Carmelo Branimir España Villegas, profile picture
Subido porCarmelo Branimir España Villegas
328 vistas

Tema 5

El documento proporciona guías para auditar los procesos de la dirección de informática de una organización. Explica que la auditoría debe evaluar la planificación estratégica de sistemas de información, incluyendo el plan operativo anual y el plan de recuperación ante desastres. También debe verificar que la organización y coordinación son adecuadas, como la existencia de un comité de informática y la posición independiente del departamento de informática en la empresa.

Incrustar presentación

Descargar para leer sin conexión
LOGO Auditoria de la Dirección Tema 5 Auditoria Informática Docente: Carmelo España V. E-mail: carmelobranimir@gmail.com
INTRODUCCIÓN Cómo auditar los procesos de la alta dirección No podemos negar que cuando hablamos de la Auditoria a la alta dirección se dispara cierta preocupación de los auditores para poder planificar la auditoria de manera que salga muy bien, esa planificación por momentos se hace muy extensa y abunda en notas a auditar y por momentos se resume a algunos pocos puntos. Mucho depende si la auditoria es externa o es interna, generalmente en el primer caso siempre queremos dejar demostrado a la empresa que nos contrata, que nos ceñimos o ajustamos al mayor profesionalismo y conocemos técnicamente de que estamos hablando, mientras que en el caso de una auditoria interna tratamos de demostrar a nuestra Dirección que tenemos una buena planificación para que la auditoria sea efectiva, no quite tiempo productivo y aporte el mayor valor agregado.
INTRODUCCIÓN Cómo auditar los procesos de la alta dirección Aclaremos algo muy importante, si realizamos una buena planificación de la auditoria a la alta dirección y aplicamos criterios adecuados y sentido común, el buen aporte del auditor en esta área tendrá casi siempre un muy buen efecto a lo largo de toda la cadena, ya que es el lugar indicado para poner en juego todo nuestros conocimientos y agregar valor a la organización. Reconociendo que la auditoria de los procesos de la alta dirección es un asunto sensible, este tema brinda una guía para esta categoría de auditoría.
Como empezar… Es recomendable que los auditores involucren a la alta dirección en la auditoría, es decir, invitarlos a las reuniones de apertura y cierre, programar tiempo suficiente en el plan de auditoria para entrevistar a los altos directivos, discutir los hallazgos de la auditoría directamente con ellos, buscar evidencia de su compromiso, etc. Es importante que el centro de atención deje de estar sólo en el responsable de calidad, o del director de calidad y pase a la alta dirección de la organización. Se recomienda que el auditor considere las actividades de la alta dirección como procesos y los audite de acuerdo a ello.
Planificación de la auditoría El auditor debe identificar los procesos de la alta dirección y: Comprender la organización y su estructura de gestión analizando información tal como: organigramas, reportes anuales, planes de negocio, perfil de la organización, comunicados de prensa, sitios web. Prever en el plan de la auditoría la recolección de información pertinente respecto al compromiso de la alta dirección, entrevistando directamente a la alta dirección Comprender la cultura de la organización y de su alta dirección, con el fin de determinar el impacto sobre el plan de la auditoría, haciendo los ajustes que sean necesarios Encarar en forma profesional el enfoque de los auditores respecto a su vestimenta, identificando las prácticas de la organización al respecto Planificar el momento de la auditoría a la alta dirección, para asegurar puntualidad y su conveniencia Un auditor con poca experiencia en auditoría no debería ser designado para entrevistar a la alta dirección.
Conducción de la auditoría Durante las entrevistas a la alta dirección, el auditor puede, haciendo uso de terminología de los negocios apropiada, hacer preguntas pertinentes que: permitan obtener evidencias de la toma de conciencia y del compromiso de la alta dirección con respecto a la calidad, y su pertinencia a los objetivos generales de la organización y a su sistema de gestión de la calidad permitan obtener evidencias de cumplimiento de los requisitos de la norma ISO 9001 aplicables a la responsabilidad de la dirección.
Recolección y verificación de evidencias El auditor/equipo auditor debería buscar constantemente oportunidades de corroborar las respuestas recibidas de la alta dirección durante las entrevistas correspondientes. Esto incluye: la disponibilidad y pertinencia de la política y los objetivos el establecimiento de una relación entre la política y los objetivos la obtención de evidencias de que la política y los objetivos son eficaces y comprendidos en toda la organización la determinación si las políticas y los objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y para lograr la satisfacción de los clientes la determinación si la lata dirección se involucra en las revisiones por al dirección.
Recolección y verificación de evidencias Entrevistas adicionales o la recolección de nuevas evidencias pueden ser necesarias para poder corroborar la información relevada. El equipo auditor debería asegurarse de que se recolecta toda evidencia adicional referida al compromiso de la alta dirección. Asimismo, deberían analizar todas las evidencias recolectadas para asegurar que la información es exacta y completa, y para proporcionar confianza en las conclusiones a las que se arriben.
Auditoria de la Dirección Teniendo en cuenta todas estas pautas, vamos a centrarnos en la Auditoria de la Dirección de Informática o Sistemas
Alcance de la auditoria Organización y calificación de la dirección informática. Plan estratégico en sistema de información. Análisis de puestos. Planes y procedimientos. Normativas.
Objetivo de la auditoria Realizar un informe con el objetivo de verificar la adecuación de medidas de aplicación a las amenazas definidas, así como el cumplimiento de requisitos exigidos. Resultados: se obtendrá: Informe de auditoria detectando riesgos y deficiencias en el manejo de la dirección informática. Plan de recomendaciones a aplicar en función de una normativa a cumplir.
Dirección de Informática  Los departamentos informáticos están integrados en organizaciones mayores y que, por tanto son destinatarios de un sin fin de estímulos de las mismas, que duda cabe de que, dado el ámbito tecnológico tan particular de la informática, la principal influencia que dichos departamentos reciben viene inducida desde la propia dirección de informática.  Las enormes sumas que las empresas dedican a las tecnologías de información en un crecimiento que no se vislumbra el final y la absoluta dependencia de las mismas al uso correcto de dicha tecnología hacen muy necesaria una evaluación independiente de la función que la gestiona. La dirección informática no debe quedar fuera: es una pieza clave del engranaje.
Dirección de Informática  Se podría decir que algunas de las actividades básicas de todo proceso de dirección son:  Planificar.  Organizar.  Coordinar  Controlar
Planificar Planificar es tratar de prever la utilización de las TI’s en la empresa. Esta es una etapa muy importante en el desarrollo de una buena Auditoria, ya que nos va a permitir obtener una buena organización y poder seguir un hilo conductor de los procesos y áreas de la empresa evitando que podamos desviarnos de nuestros objetivos.
Planificar Existen varios tipos de planes informáticos, siendo el principal el Plan Estratégico de Sistemas de Información; de este plan se derivan otros, tales como: Plan Operativo Anual, Plan de Dirección Tecnológica, Plan de Arquitectura de la Información y Plan Recuperación de desastres.
Planificar El Plan Estratégico de Sistemas de Información es el marco básico de actuación de los SI’s en la empresa, por lo que debe asegurarse el alineamiento de los mismos con los objetivos de la empresa. Existen varias metodologías de realización de planes, y el auditor debe evaluar si dichas metodologías se están utilizando y son de utilidad para la empresa.
Planificar Otros aspectos a evaluar son: Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc. Si se presta la adecuada consideración a las nuevas TI’s, siempre desde el punto de vista de su contribución a los fines de la empresa y no como experimentación tecnológica. Si las tareas presentes en el Plan tienen la correspondiente y adecuada asignación de recursos para realizarlas, y si los plazos para realizar dichas tareas son realistas en función de la situación actual de la empresa, de la organización informática, del estado de la TI, etc.
