You are on page 1of 40

SESION 2: Auditoría de la

Gestión de las TI
AGENDA
■ Necesidad de una auditoría a la
Función TI
■ Auditando la organización del Área de
Sistemas
■ Auditando la gestión de los recursos TI
Necesidad de una Auditoría a la
Función TI
■ Incremento en los costos
■ Ineficiencia Operativa
■ Desbalance entre el logro de objetivos y
el nivel tecnológico alcanzado
■ Reclamos de clientes y proveedores por
problemas de información
■ Interrupciones del servicio
Auditoria de Gestión TI

■ Organización de la función Informática


■ Recursos TI:
– Administración de los recursos de
cómputo
– Ambiente de trabajo
– Prestación del Servicio
– Administración y operación del Software
Auditando la organización del
Area de Sistemas
■ La organización del Area de Sistemas es
efectiva cuando sus objetivos son
consistentes con los de la organización a
la que sirve
■ Debe evaluarse el impacto financiero
de las actividades del Area de Sistemas,
desde el planeamiento hasta la
ejecución del presupuesto asignado
Auditando la organización del
Área de Sistemas
Estructuras orgánicas básicas:
■ Centralizada: cuando la función de SI atiende
de modo centralizado las diferentes
necesidades de los usuarios en una compleja
organización empresarial
■ Departamental: cuando se atiende de modo
homogéneo las necesidades de los usuarios
en una organización simple
Auditando la organización del
Área de Sistemas
Estructura centralizada:
■ Tradicional
■ El jefe del Area puede tener la categoría
de un Vice-Presidente o Gerente
■ En las grandes organizaciones puede
manejar miles de personas y responder
por un presupuesto de miles de
millones
Estructura Centralizada
Sistemas de
Información
Seguridad
de Datos

Desarrollo de Mantenimiento
Producción Soporte Técnico
Sistemas de Sistemas

Administrativos y Operaciones
Administración
Financieros Librerías de Datos

Comerciales Control de Telecomunicaci


producción ones
Manufactura o de
Negocio Administración de Programación
la Red de Sistemas
Logísticos
Mesa de Ayuda
Auditando la organización del
Área de Sistemas
Estructura centralizada:
■ En las grandes organizaciones la
función de desarrollo de sistemas
puede descentralizarse de manera que
esté mas cercana a ambiente de trabajo
del sistema al que dará soporte
■ Se requiere una alta coordinación entre
los equipos de trabajo
Auditando la organización del
Área de Sistemas

Estructura Departamental:
Tiene las siguientes características:
■ El computador esta localizado
físicamente en el área usuaria
■ El equipo es operado por personal de
sistemas y reporta al Area usuaria
■ El equipo sólo se dedica a ejecutar las (1
ó n) aplicaciones del área usuaria
Auditando la organización del
Área de Sistemas

Estructura Departamental:
■ Generalmente no se requiere de condiciones
especiales como falso piso, aire
acondicionado,...
■ El equipo puede consistir en una red LAN o
muchos computadores enlazados a un
computador central en forma remota
(recepción/trasmisión de archivos)
Auditando la organización del
Área de Sistemas

Estructura Departamental:
■ Este Departamento generalmente es
pequeño (1 a 10 personas), consta de
uno o dos operadores y programador
de aplicaciones
■ En estos casos encontramos que estas
personas podrían realizar muchas
funciones a la vez
Auditando la organización del
Área de Sistemas

Estructura Departamental:
■ El personal de sistemas reporta al jefe del área
usuaria porque el presupuesto del
departamento incluye el costo de los recursos.
■ La responsabilidad del Departamento alcanza
las copias de respaldo, plan de contingencias,
pruebas periódicas, suministros, formatos,
etc.
Auditando la Gestión de los
Recursos TI
A) Consideraciones Financieras
B) Controles
C) Facilidades
D) Performance
E) Planeamiento de recuperación de desastre
F) Operaciones
G) Administración de cambios y problemas
4/09/06 . Hasta este punto se llegó
Auditando la Gestión de los
Recursos TI

A) Consideraciones Financieras:
Entre los puntos de atención están:
■ Planeamiento de Actividades y
dimensionamiento de recursos
■ Adquisición de Hardware y Software
■ Dimensionar el costo del servicio
informático
Auditando la Gestión de los
Recursos TI

