Auditoria Direccion

8/18/2019 Auditoria Direccion

1/50


2/50

Siempre se ha dicho que una organización es un reflejo de lascaracterísticas de su dirección, los modos y maneras de actuar de

aquella están influenciadas por la filosofía y personalidad deldirector.

En este caso nos enfocaremos en la auditoria de la Dirección,tambin entendida como gestión en la !nformática.


3/50

Planificar: "ue este acorde al plan estratgico #conocimiento a e$aluaracciones a realizar%.

&ectura y análisis de actas, acuerdos, etc. &ectura y análisis de informes gerenciales. Entre$istas con el mismo director del departamento y con los

directores de otras áreas.

Organizar.

Controlar.

Coordinar


4/50

&a auditoría de dirección informática no es más que el control delas acti$idades del proceso de dirección de los sistemas de

información. El control del funcionamiento del departamento delsistema de informática con el e'terior o con el usuario se realizapor medio de la dirección. (na gestión en informática eficiente yeficaz requiere del apoyo de su Dirección.


5/50


6/50


7/50

E'isten $arios tipos de planes informáticos. El principal, yorigen de todos los demás, es el que marca el camino generalde e$olución de la informática empresarial y es el )lanEstratgico de Sistemas de !nformación.

Plan Estratégico De Sistemas De Información.

*tros planes relacionados

Plan operativo anual. Plan de dirección tecnológica

Plan de arquitectura de la información. Plan de recuperación ante desastres.


8/50

Debe asegurar el alineamiento de los mismos con los objeti$osde negocio de la propia empresa. E'isten di$ersas metodologíasde realización de este tipo de planes+ el auditor deberá e$aluarsi tales metodologías se están utilizando, como se están

utilizando yo, en caso contrario, si pueden ser de utilidad parala empresa.

Estos planes no son de responsabilidad e'clusi$a de laDirección de !nformática, su aprobación depende del comit de!nformática e incluso en -ltimo trmino de la Dirección eneral.

Su $igencia generalmente se suele definir en / o 0 a1os, dehecho tal plazo es muy dependiente del entorno en el que semue$e la empresa.


9/50

El auditor deberá e$aluar el proceso de planificación de S.!, además, si secumplen los objeti$os para el mismo. 2ambin e$al-a otros aspectoscomo si3

Se presta adecuada atención al plan estratgico de la empresa,

Se tienen en cuenta aspectos como cambios organizati$os, entornolegislati$o, e$olución tecnológica, organización informática, recursos, etc..,y sus impactos en el )lan estratgico de S.!.

Se presta adecuada consideración de nue$as tecnologías informáticas,siempre que contribuyan a fines de la empresa y no comoe'perimentación tecnológica.

&as tareas y acti$idades cuentan con la adecuada asignación derecursos para poderlas lle$arlas a cabo.


10/50

Entre las acciones a realizar se pueden descri!ir:

&ectura de actas de sesiones del 4omit de !nformática dedicadasa la planificación.

&ectura y compresión detallada del )lan e identificación de las

consideraciones incluidas en el mismo sobre los aspectosanteriormente mencionados.

5ealización de entre$istas al Director de !nformática y otrosmiembros del 4omit de !nformática.

5ealización de entre$istas a representantes de los usuarios con elfin de e$aluar su grado de participación y sintonía con el contenidodel )lan.

!dentificación y compresión de los mecanismos e'istentes deseguimiento y actualización del )lan.


11/50

Se establece al comienzo de cada ejercicio #a1o, normalmente% y es elque marca las pautas a seguir y describe las acti$idades a realizardurante el mismo, debe estar alineado con el )lan Estratgico, y esuna ocasión propicia para e$aluar si los objeti$os marcados en este

siguen siendo $alidos y coherentes. 6sí mismo, debe estar precedidode una recogida de necesidades de los usuarios.

