Upload File

metodos de auditoria y nivel de madurez

20
METODOLOGIAS PARA LA EVALUACIÓN DEL NIVEL DE MADUREZ A inicios de los años ochenta surgió una problemática en los proyectos de desarrollo de software, relacionada con el mal funcionamiento y cumplimiento de expectativas de los programas informáticos. Como respuesta a esta situación, el Departamento de Defensa de Estados Unidos funda el Software Engineering Institute (SEI) o Instituto de Ingeniería del Software, en Carnegie Mellon University, donde se estudia este problema de forma profunda. Como respuesta a esto el SEI publica en 1991 el CMM (Peralta, 2004). El CMM describe un conjunto de características, basándose en qué tan bien una organización se apega a procesos comunes y repetibles para realizar el trabajo. Los modelos de madurez del CMM se utilizan para establecer y mejorar los procesos en una organización, midiendo su capacidad, según una escala de cinco niveles que indica la madurez de sus procesos. Actualmente la aplicación de este modelo no sólo se limita a empresas de desarrollo de software, sino también a empresas de diversos sectores, como son la manufactura y los servicios (Presedo y Dolado, 2004). El CMM se desarrolla a partir de cinco niveles (SEI, 2006): 1. Inicial. Los procesos presentan una alta variabilidad que se refleja en no estar probados y en la incapacidad de repetir éxitos. Se exceden con frecuencia los presupuestos. No existe una planeación del producto y el éxito depende del esfuerzo individual. No hay documentación de procesos. 2. Manejado. Los procesos se planean y ejecutan de acuerdo con unas políticas generales y estándares definidos. Existe una documentación básica de los procesos. El estado de los productos está visible a la dirección en puntos definidos. 3. Definido. Los procesos están adecuadamente descritos y entendidos en cuanto a normas, procedimientos, herramientas y métodos. Cada proceso está caracterizado, es decir, cuenta con objetivo, entradas, actividades y salidas. Los procesos están estandarizados y se ejecutan de acuerdo con lo documentado. Esto es la base de su mejoramiento. Existe un entendimiento de las relaciones mutuas entre actividades y medidas del proceso. 4. Cuantitativamente manejado. Existen objetivos e indicadores cuantitativos sustentados en las necesidades de los clientes internos y externos. Hay entendimiento estadístico sobre la calidad y el desempeño del proceso, lo que apoya la toma de decisiones basada en hechos. Se identifican las causas de la variación de procesos. 5. Optimizado. La organización continuamente mejora sus procesos basada en un entendimiento cuantitativo de las causas comunes de variación de estos. Se establecen y continuamente se revisan los objetivos cuantitativos de mejora de procesos. Se analizan con detenimiento las causas comunes de variación del proceso para mejorar su funcionamiento y alcanzar los objetivos cuantitativos de mejora establecidos. La organización se enfoca en la innovación y en la implantación de tecnología para lograr una ventaja competitiva.

Upload: vicky-morejon

Post on 25-Nov-2015

60 views

Category:

Documents


4 download

Report

Tags:

TRANSCRIPT

  • METODOLOGIAS PARA LA EVALUACIN DEL NIVEL DE MADUREZ

    A inicios de los aos ochenta surgi una problemtica en los proyectos de desarrollo de software, relacionada

    con el mal funcionamiento y cumplimiento de expectativas de los programas informticos. Como respuesta a

    esta situacin, el Departamento de Defensa de Estados Unidos funda el Software Engineering Institute (SEI) o

    Instituto de Ingeniera del Software, en Carnegie Mellon University, donde se estudia este problema de forma

    profunda. Como respuesta a esto el SEI publica en 1991 el CMM (Peralta, 2004).

    El CMM describe un conjunto de caractersticas, basndose en qu tan bien una organizacin se apega a

    procesos comunes y repetibles para realizar el trabajo. Los modelos de madurez del CMM se utilizan para

    establecer y mejorar los procesos en una organizacin, midiendo su capacidad, segn una escala de cinco

    niveles que indica la madurez de sus procesos. Actualmente la aplicacin de este modelo no slo se limita a

    empresas de desarrollo de software, sino tambin a empresas de diversos sectores, como son la manufactura

    y los servicios (Presedo y Dolado, 2004).

    El CMM se desarrolla a partir de cinco niveles (SEI, 2006):

    1. Inicial. Los procesos presentan una alta variabilidad que se refleja en no estar probados y en la

    incapacidad de repetir xitos. Se exceden con frecuencia los presupuestos. No existe una planeacin del

    producto y el xito depende del esfuerzo individual. No hay documentacin de procesos.

    2. Manejado. Los procesos se planean y ejecutan de acuerdo con unas polticas generales y estndares

    definidos. Existe una documentacin bsica de los procesos. El estado de los productos est visible a la

    direccin en puntos definidos.

