[Guía de auditoría AudiLacteos]

Transcripción

1 [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software aplicativo, Adquirir Recursos de TI, Administrar Proyectos, Administración del ambiente físico y Proporcionar Gobierno de TI. E q u i p o 4 N e l s o n D a v i d Z u l u a g a A l e x a n d e r D u q u e G. F e r n a n d o S a l a z a r

2 Nombre proceso : Adquirir y mantener software aplicativo Adquirir e Implementar (AI) Encuesta Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para la selección de aplicaciones para la empresa. Describa el proceso para la adquisición de soluciones de software para la empresa. Las aplicaciones que han adquirido satisfacen las necesidades de los usuarios de estas? De qué manera se obtienen las necesidades del negocio para la adquisición de software? Cual son los requerimientos generales de seguridad para la implementación o adquisición de las soluciones de TI? Existen políticas de seguridad, definidas bajo algún estándar nacional o internacional? Las soluciones de software que han implementado han apoyado los objetivos de la empresa? En caso de requiere actualización para las aplicaciones ya existentes; cual es el proceso a seguir para realizar dicho proceso. Si realizan desarrollo de software, tienen establecido estándares para este proceso y su respectiva documentación? Cuando realizan desarrollo de herramientas de software, Siguen el diseño realizado y los estándares de desarrollo y documentación? Describa el plan a seguir al momento de implementar en la empresa una nueva herramienta de software. Describa el proceso para realizar el mantenimiento de aplicaciones de software existentes en la empresa.

3 Nombre proceso : AI5 Adquirir Recursos de TI Adquirir e implementar Cuestionario Observar la forma de adquisición de TI en la empresa AudiLacteos SAS. Verificar si se están prestando correctamente el servicio de TI. 1. La empresa cuenta con procesos definidos para la adquisición de recursos de TI? 2. Al momento de la adquisición de recursos de TI para la empresa cuentan con asesoramiento para el establecimiento de responsabilidades, obligaciones legales, organizacionales y documentales? 3. De qué manera se realiza el proceso de selección de los proveedores para los recursos de TI? 4. La empresa cuenta con algún estándar que garantice la gestión o desarrollo de servicios de TI? 5. Se realiza capacitaciones a los usuarios finales, al momento de adquirir un nuevo TI? 6. Al momento de adquirir un nuevo servicio de TI, se cuenta con el personal necesario para esta tarea, o de lo contrario, como obtienen el personal necesario para esta labor? 7. Qué persona es la encargada de administrar los cambios de TI? Nombre proceso : PO10 Administrar Proyectos Planeación y Organización Lista de Chequeo PO10.1 Marco de Trabajo para la Administración de Programas Existe un portafolio de programas? Con que proyectos cuenta? Conoce los objetivos de los programas? Existe una gestión que relación los proyectos, describa cuales? PO10.2 Marco de Trabajo

4 Existe administración de proyectos?, descríbala brevemente Qué metodología es aplicada a los proyectos? Qué roles y responsabilidades estructuran los proyectos? PO10.3 Enfoque de Administración de Proyectos Qué etapas componen la realización de un proyecto? Cómo son los mecanismos por los cuales se distribuyen las responsabilidades?. Cada proyecto aprobado, obtiene los recursos y el apoyo necesario por parte de toda la organización? PO10.4 Compromiso de los Interesados Existen proyectos terminados?, cuáles?, descríbalos brevemente Cómo se realiza la comunicación entre los dirigentes de los proyectos y los subordinados? PO10.5 Declaración de Alcance del Proyecto Cómo se asegura que los proyectos cumplen con los requerimientos? De qué forma se definen los alcances al comienzo del proyecto? Se realiza un seguimiento post-implantación a los proyectos terminados? PO10.6 Inicio de las Fases del Proyecto Qué estándares se han manejado en la realización de los proyecto? Existen tiempos de augura en los proyectos? Cómo se miden los avances en los proyectos? PO10.7 Plan Integrado del Proyecto Qué herramientas o métodos de control utilizan? Existen herramientas de comunicación? Utiliza herramientas de comunicación? se realiza gestión de riesgos en cada proyecto? PO10.8 Recursos del Proyecto Existe administración para los recursos? Cómo se asegura la utilización adecuada los recursos? PO10.9 Administración de Riesgos del Proyecto

