Resumen semana 1 El Gobierno IT es el resultado de la evolución de los conceptos: riesgo, auditoría y control; dadas las estrictas regulaciones en los mismos, las responsabilidades de la alta gerencia y la alineación de TI con les estrategias del negocio. Gobierno IT: Uno de los roles del gobierno corporativo, encargado de liderar estructuras de organización y procesos con el fin de asegurar que las tecnologías de información si soportan los objetivos y estrategias de la organización. Algunos de los objetivos del gobierno IT son: -
Apoyo de la tecnología para alcanzar los objetivos del negocio. Uso intensivo de sistemas y medios electrónicos para hacer llegar a los clientes, el portafolio de productos y servicios empresarial. Manejo razonable de costos e inversión de la TI. Incremento en eficiencia y reducción de riesgos. Cumplimiento con regulaciones y normatividad. Mayor rentabilidad.
Para lograr estos objetivos debemos tener identificado un marco de riegos que nos permita prever posibles impactos sobre el funcionamiento y rendimiento normal del negocio, el cual nos sirve como soporte para reaccionar ante eventos ya esperados y definidos dentro de ese marco. Algunos de los temas adicionales a tener en cuenta son: -
Continuidad BCM. Administración de riesgos. ISO 2700X, COBIT, ITIL, VALIT, COSO, SARO, SARLAFT. Auditoría e interventoría. Capacitación en seguridad informática.
Auditoría interna: Las auditorías cumplen una importante función dentro del marco del Control interno y los objetivos del gobierno IT y la alta gerencia. Estas permiten definir métricas de aseguramiento, calidad, eficiencia y eficacia de procesos y controles del negocio en un período determinado de tiempo. Luego se comparan sus resultados con los controles internos planteados y con resultados anteriores para definir nuevas metas, replantear procesos o simplemente realizar recomendaciones generales de mejora. Algunas de las ventajas ofrecidas por las auditorías son: -
Obtener tableros de control que nos permiten observar el comportamiento de la información de gestión de riesgo, tareas de auditoría y seguimiento de observaciones, entre otras. Disponer en forma inmediata de datos estadísticos para toma de decisiones o para planificar auditorias o rendimiento de recursos. Mantener de manera unificada la información que el Área de Auditoría administra.
PDF created with pdfFactory trial version www.pdffactory.com
-
Permitir que el Área auditada acceda inmediatamente a la información de seguimiento para responder efectívamente y en corto tiempo. Auditar tecnología aplicando algún framework para tal fin. Realizar Planes anuales de Auditoría en base a riesgos y contemplando recursos. Mantener y acceder en forma sencilla a estadísticas, recomendaciones y versiones históricas de los planes. Disponer fácilmente e inmediatamente del estado de avance del Plan de Auditoría.
Finalmente el Auditor en Sistemas informáticos y el control Interno deben tener en claro: -
Controles de entrada de datos: Tienen como finalidad prevenir, detectar y corregir los datos incorrectos introducidos en el ordenador. Se pueden clasificar también como preventivos, de detección y de corrección Controles sobre procesamiento de información: Aseguran que no se producen errores debidos a la utilización de programas o datos inapropiados. Controles sobre las salidas: Tienen como fin reducir el riesgo de que los informes con datos de salida puedan ser incorrectos o recibidos por personal no autorizado.
El responsable del control interno y el auditaje en sistemas informáticos tendrá siempre en mente los siguientes procesos: -
Planificar tareas y tiempo. Realizar procesos de gestión de riesgos. Administrar recursos. Programar el trabajo. Generar documentos de soporte (Evidencias) del trabajo realizado. Generara informes de auditoría y observaciones de procesos. Realizar seguimientos a las auditorías y comités de las mismas. Generar reportes completos y profesionales. Control Interno
Son políticas que se establecen para la realización de procesos y procedimientos de uso regular (casi diario) dentro de la organización, los cuales se pretende sean realizados de una forma estándar para poder ser medidos, evaluados o corregidos si es el caso. El control interno permite una fácil detección de fallas en un proceso, definir su responsable, su posible resultado y si es necesario mejoras al mismo. Objetivos del control interno informático: - Establecer como prioridad la seguridad y protección de la información del sistema computacional y de los recursos informáticos de la empresa. - Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su procesamiento en el sistema y la emisión de informes en la empresa. - Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas en la empresa. - Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de sistematización de la empresa.
PDF created with pdfFactory trial version www.pdffactory.com
-
Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información en la empresa.
Elementos fundamentales del control interno informático -
Controles internos sobre la organización del área de informática Controles internos sobre el análisis, desarrollo e implementación de sistemas Controles internos sobre operación del sistema Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados. Controles internos sobre la seguridad del área de sistemas. La Arquitectura Empresarial
Es la visión de alto nivel de la estructura del negocio, la forma como se compone internamente y como se divide en dependencias funcionales. Esta es utilizada para diseñar el flujo de información de un área a otra y para ver el control que tienen y las interdependencias de unas áreas con otras. La Arquitectura Empresarial es modelable y susceptible de cambios, debe estar acorde con la misión y visión de la empresa y es el punto de referencia obligado para la toma de decisiones.
PDF created with pdfFactory trial version www.pdffactory.com