Planeación de Auditoría de TI
Páginas: 5 (1121 palabras)
Publicado: 13 de enero de 2015
Objetivo:
Identificar los componentes y etapas de una Auditoría aplicándolos en el desarrollo de un Plan de Auditoría para una empresa internacional de servicios informáticos.
Procedimiento:
1.
2.
3.
4.
Resultados:
a) Propuesta: Aplicación de Auditoría a:
1. Funcionamiento e integridad de y entre Sistemas.
2. Validación de integridad de bases de datos /información.
3. Aplicación de Políticas de security & compliance.
4. Inventarios.
5. Licenciamiento.
6. Control y Administración de Presupuesto.
7. Documentación de procesos (flujos, casos de uso y planes de contingencia).
8.
9. Aplicación de Controles operativos.
10. Controles de Calidad.
11. Medición de KPI’s (SLA´s).
12. Documentación y Administración de proyectos, apego a metodologías (PM,PMI).
13. Contratos.
14. Conciliación de Cartera, Facturación.
b) Programa de Auditoría de Procesos.
1. Identificar el tipo y enfoque de la auditoría que se estaría realizando: En el caso propuesto es una Auditoría de Procesos a una Empresa de TI.
2. Basado en la auditoría de procesos es necesario identificar las actividades que ejecuta la empresa en su día a día para la generación deproductos o servicios, así como sus dependencias y controles. Para ello se requiere analizar la Documentación de los Procesos, la cual debe tener la organización, basados en: Flujos, interrelaciones/dependencias, Casos de Uso, Controles y Planes de Mitigación.
3. Identificación de Estándares de Calidad a las que está sujeta la organización.
4. Definir las directrices que tendrá como objetivo laauditoría (scope):
Best practices para mitigación de riesgos.
Secutiry & compliance de la tecnología y sistemas de la organización.
Best practices para cumplir objetivos específicos.
Identificación de riesgos y comunicación al Staff committed.
Desarrollar propuestas de mejora.
5. Identificación de riesgos clave para el negocio y aspectos regulatorios.
6. Definición de la muestra.
7.Desarrollo de Calendario de auditoría y comunicación.
8. En base al scope de la auditoría se procede con la ejecución de la misma.
9. Se valida el proceso documentado vs su ejecución real.
10. Registro de hallazgos y consolidación de evidencias.
11. Desarrollo de Matriz de Fortalezas y Oportunidades detectadas.
12. Análisis de Riesgos e Impacto de las Oportunidades detectadas.
13. Sesiones conáreas auditadas para resolución de dudas sobre hallazgos o comprensión de procesos.
14. Elaboración de informe de resultados.
15. Incluir de propuesta de mitigación de riesgos o de mejora.(si aplica).
c) Preguntas de Pre-alineación.
¿Cuáles son los productos o servicios que genera la organización?
¿Cuál es la estructura de la organización?
¿La organización está sujeta a algún tipo deNorma ISO u otro estándar de calidad?
¿Alguna de las áreas clave tiene algún tipo de limitación en el alcance de sus objetivos?
¿Hay un área de control interno, hay trabajo previo de auditoría interna?
¿Hay algún riesgo grave que deba atacarse de inmediato para mitigarlo?
¿Cuenta con la documentación de sus procesos?, ¿Cuáles son las Entradas y Salidas de los procesos?
¿Los procesos estánalineados con las políticas, normas y códigos de ética de la organización?
¿Hay alguna normativa gubernamental / legal que deba cumplir la organización?
d) Documentación de la organización:
Políticas: Contienen los lineamientos o controles que deben cumplirse de forma obligatoria durante ejecución de los procesos, en algunos casos sirven para definir el rumbo del flujo del proceso.
Énfasis aobjetivos
Definen la dirección de la organización.
Firmas de la autoridad organizacional.
Estándares: Documentos que permiten la ejecución uniforme de los procesos y controles establecidos por la organización y las leyes gubernamentales.
Métodos uniformes de ejecución.
Obligatorios.
Incluyen estándares públicos: ISO, Sarbanes-Oxley y leyes del gobierno.
