¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí

Auditar y evaluar un sistema de información

Auditar es describir y calificar

Auditar un sistema de información consiste en comprenderlo en su globalidad y complejidad, identificando lo que constituye su fuerza, su debilidad y los riesgos de degradarlo. Para eso, tenemos que disponer de una herramienta que permita, por un lado, describir la situación sin omisiones y sin dejar nada en la sombra y, por otro lado, calificar lo existente para tener una visión crítica. La 2MSI nos aporta el soporte metodológico necesario:

  • La matriz de 21 piezas nos permite organizar las investigaciones y no dejar nada al margen.

  • Los tres criterios de supervisión, y sus nueve subcriterios, nos dan las herramientas para calificar el nivel de funcionamiento del SI.

A continuación, suponemos que la auditoría se realiza en la totalidad del sistema de información tomado como objeto.

La matriz 2MSI estructura la metodología de la auditoría

La realización de la auditoría supone identificar y recopilar los datos necesarios para caracterizar el sistema de información de la organización. Para cada una de las piezas de la matriz 2MSI, se trata de realizar una dinámica de evaluación.

Así, si consideramos la pieza infraestructuras de red y telecomunicaciones, la primera en la parte superior izquierda de la matriz, habrá que aplicarle los tres criterios y nueve subcriterios anteriormente definidos, para establecer el estado del SI en este campo.

Análisis de la pieza infraestructuras de red y telecomunicaciones

images/DP03-A.png

Para calificar este estado, atribuimos una nota de 1 a 10 a cada uno de los tres subcriterios. La nota depende de su nivel de satisfacción. La media de los subcriterios permite obtener una valoración del criterio, que se considera satisfecho si obtiene al menos 8.

Valoración de la pieza infraestructuras de red y telecomunicaciones

images/DP03-B.png

Cada pieza (en este caso, la pieza infraestructuras de red y telecomunicaciones) se evalúa según la cantidad de criterios satisfechos y lleva un color:

  • Pieza gris claro: tres criterios satisfechos. Quizás es necesario hacer mejoras, pero la política aplicada en este ámbito funcional es suficientemente madura para garantizar su parte dentro de la coherencia del SI.

  • Pieza gris...

La matriz 2MSI organiza la información necesaria para la realización de la auditoría

Una vez definido el método, la cuestión principal que se plantea el auditor es inventariar la materia que necesita para calificar lo que tiene que auditar. Dentro de esta perspectiva, nos apoyamos en los nueve subcriterios de valoración para organizar este inventario, respondiendo para cada uno de ellos a dos preguntas: ¿qué debo observar o recoger? ¿Qué método voy a usar para recoger y tratar esta información?

A continuación, retomamos un ejemplo de inventario elaborado para auditar el SI de uno de nuestros clientes, Spicojeu, como un importante establecimiento público industrial y comercial:

Calificar la calidad de la dirección estratégica

Elementos a observar o recoger

Métodos de recogida y tratamiento

Organigrama y definición de las responsabilidades.

Observación.

Entrevistas.

Estudio de descripciones de puestos de trabajo.

Si es necesario, reconstitución de las descripciones de puestos de trabajo.

Herramienta de gestión de proyectos: informes de comités de dirección, cuadros de indicadores, herramientas de creación de informes, posición de la dirección estratégica en los procedimientos.

Observación.

Entrevistas.

Estudio de los documentos.

Competencia del interviniente delegado de la dirección estratégica.

Posición en la organización.

Observación.

Entrevistas.

Estudio de los CV.

Entrevistas con la dirección superior.

Calificar la calidad de la dirección técnica

Elementos a observar o recoger

Métodos de recogida y tratamiento

Organigrama y definición de las responsabilidades.

Observación.

Entrevistas.

Estudio de las descripciones de puestos de trabajo.

Si es necesario, reconstitución de las descripciones de puestos de trabajo.

O estudio de los contratos de prestaciones o de infogerencia.

Herramientas de gestión de proyectos: informes de comités de dirección, cuadros de indicadores, herramientas de creación de informes y posición de la dirección técnica en los procedimientos.

Herramientas de gestión de procedimiento.

Observación.

Entrevistas.

Estudio de los documentos.

Estudio de los procedimientos y de los métodos de intervención...

Del diagnóstico a las recomendaciones operativas

Las recomendaciones operativas, es decir, las acciones que hay que realizar, se elaborarán usando a la vez la división en piezas de la matriz y las nueve puertas de entrada de la tabla de los criterios detallados de supervisión del sistema de información. 

Son posibles dos modos de presentación: tomar cada una de las piezas y trabajar las acciones que hay que iniciar para mejorar la situación en cada uno de los nueve subcriterios, o bien, usar los criterios para estructurar el análisis, aplicando cada uno de ellos a un recurso y a sus tres niveles de intervención.

Informe de auditoría pieza a pieza, criterio a criterio

images/DP03-D.png

Este método nos lleva a producir 21 análisis (uno por pieza), cada uno descompuesto según los nueve criterios, es decir, 189 elementos de estudio. Lo que, salvo por el inconveniente del volumen, tiene el valor de la simplicidad y de la operatividad. Es especialmente adecuado para la auditoría de SI grandes, donde el dimensionamiento necesita una división fuerte del plan de acción.

Informe de auditoría por criterios

images/DP03-E.png

El método que se apoya en los criterios consiste en construir el informe de auditoría en nueve capítulos (cada uno de los criterios) y en aplicarlos a cada una de las siete capas del SI. Entonces esto conduce a una división menor (63 elementos)...

Las prioridades y el plan de acción

La matriz 2MSI coloreada resultante de la auditoría del SI identifica con mucha claridad las piezas para las que se debe iniciar una acción prioritaria (en negro y en gris oscuro). Así favorece un enfoque jerarquizado y planificado del plan de acción.

La matriz coloreada destaca las acciones prioritarias

images/DP03-F.png

Por supuesto, la actualización de una pieza superior (protección del recurso) puede necesitar una acción previa en una pieza inferior. Igualmente, las adhesiones entre capas pueden implicar tratar con prioridad una pieza gris medio que desbloquea la acción que hay que realizar en una pieza negra.

Experiencia: la auditoría SI de la nueva empresa de transporte

Con ocasión de la auditoría del SI de la nueva empresa de transporte, de tamaño mediano y a nivel nacional, hemos establecido la matriz coloreada a continuación, enriquecida con comentarios breves. Este nivel de formulación estaba especialmente destinado a los encargados de la toma de decisiones que no son informáticos (presidente, directivos administrativos y comerciales) con el objetivo de reproducir los puntos destacados de la auditoría y poner de relieve las interacciones entre el estado del SI y el estado general de la empresa. El uso de la matriz coloreada ha demostrado ser especialmente pedagógico para crear representaciones ilustradas de la situación del SI.

La matriz resulta igualmente eficaz para derribar las barreras que con demasiada frecuencia llevan a los encargados de la toma de decisiones a, por un lado, subestimar los riesgos que pesan sobre su SI y, por otro lado, minimizar las consecuencias que tendría un fallo del SI sobre el funcionamiento de la empresa de la que son responsables.

images/tableau_page29.png
images/tableau_page30.png
images/tableau_page31.png
images/tableau_page32.png
images/tableau_page33.png
images/tableau_page34.png
images/tableau_page35.png

También hemos tenido la ocasión de probar una versión más simbólica de la matriz, usando códigos procedentes de la meteorología. Esta versión ha resultado ser especialmente impactante para crear representaciones robustas y memorizables en los encargados de la toma...