Objetivos
Objetivo general
El objetivo principal de la auditoria es el revisar de manera interna a la empresa la estructura, funcionalidad, y operación de los procesos actuales que se desarrollan en el área de TI, se buscarán posibles debilidades o ausencias de información, control, integridad, en fin, cualquier aspecto que afecte negativamente el desempeño y el rendimiento de la organización a corto o largo plazo. Los procesos que deberán ser evaluados se encuentran dentro del marco de trabajo COBIT en su versión 4.1 sobre gobierno de TI y son: AI4 Facilitar la operación y el uso, AI6 Administrar cambios, DS5 Garantizar la seguridad de los sistemas, DS10 Administrar los problemas y ME2 Monitorear y evaluar el control interno.
Objetivos específicos
· Realizar sugerencias específicas de aspectos a implementar o adecuar para los procesos auditados y así mejor el rendimiento de la empresa.
· Conocer los modelos de los procesos auditados con el fin de verificar su veracidad, integridad, seguridad, accesibilidad, concordancia y comunicación con otros procesos, siempre y cuando sean pertinentes y se puedan verificar estos aspectos.
· El objetivo de las listas de chequeo es identificar si se cumple o no con los aspectos de control establecidos para cada proceso, además se pueden adicionar observaciones que permitan identificar la causa del inconveniente o justificar la elección del auditor.
· El objetivo de las entrevistas en consultar el conocimiento del encargado o responsable del proceso sobre cómo funciona este, si conoce el comportamiento y relaciones normales del proceso y otros aspectos específicos para cada proceso. Además las entrevistas corroboran los datos y procedimientos que fueron suministrados en formato escrito.
· El objetivo de las pruebas aleatorias consiste en examinar de manera no secuencial aspectos de cada proceso, solo cuando estos aparentemente estén bien estructurados e implementados y posean muchas variables o aspectos y por esto sean tediosos para evaluar.
Criterios para la auditoria
Fuentes de criterios
Los criterios que se han establecido para efectuar la auditoria se encuentran bajo el marco de trabajo COBIT versión 4.1 sobre Gobierno de TI, y se establecen los criterios u objetivos de control necesarios para poder auditar cada proceso, cada proceso en el marco de trabajo posee sus propios objetivos de control y estos serán incluidos además de los que el auditor considere pertinentes para evaluar completamente el proceso.
Definición de los criterios
Los criterios generales para todos los procesos objeto de la auditoria son:
· La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.
· La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.
· La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.
· La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.
· La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.
· El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.
· La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
Tomado literalmente de Cobit 4.1 (IT Governance Institute)
Procedimientos
1. Solicitud y revisión de la documentación sobre procesos.
2. Aplicar las listas de chequeo.
3. Realizar entrevistas con los encargados y subordinados relacionados a los procesos.
4. Corroborar los datos obtenidos de las listas de chequeo por proceso y entrevistas por medio del levantamiento de procesos y seguimiento del mismo, en caso de ser procesos con volúmenes de datos grandes se realizan pruebas aleatorias, y dado el caso de encontrar una inconsistencia revisar dicho proceso de manera exhaustiva.
