11/07/2011

AUDITORIA DE LA DIRECCIN
Ing. Oscar Romel Alcntara Moreno oralcant@hotmail.com

La organizacin del rea de Informtica

Existe muchos nombres para el rea responsable de la gestin de los recursos tecnolgicos de informacin: Sistemas, Informtica, Tecnologas de Informacin, Centro de Cmputo, etc. Asimismo, existen empresas que le otorgan diversas relaciones funcionales:
Ing. Oscar Romel Alcntara Morneo

11/07/2011

Diversas relaciones funcionales del rea de Informtica

Gerencia Informtica

Informtica Administracin

Informtica

Ing. Oscar Romel Alcntara Morneo

Cualquiera que sea la denominacin o relacin funcional, el rea de informtica tiene como responsabilidad la gestin de los recursos tecnolgicos de informacin de la entidad y su orientacin estratgica hacia el logro de los objetivos organizacionales.

Ing. Oscar Romel Alcntara Morneo

11/07/2011

En esencia las funciones del rea de informtica son: Planificacin estratgica de las tecnologas de informacin en la entidad. Desarrollo del sistema de informacin integrado y aplicaciones diversas: Web site. Soporte tcnico de la infraestructura tecnolgica informtica: Pc, redes, etc.
Ing. Oscar Romel Alcntara Morneo

Todo esto orientado a la generacin de ventajas competitivas en la entidad: Bajos costos de produccin. Mejor calidad del producto. Diferenciacin del producto: precio, especializacin en mercados, etc. Mayor integracin organizacional. Menor tiempo de respuesta al mercado: necesidades del cliente, estrategias de los competidores, exigencias del Estado, etc.
Ing. Oscar Romel Alcntara Morneo

11/07/2011

Organizacin del rea de Informtica

Jefatura Equipo de asesores Asistente

Desarrollo

Produccin

Soporte Tcnico

Ing. Oscar Romel Alcntara Morneo

Desarrollo: Es el sub rea encargada del anlisis, diseo y programacin del sistema de informacin integrado de la entidad, asi como las diversas aplicaciones. En ella podemos encontrar a los siguientes cargos: Jefe de desarrollo del sistema de informacin y aplicaciones diversas. Administrador de la base de datos. Administrador del Web Site. El nmero de personas responsables de estas funciones est de acuerdo a la capacidad econmica de la entidad.

11/07/2011

Produccin: Es el sub rea encargada de la implementacin del sistema de informacin y las aplicaciones diversas. Su labor consiste en realizar el control de calidad de las aplicaciones antes de ser entregadas a los usuarios. Capacitar a los usuarios para su utilizacin. Administrar el sistema de informacin: crear, eliminar y modificar las configuraciones de acceso de los usuarios a los mdulos del SI. Comunicar al rea de Desarrollo las mejoras que deben realizarse a las aplicaciones.

Soporte Tcnico: Es el sub rea encargada de la administracin directa de los recursos informticos, tales como: Mantenimiento de equipos informticos. Administracin de la red de comunicacin de datos: Servidor, equipos de comunicacin, equipos UPS, pozos a tierra, terminales, etc. Asistencia a usuarios en el manejo adecuado de los recursos informticos.

11/07/2011

Usuario experto: En muchas empresas se ha implementado a este cargo temporal, el cual tiene las siguientes funciones: Indicar las especificaciones tcnicas de los procesos de su rea al jefe de Desarrollo. Realizar el control de calidad de las aplicaciones antes de ser implementadas. Elaborar el Manual de Usuario del Sistema de Informacin y otras aplicaciones. Capacitar a los usuarios de su rea. Informar las nuevas necesidades de los usuarios.

El usuario experto se constituye en la mejor expresin sistmica de la implementacin de tecnologas de informacin. Debido a que la responsabilidad de la implementacin de TI en una entidad es de todos: Polticas: Gerencia. Procesos: Usuarios y Organizacin y Mtodos. Infraestructura: Logstica. Dinero: Economa y finanzas. Tecnologa: Informtica.

11/07/2011

Actividades Bsicas de la Direccin

Planificar. Organizar. Coordinar. Controlar.

Ing. Oscar Romel Alcntara Morneo

I.- Planificar
Se trata de prever la utilizacin de las tecnologas de la informacin en la empresa.

Existen varios tipos de planes informticos. El principal, y origen de todos los dems, es el Plan Estratgico de Sistemas de Informacin.