Planificar Plan estratégico del sistema de información.  Debe asegurar el alineamiento de los mismos con los objetivos de la empresa.  Desgraciadamente la transformación de los objetivos de la empresa en objetivos informáticos no es siempre una tarea fácil.  Estos planes no son responsabilidad exclusiva de la dirección de informática, pero debe ser el permanente impulsor de una planificación de sistemas de información adecuada y a tiempo.
Planificar Plan estratégico del sistema de información… Aunque se suele definir la vigencia de un plan estratégico de 3 a 5 años, tal plazo es muy dependiente del entorno en el que se mueve la empresa. Cada empresa tiene su equilibrio natural y el auditor deberá evaluar si los plazos en uso en su empresa son los adecuados. Debe existir un proceso, con participación activa de los usuarios, que regularmente elabore planes estratégico de sistemas de información a largo plazo y el auditor deberá evaluar su adecuación.
Planificar Guía de auditoria.  El auditor deberá examinar el proceso de planificación de sistemas de información y evaluar si se cumple los objetivos.  Deberá evaluar si durante el proceso de planificación se presta adecuada atención al plan estratégico de la empresa y se presta adecuada consideración a nuevas TI.  Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignación de recursos para poder llevarlas a cabo así mismo si tiene plazo de consecución realista.
Planificar Acciones a realizar:  Lectura de actas de sesiones del comité de informática y dedicadas a la planificación estratégica.  Identificación y lectura de los documentos intermedios preescritos por la metodología de planificación.  Lectura y comprensión detallada del plan e identificación de las consideraciones incluidas en el mismo.  Realización de entrevista al director de informática y otros miembros del comité de informática participantes en el proceso de elaboración de plan estratégico así como a los usuarios  Identificación y comprensión de los mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa .
Otros planes relacionados. Plan operativo anual.  Se establece al comienzo de cada ejercicio y es el que marca las pautas a seguir durante el mismo.  Entre otros aspectos, debe señalar los SI a desarrollar, los cambios tecnológicos previstos, los recursos y los plazos necesarios, etc.  El auditor deberá evaluar la existencia del plan y su nivel de la calidad.  Deberá estudiar su alineamiento con el plan estratégico, grado de atención a las necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar acabo el plan, etc.  Deberá analizar si los plazos descritos son realistas, teniendo en cuenta las experiencias anteriores en la empresa.
Otros planes relacionados. Plan de recuperación ante desastres.  Una instalación informática puede verse afectada por desastres de variada naturaleza, que tengan como consecuencia inmediata la indisponibilidad de un servicio informático adecuado.  La dirección debe prever esta posibilidad y, por tanto, planificar para hacerle frente.
Organizar y Coordinar El proceso de organizar sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación. El auditor debe verificar diversos puntos correspondientes a organización y control, entre los cuales se encuentran los siguientes:
Organizar y Coordinar Comité de Informática  El comité de informática es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios: es el lugar en el que se debate los grandes asuntos de la informática que afectan a toda la empresa y permiten a los usuarios conocer las necesidades del conjunto de la organización y participar en la fijación de prioridades.  Si bien estrictamente el nombramiento, la fijación de funciones, etc. del comité de informática no son responsabilidades directas de la dirección de informática, sino de la dirección general, la dirección de informática se ha de convertir en el principal impulsor de la existencia de dicho comité.
Organizar y Coordinar  Se ha escrito mucho sobre las funciones que debe realizar un comité de informática y parece existir un cierto consenso en los siguientes aspectos:  Aprobación del plan estratégico de SI.  Aprobación de las grandes inversiones en TI.  Fijación de prioridades entre los grandes proyectos informáticos.  Vehículo de discusión entre la informática y sus usuarios.  Vigila y realiza el seguimiento de la actividad del departamento de informática
Organizar y Coordinar Guía de auditoria  El auditor deberá asegurar que el Comité de Informática existe y cumple su papel adecuadamente.  Para ello, deberá conocer, en primer lugar, las funciones encomendadas al Comité. Entre las acciones a realizar tenemos:  Lectura de la normativa interna, si la hubiera, para conocer las funciones que debería cumplir el Comité de Informática.  Entrevistas a miembros destacados del Comité con el fin de conocer las funciones que en la práctica realiza dicho Comité.  Entrevistas a los representantes de los usuarios, miembros del Comité, para conocer si entienden y están de acuerdo con su papel en el mismo.  Una vez establecida la existencia del Comité de Informática, habrá que evaluar la adecuación de las funciones que realiza.
Organizar y Coordinar Posición del Departamento de Informática en la empresa.  El Departamento debería estar suficientemente alto en la jerarquía y contar con masa critica suficiente para disponer de autoridad e independencia frente a los departamentos usuarios.  Hoy en día, la informática da soporte a un conjunto mucho mayor de áreas empresariales y, por ello, cada vez es más habitual encontrar a departamentos de informática dependiendo directamente de Dirección General.  Incluso en las grandes organizaciones, el Director de Informática es miembro de derecho del Comité de Dirección u órgano semejante
Organizar y Coordinar Guía de auditoria  El auditor deberá revisar el emplazamiento organizativo del Departamento de Informática y evaluar su independencia frente a departamentos usuarios.  Para este proceso, será muy útil realizar entrevistas con el Director de Informática y directores de algunos departamentos usuarios para conocer su percepción sobre el grado de independencia y atención del Departamento de Informática.
Organizar y Coordinar Descripción de funciones y responsabilidades del Departamento de Informática. Segregación de funciones.  Es necesario que las grandes unidades organizativas dentro del Departamento de informática tengan sus funciones descritas y sus responsabilidades claramente delimitadas y documentadas.  Es necesario que este conocimiento se extienda a todo el personal perteneciente a Informática; todos ellos deben conocer sus funciones y responsabilidades en relación con los sistemas de información. Y todo ello es una labor que compete, en gran medida, a la Dirección de Informática.
Organizar y Coordinar Aseguramiento de la Calidad  La calidad de los servicios ofrecidos por el Departamento de Informática debe estar asegurada mediante el establecimiento de una función organizativa de Aseguramiento de la Calidad.  Es muy importante que esta función, de relativa nueva aparición en el mundo de las organizaciones informáticas, tenga el total respaldo de la Dirección y sea percibido así por el resto del Departamento.
Organizar y Coordinar Guía de auditoria  El auditor deberá comprobar que las descripciones están documentadas y son actuales y que las unidades organizativas informáticas las comprenden y desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor podrá realizar. figuran:  Examen del organigrama del Departamento de Informática e identificación de las grandes unidades organizativas.  Revisión de la documentación existente para conocer la descripción de las funciones y responsabilidades.
Organizar y Coordinar Guía de auditoria  Realización de entrevistas a los directores de cada una de las grandes unidades organizativas para determinar su conocimiento de las responsabilidades de su unidad y que éstas responden a las descripciones existentes en la documentación correspondiente.  Examen de las descripciones de las funciones para evaluar si existe adecuada segregación de funciones, incluyendo la separación entre desarrollo de sistemas de información, producción y departamentos usuarios. Igualmente, será menester evaluar la independencia de la función de seguridad.  Observación de las actividades del personal del Departamento para analizar, en la práctica, las funciones realizadas, la segregación entre las mismas y el grado de cumplimiento con la documentación analizada.
