Administracin, Planeamiento y

Organizacin de Sistemas de
Informacin

Visin General
Estrategia de sistemas de informacin
Polticas y procedimientos
Prcticas de administracin de SI
Organizacin, estructura y responsabilidades
de SI
Auditando la administracin, planeamiento y
organizacin de SI

Estrategia de sistemas
de informacin
Planeamiento estratgico
Planeamiento de largo plazo para la
organizacin de sistemas de
informacin.
Generalmente tiene una alcance de
3 a 5 aos.

Estrategia de sistemas
de informacin

Comit de Direccin
La gerencia de mayor nivel de la organizacin debe
convocar un comit de direccin que supervise la
funcin de sistemas de informacin y sus
actividades. Un comit de direccin de alto nivel es
un factor importante en asegurar que los
departamentes de sistemas de informacin se
encuentra en armona con la misin y objetivos de la
organizacin.

Estrategia de sistemas de
informacin
Planeamiento / Comit de direccin
Comit de revisin para projectos de IS
importantes.
Comit de direccin.

Polticas y
Procedimientos
Polticas
Alto nivel
Bajo nivel
Procedimientos

Polticas y
Procedimientos
Alta
Gerencia

Gerencia
Media

Polticas de Alto Nivel

Estndares
Polticas Especficas

Gerencia

Operaciones - Ejecucin

Procedimientos
Administrativos y
Operativos

Polticas y
Procedimientos
Las polticas escritas de SI deben
originarse en el nivel Corporativo para
asegurar uniformidad.
Los procedimientos son documentos
detallados. Deben derivarse de la
poltica matriz y debe implementar el
espritu o (intencin) de la declaracin
de la poltica.

Prcticas de administracin
de sistemas de informacin
Administracin de personal
Prcticas de contratacin
Manual del empleado
Polticas de promocin
Entrenamiento

Prcticas de administracin
de sistemas de informacin
Administracin del personal
Programacin y reporte de tiempo
Evaluacin del desempeo del empleado
Vacaciones
Polticas de terminacin

Prcticas de administracin
de sistemas de informacin
Prcticas de Outsourcing (Acuerdos de Niveles de
Servicio)
Razones para considerar el outsourcing
Servicios provistos por un tercero
Posibles ventajas
Posibles desvantajas
Acuerdos de niveles de servicio
Riesgos de negocio
Consideraciones de Auditora y Seguridad

Prcticas de administracin
de sistemas de informacin
Estrategias en la auditora de
outsourcing
Reporte de la auditora de terceros
Revisiones peridicas por el auditor del
usuario del servicio

Prcticas de administracin
de sistemas de informacin
Planeamiento de capacidad y
crecimiento
Satisfaccin del usuario
Comparacin y estndares de la
industria
Administracin del cambio de TI
Prcticas de administracin financiera
Presupuestos de SI
Administracin de la calidad

Prcticas de administracin
de sistemas de informacin
Administracin de la calidad
Desarrollo, mantenimiento e implementacin de
sistemas de informacin
Adquisicin de equipos y programas
Operaciones del da a da
Seguridad
Administracin de recursos humanos
Administracin general

Prcticas de administracin
de sistemas de informacin
Estndares para asistir a la
organizacin
Interpretacin del estndar ISO
Modelo de madurez de la capacidad

Prcticas de administracin
de sistemas de informacin
Administracin de seguridad de informacin
Optimizacin del desempeo
Dificultades para la medicin del desempeo
Usos de la medicin del desempeo
Premios, compensacin y reconocimiento

Estructura de la organizacin y
responsabilidades de SI
Estructura del un departamento de SI

Estructura de la organizacin y
responsabilidades de SI
Estructura general del un departamento de SI
CIO
IS / IT Dir

