Post on 11-Oct-2015
1 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Introduccin a la Auditora de
Procesos de Sistemas de Informacin
Damin Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor) Departamento de Auditora de Produccin (rea de Auditora de Sistemas). Bankia fruizs@bankia.com Noviembre 2011
2 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Enfoque a procesos
Metodologa de
Auditora de Procesos
Estrategia Implantacin
de Auditora de Procesos
Auditora de SSII. Control. Misin. Funcin
Tipologas de auditoras
Por qu Auditora de Procesos?
Marcos de Referencia para gestin y control de SSII
Modelo de procesos genrico. Elementos
Ciclo bsico de un trabajo de auditora
Planificacin.
Trabajo de Campo.
Informe
Planificacin. Mapa Estratgico. Mapa Auditor
Proyecto de implantacin de Auditoras de Procesos
Ejercicio. Gestin de Acuerdo con Proveedores
Ejercicio. Gestin de Incidencias
Ejercicio. Programas de Trabajo
Ejercicio. Ejemplo de Informe
ndice
3 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Introduccin a la Auditora de
Procesos de Sistemas de Informacin
Enfoque a procesos Auditora de SSII. Control. Misin. Funcin Tipologas de auditoras Por qu Auditora de Procesos? Marcos de Referencia para gestin y control de SSII
4 Introduccin a la Auditora de Procesos de Sistemas de Informacin
La Auditora de Sistemas de Informacin es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un Sistema de Informacin:
Protege adecuadamente los activos (hw, sw, personas, ficheros, info).
Alcanza sus objetivos dentro de la Organizacin de una manera efectiva.
Es utilizado eficaz y eficientemente.
Examen metdico del Servicio Informtico para determinar, por medio de la investigacin,
la adecuacin de los procedimientos establecidos, instrucciones, especificaciones,
estndares u otros requisitos, la adhesin a los mismos y la eficiencia de su implantacin.
La Auditora de SSII debe ofrecer informacin objetiva e independiente sobre
El grado de cumplimento de los controles (polticas y procedimientos)
La deteccin de los riesgos donde existan debilidades significativas de control
Recomendaciones para realizar acciones correctivas
La misin del Auditor de TI es evaluar el Control Interno e informar sobre sus conclusiones.
Convertirse en la referencia de la Alta Direccin de la organizacin, as como de las
unidades de negocio y soporte, en relacin al control, la integridad, confidencialidad y
disponibilidad de los sistemas de informacin,
Ser el proveedor de recomendaciones de control de alto valor aadido para el negocio
Especialmente en aquellas reas que puedan mitigar riesgos de ndole econmico, evaluar
la adaptacin de controles al marco legal vigente y a la normativa establecida.
Auditora de Sistemas de Informacin. Control. Misin. Funcin
5 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Polticas, procedimientos, prcticas y estructuras organizacionales implementadas para
proveer una certeza razonable de que se alcanzarn los objetivos de negocio de una
organizacin y que los eventos de riesgo no deseados sern previstos o detectados.
El control es el medio por el cual se alcanza los objetivos de control.
Evaluar la estructura de control interno.
Fortalezas y debilidades materiales en el diseo e implementacin de controles internos
y su eficacia para alcanzar los objetivos de control
Un objetivo de control en TI es una definicin del resultado o propsito que se desea
alcanzar implementando prcticas de control (tcnicos, humanos, procedimentales)
en un proceso especfico de TI (o directamente con las actividades especficas dentro
del proceso)
Los objetivos de control son requisitos de alto nivel que deben ser considerados para
el control eficaz del proceso.
Auditora Informtica: Misin
Control. Prctica de control
Objetivo de Control Controles
Evaluar
Auditora de Sistemas de Informacin. Control. Misin. Funcin
6 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Procesos de Sistemas de Informacin
Cumplimiento Normativo
Arquitecturas y Servicios
Aplicaciones
Seguridad Lgica
Seguridad Fsica
Mecanismos de Respaldo
Planes de Contingencia
Rastros de Auditora
Monitorizacin
Mecanismos de Alta Disponibilidad
Comunicaciones
Tipologa auditoras de SSII
7 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Procesos de Sistemas de Informacin
Cumplimiento Normativo
Arquitecturas y Servicios
Aplicaciones
Seguridad Lgica
Seguridad Fsica
Mecanismos de Respaldo
Planes de Contingencia
Rastros de Auditora
Monitorizacin
Mecanismos de Alta Disponibilidad
Comunicaciones
Se
rvic
io A
Se
rvic
io N
Tipologa auditoras de SSII
8 Introduccin a la Auditora de Procesos de Sistemas de Informacin 8
Aplicaciones
Cumplimiento Normativo
Arquitecturas y Servicios
Procesos de Sistemas de Informacin
MQ series. Dependiendo de
diversos parmetros (tipo de
transaccin, volumen de carga,
etc), las peticiones de cajero
sern dirigidas a Host o Tandem
Formado principalmente por- Un PC que presenta el interfaz al usuario y genera las transacciones.- Un EPP en el que son realizadas las operaciones criptogrficas. - Y en el caso de cajeros desplazados dispositivos de comunicaciones
SERMEPA
Comunicacin cifrada con Sermepa
a travs de claves compartidas para
validacin de PIN de tarjetas Caja
Madrid en cajeros externos y envo
de PIN de tarjetas externas usadas
en cajeros Caja Madrid.
Comunicaciones
(Oneclick)
Dispositivos
(Gasper)
Seguridad Fsica
(Central Receptora de Alarmas)
Entorno Tandem
Entorno Host
Arquitectura
Monitorizacin/Gestin
Cajero
Escalado eventos
(Centro de Atencin)
Granja Servidores
balanceados
Comunicacin cifrada
https
Sistema de Deteccin de
Intrusos
Tipologa auditoras de SSII
9 Introduccin a la Auditora de Procesos de Sistemas de Informacin
AUDITORA DE PLATAFORMAS
SOFTWARE BASE
SISTEMAS OPERATIVOS
WINDOWS
LINUX
UNIX
Z/OS - RACF
VMWare
IOS Cisco
IMS
SISTEMAS GESTORES DE BASES DE DATOS
DB2
DL1
Oracle
SQL
SYBASE
COMUNICACIONES
VOZ S/IP
MQ-SERIES
CORREO ELECTRNICO
TELEFONA MVIL
WIFI
DIRECTORIOS
SSA
DIRECTORIO ACTIVO
MIIS
SYSPLEX
Servicio del Centro de Atencin
AUDITORA DE SERVICIOS
Sistemas Comunes
Sistema de Informacin Contable
Sistema de Informacin de Personas
Sistemas de Captacin
Pasivo (ahorro, depsitos, cuentas...) Planes de Pensiones
Fondos de Inversin
Sistemas de Operaciones y Servicios
Compensacin Gestin del Efectivo
Sistemas de Financiacin (Banca Comercial)
Tramitacin de Activo Tarjetas
Prstamos Comercios
Cuentas de Crdito Valores
Sistemas de Financiacin
Prstamos Bilaterales y Sindicados Crditos Bilaterales y Sindicados
Avales Bilaterales y Sindicados
Sistemas de Mercados
Isis Kondor+
Teseo Murex
Posicin en divisa List
Sistemas de Informacin
NBA Recuperaciones
SIG Activos Adjudicados
Almacn de Datos Insolvencias
Riesgos (SGR, Scoring, Rating)
Sistemas Comerciales y de Distribucin
Servicios de la Oficina Internet Servicio de la Oficina Telefnica
Autoservicios
Sistemas de Recursos Humanos (Nminas, SVR, ePersonas, HR-Access)
Tipologa auditoras de SSII
10 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Aplicaciones
Cumplimiento Normativo
Arquitecturas y Servicios
Aplicaciones
Tipologa auditoras de SSII
Seguridad
Desarrollo
Produccin
Segregacin de funciones
Rastros de Auditora
Calidad de informacin
Coherencia de Procesos y Control de Errores
Mecanismos de Respaldo
Procesos de negocio soportados
Mecanismos de alta disponibilidad
Monitorizacin
Seguridad Lgica
Proceso de desarrollo y pase a produccin
Planes de Contingencia