Debe se1alar los S.! a desarrollar, los cambios tecnológicos pre$istos,los recursos y los plazos necesarios, los costes anticipados, losresponsables, etc.


12/50

(na instalación informática puede $erse afectada por cualquier tipo dedesastre, incendios, inundaciones, fallo de alg-n componente, robo,sabotaje, etc. que tengan como consecuencia la indisponibilidad de unser$icio informático adecuado.


13/50


14/50

El proceso de organizar sir$e para estructurar los recursos, flujos deinformación y los controles que permitan alcanzar los objeti$os marcadosdurante la planificación.


15/50

(na de las falencias com-nmente marcadas en el área informática, es lafalta de comunicación de este departamento con el resto de areas de laempresa. El comit de informática es el lugar donde se debaten losgrandes asuntos de la informática que afectan a toda la empresa ypermite a los usuarios conocer las necesidades del conjunto de la

organización.

El comit de informáticageneralmente está conformado porpocas personas y presidido por el

director mas snior, responsable enultimo termino de las tecnologías dela información.


16/50

Parece e"istir un cierto censo so!re las funciones que de!er#a

realizar un comité de inform$tica o al menos los siguientes

aspectos:

6probación del )lan Estratgico de Sistemas de información.

6probación de las grandes in$ersiones en tecnología de lainformación.

7ijación de prioridades entre los grandes proyectos informáticos.

8ehículo de discusión entre informática y sus usuarios.

8igila y realiza el seguimiento de la acti$idad de departamento deinformación.


17/50

6l ser el má'imo órgano decisorio sobre el papel de las tecnologías de lainformación en la empresa, ninguna auditoria de la dirección deinformática debería soslayar su re$isión. El auditor deba asegurar que elcomit de informática e'iste y cumple su papel adecuadamente. )ara ello

deberá conocer las funciones encomendadas al comit.


18/50

Entre las acciones a realizar figuran:

&ectura de la normati$a interna, si la hubiera, para conocer lasfunciones que debería cumplir el comit de informática.

Entre$istas a miembros destacados del comit con el fin deconocer las funciones que en la práctica realiza dicho comit.

Entre$istas a los representantes de los usuarios, miembros delcomit, para conocer si entienden y están de acuerdo con su papelen el mismo.


19/50

El departamento de informática debería estar suficientemente alto en la jerarquía de la empresa y contar con masa crítica suficiente para disponerde autoridad e independencia frente a los departamentos usuarios.

6nteriormente la información la manejaba el departamento financiero o deadministración, y por tanto el esquema era encontrar el departamento deinformática integrado dentro del mismo. 9oy en día es habitual encontrar

a los departamentos de informática dependiendo directamente deDirección eneral.


20/50

El auditor debe realizar el emplazamiento organizati$o del departamentode informática y e$aluar su independencia frente a departamentosusuarios.


21/50

El personal en este departamento debe tener sus funciones descritas ysus responsabilidades claramente delimitadas y documentadas. : todoello es una labor que compete, en gran medida, a la Dirección de

!nformática.

%seguramiento de la calidad

&a calidad de los ser$icios ofrecidos por el departamento de informáticadebe estar asegurada mediante el establecimiento de una función

organizati$a de aseguramiento de la calidad.

Esta función lle$a el control de calidad de los ser$icios informáticos, y esmuy importante que esta función tenga el respaldo de la dirección y seapercibido así por el resto del departamento.


22/50

El auditor deberá comprobar que las descripciones están documentadasy son actuales y que las unidades organizati$as informáticas las conocen,las comprenden y desarrollan su labor de acuerdo a las mismas.

Entre las tareas que el auditor de!e realizar est$n:

E'amen del organigrama del departamento de informática eidentificación de las grandes unidades organizati$as.

5e$isión de la documentación e'istente para conocer ladescripción de las funciones y responsabilidades.


23/50

Entre$istas a los directores de cada área $erificando que conozcancada una de sus responsabilidades y que estás correspondan alas descripciones e'istentes en la documentación correspondiente.

