Siempre se ha dicho que una organizacin es un reflejo de las

caractersticas de su direccin, los modos y maneras de actuar de

aquella estn influenciadas por la filosofa y personalidad del
director.
En este caso nos enfocaremos en la auditoria de la Direccin,
tambin entendida como gestin en la Informtica.

 Planificar: Que este acorde al plan estratgico (conocimiento a evaluar

acciones a realizar).
Lectura y anlisis de actas, acuerdos, etc.
Lectura y anlisis de informes gerenciales.
Entrevistas con el mismo director del departamento y con los
directores de otras reas.
Organizar.
Controlar.
Coordinar

La auditora de direccin informtica no es ms que el control de

las actividades del proceso de direccin de los sistemas de
informacin. El control del funcionamiento del departamento del
sistema de informtica con el exterior o con el usuario se realiza
por medio de la direccin. Una gestin en informtica eficiente y
eficaz requiere del apoyo de su Direccin.

Existen varios tipos de planes informticos. El principal, y

origen de todos los dems, es el que marca el camino general
de evolucin de la informtica empresarial y es el Plan
Estratgico de Sistemas de Informacin.
Plan Estratgico De Sistemas De Informacin.
Otros planes relacionados

Plan operativo anual.

Plan de direccin tecnolgica
Plan de arquitectura de la informacin.
Plan de recuperacin ante desastres.

 Debe asegurar el alineamiento de los mismos con los objetivos

de negocio de la propia empresa. Existen diversas metodologas
de realizacin de este tipo de planes; el auditor deber evaluar
si tales metodologas se estn utilizando, como se estn
utilizando y/o, en caso contrario, si pueden ser de utilidad para
la empresa.
Estos planes no son de responsabilidad exclusiva de la
Direccin de Informtica, su aprobacin depende del comit de
Informtica e incluso en ltimo trmino de la Direccin General.
Su vigencia generalmente se suele definir en 3 o 4 aos, de
hecho tal plazo es muy dependiente del entorno en el que se
mueve la empresa.

El auditor deber evaluar el proceso de planificacin de S.I, adems, si se

cumplen los objetivos para el mismo. Tambin evala otros aspectos
como si:
Se presta adecuada atencin al plan estratgico de la empresa,
Se tienen en cuenta aspectos como cambios organizativos, entorno
legislativo, evolucin tecnolgica, organizacin informtica, recursos, etc..,
y sus impactos en el Plan estratgico de S.I.
Se presta adecuada consideracin de nuevas tecnologas informticas,
siempre que contribuyan a fines de la empresa y no como
experimentacin tecnolgica.
Las tareas y actividades cuentan con la adecuada asignacin de
recursos para poderlas llevarlas a cabo.

Entre las acciones a realizar, se pueden describir:

Lectura de actas de sesiones del Comit de Informtica dedicadas
a la planificacin.
Lectura y compresin detallada del Plan e identificacin de las
consideraciones incluidas en el mismo sobre los aspectos
anteriormente mencionados.
Realizacin de entrevistas al Director de Informtica y otros
miembros del Comit de Informtica.
Realizacin de entrevistas a representantes de los usuarios con el
fin de evaluar su grado de participacin y sintona con el contenido
del Plan.
Identificacin y compresin de los mecanismos existentes de
seguimiento y actualizacin del Plan.

 Se establece al comienzo de cada ejercicio (ao, normalmente) y es el

que marca las pautas a seguir y describe las actividades a realizar
durante el mismo, debe estar alineado con el Plan Estratgico, y es
una ocasin propicia para evaluar si los objetivos marcados en este
siguen siendo validos y coherentes. As mismo, debe estar precedido
de una recogida de necesidades de los usuarios.
Debe sealar los S.I a desarrollar, los cambios tecnolgicos previstos,
los recursos y los plazos necesarios, los costes anticipados, los
responsables, etc.

Una instalacin informtica puede verse afectada por cualquier tipo de

desastre, incendios, inundaciones, fallo de algn componente, robo,
sabotaje, etc. que tengan como consecuencia la indisponibilidad de un
servicio informtico adecuado.

El proceso de organizar sirve para estructurar los recursos, flujos de

informacin y los controles que permitan alcanzar los objetivos marcados
durante la planificacin.

Una de las falencias comnmente marcadas en el rea informtica, es la

falta de comunicacin de este departamento con el resto de areas de la
empresa. El comit de informtica es el lugar donde se debaten los
grandes asuntos de la informtica que afectan a toda la empresa y
permite a los usuarios conocer las necesidades del conjunto de la
organizacin.
El
comit
de
informtica
generalmente est conformado por
pocas personas y presidido por el
director mas snior, responsable en
ultimo termino de las tecnologas de
la informacin.

Parece existir un cierto censo sobre las funciones que debera

realizar un comit de informtica, o al menos, los siguientes
aspectos:
Aprobacin del Plan Estratgico de Sistemas de informacin.
Aprobacin de las grandes inversiones en tecnologa de la
informacin.
Fijacin de prioridades entre los grandes proyectos informticos.
Vehculo de discusin entre informtica y sus usuarios.
Vigila y realiza el seguimiento de la actividad de departamento de
informacin.

