Está en la página 1de 29

AUDITORIA INFORMTICA DE LA

DIRECCION
Introduccin
Las enormes sumas que las empresas dedican a las
tecnologas de informacin en un crecimiento que no
se vislumbra el final y la absoluta dependencia de las
mismas al uso correcto de dicha tecnologa hacen muy
necesaria una evaluacin independiente de la funcin
que la gestiona.
La direccin informtica no debe quedar fuera: es una
pieza clave del engranaje.
Se podra decir que algunas de las actividades bsicas
de todo proceso de direccin son:
Planificar
Se trata de prever la utilizacin de las tecnologas en la
empresa. Existen varios tipos de planes informticos.
El principal, y origen de todo lo dems, lo constituye el
plan estratgico del sistema de informacin.
Plan estratgico del sistema de informacin.
Asegura el alineamiento con los objetivos de la empresa.
La transformacin de los objetivos de la empresa en
objetivos informticos no es siempre una tarea fcil.
El plazo de vigencia es muy dependiente del entorno en
el que se mueve la empresa.
Gua de auditoria.
El auditor deber examinar el proceso de planificacin y
evaluar si se cumple los objetivos.
Debe evaluar si en el proceso de planificacin se presta
adecuada atencin al plan estratgico de la empresa y
se presta adecuada consideracin a nuevas TI.
Las tareas y actividades presentes en el plan tienen la
correspondiente y adecuada asignacin de recursos para
poder llevarlas a cabo as mismo si tiene plazo de
consecucin realista.
Acciones a realizar:
Lectura de actas de sesiones del comit de informtica y
dedicadas a la planificacin estratgica.
Identificacin y lectura de los documentos intermedios
preescritos por la metodologa de planificacin.
Lectura y comprensin detallada del plan e identificacin
de las consideraciones incluidas en el mismo.
Realizacin de entrevista al director de informtica y
otros miembros del comit de informtica participantes
en el proceso de elaboracin de plan estratgico as
como a los usuarios.
Identificacin y comprensin de los mecanismos
existentes de seguimiento y actualizacin del plan y de
su relacin con la evolucin de la empresa
Otros Planes Relacionados
Normalmente deben existir otros planes informticos,
todos ellos nacidos al amparo del plan estratgico.
Entre otros, los mas habituales suelen ser:
Plan operativo anual.
Plan de direccin tecnolgica.
Plan de arquitectura de informacin.
Plan de recuperacin ante desastres.
Organizar y Coordinar
El proceso de organizar sirve para estructurar los
recursos, los flujos de informacin y los controles que
permitan alcanzar los objetivos marcados durante la
planificacin
Comit de Informtica
Primer lugar de encuentro dentro de la empresa de los
informticos y sus usuarios.
Aprobacin del plan estratgico de SI.
Aprobacin de las grandes inversiones en TI.
Fijacin de prioridades entre los grandes proyectos
informticos.
Vehculo de discusin entre la informtica y sus usuarios.
Vigila y realiza el seguimiento de la actividad del
departamento de informtica.
Gua de auditoria
El auditor deber asegurar que el Comit de
Informtica existe y cumple su papel adecuadamente.
Acciones a realizar
Lectura de la normativa interna para conocer las
funciones que debera cumplir el Comit de Informtica).
Entrevistas a miembros destacados del Comit para
conocer las funciones que en la prctica realizan.
Entrevistas a los representantes de los usuarios,
miembros del Comit, para conocer si entienden y estn
de acuerdo con su papel en el mismo.
Posicin del Departamento de Informtica en la
empresa.
El Departamento debera estar suficientemente alto en
la jerarqua y contar con masa critica suficiente para
disponer de autoridad e independencia frente a los
departamentos usuarios.
Incluso en las grandes organizaciones, el Director de
Informtica es miembro de derecho del Comit de
Direccin u rgano semejante
Gua de auditoria
El auditor deber revisar el emplazamiento organizativo
del Departamento de Informtica y evaluar su
independencia frente a departamentos usuarios.