    3. Definido. Los procesos estn adecuadamente descritos y entendidos en cuanto a normas, procedimientos,

    herramientas y mtodos. Cada proceso est caracterizado, es decir, cuenta con objetivo, entradas,

    actividades y salidas. Los procesos estn estandarizados y se ejecutan de acuerdo con lo documentado. Esto

    es la base de su mejoramiento. Existe un entendimiento de las relaciones mutuas entre actividades y medidas

    del proceso.

    4. Cuantitativamente manejado. Existen objetivos e indicadores cuantitativos sustentados en las

    necesidades de los clientes internos y externos. Hay entendimiento estadstico sobre la calidad y el

    desempeo del proceso, lo que apoya la toma de decisiones basada en hechos. Se identifican las causas de

    la variacin de procesos.

    5. Optimizado. La organizacin continuamente mejora sus procesos basada en un entendimiento cuantitativo

    de las causas comunes de variacin de estos. Se establecen y continuamente se revisan los objetivos

    cuantitativos de mejora de procesos. Se analizan con detenimiento las causas comunes de variacin del

    proceso para mejorar su funcionamiento y alcanzar los objetivos cuantitativos de mejora establecidos. La

    organizacin se enfoca en la innovacin y en la implantacin de tecnologa para lograr una ventaja

    competitiva.

  • Procesos NIVELES DE MADUREZ

    Inicial Manejado Definido Cuantitativamente manejado

    Optimizado

    Financiero y contable

    Produccin/ operaciones

    Abastecimiento Mercadeo y v Distribucin Gestin de inventarios Servicio posventa/ servicio al cliente

    Gestin de calidad

    Tecnologa informtica

    Recursos humanos

    EVALUACIN DIRECTIVA DE NIVELES DE MADUREZ

    La evaluacin directiva es una herramienta diseada para que los directivos de la organizacin (sin tener

    conocimientos especficos de calidad, ni de las normas UNE-EN ISO 9000), puedan realizar rpida y

    globalmente una evaluacin del Sistema de Gestin de la Calidad (SGC) de su organizacin, conocer el nivel

    de madurez de sta, priorizar los requisitos y directrices de la norma UNE-EN ISO 9004 que deben ser

    mejorados y establecer polticas y directrices encaminadas a mejorar el nivel de madurez.

    Esta evaluacin se ha planteado en cinco etapas o fases acumulativas, que coinciden con los cinco niveles de

    madurez establecidos por ISO 9004:2000.

    La evaluacin permite visualizar el nuevo escenario o nivel de madurez a alcanzar y establecer o actualizar

    las estrategias, polticas y directrices necesarias para lograrlo, as como mejorar el estilo de direccin.

    Tambin sirve para establecer objetivos de mejora medibles, ya que los resultados se valoran numricamente,

    y para realizar el seguimiento de la evolucin del nivel de madurez.

    El tiempo estimado para la realizacin de esta evaluacin puede variar desde 30 minutos hasta 120 minutos

    en funcin del tamao y complejidad de la organizacin de transporte y del conocimiento de sta por parte del

    directivo o equipo directivo que realiza la evaluacin. Si la evaluacin directiva se realiza por un equipo

    directivo en lugar de por un solo individuo puede alcanzar unos resultados ms objetivos, al contar con

    diferentes puntos de vista, y ser ms enriquecedora para la Direccin.

    Al finalizar la Evaluacin Directiva se tendr una hoja de resultados de la Evaluacin Directiva donde se

    podr observar el Nivel de Madurez, como la que se muestra en el grfico adjunto.

    HOJA DE RESULTADOS DE LA EVALUACIN DIRECTIVA

  • Adems, cada uno de estos valores est subdivido en tres casillas para que el evaluador se decante por uno

    de ellos tal y como muestra el apartado A de la hoja de resultados de la evaluacin directiva:

    Para obtener el resultado final (E) de la hoja de resultados de la evaluacin directiva se calcula la media

    aritmtica de la suma de los puntos obtenidos. Para ello:

    1. Se registra el nmero de casillas puntuadas en cada columna (B)

    o Valor inferior: cuando la realidad de la organizacin coincide bsicamente con las

    situaciones descritas para ese nivel de madurez.

    o Valor intermedio: cuando la realidad de la organizacin se encuentra entre las situaciones

    descritas para ese nivel de madurez y el siguiente nivel

    o Valor superior: cuando la realidad de la organizacin se encuentra prxima a las

    situaciones descritas para el siguiente nivel de madurez pero no lo alcanza en su totalidad

    2. Se calculan los puntos obtenidos por cada columna (D=BxC), multiplicando el nmero de casillas

    puntuadas (B), por el valor asignado a cada casilla (C).

    3. Se suma el total de puntos obtenidos por cada columna (D), y se calcula su media aritmtica dividiendo el

    total entre 8 (nmero de principios evaluados), lo que da el resultado final (E).

