AUDITORIA

COMPUTACIONAL
2


Planificacin y Organizacin del rea de
Tecnologas de Informacin


3
PLANIFICACION ESTRATEGICA
Definicin
QUE DECISIN VOY A TOMAR HOY,
PARA CONSEGUIR LO QUE QUIERO
MAANA
P. DRUCKER
4
LA ESTRATEGIA DEBE VOLCARSE A
UN PLAN DE ACCION CONCRETO
Donde Estamos?
Donde queremos ir?
Como iremos?
Responsables?
Medidores?
5
Para hacer Planificacin Estratgica
necesito

INFORMACION
6
QUE ES INFORMACION?
En trminos simples informacin son
DATOS UTILES o CON VALOR

INFORMACION ES PODER
7
Informacin de Calidad
Exacta
Oportuna
Relevante
Completa
Inalterada
Segura
Sin errores
De Costo Razonable
8
EL PAPEL DE LAS TECNOLOGIAS DE
INFORMACION
Las funciones de planificacin, diseo e
implantacin del SI de la empresa, debe
estar relacionado con los distintos
sistemas que integran la infraestructura de
la empresa, y debe ser coherente con la
estrategia competitiva de la empresa, por
ello est ser una tarea de la direccin,
realizar estas funciones del SI.
9
PLAN ESTRATEGICO DE
TECNOLOGIAS DE INFORMACION
Esto significa, un proceso de planificacin
estratgica emprendido en intervalos
regulares dando lugar a planes a Largo
Plazo. Los planes a Largo plazo debers
ser traducidos peridicamente a planes
operacionales estableciendo metas claras
y concretas a corto plazo.
10
Considerando
Definicin de Objetivos de negocio y
necesidades de T.I
Inventario de soluciones tecnolgicas e
Infraestructura Actual.
Servicio de Vigilancia Tecnolgica
Cambios Organizacionales
Estudios de Factibilidad oportunos
Evaluacin de Sistemas Existentes
11
OBJETIVOS DE CONTROL
T.I como parte del plan de l Organizacin
a Corto y Largo Plazo
Plan a Largo Plazo de T.I
Plan a Largo Plazo de T.I Enfoque y
Estructura.
Cambios al Plan a Largo Plazo de T.I
Planeacin a Corto Plazo para la funcin
de Servicios de Informacin
Evaluacin de Sistemas Existentes
12
PLAN INFORMATICO
Definicin:
Es un documento en donde se consignan todos los
requerimientos tecnolgicos, de software (ya sea de
desarrollo interno o sistema operativo) y de
hardware de una empresa, debidamente priorizados,
cuantificados y evaluados econmicamente por
reas estratgicas de la organizacin (Gerencias de
reas) con un horizonte de 3 a 5 aos, en
concordancia plana con los objetivos, metas, y
visin enunciados en el Plan Estratgico de la
Empresa.

13
PLAN INFORMATICO (OBJ)
Dependiendo de la industria en la cual est
inserta, el Plan Informtico puede tener
objetivos tales como:
- Ser Lderes en Tecnologa de Informacin.
- Incorporar Tecnologa de Informacin en la
medida en que no quede en desventaja con los
competidores.
- No incorporar Tecnologa de Informacin.
(Causas: Falta de madurez de la Organizacin,
o nivel cultural de sus integrantes)
14
PLAN INFORMATICO
Procesos
- Planificacin de Recursos Materiales,
Humanos, Financieros.
- Planificacin de Recursos Tcnicos de: HW, SW,
configuracin, comunicaciones, espacio en
disco, Sistema Operativo, mobiliario, etc
15
PLAN INFORMATICO

Riesgos Inherentes al Plan Informtico
- Que no este definido, o no exista
- Que estando definido no este formalizado
- Que no haya sido aprobado por el Comit de Informtica.
- Que no se haya comunicado formalmente a la organizacin.
- Que no sea compatible con los objetivos de la empresa.
- Que su priorizacin, cuantificacin y evaluacin de proyectos no
hayan sido rigurosos, adecuados y objetivos en su concepcin
16
PLAN INFORMATICO