Organizar y Coordinar Estándares del funcionamiento y procedimientos. Descripción dé los puestos de trabajo.  Deben existir estándares de funcionamiento y rendimiento que gobiernen la actividad del Departamento de Informática por un lado y sus relaciones con los departamentos usuarios por otro.  Dichos estándares y procedimientos deberían estar documentados. actualizados y ser comunicados adecuadamente a todos los departamentos afectados.  Por otro lado deben existir documentadas descripciones de los puestos de trabajo dentro de Informática delimitando claramente la autoridad y la responsabilidad en cada caso.
Organizar y Coordinar Guía de auditoria  El auditor deberá evaluar si existen estándares de funcionamiento procedimientos y descripciones de puestos de trabajo, adecuados y actualizados. Entre las acciones a realizar, se pueden citar:  Evaluación del proceso por el que los estándares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados.  Revisión de los estándares y procedimientos existentes.  Revisión de las descripciones de los puestos de trabajo para evaluar si reflejan las actividades realizadas en la práctica.
Organizar y Coordinar Gestión de Recursos Humanos: Selección, Evaluación del Desempeño, Formación, Promoción, Finalización.  La gestión de los recursos humanos es uno de los elementos críticos en la estructura general informática.  La calidad de los recursos humanos influye directamente en localidad de los sistemas información producidos, mantenidos y operados por el departamento de informática.
Organizar y Coordinar Guía de auditoria Entre otros el auditor deberá evaluar que:  La selección de personal se basa en criterios objetivos.  El rendimiento de cada empleado se evalúa regularmente en base a estándares.  Existen procesos para determinar la necesidades de formación de empleados en base a su experiencia.  Existen procesos para la promoción del personal que tienen en cuenta su desempeño profesional.  Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la seguridad informática  Además el auditor deberá evaluar que todos los aspectos anteriores están en línea con las políticas y procedimientos de la empresa.
Organizar y Coordinar Entre las acciones realizadas se pueden citar:  Conocimiento y evaluación de los procesos utilizados para cubrir vacantes en el Departamento de Informática.  Análisis de las cifras de rotación de personal, niveles de absentismo laboral y estadísticas de proyectos terminados fuera de presupuesto y de plazo.  Realización de entrevistas a personal del Departamento.  Revisión del calendario de cursos, descripciones de los mismos, métodos y técnicas de enseñanza.  Revisión de los procedimientos para la finalización de contratos.
Organizar y Coordinar Comunicación  Es necesario que exista una comunicación efectiva y eficiente entre la Dirección de Informática y el resto del personal del Departamento.  Entre los aspectos que es importante comunicar se encuentran: actitud positiva hacia los controles, integridad, ética, cumplimiento de la normativa interna entre otras, la de seguridad informática compromiso con la calidad, etc.
Organizar y Coordinar Guía de auditoria  El auditor deberá evaluar las características de la comunicación entre la Dirección y el personal de Informática.  Para ello se podrá servir de tareas formales como las descritas hasta ahora y de otras, por ejemplo, a través de entrevistas informales con el personal del Departamento.
Organizar y Coordinar Gestión económica Este apartado de las responsabilidades de la Dirección de Informática tiene varias facetas: presupuestación, adquisición de bienes y servicios y medida y reparto de costes. Presupuestación  Como todo departamento de la empresa, el de Informática debe tener un presupuesto económico, normalmente en base anual.  Los criterios sobre cuáles deben ser los componentes del mismo varían grandemente.  Sea cual sea la política seguida en la empresa, el Departamento de Informática debe seguirla para elaborar su presupuesto anual.
Organizar y Coordinar Guía de auditoria El auditor deberá constatar la existencia de un presupuesto económico de un proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarlo, y que dicho proceso está en línea con las políticas y procedimientos de la empresa y con los planes estratégico y operativo del propio Departamento.
Organizar y Coordinar Adquisición de bienes y servicios  Los procedimientos que el Departamento de Informática siga para adquirir los bienes y servicios descritos en su plan operativo anual y/o que se demuestren necesarios a lo largo del ejercicio han de estar documentados y alineados con los procedimientos de compras del resto de la empresa. Aquí, las variedades infinitas, con lo que es imposible dar reglas fijas. Guía de auditoria  Una auditoria de esta área no debe diferenciarse de una auditoria tradicional del proceso de compras de cualquier otra área de la empresa, con lo que el auditor deberá seguir básicamente las directrices y programas de trabajo de auditoria elaborados para este proceso.
Organizar y Coordinar Medida y reparto de costes La dirección de informática debe en todo momento gestionar los costes asociados con la utilización de los recursos humanos y tecnológicos. Y ello, obviamente, exige medirlos. Guía de auditoria  El auditor deberá evaluar la conveniencia de que exista o no un sistema de reparto de costes informáticos y de que este sea justo, incluya los conceptos adecuados y de que el precio de transferencia aplicada este en línea o por debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar:  Realización de entrevistas a la dirección de los departamentos usuarios.  Análisis de los componentes y criterios con los que está calculado el precio de transferencia.  Conocimiento de los diversos sistemas existentes en el departamento.
Organizar y Coordinar SEGUROS  La dirección de informática debe tomar las medidas necesarias con el fin de tener la suficiente cobertura para los sistemas informáticos.  Estas coberturas amparan riesgos tales como la posible perdida de negocio, los costes asociados al hecho de tener que ofrecer servicio informático desde un lugar alternativo por no estar disponible en sitio primario, los costos asociados a la regeneración de datos por perdida o inutilización de los datos originales, etc. Guía de auditoria  El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura existente, analizando si la empresa está suficientemente cubierta o existen huecos en dicha cobertura. Por ejemplo, algunas pólizas sólo cubren el reemplazo del equipo, pero no los otros costes mencionados, etc.
CONTROLAR CONTROL Y SEGUIMIENTO  Un aspecto común a todo lo que se ha dicho hasta el momento es la obligación de la Dirección de controlar y efectuar un seguimiento permanente de la distinta actividad del Departamento.  Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los proyectos que los desarrollan, la ejecución del presupuesto, etc.  En esta labor, es muy conveniente que existan estándares de rendimiento con los que comparar las diversas tareas.
CONTROLAR Guía de auditoria Entre las acciones a realizar, se pueden mencionar:  Conocimiento y análisis de los procesos existentes en el Departamento para llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los mismos. Analizar igualmente los procesos de represupuestación.  Revisión de planes, proyectos, presupuestos de años anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y que se toman las medidas correctoras necesarias.
CONTROLAR Cumplimiento de la normativa legal  La Dirección de Informática debe controlar que la realización de sus actividades se lleva a cabo dentro del respeto a la normativa legal aplicable.  Asimismo, deben existir procedimientos para vigilar y determinar permanentemente la legislación aplicable. Guía de auditoria  El auditor deberá evaluar si la mencionada normativa aplicable se cumple.  Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de la empresa la Dirección de Recursos Humanos y la Dirección de Informática con el fin de conocer dicha normativa.  A continuación, evaluará el cumplimiento de las normas, en particular en los aspectos más críticos.
CONCLUSIONES  La contribución de la dirección de informática realiza un control de las operaciones informáticas dentro de una empresa y esto viene a ser una parte esencial de la misma.  La calidad de los controles impulsados e inspirados por la dirección de informática tiene gran influencia sobre el probable comportamiento de los SI.  Para poder tener una buena dirección de auditoria informática es necesario tener una buena planificación, organización, coordinación y un debido control de las diversas actividades que realiza la organización.