Seguridad FsicaAp
licacin
A
Ap
licacin
N
11 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Procesos de Sistemas de Informacin
Cumplimiento Normativo
Arquitecturas y Servicios
Aplicaciones
Tipologa auditoras de SSII
Dar respuesta a los requerimientos legales y obligaciones frente a los organismos reguladores y supervisores relacionados con la Auditora de SSII
OBLIGACIN REPORTE PERIDICO
Riesgo de Crdito (Anual) Riesgo Operacional (Anual)
BIS II
Circ. 6/2009
CNMV
(Anual)
LOPD
(Bienal)
NO OBLIGACIN REPORTE PERIDICO
LSSI - CE VISA FED
PCI-DSS MiFID
12 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Procesos de Sistemas de Informacin
G E S T I N DE NIVE L E S DE S E R VIC IO DE L O S S IS T E MAS DE INF O R MAC I N
G E S T I N F INANC IE R A DE L O S S IS T E MAS DE INF O R MAC I N
P L AN DE C O NT ING E NC IAS INF O R MT IC AS
P L AN DE C O NT INUIDAD DE NE G O C IO
G E S T I N DE L A C O NT INUIDAD DE L O S S IS T E MAS DE INF O R MAC IN
G E S T I N DE L A DIS P ONIB IL IDAD DE L O S S IS T E MAS DE INF O R MAC I N
G E S T I N DE L A C AP AC IDAD DE L O S S IS T E MAS DE INF O R MAC I N
P R O VIS I N DE S E R VIC IO
G E S T I N DE L A C O NF IG UR AC I N DE L O S S IS T E MAS DE INF O R MAC I N
G estin de C ambios de E mergencia
G estin de C ambios
G E S T I N DE C AMB IO S E N L O S S IS T E MAS DE INF O R MAC I N
G E S T I N DE P R O B L E MAS E N L O S S IS T E MAS DE INF O R MAC I N
G E S T I N DE INC IDE NC IAS DE S E G UR IDAD
G E S T I N DE INC IDE NC IAS DE P R O DUC C I N
G E S T I N DE INC IDE NC IAS E N L O S S IS T E MAS DE INF O R MAC I N
S O P O R T E DE S E R VIC IO
P R O C E S O S DE P R O DUC C I N
AUDIT O R A DE P R O C E S O S DE S IS T E MAS DE INF O R MAC I N
G E S T I N DE NIVE L E S DE S E R VIC IO DE L O S S IS T E MAS DE INF O R MAC I N
G E S T I N F INANC IE R A DE L O S S IS T E MAS DE INF O R MAC I N
P L AN DE C O NT ING E NC IAS INF O R MT IC AS
P L AN DE C O NT INUIDAD DE NE G O C IO
G E S T I N DE L A C O NT INUIDAD DE L O S S IS T E MAS DE INF O R MAC IN
G E S T I N DE L A DIS P ONIB IL IDAD DE L O S S IS T E MAS DE INF O R MAC I N
G E S T I N DE L A C AP AC IDAD DE L O S S IS T E MAS DE INF O R MAC I N
P R O VIS I N DE S E R VIC IO
G E S T I N DE L A C O NF IG UR AC I N DE L O S S IS T E MAS DE INF O R MAC I N
G estin de C ambios de E mergencia
G estin de C ambios
G E S T I N DE C AMB IO S E N L O S S IS T E MAS DE INF O R MAC I N
G E S T I N DE P R O B L E MAS E N L O S S IS T E MAS DE INF O R MAC I N
G E S T I N DE INC IDE NC IAS DE S E G UR IDAD
G E S T I N DE INC IDE NC IAS DE P R O DUC C I N
G E S T I N DE INC IDE NC IAS E N L O S S IS T E MAS DE INF O R MAC I N
S O P O R T E DE S E R VIC IO
P R O C E S O S DE P R O DUC C I N
AUDIT O R A DE P R O C E S O S DE S IS T E MAS DE INF O R MAC I N
GESTIN DE COMPETENCIAS EDEA
GESTIN DE PROCESOS
SOPORTE ORGANIZACIONAL
GESTIN DE MTRICAS EN PROYECTOS EN DESARROLLO
ASEGURAMIENTO EN PROYECTOS EN DESARROLLO
GESTIN DE LA CONFIGURACIN EN PROYECTOS EN DESARROLLO
SOPORTE
GESTIN DE PROYECTOS EN DESARROLLO
GESTIN DE ACUERDOS CON PROVEEDORES EN PROYECTOS EN DESARROLLO
GESTIN DE LA PETICIN EN PROYECTOS EN DESARROLLO
GESTIN
DESARROLLO TCNICO DE PROYECTOS EN DESARROLLO
GESTIN DE REQUISITOS EN PROYECTOS EN DESARROLLO
GARANTA DE CALIDAD DE LOS PROYECTOS EN DESARROLLO
Ejecucin y Evaluacin de las Pruebas
Elaboracin del Plan de Pruebas / Preparacin del Entorno de Pruebas
GESTIN DE PRUEBAS EN PROYECTOS EN DESARROLLO
INGENIERA
PROCESOS DE SISTEMAS
AUDITORA DE PROCESOS DE SISTEMAS DE INFORMACIN
GESTIN DE COMPETENCIAS EDEA
GESTIN DE PROCESOS
SOPORTE ORGANIZACIONAL
GESTIN DE MTRICAS EN PROYECTOS EN DESARROLLO
ASEGURAMIENTO EN PROYECTOS EN DESARROLLO
GESTIN DE LA CONFIGURACIN EN PROYECTOS EN DESARROLLO
SOPORTE
GESTIN DE PROYECTOS EN DESARROLLO
GESTIN DE ACUERDOS CON PROVEEDORES EN PROYECTOS EN DESARROLLO
GESTIN DE LA PETICIN EN PROYECTOS EN DESARROLLO
GESTIN
DESARROLLO TCNICO DE PROYECTOS EN DESARROLLO
GESTIN DE REQUISITOS EN PROYECTOS EN DESARROLLO
GARANTA DE CALIDAD DE LOS PROYECTOS EN DESARROLLO
Ejecucin y Evaluacin de las Pruebas
Elaboracin del Plan de Pruebas / Preparacin del Entorno de Pruebas
GESTIN DE PRUEBAS EN PROYECTOS EN DESARROLLO
INGENIERA
PROCESOS DE SISTEMAS
AUDITORA DE PROCESOS DE SISTEMAS DE INFORMACIN
Gestin de claves criptogrficas
Securizacin perimetral
Securizacin de Aplicaciones
Securizacin de Arquitecturas
Gestin de Usuarios
GESTIN DE LA SEGURIDAD
EVALUACIN Y ADMINISTRACIN DE RIESGOS DE TI
GESTIN DE RECURSOS HUMANOS DE TI
GESTIN DE PROYECTOS DE SISTEMAS DE INFORMACIN
PROCESO DE PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN
PROCESOS COMPLEMENTARIOS
AUDITORA DE PROCESOS DE SISTEMAS DE INFORMACIN
Gestin de claves criptogrficas
Securizacin perimetral
Securizacin de Aplicaciones
Securizacin de Arquitecturas
Gestin de Usuarios
GESTIN DE LA SEGURIDAD
EVALUACIN Y ADMINISTRACIN DE RIESGOS DE TI
GESTIN DE RECURSOS HUMANOS DE TI
GESTIN DE PROYECTOS DE SISTEMAS DE INFORMACIN
PROCESO DE PLANIFICACIN ESTRATGICA DE SISTEMAS DE INFORMACIN
PROCESOS COMPLEMENTARIOS
AUDITORA DE PROCESOS DE SISTEMAS DE INFORMACIN
Tipologa auditoras de SSII
13 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Elementos de la arquitectura de TI IT Governance y su control Estructura de control Evolucin de la prctica Auditora de SSII
Por qu Auditora de Procesos?
14 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Informacin/aplicaciones. Datos en todas sus
formas procesados y generados por los sistemas
de informacin que son utilizados por el negocio.
Infraestructura. Tecnologa e instalaciones (hw,
ssoo, bbdd, redes, ubicaciones,etc) que permiten el procesamiento de la informacin.
Personas. Personal requerido para planear,
organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y
los servicios de informacin. Estas pueden ser
internas, por outsourcing o contratadas, de
acuerdo a como se requieran.
Conjunto de tareas, actividades o acciones interrelacionadas entre s que dan lugar a una
serie de productos/servicios finales o entradas a otros procesos (ej. procesos de negocio).
RECURSOS de TI
La organizacin de TI se organiza como un conjunto de procesos definidos que utiliza las habilidades de las
personas, y la infraestructura de tecnologa para proporcionar sistemas de informacin para el negocio.
Recursos y Procesos constituyen una arquitectura empresarial para TI.
PROCESOS de TI
Motivo #1: Los Procesos son elementos en una arquitectura de TI
Por qu Auditora de Procesos?
Elementos de la Arquitectura empresarial para TI
15 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Por qu Auditora de Procesos?
Elementos de la Arquitectura empresarial para TI
Motivo #2: Los Procesos requieren controles
Monitorizar y Evaluar
Adquirir e
ImplementarEntrega y dar Soporte
Planificar y Organizar
Controles Generales de TI
Controles de Aplicacin
Controles de
Negocio
Controles de
Negocio
Servicios
Automatizados
Requerimientos
Funcionales
Requerimientos de
Control
Responsabilidades de
Negocio
Responsabilidades de
NegocioResponsabilidad de TI
16 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Dentro del Gobierno Empresarial, el Gobierno de TI se est volviendo ms y ms importante y est definido como
una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos.
El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras
medibles, eficientes y efectivas de los procesos relacionados de la empresa.
