Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Área: NEGOCIOS
Planeación y Organización
Índice
Introducción ......................................................................................................................................................... 1
1. Planificación ...................................................................................................................................................... 2
1.1. Planeación estratégica de la TI ................................................................................................................................... 2
1.2. Plan informático (PI) ................................................................................................................................................... 3
1.3. Planeación estratégica de sistemas de información .................................................................................................. 6
a. Compresión de la estrategia de la empresa .............................................................................................................. 7
b. Análisis de diagnóstico .............................................................................................................................................. 7
c. Formulación de estrategias ....................................................................................................................................... 7
d. Plan implementación y seguimiento ......................................................................................................................... 7
2. Organizar y coordinar ....................................................................................................................................... 8
2.1. Gobierno Corporativo ................................................................................................................................................. 8
2.2. Comité informática ..................................................................................................................................................... 9
2.3. Organización del área informática y de las relaciones con la TI ............................................................................... 10
3. Controlar ......................................................................................................................................................... 10
3.1. Análisis de riesgos área TI ......................................................................................................................................... 11
3.2. Matriz de riesgo ........................................................................................................................................................ 12
a. Proceso de Matriz de Riesgo ................................................................................................................................... 13
Cierre .................................................................................................................................................................. 17
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN
Planeación y Organización
Mapa de Contenido
Dirección TI
Planeación Gobierno
Riesgo Informático
Estratégica Corporativo y de TI
Área Informática
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 1
Planeación y Organización
RESULTADO DE Identifica y analiza los riesgos que pueden afectar al proceso de Definición
APRENDIZAJE Estratégica de la T.I. en la organización, identificando además la metodología
DEL MÓDULO que sirve de apoyo en esta tarea, en la empresa u organización.
Introducción
La inversión que destinan las empresas a las tecnologías de información
crece año a año, lo que nos hace pensar la amplia y absoluta dependencia
de éstas en el uso que tenemos con ellas y la muy necesaria evaluación
independiente del área que la gestiona.
En este módulo profundizaremos en las piezas claves que el Auditor deberá examinar en cuanto a la Planeación
Estratégica de la TI de una organización y los riesgos asociados a este proceso.
Cada organización es un reflejo de su Dirección y ésta actúa de acuerdo con la forma que le da la Dirección
General. La Dirección desde el punto de vista de la gestión empresarial es un proceso continuo, que consiste
en planificar, organizar y controlar los diversos recursos productivos de una organización, con la finalidad de
alcanzar los objetivos preestablecidos con la mayor eficiencia posible. En el caso de la Dirección de TI, es la
encargada de gestionar los sistemas de información, por lo que el rol del auditor es del deber controlar que
esta Dirección de TI sea eficiente y eficaz en cada proceso o actividad que desarrolle.
Las distintas teorías de Administración coinciden en señalar que cualquier tipo de Dirección desarrolla las
siguientes actividades o procesos: Planificar-Organizar-Controlar
Plan
Valores Misión Visión Estratégico
General
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 2
Planeación y Organización
Dentro de las etapas de auditoría, debemos entender y examinar cada uno de los procesos de la Dirección de
TI, con el objetivo de controlar el área en la cual los Sistemas de Información se sustentan, y si cumplen con los
requerimientos de la alta dirección.
1. Planificación
1.1. Planeación estratégica de la TI
Sin entrar en profundizar lo que es una Planificación Estratégica, recordaremos que un plan estratégico
incorpora los valores, la misión y visión de la empresa, y se puede definir como “Es el proceso que consiste en
decidir sobre una organización, sobre los recursos que serán utilizados y las políticas que se orientan para la
consecución de dichos objetivos”1.
PLANIFICAR
DIRECCIÓN
CONTROLAR ORGANIZAR
Existe bibliografía muy diversa de estos componentes, y no es objetivo del curso poder centrarnos en ellos, si
no en el cómo afectará a la función del trabajo auditor.
Los planes Estratégicos se subdividen según sus necesidades en unidades de negocios de la empresa los que
ayudarán al logro de los objetivos institucionales y tienen como finalidad básica el establecimiento de guías
generales de acción específicos a cada gerencia. Dentro de ellas está el plan informático o plan estratégico
informático.