    Llegados a este punto, debemos realizar el anlisis de los resultados obtenidos y elaborar el plan de mejora.

    La interpretacin de la puntuacin obtenida se muestra en el cuadro adjunto.

  • MODELO DE MADUREZ SEGN NORMA ISO 9004

    Una organizacin madura es aquella que tiene un desempeo eficaz y eficiente, y que logra el xito sostenido.

    Esto debera basarse en la capacidad de los lderes de la organizacin para:

    comprender y satisfacer las necesidades y expectativas de las partes interesadas,

    realizar el seguimiento de los cambios en el entorno de la organizacin,

    identificar posibles reas de mejore e innovacin,

    definir y desplegar estrategias y polticas,

    establecer y desplegar objetivos pertinentes,

    gestionar sus procesos y sus recursos,

    demostrar confianza en su personal, llevando a una motivacin, un compromiso y una participacin

    mayores, y

    establecer relaciones mutuamente beneficiosas con los proveedores y otros socios.

    Esta herramienta de autoevaluacin utiliza cinco niveles de madurez, que pueden ampliarse para incluir

    niveles adicionales o personalizarse segn sea necesario. La figura a continuacin proporciona un ejemplo

    genrico de cmo se pueden relacionar en forma de tabla los criterios de desempeo con los niveles de

    madurez. La organizacin debera revisar su desempeo frente a criterios especificados, identificar sus

    niveles de madurez actuales, y determinar sus fortalezas y debilidades.

    EVALUACIN DETALLADA DE NIVELES DE MADUREZ

  • La evaluacin detallada es una herramienta diseada para conocer y medir el nivel de madurez global o de

    los requisitos y directrices contenidos en cada apartado de la norma UNE-EN ISO 9004, conocer los puntos

    fuertes y las reas de mejora, y establecer prioridades y planes de accin detallados a tomar sobre los

    apartados de la norma y las reas detectadas como ms dbiles.

    Esta evaluacin est basada en un cuestionario de preguntas que pormenorizan los 27 apartados de la norma

    UNE EN ISO 9004, lo que permite no slo obtener un resultado del apartado evaluado, sino tambin los

    puntos fuertes y reas de mejora detectados por el evaluador. As mismo, cada pregunta del cuestionario de

    evaluacin hace tambin referencia a los requisitos de la norma UNE-EN ISO 9001, ya que sta se encuentra

    contenida en la norma UNE-EN ISO 9004:2000. Al final de este documento se muestra el cuestionario para la

    evaluacin detallada.

    Las preguntas del cuestionario de evaluacin se valoran del 1 al 5 de acuerdo a los criterios de evaluacin

    que desarrollan los niveles de desempeo y orientacin descritos en la norma UNE-EN ISO 9004:2000 y que

    se muestran en el cuadro adjunto.

    La evaluacin detallada no requiere el uso de evaluadores expertos aunque s de cierta familiaridad del

    evaluador con las normas ISO 9000 ya que, aunque el cuestionario de evaluacin contiene ejemplos de

    evidencias relacionadas con las preguntas, se precisa conocer las normas para contestar a las preguntas con

    fiabilidad. Por ello, el perfil del evaluador se corresponde con tcnicos o responsables de procesos.

    El mtodo de evaluacin se divide en las 5 fases que se describen a continuacin.

    1. Identificar las evidencias existentes en la organizacin que corresponden a cada pregunta del

    cuestionario de evaluacin detallada.

    Como referencia de las evidencias a encontrar, se pueden utilizar los ejemplos de evidencias facilitados en el

    cuestionario. Con objeto de poder analizar posteriormente las causas de las bajas puntuaciones, conviene

  • anotar en el cuaderno del evaluador las evidencias encontradas que responden a cada pregunta. El grfico

    adjunto se muestra un ejemplo de formato de cuaderno del evaluador.

    2. Valorar los resultados de cada pregunta del cuestionario.

    Cada pregunta se valora en funcin de las evidencias obtenidas de acuerdo a los criterios de evaluacin

    establecidos y dicho valor se anota mediante una cruz sobre las casillas de la columna "RESULTADO" del

    cuestionario para la evaluacin detallada.

    3. Calcular el valor final de cada apartado de la norma.

    Para obtener el valor final de cada apartado se sigue la misma metodologa descrita en la evaluacin directiva.

    4. Calcular el resultado final de la evaluacin detallada.

  • Para obtener el resultado final, se calcula la media aritmtica de la suma de los valores finales obtenidos, y

    para ello:

    Se trasladan los valores finales de cada apartado de la norma del cuestionario de la evaluacin

    detallada, a las casillas correspondientes para cada apartado de la hoja de resultados de la

    evaluacin detallada

    Se anota la suma de cada columna en la fila "suma columnas".

