PROCESO DE AUDITORIA INTEGRAL Datos Generales Empresa Auditada AudiLacteos S.A.S Equipo Auditor EQUIPO 3 Blanca R Duque. Yeimy Lorena Escobar R. Pablo Alejandro Molina R Equipo Auditado EQUIPO 4 Procesos auditados PO8 Administrar la calidad. DS2 Administrar los servicios de terceros. DS4 Garantizar la continuidad del servicio. DS9 Administrar la configuración. Firma Auditora CHAuditoria Consultores S.A Inicio de proceso 10 de Noviembre de 2010 Derrotero de auditoría. Con el fin de desarrollar un adecuado proceso de auditoría se planean puntos a definir, y los cuales se toman del ejemplo de Derrotero para el proceso de auditoría visto en clase y, omitiendo las que no apliquen en este caso. 1. Origen de la auditoría. 2. Establecer objetivos. 3. Determinar puntos a evaluar. 4. Elaborar planes. 5. Identificación de instrumentos. 6. Aplicar Auditoría. 7. Identificación de desviaciones. 8. Informe final. Origen de la auditoría En el proceso de aprendizaje dentro de la materia de Auditoría, el profesor nos ha encomendado la tarea de realizar un proceso de auditoría a la empresa AudiLacteos. Este proceso permitirá aproximarnos de manera práctica a un proceso de evaluación de los procesos internos de una empresa. Esta tiene la finalidad de evaluar los procesos COBIT que, al interior de la empresa se deben seguir. Establecer objetivos. Los principales objetivos de este proceso son:
Comprender de manera más detallada los aspectos relacionados a COBIT dentro del marco del gobierno corporativo de tecnologías de información. Familiarizar al estudiante con los procesos propios de auditoría, haciendo énfasis en las tecnologías de información. Promover el trabajo en equipo de actividades empresariales. Determinar puntos a evaluar. Siguiendo los lineamientos establecidos se evaluarán los siguientes procesos de COBIT: PO8 Administrar la calidad DS2 Administrar los servicios de terceros DS4 Garantizar la continuidad del servicio. DS9 Administrar la configuración PLANIFICACIÓN DE LA AUDITORÍA. El desarrollo de la auditoría cruzada seguirá los lineamientos establecidos por el profesor. Resumidas a continuación: Primera fase: Se realizan las guías de auditoría las cuales serán respondidas por el grupo auditado. Son enviadas al equipo auditado y al profesor. Segunda fase: Resolución de las guías realizadas por parte del equipo auditado. Tercera fase: El equipo auditor deberá enviar resultados de la primera fase. Cuarta fase: El equipo auditado responderá al equipo auditor y enviará copia de su respuesta a la wiki de la empresa y al correo del profesor. Quinta fase: Será realizado un informe previo de auditoría por parte del equipo auditor y será analizado por el equipo auditado. Sexta fase: Se envía el informe corregido. IDENTIFICACIÓN DE INSTRUMENTOS. Con el fin de realizar el proceso de auditoría cruzada se va a utilizar los siguientes instrumentos: Lista de Chequeo Encuesta/Cuestionario: Con base a la caracterización de los procesos de Cobit se definirán preguntas encaminadas a determinar si se la empresa está cumpliendo con los lineamientos Revisión documental: Usando la documentación realizada durante el semestre, se buscará determinar el nivel de madurez en los procesos que se van a evaluar. APLICAR AUDITORÍA.
Una vez diseñado las listas de chequeo, estas serán distribuidas a los grupos respectivos de manera que se pueda determinar si se cumplen con los requerimientos del proceso evaluado. Adicionalmente a la resolución de las listas de chequeo, se realizará una revisión documental realizada durante el semestre. Se buscará determinar si dichos procesos se planificaron y se documentaron. IDENTIFICACIÓN DE DESVIACIONES. Una vez aplicados los instrumentos señalados, se procederá a realizar el análisis de desviaciones determinando que actividades no se están desarrollando dentro de la empresa y/o correctivos que deben hacerse para lo garantizar un nivel de madurez adecuados.
