PROGRAMA DE AUDITORIA CHAUDITORIA CONSULTORES S.A Grupo 5 Carolina Naranjo García Leidy Tatiana Giraldo Candamíl José Leonardo Delgado Ramírez Universidad Nacional de Colombia Sede Manizales 2011 Objetivos Objetivo general El objetivo principal de la auditoria es el revisar de manera interna a la empresa la estructura, funcionalidad, y operación de los procesos actuales que se desarrollan en el área de TI, se buscarán posibles debilidades o ausencias de información, control, integridad, en fin, cualquier aspecto que afecte negativamente el desempeño y el rendimiento de la organización a corto o largo plazo. Los procesos que deberán ser evaluados se encuentran dentro del marco de trabajo COBIT en su versión 4.1 sobre gobierno de TI y son: AI4 Facilitar la operación y el uso, AI6 Administrar cambios, DS5 Garantizar la seguridad de los sistemas, DS10 Administrar los problemas y ME2 Monitorear y evaluar el control interno. Objetivos específicos Realizar sugerencias específicas de aspectos a implementar o adecuar para los procesos auditados y así mejor el rendimiento de la empresa. Conocer los modelos de los procesos auditados con el fin de verificar su veracidad, integridad, seguridad, accesibilidad, concordancia y comunicación con otros procesos, siempre y cuando sean pertinentes y se puedan verificar estos aspectos. El objetivo de las listas de chequeo es identificar si se cumple o no con los aspectos de control establecidos para cada proceso, además se pueden adicionar observaciones que permitan identificar la causa del inconveniente o justificar la elección del auditor. El objetivo de las entrevistas en consultar el conocimiento del encargado o responsable del proceso sobre cómo funciona este, si conoce el comportamiento y relaciones normales del proceso y otros aspectos específicos para cada proceso. Además las entrevistas corroboran los datos y procedimientos que fueron suministrados en formato escrito. El objetivo de las pruebas aleatorias consiste en examinar de manera no secuencial aspectos de cada proceso, solo cuando estos aparentemente estén bien estructurados e implementados y posean muchas variables o aspectos y por esto sean tediosos para evaluar. Criterios para la auditoria Fuentes de criterios Los criterios que se han establecido para efectuar la auditoria se encuentran bajo el marco de trabajo COBIT versión 4.1 sobre Gobierno de TI, y se establecen los criterios u objetivos de control necesarios para poder auditar cada proceso, cada proceso en el marco de trabajo posee sus propios objetivos de control y estos serán incluidos además de los que el auditor considere pertinentes para evaluar completamente el proceso. Definición de los criterios Los criterios generales para todos los procesos objeto de la auditoria son: La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos. La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. Tomado literalmente de Cobit 4.1 (IT Governance Institute) Procedimientos 1. 2. 3. 4. 5. 6. 7. 8. Solicitud y revisión de la documentación sobre procesos. Aplicar las listas de chequeo. Realizar entrevistas con los encargados y subordinados relacionados a los procesos. Corroborar los datos obtenidos de las listas de chequeo por proceso y entrevistas por medio del levantamiento de procesos y seguimiento del mismo, en caso de ser procesos con volúmenes de datos grandes se realizan pruebas aleatorias, y dado el caso de encontrar una inconsistencia revisar dicho proceso de manera exhaustiva. Realizar un informe previo de auditoría. Presentar y discutir el informe previo para corregir y acordar las inconsistencias en la auditoria. Realizar el informe final de auditoría con las sugerencias pertinentes. Presentar y sustentar el informe final. Instrumentos Listas de chequeo Objeto de control AI4 Facilitar la operación y el uso Se posee un plan para identificar y documentar los aspectos técnicos (plan de soluciones de operación) Se transfiere a la gerencia el conocimiento x de los procesos y se incluye las características de seguridad Se transfiere el conocimiento y habilidades x al personal de soporte técnico y operaciones. Se realiza el entrenamiento inicial y x continuo al personal de soporte técnico y operaciones para la transferencia de conocimiento. Se entrenan a los usuarios para que usen x los sistemas y aplicaciones AI6 Administrar cambios Existe un procedimiento que de manera x estándar maneje las solicitudes para cambios en la infraestructura y aplicativos Se evalúan las solicitudes de cambio de los x sistemas en términos operacionales y funcionales Se posee un proceso para cambios de x emergencia Se realiza la documentación y pruebas x después de la implantación de un cambio de emergencia Cumple Si No x Observaciones Se está buscando un plan que permita la documentación pertinente en cuanto a soluciones de operación y uso Los mecanismos son mediante documentos electrónicos que permitan la revisión y aprobación de la operaciones Normalmente se hacen anuncios boca boca pero se utilizan herramientas como corros internos para transmitir la información al personal Pero todavía no se tiene algún derrotero claro de lo que se transfiere. Se tiene un conocimiento básico acerca del uso de las aplicaciones que se tranfiere personalmente y por medio de tutoriales virtuales que resuelven las dudas de los usuarios Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, se administran formalmente y controladamente. Todas las solicitudes son debidamente revisadas de manera que se genere una retroalimentación de lo que se tiene y de lo que se quiere lograr con las operaciones y aplicaciones Según el impacto que tenga la empresa en sus operaciones se procede a hacer cambios de emergencia según su prioridad de incidencia, Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción. Se hace seguimiento y reporte del status del cambio, que garantice que se tiene un plan para cada cambio de emergencia. Se hace seguimiento y se reportan los x cambios a los interesados Se actualiza la documentación de usuario y x procedimientos después de un cambio Se posee un plan de revisiones para x garantizar la completa implantación de cambios Se hace seguimiento y reporte del status del cambio, que garantice que se tiene un plan para cada cambio de emergencia. Y para mantener informado a la alta gerencia de estos procesos Cada que se hace un cambio se efectúa un reporte que indique en detalle todo lo necesario de tal cambio. Y se transfiere a los usuarios ye interesados Se poseen aplicaciones que garantizan la completa implantación de los cambios Entrevistas Las entrevistas consisten en un complemento para las listas de chequeo y consisten esencialmente en la interacción y documentación de las experiencias y justificaciones que brinden los entrevistados acerca de preguntas especificas relacionadas con los objetivos de control de cada proceso del marco de trabajo. En las entrevistas se deberá constatar con otros entrevistados la veracidad de las versiones anteriormente suministradas. En caso de encontrar inconsistencias se harán las entrevistas adicionales necesarias. El carácter de las entrevistas es formal y se harán de manera aleatoria y sin previo aviso en algunos casos. Durante la entrevista se deberán solicitar ciertos documentos que corroboren lo que dicen los entrevistados.