    Se suma el total de puntos obtenidos por cada columna, y se calcula su media aritmtica dividiendo

    el total entre el nmero de apartados que apliquen, lo cual da el "resultado final".

    El resultado final de la evaluacin detallada puede visualizarse grficamente, uniendo con una lnea continua

    las casillas marcadas de la hoja de resultados de la evaluacin detallada y trazando otra lnea vertical sobre el

    valor de la media alcanzada. De esta forma quedarn a la izquierda de la media los principios con peor

    puntuacin y a su derecha los mejor valorados.

  • 5. Identificar los puntos fuertes y las reas de mejora.

    Durante la evaluacin pueden detectarse puntos fuertes y reas de mejora que enriquecern el resultado de la

    evaluacin y aumentarn su rentabilidad. Por ello, con objeto de organizar la informacin que se va

    recogiendo en el transcurso de la evaluacin, conviene referenciar en el cuaderno del evaluador todas

    aquellas anotaciones que el evaluador estime oportunas.

    Es recomendable que el informe final de resultados de la evaluacin detallada recoja al menos los

    siguientes aspectos:

    el alcance (qu se ha evaluado);

    los criterios de evaluacin;

    las fechas de la evaluacin;

    la composicin del equipo evaluador;

    el resumen de resultados;

    la hoja de resultados de la evaluacin detallada; y

    los puntos fuertes y reas de mejora detectados.

    El contenido del plan de mejora puede incluir los siguientes elementos:

    Establecimiento del nuevo nivel de madurez que se desea alcanzar en el rea evaluada, para la

    globalidad del SGC o de apartados especficos de la norma.

    Acciones de mejora que deben realizarse para alcanzar los nuevos objetivos.

    MODELOS DE MADUREZ SEGN COBIT

    Cada vez con ms frecuencia, se les pide a los directivos de empresas corporativas y pblicas que consideren

    qu tan bien se est administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para

    mejorar y alcanzar el nivel apropiado de administracin y control sobre la infraestructura de informacin.

    Con los procesos y los objetivos de control de alto nivel de COBIT, el dueo del proceso se debe poder

    evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades:

    1. Una medicin relativa de dnde se encuentra la empresa

    2. Una manera de decidir hacia dnde ir de forma eficiente

    3. Una herramienta para medir el avance contra la meta

    El modelo de madurez para la administracin y el control de los procesos de TI se basa en un mtodo de

    evaluacin de la organizacin, de tal forma que se pueda evaluar a s misma desde un nivel de no-existente

    (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software

    Engineering Institute defini para la madurez de la capacidad del desarrollo de software.

    Los niveles de madurez estn diseados como perfiles de procesos de TI que una empresa reconocera como

    descripciones de estados posibles actuales y futuros. Con los modelos de madurez de COBIT, a diferencia de

    la aproximacin del CMM original de SEI, no hay intencin de medir los niveles de forma precisa o probar a

  • certificar que un nivel se ha conseguido con exactitud. Una evaluacin de la madurez de COBIT resultara en

    un perfil donde las condiciones relevantes a diferentes niveles de madurez se han conseguido.

    Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la gerencia

    podr identificar:

    El desempeo real de la empresaDnde se encuentra la empresa hoy

    El estatus actual de la industriaLa comparacin

    El objetivo de mejora de la empresaDnde desea estar la empresa

    El crecimiento requerido entre como es y como ser

    Para hacer que los resultados sean utilizables con facilidad en resmenes gerenciales, donde se presentarn

    como un medio para dar soporte al caso de negocio para planes futuros, se requiere contar con un mtodo

    grfico de presentacin

    La capacidad requerida, como se determina en el negocio y en las metas de TI, puede no requerir aplicarse al

    mismo nivel en todo el ambiente de TI, es decir, de forma inconsistente o slo a un nmero limitado de

    sistemas o unidades. La medicin del desempeo, como se cubre en los prximos prrafos, es esencial para

    determinar cul es el desempeo real de la empresa en sus procesos de TI:

    0 No Existente- Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido

    siquiera que existe un problema a resolver.

    1 Inicial- Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser

    resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que

    tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la

    administracin es desorganizado.

    2 Repetible- Se han desarrollado los procesos hasta el punto en que se siguen procedimientos

    similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin

    formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado

    de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

    3 Definido- Los procedimientos se han estandarizado y documentado, y se han difundido a travs de

    entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco

    probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan

    las prcticas existentes.

  • 4 Administrado- Es posible monitorear y medir el cumplimiento de los procedimientos y tomar

    medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo

    constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una

    manera limitada o fragmentada.

    5 Optimizado- Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los

    resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma

    integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la

    efectividad, haciendo que la empresa se adapte de manera rpida.

