8/18/2019 Auditoria Direccion
1/50
8/18/2019 Auditoria Direccion
2/50
Siempre se ha dicho que una organización es un reflejo de lascaracterísticas de su dirección, los modos y maneras de actuar de
aquella están influenciadas por la filosofía y personalidad deldirector.
En este caso nos enfocaremos en la auditoria de la Dirección,tambin entendida como gestión en la !nformática.
8/18/2019 Auditoria Direccion
3/50
Planificar: "ue este acorde al plan estratgico #conocimiento a e$aluaracciones a realizar%.
&ectura y análisis de actas, acuerdos, etc. &ectura y análisis de informes gerenciales. Entre$istas con el mismo director del departamento y con los
directores de otras áreas.
Organizar.
Controlar.
Coordinar
8/18/2019 Auditoria Direccion
4/50
&a auditoría de dirección informática no es más que el control delas acti$idades del proceso de dirección de los sistemas de
información. El control del funcionamiento del departamento delsistema de informática con el e'terior o con el usuario se realizapor medio de la dirección. (na gestión en informática eficiente yeficaz requiere del apoyo de su Dirección.
8/18/2019 Auditoria Direccion
5/50
8/18/2019 Auditoria Direccion
6/50
8/18/2019 Auditoria Direccion
7/50
E'isten $arios tipos de planes informáticos. El principal, yorigen de todos los demás, es el que marca el camino generalde e$olución de la informática empresarial y es el )lanEstratgico de Sistemas de !nformación.
Plan Estratégico De Sistemas De Información.
*tros planes relacionados
Plan operativo anual. Plan de dirección tecnológica
Plan de arquitectura de la información. Plan de recuperación ante desastres.
8/18/2019 Auditoria Direccion
8/50
Debe asegurar el alineamiento de los mismos con los objeti$osde negocio de la propia empresa. E'isten di$ersas metodologíasde realización de este tipo de planes+ el auditor deberá e$aluarsi tales metodologías se están utilizando, como se están
utilizando yo, en caso contrario, si pueden ser de utilidad parala empresa.
Estos planes no son de responsabilidad e'clusi$a de laDirección de !nformática, su aprobación depende del comit de!nformática e incluso en -ltimo trmino de la Dirección eneral.
Su $igencia generalmente se suele definir en / o 0 a1os, dehecho tal plazo es muy dependiente del entorno en el que semue$e la empresa.
8/18/2019 Auditoria Direccion
9/50
El auditor deberá e$aluar el proceso de planificación de S.!, además, si secumplen los objeti$os para el mismo. 2ambin e$al-a otros aspectoscomo si3
Se presta adecuada atención al plan estratgico de la empresa,
Se tienen en cuenta aspectos como cambios organizati$os, entornolegislati$o, e$olución tecnológica, organización informática, recursos, etc..,y sus impactos en el )lan estratgico de S.!.
Se presta adecuada consideración de nue$as tecnologías informáticas,siempre que contribuyan a fines de la empresa y no comoe'perimentación tecnológica.
&as tareas y acti$idades cuentan con la adecuada asignación derecursos para poderlas lle$arlas a cabo.
8/18/2019 Auditoria Direccion
10/50
Entre las acciones a realizar se pueden descri!ir:
&ectura de actas de sesiones del 4omit de !nformática dedicadasa la planificación.
&ectura y compresión detallada del )lan e identificación de las
consideraciones incluidas en el mismo sobre los aspectosanteriormente mencionados.
5ealización de entre$istas al Director de !nformática y otrosmiembros del 4omit de !nformática.
5ealización de entre$istas a representantes de los usuarios con elfin de e$aluar su grado de participación y sintonía con el contenidodel )lan.
!dentificación y compresión de los mecanismos e'istentes deseguimiento y actualización del )lan.
8/18/2019 Auditoria Direccion
11/50
Se establece al comienzo de cada ejercicio #a1o, normalmente% y es elque marca las pautas a seguir y describe las acti$idades a realizardurante el mismo, debe estar alineado con el )lan Estratgico, y esuna ocasión propicia para e$aluar si los objeti$os marcados en este
siguen siendo $alidos y coherentes. 6sí mismo, debe estar precedidode una recogida de necesidades de los usuarios.
Debe se1alar los S.! a desarrollar, los cambios tecnológicos pre$istos,los recursos y los plazos necesarios, los costes anticipados, losresponsables, etc.
