UNIVERSIDAD CENTRAL DEL ECUADORFACULTAD DE CIENCIAS

ADMINISTRATIVASESCUELA DE CONTABILIDAD Y

AUDITORIA

AUDITORIA DE SISTEMAS INFORMATICOS

PLANIFICACIÓN Y ORGANIZACIÓN-DOMINIO

ANDRÉS LEMA

CA9-4

DR. CARLOS ESCOBAR

PLANIFICACIÓN Y ORGANIZACIÓN

La organización y planificación es la capacidad de fijar metas y prioridades a la hora de realizar una tarea, desarrollar un área o un proyecto conviniendo la acción, los plazos y los recursos que se deben utilizar.Es la habilidad que hay que poner en marcha cuando se tiene que hacer concurrir las acciones coordinadas de un conjunto de personas, en tiempo y costes efectivos de modo que se aprovechen del modo más eficiente posible los esfuerzos y se alcancen los objetivos.Planificar y organizar significa que se estudian previamente los objetivos y acciones, y se sustenten los actos no en intuiciones sino poniendo en marcha algún método, plan o la pura lógica.

PO 1: DEFINICIÓN DE UN PLAN ESTRATÉGICO

El Planeamiento Estratégico tiene como base al análisis (siguiendo el método científico) y a una modesta, pero no por ello es menos importante. El Planeamiento Estratégico representa un punto de equilibrio entre los procesos analítico (en base a nuestro razonamiento) e intuitivo (en base a nuestro juicio o propia experiencia). Esto lo logramos elaborando "escenarios marco" sobre los cuales realizamos simulaciones entre diferentes suposiciones o cambios en las variables más sensibles (externas e internas) en relación a nuestras organizaciones. Así el Planeamiento Estratégico involucra el dominio de temas como la demanda por nuestros productos y/o servicios, los factores que afectan nuestra capacidad de oferta, nuestras fortalezas, debilidades y oportunidades; el análisis del entorno competitivo y cambios tecnológicos, así como las implicancias de carácter financiero inherentes a las decisiones operativas, más conocidas como amenazas.

FACTORES DEL PLANEAMIENTO ESTRATÉGICO

EL ENTORNO: La organización existe en el contexto de un complejo mundo comercial, económico, político, tecnológico, cultural y social. Este entorno cambia y es más complejo para unas organizaciones que para otras.

LOS RECURSOS: Estos puntos fuertes y débiles pueden ser identificados a través del estudio de las áreas, Recursos Humanos y recursos materiales de la organización, como las instalaciones, su estructura financiera y sus productos/servicios.

LAS EXPECTATIVAS: Los que esperan del futuro los diferentes agentes es importante, pues influirá en lo que se considera aceptable en términos de estrategias anticipadas por la Alta Dirección.

LAS BASES: El entorno, los recursos y las expectativas, en el marco cultural y político de la organización proporcionan las bases del análisis estratégico.

PO 2: DEFINICIÓN DE LA ARQUITECTURA DE INFORMACIÓN

En su nivel más básico la AI se basa en cuatro pilares fundamentales que son:

- Organización: Cómo puede organizarse la información? Alfabéticamente Por tópicos Cronológicamente - Presentación: Cómo es trasmitida la información? Con palabras, tarjetas, ilustraciones, foto, audio, video Con una combinación de lo anterior Diferentes secciones o sub sitios con URL (Uniform

Resource Locator) propia - Navegación. Cómo encontrarán los visitantes lo que buscan? Cómo se moverán a través del sitio? Cómo sabrán donde están? - Cambio Cómo diferenciará los elementos del sitio donde esta? La estructura del sitio soportará los cambios del

crecimiento del mismo? Trabajará la navegación aun cuando se adicionen o

supriman contenidos?

El estudio de la organización de la información y las tecnologías con el objetivo de permitir al usuario encontrar su vía de navegación hacia el conocimiento y la comprensión de la información.

DETERMINACIÓN DE LA DIRECCIÓN TECNOLÓGICAEvaluar los controles:

Considerando sí:Existe un proceso para la creación y la actualización regular del plan de infraestructura tecnológica para confirmar que los cambios propuestos estén siendo examinados primero para evaluar los costos y riesgos inherentes, y que la aprobación de la Presidencia sea obtenida antes de realizar cualquier cambio al plan.El plan de infraestructura tecnológica está siendo comparado contra los planes a largo y corto plazo de tecnología de información.Existe un proceso para la evaluación de la situación tecnológica actual de la organización para asegurar que abarca aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de migración.

PO 3: DETERMINACIÓN DE LA DIRECCIÓN TECNOLÓGICA

Evaluar la suficiencia: Probando que: La administración de la función de

servicios de información comprende y utiliza el plan de infraestructura tecnológica.

Se hayan realizado cambios al plan de infraestructura tecnológica para identificar los costos y riesgos inherentes, y que dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnología de información.

La administración de la función de servicios de información comprende el proceso de monitoreo y evaluación de nuevas tecnologías, y que incorpora tecnologías apropiadas a la infraestructura de servicios de información actual.

DETERMINACIÓN DE LA DIRECCIÓN TECNOLÓGICA

Evaluar el riesgo de los objetivos de control no cumplidos:

Llevando a cabo: Mediciones ("Benchmarking")

de la planeación de infraestructura tecnológica contra organizaciones similares o estándares internacionales/buenas prácticas reconocidas en la industria apropiadas.

