plan, etc.  Deberá analizar si los plazos descritos son realistas, teniendo en cuenta las experiencias anteriores en la empresa.
  • 23. Otros planes relacionados. Plan de recuperación ante desastres.  Una instalación informática puede verse afectada por desastres de variada naturaleza, que tengan como consecuencia inmediata la indisponibilidad de un servicio informático adecuado.  La dirección debe prever esta posibilidad y, por tanto, planificar para hacerle frente.
  • 24. Organizar y Coordinar El proceso de organizar sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación. El auditor debe verificar diversos puntos correspondientes a organización y control, entre los cuales se encuentran los siguientes:
  • 25. Organizar y Coordinar Comité de Informática  El comité de informática es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios: es el lugar en el que se debate los grandes asuntos de la informática que afectan a toda la empresa y permiten a los usuarios conocer las necesidades del conjunto de la organización y participar en la fijación de prioridades.  Si bien estrictamente el nombramiento, la fijación de funciones, etc. del comité de informática no son responsabilidades directas de la dirección de informática, sino de la dirección general, la dirección de informática se ha de convertir en el principal impulsor de la existencia de dicho comité.
  • 26. Organizar y Coordinar  Se ha escrito mucho sobre las funciones que debe realizar un comité de informática y parece existir un cierto consenso en los siguientes aspectos:  Aprobación del plan estratégico de SI.  Aprobación de las grandes inversiones en TI.  Fijación de prioridades entre los grandes proyectos informáticos.  Vehículo de discusión entre la informática y sus usuarios.  Vigila y realiza el seguimiento de la actividad del departamento de informática
  • 27. Organizar y Coordinar Guía de auditoria  El auditor deberá asegurar que el Comité de Informática existe y cumple su papel adecuadamente.  Para ello, deberá conocer, en primer lugar, las funciones encomendadas al Comité. Entre las acciones a realizar tenemos:  Lectura de la normativa interna, si la hubiera, para conocer las funciones que debería cumplir el Comité de Informática.  Entrevistas a miembros destacados del Comité con el fin de conocer las funciones que en la práctica realiza dicho Comité.  Entrevistas a los representantes de los usuarios, miembros del Comité, para conocer si entienden y están de acuerdo con su papel en el mismo.  Una vez establecida la existencia del Comité de Informática, habrá que evaluar la adecuación de las funciones que realiza.
  • 28. Organizar y Coordinar Posición del Departamento de Informática en la empresa.  El Departamento debería estar suficientemente alto en la jerarquía y contar con masa critica suficiente para disponer de autoridad e independencia frente a los departamentos usuarios.  Hoy en día, la informática da soporte a un conjunto mucho mayor de áreas empresariales y, por ello, cada vez es más habitual encontrar a departamentos de informática dependiendo directamente de Dirección General.  Incluso en las grandes organizaciones, el Director de Informática es miembro de derecho del Comité de Dirección u órgano semejante
  • 29. Organizar y Coordinar Guía de auditoria  El auditor deberá revisar el emplazamiento organizativo del Departamento de Informática y evaluar su independencia frente a departamentos usuarios.  Para este proceso, será muy útil realizar entrevistas con el Director de Informática y directores de algunos departamentos usuarios para conocer su percepción sobre el grado de independencia y atención del Departamento de Informática.
  • 30. Organizar y Coordinar Descripción de funciones y responsabilidades del Departamento de Informática. Segregación de funciones.  Es necesario que las grandes unidades organizativas dentro del Departamento de informática tengan sus funciones descritas y sus responsabilidades claramente delimitadas y documentadas.  Es necesario que este conocimiento se extienda a todo el personal perteneciente a Informática; todos ellos deben conocer sus funciones y responsabilidades en relación con los sistemas de información. Y todo ello es una labor que compete, en gran medida, a la Dirección de Informática.
  • 31. Organizar y Coordinar Aseguramiento de la Calidad  La calidad de los servicios ofrecidos por el Departamento de Informática debe estar asegurada mediante el establecimiento de una función organizativa de Aseguramiento de la Calidad.  Es muy importante que esta función, de relativa nueva aparición en el mundo de las organizaciones informáticas, tenga el total respaldo de la Dirección y sea percibido así por el resto del Departamento.
