AUDITORIA INFORMTICA Y DE SISTEMAS

146
UNIDAD ACADMICA VII
AUDITORIA A LA DIRECCIN DE TECNOLOGIAS DE
INFORMACIN
Uno de los factores competitivos claves en los ltimos veinte aos
ha sido, sin duda, la aplicacin estratgica de las tecnologas de
informacin y de comunicaciones. Si bien estas inversiones han
estado focalizadas en la automatizacin, en el escenario
competitivo actual surge la necesidad de operar de maneras ms
dinmicas, nuevos modelos de negocio que exigen inversiones en
tecnologas y aplicaciones cada vez ms flexibles e integradas
como factor de supervivencia.
Un aspecto estratgico en las organizaciones es la Direccin de las
Tecnologas de Informacin. En efecto, la manera en que se
gestiona la materializacin, operacin y continuidad de los servicios
tecnolgicos requeridos por la organizacin ya no son una ventaja
competitiva, sino un factor que al no estar alineado a las
necesidades de la empresa, constituir una desventaja competitiva
relevante.
La Auditoria de la Direccin de Tecnologas de Informacin es una
tarea difcil. Sin embargo, la contribucin que dicha gestin realiza
(o debe realizar) al ambiente de control de las operaciones
informticas de una empresa es esencial.
AUDITORIA INFORMTICA Y DE SISTEMAS
147
Dar a conocer las principales actividades de todo proceso de
direccin, desde una visin de las tecnologas de informacin
en la organizacin.
Conocer y aplicar las herramientas indicadas de la auditoria
en una auditoria de la direccin de tecnologas de
informacin.
7.1 PLANIFICACIN ESTRATGICA
La planificacin estratgica pone en movimiento a una organizacin
para alcanzar los objetivos de la empresa. Una planificacin
exhaustiva ayuda a garantizar una organizacin eficaz y eficiente.
La planificacin estratgica est orientada al tiempo y a los
proyectos y ayuda a definir prioridades y alcanzar los objetivos
empresariales.
El Departamento de Tecnologas de Informacin (TI) debe tener
planes a largo plazo (a ms de un ao, tpicamente entre 3 y 5
aos) y a corto plazo(a un ao) para contribuir a que se alcancen
con xito los objetivos globales de la empresa. Tales planes deben
ser coherentes con los planes globales de la organizacin para
alcanzar sus objetivos de negocio.
Por ejemplo, si una organizacin tiene el objetivo de negocio de
que sus procesos de negocio estn soportados por la tecnologa (un
ejemplo podra ser el comercio electrnico), deber tener un
departamento de TI con fuerte capacidad de innovacin. Sin
embargo, si una empresa tiene la vocacin de dar un servicio de
bajo costo, necesitar un departamento de TI menos innovativo.
AUDITORIA INFORMTICA Y DE SISTEMAS
148
7.1.1 COMIT DE DIRECCIN DE TECNOLOGIAS DE
INFORMACIN (TI)
Los Comits de Direccin de TI aseguran que las actividades del
departamento de TI estn alineadas con la misin y objetivos de la
empresa. Aunque no es una prctica comn, en este comit debe
haber un miembro del Comit de Direccin de la empresa, que est
al tanto los riesgos y problemas respecto a la tecnologa
informtica, as como de la ventaja estratgica que la utilizacin
eficiente de la TI conlleva. El resto del comit, debe estar
constituido por gerentes de alto nivel, incluyendo al de TI, de las
diferentes reas de la empresa representando a todas las reas del
negocio de la organizacin. Su objetivo es revisar y actuar ante las
solicitudes de nuevos sistemas, de acuerdo con los objetivos de la
empresa. Por ello, la responsabilidad del comit es asegurar la
utilizacin eficiente de los recursos de procesamiento de datos y
fijar prioridades, examinar los costos y respaldar a los diversos
proyectos.