Etapas:
1. Estudio Inicial
2. Anlisis del Negocio
3. Requerimientos de Tecnologa Informtica
4. Anlisis de la Situacin Actual
5. Comparacin entre las Necesidades/Situacin Actual.
6. Identificacin de Oportunidades
7. Seleccin de Oportunidades
8. Determinacin de las Estrategias a seguir
9. Informe y Presentacin
19. Mantencin, Monitoreo y Control
17
PLAN INFORMATICO

Contenido:
1. Descripcin del Negocio
2. Necesidades de Informacin
3. Situacin Actual
4. Oportunidades e Implicancias
5. Oportunidades Recomendadas
6. Estratgias de Implementacin
18
Definicin de la Organizacin y de las
relaciones de T.I
Es decir, prestacin de servicios de T.I
(rea Informtica).
A travs, de un numero conveniente de
personas y habilidades, con tareas y
responsabilidades definidas y
comunicadas.
19
Objetivos de Control
Comit de planeacin
Ubicacin de los servicios informticos en la Organizacin.
Revisin de Logros Organizacionales
Funciones y responsabilidades
Responsabilidad en el aseguramiento de la calidad.
Responsabilidad de la Seguridad fsica y lgica.
Propiedad y custodia
Propiedad de Datos y Sistemas
Supervisin
Segregacin de Funciones
Descripcin de puestos
Personal clave de T.I
Procedimientos para personal
Relaciones
20
COMIT DE INFORMTICA
Objetivos

1. Vigilar que los sistemas a desarrollar ayuden al logro del
objetivo de la organizacin.
2. Aprobar y comunicar a todo el personal involucrado las
normas, procedimientos y estndares que utilizar la
empresa.
3. Coordinar las actividades entre el departamento de
informtica y la unidades de la organizacin.
4. Aprobar los programas de capacitacin para el personal
involucrado en el desarrollo de sistemas.
5. Controlar las actividades de desarrollo y el cumplimiento
del Plan Informtico.

21
COMIT DE INFORMTICA
Funciones:
1. Analizar, aprobar y comunicar las normas, procedimientos,
y estndares diseados por la Unidad de Sistemas.
2. Analizar, aprobar y dar prioridad a los proyectos de
sistemas presentados por la unidad de sistemas.
3. Enviar al departamento de informtica los requerimientos
de desarrollados aprobados.
4. Analizar, aprobar y comunicar el Plan Informtico de la
empresa.
5. Analizar, aprobar y comunicar el programa de capacitacin
al personal.
6. Analizar y entregar los recursos necesarios para el
desarrollo de los sistemas de informacin.

22
COMIT DE INFORMTICA
Integrantes:
1. Gerente General, con derecho a voz y voto;
2. Representante del Directorio con derecho a voz y voto;
3. Los Gerentes de reas de la empresa con derecho a voz y
voto;
4. Representante(s) del rea de informtica con derecho a
voz;
5. Representante(s) del rea de Contralora con derecho a voz
23
COMIT DE INFORMTICA
Ventajas:
1. Disminucin o eliminacin del problema de responsabilidad
en una sola rea, al estar todas las partes involucradas y
comprometidas de la empresa.
2. Optimizacin en el uso de los recursos al desarrollar los
sistemas de acuerdo a una prioridad.
3. Aumento de la productividad y del grado de satisfaccin de
los usuarios al buscarse la mejor alternativa de solucin.
4. Una mayor probabilidad de lograr el objetivo de la
organizacin.
24
COMIT DE INFORMTICA
Desventajas:
1. El riesgo que uno de los integrantes sea extremadamente
influyente sobre los dems, perdiendo objetividad.
2. Riesgo que los integrantes no tengan el conocimiento
suficiente sobre sus propias reas y sobre aspectos
tecnolgicos bsicos para una adecuada toma de
decisiones.
3. El riesgo que el CI no controle adecuadamente las
actividades por ella definidas, por ejemplo el Plan
Informtico.
25
Funciones y Responsabilidades
Asegurar que el personal conozca sus funciones
y responsabilidades en relacin con los SI.
Cada persona debe tener autoridad para llevar a
cabo sus funciones y las responsabilidades que
le fueron asignadas.
Estos deben estar concientes de que tienen una
cierta responsabilidad con respecto al Control
Interno
26
Propiedad y Custodia
Crear una estructura para designar
formalmente a los propietarios y custodios
de los datos. Sus funciones y
responsabilidades debern quedar
claramente definidas
27
Propiedad de Datos y Sistemas
Aseguran que los Sistemas y Datos
cuenten con un propietario asignado que
tome decisiones sobre la clasificacin y los
derechos de acceso.
Estos sern responsables del
mantenimiento de medidas de seguridad
apropiadas.
28
Supervisin
Deber implementar prcticas de seguridad
adecuadas para asegurar que las funciones y
responsabilidades sean llevadas
apropiadamente.
Para evaluar si todo el personal cuenta con
suficiente autoridad y recursos para llevar a
cabo sus tareas y responsabilidades, y para
revisar de manera general los indicadores claves
de desempeo.
29
Segregacin de Funciones
Implementar una un divisin de funciones y
responsabilidades que excluya la posibilidad de que un
solo individuo resuelva un proceso crtico.
Deber mantenerse segregacin de Funciones entre las
siguientes funciones:
Uso de Sistema de Informacin
Entrada de Datos
Operacin de Computo
Administracin de Redes
Administracin de Sistemas
Desarrollo y mantenimiento de Sistemas
Administracin de Cambios
Administracin de Seguridad
Auditoria de Seguridad
30
Asignacin de Personal para T.I
Las evaluaciones de los requerimientos de
asignacin de personal sern regulares
con el fin de contar con un numero
suficiente de personal competente de T.I.