*bser$ación de las acti$idades del personal para analizar, en lapráctica, las funciones realizadas, la segregación entre las mismasy el grado de cumplimiento con la documentación analizada.


24/50

Deben e'istir estándares de funcionamiento y procedimientos quegobiernen la acti$idad del departamento de informática por un lado, y susrelaciones con los departamentos usuarios, por otro. Dichos estándaresdeberían estar documentados, actualizados y comunicados a todos los

departamentos afectados.

2ambin, deben e'istir documentadas descripciones de los puestos detrabajo, delimitando claramente la autoridad y la responsabilidad en cadacaso, además de los conocimientos tcnicos yo e'periencia necesariospara cada puesto de trabajo.


25/50

%cciones a realizar:

5e$isión de los estándares y procedimientos e'istentes parae$aluar si trasmiten y promue$en una filosofía adecuada decontrol.

E$aluación de su adecuación, grado de actualización y ni$el decobertura de las acti$idades informáticas y de las relaciones conlos departamentos usuarios.

5e$isión de las descripciones de los puestos de trabajo parae$aluar si reflejan las acti$idades realizadas en la práctica.


26/50


27/50

El auditor de!er$ evaluar:

&a selección de personal se basa en criterios objeti$os y tiene encuenta la formación, e'periencia y ni$eles de responsabilidadanteriores.

El desempe1o de cada empleado se e$al-a en base aestándares establecidos y en base a un ciclo periódico #anual,normalmente% de e$olución.

E'isten procesos para la promoción del personal que tienen encuenta su desempe1o profesional.


28/50

Entre las acciones a realizar se puede citar:

4onocimiento y e$aluación de los procesos utilizados para cubrir$acantes en el departamento de informática, bien sea por promocióninterna, b-squeda directa de personal e'terno, utilización de empresas

de selección de personal o de trabajo temporal.

5e$isión de los procedimientos para la finalización de contratos.

El auditor deberá e$aluar las características de la comunicación entre ladirección y el personal de informática. (tilizando cualquier acti$idaddescrita anteriormente o a tra$s de entre$istas informales con elpersonal del departamento.


29/50

&a tarea de dirigir no puede considerarse completa sin esta faceta queforma parte indisoluble de tal responsabilidad.

Control & seguimiento

Se ha de $igilar la elaboración de los planes estratgicos y operati$os y delos proyectos que se desarrollan, la ejecución del presupuesto, lae$olución de los costes, los planes de formación y de los otros recursos#espacio en disco, comunicaciones, capacidad de las impresoras;%, etc.

Es con$eniente que e'istan estándares de rendimiento con los cualescomparar, entre ellos y para gobernar las relaciones del departamento deinformática con los usuarios e'iste los llamados 6cuerdos de


30/50

'os %(S constitu&en documentos que refle)an un acuerdo entre dos

partes el Departamento de Inform$tica & los usuarios. Entre sus

venta)as se pueden mencionar:

)ermite objeti$ar las relaciones entre el Departamento de!nformática y los usuarios de tal manera que una parte conoce queser$icios tiene que suministrar y la otra que ser$icios y en quforma debe esperar recibir.

&os 6


31/50

Entre las acciones a realizar se puede mencionar:

4onocimiento y análisis de los procesos e'istentes en elDepartamento para lle$ar a cabo el seguimiento y el control.

4onocimiento y análisis de los procesos e'istentes para lanegociación de los 6


32/50


33/50

!magen de que es planificarhttp3es.slideshare.netjcfdezm'estraque=es=planificar

!magen )lan http3>>>.sumafraternidad.org>ebarchi$os?@@A

http://es.slideshare.net/jcfdezmxestra/que-es-planificarhttp://www.sumafraternidad.org/web/archivos/1997http://www.sumafraternidad.org/web/archivos/1997http://es.slideshare.net/jcfdezmxestra/que-es-planificar


34/50


35/50

Se trata de pre$er la utilización de las tecnologías de lainformación en la empresa. Dicha pre$isión debe ser plasmadaen documentos llamados planes. &os documentos llamadosplanes demuestran, además, $arias cosas3

9a e'istido una acti$idad consciente de consideración delfuturo, análisis de alternati$as y de e$aluación de riesgos.

