View
201
Download
5
Embed Size (px)
Citation preview
P RO P UE S TA DE UN M O DE L O DE AUDI TO RI AS E N T E CNO L O G Í AS DE
I NF O RM ACI Ó N E NF O CAD A A CO NO CE R S U
UNIVERSIDAD LA SALLE
I NF O RM ACI Ó N E NF O CAD A A CO NO CE R S U BE NE F I C I O CUANT I TAT I V O PAR A L A
E M P RE S A.
TESISQ U E PA R A O B T E N E R E L G R A D O D E M A E S T R O
E N T E C N O L O G Í A S D E I N F O R M A C I Ó N
C A R L O S R A Ú L M A L D O N A D O L E G A R I A
2 2 D E F E B R E R O 2 0 1 3
Contenido
1. Límites y Alcance.
2. Hipótesis.
3. Uso de las tecnologías de información.
4. La administración actual de las tecnologías de información.
5. Como medir la entrega de valor
6. Problemática actual en la gestión de las TI.6. Problemática actual en la gestión de las TI.
7. Problemática en la ejecución de auditorías en TI.
8. Modelo propuesto
9. Beneficios esperados
10. Construcción del modelo
11. Resultados esperados
12. Consideraciones a futuro
13. Conclusiones
Limite y Alcance
Diseñar un modelo, que ayude a los auditores internos a
poder interpretar e identificar los aspectos de control quepoder interpretar e identificar los aspectos de control que
permitan asegurar el cumplimiento con los objetivos del
negocio a través del uso de las tecnologías de información.
Hipótesis
Con el diseño de un modelo de auditoría cuantitativa, será
posible para el auditor en tecnología de información poder
presentar informes detallados a la Alta Dirección que reflejen
los beneficios que se han obtenido al adquirir, implementar olos beneficios que se han obtenido al adquirir, implementar o
administrar diversas soluciones tecnológicas para el logro de
los objetivos de la empresa.
Origen y uso de lastecnologías de información
El nacimiento y evolución de las
computadoras, redes y bases de
datos han marcado un cambio
significativo en la manera en comosignificativo en la manera en como
las empresas hacen negocios,
producen bienes y servicios y son
distribuidos a sus clientes locales e
internacionales.
Origen y uso de lastecnologías de información
La interconexión de las computadoras, el
almacenamiento de grandes cantidades de datos, el
procesamiento en segundos de estos datos ha
propiciado que las empresas puedan tomar
decisiones de manera oportuna y precisa, así como
poder ahorrar costos de operación y poder ofrecer
nuevos productos y servicios.
La administración actual de las tecnologías de información
La adopción de estas nuevas tecnologías de información,
propiciaron una nueva forma de administrarlos ya que estos
recursos son limitados y generan un costo para la
administración y su operación. Conforme las TI son másadministración y su operación. Conforme las TI son más
importantes para las empresas surgen marcos de referencia
que permiten optimizar dichos recursos.
Gobierno de TI: Es la capacidad de la dirección del área de TI para poder
tomar decisiones que permita el logro y cumplimiento de los objetivos del
negocio.
La administración actual de las tecnologías de información
Como medir la entrega de valor
Entrega de Valor
Entrega de Valor
Tecnologías de
Información
Tecnologías de
Información
Gobierno de TI
Gobierno de TI
Como medir la entrega de valor
� Falta de claridad en los beneficios que se esperan obtener.
� Comunicación deficiente entre el área usuaria y el área de TI.
� Desconocimiento sobre la tecnología que se va a adq uirir.
� Cambios constantes en los alcances y metas esperada s.Principales Principales
� Cambios constantes en los alcances y metas esperada s.
� Personal poco preparado para poder implementar y ge stionar la tecnología.
� Cambios en las tendencias tecnológicas o de mercado .
� Incumplimiento en las fechas.
� Mala calidad de los entregables.
Principales Principales RetosRetos
1. Identificar y priorizar las áreas clave para la inversión mediante la alineación con los objetivos del negocio
2. Mostrar el impacto de la iniciativa de las tecnologías sobre el negocio
Como medir la entrega de valor
negocio
3. Mostrar los beneficios individuales o por departamentos que se obtendrán.
4. Justificar los beneficios económicos que se pueden obtener.
Problemática actual en la gestión de las TI
Actualmente las empresas realizan grandes esfuerzos en la inversión de tecnología que permita la solución de diversos problemas a las que se enfrenta, entre las que podemos mencionar:
a) Dinamismo de mercado.b) Alta competitividad.c) Reducción de costos.d) Nuevas y mas estrictas normatividades con respecto al manejo de la
información.e) Competencia global.
Problemática actual del áreade auditoria en TI
Identificación de riesgos
Problemática Actual
Leyes y Regulaciones Genéricas
Complejidad de las TI
Dudas sobre los Beneficios
Obtenidos
Modelo propuesto
� Para poder formular la propuesta para este modelo, debemos de partirde la primicia de que actualmente existen diferentes marcos dereferencia que permiten al auditor a poder realizar su trabajo, dentro deellos podemos mencionar los Objetivos de Control de Tecnologías deInformación (COBIT) y la serie de estándares internacionales de lafamilia ISO 27000.
