Auditoras Proactivas del Gobierno de TI

RODOLFO SZUSTER, CISA CIA CBA

GERENTE AUDITORIA INTERNA TARSHOP SA
PRESIDENTE ISACA BUENOS AIRES CHAPTER

RODOLFO SZUSTER, CISA CIA CBA

Actualmente:
Presidente de ISACA BsAs Chapter,
miembro del Professional Standards and Career
Management Committee de ISACA Intl. y
Gerente de Auditora en Tarshop SA, empresa del
Grupo Banco Hipotecario.

Contador Publico, UADE

Postgrados en Gobierno y Control de Sistemas de
Informacin y de Calidad en Empresas de Servicios,
en AUSTRAL. Programa Ejecutivo de Desarrollo en
Management San Andrs.
Certificados: CISA(ISACA) CIA(The IIA) CBA (BAI).
Inspector de la Superintendencia de Entidades
Financieras y Cambiarias del BCRA.
Gerente de las reas de Auditora de TI, Seguridad
de la informacin y Desarrollo de Software en Banco
Patagonia;
Gerente externo de Proyectos de TI para Banco
Supervielle.

{Su foto}

Gerente Auditora Interna Tarshop SA

Presidente ISACA BsAs Chapter

AUDITORIA

Agenda
-

Enfoque de auditora proactiva,

Mejora Continua
elevando el nivel de madurez,

TI en la actualidad un reto superador al negocio !

Gobierno de TI una visin prctica,

Tips para Auditoras Proactivas

del Gobierno de TI,

Enfoque de Auditora Proactiva.

Transformando a los actores de la auditora en
PROTAGONISTAS

Enfoque de Auditora Proactiva.

Transformando a los actores de la auditora en
PROTAGONISTAS
-

Cmo y Qu hago?
- Agregando valor.
- Quitando prejuicios. Escucha activa del auditado y su entorno
- Sin poder suficiente no se puede.
- Alcance: Prometer solo lo que se pueda cumplir.
- Controles basados en riesgos.
- Preventivos vs. detectivos y reactivos

- Estndares servidos a la carta! COBIT5 Benchmark.

- Auditar por y para un (EL) negocio sustentado en principios de
buen Gobierno Corporativo.
- Nivel de capacitacin. Conocer la carga de cada encargo.
- Generando confianza

Mejora Continua
elevando el nivel de madurez
- Observaciones recurrentes.
- Qu est mal vs. Qu es lo que falta ?

- Viendo una pelcula ms all de la foto.

TI en la actualidad
un reto superador al negocio !
Madurez requeridas por
normativas ...
Speed to market: precisin y
rapidez de la mano ...
Igualarse a la competencia para
despus diferenciarse ...
Excelencia en la calidad de
servicio ...
Posicionarse como lderes ...
Productos en gndola ...
Poltica de flexibilidad ...
Etc. Etc. Etc.

Gobierno de TI
una visin prctica,
Liderazgo, procesos y estructura
que garantice que la TI habilita y
soporta las estrategias y los objetivos
organizacionales definiendo:

R
Man isk
agem

IT
Governance
Domains

ent

ic t D Valu
g
eli e
te en
a
ve
r
ry
St ignm
l
A
IT

e
anc t
n
orm
Perf sureme
Mea

1. Cuales decisiones claves deben ser

tomadas
2. Quien es responsable de las
mismas
3. Como deben ser ejecutadas
4. El proceso y las estructuras que lo
soportan, incluyendo el monitoreo
de aceptacin del proceso y la
efectividad de las decisiones

Resource
Management

Gobierno de TI una visin estragica ,

Tips para Auditoras Proactivas .

- Auditando el gobierno de TI y la administracin de sus
riesgos
- Existe una estructura organizativa de TI slida?
-

Est comunicada a la Organizacin?

Fluye con autoridad suficiente?
Participa de las decisiones importantes?
Est alineada la Organizacin?

- Estn alineados al negocio los proyectos de TI?

- El presupuesto se invierte de manera adecuada?
- Estn debidamente informatizadas las lneas criticas del negocio?
- Se llega a tiempo con el time to market?

