Auditoria de la dirección informática

La auditoría de dirección informática es el control de cada uno de los procesos de dirección

de los sistemas de información, el cual se encarga de controlar el funcionamiento con el
exterior. Una informática eficiente y eficaz requiere del apoyo de su Dirección.

El proceso de organizar consiste en estructurar recursos, los flujos de información y los

controles que permiten alcanzar los objetivos marcados por la calificación. Se establece un
comité de informática que afectan a toda la empresa y permite a los usuarios como las
actividades de la organización no solo de su área, se pueden fijar las prioridades. El auditor
debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.

Planificar.

(este acorde al plan estratégico (conocimiento a evaluar acciones a realizar)).

 Lectura y análisis de actas, acuerdos, etc.

 Lectura y análisis de informes gerenciales.
 Entrevistas con el mismo director del departamento y con los directores de otras
áreas.
 Organizar.
 Controlar.
 Coordinar
1. Alcance
 Organización y calificación de la dirección informática.
 Plan estratégico en sistema de información.
 Análisis de puestos.
 Planes y procedimientos.
 Normativas.
2. Objetivos

Realizar un informe con el objetivo de verificar la adecuación de medidas de aplicación a

las amenazas definidas, así como el cumplimiento de requisitos exigidos.

3. Resultados: se obtendrá:

 Informe de auditoría detectando riesgos y deficiencias en el manejo de la dirección

informática.
 plan de recomendaciones a aplicar en función DE UNA NORMATIVA A
CUMPLIR.

Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de

información para que no haya fallas.
1. Organigrama

En la dirección informática es importante comenzar por conocer la estructura de la

empresa, para así saber que otras áreas tiene la empresa, en este caso cuando se realiza la
auditoria a la dirección informática se tiene un requisito fundamental como lo es conocer la
estructura organizacional de dicha dirección.

La auditoría a la dirección informática primeramente busca que la empresa cuente con un

organigrama, y principalmente ofrece la siguiente información:

 Las jerarquías en la empresa (definición de la autoridad lineal, funcional y de

asesoría)
 Estructura organizacional
 Funciones
 Objetivos

2. Revisión de la documentación relacionada con la dirección

Cuando se realiza una auditoria a la dirección informática o a cualquier área, los auditores
pretenden obtener una idea más clara sobre las condiciones de trabajo y empleo de la
dirección que se audita, de esta forma se incluyen las horas de trabajo, salarios y
deducciones, así mismo cualquier comprobante que pueda verificar las acciones que se
suscitan en la dirección.
Los auditores cuando realizan su auditoria principalmente van directamente con:

 Comprobantes de pago: de estos documentos se obtiene y se comprueba el pago o

remuneración que se les hace a los empleados.
 Políticas y procedimientos empresariales: mediante las políticas y procedimientos
empresariales se puede conocer las normas, reglas y objetivos con los cuales labora
la empresa, así de este modo los auditores pueden conocer si la empresa está
trabajando acorde a lo que tiene estipulado. En estos apartados también se
encuentran los planes de trabajo, los controles, procedimientos y estándares que
rigen a la empresa.
 Contratos laborales: son muy importantes para la auditoria de la dirección
informática, ya que de este medio se puede comprobar y verificar que los empleados
estén bajo contratos y así mismo que la empresa cuente con una organización en sus
empleados.

3. Entrevista a directivos

El director de informática o los miembros de la empresa con cargos directivos deben de

llenar cuestionarios sobre la estructura organizacional, funciones, objetivos y políticas, y se
realiza la entrevista con las siguientes consideraciones:

 El auditor entrevista al auditado con el fin de recabar información, de una manera

amigable, sin tensión y con un vocabulario adecuado.
 El auditor debe de inspirar confianza al auditado.
 El auditor puede seleccionar diferentes directivos como lo son: jefes de proyectos,
analistas, programadores, etc.
 Cuando se realizará la entrevista se tienen que acordar puntos de logística (hora,
fecha, etc.).
4. Evaluación

Existen diferentes formas de evaluar la dirección informática, entre ellas encontramos

procedimentales (desempeño) y documentales (manual de organización de la empresa), y
entre estas formas encontramos:

 Evaluación de desempeño de las funciones que la alta dirección debe de realizar

 Organigramas con jerarquías
 Objetivos y políticas
 Manual de normas
 Manual de procedimientos
 Análisis, descripción y evaluación de puestos
 Instructivos de trabajos
 Planeaciones

Cómo auditar a la Alta Dirección en ISO 9001

Comprender lo que significa auditar a la alta dirección en ISO 9001 puede no ser tan fácil.
La edición anterior de la norma solicitaba que se demostrara con evidencia el compromiso
de la alta dirección con el desarrollo y la implementación del sistema de gestión de la
calidad. Y eso era lo que había que auditar.