Ser muy til realizar entrevistas con el Director de
Informtica y directores de algunos departamentos
usuarios para conocer su percepcin sobre el grado de
independencia y atencin del Departamento de
Informtica.
Descripcin de funciones y responsabilidades del
Departamento de Informtica. Segregacin de
funciones.
Es necesario que las grandes unidades organizativas
dentro del Departamento de informtica tengan sus
funciones descritas y sus responsabilidades claramente
delimitadas y documentadas.
Gua de auditoria
El auditor deber comprobar que las descripciones
estn documentadas y son actuales y que las unidades
organizativas informticas las comprenden y
desarrollan su labor de acuerdo a las mismas.
Examen del organigrama del Departamento de
Informtica e identificacin de las grandes unidades
organizativas.
Revisin de la documentacin existente para conocer la
descripcin de las funciones y responsabilidades.
Entrevistas a directores de cada una de las grandes
unidades organizativas para determinar su conocimiento
de las responsabilidades de su unidad y que stas
responden a las descripciones existentes en la
documentacin correspondiente.
Examen de descripciones de las funciones para evaluar
si existe adecuada segregacin de funciones,
incluyendo la separacin entre desarrollo de sistemas de
informacin, produccin y departamentos usuarios.
Igualmente, ser menester evaluar la independencia de
la funcin de seguridad.
Observacin de las actividades del personal del
Departamento para analizar, en la prctica, las funciones
realizadas, la segregacin entre las mismas y el grado de
cumplimiento con la documentacin analizada.
Estndares del funcionamiento y procedimientos.
Descripcin de los puestos de trabajo
Deben existir estndares de funcionamiento y
rendimiento que gobiernen la actividad del
Departamento de Informtica por un lado y sus
relaciones con los departamentos usuarios por otro.
Gua de auditoria
El auditor deber evaluar si existen estndares de
funcionamiento procedimientos y descripciones de
puestos de trabajo, adecuados y actualizados.
Evaluacin del proceso por el que los estndares,
procedimientos y puestos de trabajo son desarrollados,
aprobados, distribuidos y actualizados.
Revisin de los estndares y procedimientos existentes.
Revisin de las descripciones de los puestos de trabajo
para evaluar si reflejan las actividades realizadas en la
prctica.
Gestin de Recursos Humanos: Seleccin,
Evaluacin del Desempeo, Formacin, Promocin,
Finalizacin.
La gestin de los recursos humanos es uno de los
elementos crticos en la estructura general informtica.
La calidad de los recursos humanos influye
directamente en localidad de los sistemas informacin
producidos, mantenidos y operados por el
departamento de informtica.
Gua de auditoria
La seleccin de personal se basa en criterios objetivos.
El rendimiento de cada empleado se evala
regularmente en base a estndares.
Existen procesos para determinar la necesidades de
formacin de empleados en base a su experiencia.
Existen procesos para la promocin del personal que
tienen en cuenta su desempeo profesional.
Existen controles que tienden a asegurar que el cambio
de puesto de trabajo y la finalizacin de los contratos
laborales no afectan a los controles internos y a la
seguridad informtica
Adems el auditor deber evaluar que todos los
aspectos anteriores estn en lnea con las polticas y
procedimientos de la empresa.
Acciones a realizar
Conocimiento y evaluacin de los procesos utilizados
para cubrir vacantes en el Departamento de Informtica.
Anlisis de las cifras de rotacin de personal, niveles de
absentismo laboral y estadsticas de proyectos
terminados fuera de presupuesto y de plazo.
Realizacin de entrevistas a personal del Departamento.
Revisin del calendario de cursos, descripciones de los
mismos, mtodos y tcnicas de enseanza.
Revisin de los procedimientos para la finalizacin de
contratos.
Gestin econmica
Este apartado de las responsabilidades de la Direccin
de Informtica tiene varias facetas: presupuestacin,
adquisicin de bienes y servicios y medida y reparto de
costes.
Presupuestacin. Como todo departamento de la
empresa, el de Informtica debe tener un presupuesto
econmico, normalmente en base anual.