El Gobierno de TI provee las estructuras que unen:
los procesos de TI, los recursos de TI y La informacin con las estrategias y los objetivos de la empresa.
Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de:
Planificacin y organizacin, Adquisicin e implementacin, Entrega de servicios y soporte y Monitorizacin del desempeo de TI
El Gobierno de TI est orientado a asegurar que la informacin de la empresa y las tecnologas soportan sus objetivos del negocio.
El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.
Por qu Auditora de Procesos?
IT Governance y su control
17 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Objetivos/Metasde negocio
Procesos TI
Objetivos/Metas
TI
Indicadores Clave de
Desempeo
Indicadores Clave de
Meta
Modelos de madurez
ActividadesClave
Matriz de responsabilidades
RACI
Objetivos de Control
Prcticas de Control
Pruebas de Diseo del
Control
Informacin
Basado en
implem
entado con
Controlado por
Auditado
con
Med
ido po
r
Para madurez
Rend
imient
o / de
sempe
o
Para
resu
ltados
hecho efe
ctivo y ef
iciente co
n
real
izad
o po
r
Pruebas de resultado del
Control
Derivado de
Auditado p
or
Requerimientos
Por qu Auditora de Procesos?
IT Governance y su control
18 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Gestin
Control
Gestin
Gobierno
m
bit
os
IT Governance
Poltica Procesos
Procedimientos Guas Tcnicas
Configuraciones tcnicas Controles
Control
Cobit3 2000
Cobit4 2005
Cobit2 1998
Procesos:
elementos en una arquitectura de TI
que requieren controles
Procesos:
como elementos del IT Governance
Auditora de
Procesos de Sistemas de Informacin
Por qu Auditora de Procesos? Evolucin de la prctica auditora de SSII
19 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Mejores prcticas
Cobit
ITIL
Marcos de referencia para gestin y control de SSII
20 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Mejores prcticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la industria y
que funciona correctamente..." Aidan Lawes, CEO itSMF
"Las mejores prcticas" son la mejor identificacin de acercamiento a una situacin basada en
observaciones sobre organizaciones efectivas en similares circunstancias de negocio.
Un acercamiento a "las mejores prcticas"
significa la bsqueda de ideas y experiencias
que han funcionado con aquellos que emprendieron
actividades similares en el pasado y
se decide cul de esas prcticas son relevantes
con la situacin actual que se tiene.
"Las mejores prcticas" evitan "re-inventar la rueda",
sino que es el aprendizaje a travs de otros,
con implementaciones que han sido
desarrolladas para que funcionen correctamente.
Qu buscamos en Marcos de Control y Gestin?
Controles (Misin del auditor)
Procesos (mapas, actividades,)
Requerimientos de negocio.
Alineamientos Negocios con TI
Herramienta de comunicacin
Marcos de gestin y control de SSII
Mejores prcticas
21 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Objetivos de Control para Tecnologa de Informacin
Qu es?: Un estndar de Controles y Auditora de Tecnologa Informtica
Un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes, auditores.
Cobit
Gerencia (apoyo a decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control)
Auditores : soportar opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y determinar el control mnimo requerido.
Responsables de TI: para identificar los controles que requieren en sus reas
Define las actividades de TI de una organizacin, en un modelo genrico de procesos.
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn para todos los implicados en los trabajos de la organizacin, con el fin de que visualicen y administren
las actividades de TI. La incorporacin de un modelo y un lenguaje comn para todas las partes de un
negocio involucradas en TI es uno de los pasos iniciales ms importantes hacia un buen gobierno.
Brinda un marco de trabajo para la medicin y monitorizacin del desempeo de las Tecnologas de Informacin, e integra las mejores prcticas administrativas.
Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.
Marcos de gestin y control de SSII Cobit
22 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Requerimientos de la informacin del negocio.
Recursos de Tecnologa Informtica
Procesos de Tecnologa Informtica
Pilares del Modelo CobiT
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
RECURSOS
DE TI
PROCESOS
DE TI
Marcos de gestin y control de SSII Cobit
23 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada o desde el punto de vista del uso no autorizado.
Grado de proteccin que tiene la informacin y los sistemas de informacin para evitar el acceso no autorizado
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.
Que la informacin sea coherente, competa, fiable y veraz
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.
Que la informacin y los sistemas de informacin estn disponibles siempre que se necesiten
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable .
Que los sistemas informticos sea suficientes para dar soporte a los procesos
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica).
Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estn correctamente gestionados
Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Requerimientos de la Informacin del Negocio
Marcos de gestin y control de SSII Cobit
24 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Datos: Los objetos de informacin. Informacin interna y externa, estructurada o no, grficas, sonidos, etc. Informacin
Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por terceras casa o compradas a terceros.
Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Infraestructura: Hardware, sistemas operativos, gestores de bases de datos, redes e instalaciones.
Recurso Humanos: Todo lo relacionado con la gestin de personal propio o subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Informacin.
Recursos de Tecnologa Informtica
Marcos de gestin y control de SSII Cobit
25 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Procesos de TI :Los Tres Niveles
Dominios
Agrupacin Natural de procesos, normalmente corresponden a un dominio
o una responsabilidad organizacional
Procesos
Conjuntos o series de actividades unidas con
delimitacin o cortes de control.
Actividades o tareas
Acciones requeridas para lograr un resultado medible. Las
Actividades tienen un ciclo de vida mientras que las tareas
son discretas.
Planificacin y Organizacin (Planning and Organization)
Adquisicin e implementacin (Acquisition and Implementation)
Prestacin de Servicios y Soporte (Delivery and Support)
Seguimiento (monitoring)
Marcos de gestin y control de SSII Cobit
26 Introduccin a la Auditora de Procesos de Sistemas de Informacin
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones
Informacin
Infraestructura
Personas
ENTREGA
Y
SOPORTE
MONITORIZAR
Y
EVALUAR
ADQUISICIN
E
IMPLEMENTACIN
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Efectividad Confidencialidad
Integridad
Disponibilidad
Cumplimiento
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de apoyo e incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el desempeo de TI.
ME2 Monitorear y Evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratgico de TI.
PO2 Definir la arquitectura de informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir los procesos de TI, la
organizacin y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la direccin y objetivos de la
gerencia.
PO7 Administrar los recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de automatizacin.
AI2 Adquirir y mantener software de aplicacin.
AI3 Adquirir y mantener la infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
PLANIFICACIN
Y
ORGANIZACIN
Confiabilidad
Marcos de gestin y control de SSII Cobit
27 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Pro
ceso
s T
I Dominios
Procesos
Actividades
Criterios de la Informacin Relacin entre componentes
Requerimientos de la informacin del negocio.
Recursos de Tecnologa Informtica
Procesos de Tecnologa Informtica
Marcos de gestin y control de SSII Cobit
28 Introduccin a la Auditora de Procesos de Sistemas de Informacin
DOMINIO PROCESOSEf
ectiv
idad
Efic
ienc
ia
Con
fiden
cial
idad
Inte
grid
ad
Dis
poni
bilid
ad
Cum
plim
ient
o
Con
fiabi
lidad
Pers
onas
Apl
icac
ione
s
Tecn
olog
a
inst
alac
ione
s
Dat
os
PLAN Y
ORGANIZACIN
PO1 Definir el plan estratgico de TI P S
PO2 Definir la Arquitectura de la informacin P S S S
PO3 Determinar la direccin tecnolgica P S
PO4 Definir procesos, organizacin y relaciones de TI P S
PO5 Administra la inversin en TI P P S
PO6 Comuinicar las aspiraciones y la direccin de Gerencia P S
PO7 Administrar Recursos Humanos de TI P P
PO8 Administrar calidad P P S
PO9 Evaluar y Administrar riesgos de TI P S P P P S S
PO10 Administrar proyectos P P
PO11 Administrar calidad P P P S
AI1 Identificar soluciones automatizadas P S
AI2 Adquiriri y mantener el Software aplicativo P P S S S
AI3 Adquiriri y mantener el la Infraestructura ttecnolgica P P S
AI4 Facilitar la operacin y el uso P P S S S
AI5 Adquirir recursos de TI P S S
AI6 Administrar Cambios P P P P S
DS1 Definir y administrar niveles de Servicio P P S S S S S
DS2 Administrar servicios de terceros P P S S S S S
DS3 Administrar desempeo y capacidad P P S
DS4 Garantizar la continuidad del Servicio P S P
DS5 Garantizar la seguridad de los sistemas P P S S S
DS6 Identificar y asignar costos P P
DS7 Educar y entrenar a los usuarios P S
DS8 Administrar la mesa de servicio y los incidentes P P
DS9 Administrar la configuracin P S S
DS10 Administrar los problemas P P S
DS11 Administrar los datos P P
DS12 Administrar el ambiente fsico P P
DS13 Administrar las operaciones P P S S
M1 Monitorear y evaluar el desempeo de TI P P S S S S S
M2 Monitorear y evaluaar el control interno P P S S S P S
M3 Garantizar cumplimiento interno P P S S S P S M4 Proporcionar Gobierno de TI P P S S S P S
ENTREGA Y SOPORTE
MONITORIZACIN Y
EVALUACIN
PLAN Y
ORGANIZACIN
ADQUISICIN E
IMPLEMENTACIN
Relacin entre componentes
Marcos de gestin y control de SSII Cobit
29 Introduccin a la Auditora de Procesos de Sistemas de Informacin
DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeo y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuracin. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente fsico. DS13 Administrar operaciones.