8/18/2019 Auditoria Direccion
12/50
(na instalación informática puede $erse afectada por cualquier tipo dedesastre, incendios, inundaciones, fallo de alg-n componente, robo,sabotaje, etc. que tengan como consecuencia la indisponibilidad de unser$icio informático adecuado.
8/18/2019 Auditoria Direccion
13/50
8/18/2019 Auditoria Direccion
14/50
El proceso de organizar sir$e para estructurar los recursos, flujos deinformación y los controles que permitan alcanzar los objeti$os marcadosdurante la planificación.
8/18/2019 Auditoria Direccion
15/50
(na de las falencias com-nmente marcadas en el área informática, es lafalta de comunicación de este departamento con el resto de areas de laempresa. El comit de informática es el lugar donde se debaten losgrandes asuntos de la informática que afectan a toda la empresa ypermite a los usuarios conocer las necesidades del conjunto de la
organización.
El comit de informáticageneralmente está conformado porpocas personas y presidido por el
director mas snior, responsable enultimo termino de las tecnologías dela información.
8/18/2019 Auditoria Direccion
16/50
Parece e"istir un cierto censo so!re las funciones que de!er#a
realizar un comité de inform$tica o al menos los siguientes
aspectos:
6probación del )lan Estratgico de Sistemas de información.
6probación de las grandes in$ersiones en tecnología de lainformación.
7ijación de prioridades entre los grandes proyectos informáticos.
8ehículo de discusión entre informática y sus usuarios.
8igila y realiza el seguimiento de la acti$idad de departamento deinformación.
8/18/2019 Auditoria Direccion
17/50
6l ser el má'imo órgano decisorio sobre el papel de las tecnologías de lainformación en la empresa, ninguna auditoria de la dirección deinformática debería soslayar su re$isión. El auditor deba asegurar que elcomit de informática e'iste y cumple su papel adecuadamente. )ara ello
deberá conocer las funciones encomendadas al comit.
8/18/2019 Auditoria Direccion
18/50
Entre las acciones a realizar figuran:
&ectura de la normati$a interna, si la hubiera, para conocer lasfunciones que debería cumplir el comit de informática.
Entre$istas a miembros destacados del comit con el fin deconocer las funciones que en la práctica realiza dicho comit.
Entre$istas a los representantes de los usuarios, miembros delcomit, para conocer si entienden y están de acuerdo con su papelen el mismo.
8/18/2019 Auditoria Direccion
19/50
El departamento de informática debería estar suficientemente alto en la jerarquía de la empresa y contar con masa crítica suficiente para disponerde autoridad e independencia frente a los departamentos usuarios.
6nteriormente la información la manejaba el departamento financiero o deadministración, y por tanto el esquema era encontrar el departamento deinformática integrado dentro del mismo. 9oy en día es habitual encontrar
a los departamentos de informática dependiendo directamente deDirección eneral.
8/18/2019 Auditoria Direccion
20/50
El auditor debe realizar el emplazamiento organizati$o del departamentode informática y e$aluar su independencia frente a departamentosusuarios.
8/18/2019 Auditoria Direccion
21/50
El personal en este departamento debe tener sus funciones descritas ysus responsabilidades claramente delimitadas y documentadas. : todoello es una labor que compete, en gran medida, a la Dirección de
!nformática.
%seguramiento de la calidad
&a calidad de los ser$icios ofrecidos por el departamento de informáticadebe estar asegurada mediante el establecimiento de una función
organizati$a de aseguramiento de la calidad.
Esta función lle$a el control de calidad de los ser$icios informáticos, y esmuy importante que esta función tenga el respaldo de la dirección y seapercibido así por el resto del departamento.
8/18/2019 Auditoria Direccion
22/50
El auditor deberá comprobar que las descripciones están documentadasy son actuales y que las unidades organizati$as informáticas las conocen,las comprenden y desarrollan su labor de acuerdo a las mismas.
Entre las tareas que el auditor de!e realizar est$n:
E'amen del organigrama del departamento de informática eidentificación de las grandes unidades organizati$as.
5e$isión de la documentación e'istente para conocer ladescripción de las funciones y responsabilidades.
8/18/2019 Auditoria Direccion
23/50
Entre$istas a los directores de cada área $erificando que conozcancada una de sus responsabilidades y que estás correspondan alas descripciones e'istentes en la documentación correspondiente.