Como la responsabilidad no se asignaba únicamente a la Dirección, sus tareas a menudo se

delegaban a un gerente junior o, específicamente, al gerente de calidad. En la revisión 2015,
auditar a la alta dirección en ISO 9001, implica que ella demuestre un liderazgo efectivo a
través de la participación y el compromiso de cumplir con el estándar, en lugar de solo un
compromiso para desarrollar un sistema de gestión de calidad.

Sin duda, bajo esta nueva perspectiva, se trata de un tema delicado que requiere orientación
y auditores experimentados. Auditar a la alta dirección en ISO 9001 implica involucrarla
desde el inicio en la tarea. Es necesaria su presencia en las reuniones de apertura, que
destine el suficiente tiempo para las entrevistas y que participe en la discusión de avances y
resultados finales de modo directo. Y, por supuesto, también es preciso recopilar evidencia
de su compromiso con el sistema en conformidad con la norma.

Etapas para auditar a la Alta Dirección en ISO 9001

Es importante que el auditor entienda que las tareas y las actividades que la alta dirección
lleve a cabo para alcanzar la conformidad con lo que la norma le solicita, deben ser tratadas
como procesos, y como tales debe auditarlos.

De acuerdo con esto, desglosemos la tarea de auditar a la alta dirección en ISO 9001 por
etapas:

1. La planificación

En esta etapa, es importante que el auditor verifique que:

Ha revisado informes, organigramas, reportes anuales, planes de negocios, sitios web,

comunicados de prensa y toda clase de documentos que ayuden a entender a la
organización y su contexto con profundidad. Ha previsto un plan de auditoría para recopilar
información relevante sobre el compromiso de la alta dirección, con información recibida
mediante entrevistas.

Ha comprendido a la organización, su cultura y a la alta dirección, y ha determinado su

impacto en el plan de auditoría. De ser necesario, el auditor hará los ajustes necesarios en el
mismo.

Ha adoptado un enfoque profesional, lo que implica que ha considerado temas como el

lenguaje que utilizará, por ejemplo. Ha establecido el momento y el horario que más
convenga para la entrevista con la alta dirección. Por supuesto, es preciso ser puntuales, y
destinar el tiempo indispensable, entendiendo las ocupaciones y las responsabilidades de
los entrevistados.
2. La conducción de la auditoría

Durante esta fase, el auditor debe emplear un método que permita conseguir la oportuna
evidencia del cumplimiento de la alta dirección y confirmarla.

La entrevista

La entrevista es posiblemente el método más idóneo para recaudar información que permita
consolidar la evidencia del cumplimiento de la alta dirección con sus responsabilidades en
el sistema de gestión de la calidad en ISO 9001. El auditor seguramente es la persona que
más sabe sobre ISO 9001 en esa reunión. Pero no tiene por qué hacer énfasis en ello. Si
abusa del lenguaje ISO, probablemente perderá la atención de sus entrevistados y se crearan
barreras de comunicación difíciles de superar.

Por ello, el auditor, utilizando un vocabulario que entienda bien la alta dirección, ha de
llevar a cabo una entrevista que le permita:

 Obtener evidencia suficiente del compromiso de la alta dirección con el sistema y su

aporte para el alcance de los objetivos de calidad.
 Obtener evidencia de la conformidad con los requisitos de la norma.
 Verificar la asignación de responsabilidades por parte de la alta dirección, en los
casos en que la norma indique que se puede hacer.

Recolección y confirmación de evidencia

La auditoría avanza y el auditor debe buscar oportunidades para verificar la información

suministrada por la alta dirección durante la entrevista. Uno de los puntos clave a verificar
es la disponibilidad y relevancia de las políticas y los objetivos de calidad.