Dominio: DS Entrega y Soporte
DS8.1 Mesa de Servicio (Service Desk)
DS8.2 Registros de consultas de clientes
DS8.3 Escalamiento de incidentes
DS8.4 Cierre de incidentes
DS8.5 Anlisis de tendencias
Pro
ceso
s del D
om
inio
Actividades del proceso de Administrar servicios de apoyo e
incidentes
Proceso
Actividad
Responder de manera oportuna y efectiva a las consultas y
problemas de los usuarios de TI, requiere de una mesa de servicio
bien diseada y bien ejecutada, y de un proceso de administracin
de incidentes.
Este proceso incluye la creacin de una funcin de mesa de servicio
con registro, escalamiento de incidentes, anlisis de tendencia,
anlisis causa-raiz y resolucin.
Los beneficios del negocio incluyen el incremento en la
productividad gracias a la resolucin rpida de consultas. Adems,
el negocio puede identificar la causa raz (tales como un pobre
entrenamiento a los usuarios) a travs de un proceso de reporte
efectivo.
Establecer procedimientos de mesa de servicios de manera que los
incidentes que no puedan resolverse de forma inmediata sean
escalados apropiadamente de acuerdo con los lmites acordados
en el SLA y, si es adecuado, brindar soluciones alternas.
Garantizar que la asignacin de incidentes y el monitoreo del ciclo
de vida permanecen en la mesa de servicios, independientemente
de qu grupo de TI est trabajando en las actividades de
resolucin
Objetivo de control de alto nivel para el proceso
Objetivo de control detallado para la actividad
Marcos de gestin y control de SSII Cobit
30 Introduccin a la Auditora de Procesos de Sistemas de Informacin
COBIT 4.1
Marcos de gestin y control de SSII Cobit
31 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Marcos de gestin y control de SSII Cobit
32 Introduccin a la Auditora de Procesos de Sistemas de Informacin
CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control.
Documento detallado de ayuda para la justificacin y diseo de controles.
Asociado a cada OBJETIVO DE CONTROL
(1) Riesgos que se evitan
(2) Valor que se obtiene.
(3) PRACTICAS DE CONTROL. Instruccin para la consecucin del objetivo.
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control
detallado para la actividad n
Value Drivers
Valores que se obtienen
cuando se cubre el
objetivo de control
Ejemplos de riesgos
que se evitan cunado
se cubre elobjetivo de
control
Risk Drivers
Control Practices
1.
2. Instrucciones para la consecucin del objetivo
3.
Proceso p
Marcos de gestin y control de SSII Cobit
33 Introduccin a la Auditora de Procesos de Sistemas de Informacin
CoBIT Control Practices.
DS8 Administrar servicios de apoyo e incidentes
DS8.1 Servicio de apoyo (service desk)
Marcos de gestin y control de SSII Cobit
34 Introduccin a la Auditora de Procesos de Sistemas de Informacin
CoBIT Control Practices.
DS8 Administrar servicios de apoyo e incidentes
DS8.3 Escalado de Incidentes
Marcos de gestin y control de SSII Cobit
35 Introduccin a la Auditora de Procesos de Sistemas de Informacin
CoBIT Control Practices.
DS8 Administrar servicios de apoyo e incidentes
DS8.5 Reporte y anlisis de tendencias
Marcos de gestin y control de SSII Cobit
36 Introduccin a la Auditora de Procesos de Sistemas de Informacin
IT Assurance Guide (Using COBIT). Gua de Aseguramiento de TI.
Reemplaza a un documento anterior de directrices de auditora.
Se trata de una gua sobre la forma en que COBIT puede servir de apoyo
para diversas actividades de aseguramiento y cmo se puede realizar una
revisin (auditora) del aseguramiento en cada uno de los procesos de TI.
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control detallado
para la actividad n
Value Drivers
Valores que se obtienen
cuando se cubre el
objetivo de control
Ejemplos de riesgos
que se evitan cunado
se cubre elobjetivo de
control
Risk Drivers
Test de Control Design
1.
2. Instrucciones para la revisin del diseo del control
3.
Proceso p
Texto del Objetivo de Control de alto nivel para el proceso p
Marcos de gestin y control de SSII Cobit
37 Introduccin a la Auditora de Procesos de Sistemas de Informacin
IT Assurance Guide
DS8 Administrar servicios de apoyo e incidentes
DS8.3 Escalado de Incidentes
Marcos de gestin y control de SSII Cobit
38 Introduccin a la Auditora de Procesos de Sistemas de Informacin
IT Assurance Guide
DS8 Administrar servicios de apoyo e incidentes
DS8.5 Reporte y anlisis de tendencias
Marcos de gestin y control de SSII Cobit
39 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Marcos de gestin y control de SSII Cobit
40 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Marcos de gestin y control de SSII ITIL
Qu es ITIL? IT Infrastructure Library
ITIL se define como una biblioteca que documenta las Buenas Prcticas de la Gestin de Servicios de TI para conseguir la eficiencia y la eficacia en la utilizacin de los sistemas de
informacin.
Es el marco de procesos de Gestin de Servicios de TI (administracin de procesos) ms aceptado.Standard de facto para Servicios de IT.
ITIL proporciona un conjunto de mejores prcticas, extradas de organismos punteros del sector pblico y privado a nivel internacional.
Por qu es til ITIL a Auditora Informtica?
Alinear la Tecnologa con el Negocio por medio de la Gestin del Servicio TI basado en procesos
Define las reas de enfoque, procesos de TI, y las interrelaciones requeridas para administrar el ciclo de vida de los servicios de TI. Puede
dar soporte para definir mapas de procesos de TI
Proveyendo sistemas de control para la mejora continua. Permite el benchmarking y anlisis de mejora continua de TI. Aporta descripciones cuantitativas de servicios informticos y descripcin cuantitativas de
calidad (disponibilidad, capacidad, seguridad, costes).
41 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Marcos de gestin y control de SSII ITIL
42 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Es el proceso encargado de restablecer el funcionamiento normal de los servicios de la forma ms rpida posible y de minimizar el impacto negativo en las operaciones de negocio
El funcionamiento normal de los servicios se define aqu como el funcionamiento de los servicios dentro de los lmites del acuerdo de nivel de servicio (Service Level Agreement, SLA)
Se ocupan de asegurar que el cliente o usuario tiene acceso a los servicios que utiliza. Se ubican a nivel
operacional y dan soporte a los cambios necesarios para el buen funcionamiento de los servicios (posibles
fallos, incidencias, configuracin, etc)
2. Gestin de incidencias
3. Gestin de problemas
Es una funcin del proceso de gestin de incidencias, pero su importancia determina que se trate como un elemento diferenciado
El Service Desk es el nico punto de contacto entre los proveedores y los receptores de los servicios
Su principales tareas son registrar, resolver y monitorizar incidencias y problemas, e informar a los usuarios
Tiene como finalidad minimizar el impacto negativo en el negocio de los incidentes y problemas provocados por errores en la infraestructura de TI, y evitar la repeticin de incidentes relacionados con estos errores
Se propone llegar a la causa ltima de estos incidentes y proponer soluciones para la mejora de la situacin
1. Service Desk
Marcos de gestin y control de SSII ITIL. Soporte de Servicios 1/2
43 Introduccin a la Auditora de Procesos de Sistemas de Informacin
4. Gestin de cambios
6. Gestin de la entrega
Tiene como finalidad gestionar los cambios la organizacin de TI de forma rpida y eficiente y minimizar el impacto en la calidad del servicio de los incidentes derivados de los cambios y as mejorar las operaciones diarias de la
organizacin
Debe dar una respuesta adecuada a la solicitud de cambio: enfoque ponderado de la necesidad del cambio, teniendo en cuenta el riesgo y el impacto del mismo
Proporciona un modelo lgico de la infraestructura o de un servicio, identificando, controlando, manteniendo y comprobando las versiones de los elementos de configuracin (EC) existentes y las relaciones entre los mismos.
