GTAG 02 Global Technology Audit Guide

Global Technology Audit Guide

GUIA 02:

Cambiar y corregir administración de controles

GTAG – Global Technology Audit Guide

Rol de CAE

• Riesgos de TI forman parte del riesgo empresa, el CAE debe comprender los riesgos aun cuando no conozca el detalle.

• Un pobre manejo del cambio:– Cambios no autorizados.– Tiempos de receso no planeados.– Bajo resultado de los cambios.– Grandes cambios de emergencia.– Aplazar implementación de proyectos.


4 - Continuously Improving• <5% of time

spent on unplanned work

• Change success rate is very high

• Service levels are world class

• IT operating costs are under control

• Can scale IT capacity rapidly with marginal increases in IT costs

• Change review and learning processes are in place

• Able to increase capacity in a cost-effective way

3 - Closed-Loop Process• 15-35% of time


• Some ticketing / workflow system in place

• Changes documented and approved

• Change success rate is high

• Service levels are good & becoming world class

• Server-to-admin ratio is good, but not BoB

• IT costs are improving

• Security incidents down

2 - Using Honor System

• 35-50% of time spent on unplanned work

• Some technology deployed

• You have the right vision but no accountability

• Server-to-admin ratio is way too low

• IT costs are too high

• Process subverted by talking to the “right” people

1 - Reactive• Over 50% of time


• Chaotic environment; lots of fire fighting

• MTTR is very long; poor service levels

• Can only scale by throwing people at the problem

Reactive Using The Honor System Closed-Loop Change Mgt

Eff

ect

iven

ess

ContinuouslyImproving

Based on the IT Process Institute’s “Visible Ops” Framework

Changes control the organization:

Organization controls the changes:

Modelo de madurez


Posibles problemas

• Ejecución y resultados inadecuados de software de aplicación.

• Downtime de servicios vitales, tales como administradores de bases de datos, bases de datos, intranet, servicios web u otros relacionados.

• Servicios no disponibles, aun por pequeños periodos de tiempo.


Rol del Auditor Interno

• Asegurar que la administración tiene claros los riesgos involucrados o asociados a los cambios en los controles, los cuales (riesgos) pueden impedir el logro de los objetivos empresariales. Procesos robustos deben estar disponibles para administrar el riesgo de manera efectiva.


Ejemplos

• Control preventivo:– Autorizaciones apropiadas.– Segregación de funciones.– Supervisiones.

• Control detectivo:– Detectar cambios no autorizados.

• Control correctivo:– Revisión de actividades generales (muestreo).– Revisión de actividades especificas


Ejemplos

• Preguntas al administrador de TI, tablas de paginas 20, 21, 22.


¿Donde comenzar?

• El Auditor Interno debe generar controles que permitan resguardar cuatro puntos clave:– Cumplimiento– Estrategia.– Reportes.– Operación.

• Control:– Preventivo, detectivo, correctivo.


Information System Auditing – Richard Cascarino


esquema

• Preventivos:– Cambio de autorización:

• Cambios documentados.• Detallar niveles de dueños de procesos.

– Separar roles:• Diferenciar niveles de autoridad.• Políticas claras de aprobación y cambios.

– Supervisión y control:• Respaldo de control sobre procesos.• Identificación individual de cambios.


• Detectivos:– Supervisión y control:

• Registro automático de cambios en actividades o infraestructura.

• Registro de cambios realizados y su aceptación.

– Conciliación entre presup. y real:• Alcance correcto.• Para trabajo correcto y necesario.


• Correctivos:– Cada cambio es documentado en extenso.– Identificación de los riesgos.– Fallo, reparación y revisión de ciclos e

infraestructura.


¿Preguntas?

GTAG 02 Global Technology Audit Guide

Documents

Transcript of GTAG 02 Global Technology Audit Guide