    METODOLOGAS DE AUDITORA INFORMTICA

    Segn PIATTINI, Mario y Emilio del Peso en su libro Auditora Informtica - Un enfoque Prctico. La

    auditora Informtica certifica la integridad de los datos informticos.Todas las metodologas existentes

    desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias:

    Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn

    diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener

    asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que

    se debe extraer de un riesgo de incidencias donde el nmero de incidencias tiende al infinito.

    Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para

    seleccionar en base a la experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende

    de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica

    borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas.

    Ventajas:

    Enfoque lo amplio que se desee.

    Plan de trabajo flexible y reactivo.

    Se concentra en la identificacin de eventos.

    Desventajas

    Depende fuertemente de la habilidad y calidad del personal involucrado.

    Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades

    complejas de calcular.

    Dependencia profesional.

    Existen dos metodologas de Auditoria Informtica: Auditorias de Controles GeneralesyMetodologas de

    Auditores Internos

    Auditoras de Controles Generales: Dan una opinin sobre la habilidad de los datos del

    computador para la Auditoria financiera, cuyo resultado es un informe donde se destacan las

    vulnerabilidades encontradas.

  • Auditoras Internas: Est formada por recomendaciones de Plan de trabajo; deber realizar

    cuestionarios y definir cuantas pruebas estime oportunas; adems debe crear sus metodologas

    necesarias para auditar reas o aspectos que defina en el plan auditor.

    METODOLOGA DE AUDITORIA INFORMTICA DE JOSE ANTONIO ENCHENIQUE GARCIA

    Segn describe Jos Antonio Enchenique Garca en su Libro de Auditora Informtica. La auditora en

    informtica es el proceso de recoleccin y evaluacin de evidencias para determinar cuando son

    salvaguardados los activos de los sistemas computarizados, de qu manera se mantiene la integridad de los

    datos y como se logran los objetivos de la organizacin eficazmente y se usan los recursos consumidos

    eficientemente.

    El autor del libro define 4 fases para la realizacin de la auditora:

    FASE 1: Planeacin de la Auditora Informtica:

    Para hacer una adecuada planeacin de la auditoria en informtica hay que seguir una serie de pasos previos

    que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas,

    organizacin y equipo. Dentro de la auditora en general, la planeacin es uno de los pasos as importantes, y

    que una inadecuada planeacin provocar una serie de problemas que pueden impedir que se cumpla con la

    auditoria o bien hacer que no se efectu con el profesionalismo que debe tener cualquier auditor

    El trabajo de auditoria deber incluir la planeacin de la auditora, el examen y la evaluacin de la informacin,

    la comunicacin de los resultados y el seguimiento.

    La planeacin deber ser documentada e incluir:

    El establecimiento de los objetivos y alcance del trabajo.

    La Obtencin de informacin y apoyo sobre las actividades que se auditar.

    La Determinacin de los recursos necesarios para realizar la auditora.

    El Establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la

    auditora.

    La realizacin, en forma ms apropiada, de una inspeccin fsica para familiarizarse con las

    actividades y controles a auditar, as como identificacin de las reas en las que se deber hacer

    nfasis al realizar la auditoria y promover comentarios y la promocin de los auditados.

    La preparacin por escrito del programa de auditora.

    La determinacin de cmo, cundo y a quien se le comunicarn los resultados de la auditoria.

    La obtencin de la aprobacin del plan de trabajo de auditoria.

    Para lograr una adecuada planeacin lo primero que se requiere es obtener informacin general sobre la

    organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin

    preliminar y algunas entrevistas previas, y con base a esto plantean el programa de trabajo.

    El proceso de planeacin comprende el establecer:

  • Metas.- Se deben establecer de tal manera que se puedan lograr su cumplimiento. Debern

    acompaarse de los criterios para medirlas y de fechas lmites para su logro.

    Programas de trabajo de auditoria.- Los programas de trabajo de auditora debern incluir: las

    actividades que se van a auditar, cuando sern auditadas, el tiempo estimado requerido, tomando en

    consideracin el alcance del trabajo de auditora planeado.

    Planes de contratacin de personal y presupuesto financiero.- En este punto incluye el nmero

    de auditores, su conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo.

    Informe de actividades

    FASE 2: Revisin Preliminar

    El primer paso en el desarrollo de la auditoria, despus de la planeacin, es la revisin preliminar del rea

    informtica. El objetivo de la revisin preliminar es el obtener la informacin necesaria para que el auditor

    pueda tomar la decisin de cmo proceder en la auditoria.

    La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la

    instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar.

    Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o

    con documentacin narrativa. Debemos considerar que esta ser solo una informacin inicial que nos

    permitir elaborar el plan de trabajo, la cual se profundizar en el desarrollo de la auditoria

    FASE 3: Revisin Detallada

    Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga

    profundo entendimiento de los controles usados dentro del rea de informtica.

