Ingeniera en Tecnologas de la

Informacin
Y Comunicaciones

Auditoria de TI
Investigacin:
Unidad 2
Auditora De La Direccin
Informtica

SEGURIDAD DE TI | Unidad 1

Contenido
Introduccin ........................................................................................................................................ 3
2.1. Examen de organigrama .............................................................................................................. 3
2.2. Revisin de la documentacin relacionada con la direccin ....................................................... 3
Plan operativo anual ....................................................................................................................... 4
Plan de recuperacin ante desastres .............................................................................................. 5
2.3. Entrevistas a directivos ................................................................................................................ 5
2.4. Evaluacin .................................................................................................................................... 5
Conclusin ........................................................................................................................................... 6
Referencias .......................................................................................................................................... 7

Introduccin
La empresa o entidad que solicita una Auditoria de TI, incluso actualmente, lo hace porque consta
de una serie de debilidades y/o amenazas provenientes de los sistemas de informacin. Cuando
necesita de este tipo de servicio en realidad lo que est demandando es la solucin de sus problemas
en trminos de eficiencia de sus sistemas, ms que la verificacin o una revisin del cumplimiento
de los controles establecidos. Es decir, pretende un asesoramiento especializado en la gestin de
dichos sistemas, funcin ms cercana, como vemos, la consultora.
El anlisis de los procedimientos, necesario para una primera evaluacin de las fuerzas y debilidades
del sistema, se har esencialmente a travs los siguientes puntos:
Entrevistas a los responsables del servicio de informtica y, por lo general, a los principales
servicios de usuarios.
Un trabajo sobre el conjunto de los documentos disponibles en el servicio: plan informtico,
normas internas, organigramas, plan de seguridad, etc.

2.1. Examen de organigrama

Siempre se ha dicho que una organizacin es el reflejo de las caractersticas de su direccin. Los
modos y las maneras de actuar de aquella estn influenciados por la filosofa y la personalidad de la
segunda, es decir, la principal influencia que reciben viene inducida desde la propia direccin
informtica. De una manera general se podra decir que algunas de las principales actividades
bsicas de todo proceso de direccin son:

Planificar
Organizar
Coordinar
Controlar

2.2. Revisin de la documentacin relacionada con la direccin

Existen varios tipos de planes informticos, el principal y origen de todos los dems es el que marca
el camino general de evolucin de la informtica empresarial y que se denomina: Plan Estratgico
de Sistemas de Informacin, que es el marco bsico de actuacin de los Sistemas de Informacin en
la empresa y debe alinear a los sistemas con los objetivos del negocio de la propia empresa. Los
documentos llamados planes demuestran varias cosas entre ellas lo siguiente:
o
o
o
o

Que se ha reflexionado sobre el objeto del documento y, por tanto, ha existido una actividad
consistente de consideracin del futuro, de anlisis de alternativas y evaluacin de riesgos.
Marcan un camino, ponen objetivos, tareas, plazos y responsables.
Son elementos de referencia para medir el avance de la organizacin que los diseo.
Experiencia, lo que redundara en una mejora general del proceso.

El auditor deber examinar el proceso de planificacin de sistemas de informacin y evaluar si

razonablemente se cumplen los objetivos para el mismo. Entre otros aspectos, deber evaluar si:

Se presta adecuada atencin al plan estratgico de la empresa, se establecen mecanismos

de sincronizacin entre los grandes hitos y los proyectos informticos asociados y tienen en
cuenta aspectos como cambios organizativos, entorno legislativo, evolucin tecnolgica,
organizacin informtica, recursos, etc. La evaluacin de la consideracin hacia las nuevas
tecnologas deber desde un punto de vista de su contribucin a los fines de la empresa y
no como experimentacin tecnolgica.
Las tareas y actividades presentes tiene la correspondiente y adecuada asignacin de
recursos para poder llevarlas a cabo. As mismo planes de consecucin realistas en funcin
de la situacin actual de la empresa, de la organizacin informtica, del estado de la
tecnologa, de experiencias pasadas, etc.
Algunas de las acciones a realizar se describen a continuacin:
Lectura de actas de sesin del comit de informtica dedicadas a la planeacin
estratgica.
Identificacin y lectura de los documentos intermedios prescritos por la metodologa
de planificacin.
Lectura y comprensin detallada del Plan e identificacin de las consideraciones
incluidas en el mismo sobre los objetivos empresariales, cambios organizativos,
evolucin tecnolgica, plazos y niveles de recursos.
Realizacin de entrevistas al Director Informtico y otros miembros de Comit de
Informtica participantes en el proceso de la elaboracin del plan estratgico.
Entrevistas a representantes de los usuarios con el fin de evaluar su grado de
participacin y sintona con el contenido del Plan.
Identificacin y obtencin de los mecanismos existentes de seguimiento y actualizacin
del Plan y de su relacin con la evolucin de la empresa.
Otros planes relacionados, normalmente, todo ellos son nacidos del Plan Estratgico, algunos de los
planes aparecen algunas veces incluidos en el plan estratgico, el primero y el ultimo plan
mencionado en la siguiente lista, son los que tiene vida propia. Entre los ms habituales suelen ser:

Plan operativo anual

Plan de direccin tecnolgica
Plan de arquitectura de la informacin
Plan de recuperacin ante desastres

Plan operativo anual

Se establece al comienzo de cada ejercicio (ao, normalmente) y es el que marca las pautas a seguir
durante el mismo, describe las actividades a realizar durante el siguiente ejercicio natural, seala
sistemas de informacin a desarrollar, cambios tecnolgicos previstos, los recursos y plazos
necesarios, los costes anticipados los responsables, etc.
El auditor deber evaluar la existencia del plan y su nivel de calidad, el alineamiento con el plan
estratgico, su grado de atencin con las necesidades de los usuarios, sus previsiones de los recursos

necesarios para llevar a cabo el plan, analizar si los plazos descritos son realistas teniendo en cuenta
la experiencias anteriores de la empresa.