GUIAS DE AUDITORIA POR PROCESOS CHAuditoria Consultores S.A Empresa: AudiLácteos Fecha: 2010/11/10 Hoja : 1/1 Ref. Actividad a ser evaluada Procedimiento de Auditoría PO8. Administrar la Calidad DS2 Administrar los servicios de terceros DS4 Garantizar la continuidad del servicio DS9 Administrar la configuración Verificar la existencia y el mantenimiento de un sistema de administración de calidad (QMS) el cual incluya procesos y estándares reconocidos de desarrollo y adquisición. Verificar la existencia de acuerdos contractuales con terceros y su monitoreo y la efectividad de su cumplimiento. Verificar si la organización cuenta con un plan de continuidad, el cual de soporte al negocio en caso de un evento inesperado. Verificar si la organización cuenta con metodologías o herramientas para administrar la configuración estipulada por los encargados de las TI Solicitar los diferentes planes de calidad de cada área clave y evaluar la estructura que define, la asignación de funciones, tareas y responsabilidades dentro de la organización. Solicitar la estructura de los distintos contratos realizados con terceros y evaluar que las clausulas que se encuentren en las políticas de seguridad se cumplan a cabalidad. Analizar, luego de una inspección los posibles riesgos que pueda tener la organización en cuanto a pérdida de datos y/o falta de herramientas de recuperación de estos, debido a no contar con un adecuado plan de continuidad de TI. Evaluar si la organización está siguiendo minuciosamente los procesos, beneficios, restricciones etc., del software instalado y a su vez la posible restauración en caso de un evento inesperado. Herramienta a Utilizar Listas de Verificación. Cuestionario Revisión documental. Cuestionario. Lista de verificación. Listas de Verificación. Revisión documental Cuestionario Listas de Verificación. Revisión documental Observación
INSTRUMENTO P08 Dominio: Proceso: Objetivo: Planear y Organizar P08 Administrar la Calidad Elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares para garantizar que TI esté dando un valor al negocio, mejora continua y transparencia para los interesados. Instrumento1: Lista de Verificación CHAUDITORES CONSULTORES S.A HOJA 1/2 Auditado por Equipo3 Revisada y aprobada por Diligenciada por Blanca Rubiela Duque Yeimy Lorena Escobar R Pablo Alejandro Molina R Fecha Noviembre 10 2010 Fecha Fecha PROCESO P08 Administrar la Calidad. Aspecto a considerer Cumple Pruebas 1. Audilácteos S.A.S cuenta con un sistema de administración de calidad? 2. La empresa comunica estos procesos dentro de la organización? 3. Se incluye requerimientos de calidad en los procesos de cumplimiento de requerimientos alineados con los objetivos de esta? 4. Existen funciones definidas para la administración de la calidad desde cada rol definido en la estructura organizacional? 5. Existen políticas que establezcan como referencia las buenas prácticas de uno o varios estándares reconocidos de calidad para los diferentes procesos de la organización? 6. Existen políticas que establezcan como referencia las buenas prácticas de uno o varios estándares reconocidos de calidad paras los procesos clave de TI en la organización? 7. Está establecida la política de la calidad y los objetivos de la calidad? 8. Se llevan a cabo revisiones del sistema de calidad por parte de la dirección?
9. Mejoran y adaptan las prácticas de calidad de la organización? 10. Se asegura la conformidad del producto durante el proceso interno hasta la entrega final del cliente? 11. Adoptan y mantienen estándares para todo tipo de desarrollo y de adquisición en la empresa? 12. Comunican regularmente un plan global de calidad para promover la mejora continua? 13. Se tienen en cuenta los requerimientos y las necesidades tanto de los clientes como regulatorias y están estos alineados en las políticas de calidad de la organización? 14. Existe algún plan para la distribución de recursos para mejorar la calidad de los productos y/o servicios de la compañía? 15. Se dispone de algún sistema para concienciar a los empleados de la relevancia e importancia de sus actividades y como contribuyen a la consecución de los objetivos de la calidad? Instrumento2: Cuestionario CHAUDITORES CONSULTORES S.A HOJA 2/2 Auditado por Equipo3 Revisada y aprobada por Diligenciada por Equipo4 Blanca Rubiela Duque Yeimy Lorena Escobar R Pablo Alejandro Molina R Fecha Noviembre 10 2010 Fecha Fecha PROCESO P08 Administrar la Calidad. Aspecto a considerer Respuesta Observaciones 1. Qué sistema maneja la empresa para el Control de Calidad? 2. Cuál es el medio de comunicación de los procesos de Control de Calidad? 3. Dónde se establecen las políticas y los objetivos de Calidad de la empresa? 4. Cuál es el método para mejorar y adaptar las prácticas de calidad de la organización? 5. La empresa mantienen estándares para todo tipo de desarrollo y de adquisición en la empresa? Si la respuesta es afirmativa, cuál es el documento de soporte?