1
Caldera, Rodolfo. Planeación Estratégica de Recursos Humanos: Conceptos y Teoría. Año 2004. Disponible en Internet:
http://books.google.com.co/books?id=W2QmHc1iJoC&printsec=frontcover
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 3
Planeación y Organización
Plan Estratégico General
Plan Estratégico de
Sistemas de Información
Plan Informático
Operacional
Plan de Recuperación
IMPORTANTE
Advertimos que el plan estratégico de una organización es básico para el soporte de las operaciones y funciones del
proceso de TI. Aún más, no se debería iniciar ninguna actividad de control sin que se cuente con un Plan Estratégico
con estructura y redactado que cubra todas las áreas y procesos de la empresa.
a.Debe estar redactado y debe ser conocido por todos los usuarios de la empresa
b.Debe estar orientados hacia los objetivos estratégicos de la organización.
c.Puede ser simple o complejo de acuerdo con el tipo de organización que se analice y sus
requerimientos y necesidades.
d.El Comité de Informático participa en el Plan Informático
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 4
Planeación y Organización
Funciones del plan informático son:del plan informático son:
a.Revisar y eventualmente proponer una nueva estructura organizacional para el área de TI,
de acuerdo con los proyectos que proponga el plan.
b.Reconocer el impacto de las iniciativas de tecnología en el negocio.
c.Identificar las áreas en las cuales se podrían hacer inversiones en sistemas de información.
d.Análisis costo-beneficio de las propuestas de TI, junto con los plazos de estos.
e.Crear estrategias de evaluación del impacto potencial que pueden tener los recursos
tecnológicos.
Planeación y Organización
Dentro de los planes informáticos existen variados planes, pero los más nombramos son:
Es el que ayuda a describir las actividades a realizar en el ámbito de las TI. Por
Plan Informático
ejemplo: cambios tecnológicos, desarrollo de proyectos, requerimientos de
Operativo:
recursos, plazos necesarios, etc.
La Dirección debe prever desastres de variada naturaleza, como los
Plan de Recuperación ante
terremotos, incendios, falla de hardware, robo, virus, etc. Esta planificación
desastres:
debe hacer frente a este tipo de hechos.
En el área de la TI, debe existir un plan que debe representar un marco básico
de la actuación de los Sistemas de Información, y debe de asegurar los
alineamientos de estos con los objetivos de la propia empresa, es decir con el
mismo Plan Estratégico General. En la actualidad existen varios tipos de
planes informáticos, sin embargo, el principal lo constituye el Plan Estratégico
de sistemas de Información, el cual lo definiremos como un proceso dinámico
en el que las estrategias desarrollan una continua adaptación, innovación y
cambio, en la que estas se reflejan en los elementos funcionales que
Plan Estratégico de componen toda la empresa.
sistemas de información:
Antes de continuar, es importante recordar que la TI es la forma con que los
sistemas de información están “hablando” hoy en día. Por lo que durante este
y los siguientes módulos nos referiremos en conjunto, teniendo en cuenta la
estrategia de los sistemas de información están alineadas con las estrategias
tecnológicas junto con las estrategias del negocio. “Las estrategias de
sistemas de información son estrategias de gestión de la demanda,
enfocadas a las aplicaciones. Las estrategias de tecnología de la información
son estrategias de oferta, enfocadas a infraestructura”2
2
José Ramón Rodríguez e Ignacio Lamarca. Decisiones estratégicas en sistemas y tecnologías de la información.
https://www.exabyteinformatica.com/uoc/Informatica/Direccion_estrategica_de_sistemas_y_tecnologias_de_la_informacion/Direccion_estrategica_
de_sistemas_y_tecnologias_de_la_informacion_(Modulo_1).pdf
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 6
Planeación y Organización
- Misión, visión, objetivos
Estrategia de
Negocio - Productos, mercados, posicionamiento
- Decisiones y cambio
La relación entre la estrategia de negocio y las estrategias de SI y TI. Fuente: Decisiones estratégicas en sistemas y tecnologías de la información. José
Ramón Rodríguez e Ignacio Lamarca.
