26
PROPUESTA DE UN MODELO DE AUDITORIAS EN TECNOLOGÍAS DE INFORMACIÓN ENFOCADA A CONOCER SU UNIVERSIDAD LA SALLE INFORMACIÓN ENFOCADA A CONOCER SU BENEFICIO CUANTITATIVO PARA LA EMPRESA. TESIS QUE PARA OBTENER EL GRADO DE MAESTRO EN TECNOLOGÍAS DE INFORMACIÓN CARLOS RAÚL MALDONADO LEGARIA 22 DE FEBRERO 2013

Universidad la salle presentacion examen de grado

Embed Size (px)

Citation preview

Page 1: Universidad la salle presentacion examen de grado

P RO P UE S TA DE UN M O DE L O DE AUDI TO RI AS E N T E CNO L O G Í AS DE

I NF O RM ACI Ó N E NF O CAD A A CO NO CE R S U

UNIVERSIDAD LA SALLE

I NF O RM ACI Ó N E NF O CAD A A CO NO CE R S U BE NE F I C I O CUANT I TAT I V O PAR A L A

E M P RE S A.

TESISQ U E PA R A O B T E N E R E L G R A D O D E M A E S T R O

E N T E C N O L O G Í A S D E I N F O R M A C I Ó N

C A R L O S R A Ú L M A L D O N A D O L E G A R I A

2 2 D E F E B R E R O 2 0 1 3

Page 2: Universidad la salle presentacion examen de grado

Contenido

1. Límites y Alcance.

2. Hipótesis.

3. Uso de las tecnologías de información.

4. La administración actual de las tecnologías de información.

5. Como medir la entrega de valor

6. Problemática actual en la gestión de las TI.6. Problemática actual en la gestión de las TI.

7. Problemática en la ejecución de auditorías en TI.

8. Modelo propuesto

9. Beneficios esperados

10. Construcción del modelo

11. Resultados esperados

12. Consideraciones a futuro

13. Conclusiones

Page 3: Universidad la salle presentacion examen de grado

Limite y Alcance

Diseñar un modelo, que ayude a los auditores internos a

poder interpretar e identificar los aspectos de control quepoder interpretar e identificar los aspectos de control que

permitan asegurar el cumplimiento con los objetivos del

negocio a través del uso de las tecnologías de información.

Page 4: Universidad la salle presentacion examen de grado

Hipótesis

Con el diseño de un modelo de auditoría cuantitativa, será

posible para el auditor en tecnología de información poder

presentar informes detallados a la Alta Dirección que reflejen

los beneficios que se han obtenido al adquirir, implementar olos beneficios que se han obtenido al adquirir, implementar o

administrar diversas soluciones tecnológicas para el logro de

los objetivos de la empresa.

Page 5: Universidad la salle presentacion examen de grado

Origen y uso de lastecnologías de información

El nacimiento y evolución de las

computadoras, redes y bases de

datos han marcado un cambio

significativo en la manera en comosignificativo en la manera en como

las empresas hacen negocios,

producen bienes y servicios y son

distribuidos a sus clientes locales e

internacionales.

Page 6: Universidad la salle presentacion examen de grado

Origen y uso de lastecnologías de información

La interconexión de las computadoras, el

almacenamiento de grandes cantidades de datos, el

procesamiento en segundos de estos datos ha

propiciado que las empresas puedan tomar

decisiones de manera oportuna y precisa, así como

poder ahorrar costos de operación y poder ofrecer

nuevos productos y servicios.

Page 7: Universidad la salle presentacion examen de grado

La administración actual de las tecnologías de información

La adopción de estas nuevas tecnologías de información,

propiciaron una nueva forma de administrarlos ya que estos

recursos son limitados y generan un costo para la

administración y su operación. Conforme las TI son másadministración y su operación. Conforme las TI son más

importantes para las empresas surgen marcos de referencia

que permiten optimizar dichos recursos.

Page 8: Universidad la salle presentacion examen de grado

Gobierno de TI: Es la capacidad de la dirección del área de TI para poder

tomar decisiones que permita el logro y cumplimiento de los objetivos del

negocio.

La administración actual de las tecnologías de información

Page 9: Universidad la salle presentacion examen de grado

Como medir la entrega de valor

Entrega de Valor

Entrega de Valor

Tecnologías de

Información

Tecnologías de

Información

Gobierno de TI

Gobierno de TI

Page 10: Universidad la salle presentacion examen de grado

Como medir la entrega de valor

� Falta de claridad en los beneficios que se esperan obtener.

