AUDITORIA INFORMÁTICA DE LADIRECCION

Introducción Las enormes sumas que las empresas dedican a las

tecnologías de información en un crecimiento que nose vislumbra el final y la absoluta dependencia de lasmismas al uso correcto de dicha tecnología hacen muynecesaria una evaluación independiente de la funciónque la gestiona.

La dirección informática no debe quedar fuera: es unapieza clave del engranaje.

Se podría decir que algunas de las actividades básicasde todo proceso de dirección son:

Planificar Se trata de prever la utilización de las tecnologías en la

empresa. Existen varios tipos de planes informáticos.

El principal, y origen de todo lo demás, lo constituye elplan estratégico del sistema de información.

Plan estratégico del sistema de información. Asegura el alineamiento con los objetivos de la empresa. La transformación de los objetivos de la empresa en

objetivos informáticos no es siempre una tarea fácil. El plazo de vigencia es muy dependiente del entorno en

el que se mueve la empresa.

Guía de auditoria. El auditor deberá examinar el proceso de planificación y

evaluar si se cumple los objetivos. Debe evaluar si en el proceso de planificación se presta

adecuada atención al plan estratégico de la empresa yse presta adecuada consideración a nuevas TI.

Las tareas y actividades presentes en el plan tienen lacorrespondiente y adecuada asignación de recursos parapoder llevarlas a cabo así mismo si tiene plazo deconsecución realista.

Acciones a realizar: Lectura de actas de sesiones del comité de informática y

dedicadas a la planificación estratégica. Identificación y lectura de los documentos intermedios

preescritos por la metodología de planificación. Lectura y comprensión detallada del plan e identificación

de las consideraciones incluidas en el mismo. Realización de entrevista al director de informática y

otros miembros del comité de informática participantesen el proceso de elaboración de plan estratégico asícomo a los usuarios.

Identificación y comprensión de los mecanismosexistentes de seguimiento y actualización del plan y desu relación con la evolución de la empresa

Otros Planes Relacionados Normalmente deben existir otros planes informáticos,

todos ellos nacidos al amparo del plan estratégico.Entre otros, los mas habituales suelen ser:

Plan operativo anual. Plan de dirección tecnológica. Plan de arquitectura de información. Plan de recuperación ante desastres.

Organizar y Coordinar El proceso de organizar sirve para estructurar los

recursos, los flujos de información y los controles quepermitan alcanzar los objetivos marcados durante laplanificación

Comité de Informática Primer lugar de encuentro dentro de la empresa de los

informáticos y sus usuarios.

Aprobación del plan estratégico de SI. Aprobación de las grandes inversiones en TI. Fijación de prioridades entre los grandes proyectos

informáticos. Vehículo de discusión entre la informática y sus usuarios. Vigila y realiza el seguimiento de la actividad del

departamento de informática.

Guía de auditoria El auditor deberá asegurar que el Comité de

Informática existe y cumple su papel adecuadamente.

Acciones a realizar Lectura de la normativa interna para conocer las

funciones que debería cumplir el Comité de Informática). Entrevistas a miembros destacados del Comité para

conocer las funciones que en la práctica realizan. Entrevistas a los representantes de los usuarios,

miembros del Comité, para conocer si entienden y estánde acuerdo con su papel en el mismo.

Posición del Departamento de Informática en laempresa.

El Departamento debería estar suficientemente alto enla jerarquía y contar con masa critica suficiente paradisponer de autoridad e independencia frente a losdepartamentos usuarios.

Incluso en las grandes organizaciones, el Director deInformática es miembro de derecho del Comité deDirección u órgano semejante

Guía de auditoria El auditor deberá revisar el emplazamiento organizativo

del Departamento de Informática y evaluar suindependencia frente a departamentos usuarios.

Será muy útil realizar entrevistas con el Director deInformática y directores de algunos departamentosusuarios para conocer su percepción sobre el grado deindependencia y atención del Departamento deInformática.