Development
& Support
Develop.
Application's
Maintenance

User's
Support

Operation

Quality
Assurance

Operations

Independent

Quality
Assurance

Security

Technical
Support

Security

Estructura de la organizacin y
responsabilidades de SI
Roles y responsabilidades de SI
Desarrollo de sistemas
Mesa de ayuda

Operaciones
Libreras
Entrada de datos en linea y en lote

Estructura de la organizacin y
responsabilidades de SI
Roles y responsabilidades de SI
Administracin de sistemas
Administracin de seguridad
Aseguramiento de la calidad
Administracin de la base de datos

Estructura de la organizacin y
responsabilidades de SI
Roles y responsabilidades de SI
Anlisis de sistemas
Arquitectura de seguridad
Programacin de aplicaciones
Programacin de sistemas
Administracin de redes

Estructura de la organizacin y
responsabilidades de SI
Segregaci de funciones en SI
Evita la posibilidad de errores de
apropiacin
Desalienta actos fraudulentos
Limita los accesos a los datos

Estructura de la organizacin y
responsabilidades de SI
Segregation of Duties within IS

Estructura de la organizacin y
responsabilidades de SI
Controles de segregacin de
funciones
Autorizacin de transacciones
Custodia de activos
Acceso a datos

Estructura de la organizacin y
responsabilidades de SI
Controles de segregacin de funciones

/ Continuacin...
Formularios de autorizacin
Tablas de autorizacin de usuario
Controles compensatorios para la falta de
segregacin de funciones
Estructura de administracin de proyectos

Auditora administracin,
planeamiento y organizacin de SI
Indicadores de problemas potenciales
incluyen:

Actitudes desfavorables de los usuarios finales

Costos excesivos
Excesos en el presupuesto
Projectos demorados
Alta rotacin de personal
Personal inexperto
Errores frecuentes de equipos y programas
Excesivos pedidos de usuario pendientes de atender
Lentitud en la respuesta del computador

Auditora administracin,
planeamiento y organizacin de SI
Indicadores de problemas potenciales incluyen: (cont.)

Numerosos proyectos de desarrollo de sistemas abortados o suspendidos

Compras de equipos y programas no soportadas o autorizadas
Frecuentes actualizaciones a los equipos y programas
Gran cantidad de reportes de excepciones
Reportes de excepcin que no tienen seguimiento
Pobre motivacin
Ausencia de planes de sucesin
Dependencia en una o dos personas clave
Falta de capacitacin adecuada

Auditora de la administracin,
planeamiento y organizacin de SI
Revisin de la documentacin
Entrevistas y observacin del
personal en el desempeo de sus
funciones
Revisin de compromisos
contractuales

Auditora de la administracin,
planeamiento y organizacin de SI
Revisin de documentacin
Estrategias de TI, planes y presupuestos
Polticas de seguridad de documentacin
Organizacin / cuadros funcionales
Descripcin de puestos
Reportes del comite de direccin
Desarrollo de sistemas y procedimientos de
cambios a programas
Procedimientos operativos
Manuales de recursos humanos
Procedimientos de aseguramiento de calidad

Auditora de la administracin,
planeamiento y organizacin de SI
Entrevistas y observaciones del
personal en el desarrollo de sus
responsabilidades
Funciones actuales
Entendimiento de la seguridad
Reporte de relaciones

Auditora de la administracin,
planeamiento y organizacin de SI
Revisin de compromisos contractuales
Desarrollo de requerimientos contractuales
Proceso de contratacin
Procesos de seleccin y contratacin
Aceptacin de contrato
Mantenimiento de contrato
Cumplimiento de contrato

Captulo 2: Glosario
Controles Administrativos
Benchmark
Anlisis de impacto en el negocio (BIA)
Procesamiento centralizado de datos
Gobierno corporativo
Administrador de base de datos (DBA)
Administracin de sistemas de informacin
(MIS)
Pruebas de desempeo
Pedido de propuestas (RFP)

