Profesional

Resumen

Título:
Plan para la auditoria del área de TI: Química el Rey.

Introducción:

Un plan de auditoría de TI debe contemplar diversas áreas de la

organización que se pretende auditar, ello con el fin de corroborar que las
actividades plasmadas en el manual de operaciones se ejecuten de manera
correcta tal y como se describen.

El hecho de llevar a cabo una auditoría en la empresa no indica que se

enfoque a encontrar operaciones fraudulentas en todo caso la auditoria nos
ayuda a detectar las áreas en las que se realizan operaciones erróneas.
Cuando se realiza una auditoria en la organización se toman en cuenta
diferentes aspectos, tales como la planeación estratégica, llevando a cabo un
análisis que permita asignar la priorización de actividades y la revisión de las
mismas a auditar, se deben establecer los objetivos de la auditoria y sobre todo
entender el funcionamiento de la empresa y así establecer un enfoque con
parámetros que permitan mejorar los procesos de las mismas.

Contenido:

Atendiendo a los requerimientos del ejercicio del primer avance de la

práctica integradora del curso, se desarrolló un plan de auditoria de TI para el
caso de la empresa Química El Rey.

La problemática que enfrenta la empresa mencionada es que la demanda

comercial ha crecido a tasas de más del 50% anual desde los últimos cinco
años, y el área de TI ha crecido en forma desordenada, quizá por la
inadecuada planeación estratégica. En opinión de los diversos gerentes de la
empresa el área de TI, no está satisfaciendo sus solicitudes en tiempo y en
calidad.
 Profesional
Resumen

El Director de TI menciona que carece de políticas y procedimientos que le

permitan operar adecuadamente y alineado a las mejores prácticas, dado que
el crecimiento de la empresa ha sido muy rápido y la falta de recursos
económicos y humanos asignados al área de TI.

La organización desea iniciar operaciones en Estados Unidos de Norte

América, pero al director general le preocupa que el área de TI no se encuentre
al nivel que la competitividad en aquel país piensa se va a requerir.

Para que se pueda llevar a cabo con éxito las revisiones de los controles de
seguridad en un proceso de auditoria es necesario conocer e identificar todas
las herramientas disponibles para facilitar la comprensión de los procesos y
procedimientos de la empresa a auditar, por lo cual se debe contar con un plan
de trabajo.

La elaboración del plan nos permitirá identificar las brechas de control

(grado de desalineación), en relación con un marco de gobernabilidad o mejor
práctica del mercado. Lo anterior hace necesario que no se escatimen
esfuerzos para comprender las diferentes amenazas que puedan afectar los
activos de TI de la organización.

Por lo que para resolver la problemática de la empresa en estudio se

consideraron los procesos siguientes:

a) Planeación estratégica: comprende el alcance de la auditoria dentro de la

organización, es indispensable porque delimita las actividades que se van a
realizar, sobre todo porque se propone un plan de acción sobre los análisis
obtenidos con respecto a las áreas auditadas.

Es importante que se programe un calendario de actividades debido a que

la empresa planea expandirse y sus resultados dependerán mucho de los
análisis obtenidos de la factibilidad de los mismos.

Primeramente se tiene que verificar las áreas específicas a auditar, de igual

modo, hacer una inspección de los manuales de operación y encontrar los
posibles errores en las actividades, para ello es importante que se haga una
 Profesional
Resumen

recolección de los datos del mercado que se va a incursionar y verificar que

los objetivos del estudio se apeguen a los objetivos de la organización.

En segundo término se deben identificar los factores críticos basados en la

recolección de datos que se obtengan en el estudio y con base en ello,
implementar indicadores de medición y desempeño.

En tercer punto, se debe hacer un modelado de la problemática con los

resultados obtenidos y compararlos entre sí, para que podamos determinar
los puntos que hay que revisar y en cuales podemos detectar posibles fallas
que no competan con los procedimientos de la organización y sobre todo
que no tengan compatibilidad con el objeto del estudio.

Así también la obtención de los resultados se debe de hacer del

conocimiento a la alta dirección de la empresa y esta pueda tomar mejores
decisiones, bien sea para re-direccionar o mejorar los procesos que se
tengan preestablecidos, el informe que se presente deberá contener
propuestas de mejora y como implementar las mejores prácticas.

b) Adquisición de aplicaciones e infraestructura: Los parámetros que se

deben contemplar para la adquisición de la infraestructura adecuada para la
empresa, debe corresponder a los objetivos y principios de la organización,
esto es, verificar que la capacidad instalada sea conforme a las
necesidades del mercado, puesto que; el mercado al que planean ingresar
es un mercado muy competitivo, deberá optimizar sus recursos en base a
los apoyos y avances tecnológicos necesarios para elevar su capacidad
competitiva, y con ello lograr una buena respuesta de aceptación para con
sus productos.