Planeamiento: Relacionado con el Plan


estratégico de sistemas, incluye a:
■Facilidades
■Capacidad de los equipos y de la red
■Cambios y actualización de software
■Procedimientos de recuperación
■Cantidad de personal técnico requerido
Auditando la Gestión de los
Recursos TI
Planeamiento:
Los documentos a revisar son:
■Presupuestos formulados y aprobados
■Ejecución presupuestal
■Sustento de desviaciones,
modificaciones o ampliaciones
■Acuerdos de Directorio o Resoluciones
de Gerencia
Auditando la Gestión de los
Recursos TI
Adquisición de Hardware y Software:
Generalmente se refiere a:
■Mantenimiento de equipos
■Contratos de programación, y/o
desarrollo
■Adquisición, instalación e implantación
de software
■Planeamiento de capacidad
■Consultoría Informática
Auditando la Gestión de los
Recursos TI
Adquisición de Hardware y Software:
Se deben revisar y analizar:
■ Los Estudios de Necesidades de
adquisición
■Las propuestas y las bases técnicas de
los requerimientos
■La forma establecida para la adquisición
■El financiamiento de la adquisición
■Los contratos y su negociación
Auditando la Gestión de los
Recursos TI
Adquisición de Hardware y Software:
En la adquisición se debe evaluar:
■La forma sugerida: Alquiler, Leasing y
Compra
■El procedimiento seguido: Compra directa,
Invitación, Concurso Público, Licitación
■Conformación del Directorio de Proveedores
■Licencias de uso
Auditando la Gestión de los
Recursos TI
Adquisición de Hardware y Software:
En los contratos se debe evaluar:
■Objeto del Contrato
■Requerimientos técnicos
■Cronogramas, plazos de servicio y períodos
■Personal acreditado
■Especificaciones técnicas del servicio
■Compromisos establecidos entre las partes
Auditando la Gestión de los
Recursos TI
Adquisición de Hardware y Software:
Entre las técnicas de evaluación utilizadas:
■El costo efectivo de adquisición: se determina
en cuanto se reduce el costo de procesamiento
por unidad o transacción
■En cuanto se reduce el costo de
mantenimiento, evaluar precio/perfomance
■Descontar el flujo de caja o estimar el retorno
Auditando la Gestión de los
Recursos TI
Dimensionar el costo del servicio:
En las organizaciones con presupuestos
elevados de operación de los sistemas
informáticos debe evaluarse el costo del
servicio aún sí no existiera información
creada dentro de la estructura de centro
de costos de la empresa para determinar
la eficiencia del sistema
Auditando la Gestión de los
Recursos TI
B) Controles:
■En la organización: rango de personal
subordinado al responsable, segregación de
tareas, entrenamiento del personal y
reclutamiento del personal
■Aspectos financieros: Planeamiento
insuficiente, políticas de adquisición
inadecuadas, Contratos con términos pobres,
Restricciones en la cobertura de seguros
Auditando la Gestión de los
Recursos TI
C) Facilidades: Mantenimiento
– Elaboración automática de información de
fallas y problemas del sistema
– Información estadística disponible
– Instalaciones eléctricas y líneas de
conducción de datos
– Disponibilidad de UPS, Grupo
Electrógeno, equipos auxiliares
Auditando la Gestión de los
Recursos TI
C) Facilidades: Seguridad Física
■Mecanismo de prevención de accesos
innecesarios y no autorizados al ambiente de
máquinas (Computador central, Servidores)
■Mecanismos de prevención de acceso a las
áreas de operación de los equipos de cómputo
■Mecanismos de detección de accesos no
autorizados
Auditando la Gestión de los
Recursos TI
C) Facilidades : Seguridad “Ubicación de equipos”
■Lugares visibles y públicos
■Lugar aislado de ruidos y de grandes
movimientos de personas
■Lugar provisto de servicio telefónico
■Aislado de los peligros naturales
■Condiciones de protección en lugares de
riesgo natural
Auditando la Gestión de los
Recursos TI
C)Facilidades: Seguridad “Uso de detectores”:
■Humo y aire caliente
■Agua y humedad
■Partículas de combustión
■Control de temperatura
■Sistemas de intrusión
Ubicación, activación y manipulación
Criterios de selección
Auditando la Gestión de los