� Comunicación deficiente entre el área usuaria y el área de TI.

� Desconocimiento sobre la tecnología que se va a adq uirir.

� Cambios constantes en los alcances y metas esperada s.Principales Principales

� Cambios constantes en los alcances y metas esperada s.

� Personal poco preparado para poder implementar y ge stionar la tecnología.

� Cambios en las tendencias tecnológicas o de mercado .

� Incumplimiento en las fechas.

� Mala calidad de los entregables.

Principales Principales RetosRetos

Page 11: Universidad la salle presentacion examen de grado

1. Identificar y priorizar las áreas clave para la inversión mediante la alineación con los objetivos del negocio

2. Mostrar el impacto de la iniciativa de las tecnologías sobre el negocio

Como medir la entrega de valor

negocio

3. Mostrar los beneficios individuales o por departamentos que se obtendrán.

4. Justificar los beneficios económicos que se pueden obtener.

Page 12: Universidad la salle presentacion examen de grado

Problemática actual en la gestión de las TI

Actualmente las empresas realizan grandes esfuerzos en la inversión de tecnología que permita la solución de diversos problemas a las que se enfrenta, entre las que podemos mencionar:

a) Dinamismo de mercado.b) Alta competitividad.c) Reducción de costos.d) Nuevas y mas estrictas normatividades con respecto al manejo de la

información.e) Competencia global.

Page 13: Universidad la salle presentacion examen de grado

Problemática actual del áreade auditoria en TI

Identificación de riesgos

Problemática Actual

Leyes y Regulaciones Genéricas

Complejidad de las TI

Dudas sobre los Beneficios

Obtenidos

Page 14: Universidad la salle presentacion examen de grado

Modelo propuesto

� Para poder formular la propuesta para este modelo, debemos de partirde la primicia de que actualmente existen diferentes marcos dereferencia que permiten al auditor a poder realizar su trabajo, dentro deellos podemos mencionar los Objetivos de Control de Tecnologías deInformación (COBIT) y la serie de estándares internacionales de lafamilia ISO 27000.

Page 15: Universidad la salle presentacion examen de grado

Beneficios esperados

Beneficios Beneficios TangiblesTangibles

Beneficios Beneficios IntangiblesIntangibles

a. Mayor eficiencia del personala. Reducción de tiempo para el procesamiento de a. Mayor eficiencia del personalb. Mayor satisfacción del cliente c. Cumplimiento regulatoriosd. Mejor ambiente laborale. Optimización de recursosf. Mejorar la imagen de la empresag. Mayor competitividadh. Capacidad de adelantarse a eventos

futuros.a. Reducción de re procesos y errores.b. Mejor control sobre los recursos

tecnológicos y de la información.

a. Reducción de tiempo para el procesamiento de información

b. Movilidad c. Acceso a la información en cualquier parted. Calidad de la informacióne. Reducción de costosf. Calidad de los reportesg. Toma de decisiones en menor tiempoh. Mejor control sobre la informacióni. Capacidad de estar mejor comunicado con el

cliente

Page 16: Universidad la salle presentacion examen de grado

Construcción del modelo

Servicio

Ponderación Ponderación Ponderación Ponderación Ponderación Ponderación

Beneficio

TI

Control Control Control Control

Atributo Atributo Atributo Atributo Atributo Atributo

Page 17: Universidad la salle presentacion examen de grado

Construcción del modelo

Page 18: Universidad la salle presentacion examen de grado

Construcción del modelo

Servicio Servicio

a. Comunicación

b. Movilidad

c. Accesibilidad

d. Almacenamiento

e. ProcesamientoServicio Servicio SoportadoSoportado

e. Procesamiento

f. Toma de decisiones

g. Legal o Regulatorio

h. Imagen Corporativa

i. Envío de información

j. Gobernabilidad

Page 19: Universidad la salle presentacion examen de grado

Construcción del modelo

0: No hay control. Hay una carencia completa de un proceso

reconocible. La alta dirección no ha reconocido si quiera que

exista un problema que resolver.

1: Existe un control pero no es gestionado de manera estándar y son

los controles administrados de manera subjetiva y reactiva a los

problemas.

PonderaciónPonderación

2: Existe un control y sus procesos de gestión son repetibles y están

documentados.

3: Existe un control y sus procesos están debidamente gestionados y

documentados pero no se cuentan con mecanismos de monitoreo y

control.

