PROCESO DE AUDITORIA INTEGRAL. Datos Generales Empresa Auditada AudiLacteos S.A.S Equipo Auditor EQUIPO 3 Blanca Duque. Yeimy L Escobar R. Pablo A. Molina R. Procesos auditados Firma Auditora Inicio de proceso PO8 Administrar la calidad. DS2 Administrar los servicios de terceros. DS4 Garantizar la continuidad del servicio. DS9 Administrar la configuración. Chauditoria Consultores SA 10 de Noviembre de 2010 Derrotero de auditoría. Con el fin de desarrollar un adecuado proceso de auditoría se planean puntos a definir, y los cuales se se toman del ejemplo de Derrotero para el proceso de auditoria visto en clase y, omitiendo las que no apliquen en este caso. 1. Origen de la la auditoría. 2. Establecer objetivos. 3. Determinar puntos a evaluar. 4. Elaborar planes. 5. Identificación de instrumentos. 6. Aplicar Auditoría. 7. Identificación de desviaciones. 8. Informe final.
Origen de la auditoría En el proceso de aprendizaje dentro de la materia de Auditoría, el profesor nos ha encomendado la tarea de realizar un proceso de auditoría a la empresa AudiLacteos. Este proceso permitirá aproximarnos de manera práctica a un proceso de evaluación de los procesos internos de una empresa. Esta tiene la finalidad de evaluar los procesos COBIT que, al interior de la empresa se deben seguir. Establecer objetivos. Los principales objetivos de este proceso son: Comprender de manera más detallada los aspectos relacionados a COBIT dentro del marco del gobierno corporativo de tecnologías de información. Familiarizar al estudiante con los procesos propios de auditoría, haciendo énfasis en las tecnologías de información. Promover el trabajo en equipo de actividades empresariales. Determinar puntos a evaluar. Siguiendo los lineamientos establecidos se evaluarán los siguientes procesos de COBIT: PO8 Administrar la calidad DS2 Administrar los servicios de terceros DS4 Garantizar la continuidad del servicio. DS9 Administrar la configuración Planificación de la auditoría. El desarollo de la auditoría cruzada seguirá los lineamientos establecidos por el profesor. Resumidas a continuación: Primera fase: Se realizan las las guías de auditoría las cuales serán respondidas por el grupo auditado. Son enviadas al equipo auditado y al profesor. Segunda fase: Resolución de las guías realizadas por parte del equipo auditado. Tercera fase: El equipo auditor deberá enviar resultados de la primera fase. Cuarta fase: El equipo auditado responderá al equipo auditor y enviará copia de su respuesta a la wiki de la empresa y al correo del profesor. Quinta fase: Será realizado un informe previo de auditoría por parte del equipo auditor y será analizado por el equipo auditado. Sexta fase: Se envía el informe corregido.
Identificación de instrumentos. Con el fin de realizar el proceso de auditoría cruzada se va a utilizar los siguientes instrumentos: Encuesta: Con base a la caracterización de los procesos de Cobit se definirán preguntas encaminadas a determinar si se la empresa está cumpliendo con los lineamientos Revisión documental: Usando la documentación realizada durante el semestre, se buscará determinar el nivel de madurez en los procesos que se van a evaluar. Aplicar Auditoría. Una vez diseñado las listas de chequeo, estas serán distribuidas a los grupos respectivos de manera que se pueda determinar si se cumplen con los requerimientos del proceso evaluado. Adicionalmente a la resolución de las listas de chequeo, se realizará una revisión documental realizada durante el semestre. Se buscará determinar si dichos procesos se planificaron y se documentaron. Identificación de desviaciones. Una vez aplicados los instrumentos señalados, se procederá a realizar el análisis de desviaciones determinando que actividades no se están desarrollando dentro de la empresa y/o correctivos que deben hacerse para lo garantizar un nivel de madurez adecuado.
Dominio: Planear y Oganizar Proceso: P08 Administrar la Calidad Instrumento: Lista de Verificación GUIAS DE AUDITORIA POR PROCESOS. INSTRUMENTO I-P08 Objetivo: Elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares para garantizar que TI esté dando un valor al negocio, mejora continua y transparencia para los interesados. N Pregunta PREGUNTA SI NO 1 Existe un sistema de administración de calidad? 2 Comunica estos procesos dentro de la organización? 3 Se incluye requerimientos de calidad en los procesos cumplimiento de requerimientos alineados con los objetivos de esta? 4 Existen funciones definidas para la administración de la calidad desde cada rol definido en la estructura organizacional? 5 Existen políticas que establezcan como referencia las buenas prácticas de uno o varios estándares reconocidos de calidad paras los procesos clave de TI en la organización? 6 Está establecida la política de la calidad y los objetivos de la calidad? 7 Se llevan a cabo revisiones del sistema de calidad por parte de la dirección?
8 Mejoran y adaptan las prácticas de calidad de la organización? 9 Se asegura la conformidad del producto durante el proceso interno hasta la entrega final del cliente? 10 Adoptan y mantienen estándares para todo tipo de desarrollo y de adquisición en la empresa? 11 Comunican regularmente un plan global de calidad para promover la mejora continua? 12 Se tienen en cuenta los requerimientos y las necesidades tanto de los clientes como regulatorias y están estos alineados en las políticas de calidad de la organización? 13 Existe algún plan para la distribución de recursos para mejorar la calidad de los productos y/o servicios de la compañía? 14 Se dispone de algún sistema para concienciar a los empleados de la relevancia e importancia de sus actividades y como contribuyen a la consecución de los objetivos de la calidad?