    El auditor debe decidir si debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener

    mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los

    usuarios (pruebas compensatorias), o las pruebas sustantivas. En algunos casos el auditor puede, despus

    de hacer un anlisis detallado, decidir que con los controles internos se tiene suficiente confianza, y en otros

    casos que los procedimientos alternos de auditora pueden ser ms apropiados.

    Al terminar la revisin detallada el auditor debe evaluar en que momento los controles establecidos reduce las

    perdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la

    evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere es la

    profundidad con que se obtiene la informacin y se evala.

    METODOLOGA DE AUDITORIA INFORMTICA - UNIVERSIDAD DE BELGRADO, BUENOS AIRES

    ARGENTINA

    AUDITORIA INFORMTICA GLOBAL

  • La Universidad de Belgrado de Buenos aires argentina, realiz un estudio de las Metodologas utilizadas

    dentro de la Auditora Informtica. Donde se indica que el mtodo de trabajo del auditor pasa por las

    siguientes etapas:

    Alcance y Objetivos de la Auditora Informtica

    Estudio inicial del entorno auditable

    Determinacin de los recursos necesarios para realizar la auditora

    Elaboracin del plan y de los Programas de Trabajo

    Actividades propiamente dichas de la auditora

    Confeccin y redaccin del Informe Final

    Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final

    Fase 1: Definicin de Alcance y Objetivos

    El alcance de la auditora expresa los lmites de la misma. Tanto los alcances como las excepciones deben

    figurar al comienzo del Informe Final.

    Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos a los que

    su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas

    puedan ser cumplidas.

    Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales y comunes

    de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin

    Informtica.

    Fase 2: Estudio Inicial

    Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informtica.Para su

    realizacin el auditor debe conocer lo siguiente:

    Organizacin:

    Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para

    realizar esto en auditor deber fijarse en:

    1) Organigrama.- El organigrama expresa la estructura oficial de la organizacin a auditar.

    Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal

    circunstancia.

    2) Departamentos.-Se entiende como departamento a los rganos que siguen inmediatamente a la

    Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.

    3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin.- El equipo auditor

    verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por

    el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.

  • 4) Flujos de Informacin.- Adems de las corrientes verticales intra-departamentales, la estructura

    organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extra-

    departamentales. Los flujos de informacin entre los grupos de una organizacin son necesarios para

    su eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.

    5) Nmero de Puestos de trabajo.- El equipo auditor comprobar que los nombres de los Puesto de

    los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.Es frecuente

    que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la existencia de funciones

    operativas redundantes.

    6) Nmero de personas por Puesto de Trabajo.- Es un parmetro que los auditores informticos

    deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan

    las mismas funciones rara vez coincida con la estructura oficial de la organizacin.

    Fase 3: Entorno Operacional

    El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a

    desenvolverse.Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

    a. Situacin geogrfica de los Sistemas.- Se determinar la ubicacin geogrfica de los distintos

    Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de

    responsables en cada uno de ellos, as como el uso de los mismos estndares de trabajo.

    b. Arquitectura y configuracin de Hardware y Software.- Cuando existen varios equipos, es

    fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir un

    sistema compatible e intercomunicado. La configuracin de los sistemas est muy ligada a las

    polticas de seguridad lgica de las compaas.

    c. Inventario de Hardware y Software.- El auditor recabar informacin escrita, en donde figuren todos

    los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades

    de control local y remoto, perifricos de todo tipo, etc.

    d. Comunicacin y Redes de Comunicacin.- En el estudio inicial los auditores dispondrn del

    nmero, situacin y caractersticas principales de las lneas, as como de los accesos a la red pblica

    de comunicaciones.Igualmente, poseern informacin de las Redes Locales de la Empresa.

    Fase 4: Determinacin de recursos de la Auditora Informtica

    Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y

    materiales que han de emplearse en la auditora.

    - Recursos humanos.- Personal que se requerir para la auditora.

  • - Recursos materiales.- Los recursos materiales del auditor son de dos tipos: Recursos materiales

    Software (Programas propios de la auditora, Monitores) y Recursos materiales Hardware (Computadoras

    del auditado)

    Elaboracin del Plan y de los programas de trabajo

    Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de

    trabajo, teniendo en cuenta, entre otros criterios, los siguientes:

    a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es

    ms compleja y costosa.

    b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de

    auditores necesarios, sino las especialidades necesarias del personal.

    Fase 5: Actividades de la Auditora Informtica

    Auditora por temas generales o por reas especficas:

    La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por

    grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos.

    Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que

    afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad.

    Tcnicas de Trabajo:

    Anlisis de la informacin recabada del auditado

    Anlisis de la informacin propia

    Cruzamiento de las informaciones anteriores

    Entrevistas

    Simulacin

    Muestreos

    Herramientas:

    Cuestionario general inicial

    Cuestionario Checklist

    Estndares

    Monitores

    Simuladores (Generadores de datos)

    Paquetes de auditora (Generadores de Programas)

    Matrices de riesgo

  • Informe Final

    La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el

    exponente de su calidad.

