AI6 Administrar cambios F3

Anuncio
PROGRAMA DE AUDITORIA
CHAUDITORIA CONSULTORES S.A
Grupo 5
Carolina Naranjo García
Leidy Tatiana Giraldo Candamíl
José Leonardo Delgado Ramírez
Universidad Nacional de Colombia
Sede Manizales
2011
Objetivos
Objetivo general
El objetivo principal de la auditoria es el revisar de manera interna a la empresa la estructura,
funcionalidad, y operación de los procesos actuales que se desarrollan en el área de TI, se
buscarán posibles debilidades o ausencias de información, control, integridad, en fin, cualquier
aspecto que afecte negativamente el desempeño y el rendimiento de la organización a corto o
largo plazo. Los procesos que deberán ser evaluados se encuentran dentro del marco de trabajo
COBIT en su versión 4.1 sobre gobierno de TI y son: AI4 Facilitar la operación y el uso, AI6
Administrar cambios, DS5 Garantizar la seguridad de los sistemas, DS10 Administrar los problemas
y ME2 Monitorear y evaluar el control interno.
Objetivos específicos





Realizar sugerencias específicas de aspectos a implementar o adecuar para los procesos
auditados y así mejor el rendimiento de la empresa.
Conocer los modelos de los procesos auditados con el fin de verificar su veracidad,
integridad, seguridad, accesibilidad, concordancia y comunicación con otros procesos,
siempre y cuando sean pertinentes y se puedan verificar estos aspectos.
El objetivo de las listas de chequeo es identificar si se cumple o no con los aspectos de
control establecidos para cada proceso, además se pueden adicionar observaciones que
permitan identificar la causa del inconveniente o justificar la elección del auditor.
El objetivo de las entrevistas en consultar el conocimiento del encargado o responsable
del proceso sobre cómo funciona este, si conoce el comportamiento y relaciones normales
del proceso y otros aspectos específicos para cada proceso. Además las entrevistas
corroboran los datos y procedimientos que fueron suministrados en formato escrito.
El objetivo de las pruebas aleatorias consiste en examinar de manera no secuencial
aspectos de cada proceso, solo cuando estos aparentemente estén bien estructurados e
implementados y posean muchas variables o aspectos y por esto sean tediosos para
evaluar.
Criterios para la auditoria
Fuentes de criterios
Los criterios que se han establecido para efectuar la auditoria se encuentran bajo el marco de
trabajo COBIT versión 4.1 sobre Gobierno de TI, y se establecen los criterios u objetivos de control
necesarios para poder auditar cada proceso, cada proceso en el marco de trabajo posee sus
propios objetivos de control y estos serán incluidos además de los que el auditor considere
pertinentes para evaluar completamente el proceso.
Definición de los criterios
Los criterios generales para todos los procesos objeto de la auditoria son:







La efectividad tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
La eficiencia consiste en que la información sea generada con el óptimo (más productivo
y económico) uso de los recursos.
La confidencialidad se refiere a la protección de información sensitiva contra revelación
no autorizada.
La integridad está relacionada con la precisión y completitud de la información, así como
con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad se refiere a que la información esté disponible cuando sea requerida por
los procesos del negocio en cualquier momento. También concierne a la protección de los
recursos y las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.
La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia
administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
Tomado literalmente de Cobit 4.1 (IT Governance Institute)
Procedimientos
1.
2.
3.
4.
5.
6.
7.
8.
Solicitud y revisión de la documentación sobre procesos.
Aplicar las listas de chequeo.
Realizar entrevistas con los encargados y subordinados relacionados a los procesos.
Corroborar los datos obtenidos de las listas de chequeo por proceso y entrevistas por
medio del levantamiento de procesos y seguimiento del mismo, en caso de ser procesos
con volúmenes de datos grandes se realizan pruebas aleatorias, y dado el caso de
encontrar una inconsistencia revisar dicho proceso de manera exhaustiva.
Realizar un informe previo de auditoría.
Presentar y discutir el informe previo para corregir y acordar las inconsistencias en la
auditoria.
Realizar el informe final de auditoría con las sugerencias pertinentes.
Presentar y sustentar el informe final.
Instrumentos
Listas de chequeo
Objeto de control
AI6 Administrar cambios
Existe un procedimiento que de manera x
estándar maneje las solicitudes para
cambios en la infraestructura y aplicativos
Se evalúan las solicitudes de cambio de los x
sistemas en términos operacionales y
funcionales
Se posee un proceso para cambios de x
emergencia
Se realiza la documentación y pruebas x
después de la implantación de un cambio
de emergencia
Se hace seguimiento y se reportan los x
cambios a los interesados
Se actualiza la documentación de usuario y x
procedimientos después de un cambio
Se posee un plan de revisiones para x
garantizar la completa implantación de
cambios
Cumple
Si
No
Observaciones
Todos los cambios, incluyendo el
mantenimiento de emergencia y parches,
relacionados con la infraestructura y las
aplicaciones dentro del ambiente de
producción, se administran formalmente y
controladamente.
Todas las solicitudes son debidamente
revisadas de manera que se genere una
retroalimentación de lo que se tiene y de lo
que se quiere lograr con las operaciones y
aplicaciones
Según el impacto que tenga la empresa en
sus operaciones se procede a hacer cambios
de emergencia según su prioridad de
incidencia, Esto garantiza la reducción de
riesgos que impactan negativamente la
estabilidad o integridad del ambiente de
producción.
Se hace seguimiento y reporte del status del
cambio, que garantice que se tiene un plan
para cada cambio de emergencia.
Se hace seguimiento y reporte del status del
cambio, que garantice que se tiene un plan
para cada cambio de emergencia. Y para
mantener informado a la alta gerencia de
estos procesos
Cada que se hace un cambio se efectúa un
reporte que indique en detalle todo lo
necesario de tal cambio. Y se transfiere a los
usuarios ye interesados
Se poseen aplicaciones que garantizan la
completa implantación de los cambios
Entrevistas
Las entrevistas consisten en un complemento para las listas de chequeo y consisten esencialmente
en la interacción y documentación de las experiencias y justificaciones que brinden los
entrevistados acerca de preguntas especificas relacionadas con los objetivos de control de cada
proceso del marco de trabajo.
En las entrevistas se deberá constatar con otros entrevistados la veracidad de las versiones
anteriormente suministradas. En caso de encontrar inconsistencias se harán las entrevistas
adicionales necesarias. El carácter de las entrevistas es formal y se harán de manera aleatoria y sin
previo aviso en algunos casos.
Durante la entrevista se deberán solicitar ciertos documentos que corroboren lo que dicen los
entrevistados.
Descargar