Auditoras Proactivas del Gobierno de TI

RODOLFO SZUSTER, CISA CIA CBA GERENTE AUDITORIA INTERNA TARSHOP SA

PRESIDENTE ISACA BUENOS AIRES CHAPTER

RODOLFO SZUSTER, CISA CIA CBA Actualmente:

Presidente de ISACA BsAs Chapter, miembro del Professional Standards and Career

Management Committee de ISACA Intl. y

Gerente de Auditora en Tarshop SA, empresa del Grupo Banco Hipotecario.

Contador Publico, UADE Postgrados en Gobierno y Control de Sistemas de

Informacin y de Calidad en Empresas de Servicios,

en AUSTRAL. Programa Ejecutivo de Desarrollo en

Management San Andrs. Certificados: CISA(ISACA) CIA(The IIA) CBA (BAI). Inspector de la Superintendencia de Entidades

Financieras y Cambiarias del BCRA.

Gerente de las reas de Auditora de TI, Seguridad de la informacin y Desarrollo de Software en Banco

Patagonia;

Gerente externo de Proyectos de TI para Banco Supervielle.

Gerente Auditora Interna Tarshop SA

Presidente ISACA BsAs Chapter

{Su foto}

AUDITORIA

Agenda

- Enfoque de auditora proactiva,

- Mejora Continua

elevando el nivel de madurez,

- TI en la actualidad un reto superador al negocio !

- Gobierno de TI una visin prctica,

- Tips para Auditoras Proactivas

del Gobierno de TI,

Enfoque de Auditora Proactiva. Transformando a los actores de la auditora en

PROTAGONISTAS

Enfoque de Auditora Proactiva. Transformando a los actores de la auditora en

PROTAGONISTAS

- Cmo y Qu hago?

- Agregando valor.

- Quitando prejuicios. Escucha activa del auditado y su entorno

- Sin poder suficiente no se puede.

- Alcance: Prometer solo lo que se pueda cumplir.

- Controles basados en riesgos.

- Preventivos vs. detectivos y reactivos

- Estndares servidos a la carta! COBIT5 Benchmark. - Auditar por y para un (EL) negocio sustentado en principios de

buen Gobierno Corporativo.

- Nivel de capacitacin. Conocer la carga de cada encargo.

- Generando confianza

- Observaciones recurrentes.

- Qu est mal vs. Qu es lo que falta ?

- Viendo una pelcula ms all de la foto.

Mejora Continua

elevando el nivel de madurez

TI en la actualidad

un reto superador al negocio !

Madurez requeridas por normativas ...

Speed to market: precisin y rapidez de la mano ...

Igualarse a la competencia para despus diferenciarse ...

Excelencia en la calidad de servicio ...

Posicionarse como lderes ... Productos en gndola ... Poltica de flexibilidad ... Etc. Etc. Etc.

Gobierno de TI

una visin prctica,

Stra

tegic

Align

men

tValue

Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

DomainsDomains

Stra

tegic

Align

men

tValue

Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

Stra

tegic

Align

men

tValue

Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

DomainsDomains

Stra

tegic

Align

men

tValue

Delivery

Ris

k M

anagem

ent

Resource Management

Perfo

rmance

Measu

rem

ent

IT IT GovernanceGovernance

Liderazgo, procesos y estructura

que garantice que la TI habilita y

soporta las estrategias y los objetivos

organizacionales definiendo:

1. Cuales decisiones claves deben ser

tomadas

2. Quien es responsable de las

mismas

3. Como deben ser ejecutadas

4. El proceso y las estructuras que lo

soportan, incluyendo el monitoreo

de aceptacin del proceso y la

efectividad de las decisiones

Gobierno de TI una visin estragica ,

- Auditando el gobierno de TI y la administracin de sus riesgos - Existe una estructura organizativa de TI slida?

- Est comunicada a la Organizacin?

- Fluye con autoridad suficiente?

- Participa de las decisiones importantes?

- Est alineada la Organizacin?

- Estn alineados al negocio los proyectos de TI? - El presupuesto se invierte de manera adecuada?