7.1.2 POLTICAS Y PROCEDIMIENTOS
Las polticas y procedimientos son guas y directrices para
desarrollar los controles sobre los sistemas de informacin y los
recursos relacionados:
Polticas, las polticas son documentos de alto nivel. En ellas se
plasma la filosofa de la organizacin y la estrategia de la alta
direccin. Para que sean eficaces deben estar escritas de forma
clara y concisa. La direccin, en sus diferentes niveles, debe crear
un entorno de control positivo asumiendo la responsabilidad de
formular, desarrollar, documentar y divulgar polticas que cubran
los objetivos generales. Tambin debe asegurar que los empleados
AUDITORIA INFORMTICA Y DE SISTEMAS
149
afectados por una poltica concreta reciben una explicacin
detallada de la poltica y de que entienden su intencin.
Procedimientos, los procedimientos son documentos de detalle.
Cada uno de ellos debe derivarse de una poltica y debe
implementar la intencin de la poltica. Al igual que las polticas
deben escribirse de forma clara y concisa para que se puedan
entender y aplicar. Los procedimientos documentan los procesos de
negocio y los controles involucrados en ellos. Generalmente, los
procedimientos son ms dinmicos que la poltica de la que
emanan. Deben reflejar los cambios habidos por lo que es
necesario que se revisen y actualicen frecuentemente. Para un
auditor constituir un tema de preocupacin el encontrarse con que
una organizacin no realiza el proceso de revisin de los
procedimientos. Los auditores revisan los procedimientos para
identificar/evaluar y, posteriormente, probar los controles sobre los
procesos de negocio. Cuando encuentran que las prcticas
operacionales no siguen los procedimientos o cuando no existen los
documentos de los procedimientos, ser difcil poder identificar los
controles y asegurar que estn operativos.
En la mayora de las organizaciones, el departamento de
Tecnologas de Informacin es un departamento de servicios. El
papel tradicional de un departamento de servicios es el de ayudar a
los departamentos de produccin a realizar sus operaciones de una
forma ms eficaz.
Sin embargo hoy en da, TI se ha constituido como parte integral
de las operaciones de una organizacin. Su importancia contina
creciendo ao tras ao, y todo hace prever que esta tendencia no
cambie. Por tanto, los auditores de TI tienen que entender y
AUDITORIA INFORMTICA Y DE SISTEMAS
150
apreciar que un departamento de TI bien gestionado es crucial para
la salud de una organizacin.
Principios de Gestin
Los principios estndar de buena gestin aplican a la gestin de TI,
no obstante las prcticas de gestin reales diferirn dependiendo
de la naturaleza del departamento de TI. Por ejemplo, una
compaa con un gran computador central puede tener un gran
nmero de mtodos diferentes que una compaa que tiene una
amplia red de oficinas dispersas, cada una con una RAL (red de
rea local) de PCs y un alto grado de autonoma.
Algunas reas clave donde el foco y el nfasis son diferentes en el
departamento de TI son las siguientes:
Gestin de la persona: El personal en un departamento tpico de
TI est altamente cualificado. Estos profesionales de TI suelen
cambiar de trabajo frecuentemente y las subidas de salario
normales y los cambios a puestos de gestin no son una
motivacin para ellos. Los departamentos de TI muchas veces
son organizaciones planas con pocos niveles de jerarqua.
Personal con poca experiencia tiene importantes
responsabilidades y toma decisiones cruciales. Por tanto, la
formacin de los empleados y un plan de carrera profesional son
de gran ayuda.
Gestin del cambio: No solo el personal cambia frecuentemente,
sino que tambin el departamento est en un estado de cambio
manejando demandas de nuevas aplicaciones y nuevas
tecnologas. Es importante para el departamento estar al tanto
de la tecnologa y adoptar proactivamente el cambio cuando sea
necesario.
AUDITORIA INFORMTICA Y DE SISTEMAS
151
Foco en buenos procesos: Debido a la tasa de cambio, es
importante implementar y promover buenos procesos. Debe
haber procedimientos documentados de todos los aspectos del
departamento ya sean estndares de programacin, pruebas o
respaldo de los datos. El control y el aseguramiento de la
calidad son otros ejemplos de elementos importantes de un
departamento bien gestionado. Los procesos y los
procedimientos no deben ser estticos, tienen que estar al
corriente de la actualidad de la organizacin.