INSTRUMENTO DS2 Dominio: Proceso: Objetivo: Entrega y Soporte DS2 Administrar los Servicios de Terceros Verificar la existencia de acuerdos contractuales con terceros y su monitoreo y la efectividad de su cumplimiento. Instrumento1: Lista de Verificación CHAUDITORES S.A HOJA 1/2 Auditado por EQUIPO3 Revisada y aprobada por Diligenciada por EQUIPO4 Blanca Rubiela Duque Yeimy Lorena Escobar R Pablo Alejandro Molina R Fecha Noviembre 10 2010 Fecha Fecha PROCESO DS2 Administrar los Servicios de Terceros. Aspecto a considerer Cumple Pruebas 1. Existe algún control para la evaluación de los servicios prestados por terceros? 2. Existen un plan de contingencia en caso de que un proveedor falle en el cumplimiento de sus obligaciones? 3. Si algún proveedor pide acceso a la información o la infraestructura se hace el debido estudio de riesgos? 4. Se aseguran que los contratos están de acuerdo con los requerimientos legales y regulatorios de los estándares del negocio? 5. En el contrato con los proveedores y clientes se especifica claramente las responsabilidades de ambos? 6. Los contratos que se celebran con los proveedores están alineados con los requerimientos del negocio y apoyan los objetivos de este? 7. Se tienen mecanismos para que la alta gerencia este informada sobre las relaciones y la calidad del servicios que se tienen con los proveedores? 8. Cuenta la empresa con un sistema para aplicar acciones correctivas y preventivas? 9. Disponen los proveedores de Certificación para su Sistema de Gestión de Calidad y Riesgos Laborales? 10. Todos los resultados, incluido el operativo y los
requisitos de rendimiento son lo suficiente definidos y entendidos por todas las partes? 11. Aseguran la satisfacción de los usuarios finales con las ofertas de servicio y los niveles de servicio? 12. Cuenta la empresa con procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores? 13. Se especifican requerimientos legales, operativos y de control en los contratos? 14. Aseguran que el proveedor cumple con los estándares internos y externos? 15. Monitorean y miden el desempeño del proveedor en la prestación del servicio? Instrumento 2: Cuestionario CHAUDITORES S.A HOJA 2/2 Auditado por EQUIPO3 Revisada y aprobada por Diligenciada por Blanca Rubiela Duque Yeimy Lorena Escobar R Pablo Alejandro Molina R Fecha Noviembre 10 2010 Fecha Fecha PROCESO DS2 Administrar los Servicios de Terceros. Aspecto a considerer Respuesta Observaciones 1. Cuáles son las medidas de control que se le aplica al ingreso a terceros a la empresa y en qué documento se encuentra consignado? 2. Se realizan monitoreos sobre el desempeño de los proveedores? Si existen Qué tan frecuentes son? 3. Hay métricas para la medición de los servicios prestados por terceros? Si existen Cuáles son? 4. Se formaliza la gestión de relaciones con los proveedores? 5. El nivel de subcontratación en la empresa es: Alto, Medio o Bajo? 6. Qué clase de planes de contingencia maneja la empresa? 7. Mencione los sistemas que la empresa tiene para el manejo de acciones preventivas y correctivas. 8. Cómo se maneja el monitoreo de los proveedores en cuanto a la prestación del servicio?