Más contenido relacionado

PDF
Taller numero 2 A.S.I II
porGema Zambrano Cruzatty
 
PDF
Material 3.2
porDiomedes Nunez
 
PPT
Tablero De Mandos Estrategicos
porGestioPolis com
 
PDF
la gestion integral empresarial del presente
porguest118fe2ae
 
PPTX
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...
porEUROsociAL II
 
PDF
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)
porKaren Vargas Peñafiel
 
PPT
CLASE 1: AUDITORIA
porangeles111
 
PPT
T5. Implantación de un sistema de control
pormatilderuiz
 
Taller numero 2 A.S.I II
porGema Zambrano Cruzatty
 
Material 3.2
porDiomedes Nunez
 
Tablero De Mandos Estrategicos
porGestioPolis com
 
la gestion integral empresarial del presente
porguest118fe2ae
 
Proyecto Gobierno por Resultados /Secretaría Nacional de la Administración Pú...
porEUROsociAL II
 
GESTIÓN POR PROCESOS DE NEGOCIOS (BPM)
porKaren Vargas Peñafiel
 
CLASE 1: AUDITORIA
porangeles111
 
T5. Implantación de un sistema de control
pormatilderuiz
 

La actualidad más candente

PDF
5 guia imp lss v controlar weps 02 ago 13
porWILFREDO ELIAS PIMENTEL SERRANO
 
PPTX
Gpr
porjohy_cabrera
 
DOCX
Guia #3 gestion de planes y proyectos
porprofetellez
 
PDF
1 guia imp lss i definir weps 02 ago13
porWILFREDO ELIAS PIMENTEL SERRANO
 
DOCX
Metodología de auditoría informática
porAcosta Escalante Jesus Jose
 
DOCX
Caso United Foods
pordaylisyfran
 
PPTX
Clase 4
porRobertoMendez74
 
PPT
Expo gestion por resultados viri
porV G
 
PPT
Control de Gestión con Balance Scorecard
porJuan Carlos Fernandez
 
PDF
Gestión por resultados
porCarlos Javier Regazzoni
 
PPTX
Gestión por resultados 2013
porPaúl Alejandro Rivera
 
PDF
modelo de cambio organizacional de alto desmepeño 1.0
porMario Brieño
 
PDF
Gpr guía-metodológica
porllerenamarieta
 
PPT
Kaizen 4 problemas de implementacion 2018
porPrimala Sistema de Gestion
 
PPT
Tablero De Comando
porUNAM Facultad de Contaduría, Administración e Informática
 
PPT
Control estratégico
porJESSY CHICAIZA
 
DOCX
Planificación Estratégica
porYonathan Mejias
 
PPTX
COBIT
porlorena espano
 
PDF
Se 01 conf_modelo de las 6 p's del mapeo 1.0
porMario Brieño
 
PDF
Po3 determinar la direccion tecnologica
porKaterine Clavo Navarro
 
5 guia imp lss v controlar weps 02 ago 13
porWILFREDO ELIAS PIMENTEL SERRANO
 
Gpr
porjohy_cabrera
 
Guia #3 gestion de planes y proyectos
porprofetellez
 
1 guia imp lss i definir weps 02 ago13
porWILFREDO ELIAS PIMENTEL SERRANO
 
Metodología de auditoría informática
porAcosta Escalante Jesus Jose
 
Caso United Foods
pordaylisyfran
 
Clase 4
porRobertoMendez74
 
Expo gestion por resultados viri
porV G
 
Control de Gestión con Balance Scorecard
porJuan Carlos Fernandez
 
Gestión por resultados
porCarlos Javier Regazzoni
 
Gestión por resultados 2013
porPaúl Alejandro Rivera
 
modelo de cambio organizacional de alto desmepeño 1.0
porMario Brieño
 
Gpr guía-metodológica
porllerenamarieta
 
Kaizen 4 problemas de implementacion 2018
porPrimala Sistema de Gestion
 
Tablero De Comando
porUNAM Facultad de Contaduría, Administración e Informática
 
Control estratégico
porJESSY CHICAIZA
 
Planificación Estratégica
porYonathan Mejias
 
COBIT
porlorena espano
 
Se 01 conf_modelo de las 6 p's del mapeo 1.0
porMario Brieño
 
Po3 determinar la direccion tecnologica
porKaterine Clavo Navarro
 

Destacado

PPSX
Portafilio trabajos-recientes-john-tangarife-morales
porJohn Tangarife Morales
 
PDF
Enbridge presentation, May 16, 2013
porONEIA
 
PDF
Clairvest presentation, May 16, 2013
porONEIA
 
PPS
Semana santa
porGonzacsanjose
 
PDF
Tema 3
porCarmelo Branimir España Villegas
 
PDF
Endetec-Veolia presentation, May 16, 2013
porONEIA
 
PPT
Evaluation question 3
poraroosa3105
 
PDF
Ejemplo de revision_por_la_direccion[1]
porandreasgallman
 
PPTX
Ottawa NIEM SOA Open Data Event
porBizagi Inc
 
PPTX
El sistema fssc 22000
porGAPertz Consultores
 
PDF
Ejemplo acta revision por la direccion
porKaterine Zuluaga
 
PPS
CURSO DE AUDITORIA RESUMEN
porIvan Fernando Suarez Lozano
 
DOCX
Program statements and constructs
portashannwatson
 
Portafilio trabajos-recientes-john-tangarife-morales
porJohn Tangarife Morales
 
Enbridge presentation, May 16, 2013
porONEIA
 
Clairvest presentation, May 16, 2013
porONEIA
 
Semana santa
porGonzacsanjose
 
Tema 3
porCarmelo Branimir España Villegas
 
Endetec-Veolia presentation, May 16, 2013
porONEIA
 
Evaluation question 3
poraroosa3105
 
Ejemplo de revision_por_la_direccion[1]
porandreasgallman
 
Ottawa NIEM SOA Open Data Event
porBizagi Inc
 
El sistema fssc 22000
porGAPertz Consultores
 
Ejemplo acta revision por la direccion
porKaterine Zuluaga
 
CURSO DE AUDITORIA RESUMEN
porIvan Fernando Suarez Lozano
 
Program statements and constructs
portashannwatson
 

Similar a Tema 5

DOCX
Trabajo de investigacion_auditoria_(victor_lara)
porIsJmlr
 
DOCX
Tipos de auditoria
porsoniariveros
 
PPTX
Planificación de la auditoria
porJose Alvarado Robles
 
PPTX
Planificación de la auditoria
porJose Alvarado Robles
 
PPTX
Auditoria informática
porJeanKrlos Castillo
 
PDF
Ybb
porluissucre
 
DOCX
Instituto politécnico
porIng Jose
 
PPTX
PLANIFICACION DE LA AUDITORIA_21312.pptx
porAlejandroBustamante81
 
PPTX
2.segunda parte-planeacion.METODOLOGIA DE AUDITORIA DE SISTEMAS.pptx
porNatividadDAzaGomez
 