Ing. Oscar Romel Alcntara Morneo

11/07/2011

Plan Estratgico de Sistemas de Informacin

Es el marco bsico de actuacin de los SI en la empresa. Debe asegurar el alineamiento de los SI con los objetivos de la empresa, tarea que no siempre es fcil. Existen diversas metodologas para PESI, el trabajo del auditor consiste en evaluar si se estn utilizando y/o pueden ser de utilidad para la empresa. Tener en cuenta que los planes no son responsabilidad exclusiva de la Direccin de Informtica. Su aprobacin final corresponde a otros estamentos. La vigencia de un plan es de 3 a 5 aos; pero en realidad depende del entorno en el que se mueve la empresa, hay mucho factores que influyen como:
La cultura de la propia empresa. El sector de actividad. Las acciones de la competencia, etc.
Ing. Oscar Romel Alcntara Morneo

PESI Gua de Auditora

Examinar el proceso de planificacin de sistemas de informacin y evaluar si razonablemente se cumplen los objetivos. Evaluar si: Durante el proceso de planificacin se:
Presta atencin al PEN. Se establece sincronizacin entre los grandes hitos del PEN y los proyectos informticos. Se tiene en cuenta aspectos como: Cambios organizativos, entorno legislativo, evolucin tecnolgica, organizacin informtica, recursos, etc. Verificar si los impactos del punto anterior estn recogidos en el PESI. Evaluar si se presta atencin a nuevas tecnologa informtica como contribucin a la empresa y no como experimentacin.

Ing. Oscar Romel Alcntara Morneo

11/07/2011

PESI
Independientemente de la metodologa, los plazos y las acciones concretas llevadas a cabo, debe existir un proceso, con participacin activa de los usuarios, que regularmente elabore planes estratgicos de SI a largo plazo, cualquiera que sea ese largo y es trabajo del auditor evaluar su adecuacin.

Ing. Oscar Romel Alcntara Morneo

PESI Gua de Auditora

Las tareas y actividades en el Plan tienen la correspondiente y adecuada asignacin de recursos. Asimismo si los plazos de consecucin son realistas en funcin de:
Situacin actual de la empresa. Organizacin informtica. Estado de la tecnologa, etc.

Ing. Oscar Romel Alcntara Morneo

11/07/2011

PESI Gua de Auditora

Acciones a realizar: Lectura de actas de sesiones del Comit de Informtica dedicadas a la planificacin estratgica. Identificacin y lectura de los documentos intermedios prescritos metodologa de planificacin. Lectura y comprensin detallada del Plan e identificacin de las consideraciones incluidas en el mismo sobre:
Los objetivos empresariales. Cambios organizativos. Evolucin tecnolgica. plazos. Niveles de recursos

Realizacin de entrevistas al Director de Informtica y a otros miembros del Comit de Informtica participantes en el proceso de elaboracin del Plan Estratgico. Del mismo modo entrevistas a los usuarios con la finalidad de evaluar su participacin y sintona con el Plan. Identificacin y comprensin de los mecanismos existentes de seguimiento y actualizacin del Plan y de su relacin con la evolucin de la empresa.

Ing. Oscar Romel Alcntara Morneo

Otros Planes Relacionados

Los ms habituales son: Plan operativo anual. Plan de direccin tecnolgica. Plan de arquitectura de la informacin. Plan de recuperacin de desastres.

El Plan Tecnolgico y el Plan de Arquitectura generalmente aparecen integrados al PESI.

Ing. Oscar Romel Alcntara Morneo

10

11/07/2011

Otros Planes Plan Operativo Anual

Se establece al comienzo de cada ejercicio. Marca las pautas a seguir durante el ao. Debe estar alineado al PESI. Debe estar precedido de una recogida de informacin de los usuarios. Contempla:
Los SI a desarrollar. Los cambios tecnolgicos previstos. Los recursos y los plazos necesarios, etc.

Debe tenerse en cuenta las recomendaciones realizadas por los auditores y consultores anteriores.
Ing. Oscar Romel Alcntara Morneo

Otros Planes Plan Operativo Anual

El auditor deber evaluar:
La existencia del Plan y su nivel de calidad. Su alineamiento con el Plan Estratgico. Su grado de atencin a las necesidades de los usuarios. La previsin de los recursos necesarios para llevar a cabo el Plan. Si los plazos descritos son realistas teniendo en cuenta, entre otras cosas, las experiencias anteriores de la empresa
Ing. Oscar Romel Alcntara Morneo

11

11/07/2011

Otros Planes Plan Operativo Anual

Nivel de cumplimiento del Plan Operativo
Nivel de cumplimien to Nm.Actividades Culminadas x100 Nm.Total Actividades

Ing. Oscar Romel Alcntara Morneo

Otros Planes Plan de Recuperacin ante Desastres

Una instalacin de informtica puede verse afectada por:
Incendio. Inundacin. Falla componente crtico de hardware. Robo. Sabotaje. Acto de terrorismo. Otros.