Existe variada bibliografía del proceso de Planeación Estratégica de los Sistemas de Información o Tecnología
de Información, y distintas metodologías (Análisis FODA, Factores Críticos del Éxito, “Enfoque Mico-Mundo”,
etc.)3. En este módulo lo resumiremos en 4 etapas que se podrá desarrollar de la siguiente manera:
PLANEACIÓN
ESTRATEGICA DE SI
3
Javier Arias Osorio, Hacia la Planeación Estratégica en Tecnologías de Información: Definiciones y Modelos.
http://www.redalyc.org/pdf/1942/194220465003.pdf
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 7
Planeación y Organización
a. Compresión de la estrategia de la benchmarking5, el estado del mercado de TI,
Soporte técnico, Evaluación Costo Beneficio, etc.
empresa
En esta fase se identifica la estrategia general de la El análisis identificará actividades de
empresa y su contexto actual. Se debe asegurar mejoramiento, determinadas en base a las
que abarcará de manera efectiva las necesidades oportunidades identificadas anteriormente, y se
de la organización, y conocerla completa y agruparán en los tres aspectos de los SI
suficientemente para poder determinar anteriormente vistos (Estado Infraestructura,
posteriormente los requisitos de sus sistemas de Aplicaciones, y Organización)
información.
c. Formulación de estrategias
b. Análisis de diagnóstico
En esta etapa, se definen hacia donde quiere llegar
Una vez que se ha reconocido el negocio y se ha la organización y los objetivos del plan de SI/TI, las
obtenido conocimiento de los requerimientos de iniciativas estratégicas y las consecuencias sobre el
sistemas de información, la siguiente etapa es negocio y sobre la gestión de SI/TI. El resultado final
determinar cuál es el estado actual de los sistemas ha de mostrar cuál es la dirección futura de los SI/TI
de información, con el fin de poder analizar en la empresa y cuál tiene que ser el aporte a la
posteriormente la efectividad del soporte ofrecido organización o negocio.
a partir de sus tres aspectos básicos:
d. Plan implementación y seguimiento
• Infraestructura técnica
• Aplicaciones Una vez finalizado y aprobado el plan estratégico
• Estado de la organización de SI/TI, se debe dar a conocer, se planifica y
gestiona de manera similar a cualquier otro
Luego de reconocer el Plan Estratégico y el estado programa o proyecto de envergadura. Luego, la
los aspectos básicos, se debe realizar su análisis actividad se complementa con el seguimiento de
para identificar cuáles son sus fortalezas, para los indicadores operativos y de los proyectos
mantenerlas y cuáles son las debilidades por planeados en la estrategia, así como las acciones
mejorar. Algunos autores hablan de un análisis correctivas en base a las desviaciones identificadas.
FODA4.Para ello puede realizarse algunos análisis En paralelo se sigue gestionando la demanda de
estratégicos de los sistemas de información, solicitudes generales y de proyectos no
contemplados en el plan de sistemas.
Planeación y Organización
El Auditor:
- Deberá examinar el proceso de Planificación Estratégica de los SI/TI , incluyendo la evaluación de la
metodología que está utilizando la empresa y si es necesario, proponer una nueva metodología.
- Deberá examinar el proceso de Planificación Estratégica de los SI/TI, si está acorde y alineada con el
Plan Estratégico General.
- Deberá revisar si la Planificación Estratégica de los SI/TI tiene la adecuada asignación de recursos y si
es de conocimiento de los usuarios. Además, si el plazo es el indicado de acuerdo lo establecido en la
concepción de éste.
2. Organizar y coordinar
En este proceso la Dirección debe estructurar los recursos, la información y los controles que le permitan
alcanzar los objetivos establecidos en la planificación. Actualmente, la SVS (Superintendencia de Valores y
Seguros) obliga a las empresas que transan en la bolsa a organizar su estructura organizativa alineada con las
buenas prácticas desde el caso “La Polar”. Esta forma de organización se llama Gobierno Corporativo.
El Gobierno de Tecnologías de Información (TI) es una parte integral del Gobierno Corporativo, que consiste
en una serie de estrategias que aseguran que la TI pueda dar soporte y se extienda a lo largo de los objetivos
de esta. Uno de los primeros pasos para desarrollar un Gobierno de TI es la creación de un Comité de
Informática, donde se tomen las decisiones estratégicas de TI.