Seguridad: La preocupacin por la seguridad es ms importante
y penetrante dentro de un departamento de TI que en muchos
otros departamentos. Internet ha hecha mayor esta
preocupacin. Como recurso crucial que es, el departamento de
TI debe estar igualmente preocupado por la continuidad de las
operaciones del negocio y de la recuperacin de desastres.
Gestin de terceras partes: Dado que los departamentos de TI
utilizan productos, hardware, software y redes de alta
tecnologa, tienen muchos suministradores que deben trabajar
juntos para entregar los resultados deseados.
7.2 AUDITORIA DE LA GESTIN DE TECNOLOGIAS DE
INFORMACIN
Los departamentos de TI estn integrados en organizaciones
mayores y que, por tanto son destinatarios de un sin fin de
estmulos de las mismas, que duda cabe de que, dado el mbito
tecnolgico tan particular de la informtica, la principal influencia
que dichos departamentos reciben viene inducida desde la propia
direccin de TI.
Las enormes sumas que las empresas dedican a las tecnologas de
informacin en un crecimiento que no se vislumbra el final y la
AUDITORIA INFORMTICA Y DE SISTEMAS
152
absoluta dependencia de las mismas al uso correcto de dicha
tecnologa hacen muy necesaria una evaluacin independiente de
la funcin que la gestiona. La direccin TI no debe quedar fuera: es
una pieza clave del engranaje.
Se podra decir que algunas de las actividades bsicas de todo
proceso de direccin son:
Planificar.
Organizar.
Coordinar
Controlar
Grafico 7.1: Funciones de un proceso de direccin
7.2.1 PLANIFICAR
Se trata de prever la utilizacin de las tecnologas en la empresa.
Existen varios tipos de planes informticos. El principal, y origen de
todo lo dems, lo constituye el plan estratgico del sistema de
informacin.
Planificar
Organizar
Coordinar y
Controlar
AUDITORIA INFORMTICA Y DE SISTEMAS
153
PLAN ESTRATGICO DEL SISTEMA DE INFORMACIN
Debe asegurar el alineamiento de los mismos con los objetivos de
la empresa. Desgraciadamente la transformacin de los objetivos
de la empresa en objetivos informticos no es siempre una tarea
fcil. Estos planes no son responsabilidad exclusiva de la direccin
de informtica, pero debe ser el permanente impulsor de una
planificacin de sistemas de informacin adecuada y a tiempo.
Aunque se suele definir la vigencia de un plan estratgico de 3 a 5
aos, tal plazo es muy dependiente del entorno en el que se mueve
la empresa. Cada empresa tiene su equilibrio natural y el auditor
deber evaluar si los plazos en uso en su empresa son los
adecuados. Debe existir un proceso, con participacin activa de los
usuarios, que regularmente elabore planes estratgico de sistemas
de informacin a largo plazo y el auditor deber evaluar su
adecuacin.
Gua De Auditoria
El auditor deber examinar el proceso de planificacin de sistemas
de informacin y evaluar si se cumple los objetivos. Deber
evaluar si durante el proceso de planificacin se presta adecuada
atencin al plan estratgico de la empresa y se presta adecuada
consideracin a nuevas TI.
Las tareas y actividades presentes en el plan tienen la
correspondiente y adecuada asignacin de recursos para poder
llevarlas a cabo as mismo si tiene plazo de consecucin realista.
Acciones a realizar tenemos:
Lectura de actas de sesiones del comit de informtica y
dedicadas a la planificacin estratgica.
Identificacin y lectura de los documentos intermedios
prescritos por la metodologa de planificacin.
AUDITORIA INFORMTICA Y DE SISTEMAS
154
Lectura y comprensin detallada del plan e identificacin de las
consideraciones incluidas en el mismo.
Realizacin de entrevista al director de informtica y otros
miembros del comit de informtica participantes en el proceso
de elaboracin de plan estratgico as como a los usuarios
Identificacin y comprensin de los mecanismos existentes de
seguimiento y actualizacin del plan y de su relacin con la
evolucin de la empresa.