La Direccin debe prever esta posibilidad y planificar para hacerle frente. El Plan es responsabilidad de la Direccin y no del responsable de seguridad.
Ing. Oscar Romel Alcntara Morneo

12

11/07/2011

II.- ORGANIZAR Y COORDINAR

1. COMIT DE INFORMTICA Funciones:
Aprobar el PESI. Aprobar las grandes inversiones en TI. Fijar prioridades entre los grandes proyectos informticos. Vehculo de discusin entre Informtica y sus usuarios. Vigila y realiza el seguimiento del Departamento de Informtica.
Ing. Oscar Romel Alcntara Morneo

Comit de Informtica
Gua de Auditora: Comprobar que el Comit existe y cumple su papel adecuadamente. Acciones: Lectura de la normativa interna, para conocer las funciones del Comit. Entrevistas a los miembros del Comit: conocer las funciones. Entrevistas a los representantes de los usuarios miembros del Comit: conocer si entienden y estn de acuerdo con su papel en el mismo.

Ing. Oscar Romel Alcntara Morneo

13

11/07/2011

Comit de Informtica
Evaluar la adecuacin de las acciones que realiza. Acciones: Lectura de las actas del Comit y entrevistas a sus miembros, principalmente a los representantes de los usuarios para comprobar que:
El comit cumple efectivamente con las funciones. Los acuerdos son tomados correctamente y los puntos de vista de los representantes de los usuarios son tenidos en cuenta.

Ing. Oscar Romel Alcntara Morneo

2.- Posicionamiento del Departamento de Informtica

La idea es la ubicacin del Departamento de Informtica en la estructura organizativa de la empresa. El Departamento debera estar suficientemente alto en la jerarqua y contar con autoridad e independencia frente a los departamentos usuarios.
Ing. Oscar Romel Alcntara Morneo

14

11/07/2011

2.- Posicionamiento del Departamento de Informtica

Gua de Auditora: Revisar el emplazamiento organizativo del Departamento de Informtica. Evaluar su independencia frente a departamentos usuarios. Cmo?: Entrevistas con el Director de Informtica. Entrevistas con directores de departamentos usuarios.
Ing. Oscar Romel Alcntara Morneo

3.- Descripcin de funciones y responsabilidades del Dpto. de Informtica: Segregacin de funciones.

Es necesario que: Tenga sus funciones descritas. Responsabilidades claramente delimitadas y documentadas. Todo el personal conozca sus funciones y responsabilidades. Para tener un entorno controlado debe existir divisin de funciones y responsabilidades. Asegurar la segregacin entre las funciones de desarrollo, produccin o explotacin y los departamentos usuarios. La funcin de seguridad debe estar claramente separada de la de produccin.
Ing. Oscar Romel Alcntara Morneo

15

11/07/2011

3.- Descripcin de funciones y responsabilidades del Dpto. de Informtica: Segregacin de funciones

Aseguramiento de la Calidad: La calidad de los servicios ofrecidos por el Departamento de Informtica debe estar asegurada mediante el establecimiento de una funcin organizativa de Aseguramiento de la Calidad. Es muy importante que esta funcin tenga el total respaldo del al Direccin y sea percibido as por el resto del Departamento.
Ing. Oscar Romel Alcntara Morneo

3.- Descripcin de funciones y responsabilidades del Dpto. de Informtica: Segregacin de funciones

Gua de Auditora: El auditor deber comprobar que las funciones estn debidamente documentadas y son actuales y que las unidades organizativas informticas las comprenden y desarrollan su labor de acuerdo a ellas. Tareas a realizar: Examen del organigrama e identificacin de las grandes unidades organizativas. Revisin de la documentacin existente: conocer funciones y responsabilidades. Realizar entrevistas a los jefes de cada unidad organizativa: determinar el conocimiento de sus responsabilidades y que stas corresponden a la documentacin. Examen de las descripciones de las funciones y evaluar si existe adecuada segregacin de funciones. Observacin de actividades del personal para analizar en la prctica: las funciones realizadas, la segregacin y el grado de cumplimiento con respecto a la documentacin.
Ing. Oscar Romel Alcntara Morneo

16

11/07/2011

4.- Estndares de funcionamiento y procedimientos. Descripcin de los puestos de trabajo

Debe existir: Estndares de funcionamiento y procedimientos que gobiernen la actividad del DI y sus relaciones con los departamentos usuarios. Procedimientos para la adquisicin de equipos o material. Estndares y procedimientos para el diseo, desarrollo/modificacin de los SI. Los estndares y procedimientos deben estar documentados, actualizados y ser comunicados adecuadamente. Debe existir documentacin de la descripcin de cada puesto de trabajo, delimitando su autoridad y responsabilidad.
Ing. Oscar Romel Alcntara Morneo

4.- Estndares de funcionamiento y procedimientos. Descripcin de los puestos de trabajo

Gua de Auditora: Verificar la existencia de estndares de funcionamiento y procedimientos y descriptores de los puestos. Acciones a realizar:

