Controles Administrativos.
El objetivo preliminar de la revisión del marco de control de la administración de las instalaciones computacionales es ver si la administración realiza bien su trabajo. La calidad de la administración tiene una influencia sobre la calidad del control a nivel detallado y en la medida en que los datos son salvaguardados, conservados íntegros y en que el sistema funcione eficiente y efectivamente.
Examinar evaluar el marco de control es importante por dos razones:
El auditor puede usar la evaluación como una base para determinar la naturaleza y extensión de las pruebas detalladas para ser utilizadas por los sistemas de aplicación. La calidad del marco de control administrativo afecta la calidad del procesamiento de datos en el futuro. El auditor puede formase una idea de si los sistemas de aplicación son candidatos para degradarse en el futuro.
Los auditores no pueden evaluar la administración a menos que sepan lo que la administración debe estar haciendo para ello hay que evaluar las funciones que la administración debe desarrollar.
A continuación se muestran las funciones que la administración debe hacer:
• Planeación: Determinar las metas de la instalación y los medios para lograrlos.
• Organización: Proporcionar instalaciones y actividades de grupo y personales necesarias para realizar las tareas.
• Staff: Seleccionar y entrenar el personal requerido para el logro de las tareas.
• Dirección: Coordinar actividades, proveer un liderazgo y guía, motivación personal.
• Control: Comparar el actual desempeño con el planeado como una base para ajustar acciones.
El auditor deberá conocer un poco más sobre los elementos relacionados con la administración y que tienen impacto directo o indirecto en el área de informática del negocio. A continuación se expone con un poco mas de detalle los puntos importantes de cada función de administración de la Alta dirección y de la dirección de informática
Evaluación de la Función de Planeación.
La alta dirección y la dirección de informática deben contestar a la siguiente pregunta:
¿Cómo deben ser utilizadas la tecnología de información para el apoyo a los procesos organizacionales y como estos están relacionados con la estrategia del negocio y sus objetivos institucionales?
El CEO (Chief Excecutive Officer) quien es el director general de la empresa al igual que el CIO (Chief Information Officer) Director de Informática o Sistemas están involucrados en las funciones de planeación que tienen que ver con el area de tecnología de información en la empresa.
La alta dirección participa en la función de planeación de tecnología de información a través de un comité de manejo. Este comité debe producir un plan maestro para el uso de tecnología de información (TI) que guíe el desarrollo a largo plazo y el director de informática debe participar en el establecimiento de políticas y objetivos a corto plazo.
El comité de manejo en el cual se agrupan representantes de las diferentes áreas del negocio tiene otras funciones como las siguientes:
• Establecer el tamaño y alcance de la función de TI
• Definir prioridades dentro de estos límites.
• Asegurar la existencia de un sistema de comunicación viable en el área de informática
• Monitorear el cumplimiento de las funciones de informática
• Medir los resultados de los proyectos de informática en términos de retorno sobre la inversión (ROI).
La planeación a largo plazo debe incluir un punto en donde considere como los planes del Departamento de Servicios de Información ayudarán al logro de los objetivos.
Algunos puntos importantes a revisar son:
• La compatibilidad en la documentación de los planes y objetivos del Departamento de Servicios de Información.
• Determinar la consistencia entre lo que el usuario quiere y lo que se encuentra planeado en el Departamento de Servicios de Información.
• Determinar la eficiencia y efectividad de plan del Departamento de Servicios de Información.
Se debe de auditar las responsabilidades y funciones del comité, sus minutas, determinar que sus metas sean consistentes para el logro de los planes y metas de la organización.
La planeación a largo plazo del departamento de servicios de información debe estar integrada con los planes de la organización. Se debe verificar que sean compatibles con cambios organizacionales, avances tecnológicos, y requerimientos regulatorios.
Los planes a corto plazo deberán ser compatibles con los de largo plazo así como los planes de corto plazo del departamento de servicios de información con los de la organización.
Algunos conceptos importantes en términos administrativos y de auditoria son: Políticas, Estándares y Procedimientos los cuales serán tratados con mas detalle en otra sección pero que aquí son señalados ya que estamos hablando de la forma en que la administración es llevada a cabo en el área de informática.
Políticas directivas del administrador general definen la relación entre el departamento de sistemas de información y el departamento del usuario, son desarrolladas y comunicadas a todos los afectados, se deberá de auditar que se cuente con dichas políticas y que la forma en que se comunican sea la adecuada.
Estándares regulan la adquisición de los recursos del departamento de servicios de información, diseño, desarrollo y modificación de los sistemas y la operación de la función de servicios de información. Debe ser coordinada, mantenida y comunicada a los departamentos afectados. Se deberá evaluar los procesos de aplicación de estándares, y que los procesos afectados por estos estándares cumplan.
Los procedimientos describen el manejo y la responsabilidad para gobernar la relación entre departamento de servicios de información y los usuarios. Se deberán evaluar las responsabilidades de que efectúen los procedimientos y que sean comunicados a los departamentos afectados en forma adecuada.

Enlace a segunda Parte De Controles y Seguridad Informatica

http://www.taringa.net/posts/apuntes-y-monografias/6383773/Segunda-Parte-Seguridad-Informatica%28Guia-40-horas%29.html