Otros planes relacionados:
Normalmente deben existir otros planes informticos, todos ellos
nacidos al amparo del plan estratgico. Entre otros, los ms
habituales suelen ser:
Plan operativo anual.
Plan de direccin tecnolgica.
Plan de arquitectura de informacin.
Plan de recuperacin ante desastres.
Plan operativo anual:
Se establece al comienzo de cada ejercicio y es el que marca
las pautas a seguir durante el mismo.
Entre otros aspectos, debe sealar los SI a desarrollar, los
cambios tecnolgicos previstos, los recursos y los plazos
necesarios, etc.
El auditor deber evaluar la existencia del plan y su nivel de la
calidad.
Deber estudiar su alineamiento con el plan estratgico, grado
de atencin a las necesidades de los usuarios, sus previsiones
de los recursos necesarios para llevar acabo el plan, etc.
AUDITORIA INFORMTICA Y DE SISTEMAS
155
Deber analizar si los plazos descritos son realistas, teniendo en
cuenta las experiencias anteriores en la empresa.
Plan de recuperacin ante desastres:
Una instalacin informtica puede verse afectada por desastres
de variada naturaleza, que tengan como consecuencia inmediata
la indisponibilidad de un servicio informtico adecuado.
La direccin debe prever esta posibilidad y, por tanto, planificar
para hacerle frente.
7.2.2 ORGANIZAR Y CONTROLAR
El proceso de organizar sirve para estructurar los recursos, los
flujos de informacin y los controles que permitan alcanzar los
objetivos marcados durante la planificacin.
Comit de Tecnologas de Informacin (TI)
El comit de Tecnologas de Informacin es el primer lugar de
encuentro dentro de la empresa de los informticos y sus
usuarios: es el lugar en el que se debate los grandes asuntos de la
informtica que afectan a toda la empresa y permiten a los
usuarios conocer las necesidades del conjunto de la organizacin y
participar en la fijacin de prioridades.
Si bien estrictamente el nombramiento, la fijacin de funciones,
etc. del comit de informtica no son responsabilidades directas de
la direccin de Tecnologas de Informacin, sino de la direccin
general, la direccin de TI se ha de convertir en el principal
impulsor de la existencia de dicho comit.
AUDITORIA INFORMTICA Y DE SISTEMAS
156
Se ha escrito mucho sobre las funciones que debe realizar un
comit de TI y parece existir un cierto consenso en los siguientes
aspectos:
Aprobacin del plan estratgico de SI.
Aprobacin de las grandes inversiones en TI.
Fijacin de prioridades entre los grandes proyectos informticos.
Vehculo de discusin entre la informtica y sus usuarios.
Vigila y realiza el seguimiento de la actividad del departamento
de TI.
Gua de auditoria
El auditor deber asegurar que el Comit de TI existe y cumple su
papel adecuadamente. Para ello, deber conocer, en primer Lugar,
las funciones encomendadas al Comit. Entre las acciones a
realizar tenemos:
Lectura de la normativa interna, si la hubiera, para conocer las
funciones que debera cumplir el Comit de TI.
Entrevistas a miembros destacados del Comit con el fin de
conocer las funciones que en la prctica realiza dicho Comit.
Entrevistas a los representantes de los usuarios, miembros del
Comit, para conocer si entienden y estn de acuerdo con su
papel en el mismo.
Una vez establecida la existencia del Comit deTI, habr que
evaluar la adecuacin de las funciones que realiza.
Posicin del Departamento de TI en la empresa
El Departamento debera estar suficientemente alto en la jerarqua
y contar con masa critica suficiente para disponer de autoridad e
independencia frente a los departamentos usuarios.
AUDITORIA INFORMTICA Y DE SISTEMAS
157
Hoy en da, las tecnologas de informacin da soporte a un
conjunto mucho mayor de reas empresariales y, por ello, cada vez
es ms habitual encontrar a departamentos de TI dependiendo
directamente de Direccin General.