La auditoría no solo debe contemplar los proceso, sino que también la

evaluación de las rutas más óptimas, distribución de los productos y
abastecimiento de los mismos.

Los procesos administrativos y de gestión deben estar muy bien

compaginados, y monitoreándose en cada momento, puesto que el tipo de
comunicación que utiliza es de vital importancia para el aseguramiento de
 Profesional
Resumen

comunicación entre las áreas involucradas en todas y cada una de las

actividades. En este caso, la auditoria debe pernear a estas áreas para
poder verificar que las actividades corresponden a las establecidas en las
necesidades de la empresa.

La capacidad de respuesta de TI dentro del nuevo mercado al que se

planea ingresar debe ser eficiente y eficaz, para poder utilizar los datos e
información manejada en el tiempo oportuno y poder tomar decisiones en
tiempo real que conlleven al cumplimiento de los objetivos de TI y
principalmente las metas de la empresa.

c) Seguridad de la Información: Toda la información que maneje la empresa

es completamente confidencial, por ello, es indispensable que la
información se encuentre propiamente almacenada y sobre todo
resguardada.

Se deben revisar los manuales de procesos para que las acciones

correspondan a medidas de aseguramiento como plan de continuidad del
negocio ante cualquier contingencia, plan de recuperación de desastres,
evaluación de los procesos y administración de riesgos.

El aseguramiento de la información de igual forma debe contar con

estándares de operaciones y de sus procesos, principalmente las
actividades como, registros contables, facturación, inventarios,
abastecimiento de la producción y sobre todo un establecimiento de un Plan
Maestro de la Producción. Unificar las tareas de las diversas áreas de la
empresa mediante el uso de software o utilización de herramientas CASE.

Designar un sistema de jerarquización de rangos mediante los cuales los

operarios físicos puedan acceder a la base de datos de la organización y
asignar a un miembro del equipo encargado del mantenimiento de la misma
base, priorizando así el uso de información por áreas, tales como la alta
dirección, y los procesos en general. Se deben establecer códigos y
contraseñas para asignar el uso de la información a cada miembro del
equipo y de la organización para poder acceder a la base de datos.
 Profesional
Resumen

La auditoría en estos casos debe de verificar si la responsabilidad asignada

sobre el resguardo y uso de la base de datos corresponde con los cargos
asignados dentro de la organización y que el cumplimiento del protocolo se
cumpla de manera correcta.

d) Desarrollo de sistemas: El desarrollo de sistemas debe contemplar la

implementación de estrategias, este desarrollo debe ser de forma
escalonada según las jerarquías de manera ascendente y descendente,
vertical y horizontal. En tanto la alta gerencia debe tener conocimiento de
los procesos operacionales de los empleados y la plantilla laboral y
viceversa, esto es para que las decisiones y necesidades sean permeables
en toda la organización.

La definición e implementación de los sistemas a utilizar dentro de la

organización, es indispensable que se tenga conocimiento de los procesos
y operaciones que realizan todas y cada una de las áreas de la empresa,
verificando que correspondan directamente proporcional a las necesidades
de cada área, debe ser un sistema competitivo que sea capaz de solventar
las necesidades en tiempo real y sobre todo que unifique las tareas de la
empresa, agilizando y mejorando los procesos.

Dicho desarrollo de sistemas debe hacer a la empresa más competitiva,

tanto interna como externamente, esto se comprueba con la relación que se
tenga tanto para con los proveedores y con los clientes, que quienes son
ello que definen la eficiencia y eficacia de la empresa en torno a sus
necesidades, y los objetivos de la empresa deben estar orientados a
satisfacer la demanda del nuevo mercado en el que pretende ingresar.

Una de las opciones más viables dentro de las operaciones de la

organización deben corresponder a la implementación de herramientas,
como la implementación de las Herramientas CASE, o software que
integren todos los procesos de la empresa (por ejemplo ORACLE) o que
cuando menos correspondan a las necesidades y permitan la competitividad
de la misma.
 Profesional
Resumen

e) Administración de cambios: Los cambios que se vayan a implementar

deben de permear a toda la organización para que estos cambios sean
asimilados por toda la empresa, es decir que sea de conocimiento general
para los colaboradores de la misma y tengan plena conciencia de la
importancia de dichos cambios y de su responsabilidad dentro del sistema.