*bser$ación de las acti$idades del personal para analizar, en lapráctica, las funciones realizadas, la segregación entre las mismasy el grado de cumplimiento con la documentación analizada.
8/18/2019 Auditoria Direccion
24/50
Deben e'istir estándares de funcionamiento y procedimientos quegobiernen la acti$idad del departamento de informática por un lado, y susrelaciones con los departamentos usuarios, por otro. Dichos estándaresdeberían estar documentados, actualizados y comunicados a todos los
departamentos afectados.
2ambin, deben e'istir documentadas descripciones de los puestos detrabajo, delimitando claramente la autoridad y la responsabilidad en cadacaso, además de los conocimientos tcnicos yo e'periencia necesariospara cada puesto de trabajo.
8/18/2019 Auditoria Direccion
25/50
%cciones a realizar:
5e$isión de los estándares y procedimientos e'istentes parae$aluar si trasmiten y promue$en una filosofía adecuada decontrol.
E$aluación de su adecuación, grado de actualización y ni$el decobertura de las acti$idades informáticas y de las relaciones conlos departamentos usuarios.
5e$isión de las descripciones de los puestos de trabajo parae$aluar si reflejan las acti$idades realizadas en la práctica.
8/18/2019 Auditoria Direccion
26/50
8/18/2019 Auditoria Direccion
27/50
El auditor de!er$ evaluar:
&a selección de personal se basa en criterios objeti$os y tiene encuenta la formación, e'periencia y ni$eles de responsabilidadanteriores.
El desempe1o de cada empleado se e$al-a en base aestándares establecidos y en base a un ciclo periódico #anual,normalmente% de e$olución.
E'isten procesos para la promoción del personal que tienen encuenta su desempe1o profesional.
8/18/2019 Auditoria Direccion
28/50
Entre las acciones a realizar se puede citar:
4onocimiento y e$aluación de los procesos utilizados para cubrir$acantes en el departamento de informática, bien sea por promocióninterna, b-squeda directa de personal e'terno, utilización de empresas
de selección de personal o de trabajo temporal.
5e$isión de los procedimientos para la finalización de contratos.
El auditor deberá e$aluar las características de la comunicación entre ladirección y el personal de informática. (tilizando cualquier acti$idaddescrita anteriormente o a tra$s de entre$istas informales con elpersonal del departamento.
8/18/2019 Auditoria Direccion
29/50
&a tarea de dirigir no puede considerarse completa sin esta faceta queforma parte indisoluble de tal responsabilidad.
Control & seguimiento
Se ha de $igilar la elaboración de los planes estratgicos y operati$os y delos proyectos que se desarrollan, la ejecución del presupuesto, lae$olución de los costes, los planes de formación y de los otros recursos#espacio en disco, comunicaciones, capacidad de las impresoras;%, etc.
Es con$eniente que e'istan estándares de rendimiento con los cualescomparar, entre ellos y para gobernar las relaciones del departamento deinformática con los usuarios e'iste los llamados 6cuerdos de
8/18/2019 Auditoria Direccion
30/50
'os %(S constitu&en documentos que refle)an un acuerdo entre dos
partes el Departamento de Inform$tica & los usuarios. Entre sus
venta)as se pueden mencionar:
)ermite objeti$ar las relaciones entre el Departamento de!nformática y los usuarios de tal manera que una parte conoce queser$icios tiene que suministrar y la otra que ser$icios y en quforma debe esperar recibir.
&os 6
8/18/2019 Auditoria Direccion
31/50
Entre las acciones a realizar se puede mencionar:
4onocimiento y análisis de los procesos e'istentes en elDepartamento para lle$ar a cabo el seguimiento y el control.
4onocimiento y análisis de los procesos e'istentes para lanegociación de los 6
8/18/2019 Auditoria Direccion
32/50
8/18/2019 Auditoria Direccion
33/50
!magen de que es planificarhttp3es.slideshare.netjcfdezm'estraque=es=planificar
!magen )lan http3>>>.sumafraternidad.org>ebarchi$os?@@A
http://es.slideshare.net/jcfdezmxestra/que-es-planificarhttp://www.sumafraternidad.org/web/archivos/1997http://www.sumafraternidad.org/web/archivos/1997http://es.slideshare.net/jcfdezmxestra/que-es-planificar
8/18/2019 Auditoria Direccion
34/50
8/18/2019 Auditoria Direccion
35/50
Se trata de pre$er la utilización de las tecnologías de lainformación en la empresa. Dicha pre$isión debe ser plasmadaen documentos llamados planes. &os documentos llamadosplanes demuestran, además, $arias cosas3
9a e'istido una acti$idad consciente de consideración delfuturo, análisis de alternati$as y de e$aluación de riesgos.