Incluso en las grandes organizaciones, el Director de TI es
miembro de derecho del Comit de Direccin u rgano semejante
Gua de auditoria
El auditor deber revisar el emplazamiento organizativo del
Departamento de TI y evaluar su independencia frente a
departamentos usuarios.
Para este proceso, ser muy til realizar entrevistas con el Director
de TI y directores de algunos departamentos usuarios para conocer
su percepcin sobre el grado de independencia y atencin del
Departamento de TI.
Aseguramiento de la Calidad
La calidad de los servicios ofrecidos por el Departamento de TI
debe estar asegurada mediante el establecimiento de una funcin
organizativa de Aseguramiento de la Calidad.
Es muy importante que esta funcin, de relativa nueva aparicin en
el mundo de las organizaciones informticas, tenga el total
respaldo de la Direccin y sea percibido as por el resto del
Departamento.
Gua de auditoria
El auditor deber comprobar que las descripciones estn
documentadas y son actuales y que las unidades organizativas
informticas las comprenden y desarrollan su labor de acuerdo a
las mismas. Entre las tareas que el auditor podr realizar:
AUDITORIA INFORMTICA Y DE SISTEMAS
158
Examen del organigrama del Departamento de TI e
identificacin de las grandes unidades organizativas.
Revisin de la documentacin existente para conocer la
descripcin de las funciones y responsabilidades.
Realizacin de entrevistas a los directores de cada una de las
grandes unidades organizativas para determinar su
conocimiento de las responsabilidades de su unidad y que stas
responden a las descripciones existentes en la documentacin
correspondiente.
Examen de las descripciones de las funciones para evaluar si existe
adecuada segregacin de funciones, incluyendo la separacin
entre desarrollo de sistemas de informacin, produccin y
departamentos usuarios. Igualmente, ser menester evaluar la
independencia de la funcin de seguridad.
Observacin de las actividades del personal del Departamento para
analizar, en la prctica, las funciones realizadas, la segregacin
entre las mismas y el grado de cumplimiento con la documentacin
analizada.
Estndares del funcionamiento y procedimientos.
Descripcin d los puestos de trabajo.
Deben existir estndares de funcionamiento y rendimiento que
gobiernen la actividad del Departamento de TI por un lado y sus
relaciones con los departamentos usuarios por otro.
Dichos estndares y procedimientos deberan estar
documentados. actualizados y ser comunicados adecuadamente
a todos los departamentos afectados.
AUDITORIA INFORMTICA Y DE SISTEMAS
159
Por otro lado deben existir documentadas descripciones de los
puestos de trabajo dentro de Informtica delimitando
claramente la autoridad y la responsabilidad en cada caso.
Gua de auditoria
El auditor deber evaluar si existen estndares de
funcionamiento procedimientos y descripciones de puestos de
trabajo, adecuados y actualizados. Entre las acciones a realizar,
se pueden citar:
o Evaluacin del proceso por el que los estndares,
procedimientos y puestos de trabajo son desarrollados,
aprobados, distribuidos y actualizados.
o Revisin de los estndares y procedimientos existentes.
o Revisin de las descripciones de los puestos de trabajo
para evaluar si reflejan las actividades realizadas en la
prctica.
Gestin de Recursos Humanos:
Seleccin, Evaluacin del Desempeo, Formacin,
Promocin, Finalizacin.
La gestin de los recursos humanos es uno de los elementos
crticos en la estructura general informtica.
La calidad de los recursos humanos influye directamente en
localidad de los sistemas informacin producidos, mantenidos y
operados por el departamento de informtica.
Gua de auditoria
Entre otros el auditor deber evaluar que:
La seleccin de personal se basa en criterios objetivos.
AUDITORIA INFORMTICA Y DE SISTEMAS
160
El rendimiento de cada empleado se evala regularmente en
base a estndares.
Existen procesos para determinar las necesidades de formacin
de empleados en base a su experiencia.
Existen procesos para la promocin del personal que tienen en
cuenta su desempeo profesional.
Existen controles que tienden a asegurar que el cambio de
puesto de trabajo y la finalizacin de los contratos laborales no
afectan a los controles internos y a la seguridad informtica
Adems el auditor deber evaluar que todos los aspectos
anteriores estn en lnea con las polticas y procedimientos de la
empresa.