Este modelo se almacena en la base de datos de gestin de la configuracin, conocida como CMDB (Configuration
Management Database)
Objetivos de este proceso son:
Mantener la relacin de todos los activos y configuraciones de las TI dentro de la organizacin y sus servicios
Proporcionar informacin precisa sobre los EC su documentacin
Proporcionar una base slida para la gestin de incidencias, la gestin de problemas, la gestin de cambios y la gestin de la entrega
Se encarga de la planificacin y supervisin del lanzamiento con xito del sw y hw relacionado
Disear e implantar procedimientos eficientes para la distribucin e instalacin de los cambios en los sistemas de TI
5. Gestin de la configuracin
Marcos de gestin y control de SSII ITIL. Soporte de Servicios 2/2
44 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Relacin entre los procesos
Soporte de Servicios
Marcos de gestin y control de SSII ITIL. Soporte de Servicios
45 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Se centran en las relaciones entre la organizacin de TI y sus clientes. Se analizan y evalan los
servicios, y se toman decisiones relativas a las posibilidades financieras y de infraestructura para
cubrir las necesidades del cliente
1. Gestin de niveles de servicio
Su objetivo es mantener y mejorar la calidad de los servicios de las TI, a travs de un ciclo constante de acuerdos, supervisin e informacin sobre los logros de los servicios de las TI y la promocin de acciones
para erradicar los servicios de mala calidad
ITIL recomienda el mantener un catlogo de servicios que servir de base para la formalizacin de acuerdos de nivel de servicio (SLA) . ITIL tambin recomienda que el concepto de acuerdo de nivel de servicio se
extienda al resto de la organizacin, as el acuerdo con unidades internas se denominan acuerdos de nivel
operativo (OLA). Los acuerdos con proveedores se denominan contratos de soporte
2. Gestin financiera
Se encarga de justificar los gastos de los servicios de TI y la imputacin de dichos gastos a los servicios prestados a los clientes de la organizacin
Administracin rentable de los activos y recursos de las TI
3. Gestin de la capacidad
Para ITIL, se resume en garantizar que existe siempre una capacidad de TI con costes justificables que coincida con las necesidades actuales y futuras del negocio
Procura predecir el comportamiento de los servicios de TI en una cantidad y variedad dada
Contempla la realizacin de actividades de monitorizacin, anlisis, gestin de la demanda, tcnicas de modelado, etc. A diferentes niveles: recursos propios, servicios, negocio
Marcos de gestin y control de SSII ITIL. Entrega de Servicios 1/2
46 Introduccin a la Auditora de Procesos de Sistemas de Informacin
3. Gestin de la disponibilidad
Su objetivo es optimizar la capacidad de las infraestructuras, los servicios y la organizacin de soporte de las TI, para ofrecer un nivel rentable y sostenido de disponibilidad que permita que el negocio alcance sus
objetivos
La disponibilidad es parte esencial del Negocio, y se enfoca exclusivamente en darle atencin al servicio acordado. Realiza las tareas y actividades necesarias para disminuir el riesgo de un corte en la disponibilidad
del Servicio
La disponibilidad o no disponibilidad son los indicadores principales de la calidad que el usuario percibe
4. Gestin de la continuidad
Gestin de los riesgos, de tal manera que, en caso de incidencia grave, el negocio pueda seguir funcionando dentro de unos niveles de servicio previamente acordados
Marcos de gestin y control de SSII ITIL. Entrega de Servicios 2/2
47 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Relacin entre los procesos
Entrega de Servicios
Marcos de control y gestin ITIL. Entrega de Servicios
48 Introduccin a la Auditora de Procesos de Sistemas de Informacin
FFIEC IS Requeriments (Federal Financial Institutions Examination Councils)
El estndar utilizado por la Reserva Federal de EEUU como gua de trabajo para evaluar la idoneidad y adecuacin de los controles implantados sobre los sistemas de informacin de las Entidades Financieras que presentan oficinas en Estados Unidos.
Dispone de cuadernos de revisin (IT Examination Handbook):
IS- Information Security
AUD Audit
OT Outsourcing Technology Services
TSP Technology Services Provider
BCP Business Continuity Plan
Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.
Marcos de gestin y control de SSII FFIEC IS Requeriments
49 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Introduccin a la Auditora de
Procesos de Sistemas de Informacin
Metodologa de Auditoras de Procesos
Modelo de procesos genrico. Elementos Ciclo bsico de un trabajo de auditora
Planificacin.
Trabajo de Campo.
Informe
Ejercicio. Gestin de Acuerdo con Proveedores
Ejercicio. Gestin de Incidencias
Ejercicio. Programas de Trabajo
Ejercicio. Ejemplo de Informe
50 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Caractersticas de un proceso Modelo de procesos genrico. Elementos
Cuando se auditen procesos debemos tener presente los fundamentos / principios de procesos para nuestros anlisis y la determinacin de fortalezas y debilidades.
En un proceso existen muchos elementos. Es conveniente identificarlos como elementos del proceso.
Para su identificacin podemos utilizar el siguiente modelo de procesos genrico que contienen todos los factores que conforman un proceso.
Sobre estos elementos se definen
Controles generales y
Controles especficos del proceso
Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Parmetros de calidad e Indicadores
Clave de Rendimiento
Control del Proceso
Proceso
Habilitadores del proceso
51 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Proceso: Conjunto estructurado de actividades, realizadas por agentes determinados, orientadas a la consecucin de un objetivo determinado de una manera repetible y medible. El proceso define QU debe hacerse. Entradas. Salidas: Los Procesos requieren de una o ms entradas y producen una serie de salidas, ambas previamente definidas.
Actividad: Un conjunto de acciones diseadas para alcanzar un resultado especfico. Normalmente, las actividades se definen como parte del proceso y se documentan en procedimientos. Las actividades describen detalladamente las tareas y pasos para ejecutar procedimientos. Son las unidades de las que se componen stos.
Procedimientos. Serie de pasos que definen de una manera especfica cmo y por quin ha de realizarse una actividad. Un procedimiento define CMO debe hacerse. Los procedimientos pueden completarse con Instrucciones de trabajo
Instrucciones de trabajo. Instrucciones detalladas que describen exactamente cmo ha de ejecutarse una actividad.
Gestor: Los gestores del proceso son los responsables de realizar y estructurar los procesos e informar sobre ellos al propietario.
Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Parmetros de calidad e Indicadores
Clave de Rendimiento
Control del Proceso
Proceso
Habilitadores del proceso
Caractersticas de un proceso Modelo de procesos genrico. Elementos
52 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Rol: Conjunto de actividades, responsabilidades y potestades concedidas a una persona o equipo. Una persona o equipo puede tener mltiples roles. Un Proceso suele incorporar la definicin de los Roles que intervienen. Para distribuir el trabajo en un proceso las actividades se agrupan en roles de proceso. Para desempear cada rol es necesario indicar qu conocimientos, habilidades y formacin son requeridos.
Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Parmetros de calidad e Indicadores
Clave de Rendimiento
Control del Proceso
Proceso
Habilitadores del proceso
Caractersticas de un proceso Modelo de procesos genrico. Elementos
53 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Los datos entran en el proceso, se procesan, salen del proceso y el resultado se mide y revisa. Para que la gerencia controle un proceso o actividad, se debe de establecer un mtodo predeterminado. Sin l, no existen bases para controlar, ajustar o mejorar el proceso.
Objetivo del proceso. Un proceso se organiza siempre alrededor de un objetivo. El principal resultado del proceso es el resultado del objetivo.
Propietario del proceso. El propietario es el responsable del resultado del mismo.
Control del proceso: El proceso es objeto de controles de gestin (tiempo, coste y calidad) que suelen estar incorporados en su definicin. Los controles de gestin son necesarios para obtener las salidas de forma eficaz.
Mtodo 1/2. Procedimientos. Pueden considerarse mtodos de control: los propios procedimientos, instrucciones de trabajo, listas de verificacin, esquemas, diagramas de flujo,, mapas de proceso, etctera.
Mtodo 2/2. Parmetros de Calidad. Indicadores: Es necesario establecer los indicadores que nos permitirn, en base a los objetivos propuestos, evaluar el correcto funcionamiento del Proceso. Las medidas de estos indicadores se plasmarn en informes peridicos que se utilizarn para la evaluacin del proceso.
Recursos Roles
Actividades y
Subprocesos
Gestor
Entradas y
Especificaciones de
entrada
Salidas y
Especificaciones
de salida
Objetivos del
Proceso
Propietario del
Proceso
Parmetros de calidad e Indicadores
Clave de Rendimiento
Control del Proceso
Proceso
Habilitadores del proceso
Caractersticas de un proceso Modelo de procesos genrico. Elementos
54 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Carctersticas de un proceso. Ejercicio. Proceso de Gestin de Incidencias de la empresa Infolabs Ejercicio. A partir del Modelo de Procesos Genrico identificar sus elementos
(ver tomo de ejercicios)
55 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y las medidas de control relevantes.
Evaluar la conveniencia de los controles establecidos.
Evaluar el cumplimiento al probar si los controles establecidos estn funcionando como se espera, de manera consistente y continua.
Justificar el riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas.
Se audita mediante los siguientes pasos:
Gua Genrica de Auditora
56 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Evaluacin de los controles
Evaluar de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control del proceso mediante la consideracin de los criterios identificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.
Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios donde es necesario.
Concluir el grado en el que se cumple el objetivo de control.
Obtener entendimiento
Documentar las actividades subyacentes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.