Plan de recuperacin ante desastres

Una instalacin informtica puede verse afectada por desastres de variada naturaleza: incendio,
inundacin, fallo de algn componente crtico de hardware, robo, sabotaje, acto de terrorismo, etc.
Que tengan como consecuencia inmediata la disponibilidad. La direccin informtica debe actuar
como impulsor de este plan, sin embargo la responsabilidad de hacer frente a este tipo de riesgos
es de la direccin general de la empresa.

2.3. Entrevistas a directivos

Al ser el mximo rgano decisorio sobre el papel de las tecnologas de la informacin de la empresa,
ninguna auditoria de la direccin informtica debera soslayar su revisin. El auditor deber revisar
el emplazamiento organizativo del Departamento de Informtica y evaluar su independencia frente
a departamentos usuarios. Para este proceso, ser til realizar entrevistas con el director de
informtica y directores de algunos departamentos usuarios para conocer su precepcin sobre el
grado de independencia y atencin de este departamento. Adems de las entrevistas con los
responsables del desarrollo y de la explotacin del sistema, se programan igualmente entrevistas
con los principales usuarios involucrados.

2.4. Evaluacin
La gestin de los recursos humanos en uno de los elementos crticos en la estructura general
informtica. Seleccionarlos, mantenerlos y motivarlos adecuadamente puede ser crucial para la
buena marcha de la informtica y su papel en la empresa. El auditor deber evaluar que:

La seleccin del personal se basa en criterios objetivos y tiene en cuenta la formacin,

experiencia y niveles de responsabilidad anteriores.
El desempeo de cada empleado se evala regularmente en base a estndares
establecidos y responsabilidades especficas del puesto de trabajo.
Existen procesos para determinar necesidades de formacin de los empleados en base a
su experiencia, puesto de trabajo, responsabilidad y desarrollo futuro personal y
tecnolgico de la instalacin.
Existen procesos para la promocin del personal que tiene en cuenta se desempe
profesional.
Existen controles que tienen a asegurar que el cambio de puesto de trabajo y
formalizacin de los contratos laborales no afectan ambos controles internos y a la
seguridad informtica.

El auditor deber evaluar que todos los aspectos anteriores estn en lnea con las polticas y
procedimientos de la empresa. Entre las acciones a realizar:
Conocimiento y evaluacin de los procesos utilizados para cubrir vacantes del
departamento de informtica.

Anlisis de cifras de rotacin de personal, niveles de ausentismo laboral y estadsticas

de proyectos terminados fuera del presupuesto y del plazo.
Realizacin de entrevistas al personal del departamento para determinar su
conocimiento de las responsabilidades asociadas a su puesto de trabajo.
Revisin del calendario de cursos, descripciones de los mismos, mtodos y tcnicas de
enseanza.
Revisin de procedimientos para la finalizacin de contratos.

Conclusin
El aspecto fundamental a resaltar del auditor es de comprobar que las descripciones estn
documentadas y son actuales y que las unidades organizativas informticas las conocen y
comprenden y desarrollan su labor de acuerdo con las mismas. Entre las tareas principales del
auditor estn:
Examen del organigrama del departamento de informtica e identificacin de las grande
unidades organizativas.
Revisin de la documentacin existente para conocer la descripcin de las funciones y
responsabilidades.
Realizacin de entrevistas a los directores de cada una de las grandes unidades
organizativas para determinar su conocimiento de las responsabilidades de su unidad y que
estas responden a las descripciones existentes en la documentacin correspondientes y a
actuacin en el da a da operativo.
Examen de las funciones para evaluar si existe adecuada segregacin de funciones,
incluyendo la separacin entre desarrollo de sistemas de informacin, produccin y
departamentos usuarios y la independencia de la funcin de seguridad.
Observacin de las actividades del personal del departamento para analizar, en la prctica,
las funciones realizadas, la segregacin entre las mismas y el grado de cumplimiento con la
documentacin analizada.

Referencias
[1] Mur Bohigas, Alfonso, Los servicios de auditora interna de sistemas de informacin,
Seminario Auditoria de los Sistemas de Informacin y Control Interno(AUDISI2000),
organizado por Informticos Europeos Expertos, Madrid, febrero 2000.
[2] Lora Lara, B. y Serrano, F., La auditora a debate: presente y futuro, en Partida Doble, n
65, marzo 1996, pginas 55 y ss.
[3] Piattini, Mario, Del Peso; Emilio y del peso Mar (2008). Auditoria de tecnologas y
sistemas de informacin. Mxico: Alfaomega Grupo Editor. T58.5.P53
[4] Derrien, Yann (1995). Tcnicas de la auditoria informtica. Mxico: Alfaomega grupo
Editor.Hf5679.D47