Captulo 2: Recapitulacin
Discusin de Grupo
Preguntas

Captulo 2: Preguntas
1. Cul de las siguientes tareas es
desempeada por la misma persona en un
entorno bien controlado de sistemas en el
centro de cmputo?
A. Administracin y gestion de la seguridad
B. Operacin de computadoras y desarrollo de
sistemas
C. Desarrollo de sistemas y administracin de
cambios
D. Desarrollo de sistemas y mantenimiento de
sistemas

Captulo 2: Preguntas
2. Cul de las siguientes es el control
ms crtico sobre la administracin
de la base de datos?
A. Aprobacin de las activiades del DBA
B. Segregacin de funciones
C. Revisin de las btcoreas de actividad
y de acceso
D. Revisin del uso de las herramientas
de base de datos

Captulo 2: Preguntas
3. Cul de los siguientes estar incluido en
un planeamiento estratgico de sistemas?
A. Especificaciones para las compras planeadas
de equipos
B. Anlisis de objetivos de negocio
C. Fechas objetivo para el desarrollo de proyectos
D. Objetivos presupuestales anuales para el
departamento de SI

Captulo 2: Preguntas
4. La responsabilidad ms importante del
oficial de seguridad de datos en una
organizacin es:
A. Recomendacin y monitoreo de
polticas de seguridad de datos
B. Promocin del conocimiento de
seguridad en la organizacin
C. Establecimiento de procedimientos
para las polticas de seguridad de IT
D. Administracin de controles de acceso
fsicos y lgicos

Captulo 2: Preguntas
5. Cul de las siguientes describe mejor el proceso de
planeamiento estratgico de un departamento de TI?
A. El departamento de TI tendr planes de largo plazo o de corto plazo
dependiendo de los planes y objetivos de la organizacin.
B. El plan estratgico del departamento de TI debe estar orientado al
cronograma y al proyecto, pero no demasiado detallado para poder ayudar
a determinar las prioridades para atender las necesidades del negocio.
C. Planeamiento de largo plazo para el departamenteo de TI debe reconocer
los objetivos organizacionales, avances tecnolgicos y requerimientos
regulatorios.
D. Planeamiento de corto plazo del departamento de TI no necesita estar
integrado en los planes de corto plazo de la organizacin considerando
que los avances tecnolgicos dirigirn los planes del departamento de TI
ms rpidamente que los planes de la organizacin.

Captulo 2: Preguntas
6. Cuando una completa segregacin de
funciones no puede ser realizada en un
ambiente en lnea, cual de las siguientes
funciones debe ser separada de las
dems?
A. Origen
B. Autorizacin
C. Registro
D. Correccin

Captulo 2: Preguntas
7. En una organizacin pequea, donde la segregacin
de funciones no es prctica, un empleado tiene el rol
de operador de computador y programador de
aplicaciones. Cul de los siguientes controles debe
ser recomendado por el auditor de sistemas?
A. Automated logging of changes to development libraries
B. Additional staff to provide segregation of duties
C. Procedures that verify that only approved program
changes are implemented
D. Access controls to prevent the operator from making
program modifications

Chapter 2: Questions
8. Which of the following is MOST likely to
be performed by the security
administrator?
A.
B.
C.
D.

Approving the security policy

Testing application software
Ensuring data integrity
Maintaining access rules

Chapter 2: Questions
9. An IS auditor is auditing the controls relating
to employee termination. Which of the
following is the MOST important aspect to be
reviewed?

A. The related company staff are notified about

the termination
B. User ID and passwords of the employee
have been deleted
C. The details of employee have been removed
from active
payroll files
D. Company property provided to the
employee has been returned

Chapter 2: Questions
10. When reviewing a service level agreement for
an outsourced computer center an IS auditor
should FIRST determine that:
A. the cost proposed for the services is
reasonable.
B. security mechanisms are specified in the
agreement.
C. the services in the agreement are based
on an analysis of business needs.
D. audit access to the computer center is
allowed under the agreement.