También es importante comprobar si las políticas y los objetivos están alineados, son
efectivos y han sido comunicados y entendidos en todos los niveles de la organización.
Finalmente, el auditor tendrá que recolectar evidencia que le permita comprobar si la
política y los objetivos de calidad son apropiados para la mejora continua del SGC.

Es probable que el auditor tenga que realizar entrevistas adicionales a la alta dirección si
por este método no encuentra evidencia suficiente de su compromiso.

3. Los informes de auditoría

Hasta aquí es quizá la parte más difícil de auditar a la alta dirección en ISO 9001, porque
quizá hayamos encontrado, según el caso, ciertas reticencias o problemas de disponibilidad,
por ejemplo. Pero, una vez recolectada la evidencia, el asunto consiste en redactar los
informes, algo para lo que el auditor no tendrá mayor problema.

Un informe ejecutivo, resumido pero preciso, puede ser la mejor idea. En él, se plasman los
hallazgos más relevantes, los aspectos positivos del sistema, y también, por supuesto, las no
conformidades encontradas. Este informe debe presentarse a la alta dirección y otras partes
interesadas. Por lo que, en caso de disconformidad, quizá el auditor sienta cierta
incomodidad en este punto. El modo de afrontarlo es resaltando las oportunidades de
mejora para el beneficio de toda la organización.
 Auditoria de Explotación

La Auditoría de la Explotación consiste en auditar las secciones que componen la

explotación informática y sus interrelaciones. Ésta se divide en tres grandes áreas:
Planificación, Producción y Soporte Técnico.

La explotación informática se ocupa de producir resultados informáticos de todo tipo: La

explotación informática se ocupa de producir resultados informáticos de todo tipo: listados
impresos, ficheros soportados magnéticamente para otros informáticos, órdenes
automatizadas para lanzar o modificar procesos industriales, etc. La materia prima de la
explotación informática son los datos, los cuales se transforman y se someten a controles de
integridad y calidad. Al final los resultados son distribuidos al cliente o usuario.

La Explotación informática se ocupa de producir resultados informáticos de todo tipo.

La Explotación informática se dispone de materia prima los datos, que es necesario

transformar, y que se someten previamente a controles de integridad y calidad.

La transformación se realiza por medio del proceso informático, el cual está dirigido por
programas. Obtenido el producto final, los resultados son sometidos a controles de calidad,
y finalmente son distribuidos al cliente, al usuario.

Características de la Auditoría Informática de Explotación

Control de entrada de datos: Se analiza la captura de información, corrección en la

transmisión de datos, verificación de controles de integridad y calidad de datos.
Planificación y Recepción de Aplicaciones: Se auditarán las normas de entrega de
Aplicaciones, verificando cumplimiento y calidad.

Centro de Control y Seguimiento de Trabajos Se analizará cómo se prepara, se lanza y se

sigue la producción diaria de los procesos en tiempo real (Teleproceso).

Operadores de Centros de Cómputos: Se verificará la existencia de un responsable del

Centro de Cómputos el grado de automatización de comandos, existencia y grado de uso de
Manuales de Operación.

¿Qué es la Auditoría de Explotación?

La Auditoria de explotación es el control que se realiza sobre las funciones del Sistema de
Información para asegurar que las mismas se efectúen de forma regular, ordenada y que
satisfagan los requisitos empresariales.

¿Por qué es necesaria la Auditoría de Explotación?

El nivel de competencia que existe, hoy en día, entre las empresas les obliga a tomar
decisiones rápidas y acertadas. Es necesario, para ello el funcionamiento adecuado de los
sistemas informáticos (mediante la incorporación de las nuevas tecnologías) y su continua
actualización.

¿Para qué se utiliza la Auditoría de Explotación?

Combinando los nuevos avances tecnológicos con una adecuada organización y una gestión
eficiente, las empresas podrán alcanzar sus objetivos de manera satisfactoria. La auditoría
informática periódica es uno de los instrumentos más eficaces con que cuentan las
empresas para asegurar su existencia y superar a sus competidores. La detección oportuna
de las debilidades del sistema permite mejorarlo racionalizando los recursos.
Objetivos de la Auditoria de Explotación

 Controlar los manuales de instrucciones y procedimientos de explotación.