Evaluacin del proceso por el que los estndares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados.
Revisin de los estndares y procedimientos existentes para evaluar si transmiten y promueven una adecuada filosofa de control. Revisin de las descripciones de los puestos para evaluar si reflejan las actividades realizadas en la prcticas.
Ing. Oscar Romel Alcntara Morneo

17

11/07/2011

5.- Gestin de RRHH: Seleccin, evaluacin del desempeo, formacin, promocin y finalizacin
Gua de Auditora: Evaluar que: La seleccin de personal se basa en criterios objetivos: formacin, experiencia y niveles de responsabilidad anteriores. El rendimiento se evala en base a estndares establecidos y responsabilidades especficas del puesto. Existen procesos para determinar las necesidades de formacin: experiencia, puesto, responsabilidad, desarrollo futuro personal y tecnolgico de la instalacin. Se planifica la formacin?. Existen procesos para la promocin del personal: desempeo personal. Existen controles que aseguran que el cambio de puesto la finalizacin de contratos no afectan a los controles internos y la seguridad informtica.

Estos aspectos deben estar en armona con las polticas y procedimientos de la Empresa
Ing. Oscar Romel Alcntara Morneo

6.- Comunicacin
La comunicacin debe ser efectiva y eficiente. Aspectos importantes de comunicar:
Actitud positiva hacia los controles. Integridad. tica. Cumplimiento de la normatividad interna. Compromiso con la calidad.

Gua de Auditora: Evaluar las caractersticas de la comunicacin entre la Direccin y el resto del personal del DI. Esto se podr lograr con entrevistas informales con el personal del DI.

Ing. Oscar Romel Alcntara Morneo

18

11/07/2011

7.- Gestin Econmica. A. Presupuestacin: Gua de Auditora: Verificar la existencia de un presupuesto, de un proceso para elaborarlo (participacin de usuarios) y aprobarlo, y que el proceso est alineado a las polticas de la empresa y con el PESI y Plan Operativo de DI. B. Adquisicin de Bienes y servicios. Gua de Auditora: Similar a una auditora tradicional del proceso de compras de cualquier otra rea de la empresa.
Ing. Oscar Romel Alcntara Morneo

7.- Gestin Econmica...

C. Medida y reparto de costos Gua de Auditora: Tema delicado y espinoso, suele ser llamado precio de transferencia, es decir costo interno que el DI traslada a los departamentos usuarios por los servicios que presta. Se debe evaluar la conveniencia de que exista o no un sistema de reparto de costos informticos y de que ste sea justo, que incluya conceptos adecuados y que el precio de transferencia sea menor o igual al disponible en el mercado. Acciones a llevar a cabo: Entrevistas a la direccin de departamentos usuarios: evaluar el grado de comprensin de los componentes de la frmula usada. Anlisis de los componentes y criterios con los que se calcula el precio de transferencia. Conocimiento de los diversos sistemas existentes en el DI para recoger y registrar la actividad del mismo: consumo de recursos de mquina, nmero de lneas de impresora, horas de programacin, de help-desk, etc.

Ing. Oscar Romel Alcntara Morneo

19

11/07/2011

8.- Seguros.
Estudiar las plizas de seguros y evaluar la cobertura existente, analizando si la empresa est suficientemente cubierta o existen huecos en dicha cobertura.

Ing. Oscar Romel Alcntara Morneo

III.- CONTROLAR
1. Control y Seguimiento: Existe una obligacin de la Direccin del DI de controlar y efectuar un seguimiento de la distinta actividad del Departamento. Es conveniente la existencia de estndares de rendimiento con los que se ha de comparar las diversas tareas. Gua de Auditora: Conocimiento y anlisis de los procesos existentes en el DI para llevar a cabo el control y seguimiento. Evaluar: la periodicidad y los procesos re represupuestacin. Revisin de planes, proyectos y presupuestos de aos anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y se toman las medidas correctivas.

Ing. Oscar Romel Alcntara Morneo

20

11/07/2011

Controlar... 2.- Cumplimiento de la normatividad legal

Gua de Auditora Evaluar si la normatividad aplicable se cumple.
Entrevistarse con Asesora Jurdica de la empresa. Entrevistarse con la Direccin de Recursos Humanos. Entrevistar con la Direccin del Departamento de Informtica.

Evaluar el cumplimiento de las normas respecto de:

Seguridad e higiene en el trabajo. Normativa laboral y sindical. Proteccin de datos personales. Propiedad intelectual. Requisitos definidos en las coberturas de seguro. Contratos de comercio electrnico. Transmisin de datos por lneas de comunicaciones. Otros.

Ing. Oscar Romel Alcntara Morneo

Tarea
Revisin de los estndares COBIT 4.1 https://www.isaca.org http://www.itgi.org/

Ing. Oscar Romel Alcntara Morneo

21