DOCX
INFORME FINAL PLANEACION DE AUD. DE SISTEMAS.docx
porRodrigoMontenegro39
 
PDF
Auditoria de sistemas daniel martinez
porDaniel Martínez
 
DOCX
Auditoria de sistemas de informaci n
porYesenia Gomez
 
PDF
Auditoria informatica ricardo paruta
porRicardo Paruta
 
PDF
Auditoriasistemasi 150703002656-lva1-app6891
porjbersosa
 
PDF
Auditoria Informática o de Sistemas - Introducción
porUniversidad San Agustin
 
PDF
Clase semana iii proceso auditoría
porWalt Mendez
 
PPT
PLANIFICACION DE LA AUDITORIA DE INFORMATICA.ppt
porjohnny herrera
 
PDF
Auditoria informatica
porMarcos Vayas
 
PDF
Auditoria informatica
porMarcos Vayas
 
PPTX
Sesión 09_Planeación de la Auditoria Integral.pptx
porPedroOctavioLevanoMi
 
Trabajo de investigacion_auditoria_(victor_lara)
porIsJmlr
 
Tipos de auditoria
porsoniariveros
 
Planificación de la auditoria
porJose Alvarado Robles
 
Planificación de la auditoria
porJose Alvarado Robles
 
Auditoria informática
porJeanKrlos Castillo
 
Ybb
porluissucre
 
Instituto politécnico
porIng Jose
 
PLANIFICACION DE LA AUDITORIA_21312.pptx
porAlejandroBustamante81
 
2.segunda parte-planeacion.METODOLOGIA DE AUDITORIA DE SISTEMAS.pptx
porNatividadDAzaGomez
 
INFORME FINAL PLANEACION DE AUD. DE SISTEMAS.docx
porRodrigoMontenegro39
 
Auditoria de sistemas daniel martinez
porDaniel Martínez
 
Auditoria de sistemas de informaci n
porYesenia Gomez
 
Auditoria informatica ricardo paruta
porRicardo Paruta
 
Auditoriasistemasi 150703002656-lva1-app6891
porjbersosa
 
Auditoria Informática o de Sistemas - Introducción
porUniversidad San Agustin
 
Clase semana iii proceso auditoría
porWalt Mendez
 
PLANIFICACION DE LA AUDITORIA DE INFORMATICA.ppt
porjohnny herrera
 
Auditoria informatica
porMarcos Vayas
 
Auditoria informatica
porMarcos Vayas
 
Sesión 09_Planeación de la Auditoria Integral.pptx
porPedroOctavioLevanoMi
 

Más de Carmelo Branimir España Villegas

PPTX
promo Español_España de erasmus plus, excelente programa
porCarmelo Branimir España Villegas
 
PDF
TripticoBecaFuturo-Prensa programa beca futuro
porCarmelo Branimir España Villegas
 
PPTX
TBB OFICIAL 2023 PRESENTACION ERASMUS PLUS
porCarmelo Branimir España Villegas
 
PPTX
EMA_promo Español_EspañaV2 presentacion de l programa erasmus
porCarmelo Branimir España Villegas
 
PDF
Presentacion Erasmus Mundus, comunicad europea
porCarmelo Branimir España Villegas
 
PDF
La norma de calidad ISO 25000, aplíquela
porCarmelo Branimir España Villegas
 
PPS
Nosotros los maduritos
porCarmelo Branimir España Villegas
 
PDF
Isec iso17799 iso 27001 intensivo
porCarmelo Branimir España Villegas
 
PDF
Tema 2
porCarmelo Branimir España Villegas
 
PDF
Tema 7
porCarmelo Branimir España Villegas
 
PDF
Tema 8
porCarmelo Branimir España Villegas
 
PDF
Tema 9
porCarmelo Branimir España Villegas
 
PDF
Tema 6
porCarmelo Branimir España Villegas
 
PDF
Tema 1
porCarmelo Branimir España Villegas
 
PDF
Tema 4
porCarmelo Branimir España Villegas
 
PDF
Introduccion ipv6 v11
porCarmelo Branimir España Villegas
 
PDF
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
porCarmelo Branimir España Villegas
 
PDF
Tema 1
porCarmelo Branimir España Villegas
 
PDF
Tema 4
porCarmelo Branimir España Villegas
 
PDF
Tema 1tarea
porCarmelo Branimir España Villegas
 
promo Español_España de erasmus plus, excelente programa
porCarmelo Branimir España Villegas
 
TripticoBecaFuturo-Prensa programa beca futuro
porCarmelo Branimir España Villegas
 
TBB OFICIAL 2023 PRESENTACION ERASMUS PLUS
porCarmelo Branimir España Villegas
 
EMA_promo Español_EspañaV2 presentacion de l programa erasmus
porCarmelo Branimir España Villegas
 
Presentacion Erasmus Mundus, comunicad europea
porCarmelo Branimir España Villegas
 
La norma de calidad ISO 25000, aplíquela
porCarmelo Branimir España Villegas
 
Nosotros los maduritos
porCarmelo Branimir España Villegas
 
Isec iso17799 iso 27001 intensivo
porCarmelo Branimir España Villegas
 
Tema 2
porCarmelo Branimir España Villegas
 
Tema 7
porCarmelo Branimir España Villegas
 
Tema 8
porCarmelo Branimir España Villegas
 
Tema 9
porCarmelo Branimir España Villegas
 
Tema 6
porCarmelo Branimir España Villegas
 
Tema 1
porCarmelo Branimir España Villegas
 
Tema 4
porCarmelo Branimir España Villegas
 
Introduccion ipv6 v11
porCarmelo Branimir España Villegas
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
porCarmelo Branimir España Villegas
 