- Estn debidamente informatizadas las lneas criticas del negocio?

- Se llega a tiempo con el time to market?

- Hay metodologas customizadas a la cultura inherente a la empresa? - Se invierte mas en templates que en valor agregado?

- Se ha trazado una lnea de crecimiento en la madurez al futuro?

- Los recursos estn siendo capacitados en lnea al avance tecnolgico? - Hay un plan de capacitacin acorde al Plan de Tecnologa a futuro?

- Est garantizada la estrategia de knowledge management?

Tips para Auditoras Proactivas .

- Auditando el gobierno de TI y la administracin de sus riesgos (cont.) - Son identificados los riesgos y hay planes de remediacin?

- Se anticipan los problemas para su mitigacin?

- Antes de lanzar un proyecto se verifica la disponibilidad de presupuesto y recursos?

- Estn adecuadamente conformados los grupos del proyecto?

- Los activos de TI estn inventariados y su mantenimiento controlado? - Todas las adquisiciones e implementaciones pasan por el rea de TI?

- Antes de realizar inversiones se verifica que se tiene y como se utiliza?

- El alcance de un nuevo proyecto establece como se efectuar su mantenimiento luego de la implantacin?

- Los recursos crticos estn cubiertos por procesamiento alternativo? - Est asegurada la operacin continua de los procesos crticos?

- Existe un plan de contingencia probado y actualizado?

Tips para Auditoras Proactivas .

- Auditando la gestin de proteccin de los activos de

informacin - Administracin de la seguridad informtica

- Existen polticas robustas?

- Se cubren todos los ambientes?

- Hay recursos bien capacitados?

- Gestin de los riesgos de los activos de informacin

- Est definido quin es el dueo del dato?

- Hay un mapa de activos de informacin completo?

- Estn establecidas las polticas de, por ejemplo: acceso y retencin?

- Respuesta ante Incidentes

- Hay un procedimiento comunicado de manejo de incidentes?

- Se toman acciones preventivas y correctivas a partir de los incidentes?

Tips para Auditoras Proactivas .

Auditando la administracin de proyectos

Est la Organizacin preparada culturalmente y en madurez suficiente para este tipo de procesos?

Hay metodologa para el seguimiento y control de los proyectos?

Se ha customizado la metodologa a la realidad cultural de la empresa?

Los cuadros de indicadores estn elaborados sobre lo que realmente se necesita saber?

Hay una estructura para el adecuado funcionamiento de la PMO?

Existe metodologa para identificar y tratar a los cambios de alcances?

Tips para Auditoras Proactivas .

Auditando el ciclo de desarrollo de software Existen metodologas?

Hay QA? cual su rol y como lo hace?

Quin habla con el cliente final?

Quin aprueba el desarrollo?

Los ambientes no productivos, son tan robustos como se necesita?

Quin custodia los prog. fuentes? Cmo lo hace?

Cul es el proceso para control de los cambios de emergencia?

Cmo se gestiona el conocimiento? Dnde reside el conocimiento?

Cmo se limita la dependencia del programador?

Es conocido el capacity del rea? Como se comprometen las fechas de entrega?

Se registran las horas? Hay un proceso de facturacin del servicio interno?

Tips para Auditoras Proactivas .

Auditando la entrega y soporte de servicios de TI Estn alineados los esfuerzos respecto al ciclo de desarrollo?

Hay penalidades contractuales establecidas?

El capacity plan est reevaluado peridicamente?

Si se terceriza; quin tiene los manuales de operacin?

Es homognea la infraestructura de los nuevos proyectos?

A quin se llama si algo no funciona? Estructura basada en compromiso

El help desk tiene bitcora de problemas recurrentes? Se lleva adelante el enfoque de Toyota? Se escalan adecuadamente los problemas?

Tips para Auditoras Proactivas .

Informacin de Contacto

RODOLFO SZUSTER, CISA CIA CBA

Rodolfo.Szuster@tarshop.com.ar

Rodolfo.Szuster@adacsi.org.ar

(5411) 4340-3414

Preguntas y Respuestas

Muchas Gracias

por su atencin!