Entre las acciones realizadas se pueden citar:
Conocimiento y evaluacin de los procesos utilizados para cubrir
vacantes en el Departamento.
Anlisis de las cifras de rotacin de personal, niveles de
absentismo laboral y estadsticas de proyectos terminados fuera
de presupuesto y de plazo.
Realizacin de entrevistas a personal del Departamento.
Revisin del calendario de cursos, descripciones de los mismos,
mtodos y tcnicas de enseanza.
Revisin de los procedimientos para la finalizacin de contratos.
Comunicacin
Es necesario que exista una comunicacin efectiva y eficiente
entre la Direccin de Informtica y el resto del personal del
Departamento.
AUDITORIA INFORMTICA Y DE SISTEMAS
161
Entre los aspectos que es importante comunicar se encuentran:
actitud positiva hacia los controles, integridad, tica,
cumplimiento de la normativa interna entre otras, la de
seguridad informtica compromiso con la calidad, etc.
Gua de auditoria
El auditor deber evaluar las caractersticas de la comunicacin
entre la Direccin y el personal de Informtica.
Para ello se podr servir de tareas formales como las descritas
hasta ahora y de otras, por ejemplo, a travs de entrevistas
informales con el personal del Departamento.
Gestin econmica
Este apartado de las responsabilidades de la Direccin de
Informtica tiene varias facetas: presupuestario, adquisicin de
bienes y servicios y medida y reparto de costes.
Presupuesto
Como todo departamento de la empresa, el de Informtica debe
tener un presupuesto econmico, normalmente en base anual.
Los criterios sobre cules deben ser los componentes del mismo
varan grandemente.
Sea cual sea la poltica seguida en la empresa, el Departamento
de TI debe seguirla para elaborar su presupuesto anual.
Gua de auditoria
El auditor deber constatar la existencia de un presupuesto
econmico de un proceso para elaborarlo -que incluya
consideraciones de los usuarios- y aprobarlo, y que dicho proceso
est en lnea con las polticas y procedimientos de la empresa y con
los planes estratgico y operativo del propio Departamento.
AUDITORIA INFORMTICA Y DE SISTEMAS
162
Adquisicin de bienes y servicios
Los procedimientos que el Departamento de TI siga para adquirir
los bienes y servicios descritos en su plan operativo anual y/o que
se demuestren necesarios a lo largo del ejercicio han de estar
documentados y alineados con los procedimientos de compras del
resto de la empresa. Aqu, las variedades infinitas, con lo que es
imposible dar reglas fijas.
Gua de auditoria
Una auditoria de esta rea no debe diferenciarse de una auditoria
tradicional del proceso de compras de cualquier otra rea de la
empresa, con lo que el auditor deber seguir bsicamente las
directrices y programas de trabajo de auditoria elaborados para
este proceso.
Medida y reparto de costes
La direccin de informtica debe en todo momento gestionar los
costes asociados con la utilizacin de los recursos humanos y
tecnolgicos. Y ello, obviamente, exige medirlos.
Gua de auditoria
El auditor deber evaluar la conveniencia de que exista o no un
sistema de reparto de costes informticos y de que este sea
justo, incluya los conceptos adecuados y de que el precio de
transferencia aplicada este en lnea o por debajo del mercado.
Entre las acciones a llevarse acabo, se puede mencionar:
Realizacin de entrevistas a la direccin de los departamentos
usuarios.
Anlisis de los componentes y criterios con los que est
calculado el precio de transferencia.
AUDITORIA INFORMTICA Y DE SISTEMAS
163
Conocimiento de los diversos sistemas existentes en el
departamento.
SEGUROS
La direccin de informtica debe tomar las medidas necesarias
con el fin de tener la suficiente cobertura para los sistemas
informticos.
Estas coberturas amparan riesgos tales como la posible perdida
de negocio, los costes asociados al hecho de tener que ofrecer
servicio informtico desde un lugar alternativo por no estar
disponible en sitio primario, los costos asociados a la
regeneracin de datos por perdida o inutilizacin de los datos
originales, etc.