Tema 1
porCarmelo Branimir España Villegas
 
Tema 4
porCarmelo Branimir España Villegas
 
Tema 1tarea
porCarmelo Branimir España Villegas
 

Tema 5

  • 1.
    LOGO Auditoria de laDirección Tema 5 Auditoria Informática Docente: Carmelo España V. E-mail: carmelobranimir@gmail.com
  • 2.
    INTRODUCCIÓN Cómo auditar losprocesos de la alta dirección No podemos negar que cuando hablamos de la Auditoria a la alta dirección se dispara cierta preocupación de los auditores para poder planificar la auditoria de manera que salga muy bien, esa planificación por momentos se hace muy extensa y abunda en notas a auditar y por momentos se resume a algunos pocos puntos. Mucho depende si la auditoria es externa o es interna, generalmente en el primer caso siempre queremos dejar demostrado a la empresa que nos contrata, que nos ceñimos o ajustamos al mayor profesionalismo y conocemos técnicamente de que estamos hablando, mientras que en el caso de una auditoria interna tratamos de demostrar a nuestra Dirección que tenemos una buena planificación para que la auditoria sea efectiva, no quite tiempo productivo y aporte el mayor valor agregado.
  • 3.
    INTRODUCCIÓN Cómo auditar losprocesos de la alta dirección Aclaremos algo muy importante, si realizamos una buena planificación de la auditoria a la alta dirección y aplicamos criterios adecuados y sentido común, el buen aporte del auditor en esta área tendrá casi siempre un muy buen efecto a lo largo de toda la cadena, ya que es el lugar indicado para poner en juego todo nuestros conocimientos y agregar valor a la organización. Reconociendo que la auditoria de los procesos de la alta dirección es un asunto sensible, este tema brinda una guía para esta categoría de auditoría.
  • 4.
    Como empezar… Es recomendableque los auditores involucren a la alta dirección en la auditoría, es decir, invitarlos a las reuniones de apertura y cierre, programar tiempo suficiente en el plan de auditoria para entrevistar a los altos directivos, discutir los hallazgos de la auditoría directamente con ellos, buscar evidencia de su compromiso, etc. Es importante que el centro de atención deje de estar sólo en el responsable de calidad, o del director de calidad y pase a la alta dirección de la organización. Se recomienda que el auditor considere las actividades de la alta dirección como procesos y los audite de acuerdo a ello.
  • 5.
    Planificación de laauditoría El auditor debe identificar los procesos de la alta dirección y: Comprender la organización y su estructura de gestión analizando información tal como: organigramas, reportes anuales, planes de negocio, perfil de la organización, comunicados de prensa, sitios web. Prever en el plan de la auditoría la recolección de información pertinente respecto al compromiso de la alta dirección, entrevistando directamente a la alta dirección Comprender la cultura de la organización y de su alta dirección, con el fin de determinar el impacto sobre el plan de la auditoría, haciendo los ajustes que sean necesarios Encarar en forma profesional el enfoque de los auditores respecto a su vestimenta, identificando las prácticas de la organización al respecto Planificar el momento de la auditoría a la alta dirección, para asegurar puntualidad y su conveniencia Un auditor con poca experiencia en auditoría no debería ser designado para entrevistar a la alta dirección.
  • 6.
    Conducción de laauditoría Durante las entrevistas a la alta dirección, el auditor puede, haciendo uso de terminología de los negocios apropiada, hacer preguntas pertinentes que: permitan obtener evidencias de la toma de conciencia y del compromiso de la alta dirección con respecto a la calidad, y su pertinencia a los objetivos generales de la organización y a su sistema de gestión de la calidad permitan obtener evidencias de cumplimiento de los requisitos de la norma ISO 9001 aplicables a la responsabilidad de la dirección.
  • 7.
    Recolección y verificaciónde evidencias El auditor/equipo auditor debería buscar constantemente oportunidades de corroborar las respuestas recibidas de la alta dirección durante las entrevistas correspondientes. Esto incluye: la disponibilidad y pertinencia de la política y los objetivos el establecimiento de una relación entre la política y los objetivos la obtención de evidencias de que la política y los objetivos son eficaces y comprendidos en toda la organización la determinación si las políticas y los objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y para lograr la satisfacción de los clientes la determinación si la lata dirección se involucra en las revisiones por al dirección.
  • 8.
    Recolección y verificaciónde evidencias Entrevistas adicionales o la recolección de nuevas evidencias pueden ser necesarias para poder corroborar la información relevada. El equipo auditor debería asegurarse de que se recolecta toda evidencia adicional referida al compromiso de la alta dirección. Asimismo, deberían analizar todas las evidencias recolectadas para asegurar que la información es exacta y completa, y para proporcionar confianza en las conclusiones a las que se arriben.
  • 9.
    Auditoria de laDirección Teniendo en cuenta todas estas pautas, vamos a centrarnos en la Auditoria de la Dirección de Informática o Sistemas
  • 10.
    Alcance de laauditoria Organización y calificación de la dirección informática. Plan estratégico en sistema de información. Análisis de puestos. Planes y procedimientos. Normativas.
  • 11.
    Objetivo de laauditoria Realizar un informe con el objetivo de verificar la adecuación de medidas de aplicación a las amenazas definidas, así como el cumplimiento de requisitos exigidos. Resultados: se obtendrá: Informe de auditoria detectando riesgos y deficiencias en el manejo de la dirección informática. Plan de recomendaciones a aplicar en función de una normativa a cumplir.
  • 12.
    Dirección de Informática Los departamentos informáticos están integrados en organizaciones mayores y que, por tanto son destinatarios de un sin fin de estímulos de las mismas, que duda cabe de que, dado el ámbito tecnológico tan particular de la informática, la principal influencia que dichos departamentos reciben viene inducida desde la propia dirección de informática.  Las enormes sumas que las empresas dedican a las tecnologías de información en un crecimiento que no se vislumbra el final y la absoluta dependencia de las mismas al uso correcto de dicha tecnología hacen muy necesaria una evaluación independiente de la función que la gestiona. La dirección informática no debe quedar fuera: es una pieza clave del engranaje.
  • 13.
    Dirección de Informática Se podría decir que algunas de las actividades básicas de todo proceso de dirección son:  Planificar.  Organizar.  Coordinar  Controlar
  • 14.
    Planificar Planificar es tratarde prever la utilización de las TI’s en la empresa. Esta es una etapa muy importante en el desarrollo de una buena Auditoria, ya que nos va a permitir obtener una buena organización y poder seguir un hilo conductor de los procesos y áreas de la empresa evitando que podamos desviarnos de nuestros objetivos.
  • 15.
    Planificar Existen varios tiposde planes informáticos, siendo el principal el Plan Estratégico de Sistemas de Información; de este plan se derivan otros, tales como: Plan Operativo Anual, Plan de Dirección Tecnológica, Plan de Arquitectura de la Información y Plan Recuperación de desastres.
  • 16.
    Planificar El Plan Estratégicode Sistemas de Información es el marco básico de actuación de los SI’s en la empresa, por lo que debe asegurarse el alineamiento de los mismos con los objetivos de la empresa. Existen varias metodologías de realización de planes, y el auditor debe evaluar si dichas metodologías se están utilizando y son de utilidad para la empresa.
  • 17.
    Planificar Otros aspectos aevaluar son: Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc. Si se presta la adecuada consideración a las nuevas TI’s, siempre desde el punto de vista de su contribución a los fines de la empresa y no como experimentación tecnológica. Si las tareas presentes en el Plan tienen la correspondiente y adecuada asignación de recursos para realizarlas, y si los plazos para realizar dichas tareas son realistas en función de la situación actual de la empresa, de la organización informática, del estado de la TI, etc.
  • 18.
    Planificar Plan estratégico delsistema de información.  Debe asegurar el alineamiento de los mismos con los objetivos de la empresa.  Desgraciadamente la transformación de los objetivos de la empresa en objetivos informáticos no es siempre una tarea fácil.  Estos planes no son responsabilidad exclusiva de la dirección de informática, pero debe ser el permanente impulsor de una planificación de sistemas de información adecuada y a tiempo.