    Fase 7: Carta de Introduccin o Presentacin del Informe Final

    La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se

    destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o

    contrato la auditora.

    METODOLOGA CRMR (Computer Resource Management Review)

    La Universidad de Belgrado de Buenos aires argentina, realizo un estudio sobre la metodologa CRMR son las

    siglas de Computer resource management review, su traduccin ms adecuada, Evaluacin de la gestin de

    recursos informticos. Donde se indica que esta metodologa quiere destacar la posibilidad de realizar una

    evaluacin de eficiencia de utilizacin de los recursos por medio del management.

    Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica

    global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.Identifican las siguientes

    fases

    1. Supuestos de aplicacin de la Metodologa CRMR

    2. reas de aplicacin

    3. Objetivos

    4. Alcance

    5. Informacin necesaria para la evaluacin del CRMR

    6. Informacin necesaria para la realizacin del CRMR

    1. Supuestos de aplicacinde la Metodologa CRMR

    En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias

    organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de

    Procesos de Datos.

    El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

    Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

    Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el

    momento oportuno

    Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.

    Existen sobrecargas frecuentes de capacidad de proceso.

    Existen costes excesivos de proceso en el Centro de Proceso de Datos.

  • Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia.

    Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor

    incidencia de fallos de gestin.

    2. reas de Aplicacin

    Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de

    aplicacin sealadas en el punto anterior:

    Gestin de Datos

    Control de Operaciones

    Control y utilizacin de recursos materiales y humanos

    Interfaces y relaciones con usuarios

    Planificacin

    Organizacin y administracin

    Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos

    (CapacityPlanning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo.

    3. Objetivos

    CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y

    mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se

    emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan:

    Identificar y fijar responsabilidades

    Mejorar la flexibilidad de realizacin de actividades

    Aumentar la productividad

    Disminuir costes

    Mejorar los mtodos y procedimientos de Direccin

    4. Alcance

    Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.

    Se establecen tres clases:

    1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de

    obtencin de beneficios.

    2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace

    en la auditora informtica ordinaria.

  • 3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las

    Recomendaciones, a la par que desarrolla las conclusiones.

    5. Informacin necesaria para la evaluacin del CRMR

    Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora

    pueda llevarse a cabo con xito.

    1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del

    Centro de Proceso de Datos del cliente, y con los recursos de ste.

    2. Se deber cumplir un detallado programa de trabajo por tareas.

    3. El auditor-consultor recabar determinada informacin necesaria del cliente.

    6. Informacin necesaria para la realizacin del CRMR

    El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo.Se exhibe a

    continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR:

    Datos de mantenimiento preventivo de Hardware

    Informes de anomalas de los sistemas

    Procedimientos estndar de actualizacin.

    Procedimientos de emergencia.

    Monitoreo de los Sistemas.

    Informes del rendimiento de los Sistemas.

    Mantenimiento de las Libreras de Programas.

    Gestin de Espacio en disco.

    Documentacin de entrega de Aplicaciones a Explotacin.

    Documentacin de alta de cadenas en Explotacin.

    Utilizacin de CPU, canales y discos.

    Datos de paginacin de los Sistemas.

    Volumen total y libre de almacenamiento.

    Ocupacin media de disco.

    Manuales de Procedimientos de Explotacin.

    Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las

    Recomendaciones realizadas.

    METODOLOGA A APLICAR EN LA AUDITORIA DE LA MESA DE SERVICIOS INFORMTICOS DE

    IPLANET BANDA ANCHA

    El enfoque metodolgico propuesto integra el conocimiento aportado por los modelos de auditora citados

    anteriormente.

  • METODOLOGA

    Esta constituye una herramienta de apoyo que permite incorporar el uso del modelo de auditora Cuantitativo

    ya que estn diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por

    tener asignados unos valores numricos; la auditora se dividir en 3 fases: planeacin, Auditora e Informe

    Final.

    A continuacin, se presentan las etapas que componen la metodologa:

    FASE1: Planeacin

    Objetivos de la Auditora Informtica.- El objetivo de la Auditora a la Mesa de Servicios

    Informticos es identificar el estado actual de los procesos que se siguen para atender los

    requerimientos realizados a travs de esta rea de la empresa IPLANET Banda Ancha, para as

    incrementar el rendimiento.

    Alcance de la Auditora Informtica.- La auditora solo abarcar nicamente la auditora de los

    procesos realizados dentro de la Mesa de Servicios Informticos para la atencin de requerimientos.

    Estudio inicial del entorno auditable.- Para el estudio inicial se solicitar el Organigrama

    estructural del rea auditada, relaciones Jerrquicas y Funcionales, Diagramas de Flujos de

    Informacin del rea, Nmero de Puestos de trabajo, Nmero de personas por Puesto de Trabajo.

