Sunteți pe pagina 1din 21

Auditoría de Tecnologías de Información

Trabajo de Investigación

Dr. Carlos Pastor Carrasco


ATI
• Programa de Auditoria
– Criterios de información involucrados en el
objetivo
– Recursos de TI a considerar
– Objetivos específicos de control a verificar
• Resumen
• Detallado

CPC Carlos Pastor Carrasco 2


Objetivos del
Negocio
ME1 Monitorear y evaluar el desempeño de TI. PO1 Definir el plan estratégico de TI.
ME2 Monitorear y evaluar el control interno PO2 Definir la arquitectura de la información
ME3 Garantizar cumplimiento regulatorio. PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
ME4 Proporcionar gobierno de TI.
CobiT PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.

Seguimiento Req. Información Planificación y Organización


Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad

DS1 Definir y administrar niveles de servicio.


DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
Adquisición e
DS4 Garantizar la continuidad del servicio. Implementación
DS5 Garantizar la seguridad de los sistemas. Recursos de TI
DS6 Identificar y asignar costos. Datos, Aplicaciones
DS7 Educar y entrenar a los usuarios. Tecnología, Instalaciones,
DS8 Administrar la mesa de servicio y los incidentes. Recurso Humano
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos. AI1 Identificar soluciones automatizadas.
DS12 Administrar el ambiente físico. AI2 Adquirir y mantener el software aplicativo.
DS13 Administrar las operaciones. AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
Soporte AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
3
Distribución por Grupos
PO1 Definir el plan estratégico de TI. G01
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia. G02


PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI

AI1 Identificar soluciones automatizadas. G03


AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.

AI5 Adquirir recursos de TI. G04


AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
DS1 Definir y administrar niveles de servicio. 4
DS2 Administrar servicios de terceros. G05

Distribución por Grupos


DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos. G06


DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.

DS10 Administrar los problemas. G07


DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.
ME1 Monitorear y evaluar el desempeño de TI. G08
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
DS6 Identificar y asignar costos. G09
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
ME1 Monitorear y evaluar el desempeño de TI. G10
ME2 Monitorear y evaluar el control interno CPC Carlos Pastor Carrasco 5
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
FECHA DE
ENTIDAD:
CORTE:

Aplicado
Fecha
por:

Revisado
Fecha
por:

Planificación y Organización
PO 10 Administración de Proyectos
Criterios de información involucrados en el objetivo:

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

P P

Recursos de TI a considerar:
Personas Aplicaciones Infraestructura Información
  

Objetivo General: Establecer un marco de trabajo de administración de programas y proyectos para la


administración de todos los proyectos de TI establecidos. El marco de trabajo debe garantizar la correcta
asignación de prioridades y la coordinación de todos los proyectos. El marco de trabajo debe incluir un plan
maestro, asignación de recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por
fases, aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y post-implantación después de
la instalación para garantizar la administración de los riesgos del proyecto y la entrega de valor para el negocio.
Este enfoque reduce el riesgo de costos inesperados
CPC Carlosy Pastor
de cancelación
Carrasco de proyectos, mejora la comunicación 6 y el
involucramiento del negocio y de los usuarios finales, asegura el valor y la calidad de los entregables de los
proyectos, y maximiza la contribución a los programas de inversión facilitados por TI.
CPC Carlos Pastor Carrasco 7
CPC Carlos Pastor Carrasco 8
Objetivos Específicos
Objetivo a Tiempo
N° Objetivo de Control Conclusión Estim. - Real
aplicar

1. 1
Marco de trabajo para la
Administración de Programas

Marco de Trabajo para la


Administración de Proyectos

1. 2
Miembros y Responsabilidades
del Equipo del Proyecto

1. 3 Definición del Proyecto

CPC Carlos Pastor Carrasco 9


Auditoria de Tecnología de Información
Programa de Trabajo

Nro Descripción de la Tarea Resultado Ref PT

Verificar los puntos de revisión y costos que excedan


los montos y tiempos presupuestados requieren la
1 aprobación de la administración apropiada de la
organización
Verificar si el SQAP cumple con el estándar
2 organizacional para SQAPs, o en caso de no existir
éste, con los criterios seleccionados anteriormente
Verificar si las tareas de aseguramiento SQAP
soportan la acreditación de sistemas nuevos o
3 modificados y aseguran que los estatutos de control
interno y seguridad cumplen con los requerimientos
Verificar si todos los propietarios/patrocinadores del
proyecto han comentado sobre el SPMP y el SQAP y
4 están de acuerdo sobre los elementos entregables y
liberables finales.
Dr. Carlos Pastor Carrasco 10
Comprender a través de:
• Entrevistas:
– Administrados de Calidad de la Organización.
– Administrador/Coordinador de Calidad de
Proyectos.
– Propietarios/patrocinadores del Proyecto.
– Líder del equipo del Proyecto.