31
Descripcin de Puestos
La descripcin debe ser establecida y
actualizada regularmente.
Esta debe delinear las responsabilidades
como la autoridad, tambin debe incluir
las definiciones de las habilidades y la
experiencia necesaria para el puesto.
Estas deben ser adecuadas para su
evaluacin de desempeo.
32
Personal por Contrato ( Externo )
Deber definir e implementar
procedimientos para controlar actividades
de Consultores con el fin de asegurar la
proteccin de los Activos de Informacin
de la Organizacin.
33
Relaciones
Establecer y mantener una coordinacin y
comunicacin entre el rea de TI y loas
dems departamentos de la Organizacin
34
ADMINISTRACION DEL RECURSO
HUMANO
Es decir, Maximizar la contribucin del
personal a los procesos de T.I
Considerando
Reclutamiento y Promocin
Requerimientos de Calificaciones
Capacitacin
Desarrollo de conciencia
Evaluacin de Desempeo

35
Reclutamiento y Promocin de
Personal
Tener como base criterios Objetivos
Considerar aspectos como educacin,
experiencia y responsabilidad
Deben estar alineados con las polticas y
procedimientos de la organizacin.
36
Reclutamiento Requisitos
Verificacin de Antecedentes
Acuerdos de Confidencialidad
Acuerdos con conflicto de intereses
Algunos riesgos a considerar
Personal no adecuado para la posicin
No se llevan a cabo verificaciones de referencia

37
Manual del Empleado
Debemos explicar al personal puntos como:
Polticas y procedimientos de seguridad
Expectativas de la compaa
Beneficios de los empleados
Evaluacin de desempeo
Procedimientos de emergencia
Acciones disciplinarias
Este debe estar publicado

38
Personal Calificado
Deber verificar regularmente que el
personal que lleva a cabo tareas
especificas este calificado en base a
educacin, entrenamiento y experiencia.
39
Polticas de Promocin
Estas deben ser justas y deben ser
comprendidas por los empleados. Deben
estar basadas en criterios objetivos y
deben tener en consideracin el
desempeo, la educacin, la experiencia.
40
Entrenamiento
Capacitacin constante con la finalidad de
conservar conocimientos, habilidades ,
destrezas y conciencia de seguridad a
nivel requerido para la ejecucin efectiva
de sus tareas.
Estos planes deben ser revisados
regularmente.
41
Entrenamiento cruzado
Hacer entrenamiento cruzado con el fin de
solucionar posibles ausencias, vacaciones,
etc.