4: Existe un control con sus debidos procesos de gestión, son

aplicados sin ningún problema y se cuentan con mecanismos de

monitoreo que permiten identificar el grado de efectividad del

sistema.

Page 20: Universidad la salle presentacion examen de grado

Construcción del modelo

1. Reducción de tiempo para el procesamiento de información

2. Movilidad

3. Acceso a la información en cualquier parte

4. Calidad de la información

5. Reducción de costos

6. Calidad de los reportes

7. Toma de decisiones en menor tiempo

8. Mejor control sobre la información

BeneficioBeneficio

8. Mejor control sobre la información

9. Capacidad de estar mejor comunicado con el cliente

10. Mayor eficiencia del personal

11. Mayor satisfacción del cliente

12. Cumplimiento regulatorios

13. Mejor ambiente laboral

14. Optimización de recursos

15. Mejorar la imagen de la empresa

16. Mayor competitividad

17. Capacidad de adelantarse a eventos futuros.

18. Reducción de re procesos y errores.

19. Mejor control sobre los recursos tecnológicos y de la

información.

Page 21: Universidad la salle presentacion examen de grado

Construcción del modelo

Entre los beneficios que se pretenden obtener con este modelo podemosmencionar:

� Homologación de criterios y beneficios que se deberían de esperarobtener por ello.

� Facilitar al Auditor en TI y el área auditada en poder identificar los� Facilitar al Auditor en TI y el área auditada en poder identificar losbeneficios tangibles e intangibles.

� Reducción en los tiempos para la identificación de beneficios realespara la empresa.

� Poder brindar un valor agregado del área de auditoría en TI hacia laempresa permitiendo maximizar no solo los costos de inversión y degasto en tecnología sino que sea capaz de tener una visión masintegral de los beneficios intangibles que recibe la empresa gracias a latecnología de información que ha sido adaptada.

Page 22: Universidad la salle presentacion examen de grado

Resultados esperados

� Con la matriz que se ha generado se espera que los auditores en tecnologías de información al momento de realizar una revisión sobre un proceso dentro del área de sistemas pueda identificar no solo brechas relacionadas a la falta de control o posibles riesgos asociados a la tecnología sino que sea capaz de poder identificar si la tecnología adoptada esta generando algún tipo de beneficio para la empresa.

� Se esta bajo la premisa de que este modelo es susceptible de cambios y � Se esta bajo la premisa de que este modelo es susceptible de cambios y adaptaciones futuras así como entender que dependiendo de la madurez de la empresa (objetivos, cultura, estrategia, métricas, comunicación, su visión y misión) este modelo podrá ser útil.

� Se debe de entender que este campo de auditoría es relativamente nuevo y aún no se ha logrado entender completamente el alcance y utilidad de la auditoría en tecnologías de información, creo que en los próximos años las funciones que realiza el auditor especializado en este tema deberán de buscar con una visión integral lo que sucede entre las áreas de sistemas y la empresa como tal.

Page 23: Universidad la salle presentacion examen de grado

Resultados esperados

Page 24: Universidad la salle presentacion examen de grado

Resultados esperados

Page 25: Universidad la salle presentacion examen de grado

Consideraciones a Futuro

� El modelo propuesto pasará por un proceso de adaptación a las

condiciones de la empresa, cultura organizacional y gobierno de TI.

� Una vez madurado el modelo facilitará al auditor a crear un nuevo

enfoque orientado no solo al riesgo y cumplimiento, sino orientado a

como se genera valor en la empresa a través de TI.

� Facilitará la interpretación de los resultados de una manera más rápida

y sencilla para la dirección y personal que carece conocimientos en TI.

� Permitirá identificar que tecnologías de información no están siendo

bien administradas en beneficio de la organización.

Page 26: Universidad la salle presentacion examen de grado

Conclusiones

� Las empresas han invertido, en ocasiones, excesivamente enherramientas tecnológicas que no permiten alcanzar los objetivospreviamente establecidos, siendo el área de auditoría en TIresponsable no solo de revisar la gestión y control de los mismos sehace necesario que se apoye de manera más directa para poderproponer mejoras de fondo que permitan el alcanzar los beneficiosesperados.esperados.

� El principal reto al que nos enfrentamos los auditores en TI, es que enmuchas ocasiones la falta de seguimiento y análisis en los beneficiosque se esperan obtener, con este modelo propuesto se esperaría queel área de auditoría pueda generar valor agregado al momento de susrevisiones para así poder cumplir con las expectativas de la direccióngeneral.