1. PROPUESTA DE UN MODELO DE
AUDITORIAS EN TECNOLOGÍAS DE
INFORMACIÓN ENFOCADA A CONOCER SU
UNIVERSIDAD LA SALLE
INFORMACIÓN ENFOCADA A CONOCER SU
BENEFICIO CUANTITATIVO PARA LA
EMPRESA.
TESIS
Q U E PAR A O B T E N E R E L G R AD O D E M AE S T R O
E N T E C N O L O G Í AS D E I N F O R M AC I Ó N
C AR L O S R AÚ L M AL D O N AD O L E G AR I A
2 2 D E F E B R E R O 2 0 1 3
2. Contenido
1. Límites y Alcance.
2. Hipótesis.
3. Uso de las tecnologías de información.
4. La administración actual de las tecnologías de información.
5. Como medir la entrega de valor
6. Problemática actual en la gestión de las TI.6. Problemática actual en la gestión de las TI.
7. Problemática en la ejecución de auditorías en TI.
8. Modelo propuesto
9. Beneficios esperados
10. Construcción del modelo
11. Resultados esperados
12. Consideraciones a futuro
13. Conclusiones
3. Limite y Alcance
Diseñar un modelo, que ayude a los auditores internos a
poder interpretar e identificar los aspectos de control quepoder interpretar e identificar los aspectos de control que
permitan asegurar el cumplimiento con los objetivos del
negocio a través del uso de las tecnologías de información.
4. Hipótesis
Con el diseño de un modelo de auditoría cuantitativa, será
posible para el auditor en tecnología de información poder
presentar informes detallados a la Alta Dirección que reflejen
los beneficios que se han obtenido al adquirir, implementar olos beneficios que se han obtenido al adquirir, implementar o
administrar diversas soluciones tecnológicas para el logro de
los objetivos de la empresa.
5. Origen y uso de las
tecnologías de información
El nacimiento y evolución de las
computadoras, redes y bases de
datos han marcado un cambio
significativo en la manera en comosignificativo en la manera en como
las empresas hacen negocios,
producen bienes y servicios y son
distribuidos a sus clientes locales e
internacionales.
6. Origen y uso de las
tecnologías de información
La interconexión de las computadoras, el
almacenamiento de grandes cantidades de datos, el
procesamiento en segundos de estos datos ha
propiciado que las empresas puedan tomar
decisiones de manera oportuna y precisa, así como
poder ahorrar costos de operación y poder ofrecer
nuevos productos y servicios.
7. La administración actual de
las tecnologías de información
La adopción de estas nuevas tecnologías de información,
propiciaron una nueva forma de administrarlos ya que estos
recursos son limitados y generan un costo para la
administración y su operación. Conforme las TI son másadministración y su operación. Conforme las TI son más
importantes para las empresas surgen marcos de referencia
que permiten optimizar dichos recursos.
8. Gobierno de TI: Es la capacidad de la dirección del área de TI para poder
tomar decisiones que permita el logro y cumplimiento de los objetivos del
negocio.
La administración actual de
las tecnologías de información
9. Como medir la entrega de valor
Entrega de
Valor
Entrega de
Valor
Tecnologías
de
Información
Tecnologías
de
Información
Gobierno de
TI
Gobierno de
TI
10. Como medir la entrega de valor
Falta de claridad en los beneficios que se esperan obtener.
Comunicación deficiente entre el área usuaria y el área de TI.
Desconocimiento sobre la tecnología que se va a adquirir.
Cambios constantes en los alcances y metas esperadas.
PrincipalesPrincipales
Cambios constantes en los alcances y metas esperadas.
Personal poco preparado para poder implementar y gestionar la tecnología.
Cambios en las tendencias tecnológicas o de mercado.
Incumplimiento en las fechas.
Mala calidad de los entregables.
PrincipalesPrincipales
RetosRetos
11. 1. Identificar y
priorizar las áreas
clave para la
inversión mediante
la alineación con
los objetivos del
negocio
2. Mostrar el
impacto de la
iniciativa de las
tecnologías sobre
el negocio
Como medir la entrega de valor
negocio
3. Mostrar los
beneficios
individuales o por
departamentos que
se obtendrán.
4. Justificar los
beneficios
económicos que se
pueden obtener.
12. Problemática actual en la
gestión de las TI
Actualmente las empresas realizan grandes esfuerzos en la
inversión de tecnología que permita la solución de diversos
problemas a las que se enfrenta, entre las que podemos
mencionar:
a) Dinamismo de mercado.
b) Alta competitividad.
c) Reducción de costos.
d) Nuevas y mas estrictas normatividades con respecto al manejo de la
información.
e) Competencia global.
13. Problemática actual del área
de auditoria en TI
Identificación
de riesgos
Problemática
Actual
Leyes y
Regulaciones
Genéricas
Complejidad
de las TI
Dudas sobre
los Beneficios
Obtenidos
14. Modelo propuesto
Para poder formular la propuesta para este modelo, debemos de partir
de la primicia de que actualmente existen diferentes marcos de
referencia que permiten al auditor a poder realizar su trabajo, dentro de
ellos podemos mencionar los Objetivos de Control de Tecnologías de
Información (COBIT) y la serie de estándares internacionales de la
familia ISO 27000.
