La Auditoría de la Dirección

De manera general, algunas de las actividades básicas de la dirección son planificar, organizar, coordinar y controlar.

1. Planificar
Trata de prever la utilización de las TI’s e la empresa. Existen varios tipos de planes informáticos, siendo el principal el Plan Estratégico de Sistemas de Información; de este plan se derivan otros, tales como el Plan Operativo Anual, de Dirección Tecnológica, de Arquitectura de la Información y de Recuperación de desastres.
El Plan Estratégico de Sistemas de Información es el marco básico de actuación de los SI’s en la empresa, por lo que debe asegurarse el alineamiento de los mismos con los objetivos de la empresa. Existen varias metodologías de realización de planes, y el auditor debe evaluar si dichas metodologías se están utilizando y son de utilidad para la empresa. Otros aspectos a evaluar son:
· Si durante el proceso de planificación se toma en cuenta el plan estratégico de la empresa, se establecen mecanismos de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos de cambios organizacionales, entorno legislativo, evolución tecnológica, organización informática, recursos, etc.
· Si se presta la adecuada consideración a las nuevas TI’s, siempre desde el punto de vista de su contribución a los fines de la empresa y no como experimentación tecnológica.
· Si las tareas presentes en el Plan tienen la correspondiente y adecuada asignación de recursos para realizarlas, y si los plazos para realizar dichas tareas son realistas en función de la situación actual de la empresa, de la organización informática, del estado de la TI, etc.


El Plan operativo Anual se establece al inicio de cada ejercicio y debe estar alineado con el plan estratégico, y debe señalar los SI a desarrollar, los cambios tecnológicos previstos, los recursos y plazos necesarios, etc. El auditor deberá evaluar la existencia del plan y su nivel de calidad, así como su alineamiento con el Plan Estratégico, su grado de atención a las necesidades del usuario, si prevé los recursos necesarios para realizar el plan, si los plazos descritos son realistas, etc.
2.Organizar y coordinar
El proceso de organizar sirve para estructurar los recursos, flujos de información y controles que permitan alcanzar los objetivos marcados durante la planificación.
El auditor debe verificar diversos puntos correspondientes a organización y control, entre los cuales se encuentran los siguientes:
· Que exista el Comité de Informática (formado por los directivos de las diferentes áreas de la empresa) y que cumpla con sus funciones, que serían la aprobación del Plan Estratégico, de inversiones de TI, de fijar prioridades en los proyectos informáticos, dar seguimiento al departamento de informática. Además, revisar que los acuerdos son tomados correctamente y que se tomen en cuenta los puntos de vista de todos los representantes de los usuarios.
· Verificar la posición del Departamento de Informática dentro de la empresa y evaluar su independencia frente a los departamentos usuarios.
· Comprobar que existan descripciones de funciones y responsabilidades documentadas y actualizadas del Departamento de Informática. Examinar la descripción de las funciones para evaluar si existe una adecuada separación de éstas, y observar las actividades desempeñadas por el personal del departamento para analizar el grado de cumplimiento de las funciones que están documentadas para cada puesto.
· Comprobar que existen estándares de funcionamiento y procedimientos que gobiernen la actividad del Departamento de Informática, así como la documentación de descripciones de puestos dentro del mismo. De igual forma, se debe evaluar el proceso por el que los estándares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados, y verificar que refleja las actividades realizadas en la práctica.
· Evaluar que la selección del personal se base en criterios objetivos y que tiene en cuenta la formación, experiencia y niveles de responsabilidades anteriores; que exista una evaluación periódica del rendimiento de cada empleado en base a estándares establecidos y responsabilidades específicas del puesto; la existencia de procesos para determinar las necesidades de capacitación del personal; que existen procesos para la promoción del personal tomando en cuenta su desempeño profesional; que existen controles que aseguren que un cambio de puesto o la finalización de contratos laborales no afectan a los controles internos ni a la seguridad informática.
· Evaluar las características de la comunicación entre la Dirección de Informática y el resto del personal del departamento, cuidando aspectos como: actitud positiva hacia los controles, integridad ética, cumplimiento de la normatividad interna, compromiso con la calidad, etc.
· Verificar la existencia de un presupuesto económico, de un proceso para elaborarlo y aprobarlo, que dicho proceso esté alineado con las políticas y procedimientos de la empresa y con los planes estratégico y operativo del propio departamento.
· Estudiar las pólizas de seguros y evaluar la cobertura existente, analizando si la empresa está suficientemente cubierta o existen huecos en dicha cobertura.
3.Controlar
Se debe vigilar el desarrollo de los planes estratégico y operativo y de los proyectos que los desarrollan, la ejecución de los presupuestos, la evolución de la cartera de peticiones pendientes de usuarios, los planes de capacitación, la evolución de cargas en los equipos y otros recursos, etc.
El auditor debe analizar los procedimientos de seguimiento y control del departamento, los procesos de presupuestación, así como revisar los planes, proyectos y presupuestos de años anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y se toman las medidas correctivas necesarias.