NADIE ES IMPRESCINDIBLE
42
Evaluacin de Desempeo
Asegurar que la evaluacin sea llevada a
cabo regularmente segn los estndares
establecidos y las responsabilidades
especficas del puesto.
Los empleados debern recibir asesoria
sobre su desempeo y su conducta
cuando sea apropiado.
43
Vacaciones requeridas
Asegura el descanso de una persona y que
pueda relajarse para comenzar un nuevo
periodo de trabajo.
La rotacin del trabajo provee un control
adicional, ya que el mismo individuo no
realiza las mismas funciones todo el
tiempo.
44
Cambios de puestos y Despidos
Asegurar que se tomen acciones
oportunas y apropiadas con respecto a
cambios de puestos y despidos, de tal
manera que los controles internos y la
seguridad no se vean perjudicados por
estos eventos
45
Cambios de puestos y Despidos
Es importante que las polticas provean la
proteccin adecuada para los activos y datos de
computadora. Algunas prcticas:
Terminacin voluntaria
Terminacin inmediata
Devolucin de todas las llaves de acceso (para
prevenir el acceso fsico)
Eliminacin de la identificacin para iniciar la sesin
(logon ID)
Notificacin al resto del personal
Devolucin de todos los bienes de la compaia
46
Prcticas de Outsourcing
Contrato en el cual se entrega el control de
parte o de la totalidad de las funciones del
depto. de T.I a un tercero. Algunas
razones para tomar un outsoursing son:
Deseo de enfocarse en actividades centrales
Presin sobre los mrgenes de ganancia
Aumento de la competencia que exige ahorro
en costos
Flexibilidad para la organizacin
47
Prcticas de Outsourcing
Los servicios brindados pueden incluir:
Captura de datos
Diseo y desarrollo de nuevos sistemas
Mantenimiento de las aplicaciones existentes
Conversin de las aplicaciones a nuevas
plataformas
Operar como Help Desk o centro de llamadas
Servicio de respaldo y biblioteca de cintas
48
Prcticas de Outsourcing
Ventajas:
Logran economas de escala
Pueden dedicarse ms tiempo y concentrarse
ms efectivamente
Tienen ms experiencia
49
Prcticas de Outsourcing
Desventajas:
Costos que excedan las expectativas del
cliente
Prdida de la experiencia interna de S.I
Prdida del control de S.I
Acceso limitado al producto
Dificultad para revertir o cambiar los acuerdos
o contratos del outsourcing
50
Prcticas de Outsourcing
Preocupaciones como auditores:
Proteccin del contrato (protege a la
compaa)
Derecho de auditar las operaciones
Servicio continuo en caso de desastre
Integridad, Confidencialidad y disponibilidad
de los datos
Controles de acceso
Control de cambio y prueba

51
Mtodos de evaluacin de S.I

Presupuestos de S.I
Capacidad y Planeacin del crecimiento
Satisfaccin del Usuario
Normas/ Puntos de referencia de la industria
Logros de metas

52
Auditoria de la Administracin,
Planeacin y organizacin de S.I
Algunos indicadores de problemas potenciales
pueden ser:
Actitudes desfavorables del usuario final
Costos excesivos
Presupuesto excedido
Proyectos tardos
Movimiento elevado de personal
Personal inexperto
Errores frecuentes de Hardware y Software
Lista excesiva de espera de solicitudes de usuarios
Tiempo de respuesta lento de las computadoras
Poca motivacin

53
Algunos procedimientos
Revisin de Documentacin:
Las estrategias planes y presupuestos de T.I
La documentacin de las polticas de seguridad
Organigrama del rea, donde muestre, divisin de
responsabilidades y segregacin de funciones
Descripcin de los puestos de trabajo donde defina
funciones y responsabilidades
Los reportes del comit de informtica
Los procedimientos de desarrollo de sistemas y de
cambio de programas
Los manuales de RRHH


54
Algunos procedimientos
Entrevistar y Observar al personal en el
desempeo de sus funciones:
Las verdaderas funciones
La conciencia de la seguridad
Las relaciones de subordinacin



55
Algunos procedimientos
Revisin de los compromisos contractuales:
Desarrollo de los requisitos del contrato
Proceso de licitacin del contrato
Proceso de seleccin del contrato
Aceptacin del contrato
Mantenimiento del contrato
Cumplimiento del contrato