  • 32. Organizar y Coordinar Guía de auditoria  El auditor deberá comprobar que las descripciones están documentadas y son actuales y que las unidades organizativas informáticas las comprenden y desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor podrá realizar. figuran:  Examen del organigrama del Departamento de Informática e identificación de las grandes unidades organizativas.  Revisión de la documentación existente para conocer la descripción de las funciones y responsabilidades.
  • 33. Organizar y Coordinar Guía de auditoria  Realización de entrevistas a los directores de cada una de las grandes unidades organizativas para determinar su conocimiento de las responsabilidades de su unidad y que éstas responden a las descripciones existentes en la documentación correspondiente.  Examen de las descripciones de las funciones para evaluar si existe adecuada segregación de funciones, incluyendo la separación entre desarrollo de sistemas de información, producción y departamentos usuarios. Igualmente, será menester evaluar la independencia de la función de seguridad.  Observación de las actividades del personal del Departamento para analizar, en la práctica, las funciones realizadas, la segregación entre las mismas y el grado de cumplimiento con la documentación analizada.
  • 34. Organizar y Coordinar Estándares del funcionamiento y procedimientos. Descripción dé los puestos de trabajo.  Deben existir estándares de funcionamiento y rendimiento que gobiernen la actividad del Departamento de Informática por un lado y sus relaciones con los departamentos usuarios por otro.  Dichos estándares y procedimientos deberían estar documentados. actualizados y ser comunicados adecuadamente a todos los departamentos afectados.  Por otro lado deben existir documentadas descripciones de los puestos de trabajo dentro de Informática delimitando claramente la autoridad y la responsabilidad en cada caso.
  • 35. Organizar y Coordinar Guía de auditoria  El auditor deberá evaluar si existen estándares de funcionamiento procedimientos y descripciones de puestos de trabajo, adecuados y actualizados. Entre las acciones a realizar, se pueden citar:  Evaluación del proceso por el que los estándares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados.  Revisión de los estándares y procedimientos existentes.  Revisión de las descripciones de los puestos de trabajo para evaluar si reflejan las actividades realizadas en la práctica.
  • 36. Organizar y Coordinar Gestión de Recursos Humanos: Selección, Evaluación del Desempeño, Formación, Promoción, Finalización.  La gestión de los recursos humanos es uno de los elementos críticos en la estructura general informática.  La calidad de los recursos humanos influye directamente en localidad de los sistemas información producidos, mantenidos y operados por el departamento de informática.
  • 37. Organizar y Coordinar Guía de auditoria Entre otros el auditor deberá evaluar que:  La selección de personal se basa en criterios objetivos.  El rendimiento de cada empleado se evalúa regularmente en base a estándares.  Existen procesos para determinar la necesidades de formación de empleados en base a su experiencia.  Existen procesos para la promoción del personal que tienen en cuenta su desempeño profesional.  Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la seguridad informática  Además el auditor deberá evaluar que todos los aspectos anteriores están en línea con las políticas y procedimientos de la empresa.
  • 38. Organizar y Coordinar Entre las acciones realizadas se pueden citar:  Conocimiento y evaluación de los procesos utilizados para cubrir vacantes en el Departamento de Informática.  Análisis de las cifras de rotación de personal, niveles de absentismo laboral y estadísticas de proyectos terminados fuera de presupuesto y de plazo.  Realización de entrevistas a personal del Departamento.  Revisión del calendario de cursos, descripciones de los mismos, métodos y técnicas de enseñanza.  Revisión de los procedimientos para la finalización de contratos.
  • 39. Organizar y Coordinar Comunicación  Es necesario que exista una comunicación efectiva y eficiente entre la Dirección de Informática y el resto del personal del Departamento.  Entre los aspectos que es importante comunicar se encuentran: actitud positiva hacia los controles, integridad, ética, cumplimiento de la normativa interna entre otras, la de seguridad informática compromiso con la calidad, etc.
  • 40. Organizar y Coordinar Guía de auditoria  El auditor deberá evaluar las características de la comunicación entre la Dirección y el personal de Informática.  Para ello se podrá servir de tareas formales como las descritas hasta ahora y de otras, por ejemplo, a través de entrevistas informales con el personal del Departamento.
  • 41. Organizar y Coordinar Gestión económica Este apartado de las responsabilidades de la Dirección de Informática tiene varias facetas: presupuestación, adquisición de bienes y servicios y medida y reparto de costes. Presupuestación  Como todo departamento de la empresa, el de Informática debe tener un presupuesto económico, normalmente en base anual.  Los criterios sobre cuáles deben ser los componentes del mismo varían grandemente.  Sea cual sea la política seguida en la empresa, el Departamento de Informática debe seguirla para elaborar su presupuesto anual.