Líneas de Acción: Auxilian...
Identificar los componentes y etapas de una Auditoría aplicándolos en el desarrollo de un Plan de Auditoría para una empresa internacional de servicios informáticos.
Procedimiento:
1.
2.
3.
4.
Resultados:
a) Propuesta: Aplicación de Auditoría a:
1. Funcionamiento e integridad de y entre Sistemas.
2. Validación de integridad de bases de datos /información.
3. Aplicación de Políticas de security & compliance.
4. Inventarios.
5. Licenciamiento.
6. Control y Administración de Presupuesto.
7. Documentación de procesos (flujos, casos de uso y planes de contingencia).
8.
9. Aplicación de Controles operativos.
10. Controles de Calidad.
11. Medición de KPI’s (SLA´s).
12. Documentación y Administración de proyectos, apego a metodologías (PM,PMI).
13. Contratos.
14. Conciliación de Cartera, Facturación.
b) Programa de Auditoría de Procesos.
1. Identificar el tipo y enfoque de la auditoría que se estaría realizando: En el caso propuesto es una Auditoría de Procesos a una Empresa de TI.
2. Basado en la auditoría de procesos es necesario identificar las actividades que ejecuta la empresa en su día a día para la generación deproductos o servicios, así como sus dependencias y controles. Para ello se requiere analizar la Documentación de los Procesos, la cual debe tener la organización, basados en: Flujos, interrelaciones/dependencias, Casos de Uso, Controles y Planes de Mitigación.
3. Identificación de Estándares de Calidad a las que está sujeta la organización.
4. Definir las directrices que tendrá como objetivo laauditoría (scope):
Best practices para mitigación de riesgos.
Secutiry & compliance de la tecnología y sistemas de la organización.
Best practices para cumplir objetivos específicos.
Identificación de riesgos y comunicación al Staff committed.
Desarrollar propuestas de mejora.
5. Identificación de riesgos clave para el negocio y aspectos regulatorios.
6. Definición de la muestra.
7.Desarrollo de Calendario de auditoría y comunicación.
8. En base al scope de la auditoría se procede con la ejecución de la misma.
9. Se valida el proceso documentado vs su ejecución real.
10. Registro de hallazgos y consolidación de evidencias.
11. Desarrollo de Matriz de Fortalezas y Oportunidades detectadas.
12. Análisis de Riesgos e Impacto de las Oportunidades detectadas.
13. Sesiones conáreas auditadas para resolución de dudas sobre hallazgos o comprensión de procesos.
14. Elaboración de informe de resultados.
15. Incluir de propuesta de mitigación de riesgos o de mejora.(si aplica).
c) Preguntas de Pre-alineación.
¿Cuáles son los productos o servicios que genera la organización?
¿Cuál es la estructura de la organización?
¿La organización está sujeta a algún tipo deNorma ISO u otro estándar de calidad?
¿Alguna de las áreas clave tiene algún tipo de limitación en el alcance de sus objetivos?
¿Hay un área de control interno, hay trabajo previo de auditoría interna?
¿Hay algún riesgo grave que deba atacarse de inmediato para mitigarlo?
¿Cuenta con la documentación de sus procesos?, ¿Cuáles son las Entradas y Salidas de los procesos?
¿Los procesos estánalineados con las políticas, normas y códigos de ética de la organización?
¿Hay alguna normativa gubernamental / legal que deba cumplir la organización?
d) Documentación de la organización:
Políticas: Contienen los lineamientos o controles que deben cumplirse de forma obligatoria durante ejecución de los procesos, en algunos casos sirven para definir el rumbo del flujo del proceso.
Énfasis aobjetivos
Definen la dirección de la organización.
Firmas de la autoridad organizacional.
Estándares: Documentos que permiten la ejecución uniforme de los procesos y controles establecidos por la organización y las leyes gubernamentales.
Métodos uniformes de ejecución.
Obligatorios.
Incluyen estándares públicos: ISO, Sarbanes-Oxley y leyes del gobierno.
Líneas de Acción: Auxilian...
Leer documento completo
Regístrate para leer el documento completo.