Descripción de funciones y responsabilidades delDepartamento de Informática. Segregación defunciones.

Es necesario que las grandes unidades organizativasdentro del Departamento de informática tengan susfunciones descritas y sus responsabilidades claramentedelimitadas y documentadas.

Guía de auditoria El auditor deberá comprobar que las descripciones

están documentadas y son actuales y que las unidadesorganizativas informáticas las comprenden ydesarrollan su labor de acuerdo a las mismas.

Examen del organigrama del Departamento deInformática e identificación de las grandes unidadesorganizativas.

Revisión de la documentación existente para conocer ladescripción de las funciones y responsabilidades.

Entrevistas a directores de cada una de las grandesunidades organizativas para determinar su conocimientode las responsabilidades de su unidad y que éstasresponden a las descripciones existentes en ladocumentación correspondiente.

Examen de descripciones de las funciones para evaluarsi existe adecuada segregación de funciones,incluyendo la separación entre desarrollo de sistemas deinformación, producción y departamentos usuarios.Igualmente, será menester evaluar la independencia dela función de seguridad.

Observación de las actividades del personal delDepartamento para analizar, en la práctica, las funcionesrealizadas, la segregación entre las mismas y el grado decumplimiento con la documentación analizada.

Estándares del funcionamiento y procedimientos.Descripción de los puestos de trabajo

Deben existir estándares de funcionamiento yrendimiento que gobiernen la actividad delDepartamento de Informática por un lado y susrelaciones con los departamentos usuarios por otro.

Guía de auditoria El auditor deberá evaluar si existen estándares de

funcionamiento procedimientos y descripciones depuestos de trabajo, adecuados y actualizados.

Evaluación del proceso por el que los estándares,procedimientos y puestos de trabajo son desarrollados,aprobados, distribuidos y actualizados.

Revisión de los estándares y procedimientos existentes. Revisión de las descripciones de los puestos de trabajo

para evaluar si reflejan las actividades realizadas en lapráctica.

Gestión de Recursos Humanos: Selección,Evaluación del Desempeño, Formación, Promoción,Finalización.

La gestión de los recursos humanos es uno de loselementos críticos en la estructura general informática.

La calidad de los recursos humanos influyedirectamente en localidad de los sistemas informaciónproducidos, mantenidos y operados por eldepartamento de informática.

Guía de auditoria La selección de personal se basa en criterios objetivos. El rendimiento de cada empleado se evalúa

regularmente en base a estándares. Existen procesos para determinar la necesidades de

formación de empleados en base a su experiencia. Existen procesos para la promoción del personal que

tienen en cuenta su desempeño profesional. Existen controles que tienden a asegurar que el cambio

de puesto de trabajo y la finalización de los contratoslaborales no afectan a los controles internos y a laseguridad informática

Además el auditor deberá evaluar que todos losaspectos anteriores están en línea con las políticas yprocedimientos de la empresa.

Acciones a realizar Conocimiento y evaluación de los procesos utilizados

para cubrir vacantes en el Departamento de Informática. Análisis de las cifras de rotación de personal, niveles de

absentismo laboral y estadísticas de proyectosterminados fuera de presupuesto y de plazo.

Realización de entrevistas a personal del Departamento. Revisión del calendario de cursos, descripciones de los

mismos, métodos y técnicas de enseñanza. Revisión de los procedimientos para la finalización de

contratos.

Gestión económica Este apartado de las responsabilidades de la Dirección

de Informática tiene varias facetas: presupuestación,adquisición de bienes y servicios y medida y reparto decostes.

Presupuestación. Como todo departamento de laempresa, el de Informática debe tener un presupuestoeconómico, normalmente en base anual.