Beneficios esperados
Beneficios Beneficios TangiblesTangibles
Beneficios Beneficios IntangiblesIntangibles
a. Mayor eficiencia del personala. Reducción de tiempo para el procesamiento de a. Mayor eficiencia del personalb. Mayor satisfacción del cliente c. Cumplimiento regulatoriosd. Mejor ambiente laborale. Optimización de recursosf. Mejorar la imagen de la empresag. Mayor competitividadh. Capacidad de adelantarse a eventos
futuros.a. Reducción de re procesos y errores.b. Mejor control sobre los recursos
tecnológicos y de la información.
a. Reducción de tiempo para el procesamiento de información
b. Movilidad c. Acceso a la información en cualquier parted. Calidad de la informacióne. Reducción de costosf. Calidad de los reportesg. Toma de decisiones en menor tiempoh. Mejor control sobre la informacióni. Capacidad de estar mejor comunicado con el
cliente
Construcción del modelo
Servicio
Ponderación Ponderación Ponderación Ponderación Ponderación Ponderación
Beneficio
TI
Control Control Control Control
Atributo Atributo Atributo Atributo Atributo Atributo
Construcción del modelo
Construcción del modelo
Servicio Servicio
a. Comunicación
b. Movilidad
c. Accesibilidad
d. Almacenamiento
e. ProcesamientoServicio Servicio SoportadoSoportado
e. Procesamiento
f. Toma de decisiones
g. Legal o Regulatorio
h. Imagen Corporativa
i. Envío de información
j. Gobernabilidad
Construcción del modelo
0: No hay control. Hay una carencia completa de un proceso
reconocible. La alta dirección no ha reconocido si quiera que
exista un problema que resolver.
1: Existe un control pero no es gestionado de manera estándar y son
los controles administrados de manera subjetiva y reactiva a los
problemas.
PonderaciónPonderación
2: Existe un control y sus procesos de gestión son repetibles y están
documentados.
3: Existe un control y sus procesos están debidamente gestionados y
documentados pero no se cuentan con mecanismos de monitoreo y
control.
4: Existe un control con sus debidos procesos de gestión, son
aplicados sin ningún problema y se cuentan con mecanismos de
monitoreo que permiten identificar el grado de efectividad del
sistema.
Construcción del modelo
1. Reducción de tiempo para el procesamiento de información
2. Movilidad
3. Acceso a la información en cualquier parte
4. Calidad de la información
5. Reducción de costos
6. Calidad de los reportes
7. Toma de decisiones en menor tiempo
8. Mejor control sobre la información
BeneficioBeneficio
8. Mejor control sobre la información
9. Capacidad de estar mejor comunicado con el cliente
10. Mayor eficiencia del personal
11. Mayor satisfacción del cliente
12. Cumplimiento regulatorios
13. Mejor ambiente laboral
14. Optimización de recursos
15. Mejorar la imagen de la empresa
16. Mayor competitividad
17. Capacidad de adelantarse a eventos futuros.
18. Reducción de re procesos y errores.
19. Mejor control sobre los recursos tecnológicos y de la
información.
Construcción del modelo
Entre los beneficios que se pretenden obtener con este modelo podemosmencionar:
� Homologación de criterios y beneficios que se deberían de esperarobtener por ello.
� Facilitar al Auditor en TI y el área auditada en poder identificar los� Facilitar al Auditor en TI y el área auditada en poder identificar losbeneficios tangibles e intangibles.
� Reducción en los tiempos para la identificación de beneficios realespara la empresa.
� Poder brindar un valor agregado del área de auditoría en TI hacia laempresa permitiendo maximizar no solo los costos de inversión y degasto en tecnología sino que sea capaz de tener una visión masintegral de los beneficios intangibles que recibe la empresa gracias a latecnología de información que ha sido adaptada.
Resultados esperados
� Con la matriz que se ha generado se espera que los auditores en tecnologías de información al momento de realizar una revisión sobre un proceso dentro del área de sistemas pueda identificar no solo brechas relacionadas a la falta de control o posibles riesgos asociados a la tecnología sino que sea capaz de poder identificar si la tecnología adoptada esta generando algún tipo de beneficio para la empresa.
� Se esta bajo la premisa de que este modelo es susceptible de cambios y � Se esta bajo la premisa de que este modelo es susceptible de cambios y adaptaciones futuras así como entender que dependiendo de la madurez de la empresa (objetivos, cultura, estrategia, métricas, comunicación, su visión y misión) este modelo podrá ser útil.
� Se debe de entender que este campo de auditoría es relativamente nuevo y aún no se ha logrado entender completamente el alcance y utilidad de la auditoría en tecnologías de información, creo que en los próximos años las funciones que realiza el auditor especializado en este tema deberán de buscar con una visión integral lo que sucede entre las áreas de sistemas y la empresa como tal.
Resultados esperados
Resultados esperados
Consideraciones a Futuro
� El modelo propuesto pasará por un proceso de adaptación a las
condiciones de la empresa, cultura organizacional y gobierno de TI.
� Una vez madurado el modelo facilitará al auditor a crear un nuevo
enfoque orientado no solo al riesgo y cumplimiento, sino orientado a
como se genera valor en la empresa a través de TI.
� Facilitará la interpretación de los resultados de una manera más rápida
y sencilla para la dirección y personal que carece conocimientos en TI.
� Permitirá identificar que tecnologías de información no están siendo
bien administradas en beneficio de la organización.
Conclusiones
� Las empresas han invertido, en ocasiones, excesivamente enherramientas tecnológicas que no permiten alcanzar los objetivospreviamente establecidos, siendo el área de auditoría en TIresponsable no solo de revisar la gestión y control de los mismos sehace necesario que se apoye de manera más directa para poderproponer mejoras de fondo que permitan el alcanzar los beneficiosesperados.esperados.
� El principal reto al que nos enfrentamos los auditores en TI, es que enmuchas ocasiones la falta de seguimiento y análisis en los beneficiosque se esperan obtener, con este modelo propuesto se esperaría queel área de auditoría pueda generar valor agregado al momento de susrevisiones para así poder cumplir con las expectativas de la direccióngeneral.