Auditorías Proactivas del Gobierno de TI

Transcripción

1 Auditorías Proactivas del Gobierno de TI RODOLFO SZUSTER, CISA CIA CBA GERENTE AUDITORIA INTERNA TARSHOP SA PRESIDENTE ISACA BUENOS AIRES CHAPTER

2 RODOLFO SZUSTER, CISA CIA CBA Actualmente: Presidente de ISACA BsAs Chapter, miembro del Professional Standards and Career Management Committee de ISACA Intl. y Gerente de Auditoría en Tarshop SA, empresa del Grupo Banco Hipotecario. Contador Publico, UADE Postgrados en Gobierno y Control de Sistemas de Información y de Calidad en Empresas de Servicios, en AUSTRAL. Programa Ejecutivo de Desarrollo en Management San Andrés. Certificados: CISA(ISACA) CIA(The IIA) CBA (BAI). Inspector de la Superintendencia de Entidades Financieras y Cambiarias del BCRA. Gerente de las áreas de Auditoría de TI, Seguridad de la información y Desarrollo de Software en Banco Patagonia; Gerente externo de Proyectos de TI para Banco Supervielle. {Su foto} Gerente Auditoría Interna Tarshop SA Presidente ISACA BsAs Chapter AUDITORIA

3 Agenda - Enfoque de auditoría proactiva, - Mejora Continua elevando el nivel de madurez, - TI en la actualidad un reto superador al negocio! - Gobierno de TI una visión práctica, - Tips para Auditorías Proactivas del Gobierno de TI,

4 Enfoque de Auditoría Proactiva. Transformando a los actores de la auditoría en PROTAGONISTAS

5 Enfoque de Auditoría Proactiva. Transformando a los actores de la auditoría en PROTAGONISTAS - Cómo y Qué hago? - Agregando valor. - Quitando prejuicios. Escucha activa del auditado y su entorno - Sin poder suficiente no se puede. - Alcance: Prometer solo lo que se pueda cumplir. - Controles basados en riesgos. - Preventivos vs. detectivos y reactivos - Estándares servidos a la carta! COBIT5 Benchmark. - Auditar por y para un (EL) negocio sustentado en principios de buen Gobierno Corporativo. - Nivel de capacitación. Conocer la carga de cada encargo. - Generando confianza

6 Mejora Continua elevando el nivel de madurez - Observaciones recurrentes. - Qué está mal vs. Qué es lo que falta? - Viendo una película más allá de la foto.

7 TI en la actualidad un reto superador al negocio! Madurez requeridas por normativas... Speed to market: precisión y rapidez de la mano... Igualarse a la competencia para después diferenciarse... Excelencia en la calidad de servicio... Posicionarse como líderes... Productos en góndola... Política de flexibilidad... Etc. Etc. Etc.

8 Gobierno de TI una visión práctica, Liderazgo, procesos y estructura que garantice que la TI habilita y soporta las estrategias y los objetivos organizacionales definiendo: 1. Cuales decisiones claves deben ser tomadas 2. Quien es responsable de las mismas 3. Como deben ser ejecutadas 4. El proceso y las estructuras que lo soportan, incluyendo el monitoreo de aceptación del proceso y la efectividad de las decisiones Performance Measurement Strategic Alignment Value Delivery IT Governance Domains Resource Management Risk Management

9 Gobierno de TI una visión estraégica,

10 Tips para Auditorías Proactivas. - Auditando el gobierno de TI y la administración de sus riesgos - Existe una estructura organizativa de TI sólida? - Está comunicada a la Organización? - Fluye con autoridad suficiente? - Participa de las decisiones importantes? - Está alineada la Organización? - Están alineados al negocio los proyectos de TI? - El presupuesto se invierte de manera adecuada? - Están debidamente informatizadas las líneas criticas del negocio? - Se llega a tiempo con el time to market? - Hay metodologías customizadas a la cultura inherente a la empresa? - Se invierte mas en templates que en valor agregado? - Se ha trazado una línea de crecimiento en la madurez al futuro? - Los recursos están siendo capacitados en línea al avance tecnológico? - Hay un plan de capacitación acorde al Plan de Tecnología a futuro? - Está garantizada la estrategia de knowledge management?

11 Tips para Auditorías Proactivas. - Auditando el gobierno de TI y la administración de sus riesgos (cont.) - Son identificados los riesgos y hay planes de remediación? - Se anticipan los problemas para su mitigación? - Antes de lanzar un proyecto se verifica la disponibilidad de presupuesto y recursos? - Están adecuadamente conformados los grupos del proyecto? - Los activos de TI están inventariados y su mantenimiento controlado? - Todas las adquisiciones e implementaciones pasan por el área de TI? - Antes de realizar inversiones se verifica que se tiene y como se utiliza? - El alcance de un nuevo proyecto establece como se efectuará su mantenimiento luego de la implantación? - Los recursos críticos están cubiertos por procesamiento alternativo? - Está asegurada la operación continua de los procesos críticos? - Existe un plan de contingencia probado y actualizado?

12 Tips para Auditorías Proactivas. - Auditando la gestión de protección de los activos de información - Administración de la seguridad informática - Existen políticas robustas? - Se cubren todos los ambientes? - Hay recursos bien capacitados? - Gestión de los riesgos de los activos de información - Está definido quién es el dueño del dato? - Hay un mapa de activos de información completo? - Están establecidas las políticas de, por ejemplo: acceso y retención? - Respuesta ante Incidentes - Hay un procedimiento comunicado de manejo de incidentes? - Se toman acciones preventivas y correctivas a partir de los incidentes?

13 Tips para Auditorías Proactivas. Auditando la administración de proyectos Está la Organización preparada culturalmente y en madurez suficiente para este tipo de procesos? Hay metodología para el seguimiento y control de los proyectos? Se ha customizado la metodología a la realidad cultural de la empresa? Los cuadros de indicadores están elaborados sobre lo que realmente se necesita saber? Hay una estructura para el adecuado funcionamiento de la PMO? Existe metodología para identificar y tratar a los cambios de alcances?

14 Tips para Auditorías Proactivas. Auditando el ciclo de desarrollo de software Existen metodologías? Hay QA? cual su rol y como lo hace? Quién habla con el cliente final? Quién aprueba el desarrollo? Los ambientes no productivos, son tan robustos como se necesita? Quién custodia los prog. fuentes? Cómo lo hace? Cuál es el proceso para control de los cambios de emergencia? Cómo se gestiona el conocimiento? Dónde reside el conocimiento? Cómo se limita la dependencia del programador? Es conocido el capacity del área? Como se comprometen las fechas de entrega? Se registran las horas? Hay un proceso de facturación del servicio interno?

15 Tips para Auditorías Proactivas. Auditando la entrega y soporte de servicios de TI Están alineados los esfuerzos respecto al ciclo de desarrollo? Hay penalidades contractuales establecidas? El capacity plan está reevaluado periódicamente? Si se terceriza; quién tiene los manuales de operación? Es homogénea la infraestructura de los nuevos proyectos? A quién se llama si algo no funciona? Estructura basada en compromiso El help desk tiene bitácora de problemas recurrentes? Se lleva adelante el enfoque de Toyota? Se escalan adecuadamente los problemas?

16 Información de Contacto RODOLFO SZUSTER, CISA CIA CBA (5411)

17 Preguntas y Respuestas

18 Muchas Gracias por su atención!