- Hay metodologas customizadas a la cultura inherente a la empresa?

- Se invierte mas en templates que en valor agregado?
- Se ha trazado una lnea de crecimiento en la madurez al futuro?

- Los recursos estn siendo capacitados en lnea al avance tecnolgico?

- Hay un plan de capacitacin acorde al Plan de Tecnologa a futuro?
- Est garantizada la estrategia de knowledge management?

Tips para Auditoras Proactivas .

- Auditando el gobierno de TI y la administracin de sus
riesgos (cont.)
- Son identificados los riesgos y hay planes de remediacin?
- Se anticipan los problemas para su mitigacin?
- Antes de lanzar un proyecto se verifica la disponibilidad de presupuesto y
recursos?
- Estn adecuadamente conformados los grupos del proyecto?

- Los activos de TI estn inventariados y su mantenimiento controlado?

- Todas las adquisiciones e implementaciones pasan por el rea de TI?
- Antes de realizar inversiones se verifica que se tiene y como se utiliza?
- El alcance de un nuevo proyecto establece como se efectuar su
mantenimiento luego de la implantacin?

- Los recursos crticos estn cubiertos por procesamiento alternativo?

- Est asegurada la operacin continua de los procesos crticos?
- Existe un plan de contingencia probado y actualizado?

Tips para Auditoras Proactivas .

- Auditando la gestin de proteccin de los activos de
informacin
- Administracin de la seguridad informtica
- Existen polticas robustas?
- Se cubren todos los ambientes?
- Hay recursos bien capacitados?

- Gestin de los riesgos de los activos de informacin

- Est definido quin es el dueo del dato?
- Hay un mapa de activos de informacin completo?
- Estn establecidas las polticas de, por ejemplo: acceso y retencin?

- Respuesta ante Incidentes

- Hay un procedimiento comunicado de manejo de incidentes?
- Se toman acciones preventivas y correctivas a partir de los incidentes?

Tips para Auditoras Proactivas .

Auditando la administracin de proyectos
Est la Organizacin preparada culturalmente y
en madurez suficiente para este tipo de procesos?
Hay metodologa para el seguimiento y control de los proyectos?
Se ha customizado la metodologa a la realidad cultural de la
empresa?

Los cuadros de indicadores estn elaborados sobre lo que

realmente se necesita saber?
Hay una estructura para el adecuado funcionamiento de la PMO?

Existe metodologa para identificar y tratar a los cambios de

alcances?

Tips para Auditoras Proactivas .

Auditando el ciclo de desarrollo de software

Existen metodologas?
Hay QA? cual su rol y como lo hace?
Quin habla con el cliente final?
Quin aprueba el desarrollo?
Los ambientes no productivos, son tan robustos como se necesita?
Quin custodia los prog. fuentes? Cmo lo hace?
Cul es el proceso para control de los cambios de emergencia?
Cmo se gestiona el conocimiento? Dnde reside el conocimiento?
Cmo se limita la dependencia del programador?
Es conocido el capacity del rea? Como se comprometen las fechas de
entrega?
Se registran las horas? Hay un proceso de facturacin del servicio
interno?

Tips para Auditoras Proactivas .

Auditando la entrega y soporte de servicios de TI
Estn alineados los esfuerzos respecto al ciclo de desarrollo?
Hay penalidades contractuales establecidas?
El capacity plan est reevaluado peridicamente?

Si se terceriza; quin tiene los manuales de operacin?

Es homognea la infraestructura de los nuevos proyectos?
A quin se llama si algo no funciona? Estructura basada en
compromiso
El help desk tiene bitcora de problemas recurrentes? Se lleva
adelante el enfoque de Toyota? Se escalan adecuadamente los
problemas?

Informacin de Contacto
RODOLFO SZUSTER, CISA CIA CBA

Rodolfo.Szuster@tarshop.com.ar
Rodolfo.Szuster@adacsi.org.ar
(5411) 4340-3414

Preguntas y Respuestas

Muchas Gracias
por su atencin!