15. Beneficios esperados
BeneficiosBeneficios
TangiblesTangibles
BeneficiosBeneficios
IntangiblesIntangibles
a. Mayor eficiencia del personala. Reducción de tiempo para el procesamiento de a. Mayor eficiencia del personal
b. Mayor satisfacción del cliente
c. Cumplimiento regulatorios
d. Mejor ambiente laboral
e. Optimización de recursos
f. Mejorar la imagen de la empresa
g. Mayor competitividad
h. Capacidad de adelantarse a eventos
futuros.
a. Reducción de re procesos y errores.
b. Mejor control sobre los recursos
tecnológicos y de la información.
a. Reducción de tiempo para el procesamiento de
información
b. Movilidad
c. Acceso a la información en cualquier parte
d. Calidad de la información
e. Reducción de costos
f. Calidad de los reportes
g. Toma de decisiones en menor tiempo
h. Mejor control sobre la información
i. Capacidad de estar mejor comunicado con el
cliente
16. Construcción del modelo
Servicio
Ponderación Ponderación Ponderación Ponderación Ponderación Ponderación
Beneficio
TI
Control Control Control Control
Atributo Atributo Atributo Atributo Atributo Atributo
18. Construcción del modelo
ServicioServicio
a. Comunicación
b. Movilidad
c. Accesibilidad
d. Almacenamiento
e. ProcesamientoServicioServicio
SoportadoSoportado
e. Procesamiento
f. Toma de decisiones
g. Legal o Regulatorio
h. Imagen Corporativa
i. Envío de información
j. Gobernabilidad
19. Construcción del modelo
0: No hay control. Hay una carencia completa de un proceso
reconocible. La alta dirección no ha reconocido si quiera que
exista un problema que resolver.
1: Existe un control pero no es gestionado de manera estándar y son
los controles administrados de manera subjetiva y reactiva a los
problemas.
PonderaciónPonderación
2: Existe un control y sus procesos de gestión son repetibles y están
documentados.
3: Existe un control y sus procesos están debidamente gestionados y
documentados pero no se cuentan con mecanismos de monitoreo y
control.
4: Existe un control con sus debidos procesos de gestión, son
aplicados sin ningún problema y se cuentan con mecanismos de
monitoreo que permiten identificar el grado de efectividad del
sistema.
20. Construcción del modelo
1. Reducción de tiempo para el procesamiento de información
2. Movilidad
3. Acceso a la información en cualquier parte
4. Calidad de la información
5. Reducción de costos
6. Calidad de los reportes
7. Toma de decisiones en menor tiempo
8. Mejor control sobre la información
BeneficioBeneficio
8. Mejor control sobre la información
9. Capacidad de estar mejor comunicado con el cliente
10. Mayor eficiencia del personal
11. Mayor satisfacción del cliente
12. Cumplimiento regulatorios
13. Mejor ambiente laboral
14. Optimización de recursos
15. Mejorar la imagen de la empresa
16. Mayor competitividad
17. Capacidad de adelantarse a eventos futuros.
18. Reducción de re procesos y errores.
19. Mejor control sobre los recursos tecnológicos y de la
información.
21. Construcción del modelo
Entre los beneficios que se pretenden obtener con este modelo podemos
mencionar:
Homologación de criterios y beneficios que se deberían de esperar
obtener por ello.
Facilitar al Auditor en TI y el área auditada en poder identificar losFacilitar al Auditor en TI y el área auditada en poder identificar los
beneficios tangibles e intangibles.
Reducción en los tiempos para la identificación de beneficios reales
para la empresa.
Poder brindar un valor agregado del área de auditoría en TI hacia la
empresa permitiendo maximizar no solo los costos de inversión y de
gasto en tecnología sino que sea capaz de tener una visión mas
integral de los beneficios intangibles que recibe la empresa gracias a la
tecnología de información que ha sido adaptada.
22. Resultados esperados
Con la matriz que se ha generado se espera que los auditores en
tecnologías de información al momento de realizar una revisión sobre un
proceso dentro del área de sistemas pueda identificar no solo brechas
relacionadas a la falta de control o posibles riesgos asociados a la
tecnología sino que sea capaz de poder identificar si la tecnología
adoptada esta generando algún tipo de beneficio para la empresa.
Se esta bajo la premisa de que este modelo es susceptible de cambios ySe esta bajo la premisa de que este modelo es susceptible de cambios y
adaptaciones futuras así como entender que dependiendo de la madurez
de la empresa (objetivos, cultura, estrategia, métricas, comunicación, su
visión y misión) este modelo podrá ser útil.
Se debe de entender que este campo de auditoría es relativamente nuevo
y aún no se ha logrado entender completamente el alcance y utilidad de la
auditoría en tecnologías de información, creo que en los próximos años
las funciones que realiza el auditor especializado en este tema deberán de
buscar con una visión integral lo que sucede entre las áreas de sistemas y
la empresa como tal.
25. Consideraciones a Futuro
El modelo propuesto pasará por un proceso de adaptación a las
condiciones de la empresa, cultura organizacional y gobierno de TI.
Una vez madurado el modelo facilitará al auditor a crear un nuevo
enfoque orientado no solo al riesgo y cumplimiento, sino orientado a
como se genera valor en la empresa a través de TI.
Facilitará la interpretación de los resultados de una manera más rápida
y sencilla para la dirección y personal que carece conocimientos en TI.
Permitirá identificar que tecnologías de información no están siendo
bien administradas en beneficio de la organización.
26. Conclusiones
Las empresas han invertido, en ocasiones, excesivamente en
herramientas tecnológicas que no permiten alcanzar los objetivos
previamente establecidos, siendo el área de auditoría en TI
responsable no solo de revisar la gestión y control de los mismos se
hace necesario que se apoye de manera más directa para poder
proponer mejoras de fondo que permitan el alcanzar los beneficios
esperados.esperados.
El principal reto al que nos enfrentamos los auditores en TI, es que en
muchas ocasiones la falta de seguimiento y análisis en los beneficios
que se esperan obtener, con este modelo propuesto se esperaría que
el área de auditoría pueda generar valor agregado al momento de sus
revisiones para así poder cumplir con las expectativas de la dirección
general.