Recursos TI
C) Facilidades: Seguridad “Controles físicos de
acceso”:
■Llaves
■Mecanismos de acción remota
■Tarjetas magnéticas
■Sistemas biométricos
■Circuitos cerrados
■Sistemas de intrusión
Auditando la Gestión de los
Recursos TI
C) Facilidades: Consideraciones mecánicas y de
ingeniería
■Ambiente de trabajo: requerimientos de
espacio, aire acondicionado, falso piso,
eléctricos, disturbios electromagnéticos, niveles
de ruido. Cableado, distribución de aire,
mecanismos de enfriamiento.
■Requerimientos especiales: limpieza de partes,
distancia a cables eléctricos
■Protector de interrupción eléctrica: UPS, EPS
Auditando la Gestión de los
Recursos TI
D)Performance
■Niveles de servicio:
Planeamiento: definición, uso de
contratos, costo del servicio, plan de
mantenimiento preventivo, revisión de
los niveles de servicio
Control del servicio: programación del
uso de los recursos, medición de uso,
evaluación del servicio
Auditando la Gestión de los
Recursos TI
D) Performance
■Control de la performance:
– Medida de la performance de las
aplicaciones y del software utilizado
– Análisis de las desviaciones y problemas
– Criterio de selección de acciones
correctivas
– Informe al Jefe de Sistemas
– Establecimiento de la performance del
sistema
Auditando la Gestión de los
Recursos TI
D) Performance
■ Planeamiento de capacidad:
– Traslación de los servicios de
acuerdo a los requerimientos, definición
de capacidad de recursos, evaluar el costo
de superar degradaciones
Auditando la Gestión de los
Recursos TI
D) Performance
■Disponibilidad de los sistemas: Se establece entre
el tiempo de respuesta del sistema en línea y el
tiempo en que la aplicación está disponible
El control se realiza:
– Identificando, reportando y registrando problemas
– Determinando impacto y extensión del problema
– Seleccionando procedimiento by pass y recuperación
– Solucionando y previniendo recurrencia
Auditando la Gestión de los
Recursos TI
E) Planeamiento de Recuperación de
desastres
■Los criterios a considerar son: sistemas
críticos del negocio, costo de recuperación
y cubrimiento de acciones contingentes
■Utilización de copias backup, formatos
■Utilización de instalación compatible
■Procedimientos de control al restore
■Restricciones del servicio
Auditando la Gestión de los
Recursos TI
F) Operaciones
■Operaciones físicas y despacho:
– Programación de las operaciones manuales
y automatizadas
– Supervisión permanente del servicio
– Operaciones manuales: recepción,
distribución, monitoreo, emergencias
– Operaciones remotas: seguridad en
transmisión, confidencialidad
Auditando la Gestión de los
Recursos TI
F) Operaciones
■Control I/O: Recepción de datos, control
de re-ejecución de transacciones, control
de interfases y salidas (medios a utilizar)
■Distribución de reportes
■Administración de librerías y medios de
almacenamiento
■Backups y procedimientos de reinicio
Auditando la Gestión de los
Recursos TI
G) Administración de Cambios y problemas
■Caídas de los sistemas: tiempo de respuesta en
línea, tiempo de ejecución de un proceso batch,
cambios en el software, procesos con
culminación anormal, cantidad de procesos en
re-ejecución, degradación respuesta a usuarios
■Utilización de reportes de incidencias:
Tiempos de re-ejecuciones, fallas de sistemas,
estado de solución de problemas
Auditando la Gestión de los
Recursos TI
G) Administración de Cambios y problemas
■Procedimiento de escalamiento de problemas:
– Primer nivel: detectados por los usuarios
– Segundo nivel: resuelto por un operador
– Tercer nivel: resueltos por personal especializado
– Cuarto nivel: requieren asistencia de expertos
Auditando la Gestión de los
Recursos TI
G) Administración de Cambios y problemas
■Pase a producción de los programas
– Cambio del control de procesos:
requerimientos, horarios, procedimientos
de monitoreo, prueba e instalación,
restricciones de acceso
– Acciones de emergencia: rutinas criticas,
procedimientos a seguir, cambios de
funciones de librerías

You might also like