Lograr la comprensin de: Requerimientos del negocio y los riesgos asociados. Estructura organizacional. Roles y responsabilidades. Medidas de control establecidas. Actividad de reporte (estatus, desempeo, acciones).
Documentar los recursos de TI relacionados con el proceso que se ven afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los KPI del proceso, las implicaciones de control, por ejemplo, mediante un seguimiento paso a paso del proceso.
Valoracin del cumplimiento
Asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia de ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.
Realizar una revisin de la suficiencia de los resultados del proceso.
Determinar nivel de pruebas justificantes y trabajo adicional necesario para asegurar que el proceso de TI es adecuado.
Justificar el riesgo
Justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas.
Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
Gua Genrica de Auditora
57 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Planificacin Trabajo de Campo
Elaboracin Informe
Metodologa auditoras de procesos Ciclo bsico de un trabajo de auditora
Se establecen los objetivos, alcance de las pruebas, fechas de realizacin y asignacin de recursos de cada trabajo de auditora.
La planificacin queda reflejada en dos documentos:
el proyecto de auditora y el programa de trabajo.
Durante la planificacin de la auditora, es preciso comunicar el inicio del trabajo y sus principales objetivos a las Direcciones de... afectadas.
La realizacin del trabajo de campo consiste bsicamente en la ejecucin de las pruebas establecidas en el programa de trabajo, analizando los resultados de las mismas para extraer las oportunas conclusiones y, en su caso, plantear recomendaciones.
El trabajo de campo quedar documentado en
los papeles de trabajo de auditora.
En el informe de auditora se recogen los objetivos, alcance del trabajo, los hechos observados, las conclusiones, recomendaciones y manifestaciones del centro auditado.
Objetivos
Mtodos y Medios
Pruebas
Evidencias de auditora Informe
Proyecto de Auditora Programa de Trabajo
Comunicacin Inicio Auditora
Informe
Comunicacin Informe
Manifestaciones auditado
Papeles de Trabajo
58 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Planificacin Trabajo de Campo
Objetivos
Mtodos y Medios
Pruebas
Evidencias de auditora
Proyecto de Auditora Programa de Trabajo
Comunicacin Inicio Auditora
Papeles de Trabajo
Alcance Objetivos Control
Modelo Madurez
Elaboracin Informe
Informe
Informe Comunicacin Informe
Manifestaciones auditado
Cobertura y Cumplimiento de controles
Marco general
Evaluacin riesgos
Evaluacin Proceso
Metodologa auditoras de procesos Ciclo bsico de un trabajo de auditora
Metas Mtricas
Mtricas
59 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Identificacin del Alcance
Identificacin Objetivos Control
Elaboracin Modelo
Valoracin
Identificacin Prcticas de control
Identificacin Objetivos de
control Desarrollo del
Modelo de Madurez
Planificacin Trabajo de Campo
Elaboracin Informe
Identificacin intervinientes
Diagrama del alcance
Obtener conocimiento
Validar
Metodologa auditoras de procesos Planificacin
Metas y Mtricas
Obtencin de parmetros de
logro y desempeo
60 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Auditora de un proceso. Marco metodolgico Planificacin. Identificacin del alcance
Identificacin del Alcance
Identificacin intervinientes
Diagrama del alcance
Planificacin
Obtener conocimiento
Validar
Objetivo: Definir hasta donde se quiere llegar con la revisin, es decir, la amplitud y profundidad de las pruebas e investigaciones a realizar, identificando procesos, subprocesos, procedimientos y/o actividades de TI as como sus intervinientes.
Diagrama del alcance
Identificacin de Intervinientes
Definir hasta donde se quiere llegar con la revisin, es decir, la amplitud y profundidad de las pruebas e investigaciones a realizar.
Identificar responsables, gestores y participantes en el proceso.
Validar participantes, roles y responsables del proceso. Se identificarn los siguientes perfiles: Ejecucin, suministro de informacin, seguimiento, revisin, y aprobacin
Confirmar el entendimiento del proceso bajo revisin . Validar flujograma, tareas, procedimientos y salidas con los responsables del proceso. (ej. ejemplo, mediante un seguimiento paso a paso del proceso)
Conocer algn marco de referencia* (facilta la toma de datos con los intervinientes)
Recopilar toda la documentacin del proceso: procedimientos, actividades, salidas, etc...
Entrevistas para lograr la comprensin de:
- Requerimientos del negocio.
- Riesgos asociados.
- Estructura organizacional.
- Roles y responsabilidades.
- Las medidas de control establecidas.
- Actividades de reporte.
Obtener conocimiento
Validar
* Cobit, CMMI, ITIL, ISO
61 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Identificacin Objetivos Control
Identificacin Prcticas de control
Identificacin Objetivos de
control
Auditora de un proceso. Marco metodolgico Planificacin. Objetivos de Control.Controles
Criterio auditor
Buenas prcticas
CISA
Procesos
definidos
ITIL
ISO 27001
COBIT
Controles/
Conceptos
Planificacin
Identificacin Objetivos de Control
Objetivo. Identificar objetivos de control y prcticas de control (controles)
En cualquier caso el Auditor debe estar capacitado para definir/exigir objetivos de control y prcticas de control a partir de modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)
Identificacin de Prcticas de Control
Definir objetivos de control de alto nivel segn marcos de referencia.
Definir prcticas de control que den cobertura a los objetivos de control. Analizar los marcos de referencia.
62 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Auditora de un proceso. Marco metodolgico Planificacin. Objetivos de Control.Controles
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control detallado para la actividad n
Value Drivers
Valores que se obtienen cuando se cubre el objetivo de control
Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control
Risk Drivers
Control Practices
1.
2. Instrucciones para la consecucin del objetivo
3.
Proceso p
Control Objective
Actividad n (del proceso p)
Value Drivers Risk
Drivers
Test de Control Design
1.
2. Instrucciones para la revisin del diseo del control
3.
Texto del Objetivo de Control de alto nivel para el proceso p
63 Introduccin a la Auditora de Procesos de Sistemas de Informacin
La necesidad de administrar el desempeo y la capacidad de los recursos de TI requiere de un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI.
Este proceso incluye el pronstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias.
Este proceso brinda la seguridad de que los recursos de informacin que soportan los requerimientos del negocio estn disponibles de manera continua.
Auditora de un proceso. Marco metodolgico Planificacin. Objetivos de Control.Controles
Prcticas de Control. (Monitorizacin y reporte)
Debe establecerse un proceso de recopilacin de datos de monitorizacin y reporte sobre la disponibilidad, rendimiento y carga de trabajo de la capacidad de todos los recursos.
Se deben proporcionar reporte peridicos de resultados en una forma apropiada para la revisin por gestores de IT y negocio.
Las actividades de monitorizacin y reporte estn integradas en las actividades iterativas de gestin de la capacidad (monitorizacin, anlisis, tuning e implementaciones).
Los informes de la capacidad forman parte / alimentan los procesos presupuestarios.
Auditora de Gestin del Rendimiento y Capacidad
Objetivo de Control alto nivel (DS3). Objetivo de Control detallado (DS3.1). Planificacin
Objetivo de Control detallado (DS3.2). Capacidad y desempeo actual
Objetivo de Control detallado (DS3.3). Capacidad y desempeo futuros
Objetivo de Control detallado (DS3.4). Disponibilidad de recursos de TI
Objetivo de Control detallado (DS3.5). Monitorizacin y Reporte.
Se debe monitorizar continuamente el desempeo y la capacidad de los recursos de TI. La informacin reunida sirve para dos propsitos:
(1) Mantener y poner a punto el desempeo actual dentro de TI y atender temas como contingencia, cargas de trabajo actuales y proyectadas, planes de almacenamiento y adquisicin de recursos.
(2) Para reportar la disponibilidad hacia el negocio del servicio prestado como se requiere en los SLAs (en su caso). Acompaar todos los reportes de excepcin con recomendaciones para llevar a cabo acciones correctivas.
64 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Auditora de un proceso. Marco metodolgico Planificacin. Modelo de valoracin. Modelo de Madurez
Elaboracin Modelo
Valoracin
Desarrollo del Modelo de Madurez
Planificacin
Objetivo: Elaboracin de criterios que nos permitan evaluar el proceso desde el punto de vista de la administracin y control de proceso.
Desarrollar un contenido del modelo de valoracin basado en Modelos de Madurez, a partir del cual se podr identificar el nivel de control interno del proceso auditado.
El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el desarrollo de un mtodo de asignacin de puntuacin para que una organizacin, proceso o actividad pueda ser calificado.
Optimizado
Definido
Repetible
Inicial
Proceso autogestionado y basado en mejores prcticas
Proceso monitorizado y medible
Proceso formalizado y documentado
Proceso intuitivo y repetible
Proceso AdHoc y desorganizado
Caractersticas del proceso
Gestionado
Nivel de Madurez
Inexistente Proceso Inexistente
Utilizar modelos de madurez genricos (ej Cobit)
Utilizar modelos de madurez especficos del proceso auditado (fuente: Cobit)
65 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Modelo de madurez. Genrico (modificado)
Inexistente Total falta de un proceso reconocible. No se ha identificado un proceso claramente definido. El proceso
no est implementado o falla en alcanzar su propsito .