5. Realizar un informe previo de auditoría.
6. Presentar y discutir el informe previo para corregir y acordar las inconsistencias en la auditoria.
7. Realizar el informe final de auditoría con las sugerencias pertinentes.
8. Presentar y sustentar el informe final.
Instrumentos
Listas de chequeo
Objeto de control | Cumple | Observaciones | ||
Si | No | |||
AI4 Facilitar la operación y el uso | ||||
Se posee un plan para identificar y documentar los aspectos técnicos (plan de soluciones de operación) | ||||
Se transfiere a la gerencia el conocimiento de los procesos y se incluye las características de seguridad | ||||
Se transfiere el conocimiento y habilidades al personal de soporte técnico y operaciones. | ||||
Se realiza el entrenamiento inicial y continuo al personal de soporte técnico y operaciones para la transferencia de conocimiento. | ||||
Se entrenan a los usuarios para que usen los sistemas y aplicaciones | ||||
AI6 Administrar cambios | ||||
Existe un procedimiento que de manera estándar maneje las solicitudes para cambios en la infraestructura y aplicativos | ||||
Se evalúan las solicitudes de cambio de los sistemas en términos operacionales y funcionales | ||||
Se posee un proceso para cambios de emergencia | ||||
Se realiza la documentación y pruebas después de la implantación de un cambio de emergencia | ||||
Se hace seguimiento y se reportan los cambios a los interesados | ||||
Se actualiza la documentación de usuario y procedimientos después de un cambio | ||||
Se posee un plan de revisiones para garantizar la completa implantación de cambios | ||||
DS5 Garantizar la seguridad de los sistemas | ||||
Se administra la seguridad de manera alineada con los requerimientos del negocio | ||||
Se posee un plan de seguridad de TI que cubra los requerimientos del negocio | ||||
El plan de seguridad está enmarcado en la infraestructura de TI y cultura de seguridad | ||||
Se tiene un plan de comunicación de políticas y procedimientos de seguridad para los interesados y los usuarios | ||||
Se poseen controles de autenticación para todos los usuarios | ||||
Las necesidades de acceso están alineadas con las necesidades del negocio y además están documentadas | ||||
Las nuevas autorizaciones siguen un procedimiento y es aprobado por el responsable del sistema e implementado por la persona encargada de la seguridad | ||||
Las técnicas de autenticación son rentables y se mantienen actualizadas | ||||
Están establecidos los procedimientos para solicitud, eliminación, actualización o modificación de cuentas de usuario | ||||
Se realizan revisiones regulares sobre la gestión de cuentas y privilegios asociados | ||||
Se monitorea de forma pro-activa la seguridad de TI | ||||
Se pueden obtener los registro sobre actividades inusuales o anormales en el ingreso al sistema | ||||
Se garantiza que la tecnología relacionada a la seguridad es resistente al sabotaje y no proporciona información confidencial | ||||
Se poseen políticas para la generación, destrucción, cambio de información relacionada con la seguridad | ||||
Se han establecido medidas para la detección y corrección de problemas causados por malware. | ||||
Se poseen controles físicos para garantizar la seguridad de las redes | ||||
Se poseen controles para la transferencia o comunicación de datos sensibles para la empresa. | ||||
DS10 Administración de problemas | ||||
Existen procesos para reportar y clasificar los problemas | ||||
Cuando se registrar los problemas se asignan estos a un responsable ya definido | ||||
Se puede hacer el levantamiento de los problemas desde la raíz hasta los problemas relacionados | ||||
Están relacionados los problemas e incidentes con la administración de cambios y configuración | ||||
DS 11 Administración de datos | ||||
Los datos se procesan de manera precisa y a tiempo, además los resultados se entregan de acuerdo a los requerimientos | ||||
Existen procedimientos para el almacenamiento que cumplan con las políticas de la organización y requerimientos regulatorios | ||||
Se posee un medio de inventario de los archivos almacenados que garantice el acceso a los mismos | ||||
Existen políticas de eliminación de archivos software y hardware relacionado | ||||
Existen políticas para el respaldo de sistemas, aplicaciones y datos alineados con el plan de continuidad y requerimientos del negocio | ||||
Se considera un plan de seguridad para la administración de datos | ||||
ME2 Monitorear y evaluar el control interno | ||||
Se monitorea de manera continua el ambiente de control de TI | ||||
Se monitorean y evalúa la eficiencia y efectividad de la auditoría interna | ||||
Se han identificado las excepciones de control y se idéntica claramente sus causantes, además se hacen los reportes a los interesados | ||||
Se evalúan los controles de gerencia sobre procesos, políticas y contratos de TI por un programa continuo de autoevaluación | ||||
Se evalúan los controles internos por parte de terceros | ||||
Se evalúan los controles internos para los servicios externos | ||||
Se identifican y realizan correcciones correspondientes a la evaluación de controles, además estos se documentan | ||||
Entrevistas
Las entrevistas consisten en un complemento para las listas de chequeo y consisten esencialmente en la interacción y documentación de las experiencias y justificaciones que brinden los entrevistados acerca de preguntas especificas relacionadas con los objetivos de control de cada proceso del marco de trabajo.
En las entrevistas se deberá constatar con otros entrevistados la veracidad de las versiones anteriormente suministradas. En caso de encontrar inconsistencias se harán las entrevistas adicionales necesarias. El carácter de las entrevistas es formal y se harán de manera aleatoria y sin previo aviso en algunos casos.
Durante la entrevista se deberán solicitar ciertos documentos que corroboren lo que dicen los entrevistados.
No hay comentarios:
Publicar un comentario