5 Existen planes de emergencia en los proyectos? Los riesgos son identificados? Los riesgos identificados son mitigados? PO10.10 Plan de Calidad del Proyectos hay gestión de calidad para cada proyecto? PO10.11 Control de Cambios existen desfases de cronogramas, costos y recursos en los proyectos? PO10.12 Planeación del proyecto y métodos de aseguramiento Existe un plan de aseguramiento para los proyectos?(describa brevemente) Cómo es el proceso de planeación? PO10.13 Medición del Desempeño Observación del nivel de satisfacción de cada uno de los proyectos terminados en cuanto a: o Duración del proyecto o Cumplimiento de los requerimientos o Relación final costo-beneficio PO14 Cierre Proyecto se realizan cierres de proyecto? Nombre proceso : DS12 Administración del ambiente físico Entrega y soporte Lista de Chequeo DS12.1 Selección y Diseño del Centro de Datos Existe algún respaldo para los datos físicos? Existe algún respaldo para los datos electrónicos? De qué manera se almacena los datos?

6 DS12.2 Medir la seguridad física Cómo se controla el acceso a los espacios donde está la información? de qué manera manejan la protección física a servidores e instalaciones de la organización?} DS12.3 Acceso Físico Las instalaciones son monitoreadas buscando problemas de espacio? Cómo son ocupados los espacios físicos? se tiene un plan de evacuación en la empresa? y se ha dado a conocer a todos los empleados? DS12.4 Protección Contra Factores Ambientales Cómo están preparadas las instalaciones de la organización para un desastre natural (terremotos, maremotos, incendios)? las instalaciones tiene salidas de emergencia? DS12.5 Administración de Instalaciones Físicas Se maneja una planta de energía de reserva por si la electricidad prestada por el proveedor falla? En qué estado se encuentran las instalaciones? Existe un control o una administración para la planta física? Nombre proceso : ME4 Proporcionar Gobierno de TI Monitoreo y evaluación Entrevista - Cuestionario ME4.1 Establecimiento de un Marco de Gobierno de TI - Defina el marco de gobierno de TI con la visión completa del entorno de control y Gobierno Corporativo. - Se informa a la junta directiva asuntos importantes que incidan en el logro de los objetivos del negocio en cada dependencia? SI_ NO_ NO SABE_ - De qué forma se está asegurando el cumplimiento con las leyes y

7 regulaciones? ME4.2 Alineamiento Estratégico - Existe conocimiento por parte del negocio hacia la función de TI sobre la contribución potencial de TI a la estrategia del negocio? SI_ NO_ NO SABE_ - Qué organismos de gobierno de TI se encuentran implementados? - De qué manera se alinea el área de TI con el negocio en lo referente a estrategia y operaciones? ME4.3 Entrega de Valor - Cómo se administran los programas de inversión habilitados con TI, los activos y servicios de TI? - Cómo se lleva a cabo la administración del portafolio, programas y proyectos? - Se presenta contribución a nuevos servicios, ganancias de eficiencia y un mejor grado de reacción a los requerimientos de los clientes? SI_ NO_ ME4.4 Administración de Recursos - Se revisa la inversión, uso y asignación de los activos de TI? SI_ NO_ ME4.5 Administración de Riesgos - Se encuentra definido el nivel de riesgo de TI aceptable por la empresa? SI_ NO_ NO SABE_ - Qué prácticas de administración de riesgos se están usando? - Con que frecuencia se evalúan y reportan riesgos relacionados con TI y su impacto? ME4.6 Medición del Desempeño - Se informa periódicamente el estado de los objetivos y metas (alcanzados, no alcanzados)? - Se cuenta con acciones correctivas de gerencia para hacerle frente a los objetivos y metas no alcanzados? - Se informa a dirección los portafolios relevantes, programas y desempeños de TI? ME4.7 Aseguramiento Independiente - Se garantiza la conformidad de TI con la legislación y regulación relevante, las políticas de organización, estándares y procedimientos; practicas generalmente aceptadas; y la efectividad y eficiencia del desempeño de TI? SI_ Cómo? NO_ NO SABE_