caso riesgo tecnológico
Páginas: 10 (2274 palabras)
Publicado: 14 de noviembre de 2014
Caso Auditoría Computacional y Riesgo tecnológico.
I. Introducción : Definiendo los conceptos generales a considerar antes del inicio de la fiscalización
Como fiscalizador debo en primer lugar efectuar un análisis de la estructura de la organización, ya que su conocimiento me indicará el grado de segregación de funciones, la forma en que se canaliza la información a los diferentes niveles dela entidad, como se toman las decisiones y cómo se canalizan las soluciones, etc.
En ese contexto es importante también interiorizarme del Gobierno Corporativo y del Gobierno TI en cada una de las Administradoras que se fiscalizará. Es así como se debería evaluar y responderse las siguientes preguntas:
¿Gobierno de TI es responsabilidad tanto de la Alta Dirección como de la AdministraciónEjecutiva, y éstos conocen la importancia estratégica y las implicancias de TIC como parte fundamental para sostener ya hacer crecer el negocio?
¿La plana ejecutiva dirige, apoya y controla las inversiones TI, sus oportunidades, beneficios, problemas y riesgos?
¿ La Dirección ha adoptado un modelo de Control Interno ?
Existe un comité de alto nivel al interior de la organización que coordine lasdecisiones inherentes al Control Interno?
¿La Organización cuenta con políticas y procedimientos conocidos y aplicados por todos?
¿Existe una Unidad o Departamento de Auditoría en posición de independencia al interior de la Organización?
¿La Organización ha adoptado estándares de buenas prácticas?
Por otra parte también es importante analizar los controles internos existentes, qué modelo deControl Interno tienen estas tres administradoras, y conocer las políticas y procedimientos, ya que son el marco referencial en base al que se efectúa cualquier validación de Control Interno, y en el caso de las TI’s es importante los procedimientos que señala la forma como se monitorean o controlan determinadas actividades
En el caso de las tres Administradoras, se ha producido un incrementoexponencial de los reclamos de los afiliados, siendo los más destacados los siguientes: llamadas de la competencia para ofrecer cambios de AFP, problemas con los sitios web, caídas de sistemas en las sucursales, fallas en la plataforma de call center y pérdida de registros de la información de afiliados.
De lo anterior, se puede detectar que ninguna de las tres AFP tiene un proceso de gestión deincidentes, que le permita monitorear, establecer alertas, emitir reportes y corregir los procesos. A través de COSO se puede mejorar los sistemas de control interno a nivel de proceso, identificando, evaluando y gestionando en forma integral el riesgo, las AFP podrán establecer ambiente de control, identificar y evaluar los riesgos, definir actividades de control, información y comunicar,efectuar monitoreos
También se puede aplicar ITIL que es un marco de trabajo para Alinear los servicios TI con los requerimientos de negocio, Un conjunto de mejores prácticas, proveer una guía, no un manual paso a paso de cómo hacerlo; es una provisión óptima de servicios a un costo justificable y un conjunto de mejores prácticas sin propietario, independiente de proveedores y no centrado en latecnología.
A través de la Gestión de Incidentes, se registra y monitorea, se aplican soluciones temporales a error desconocidos en colaboración con la Gestión de Problemas, colaborando con gestión de configuraciones para asegurar la actualización de las bases de datos.
En el caso de externalización de los servicios, como es la AFP 1, se debería especificar cuáles son los niveles de servicio desu proveedor en la atención y resolución de incidencias, qué horarios tiene, si puede notificar incidencias por teléfono o sistemas de tickets, si puede seguir la evolución del ticket (cuándo se asigna, cuando se comienza a trabajar en él, primera respuesta, cuando se resuelve, cuando se cierra, etc.)
II. AFP1: Externalización de servicios de Administración de la Plataforma de Servidores,...
I. Introducción : Definiendo los conceptos generales a considerar antes del inicio de la fiscalización
Como fiscalizador debo en primer lugar efectuar un análisis de la estructura de la organización, ya que su conocimiento me indicará el grado de segregación de funciones, la forma en que se canaliza la información a los diferentes niveles dela entidad, como se toman las decisiones y cómo se canalizan las soluciones, etc.
En ese contexto es importante también interiorizarme del Gobierno Corporativo y del Gobierno TI en cada una de las Administradoras que se fiscalizará. Es así como se debería evaluar y responderse las siguientes preguntas:
¿Gobierno de TI es responsabilidad tanto de la Alta Dirección como de la AdministraciónEjecutiva, y éstos conocen la importancia estratégica y las implicancias de TIC como parte fundamental para sostener ya hacer crecer el negocio?
¿La plana ejecutiva dirige, apoya y controla las inversiones TI, sus oportunidades, beneficios, problemas y riesgos?
¿ La Dirección ha adoptado un modelo de Control Interno ?
Existe un comité de alto nivel al interior de la organización que coordine lasdecisiones inherentes al Control Interno?
¿La Organización cuenta con políticas y procedimientos conocidos y aplicados por todos?
¿Existe una Unidad o Departamento de Auditoría en posición de independencia al interior de la Organización?
¿La Organización ha adoptado estándares de buenas prácticas?
Por otra parte también es importante analizar los controles internos existentes, qué modelo deControl Interno tienen estas tres administradoras, y conocer las políticas y procedimientos, ya que son el marco referencial en base al que se efectúa cualquier validación de Control Interno, y en el caso de las TI’s es importante los procedimientos que señala la forma como se monitorean o controlan determinadas actividades
En el caso de las tres Administradoras, se ha producido un incrementoexponencial de los reclamos de los afiliados, siendo los más destacados los siguientes: llamadas de la competencia para ofrecer cambios de AFP, problemas con los sitios web, caídas de sistemas en las sucursales, fallas en la plataforma de call center y pérdida de registros de la información de afiliados.
De lo anterior, se puede detectar que ninguna de las tres AFP tiene un proceso de gestión deincidentes, que le permita monitorear, establecer alertas, emitir reportes y corregir los procesos. A través de COSO se puede mejorar los sistemas de control interno a nivel de proceso, identificando, evaluando y gestionando en forma integral el riesgo, las AFP podrán establecer ambiente de control, identificar y evaluar los riesgos, definir actividades de control, información y comunicar,efectuar monitoreos
También se puede aplicar ITIL que es un marco de trabajo para Alinear los servicios TI con los requerimientos de negocio, Un conjunto de mejores prácticas, proveer una guía, no un manual paso a paso de cómo hacerlo; es una provisión óptima de servicios a un costo justificable y un conjunto de mejores prácticas sin propietario, independiente de proveedores y no centrado en latecnología.
A través de la Gestión de Incidentes, se registra y monitorea, se aplican soluciones temporales a error desconocidos en colaboración con la Gestión de Problemas, colaborando con gestión de configuraciones para asegurar la actualización de las bases de datos.
En el caso de externalización de los servicios, como es la AFP 1, se debería especificar cuáles son los niveles de servicio desu proveedor en la atención y resolución de incidencias, qué horarios tiene, si puede notificar incidencias por teléfono o sistemas de tickets, si puede seguir la evolución del ticket (cuándo se asigna, cuando se comienza a trabajar en él, primera respuesta, cuando se resuelve, cuando se cierra, etc.)
II. AFP1: Externalización de servicios de Administración de la Plataforma de Servidores,...
Leer documento completo
Regístrate para leer el documento completo.