DETERMINACIÓN DE LA DIRECCIÓN TECNOLÓGICA

Identificando: Inconsistencias en el

modelo de arquitectura de información y en el modelo de datos corporativo, en el diccionario de datos corporativo, en los sistemas de información asociados y en los planes a largo y corto plazo de tecnología de información.

PO 4: DEFINICIÓN DE LA ORGANIZACIÓN Y LAS RELACIONES DE TI

Definición de la organización y de las relaciones de TI

Objetivo: Prestación de servicios de TI

Esto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:

• El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus actividades. • Propiedad, custodia, la Gerencia deberá crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades deberán estar claramente definidas.

DEFINICIÓN DE LA ORGANIZACIÓN Y LAS RELACIONES DE TI

• Supervisión, para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente • Segregación de funciones, con la que se evitará la posibilidad de que un solo individuo resuelva un proceso crítico. • Los roles y responsabilidades, la gerencia deberá asegurarse de que todo el personal deberá conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas • La descripción de puestos, deberá delinear claramente tanto la responsabilidad como la autoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilización en evaluaciones de desempeño. Los niveles de asignación de personal, deberán hacerse evaluaciones de requerimientos regularmente para asegurar para asegurar una asignación de personal adecuada en el presente y en el futuro.

• El personal clave, la gerencia deberá definir e identificar al personal clave de tecnología de información .

PO 5: MANEJO DE LA INVERSIÓN

Presupuesto Operativo Anual para la Función de Servicios de Información

Monitoreo de Costos Justificación de Costos Del mismo modo los proyectos de

inversión no solo tienen riesgo financiero sino también riesgo no financiero. En los proyectos de inversión se requiere del manejo matemático, para el estudio de la relación costo-beneficio, tasa de retorno y de oportunidad, así como para conocer el rendimiento económico de la inversión.

PO 6: COMUNICACIÓN DE LA DIRECCIÓN Y ASPIRANTES DE LA GERENCIA

 Comunicar las Aspiraciones y la Dirección de la Gerencia.

La dirección debe elaborar un marco de trabajo de control empresarial para TI, y definir las políticas. Un programa de comunicación continua se debe implementar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc. , aprobados y apoyados por la dirección. La comunicación apoya el logro de los objetivos de TI y asegura la concienciación y el entendimiento de los riesgos del negocio y de TI. El proceso debe garantizar el cumplimento de las leyes y reglamentos relevantes.

PO 7: ADMINISTRACIÓN DE LOS RECURSOS HUMANOS

 Control sobre el proceso de TI de: Administración de recursos humanos. Que satisface los requerimientos de negocio de: Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI

3. Se hace posible a través de: Prácticas de administración de personal, sensatas, justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir Y toma en consideración:

• Reclutamiento y promoción • Entrenamiento y requerimientos de calificaciones • Desarrollo de conciencia • Entrenamiento cruzado y rotación de puestos • Procedimientos para contratación, veto y despidos • Evaluación objetiva y medible del desempeño • Responsabilidades sobre los cambios técnicos y de

mercado • Balance apropiado de recursos internos y externos • Plan de sucesión para posiciones clave

PO 8: ASEGURAR EL REQUERIMIENTO CON LOS REQUERIMIENTO EXTERNOS

Descripción del proceso Una supervisión efectiva del

cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificación de requerimientos de cumplimientos, optimizando y evaluando la respuesta, obteniendo aseguramiento de que los requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del negocio.

Se logra con La identificación de los

requerimientos legales y regulatorios relacionados con TI

La evaluación del impacto de los requisitos regulatorios

El monitoreo y reporte del cumplimiento de los requisitos regulatorios

PO 9: EVALUACIÓN DE RIESGOS

Sin conocer cuales son los riesgos reales a los que se enfrenta la infraestructura TI es imposible realizar una política de prevención y recuperación ante desastre mínimamente eficaz.

La Gestión de la Continuidad del Servicio debe enumerar y evaluar, dependiendo de su probabilidad e impacto, los diferentes riesgos factores de riesgo. Para ello la ITSCM debe:

Conocer en profundidad la infraestructura TI y cuales son los elementos de configuración (CIs) involucrados en la prestación de cada servicio, especialmente los servicios TI críticos y estratégicos.

Analizar las posibles amenazas y estimar su probabilidad.

Detectar los puntos más vulnerables de la infraestructura TI.

PO 10: ADMINISTRACIÓN DE PROYECTOS

Con base en la propuesta del PMI (Project Management Institute) e incorporando las mejores prácticas en desarrollo de software, outsourcing y servicio y soporte, TeraLOC ha desarrollado el modelo APTI que integra una serie de procesos, formatos y métricas para la gestión especializada de proyectos del área de las Tecnologías de Información.

El modelo APTI, incorporar prácticas recomendadas por CMMI (capability maturity model integrated), RUP (rational unified process), ITIL (information technology infraestructure library) en un marco de administración de proyectos en 4 fases o etapas: Inicialización, planeación, ejecución y control y finalización.

PO 11: ADMINISTRACIÓN DE CALIDAD

Por medio del Sistema de Gestión de Calidad de TI, se establece un conjunto integrad de procesos para garantizar que los productos y servicio de tecnología de información (TI) provistos por la organización son de calidad, satisfaciendo los requerimientos y expectativas de sus clientes y usuarios .

Contexto de la soluciónLa necesidad de la organización por mantenerse competitivas antes los nuevos retos del mercado, a propiciado que adopten esquemas de trabajo orientados a procesos para brindar a sus clientes productos de calidad al menor costo posible.