Gua de auditoria
El auditor deber constatar la existencia de un
presupuesto econmico de un proceso para elaborarlo y
aprobarlo, y que dicho proceso est en lnea con las
polticas y procedimientos de la empresa y con los
planes estratgico y operativo del propio Departamento
Adquisicin de bienes y servicios. Procedimientos que
se siga para adquirir los bienes y servicios descritos en
su plan operativo anual y/o que se demuestren
necesarios a lo largo del ejercicio han de estar
documentados y alineados con los procedimientos de
compras del resto de la empresa.
Gua de auditoria
Una auditoria de esta rea no debe diferenciarse de una
auditoria tradicional del proceso de compras de cualquier
otra rea de la empresa, con lo que el auditor deber
seguir bsicamente las directrices y programas de
trabajo de auditoria elaborados para este proceso.
Medida y reparto de costes. La direccin de informtica
debe en todo momento gestionar los costes asociados
con la utilizacin de los recursos humanos y tecnolgicos.
Gua de auditoria
El auditor deber evaluar la conveniencia de que exista o
no un sistema de reparto de costes informticos y de
que este sea justo, incluya los conceptos adecuados y
de que el precio de transferencia aplicada este en lnea o
por debajo del mercado.
Realizacin de entrevistas a la direccin de los
departamentos usuarios.
Anlisis de los componentes y criterios con los que est
calculado el precio de transferencia.
Conocimiento de los diversos sistemas existentes en el
departamento.
Seguros. La direccin de informtica debe tomar las
medidas necesarias con el fin de tener la suficiente
cobertura para los sistemas informticos.
Gua de auditoria
El auditor deber estudiar las plizas de seguros y
evaluar la cobertura existente, analizando si la empresa
est suficientemente cubierta o existen huecos en dicha
cobertura.
Controlar
Control y seguimiento
Un aspecto comn a todo lo que se ha dicho hasta el
momento es la obligacin de la Direccin de controlar y
efectuar un seguimiento permanente de la distinta
actividad del Departamento.
Se ha de vigilar el desarrollo de los planes estratgico y
operativo y de los proyectos que los desarrollan, la
ejecucin del presupuesto, etc.
Es muy conveniente que existan estndares de
rendimiento con los que comparar la actividad del
Departamento. Una de las tcnicas mas utilizadas son
los llamados Acuerdos de Nivel de Servicio (ANS
Secure Level Agreements - SLA)
Gua de auditoria
Conocimiento y anlisis de los procesos existentes en
el Departamento para llevar a cabo el seguimiento y
control, Evaluacin de la periodicidad e los mismos.
Analizar igualmente los procesos de represupuestacin.
Revisin de planes, proyectos, presupuestos de aos
anteriores y del actual para comprobar que son
estudiados, que se analizan las desviaciones y que se
toman las medidas correctoras necesarias.
Conocimiento y anlisis de los procesos existentes
para la negociacin de los ANS y acuerdo con los
usuarios.
Cumplimiento de la normativa legal
La Direccin de Informtica debe controlar que la
realizacin de sus actividades se lleva a cabo dentro
del respeto a la normativa legal aplicable.
Asimismo, deben existir procedimientos para vigilar y
determinar permanentemente la legislacin aplicable.
Gua de auditoria
El auditor deber evaluar si la mencionada normativa
aplicable se cumple.
En primer lugar, entrevistarse con la Asesora Jurdica
de la empresa la Direccin de Recursos Humanos y la
Direccin de Informtica con el fin de conocer dicha
normativa.
Luego, evaluar el cumplimiento de las normas, en
particular en los aspectos ms crticos.
Conclusiones
La auditoria de la Direccin de Informtica es una tarea
difcil. Sin embargo, la contribucin que dicha Direccin
de Informtica realiza (o debe realizar) al ambiente de
control de las operaciones informticas de una
empresa es esencial. Desde el punto de vista de
auditoria, la calidad del marco de controles impulsado e
inspirado por la direccin de Informtica tiene una gran
influencia sobre el probable comportamiento de los
sistemas de informacin.
Por parte del auditor, se necesitan capacidades de
evaluar la gestin mas que capacidades tcnicas muy
profundas.