Dominio: Entrega y Soporte INSTRUMENTO I-DS2 Proceso: DS2 Administrar los Servicios de Terceros Instrumento: Lista de Verificación Objetivo: Verificar la existencia de acuerdos contractuales con terceros y su monitoreo y la efectividad de su cumplimiento. N Pregunta PREGUNTA SI NO 1. Existe algún control para la evaluación de los servicios prestados por terceros? 2. Existen un plan de contingencia en caso de que un proveedor falle en el cumplimiento de sus obligaciones? 3. Si algún proveedor pide acceso a la información o la infraestructura se hace el debido estudio de riesgos? 4. Se aseguran que los contratos están de acuerdo con los requerimientos legales y regulatorios de los estándares del negocio? 5. En el contrato con los proveedores y clientes se especifica claramente las responsabilidades de ambos? 6. Los contratos que se celebran con los proveedores están alineados con los requerimientos del negocio y apoyan los objetivos de este? 7. Se tienen mecanismos para que la alta gerencia este informada sobre las relaciones y la calidad del servicios que se tienen con los proveedores? 8. Cuenta la empresa con un sistema para aplicar acciones correctivas y preventivas?
9. Disponen los proveedores de Certificación para su Sistema de Gestión de Calidad y Riesgos Laborales? 10. Todos los resultados, incluido el operativo y los requisitos de rendimiento son lo suficiente definidos y entendidos por todas las partes? 11. Aseguran la satisfacción de los usuarios finales con las ofertas de servicio y los niveles de servicio? 12. Cuenta la empresa con procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores? 13. Se especifican requerimientos legales, operativos y de control en los contratos? 14. Aseguran que el proveedor cumple con los estándares internos y externos? 15. Monitorean y miden el desempeño del proveedor en la prestación del servicio?
Dominio: Entregar y dar Soporte INSTRUMENTO I-DS4 Proceso: DS4 Garantizar la continuidad del servicio Instrumento: Lista de Verificación Objetivo: Probar que los planes de continuidad de los servicios de TI sean un proceso efectivo que minimice el impacto de interrupciones de estos servicios en las funciones claves del negocio. N Pregunt a 1. 2. PREGUNTA Cuenta con un marco de trabajo de TI para soportar el proceso de continuidad de toda la organización? Se tiene una estructura organizacional que administre la continuidad, los roles, tareas y proveedores? 3. Se hace monitoreo y reporte de disponibilidad de recursos? 4. 5. 6. 7. 8. 9. 10. 11. En los planes poseen requerimientos de resistencia para la recuperación de todos los servicios de TI? Almacena respaldos de las bases de datos y archivos fuera de las instalaciones de la organización Realiza periódicamente actividades de entrenamiento para socializar planes de continuidad o actividades de continuidad Existen documentos que respalden la existencia de planes de contigencia Se han realizado actividades con el fin de probar los planes de contigencia. La organización tiene detetado dentro de los riesgos de la organización, aquellos que afectarían la continuidad del negocio El establecimiento de los planes o procesos encaminados a la continuidad del negocio, manifiestan un reconocimiento coherente de actividades que pueden recuperar la organización La organización cuenta con un plan de identificación, monitoreo y reporte de disponibilidad de recursos críticos? RESPUEST A SI NO
12. 13. 14. 15. 16. 17 La gerencia está al tanto de la labor ardua del proceso de reanudación y pone a disposición de los encargados de este proceso recursos suficientes (tiempo, recurso humano, recurso monetario, etc.) para la reanudación del negocio? La organización maneja un Backup externo en cuanto a documentación, medios de respaldo, así como también otros recursos críticos de TI que estén involucrados en la recuperación de TI y continuidad del negocio? Si la pregunta anterior tuvo éxito Tano el personal de la organización, como los altos directivos están puestos al tanto del contenido de estas bases de respaldo? Si la pregunta anterior 13 tuvo éxito Realiza observaciones periódicas en el funcionamiento del respaldo externo con el fin de reafirmar la continuidad, integridad y seguridad de los datos almacenados en este? Si la pregunta anterior 13 tuvo éxito Maneja similitud de Hardware y Software tanto en la base Tecnológica central, como en la de apoyo, con el fin de hacer compatibles los datos compartidos por estos? Existen controles y salvaguardias adecuados contra los efectos del potencial de pérdidas. (Seguridad Física, Control de Presencia, Manejo de Datos, Seguridad de Aplicaciones)
Dominio: Entregar y dar Soporte INSTRUMENTO I-DS9 Proceso: DS9 Administrar la configuración Instrumento: Lista de Verificación Objetivo: Determinar el nivel de madurez con el cual se esta llevando la administración de la configuración de la empresa auditada, revisando que se este cumpliendo con el mantenimiento del repositorio, lineas base y la correcta revisión de la integridad. Nro Pregunt a PREGUNTA RESPUESTA SI NO 1 La empresa cuenta con politicas de administración de la configuración tanto de hardware y software? 2 Posee un repositorio de items de configuración de los principales dispositivos y programas que cuenta la empresa? 3 Es conciente de la importancia de realizar una correcta gestión de la configuración? 4 Tiene un registro de las licencias y su respectiva versión? 5 Posee politicas de revisión de la integridad de los items de configuración? 6 Establece líneas base de los repositorios periódicamente? 7 Ha identificado los items de configuración con mayor criticidad para su organización? 8 Tiene documentado las estrategias y planes de contingencia ante el daño de un dispositivo o programa?
9 Existe personal asignado a el monitoreo y administración de la configuración? 10 Cuenta con manuales de instalación / desistalación o configuración de equipos?