Al ser el mximo rgano decisorio sobre el papel de las tecnologas de la

informacin en la empresa, ninguna auditoria de la direccin de
informtica debera soslayar su revisin. El auditor deba asegurar que el
comit de informtica existe y cumple su papel adecuadamente. Para ello
deber conocer las funciones encomendadas al comit.

Entre las acciones a realizar, figuran:

Lectura de la normativa interna, si la hubiera, para conocer las
funciones que debera cumplir el comit de informtica.
Entrevistas a miembros destacados del comit con el fin de
conocer las funciones que en la prctica realiza dicho comit.
Entrevistas a los representantes de los usuarios, miembros del
comit, para conocer si entienden y estn de acuerdo con su papel
en el mismo.

El departamento de informtica debera estar suficientemente alto en la

jerarqua de la empresa y contar con masa crtica suficiente para disponer
de autoridad e independencia frente a los departamentos usuarios.
Anteriormente la informacin la manejaba el departamento financiero o de
administracin, y por tanto el esquema era encontrar el departamento de
informtica integrado dentro del mismo. Hoy en da es habitual encontrar
a los departamentos de informtica dependiendo directamente de
Direccin General.

El auditor debe realizar el emplazamiento organizativo del departamento

de informtica y evaluar su independencia frente a departamentos
usuarios.

El personal en este departamento debe tener sus funciones descritas y

sus responsabilidades claramente delimitadas y documentadas. Y todo
ello es una labor que compete, en gran medida, a la Direccin de
Informtica.
Aseguramiento de la calidad
La calidad de los servicios ofrecidos por el departamento de informtica
debe estar asegurada mediante el establecimiento de una funcin
organizativa de aseguramiento de la calidad.
Esta funcin lleva el control de calidad de los servicios informticos, y es
muy importante que esta funcin tenga el respaldo de la direccin y sea
percibido as por el resto del departamento.

El auditor deber comprobar que las descripciones estn documentadas

y son actuales y que las unidades organizativas informticas las conocen,
las comprenden y desarrollan su labor de acuerdo a las mismas.
Entre las tareas que el auditor debe realizar, estn:
Examen del organigrama del departamento de informtica e
identificacin de las grandes unidades organizativas.
Revisin de la documentacin existente para conocer la
descripcin de las funciones y responsabilidades.

 Entrevistas a los directores de cada rea verificando que conozcan

cada una de sus responsabilidades y que ests correspondan a
las descripciones existentes en la documentacin correspondiente.
Observacin de las actividades del personal para analizar, en la
prctica, las funciones realizadas, la segregacin entre las mismas
y el grado de cumplimiento con la documentacin analizada.

Deben existir estndares de funcionamiento y procedimientos que

gobiernen la actividad del departamento de informtica por un lado, y sus
relaciones con los departamentos usuarios, por otro. Dichos estndares
deberan estar documentados, actualizados y comunicados a todos los
departamentos afectados.
Tambin, deben existir documentadas descripciones de los puestos de
trabajo, delimitando claramente la autoridad y la responsabilidad en cada
caso, adems de los conocimientos tcnicos y/o experiencia necesarios
para cada puesto de trabajo.

Acciones a realizar:
Revisin de los estndares y procedimientos existentes para
evaluar si trasmiten y promueven una filosofa adecuada de
control.
Evaluacin de su adecuacin, grado de actualizacin y nivel de
cobertura de las actividades informticas y de las relaciones con
los departamentos usuarios.
Revisin de las descripciones de los puestos de trabajo para
evaluar si reflejan las actividades realizadas en la prctica.

La calidad de los recursos humanos influye directamente en la calidad de

los sistemas de informacin producidos, mantenidos y operados por el
departamento de informtica. Adems, parte de los recursos humanos
necesarios en una instalacin informtica son grandes expertos tcnicos.
Seleccionarlos, mantenerlos y motivarlos adecuadamente puede ser
crucial para una buena marcha de la informacin y su papel en la
empresa.

El auditor deber evaluar:

La seleccin de personal se basa en criterios objetivos y tiene en

cuenta la formacin, experiencia y niveles de responsabilidad
anteriores.
El desempeo de cada empleado se evala en base a
estndares establecidos y en base a un ciclo peridico (anual,
normalmente) de evolucin.
Existen procesos para la promocin del personal que tienen en
cuenta su desempeo profesional.

Entre las acciones a realizar, se puede citar:

Conocimiento y evaluacin de los procesos utilizados para cubrir

vacantes en el departamento de informtica, bien sea por promocin
interna, bsqueda directa de personal externo, utilizacin de empresas
de seleccin de personal o de trabajo temporal.

Revisin de los procedimientos para la finalizacin de contratos.

El auditor deber evaluar las caractersticas de la comunicacin entre la
direccin y el personal de informtica. Utilizando cualquier actividad
descrita anteriormente o a travs de entrevistas informales con el
personal del departamento.