  • 19.
    Planificar Plan estratégico delsistema de información… Aunque se suele definir la vigencia de un plan estratégico de 3 a 5 años, tal plazo es muy dependiente del entorno en el que se mueve la empresa. Cada empresa tiene su equilibrio natural y el auditor deberá evaluar si los plazos en uso en su empresa son los adecuados. Debe existir un proceso, con participación activa de los usuarios, que regularmente elabore planes estratégico de sistemas de información a largo plazo y el auditor deberá evaluar su adecuación.
  • 20.
    Planificar Guía de auditoria. El auditor deberá examinar el proceso de planificación de sistemas de información y evaluar si se cumple los objetivos.  Deberá evaluar si durante el proceso de planificación se presta adecuada atención al plan estratégico de la empresa y se presta adecuada consideración a nuevas TI.  Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignación de recursos para poder llevarlas a cabo así mismo si tiene plazo de consecución realista.
  • 21.
    Planificar Acciones a realizar: Lectura de actas de sesiones del comité de informática y dedicadas a la planificación estratégica.  Identificación y lectura de los documentos intermedios preescritos por la metodología de planificación.  Lectura y comprensión detallada del plan e identificación de las consideraciones incluidas en el mismo.  Realización de entrevista al director de informática y otros miembros del comité de informática participantes en el proceso de elaboración de plan estratégico así como a los usuarios  Identificación y comprensión de los mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa .
  • 22.
    Otros planes relacionados. Planoperativo anual.  Se establece al comienzo de cada ejercicio y es el que marca las pautas a seguir durante el mismo.  Entre otros aspectos, debe señalar los SI a desarrollar, los cambios tecnológicos previstos, los recursos y los plazos necesarios, etc.  El auditor deberá evaluar la existencia del plan y su nivel de la calidad.  Deberá estudiar su alineamiento con el plan estratégico, grado de atención a las necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar acabo el plan, etc.  Deberá analizar si los plazos descritos son realistas, teniendo en cuenta las experiencias anteriores en la empresa.
  • 23.
    Otros planes relacionados. Plande recuperación ante desastres.  Una instalación informática puede verse afectada por desastres de variada naturaleza, que tengan como consecuencia inmediata la indisponibilidad de un servicio informático adecuado.  La dirección debe prever esta posibilidad y, por tanto, planificar para hacerle frente.
  • 24.
    Organizar y Coordinar Elproceso de organizar sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación. El auditor debe verificar diversos puntos correspondientes a organización y control, entre los cuales se encuentran los siguientes:
  • 25.
    Organizar y Coordinar Comitéde Informática  El comité de informática es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios: es el lugar en el que se debate los grandes asuntos de la informática que afectan a toda la empresa y permiten a los usuarios conocer las necesidades del conjunto de la organización y participar en la fijación de prioridades.  Si bien estrictamente el nombramiento, la fijación de funciones, etc. del comité de informática no son responsabilidades directas de la dirección de informática, sino de la dirección general, la dirección de informática se ha de convertir en el principal impulsor de la existencia de dicho comité.
  • 26.
    Organizar y Coordinar Se ha escrito mucho sobre las funciones que debe realizar un comité de informática y parece existir un cierto consenso en los siguientes aspectos:  Aprobación del plan estratégico de SI.  Aprobación de las grandes inversiones en TI.  Fijación de prioridades entre los grandes proyectos informáticos.  Vehículo de discusión entre la informática y sus usuarios.  Vigila y realiza el seguimiento de la actividad del departamento de informática
  • 27.
    Organizar y Coordinar Guíade auditoria  El auditor deberá asegurar que el Comité de Informática existe y cumple su papel adecuadamente.  Para ello, deberá conocer, en primer lugar, las funciones encomendadas al Comité. Entre las acciones a realizar tenemos:  Lectura de la normativa interna, si la hubiera, para conocer las funciones que debería cumplir el Comité de Informática.  Entrevistas a miembros destacados del Comité con el fin de conocer las funciones que en la práctica realiza dicho Comité.  Entrevistas a los representantes de los usuarios, miembros del Comité, para conocer si entienden y están de acuerdo con su papel en el mismo.  Una vez establecida la existencia del Comité de Informática, habrá que evaluar la adecuación de las funciones que realiza.
  • 28.
    Organizar y Coordinar Posicióndel Departamento de Informática en la empresa.  El Departamento debería estar suficientemente alto en la jerarquía y contar con masa critica suficiente para disponer de autoridad e independencia frente a los departamentos usuarios.  Hoy en día, la informática da soporte a un conjunto mucho mayor de áreas empresariales y, por ello, cada vez es más habitual encontrar a departamentos de informática dependiendo directamente de Dirección General.  Incluso en las grandes organizaciones, el Director de Informática es miembro de derecho del Comité de Dirección u órgano semejante
  • 29.
    Organizar y Coordinar Guíade auditoria  El auditor deberá revisar el emplazamiento organizativo del Departamento de Informática y evaluar su independencia frente a departamentos usuarios.  Para este proceso, será muy útil realizar entrevistas con el Director de Informática y directores de algunos departamentos usuarios para conocer su percepción sobre el grado de independencia y atención del Departamento de Informática.
  • 30.
    Organizar y Coordinar Descripciónde funciones y responsabilidades del Departamento de Informática. Segregación de funciones.  Es necesario que las grandes unidades organizativas dentro del Departamento de informática tengan sus funciones descritas y sus responsabilidades claramente delimitadas y documentadas.  Es necesario que este conocimiento se extienda a todo el personal perteneciente a Informática; todos ellos deben conocer sus funciones y responsabilidades en relación con los sistemas de información. Y todo ello es una labor que compete, en gran medida, a la Dirección de Informática.
  • 31.
    Organizar y Coordinar Aseguramientode la Calidad  La calidad de los servicios ofrecidos por el Departamento de Informática debe estar asegurada mediante el establecimiento de una función organizativa de Aseguramiento de la Calidad.  Es muy importante que esta función, de relativa nueva aparición en el mundo de las organizaciones informáticas, tenga el total respaldo de la Dirección y sea percibido así por el resto del Departamento.
  • 32.
    Organizar y Coordinar Guíade auditoria  El auditor deberá comprobar que las descripciones están documentadas y son actuales y que las unidades organizativas informáticas las comprenden y desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor podrá realizar. figuran:  Examen del organigrama del Departamento de Informática e identificación de las grandes unidades organizativas.  Revisión de la documentación existente para conocer la descripción de las funciones y responsabilidades.
  • 33.
    Organizar y Coordinar Guíade auditoria  Realización de entrevistas a los directores de cada una de las grandes unidades organizativas para determinar su conocimiento de las responsabilidades de su unidad y que éstas responden a las descripciones existentes en la documentación correspondiente.  Examen de las descripciones de las funciones para evaluar si existe adecuada segregación de funciones, incluyendo la separación entre desarrollo de sistemas de información, producción y departamentos usuarios. Igualmente, será menester evaluar la independencia de la función de seguridad.  Observación de las actividades del personal del Departamento para analizar, en la práctica, las funciones realizadas, la segregación entre las mismas y el grado de cumplimiento con la documentación analizada.
  • 34.