  • 42. Organizar y Coordinar Guía de auditoria El auditor deberá constatar la existencia de un presupuesto económico de un proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarlo, y que dicho proceso está en línea con las políticas y procedimientos de la empresa y con los planes estratégico y operativo del propio Departamento.
  • 43. Organizar y Coordinar Adquisición de bienes y servicios  Los procedimientos que el Departamento de Informática siga para adquirir los bienes y servicios descritos en su plan operativo anual y/o que se demuestren necesarios a lo largo del ejercicio han de estar documentados y alineados con los procedimientos de compras del resto de la empresa. Aquí, las variedades infinitas, con lo que es imposible dar reglas fijas. Guía de auditoria  Una auditoria de esta área no debe diferenciarse de una auditoria tradicional del proceso de compras de cualquier otra área de la empresa, con lo que el auditor deberá seguir básicamente las directrices y programas de trabajo de auditoria elaborados para este proceso.
  • 44. Organizar y Coordinar Medida y reparto de costes La dirección de informática debe en todo momento gestionar los costes asociados con la utilización de los recursos humanos y tecnológicos. Y ello, obviamente, exige medirlos. Guía de auditoria  El auditor deberá evaluar la conveniencia de que exista o no un sistema de reparto de costes informáticos y de que este sea justo, incluya los conceptos adecuados y de que el precio de transferencia aplicada este en línea o por debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar:  Realización de entrevistas a la dirección de los departamentos usuarios.  Análisis de los componentes y criterios con los que está calculado el precio de transferencia.  Conocimiento de los diversos sistemas existentes en el departamento.
  • 45. Organizar y Coordinar SEGUROS  La dirección de informática debe tomar las medidas necesarias con el fin de tener la suficiente cobertura para los sistemas informáticos.  Estas coberturas amparan riesgos tales como la posible perdida de negocio, los costes asociados al hecho de tener que ofrecer servicio informático desde un lugar alternativo por no estar disponible en sitio primario, los costos asociados a la regeneración de datos por perdida o inutilización de los datos originales, etc. Guía de auditoria  El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura existente, analizando si la empresa está suficientemente cubierta o existen huecos en dicha cobertura. Por ejemplo, algunas pólizas sólo cubren el reemplazo del equipo, pero no los otros costes mencionados, etc.
  • 46. CONTROLAR CONTROL Y SEGUIMIENTO  Un aspecto común a todo lo que se ha dicho hasta el momento es la obligación de la Dirección de controlar y efectuar un seguimiento permanente de la distinta actividad del Departamento.  Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los proyectos que los desarrollan, la ejecución del presupuesto, etc.  En esta labor, es muy conveniente que existan estándares de rendimiento con los que comparar las diversas tareas.
  • 47. CONTROLAR Guía de auditoria Entre las acciones a realizar, se pueden mencionar:  Conocimiento y análisis de los procesos existentes en el Departamento para llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los mismos. Analizar igualmente los procesos de represupuestación.  Revisión de planes, proyectos, presupuestos de años anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y que se toman las medidas correctoras necesarias.
  • 48. CONTROLAR Cumplimiento de la normativa legal  La Dirección de Informática debe controlar que la realización de sus actividades se lleva a cabo dentro del respeto a la normativa legal aplicable.  Asimismo, deben existir procedimientos para vigilar y determinar permanentemente la legislación aplicable. Guía de auditoria  El auditor deberá evaluar si la mencionada normativa aplicable se cumple.  Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de la empresa la Dirección de Recursos Humanos y la Dirección de Informática con el fin de conocer dicha normativa.  A continuación, evaluará el cumplimiento de las normas, en particular en los aspectos más críticos.
  • 49. CONCLUSIONES  La contribución de la dirección de informática realiza un control de las operaciones informáticas dentro de una empresa y esto viene a ser una parte esencial de la misma.  La calidad de los controles impulsados e inspirados por la dirección de informática tiene gran influencia sobre el probable comportamiento de los SI.  Para poder tener una buena dirección de auditoria informática es necesario tener una buena planificación, organización, coordinación y un debido control de las diversas actividades que realiza la organización.