Se debe tener en cuenta que los cambios se deben implementar

gradualmente para que se puedan asimilar por todos, de igual manera se
debe verificar que se cuente con el personal capacitado para resolver las
dudas sobre la marcha para no desviar los objetivos tanto de la
organización como del área en la que se esté auditando.

Además se debe contar con plantillas preestablecidas mediante un manual

de operaciones para saber cómo actuar ante cada escenario de
contingencia. Tener metas y objetivos bien establecidos para poder
encausarse en el curso de acción de los objetivos.

Así también, se debe mantener un monitoreo constante para cumplir los

objetivos específicos y lograr los objetivos generales. Cabe señalar que
cada área debe de contar con sus propios objetivos y que estos
permanezcan en armonía con la misión y visión de la organización para
poder alcanzar los resultados deseados.

En lo que se refiere a los procesos de TI se deben de contar con los

expertos en los programas y plataformas para verificar que cada proceso
implementado sea ejecutado correctamente y no de manera errónea, por lo
tanto debe existir un tiempo de monitoreo y análisis del mismo.

f) Aseguramiento de la calidad: Primeramente se debe evaluar la eficiencia

de los procesos del negocio y al mismo tiempo la cadena de valor de la
organización, de igual forma se debe de informar a la alta dirección sobre
los beneficios que esta práctica ofrece sin pasar por rediseños constantes y
que al mismo tiempo contemple la ejecución de los estándares de calidad
tanto interna como externamente.
 Profesional
Resumen

Se deben analizar los diagramas detallados de todos los procesos

operativos, administrativos y gerenciales en todas las direcciones y
sentidos, pudiendo de esta forma regular las mejoras internas para una
mejor reacción ante los cambios implementados o que se planeen implantar
dentro de la empresa, siendo las operaciones flexibles y diseñadas para
modificarse sobre la marcha.

También habrá que analizar de cerca la competencia analizando el mercado

y las estrategias que implementan otras empresas, es decir; realizar
Benchmarking para implementar las mejores prácticas.

Los resultados de la expansión empresarial dependen mucho de los análisis

que se obtengan al estudiar a las demás empresas inmersas en el mismo
giro y evaluar de manera constante los servicios y productos de manera
interna y externa para la aceptación del mercado meta.

g) Continuidad: Para asegurar la continuidad del negocio se deben de auditar

las áreas de resguardo de información y contemplar las alternativas o
tácticas operacionales ante cualquier contingencia presentada, tales como
respaldo de los datos, situación geográfica del lugar y sobre todo la
disponibilidad de la continuación del negocio ante tales contingencias.

En esta fase se debe incluir la base de datos y verificar los documentos

fuente, además de seleccionar y definir los parámetros de operación. Así
como elegir el mejor método de respaldo de datos que sea acorde a las
necesidades de la empresa y que le permitan manejar los datos en el
tiempo deseado, hacer una verificación de los datos que se respaldan, de
igual forma; hacer un re-cálculo de los mismos y finalmente confirmarlos.

La auditoría debe verificar la ejecución correcta de los procedimientos ante

situaciones de emergencia que permitan a la empresa responder en tiempo
y forma, además de reconocer la importancia de la continuidad del mismo,
puesto que depende en gran medida el éxito y la reputación de la
organización que se forje ante nuevos mercados que se abren a la
posibilidad de incursionarlos, respondiendo ante las adversidades de una
manera inteligente y sagaz.
 Profesional
Resumen

h) Marco de referencia COBIT e ISO27001.

Lo más adecuado para la organización que está empezando a ingresar en
un mercado nuevo, donde las normas y controles son más estrictos, es
recomendable se rija bajo los marcos de control de COBIT los cuales
representan un estándar más completo con 34 objetivos de niveles altos
que cubren 215 objetivos clasificados en cuatro dominios, tales como: El
plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa
y Evalúa. Mientras que el marco ISO 27001 se enfoca principalmente a
Sistemas de Gestión de la Seguridad de la Información (SGSI). Es así como
el marco de COBIT ofrece una mejor y solución más integral para los
requerimientos de la organización, haciéndola más competitiva y más
segura para su nuevo ingreso en un mercado más cambiante y competitivo.