Dr. Carlos Pastor Carrasco 11


Comprender a través de:
• Entrevistas:
– Coordinador de Aseguramiento de Calidad.
– Funcionario de Seguridad.
– Miembros del comité de planeación de la
función de servicios de información.
– Administración de la función de servicios de
información.

Dr. Carlos Pastor Carrasco 12


Obteniendo:
• Políticas y procedimientos relacionados
con:
– El marco referencial de administración de
proyectos.
– La metodología de administración de proyectos.
– Los planes de aseguramiento de la calidad.
– Los métodos de aseguramiento de la calidad.

Dr. Carlos Pastor Carrasco 13


Obteniendo:
• Plan Maestro del Proyecto de Software (Software
Project Master Plan (SPMP))
• Plan de Aseguramiento de la Calidad del Software
(Software Quality Assurance Plan (SQAP)).
• Reportes de estatus del proyecto.
• Reportes de estatus y minutas de las reuniones del
comité de planeación.
• Reportes de Calidad del Proyecto.

Dr. Carlos Pastor Carrasco 14


Evaluar los controles:
• Considerando sí: (Se utiliza para la elaboración de
tareas del programa de trabajo).
– El marco referencial de administración de proyectos:
– Define el alcance y los límites para la administración de proyectos
– Asegura que las demandas del proyecto sean revisadas en cuanto a
su consistencia con el plan operativo aprobado y si los proyectos
son priorizados de acuerdo con este plan.
– Define la metodología de administración de proyectos a ser
adoptada y aplicada en cada proyecto emprendido, incluyendo:

Dr. Carlos Pastor Carrasco 15


Evaluar los controles:
• Planeación del proyecto.
• Asignación de personal.
• Asignación de responsabilidades y
autoridad.
• Distribución de tareas.
• Presupuestos de tiempo y recursos.

Dr. Carlos Pastor Carrasco 16


Evaluar la suficiencia:
• Probando que: : (Se utiliza para la elaboración de tareas del
programa de trabajo, cuando hay que probar algo).
– La metodología de administración de proyectos y todos los requerimientos
fueron seguidos con consistencia.
– La metodología de administración de proyectos fue comunicada a todo el
personal apropiado involucrado en el proyecto.
– La definición escrita de la naturaleza y alcance del proyecto concuerda
con un patrón estándar.
– La naturaleza y alcance del involucramiento del propietario/patrocinador
en la definición y autorización del proyecto, así como la conformidad con
el involucramiento esperado del propietario/patrocinador según lo
estipulado por el marco referencial de administración de proyectos.
– La asignación de los miembros del personal al proyecto y la definición de
responsabilidades y autoridad de los miembros del equipo del proyecto
sean respetadas

Dr. Carlos Pastor Carrasco 17


Evaluar los controles:
• Puntos de revisión.
• Puntos de verificación.
• Aprobaciones.
• Suficiencia y actualización.
• Asegura la participación de la administración del
departamento usuario afectado
(propietario/patrocinador) en la definición y
autorización de un proyecto de desarrollo,
implementación o modificación.

Dr. Carlos Pastor Carrasco 18


Evaluar los controles:
• Especifica la base sobre la cual los miembros del
personal son asignados a los proyectos.
• Define las responsabilidades y la autoridad de los
miembros del equipo del proyecto.
• Asegura la creación de estatutos claros por escrito
que definan la naturaleza y alcance del proyecto
antes de comenzar a trabajar sobre el mismo.

Dr. Carlos Pastor Carrasco 19


Evaluar los controles:
• Proporciona un documento inicial de
definición del proyecto que incluya
estatutos claros sobre la naturaleza y
alcance del proyecto.
• Incluye las siguientes razones para llevar a
cabo el proyecto, entre ellas:
• Una definición del problema a ser resuelto o
del proceso a ser mejorado.

Dr. Carlos Pastor Carrasco 20


COBIT – Principios y Conceptos
Planificar y Organizar I Efectividad
R Adquirir e Implantar N
Eficiencia
Confidencialidad
E Entrega y Soporte
Monitorear y Evaluar F Integridad
Disponibilidad
C O Cumplimiento N
U R
Confiabilidad
E
R Proceso de M G
S TI A O
Lo que se
O C C
obtiene
S Aplicaciones
I I
Información
Personal O O
Infraestructura
N
Vincular las expectativas de la Dirección con las responsabilidades
Gerenciales de TI
Dr. Carlos Pastor Carrasco 21