INSTRUMENTO DS4 Dominio: Proceso: Objetivo: Entregar y dar Soporte DS4 Garantizar la continuidad del servicio Probar que los planes de continuidad de los servicios de TI sean un proceso efectivo que minimice el impacto de interrupciones de estos servicios en las funciones claves del negocio. Instrumento1: Lista de Verificación CHAUDITORES S.A HOJA 1/1 Auditado por EQUIPO3 Revisada y aprobada por Diligenciada por EQUIPO4 Blanca Rubiela Duque EQUIPO 4 Yeimy Lorena Escobar R Pablo Alejandro Molina R Fecha Fecha Fecha PROCESO DS4 Garantizar la continuidad del servicio. Aspecto a considerer 1. Cuenta con un marco de trabajo de TI para soportar el proceso de continuidad de toda la organización? 2. Existen procedimientos para hacer monitoreo y reportes de disponibilidad? 3. Se han definido planes de contingencia para el aseguramiento de bases de datos de la organización? 4. Si se han realizado actividades de capacitación para socialización de actividades de continuidad, existe actas, informes o un documento que soporte dichos eventos? 5. Cuenta la organización con planes de contingencia de finidos por áreas? 5.1. Si existen, se han realizado actividades con el fin de probar los planes de contingencia? 6. Los riesgos de la organización contemplan aquellos elementos que afectarían la continuidad del negocio? 7. La organización cuenta con un plan, procedimiento o mecanismo de identificación, monitoreo y reporte de disponibilidad de recursos críticos? Cumple SI/NO Pruebas
8. Existen controles y salvaguardias adecuados contra los efectos del potencial de pérdidas. 8.1. Seguridad Física, 8.2. Control de Presencia*, 8.3. Manejo de Datos, 8.4. Seguridad de Aplicaciones * Control de Presencia: Utilización de equipos de supervisión y vigilancia para controlar los puntos de acceso y áreas restringidas. Instrumento1: Cuestionario CHAUDITORES S.A HOJA 2/2 Auditado por Revisada y aprobada por Diligenciada por EQUIPO 3 EQUIPO 4 Fecha Fecha Fecha PROCESO DS4 Garantizar la continuidad del servicio. Aspecto a considerar Respuestas Observaciones 1. Se tiene una estructura organizacional que administre la continuidad a través de los roles, tareas y proveedores? 2. Se hace monitoreo y reporte de disponibilidad de recursos? 3. Almacena respaldos de la información y procesos, fuera de las instalaciones de la organización? 3.1. Si la pregunta anterior tuvo éxito Tano el personal de la organización, como los altos directivos están puestos al tanto del contenido de estas bases de respaldo? 3.2. Realiza observaciones periódicas en el funcionamiento del respaldo externo con el fin de reafirmar la continuidad, integridad y seguridad de los datos almacenados en este? 3.3. Maneja similitud de Hardware y Software tanto en la base Tecnológica central, como en la de apoyo, con el fin de hacer compatibles los datos
compartidos por estos? 4. Realiza periódicamente actividades de entrenamiento para socializar planes de continuidad o actividades de continuidad? 5. Considera que la organización puede recuperarse y seguir funcionando con las políticas, planes y procedimientos que actualmente están definidos? 6. La gerencia está al tanto de la labor ardua del proceso de reanudación y pone a disposición de los encargados de este proceso recursos suficientes (tiempo, recurso humano, recurso monetario, etc.) para la reanudación del negocio?
Dominio: Proceso: Objetivo:. Instrumento1: INSTRUMENTO DS9 Entregar y dar Soporte DS9 Administrar la configuración Determinar el nivel de madurez con el cual se está llevando la administración de la configuración de la empresa auditada, revisando que se este cumpliendo con el mantenimiento del repositorio, líneas base y la correcta revisión de la integridad. Lista de Verificación CHAUDITORES S.A HOJA 1/1 Auditado por EQUIPO3 Revisada y aprobada por Diligenciada por EQUIPO4 Blanca Rubiela Duque EQUIPO 4 Yeimy Lorena Escobar R Pablo Alejandro Molina R Fecha Fecha Fecha PROCESO DS4 Garantizar la continuidad del servicio. Aspecto a considerer 1. La empresa cuenta con políticas de administración de la configuración tanto de hardware y software? 2. Posee un repositorio de ítems de configuración de los principales dispositivos y programas que cuenta la empresa? 3. Es consciente de la importancia de realizar una correcta gestión de la configuración? 4. Tiene un registro de las licencias y su respectiva versión? 5. Posee políticas de revisión de la integridad de los ítems de configuración? 6. Establece líneas base de los repositorios periódicamente? 7. Ha identificado los ítems de configuración con mayor criticidad para su organización? 8. Tiene documentado las estrategias y planes de contingencia ante el daño de un dispositivo o programa? 9. Existe personal asignado a el monitoreo y administración de la configuración? 10. Cuenta con manuales de Cumple SI/NO Pruebas
instalación/desinstalación o configuración de equipos?