La tarea de dirigir no puede considerarse completa sin esta faceta que

forma parte indisoluble de tal responsabilidad.
Control y seguimiento
Se ha de vigilar la elaboracin de los planes estratgicos y operativos y de
los proyectos que se desarrollan, la ejecucin del presupuesto, la
evolucin de los costes, los planes de formacin y de los otros recursos
(espacio en disco, comunicaciones, capacidad de las impresoras), etc.
Es conveniente que existan estndares de rendimiento con los cuales
comparar, entre ellos y para gobernar las relaciones del departamento de
informtica con los usuarios existe los llamados Acuerdos de Nivel de
Servicio (ANS, tambin llamados Service Level Agreements o SLA su
sigla en ingls).

Los ANS constituyen documentos que reflejan un acuerdo entre dos

partes, el Departamento de Informtica y los usuarios. Entre sus
ventajas, se pueden mencionar:

Permite objetivar las relaciones entre el Departamento de

Informtica y los usuarios de tal manera que una parte conoce que
servicios tiene que suministrar y la otra que servicios y en qu
forma debe esperar recibir.
Los ANS son aplicables en diferentes facetas de produccin del
departamento hacia los usuarios, suele tener validez anual.

Entre las acciones a realizar, se puede mencionar:

Conocimiento y anlisis de los procesos existentes en el

Departamento para llevar a cabo el seguimiento y el control.
Conocimiento y anlisis de los procesos existentes para la
negociacin de los ANS y acuerdo con los usuarios.

Imagen
de
que
es
http://es.slideshare.net/jcfdezmxestra/que-es-planificar
Imagen Plan http://www.sumafraternidad.org/web/archivos/1997

planificar

Se trata de prever la utilizacin de las tecnologas de la

informacin en la empresa. Dicha previsin debe ser plasmada
en documentos llamados planes. Los documentos llamados
planes demuestran, adems, varias cosas:
Ha existido una actividad consciente de consideracin del
futuro, anlisis de alternativas y de evaluacin de riesgos.
Sirven para marcar un camino, poner objetivos, tareas,
plazos, y responsables.
Son muy tiles como elemento de referencia para medir el
avance de la organizacin diseo, entre otras cosas.

Contenido

Conceptos Bsicos de Auditora Informtica

Justificacin

Objetivos

Ejemplos

Primero: Que es la
auditora?

Es la revisin independiente que

realiza un auditor profesional,
aplicando tcnicas, mtodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organizacin,
as como dictaminar sobre el
resultado de dicha evaluacin.

Muoz (2002,34)

Administracin de la
Configuracin de
Bases de Datos

Justificacin

Recursos
TICs

Fuente: Rodrguez (2006)

La productividad de cualquier organizacin depende del funcionamiento

ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crtico adicional (Rodrguez, 2006:3).

Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del
usuario,
tecnologa
inadecuada,
fallas
en
la
transmisin,
inexistencia
de
antivirus, entre otros.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Impacto
Consecuencias
de
la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reduccin de eficiencia, fallas
operativas a corto o largo
plazo, prdida de vidas
humanas, etc.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)

Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa

Disuasivos

Tratar de
deevitar
evitarel
el
Tratar
Cuando
fallanlos
los
Cuando
fallan
hecho
hecho
preventivospara
para
preventivos
tratar de
deconocer
conocer
tratar
cuantoantes
antesel
el
cuanto
evento
evento

Preventivos
Amenaza o
Riesgo

PlataformaInformtica
Informtica
Plataforma

Vueltaaala
la
Vuelta
normalidadcuando
cuando
normalidad
sehan
hanproducido
producido Detectivo
se
incidencias
incidencias

Operatividad

Tmin
Correctivo

Ejemplo: Supongamos la siguiente situacin

Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).

Estado Actual de la empresa

0 No se aplican procesos administrativos en lo absoluto

1 Los procesos son ad-hoc y desorganizados

Promedio de la Industria
Objetivo de la empresa

2 Los procesos siguen un patrn regular

3 Los procesos se documentan y se comunican
4 Los procesos se monitorean y se miden
5 Las buenas prcticas se siguen y se automatizan

Bibliografa Referencial
AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com
(Consulta: Noviembre 2006).
ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin.
McGraw Hill. Mxico.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).
COBIT, marco referencial, objetivos de control para la informacin y
tecnologa afines. 2da Edicin.
MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales.
Pearson-Prentice Hall. Mxico.
RODRGUEZ R., FERNANDO (2006). Auditora Informtica en la
Administracin: un reto para los profesionales TIC. Tecnimap. Comunicacin
No. 043. Espaa.
PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Un
enfoque prctico. Editorial RAMA. Espaa.
RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemas
de Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa.
SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security
Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
VEGA, JAIME (2003). Auditora de sistemas. Seccin 9. Captulo 53.
Enciclopedia de Auditora. Editorial Ocano Centrum. Espaa .

Bibliografa Referencial