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 9
Planeación y Organización
2.2. Comité informática
El comité de informática es el primer lugar de comunicación dentro de la empresa entre los informáticos y sus
usuarios: es el lugar en que se discuten los grandes temas de la TI que afectan a toda la empresa y permiten a
los usuarios comprender las necesidades del conjunto de la organización y participar en establecer las
prioridades y comprender de una mejor manera utilización de los recursos informáticos El primer paso es tomar
conciencia de que las decisiones estratégicas de TI son decisiones de negocio y, por ende, deben considerar la
opinión del Gobierno TI. Aunque no existen reglas fijas, el comité deberá de estar formado por pocas personas
y presidido por el director, dentro de la empresa, responsable en último término de la TI. El director de
informática actuar como secretario del comité y las grandes áreas usuarias deberían estar representadas al
nivel de sus directores. Así mismo un miembro de auditoría interna debería ser parte de este comité.
Características
Funciones
Planeación y Organización
2.3. Organización del área informática y de las relaciones con la TI
El segundo aspecto importante que debería tomar en cuenta el Gobierno de TI es la ubicación del
departamento de informática en la estructura organizativa general. El departamento debería estar en lo alto
en la jerarquía para disponer de autoridad e independencia frente a los departamentos usuarios.
La informática hoy en día da soporte a un conjunto mucho mayor unidades de negocios y, por, ello vemos a
departamentos de informática dependiendo directamente de la Dirección General.
Si la organización deja el departamento de informática bajo un departamento usuario, pueden surgir dudas
razonables sobre independencia a la hora de atender sus peticiones del resto de departamentos de la empresa.
El auditor deberá:
a.Revisar Organigrama.
b.Realizar entrevistas con el director de informática y directores de algunos
departamentos usuarios para conocer su precepción del grado de independencia y
atención del departamento de informática.
c.Manual de funciones organizativas.
3. Controlar
El control es una etapa primordial en la Dirección de una empresa, debido a que cuente con una planeación y
coordinación adecuada, ésta no podrá ser eficiente si no verifica cuál es la situación real de la empresa a través
de mecanismos que vayan en concordancia con sus objetivos.
Las organizaciones exitosas, además de lo antes señalado, comprenden y gestionan los riesgos asociados con
la implementación de las nuevas tecnologías. Para ello, la dirección de una organización necesita poder
apreciar y poseer un conocimiento básico de los riesgos y los límites de las TI para proveer una dirección eficaz
y los controles adecuados.
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 11
Planeación y Organización
3.1. Análisis de riesgos área TI
El riesgo de tecnología tiene implicaciones estratégicas, financieras, operacionales y regulatorias. Para
abordarlo, se necesita entender suficientemente bien el entorno de la TI y establecer una dirección y
expectativas claras.
El riesgo que proviene de una mala estrategia de TI se encuentra entre las principales amenazas de una
organización. Son los llamados riesgos estratégicos, y que pueden ocurrir por una deficiente planificación
estratégica. Algunos ejemplos de riesgos estratégicos de TI pueden ser:
a. Acoger vs. esperar la nueva tecnología: c. Carencia de integración entre las estrategias
Las empresas tienden que balancear el riesgo de de TI y las estrategias de negocio:
adoptar tecnología nueva contra el de ignorarla u El error de integrar las estrategias generales con las
esperar que las cosas se resuelvan. Una mala estrategias de TI puede llevar a inversiones
evaluación puede dejar a la competencia en inapropiadas y a expectativas desalineadas. La
ventaja, y una disminución de valor en la empresa. estrategia de TI tiene que respaldar las prioridades
de negocio en evolución y los modelos de
b. Operar vs. construir: operación también en evolución, y permitir
TI y el negocio tienen que llegar a un acuerdo sobre respuestas ágiles ante los desarrollos del mercado.
los proyectos y tener una buena evaluación Costo-
Beneficio. También gastar excesivamente en d. Tecnología heredada:
mantenimiento puede desplazar oportunidades Las empresas intentan utilizar las tecnologías
para adoptar nueva tecnología y desarrollar nuevas desactualizadas que incluyen centros de datos,
capacidades. plataformas y aplicaciones, cuando esto ocurre, la
organización puede encontrarse paralizada por su
propia tecnología.
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 12
Planeación y Organización
En la siguiente tabla encontrará los riesgos estratégicos más comunes en la mayoría de las empresas:
Existen variadas herramientas para evaluar los riegos estratégicos, como COBIT, COSO, etc. Revisaremos una
herramienta sencilla que puede ser utilizado para distintos tipos de riesgos, el cual se llama Matriz de Riesgo.
La matriz es una herramienta flexible de diagnóstico y evaluación de la situación global de riesgo de una
entidad.