Guía de auditoria El auditor deberá constatar la existencia de un

presupuesto económico de un proceso para elaborarlo yaprobarlo, y que dicho proceso está en línea con laspolíticas y procedimientos de la empresa y con losplanes estratégico y operativo del propio Departamento

Adquisición de bienes y servicios. Procedimientos quese siga para adquirir los bienes y servicios descritos ensu plan operativo anual y/o que se demuestrennecesarios a lo largo del ejercicio han de estardocumentados y alineados con los procedimientos decompras del resto de la empresa.

Guía de auditoria Una auditoria de esta área no debe diferenciarse de una

auditoria tradicional del proceso de compras de cualquierotra área de la empresa, con lo que el auditor deberáseguir básicamente las directrices y programas detrabajo de auditoria elaborados para este proceso.

Medida y reparto de costes. La dirección de informáticadebe en todo momento gestionar los costes asociadoscon la utilización de los recursos humanos y tecnológicos.

Guía de auditoria El auditor deberá evaluar la conveniencia de que exista o

no un sistema de reparto de costes informáticos y deque este sea justo, incluya los conceptos adecuados yde que el precio de transferencia aplicada este en línea opor debajo del mercado.

Realización de entrevistas a la dirección de losdepartamentos usuarios.

Análisis de los componentes y criterios con los que estácalculado el precio de transferencia.

Conocimiento de los diversos sistemas existentes en eldepartamento.

Seguros. La dirección de informática debe tomar lasmedidas necesarias con el fin de tener la suficientecobertura para los sistemas informáticos.

Guía de auditoria El auditor deberá estudiar las pólizas de seguros y

evaluar la cobertura existente, analizando si la empresaestá suficientemente cubierta o existen huecos en dichacobertura.

Controlar Control y seguimiento Un aspecto común a todo lo que se ha dicho hasta el

momento es la obligación de la Dirección de controlar yefectuar un seguimiento permanente de la distintaactividad del Departamento.

Se ha de vigilar el desarrollo de los planes estratégico yoperativo y de los proyectos que los desarrollan, laejecución del presupuesto, etc.

Es muy conveniente que existan estándares derendimiento con los que comparar la actividad delDepartamento. Una de las técnicas mas utilizadas sonlos llamados Acuerdos de Nivel de Servicio (ANS –Secure Level Agreements - SLA)

Guía de auditoria Conocimiento y análisis de los procesos existentes en

el Departamento para llevar a cabo el seguimiento ycontrol, Evaluación de la periodicidad e los mismos.Analizar igualmente los procesos de represupuestación.

Revisión de planes, proyectos, presupuestos de añosanteriores y del actual para comprobar que sonestudiados, que se analizan las desviaciones y que setoman las medidas correctoras necesarias.

Conocimiento y análisis de los procesos existentespara la negociación de los ANS y acuerdo con losusuarios.

Cumplimiento de la normativa legal La Dirección de Informática debe controlar que la

realización de sus actividades se lleva a cabo dentrodel respeto a la normativa legal aplicable.

Asimismo, deben existir procedimientos para vigilar ydeterminar permanentemente la legislación aplicable.

Guía de auditoria El auditor deberá evaluar si la mencionada normativa

aplicable se cumple. En primer lugar, entrevistarse con la Asesoría Jurídica

de la empresa la Dirección de Recursos Humanos y laDirección de Informática con el fin de conocer dichanormativa.

Luego, evaluará el cumplimiento de las normas, enparticular en los aspectos más críticos.

Conclusiones La auditoria de la Dirección de Informática es una tarea

difícil. Sin embargo, la contribución que dicha Direcciónde Informática realiza (o debe realizar) al ambiente decontrol de las operaciones informáticas de unaempresa es esencial. Desde el punto de vista deauditoria, la calidad del marco de controles impulsado einspirado por la dirección de Informática tiene una graninfluencia sobre el probable comportamiento de lossistemas de información.

Por parte del auditor, se necesitan capacidades deevaluar la gestión mas que capacidades técnicas muyprofundas.