Inicial Existen procesos especficos para tareas reconocidas pero no estn formalizados o documentados
formalmente. No hay procesos estandarizados aunque hay mtodos ad hoc que tienden a ser aplicados
en forma individual o caso por caso. El mtodo general de la administracin es desorganizado.
Repetible Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos
similares emprendiendo la misma tarea. No hay capacitacin o comunicacin formal de procedimientos
estndar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos
de las personas y por lo tanto es probable que haya errores.
Definido Los procedimientos estn estandarizados y documentados. Los procedimientos mismos no son
sofisticados sino que son la formalizacin de las prcticas existentes. Existe seguimiento de procesos por
parte de sus ejecutores que lo aplican de manera general.
Administrado Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender accin donde los
procesos parecen no estar funcionando efectivamente. Existen registros de actividad de las tareas de los
procedimientos. Los procesos estn bajo constante mejoramiento y presentan buenas prcticas. Se usan
automatismos y herramientas en una forma limitada o fragmentada.
Optimizado Se efectan comprobaciones peridicas. Procesos refinados hasta un nivel de la mejor prctica, basados
en los resultados de mejoramiento continuo y diseo de la madurez con otras organizaciones. Se usan
herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la
efectividad.
Auditora de un proceso. Marco metodolgico Planificacin. Modelo de valoracin. Modelo de Madurez
66 Introduccin a la Auditora de Procesos de Sistemas de Informacin
No-existente. Los gestores no reconocen que los procesos clave del negocio pueden requerir altos niveles de capacidad de TI o que el total de
los requerimientos de servicios de TI del negocio pueden exceder la capacidad. No se lleva cabo un proceso de planificacin de la capacidad.
Inicial/Ad Hoc. Con frecuencia se llevan a cabo soluciones alternas para resolver limitaciones de capacidad. Los responsables de los procesos
valoran poco la necesidad de llevar a cabo una planificacin de la capacidad. Las acciones para administrar la capacidad son tpicamente
reactivas. El proceso de planificacin de la capacidad es informal.
Repetible pero intuitivo. Existe conciencia de la necesidad de administrar la capacidad. Las necesidades se logran en base a evaluaciones de
sistemas, herramientas de monitorizacin, y el conocimiento de tcnicos; pero la consistencia de los resultados depende de la experiencia
(heurstica). Se utilizan herramientas para diagnosticar problemas de capacidad. No hay una evaluacin general de la capacidad o consideracin
sobre situaciones de carga pico y peor-escenario. Los problemas de disponibilidad son susceptibles de ocurrir de manera inesperada y aleatoria.
Proceso definido. Los requerimientos de capacidad estn definidos a lo largo del ciclo de vida del sistema. Hay mtricas y requerimientos de
niveles de servicio bien definidos, que pueden utilizarse para medir la capacidad operacional. Los pronsticos de la capacidad se modelan por
medio de un proceso definido. Los reportes se generan con estadsticas de capacidad. Los problemas relacionados con la capacidad siguen
siendo susceptibles a ocurrir y su resolucin sigue consumiendo tiempo.
Administrado y medible. Hay procesos y herramientas para medir la capacidad de los sistemas, y los resultados se comparan con metas
definidas. Hay informacin actualizada disponible, estadsticas estandarizadas que alertan sobre incidentes causados por falta de capacidad. Los
problemas se tratan de acuerdo con procedimientos definidos y estandarizados. Se utilizan herramientas automatizadas para monitorizar
recursos especficos. Las estadsticas de capacidad son reportadas en trminos de los procesos de negocio, de forma que los usuarios y los
clientes comprendan los niveles de servicio de TI. Se han acordado los KGIs y KPIs para medir el desempeo y la capacidad de TI, pero se
aplican de forma espordica e inconsistente.
Optimizado. Los planes de capacidad estn sincronizados con las proyecciones de demanda del negocio. La infraestructura y la demanda del
negocio estn sujetas a revisiones regulares para asegurar que se logre una capacidad ptima con el menor costo posible. Las herramientas de
monitorizacin para recursos crticos han sido estandarizadas y usadas a travs de diferentes plataformas y vinculadas a un sistema de
administracin de incidentes. Estas herramientas detectan problemas relacionados con la capacidad. Se llevan a cabo anlisis de tendencias, los
cuales muestran problemas de capacidad inminentes causados por incrementos en los volmenes de negocio, lo que permite planear y evitar
problemas inesperados. Las mtricas para medir la capacidad de TI han sido bien afinadas dentro de los KGIs y KPIs para todos los procesos de
negocio crticos y se miden de forma regular. La gerencia ajusta la planificacin de la capacidad siguiendo los anlisis de los KGIs y KPIs.
[1] Key Goal Indicator (Indicador Clave de Resultado). Key Performance Indicator Indicadores Claves de Desempeo).
Modelo de madurez. Especfico del proceso (modificado)
Auditora de un proceso. Marco metodolgico Planificacin. Modelo de valoracin. Modelo de Madurez
67 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Adecuacin Descripcin y acciones necesarias
ptimo
Adems de cumplir las caractersticas del nivel elevado, existe una estrategia continua de mejoramiento de
controles.
Estn gestionada su eficacia y eficiencia mediante mtricas, cuadros de mando, etc
Elevado
Los controles que alcanzan el objetivo de control:
Estn perfectamente definidos. Estn implementados y operativos prevaleciendo controles automticos Son medibles.
Adecuado
Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de
control.
Los controles pueden ser manuales y automticos y los procedimientos y operaciones son correctos
Razonable
Existen controles que alcanzan el objetivo de control.
Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.
Mejorable
El objetivo de control no es alcanzado debido a:
la ausencia de algn control la presencia de controles inefectivos. Debilidades materiales en el diseo e implementacin
Deficiente
(o nulo)
El objetivo de control no es alcanzado debido a que
No existen control(es)
Auditora de un proceso. Marco metodolgico Planificacin. Modelo de valoracin. Escala personalizada
68 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Planificacin
Auditora de un proceso. Marco metodolgico Planificacin. Metas y mtricas
Objetivo. Identificar un conjunto de posibles mtricas que proporcionen visin del desempeo del proceso.
Control del proceso: El proceso debe ser objeto de control de gestin. Es necesario establecer los indicadores que nos permitirn, en base a los objetivos propuestos para evaluar el correcto funcionamiento del Proceso.
El Auditor debe estar capacitado para recomendar la existencia de mtricas e indicadores de gestin.
Fuente. Modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)
Metas y
Mtricas
Obtencin de parmetros de
logro y desempeo
69 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Metodologa de auditora de proceso. Ejercicio. Auditora de Gestin de Acuerdos con Proveedores EJEMPLOS DE PROGRAMA DE TRABAJO o Ejemplo n1. Auditora de la empresa TeVeo o Ejemplo n2. CoBIT o Ejemplo n3. FFIEC
(ver tomo de ejercicios)
Identificacin
del Alcance
Identificacin
Objetivos Control
Elaboracin
Modelo
Valoracin
Identificacin
Prcticas de control
Identificacin
Objetivos de control Desarrollo del
Modelo de
Madurez
Planificacin Trabajo de
Campo
Elaboracin
Informe
Identificacin
intervinientes
Diagrama del
alcance
Obtener
conocimiento
Validar
Metas
y
Mtricas
Obtencin de
parmetros de
logro y
desempeo
70 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Marco general de
control
Roles y Responsabilidades
Planificacin Trabajo de Campo
Elaboracin Informe
Auditora de un proceso. Marco metodolgico
Trabajo de Campo
Mtricas
Esquema de medicin
Marco de gestin
Polticas y Procedimientos
Roles y responsabilidades
Marco general de control
Polticas y procedimientos
Controles especficos del proceso
Esquema de medicin
Mtricas
Marco de gestin
Cobertura y cumplimiento de controles
Identificacin de ausencia de controles
Seguimiento de medidas de
control
71 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Auditora de un proceso. Marco metodolgico
Trabajo de Campo. Marco general de control
Trabajo de Campo
Marco general de
control
Roles y Responsabilidades
Polticas y Procedimientos
Cada proceso debe tener un propietario.
El papel y las responsabilidades del propietario del proceso estn definidos. En particular en: (1) el diseo del proceso, (2) la interaccin con otros procesos, (3) la rendicin de cuentas sobre entregables del proceso, (4) medicin del rendimiento y (4) identificacin de mejoras.
El propietario del proceso tiene suficiente autoridad para ejecutar, conducir el proceso.
Dentro del proceso deben estar establecidas la propiedad, responsabilidad y mecanismo de seguimiento para los productos entregables.