    Organizar y Coordinar Estándaresdel funcionamiento y procedimientos. Descripción dé los puestos de trabajo.  Deben existir estándares de funcionamiento y rendimiento que gobiernen la actividad del Departamento de Informática por un lado y sus relaciones con los departamentos usuarios por otro.  Dichos estándares y procedimientos deberían estar documentados. actualizados y ser comunicados adecuadamente a todos los departamentos afectados.  Por otro lado deben existir documentadas descripciones de los puestos de trabajo dentro de Informática delimitando claramente la autoridad y la responsabilidad en cada caso.
  • 35.
    Organizar y Coordinar Guíade auditoria  El auditor deberá evaluar si existen estándares de funcionamiento procedimientos y descripciones de puestos de trabajo, adecuados y actualizados. Entre las acciones a realizar, se pueden citar:  Evaluación del proceso por el que los estándares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados.  Revisión de los estándares y procedimientos existentes.  Revisión de las descripciones de los puestos de trabajo para evaluar si reflejan las actividades realizadas en la práctica.
  • 36.
    Organizar y Coordinar Gestiónde Recursos Humanos: Selección, Evaluación del Desempeño, Formación, Promoción, Finalización.  La gestión de los recursos humanos es uno de los elementos críticos en la estructura general informática.  La calidad de los recursos humanos influye directamente en localidad de los sistemas información producidos, mantenidos y operados por el departamento de informática.
  • 37.
    Organizar y Coordinar Guíade auditoria Entre otros el auditor deberá evaluar que:  La selección de personal se basa en criterios objetivos.  El rendimiento de cada empleado se evalúa regularmente en base a estándares.  Existen procesos para determinar la necesidades de formación de empleados en base a su experiencia.  Existen procesos para la promoción del personal que tienen en cuenta su desempeño profesional.  Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la seguridad informática  Además el auditor deberá evaluar que todos los aspectos anteriores están en línea con las políticas y procedimientos de la empresa.
  • 38.
    Organizar y Coordinar Entrelas acciones realizadas se pueden citar:  Conocimiento y evaluación de los procesos utilizados para cubrir vacantes en el Departamento de Informática.  Análisis de las cifras de rotación de personal, niveles de absentismo laboral y estadísticas de proyectos terminados fuera de presupuesto y de plazo.  Realización de entrevistas a personal del Departamento.  Revisión del calendario de cursos, descripciones de los mismos, métodos y técnicas de enseñanza.  Revisión de los procedimientos para la finalización de contratos.
  • 39.
    Organizar y Coordinar Comunicación Es necesario que exista una comunicación efectiva y eficiente entre la Dirección de Informática y el resto del personal del Departamento.  Entre los aspectos que es importante comunicar se encuentran: actitud positiva hacia los controles, integridad, ética, cumplimiento de la normativa interna entre otras, la de seguridad informática compromiso con la calidad, etc.
  • 40.
    Organizar y Coordinar Guíade auditoria  El auditor deberá evaluar las características de la comunicación entre la Dirección y el personal de Informática.  Para ello se podrá servir de tareas formales como las descritas hasta ahora y de otras, por ejemplo, a través de entrevistas informales con el personal del Departamento.
  • 41.
    Organizar y Coordinar Gestióneconómica Este apartado de las responsabilidades de la Dirección de Informática tiene varias facetas: presupuestación, adquisición de bienes y servicios y medida y reparto de costes. Presupuestación  Como todo departamento de la empresa, el de Informática debe tener un presupuesto económico, normalmente en base anual.  Los criterios sobre cuáles deben ser los componentes del mismo varían grandemente.  Sea cual sea la política seguida en la empresa, el Departamento de Informática debe seguirla para elaborar su presupuesto anual.
  • 42.
    Organizar y Coordinar Guíade auditoria El auditor deberá constatar la existencia de un presupuesto económico de un proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarlo, y que dicho proceso está en línea con las políticas y procedimientos de la empresa y con los planes estratégico y operativo del propio Departamento.
  • 43.
    Organizar y Coordinar Adquisiciónde bienes y servicios  Los procedimientos que el Departamento de Informática siga para adquirir los bienes y servicios descritos en su plan operativo anual y/o que se demuestren necesarios a lo largo del ejercicio han de estar documentados y alineados con los procedimientos de compras del resto de la empresa. Aquí, las variedades infinitas, con lo que es imposible dar reglas fijas. Guía de auditoria  Una auditoria de esta área no debe diferenciarse de una auditoria tradicional del proceso de compras de cualquier otra área de la empresa, con lo que el auditor deberá seguir básicamente las directrices y programas de trabajo de auditoria elaborados para este proceso.
  • 44.
    Organizar y Coordinar Mediday reparto de costes La dirección de informática debe en todo momento gestionar los costes asociados con la utilización de los recursos humanos y tecnológicos. Y ello, obviamente, exige medirlos. Guía de auditoria  El auditor deberá evaluar la conveniencia de que exista o no un sistema de reparto de costes informáticos y de que este sea justo, incluya los conceptos adecuados y de que el precio de transferencia aplicada este en línea o por debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar:  Realización de entrevistas a la dirección de los departamentos usuarios.  Análisis de los componentes y criterios con los que está calculado el precio de transferencia.  Conocimiento de los diversos sistemas existentes en el departamento.
  • 45.
    Organizar y Coordinar SEGUROS La dirección de informática debe tomar las medidas necesarias con el fin de tener la suficiente cobertura para los sistemas informáticos.  Estas coberturas amparan riesgos tales como la posible perdida de negocio, los costes asociados al hecho de tener que ofrecer servicio informático desde un lugar alternativo por no estar disponible en sitio primario, los costos asociados a la regeneración de datos por perdida o inutilización de los datos originales, etc. Guía de auditoria  El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura existente, analizando si la empresa está suficientemente cubierta o existen huecos en dicha cobertura. Por ejemplo, algunas pólizas sólo cubren el reemplazo del equipo, pero no los otros costes mencionados, etc.
  • 46.
    CONTROLAR CONTROL Y SEGUIMIENTO Un aspecto común a todo lo que se ha dicho hasta el momento es la obligación de la Dirección de controlar y efectuar un seguimiento permanente de la distinta actividad del Departamento.  Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los proyectos que los desarrollan, la ejecución del presupuesto, etc.  En esta labor, es muy conveniente que existan estándares de rendimiento con los que comparar las diversas tareas.
  • 47.
    CONTROLAR Guía de auditoria Entrelas acciones a realizar, se pueden mencionar:  Conocimiento y análisis de los procesos existentes en el Departamento para llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los mismos. Analizar igualmente los procesos de represupuestación.  Revisión de planes, proyectos, presupuestos de años anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y que se toman las medidas correctoras necesarias.
  • 48.
    CONTROLAR Cumplimiento de lanormativa legal  La Dirección de Informática debe controlar que la realización de sus actividades se lleva a cabo dentro del respeto a la normativa legal aplicable.  Asimismo, deben existir procedimientos para vigilar y determinar permanentemente la legislación aplicable. Guía de auditoria  El auditor deberá evaluar si la mencionada normativa aplicable se cumple.  Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de la empresa la Dirección de Recursos Humanos y la Dirección de Informática con el fin de conocer dicha normativa.  A continuación, evaluará el cumplimiento de las normas, en particular en los aspectos más críticos.
  • 49.
    CONCLUSIONES  La contribuciónde la dirección de informática realiza un control de las operaciones informáticas dentro de una empresa y esto viene a ser una parte esencial de la misma.  La calidad de los controles impulsados e inspirados por la dirección de informática tiene gran influencia sobre el probable comportamiento de los SI.  Para poder tener una buena dirección de auditoria informática es necesario tener una buena planificación, organización, coordinación y un debido control de las diversas actividades que realiza la organización.