Sir$en para marcar un camino, poner objeti$os, tareas,plazos, y responsables.

Son muy -tiles como elemento de referencia para medir ela$ance de la organización dise1o, entre otras cosas.


36/50


37/50

Contenido

4onceptos Básicos de 6uditoría !nformática

Custificación

*bjeti$os

Ejemplos


38/50

Primero: ¿Que es la

auditoría?Es la revisión independiente querealiza un auditor profesional,aplicando tcnicas, mtodos yprocedimientos especializados, a finde evaluar el cumplimiento defunciones, acti$idades, tareas yprocedimientos de una organización,así como dictaminar sobre el

resultado de dicha e$aluación.

u1oz #FF,/0%


39/50

6dministración de la4onfiguración deBases de Datos

Justificación


40/50

Justificación

*ecursos

+IC,s

7uente3 5odríguez #FFG%


41/50

HLa productividad de cualquier organización depende del funcionamientoininterrumpido de los sistemas TIC, transformando a todo el entorno en

un proceso crítico adicional I #5odríguez, FFG3/%.


42/50


43/50

-ulnera!ilidad

SE.ccee.edu.uyenseniancatcompmaterial!nformLMF!!riesgoinfN.pdf

4ondiciones inherentes a los

acti$os o presentes en su entornoque facilitan que las amenazasse materialicen.

Se manifiestan como debilidades o

carencias3 falta de conocimientodel usuario, tecnologíainadecuada, fallas en latransmisión, ine'istencia de

anti$irus, entre otros.


44/50

Impacto

SE.ccee.edu.uyenseniancatcompmaterial!nformLMF!!riesgoinfN.pdf

Consecuencias de la

ocurrencia de las distintasamenazas3 financieras o nofinancieras.

)erdida de dinero, deterioro

de la imagen de la empresa,reducción de eficiencia, fallasoperati$as a corto o largoplazo, prdida de $idas

humanas, etc.

PBajo


45/50

6gente 6menazante

9acOer 4racOer

Espionaje !ndustrial4riminales )rofesionales

(suarios#Da1os intencionales o no%

*bjeti$os3 Desafío,ganancia financierapolítica,

da1o

4ausa 7ísica #


46/50

4orrecti$o

Disuasi$os )re$enti$os

Detecti$o

2min

Plataforma Inform$tica Operatividad

%menaza o

*iesgo

2ratar de e$itar elhecho4uando fallan los

pre$enti$os paratratar de conocercuanto antes el

e$ento

8uelta a lanormalidad cuando

se han producidoincidencias

E)emplo: Supongamos la siguiente situación


47/50

E)emplo: Supongamos la siguiente situación;

odelo de adurez

http://www.google.co.ve/imgres?imgurl=http://www.alintu.com/EQUIS.JPG&imgrefurl=http://www.alintu.com/segmano.htm&usg=__FStT9BjvwfEm_yyBSJBMudlWDNk=&h=44&w=47&sz=2&hl=es&start=92&itbs=1&tbnid=8GsyOdYY__DquM:&tbnh=44&tbnw=47&prev=/images%3Fq%3Dequis%26start%3D80%26hl%3Des%26sa%3DN%26gbv%3D2%26ndsp%3D20%26tbs%3Disch:1


48/50

odelo de adurez

Escala de medición creciente a partir de F #


49/50

Bibliografía Referencial

R 6(D!2*5!6 DE S!S2E6S DE B654E&*>.auditoriasistemas.com#4onsulta3


50/50

Bibliografía Referencial

Auditoria Direccion

Documents

Transcript of Auditoria Direccion