Gua de auditoria
El auditor deber estudiar las plizas de seguros y evaluar la
cobertura existente, analizando si la empresa est suficientemente
cubierta o existen huecos en dicha cobertura. Por ejemplo, algunas
plizas slo cubren el reemplazo del equipo, pero no los otros
costes mencionados, etc.
7.2.3 CONTROL Y SEGUIMIENTO
Un aspecto comn a todo lo que se ha dicho hasta el momento es
la obligacin de la Direccin de controlar y efectuar un seguimiento
permanente de la distinta actividad del Departamento.
Se ha de vigilar el desarrollo de los planes estratgico y operativo y
de los proyectos que los desarrollan, la ejecucin del presupuesto,
etc. En esta labor, es muy conveniente que existan estndares de
rendimiento con los que comparar las diversas tareas.
AUDITORIA INFORMTICA Y DE SISTEMAS
164
Gua de auditoria
Entre las acciones a realizar, se pueden mencionar:
Conocimiento y anlisis de los procesos existentes en el
Departamento para llevar a cabo el seguimiento y control,
Evaluacin de la periodicidad e los mismos. Analizar igualmente
los procesos de represupuestacin.
Revisin de planes, proyectos, presupuestos de aos anteriores
y del actual para comprobar que son estudiados, que se
analizan las desviaciones y que se toman las medidas
correctoras necesarias.
Cumplimiento de la normativa legal
La Direccin de Informtica debe controlar que la realizacin de sus
actividades se lleva a cabo dentro del respeto a la normativa legal
aplicable.
Asimismo, deben existir procedimientos para vigilar y determinar
permanentemente la legislacin aplicable.
Gua de auditoria
El auditor deber evaluar si la mencionada normativa aplicable
se cumple.
Para ello, deber, en primer lugar, entrevistarse con la Asesora
Jurdica de la empresa la Direccin de Recursos Humanos y la
Direccin de Informtica con el fin de conocer dicha normativa.
A continuacin, evaluar el cumplimiento de las normas, en
particular en los aspectos ms crticos.
AUDITORIA INFORMTICA Y DE SISTEMAS
165
Realizar un plan de auditora para la auditora de la direccin de
tecnologas de informacin.
Describa las actividades a realizar por un auditor para evaluar
un plan estratgico de sistemas de informacin.
En el presente fascculo se da a conocer los principales aspectos
que se deben analizar y revisar durante una auditoria a la direccin
de tecnologas de informacin de cualquier organizacin. As como
tambin la importancia de dicha auditoria en la calidad del marco
de controles impulsado e inspirado por la Direccin de TI sobre el
probable comportamiento de los sistemas de informacin.
Littlejhon Shider, Debra, "Superutilidades y deteccin de
Delitos Informaticos, Edit. Anaya, 1era. Edicin, 2003.
Jones J., Keith, "Superutilidades Hackers ", Edit. Mc.Graw
Hill, 1era. Edicin, 2003.
Cougias,Dorian/E.L. Heiberg, "Herramientas de Proteccin
y Recuperacin de Datos, Edit. Anaya, 1era. Edicin,
2004
Sols Montes, Gustavo Adolfo, "Reingeniera de la
Auditoria, Edit. Trillas, 1ra. Edicin. 2002.
AUDITORIA INFORMTICA Y DE SISTEMAS
166
Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega,
2da. Edicin 2001.
Echenique GARCIA, Jos Antonio, "Auditoria en
Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001.
1. Que evidencias deber buscar un auditor para poder evaluar
si las necesidades de los usuarios son adecuadamente
tenidas en cuenta?
2. Qu tareas debe hacer un auditor para evaluar el plan de
formacin del departamento de informtica? Cmo puede
juzgar si dicho plan esta acorde con los objetivos de la
empresa?
3. Descrbase un programa de trabajo para evaluar Acuerdos de
Nivel de Servicio. Para el rea de desarrollo y programacin,
identifquense los principales conceptos de servicio que
debera contener un ANS as como los indicadores de medida
pertinentes.