    Determinacin de los recursos necesarios para realizar la auditora.- Los recursos sern

    definidos en base a los resultados del estudio inicial.

    Elaboracin del plan y de los Programas de Trabajo.- En este punto se elaborar el plan de

    auditora, mismo que incluir objetivos de control.

    FASE 2: Auditora

    Actividades propiamente dichas de la auditora.- Comprende la ejecucin del plan de auditora,

    revisando uno a uno los objetivos de control planteados.

    FASE 3: Informe Final

    Confeccin y redaccin del Informe Final.- Con los resultados obtenidos en la auditora se

    elaborar los borradores del informe final, para revisarlos con las reas auditadas y definir el informe

    definitivo.

  • Bibliografa

    PIATTINI, Mario y Emilio del Peso. Auditora Informtica. Un enfoque prctico. Editorial RA-MA.

    http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm#p2-1-1

    ECHENIQUE, Garca Jos Antonio. Auditoria en Informtica. Edit. Mc Graw-Hill. 2001.2 Edicin, Pag 26

    http://portfolio.cicei.com/ - sistema de e-portfolio del Centro de Innovacin para la Sociedad

    de la Informacin (CICEI) de la Universidad de Las Palmas de Gran Canaria.

    http://dialnet.unirioja.es/servlet/articulo?codigo=2933558

    http://www.scielo.org.co/ (http://www.scielo.org.co/pdf/inun/v12n2/v12n2a04.pdf) - SciELO

    - Scientific Electronic Library Online - es una biblioteca virtual para Latinoamrica, el Caribe,

    Espaa y Portugal.

    http://ebookbrowsee.net/prod-06-pdf-d651352995 -MODELO QUE IDENTIFICA EL NIVEL DE

    MADUREZ DE LOS PROCESOS DE LAS PEQUEAS EMPRESAS DEL SECTOR INDUSTRIAL

    http://www.fundacioncetmo.org/DGT%20Mejora%20Continua/pdf/Anexos/VI/VIA3.pdf -

    VI.A3 Evaluacin del nivel de madurez

    PERALTA, M. Asistente para la evaluacin de CMMI-SW. Tesis de Maestra en Ingeniera del Software.

    Buenos Aires: Instituto Tecnolgico, 2004.

    PRESEDO, M. y DOLADO, J. Medicin prctica de la coordinacin utilizando GQIM y CMMi

    [documento en lnea]. 2004.

    SOFTWARE ENGINEERING INSTITUTE (SEI). CMMI for Development, versin 1.2,

    improvingprocesses for better products. Carnegie Mellon-SEI, 2006.

    ESCALANTE, E. Seis sigma: metodologa y tcnicas. Mxico: Limusa, 2006.

    Libro COBIT 4.1


Madurez sexul

Madurez afectiva

Madurez Ecopuntaje

Verdadera madurez

Auditoria de Gestion. Conceptos y Metodos

Madurez Filial

Relación entre la madurez fisiológica y la madurez ...€¦ · sólidos solubles finales (a madurez gustativa) tan elevado como los frutos cosechados con una madurez apropiada (8)

Madurez Emocional

La Auditoria desde el punto de Vista del Auditor como del ...€¦ · Puntos Vitales en una Auditoria de Sistemas Continuidad del Negocio DRP Seguridad de la Información Madurez

Madurez social

Madurez, inmadurez,

INGENIERÍA INFORMÁTICA EN UNIVERSIDAD COMPLUTENSE DE … - Blázquez... · básicos del CMMI y su auditoria. Para ello explicaremos qué es el CMMI, sus diferentes niveles de madurez,

Madurez mujer

Madurez Humana

madurez espiritual.pdf

Madurez femenina

Validacion Metodos Analiticos AUDITORIA

Metodos de la calidad total lean seis sigma y auditoria de victor rubio ragazzoni

Modelo Madurez

Madurez Espiritual

MADUREZ PERSONAL.docx

METODOS ANTICONCEPTIVOS ARTIFICIALES. METODOSARTIFICIALES METODOS DE BARRERA METODOS QUIMICOS METODOS QUIRURGICOS

Alcanzando Madurez

Madurez Escolar

Unidad 3 Metodos de Auditoria Energetica

Psicología del Desarrollo. Madurez biológica. Madurez sexual. Madurez social (adultez legal). Madurez psicológica

Madurez humana madurez espirtual

Madurez estelar

CMM y CMMI. 2 Contenidos Introducción Introducción Madurez vs. Inmadurez Madurez vs. Inmadurez Niveles de madurez CMM Niveles de madurez CMM Ejemplos

CAMINANDO HACIA LA MADUREZ CAMINANDO HACIA LA MADUREZ

La Madurez

Clase2C Madurez

Madurez expo

Propuesta Madurez

Madurez Vocacional