Las actividades clave y los productos finales entregables del proceso estn definidos
Los roles y responsabilidades para la ejecucin de actividades clave deben: (1) estar asignadas y comunicadas de forma no ambigua, (2) documentadas y (3) sujetas a algn sistema que permita dar cuenta/explicar/responder por la consecucin de objetivos o entregables.
La asignaciones de propiedad, roles y responsabilidades de tareas crticas deben estar comunicadas y aceptadas de forma inequvoca.
Debe existir un registro/mapa documentado de las descripciones de roles y responsabilidades.
Roles y Responsabilidades
Cobertura. El esquema de polticas y procedimientos cubre toda la casustica del proceso.
Grado de definicin. Los procedimientos establecen las actividades del proceso, las responsabilidades en la ejecucin de las mismas, as como las salidas y registros a generar durante la ejecucin de dichas actividades.
Grado de actualizacin. El contenido de las polticas y procedimientos se encuentra actualizado.
Formalizacin. Las polticas y procedimientos tienen un esquema de revisin y aprobacin definido y ejecutado.
Publicitacin. Las polticas y procedimientos estn publicadas y accesibles a todos los intervinientes (desde usuarios finales hasta responsables).
Polticas y procedimientos
72 Introduccin a la Auditora de Procesos de Sistemas de Informacin
La matriz de la asignacin de responsabilidades (RACI por sus siglas en ingls) se utiliza generalmente para relacionar actividades con recursos (individuos o equipos de trabajo). De esta manera se logra asegurar que cada uno de los componentes del alcance est asignado a un individuo o a un equipo.
La matriz RASCI es una variacin de la RACI. La nica diferencia es la adicin de un nuevo rol: el de soporte. Las matrices RACI-VS o VARISC son otra variacin con los roles adicionales de verificador y firmante.
En esta matriz se asigna el rol que el recurso debe jugar para cada actividad dada. No es necesario que en cada actividad se asignen los cuatro roles, pero s por lo menos el de encargado y el de responsable. Estas matrices se pueden construir en alto nivel (reas generales) o en un nivel detallado (tareas de nivel bajo).
Rol Descripcin
R Responsible Encargado Realiza el trabajo y es responsable por su realizacin. Debe existir slo un R, si existe ms de uno,
entonces el trabajo debera ser subdividido a un nivel ms bajo.
A Accountable Responsable Se encarga de aprobar el trabajo finalizado y a partir de ese momento, se vuelve responsable por l.
Es ante quien "R" debe reportarse, quien debe firmar o aprobar el trabajo antes de que sea ACEPTADO.
S Supportive Soporte S = (puede ser de apoyo). puede proporcionar recursos o puede desempear un papel al apoyar la puesta
en prctica.
C Consulted Consultado Este rol posee la informacin o capacidad necesaria para terminar el trabajo.
Es quien debe ser consultado. Tiene la informacin y/o la capacidad necesarios para terminar el trabajo.
I Informed Informado Este rol debe ser informado sobre el progreso y los resultados del trabajo.
Debe ser notificado de los resultados, pero no necesita ser consultado.
V Verify Verificador Este rol se encarga de comprobar si el producto concuerda con los criterios de aceptacin establecidos
en la descripcin del producto.
S Sign Firmante Este rol se aprobar las decisiones de V y autorizar la salida del producto. Lo lgico es que el trabajo de un
S preceda siempre al de un A.
Auditora de un proceso. Marco metodolgico
Trabajo de Campo. Marco general de control
73 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Pasos en un proceso RACI
1. Identifique todos los procesos / actividades implicadas en el lado izquierdo del grfico.
2. Identifique todos lo roles y enumrelos en el lado superior del grfico.
3. Complete las celdas del grfico: identifique quin tiene el rol de R, A, S, C, I para cada proceso.
4. Cada proceso debe preferiblemente tener uno y solamente un "R" como principio general.
Se da una brecha cuando existe un proceso sin un "R". Solucin. Donde no se ha identificado ningn rol "R" para un proceso, quien tenga la autoridad para la definicin del rol debe determinar qu rol existente o nuevo ser el responsable. Clarificar el rol con el individuo que asuma ese rol.
Se da un solapamiento cuando existen mltiples roles que tienen un "R" para un proceso dado. Solucin: Detallar an ms los procesos secundarios, para separar las responsabilidades individuales.
Auditora de un proceso. Marco metodolgico
Trabajo de Campo. Marco general de control
74 Introduccin a la Auditora de Procesos de Sistemas de Informacin
R Responsable de realizar/ejecutar tarea
A Responsable ltimo, puede delegar, debe supervisar
C Consultar antes de hacer
I Informar despus de hacer
Auditora de un proceso. Marco metodolgico
Trabajo de Campo. Marco general de control
EJ Ejecucin (EJ): Perfil encargado de ejecutar la actividad.
SI Suministro de informacin (SI): Perfil encargado de suministrar informacin necesaria para la ejecucin de la actividad.
SG Seguimiento (SG): Perfil informado del resultado de la actividad.
RV Revisin (RV): Perfil encargado verificar o validar algn resultado o producto de la actividad.
AP Aprobacin (AP): Perfil encargado de aprobar o rechazar algn resultado o producto de la actividad.
Acciones Participantes
EJ SI SG RV AP
1. Establecer requisitos ANS Responsable de Acuerdo Responsable de Acuerdo
2. Lanzar el ANS
Resp.de Gestin de Suministradores
Responsable de Acuerdo
3. Seguir cumplimiento ANS Responsable de Acuerdo Responsable de Acuerdo
4. Revisin de Contrato
Resp.de Gestin de Suministradores
Responsable de Acuerdo
5. Finalizacin del Servicio Responsable de Acuerdo Responsable de Acuerdo
5. Evaluacin del Servicio Responsable de Acuerdo Resp.de Gestin de Suministradores
75 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Auditora de un proceso. Marco metodolgico
Trabajo de Campo. Cobertura y cumplimiento de controles
Trabajo de Campo
Cobertura y cumplimiento de controles
Identificacin de ausencia de controles
Objetivo. Evaluar la conveniencia de las medidas de control mediante la consideracin de
(1) las prcticas de control implantadas y las prcticas estndares de la industria y
(2) el funcionamiento de las medidas de control implantadas. Evaluar el cumplimiento al probar si los controles establecidos estn funcionando como se espera, de manera consistente y continua.
Los objetivos de control. Pueden estar identificados (o no) e implementados (o no) mediante prcticas de control por parte del propietario del proceso.
En cualquier caso el Auditor debe estar capacitado para definir/exigir prcticas de control a partir de modelos de buenas prcticas de gestin y control (ej. CoBIT, ITIL)
Identificacin ausencias de prcticas de control
Analizar documentacin existente asociada al proceso a auditar, para identificar prcticas de control o tareas de las cuales se puedan inferir controles.
Mapear con las prcticas de controles obtenidas de los marcos de referencia en la etapa de Planificacin. Identificar ausencias.
Valoracin funcionamiento medidas de control
Los pasos de las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.
Realizar una revisin de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
Seguimiento de medidas de
control
76 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Anlisis de los riesgos
Identificar y documentar
riesgos
Evaluacin del proceso
Evaluacin global del proceso
Identificacin recomenda-
ciones
Planificacin Trabajo de Campo
Elaboracin Informe
Auditora de un proceso. Marco metodolgico
Informe
77 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Auditora de un proceso. Marco metodolgico Informe. Anlisis de riesgos
Elaboracin Informe
Anlisis de los riesgos
Identificar y documentar
riesgos
Identificar y documentar el riesgo
Objetivo. Identificar y documentar el riesgo de que los objetivos de control no se estn cumpliendo.
Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control detallado para la actividad n
Value Drivers
Valores que se obtienen cuando se cubre el objetivo de control
Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control
Risk Drivers
Proceso p
78 Introduccin a la Auditora de Procesos de Sistemas de Informacin
Evaluacin Global del Proceso
Identificacin de Recomendaciones
Ponderar los controles evaluados y asignar una valoracin global del nivel de control del proceso auditado siguiendo la escala del Nivel de Madurez.
Identificacin de las principales conclusiones del trabajo realizado.
Identificar la posible ausencia de controles implantados, controles existentes que no cumplen adecuadamente su funcin o falta de evidencias de los controles existentes.
Identificar incumplimientos de normativas internas, incumplimientos regulatorios, o estndares aprobados en la Entidad.
Emitir recomendaciones sobre los incumplimientos detectados.
Evaluar, si es posible exigir, en el caso de procesos formalmente definidos, un nivel de madurez determinado.
Valorar los riesgos asociados a aspectos detectados que no suponen un incumplimiento ni estn formalmente definidos, decidiendo si es necesario emitir una recomendacin al respecto.
Evaluacin del proceso
Evaluacin global del proceso
Identificacin recomenda-
ciones
Elaboracin Informe
Objetivo. Obtener una valoracin global del proceso auditado en funcin del nivel de madurez de control identificado y emisin de recomendaciones
Auditora de un proceso. Marco metodolgico
Informe. Evaluacin
79 Introduccin a la Auditora de