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 13
Planeación y Organización
Exige la participación de todas las unidades de la organización y definen de la estrategia general de riesgo de
la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas de todas actividades
(proyectos, áreas, aplicaciones, etc.). Todo ello constituye un soporte efectivo a la de Gestión de Riesgo6
6
La gestión de riesgos es el proceso de identificar, analizar y responder a factores de riesgo a lo largo de la vida de un proyecto y en beneficio de sus
objetivos. La gestión de riesgos adecuada implica el control de posibles eventos futuros. Además, es proactiva, en lugar de reactiva.
https://gerens.pe/blog/gestion-riesgo-que-por-que-como/
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 14
Planeación y Organización
En la siguiente gráfica se puede observar un ejemplo de esquema de valorización de riesgo en función
de la probabilidad e impacto de tipo numérico con escala:
4. Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a fin de
determinar cuán eficaces son los controles establecidos por la empresa para mitigar los riesgos
identificados. En la medida que los controles sean más eficientes y la gestión de riesgos proactiva, el
indicador de riesgo inherente neto tiende a disminuir. Por ejemplo, una escala de valoración de
efectividad de los controles podría ajustarse a un rango similar al siguiente:
Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5
5. Finalmente, se calcula el “riesgo residual”, que es el resultado de la relación entre riesgos inherentes
y la gestión de mitigación de riesgos establecida por la administración. A partir del análisis y
determinación del riesgo residual la dirección pueden tomar decisiones como fortalecer los controles
la de continuar o abandonar la actividad dependiendo del nivel de riesgos o finalmente podrían tomar
posiciones de cobertura. Esta decisión está delimitada a un análisis de costo-beneficio y riesgo.
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 15
Planeación y Organización
En el siguiente cuadro se muestra un ejemplo para calcular el riesgo neto o residual utilizando escalas
numéricas de posición de riesgo:
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 16
Planeación y Organización
El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una actividad o línea de negocio, el
nivel o grado de riesgo ordenado de mayor a menor nivel de riesgo (priorización); las medidas de control
ejecutadas con su categorización promedio y finalmente, se expone el valor del riesgo residual para cada riesgo
y un promedio total que muestra el perfil global de riesgo de la línea de negocio.
Como se habrá podido observar la matriz de riesgo tiene un enfoque principalmente cualitativo, para lo cual
es preciso que quienes la construyan tengan experiencia, conocimiento profundo del negocio y su entorno y
un buen juicio de valor, pero además es requisito indispensable la participación de todas las áreas de la
entidad7.
MATERIAL COMPLEMENTARIO
7
Fuente: www.sigweb.cl
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 17
Planeación y Organización
Cierre
Las organizaciones con más éxito son aquellas que, entre otras cosas, reconocen las utilidades que las TI les
proporcionan en el cumplimiento de sus objetivos. Adicionalmente, comprenden la necesidad de gestionar los
riesgos de las TI, dado que la información es uno de sus activos más importantes. La función de la Auditoría de
Sistemas de Información en las organizaciones comienza con el examen de las áreas de la dirección como la
planeación, organización y control, y cómo esa función afecta a los sistemas de información, lo que lleva al
auditor a participar en el control de las fases del ciclo de gestión del control. Los auditores de TI, pasan por ser
los recursos confiable para contribuir a la construcción de la confianza en la Administración, configurándose
como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas empresariales
relacionadas. Las organizaciones deberán tomar conciencia de ello y potenciar el despliegue de la función de
Auditora.
APORTE A TU FORMACIÓN
Las organizaciones con más éxito son las que reconocen los beneficios que las TI les proporcionan para cumplir sus
objetivos. Además de la necesidad de comprender la necesidad la administración de los riesgos del empleo de las TI,
ya que la información es uno de sus activos más importantes.
La función de la Auditoría en Sistemas de Información evoluciona hacia un enfoque más proactivo debido a los
procesos asociados a la planificación estrategias de las TI. Enfoque que va participando en otras fases de control.
Los profesionales de la auditoría de Sistemas de Información pasan por ser los recursos cualificados para contribuir a
la construcción de la confianza en los procesos informáticos, transformándose en los garantes
de la prestación de servicios de calidad, y en la consecución de las políticas estratégicas establecidas.
Las distintas áreas operativas de las empresas se poyan cada vez más en los servicios de TI, lo que establece un gran
desafío profesional y humano para los auditores de profesión.