 Controlar los inicios de los procesos y otra documentación de funcionamiento.
 Revisar la agenda de trabajo.
 Verificar la continuidad del proceso.
 Realizar controles sobre la explotación remota.
 Comprobar que en ningún caso los operadores acceden a documentación de
programas que no sea la exclusiva para su explotación.
 Revisar que existen procedimientos que impidan que puedan correrse versiones de
programas no activos.
 Verificar los procedimientos según los cuales se incorporan nuevos programas a las
librerías productivas.
 Examinar los lugares en donde se almacenan cintas y discos, así como la perfecta y
visible identificación de estos medios.
 Verificar los planes de mantenimiento preventivo de la instalación.
 Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a
copias de seguridad: manejo, autorización de obtención de datos, destrucción, etc.

Componentes del Sistema de Información según el proyecto COBIT.

 Datos: En general se considerarán datos tanto los estructurados como los no

estructurados, las imágenes y los sonidos.
 Aplicaciones: Se incluyen las aplicaciones manuales y las informáticas.
 Tecnología: El software y el hardware, los sistemas operativos, los sistemas de
gestión de base de datos, los sistemas de red, etc.
 Instalaciones: En ellas se ubican y se mantienen los sistemas de información.
 Personal: Los conocimientos específicos que h de tener el personal de los sistemas
de información para planificarlos, organizarlos, administrarlos y gestionar los. Estos
 recursos de los sistemas de información se han de utilizar de forma que permitan la
eficacia y la eficiencia de la empresa; que los datos elaborados por su sistema de
información muestren una imagen fiel de la misma y que la empresa cumpla la
legislación vigente.

Procedimiento de la Auditoría

Carta de Encargo

En este documento debe quedar reflejado de la forma más clara posible, entre otros
aspectos, cuál será el alcance del trabajo del auditor.

Planificación Estratégica

Es una revisión global que permite conocer la empresa, el sistema de información y su

control interno con la intención de hacer una primera evaluación de riesgos. Según los
resultados de esa evaluación se establecerán los objetivos de la auditoría y se podrá
determinar su alcance y las pruebas que hayan de aplicarse, así como el momento de
realizarla. Para llevar a cabo esta tarea es necesario conocer entre otros aspectos los
siguientes:

 Las características de los equipos informáticos

 El sistema o los sistemas operativos
 Características de los ficheros o del base de datos
 La organización de la empresa
 La organización del servicio de explotación.
 Las aplicaciones que el Sistema de información de la empresa que se esté auditando
o que se vaya a auditar estén en explotación.
 El sector donde opera la empresa.
 Información comercial.
La instalación de un sistema informático introduce nuevos elementos de control y origina
cambios en los procedimientos tradicionales de control de procesamiento de datos. Estos
cambios pueden ser clasificados como:

 Nuevos controles necesarios para la automatización del procesamiento.

 Controles que sustituyen a aquellos que en los sistemas manuales están basados en
el criterio humano y en la división de labores.

Se necesitan nuevos controles debido a la automatización. Su objeto es detectar y controlar

errores derivados del uso del equipo informático y de los métodos de procesamiento del
equipo. Si estos controles no existen, el sistema puede quedar expuesto a un riesgo indebido
de error. En un sistema manual, el control interno depende de factores como la vigilancia
humana, el cuidado, la aceptación de responsabilidad y la división de labores. En vista de
que la actividad de procesamiento de información está concentrada desaparecen muchos
controles basados en el criterio humano y la división mencionada.

Los controles en un sistema informático deben proporcionar una seguridad razonable de

que el procesamiento está siendo efectuado correctamente. Debe detectar errores e
irregularidades rápidamente y asegurar una acción correctiva apropiada.

Los controles necesarios en este tipo de sistema pueden dividirse en aquellos relacionados
con las actividades de procesamiento, para prevenir y detectar errores, y aquellos
relacionados con la organización y administración.

Con respecto a la organización y administración: Este aspecto se refiere a la asignación de

responsabilidades y autoridad para las diversas funciones a realizar dentro de la
organización.

Para establecer responsabilidades se deben preparar descripciones de los trabajos a a

efectuar por todo el personal que interviene en el procesamiento de información. Estas
descripciones deberán incluir los títulos de los puestos y describir claramente las funciones.
También se debe considerar la Separación de Labores la cual constituye un elemento de
control interno que se aplica, en nuestro caso, en las funciones básicas del sistema de
información.