Sir$en para marcar un camino, poner objeti$os, tareas,plazos, y responsables.
Son muy -tiles como elemento de referencia para medir ela$ance de la organización dise1o, entre otras cosas.
8/18/2019 Auditoria Direccion
36/50
8/18/2019 Auditoria Direccion
37/50
Contenido
4onceptos Básicos de 6uditoría !nformática
Custificación
*bjeti$os
Ejemplos
8/18/2019 Auditoria Direccion
38/50
Primero: ¿Que es la
auditoría?Es la revisión independiente querealiza un auditor profesional,aplicando tcnicas, mtodos yprocedimientos especializados, a finde evaluar el cumplimiento defunciones, acti$idades, tareas yprocedimientos de una organización,así como dictaminar sobre el
resultado de dicha e$aluación.
u1oz #FF,/0%
8/18/2019 Auditoria Direccion
39/50
6dministración de la4onfiguración deBases de Datos
Justificación
8/18/2019 Auditoria Direccion
40/50
Justificación
*ecursos
+IC,s
7uente3 5odríguez #FFG%
8/18/2019 Auditoria Direccion
41/50
HLa productividad de cualquier organización depende del funcionamientoininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crítico adicional I #5odríguez, FFG3/%.
8/18/2019 Auditoria Direccion
42/50
8/18/2019 Auditoria Direccion
43/50
-ulnera!ilidad
SE.ccee.edu.uyenseniancatcompmaterial!nformLMF!!riesgoinfN.pdf
4ondiciones inherentes a los
acti$os o presentes en su entornoque facilitan que las amenazasse materialicen.
Se manifiestan como debilidades o
carencias3 falta de conocimientodel usuario, tecnologíainadecuada, fallas en latransmisión, ine'istencia de
anti$irus, entre otros.
8/18/2019 Auditoria Direccion
44/50
Impacto
SE.ccee.edu.uyenseniancatcompmaterial!nformLMF!!riesgoinfN.pdf
Consecuencias de la
ocurrencia de las distintasamenazas3 financieras o nofinancieras.
)erdida de dinero, deterioro
de la imagen de la empresa,reducción de eficiencia, fallasoperati$as a corto o largoplazo, prdida de $idas
humanas, etc.
PBajo
8/18/2019 Auditoria Direccion
45/50
6gente 6menazante
9acOer 4racOer
Espionaje !ndustrial4riminales )rofesionales
(suarios#Da1os intencionales o no%
*bjeti$os3 Desafío,ganancia financierapolítica,
da1o
4ausa 7ísica #
8/18/2019 Auditoria Direccion
46/50
4orrecti$o
Disuasi$os )re$enti$os
Detecti$o
2min
Plataforma Inform$tica Operatividad
%menaza o
*iesgo
2ratar de e$itar elhecho4uando fallan los
pre$enti$os paratratar de conocercuanto antes el
e$ento
8uelta a lanormalidad cuando
se han producidoincidencias
E)emplo: Supongamos la siguiente situación
8/18/2019 Auditoria Direccion
47/50
E)emplo: Supongamos la siguiente situación;
odelo de adurez
http://www.google.co.ve/imgres?imgurl=http://www.alintu.com/EQUIS.JPG&imgrefurl=http://www.alintu.com/segmano.htm&usg=__FStT9BjvwfEm_yyBSJBMudlWDNk=&h=44&w=47&sz=2&hl=es&start=92&itbs=1&tbnid=8GsyOdYY__DquM:&tbnh=44&tbnw=47&prev=/images%3Fq%3Dequis%26start%3D80%26hl%3Des%26sa%3DN%26gbv%3D2%26ndsp%3D20%26tbs%3Disch:1
8/18/2019 Auditoria Direccion
48/50
odelo de adurez
Escala de medición creciente a partir de F #
8/18/2019 Auditoria Direccion
49/50
Bibliografía Referencial
R 6(D!2*5!6 DE S!S2E6S DE B654E&*>.auditoriasistemas.com#4onsulta3
8/18/2019 Auditoria Direccion
50/50
Bibliografía Referencial