Manizales, Mayo 16 de 2011 Señores FIRETIRE S.A Doctor Luis Eduardo Escobar Gerente General Manizales-Caldas Asunto: Ejecución de la Auditoria integral en Tecnología y Sistemas de Información de la entidad. (Grupo 1, Grupo 4 y Grupo 6) Respetado Doctor: En cumplimiento a lo pactado con ustedes, nos permitimos remitir el presente plan de auditoría con la metodología y el programa a seguir para ser realizado en sus instalaciones. PROPÓSITO: Nuestra participación como control Interno de la estructura de esta Entidad, tiene como propósito fundamental apoyar a los miembros de la organización en el desempeño de sus procesos informáticos y tecnológicos, de modo que nuestras recomendaciones puedan contribuir con el logro de los objetivos propuestos por los Órganos Directivos y la Administración, contribuyendo a la mitigación de los riesgos que puedan surtirse en las áreas que serán auditadas. ALCANCE: Se llevaran a cabo de acuerdo a las Normas de Auditoria Generalmente Aceptadas y de conformidad con las disposiciones y las buenas prácticas aceptadas por medio del marco de trabajo Cobit. Las Normas de Auditoria requieren que nuestros trabajos se planifiquen y que llevemos a cabo una revisión, a fin de obtener información de todos los asuntos relacionados con los objetivos y alcance de nuestra auditoría y que la información obtenida sea suficiente, competente, relevante y útil para proporcionar bases sólidas a nuestros hallazgos y recomendaciones. La metodología utilizada para la ejecución de la auditoria será por grupos; en este caso se iniciara la ejecución de la auditoria con el grupo No 1 al cual se le evaluaran los procesos: P06 comunicar las aspiraciones y la dirección de la gerencia, P07 administrar recursos de TI, DS13 administrar las operaciones ME3 garantizar el cumplimiento regulatorio. Seguidamente se auditara al grupo No 4 para evaluar el proceso Po1 Definir un plan Estratégico de TI; por último se auditara el grupo No 6 para evaluar el proceso PO4 Definir los procesos, organización y relaciones de TI. CHAUDITORIA CONSULTORES S.A. Se reitera que el marco de referencia sobre el cual se evalúan los procesos de la empresa es Cobit Versión 4.1 PLAN GENERAL OBJETIVO GENERAL DE LA AUDITORÍA El objetivo principal de dicha auditoria es verificar la eficacia de los procesos implementados, que se cumple con los requisitos mínimos exigidos en las buenas prácticas de Ti, teniendo como referencia el marco de trabajo de Cobit versión 4.1; al mismo tiempo determinar en que áreas de la empresa es necesario realizar mejoras que brinden valor agregado a las operaciones del negocio. CRONOGRAMA DE ACTIVIDADES ACTIVIDAD Nombre Reunión de Apertura de la auditoria Responsable Todos los auditores Gerente general, jefe de Sistemas, gerente de Mercadeo, gerente de Producción Entrevistas con el Gerente general de FIRETIRE, Gerente de Sistemas Auditor Senior1 Entrevistas con el Gerente de Producción, Gerente de Sistemas Senior2 de auditoria 3 horas Auditor Junior 4 horas Entrevistas con personal de TI Evaluación de los procesos P06 Y P07 del marco de Auditor Junior Horas Presupuestadas 30 minutos 3 horas 2 horas CHAUDITORIA CONSULTORES S.A. Recursos Instalaciones FIRETIRE Recursos audiovisuales Documentación de la empresa Documentación de la empresa Portátil Transporte Documentación de la empresa Portátil Transporte Documentación de los procesos Transporte Documentación de los procesos referencia Cobit Transporte Evaluación de los procesos DS13 y ME3 del marco Cobit Auditor Senior 2 horas Documentación GRUPO 1 P06 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA OBJETIVOS ESPECÍFICOS: Verificar que se comunican las políticas de la organización necesarios para alcanzar los objetivos de la misma, cumpliendo con las normativas relevantes. Asegurar que se tiene un marco de referencia para el control de riesgos ALCANCE: verificar que las políticas y estándares se elaboran y comunican de forma de adecuada, que los procesos de elaboración, comunicación y cumplimiento se llevan formalmente y son consistentes. ENTREVISTA 1 ¿Se definen y están alineados los elementos de control de TI? 2 ¿De que forma garantiza su alineación con los objetivos del negocio? 3 ¿Se tiene un marco para la gestión de riesgos empresariales? ¿Cada cuanto se evalúa? ¿Se lleva registro de esta evaluación? ¿Cada cuanto se actualiza? 4 ¿Tiene un documento donde establece las políticas de TI, los roles, las responsabilidades y los procesos de Ti, estándares y directrices necesarios para el alcance e de los objetivos? ¿Cada cuanto lo evalúa y lo actualiza? (verificar la respuesta) CHAUDITORIA CONSULTORES S.A. 5 ¿De que forma comunica a su personal los estándares, las políticas, los procesos, responsabilidades, roles y demás elementos necesarios para que sean parte integral de las operaciones del negocio? ¿Como podría explicar que son llevadas a cabo? ¿Como son entendidas e interiorizadas en su organizacion? P07 ADMINISTRAR REPCURSOS DE TI OBJETIVOS ESPECIFICOS: Asegurarse que los procesos de reclutamiento del personal de TI estén de acuerdo a las políticas y procedimientos generales de personal de la organización. Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles con base en su educación, entrenamiento y/o experiencia. Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y compensación del personal, incluyendo el adherirse a las políticas y procedimientos requeridos, así como al código de ética y prácticas profesionales. Proporcionar a los empleados de TI la orientación necesaria al momento de la contratación y entrenamiento continuo para su conocimiento, aptitudes, habilidades, controles interno y conciencia sobre la seguridad. Incluir verificaciones de antecedentes n el proceso de reclutamiento de TI. ALCANCE: Comprobar que la organización implementa los procesos necesarios para adquirir recurso humano competente y motivado para crear y entregar servicios de TI. Verificar los procesos de contratación entrenamiento, así como el desempeño del personal. ENTREVISTA: 1 ¿El proceso de reclutamiento del personal de trabajo esta de acuerdo a las políticas de la organización? CHAUDITORIA CONSULTORES S.A. 2 ¿ La gerencia cuenta con procesos con los cuales la organización pueda proporcionar una fuerza de trabajo de forma apropiada? 3 ¿ cómo garantiza que el recurso humano le aporta a mitigar los riesgos de TI? 4 ¿Se está verificando de forma periódica que el personal tenga las capacidades para asumir los roles en los que está a cargo en la empresa? 5 ¿ Usan programas de calificación y certificación para verificar los requerimientos de las habilidades del personal necesarios para TI? 6 ¿ Al personal de TI se le proporciona la orientación necesaria al momento de la contratación y un continuo entrenamiento? 7 ¿Se hacen continuamente evaluaciones de desempeño del personal de TI ? 8. ¿Se hacen verificaciones de antecedentes en el proceso de reclutamiento del personal de TI? DS13 ADMINISTRACIÓN DE OPERACIONES Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI OBJETIVOS ESPECIFICOS: Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas. Asegurar que las funciones importantes de soporte de TI están siendo llevadas a cabo regularmente y de una manera ordenada. CHAUDITORIA CONSULTORES S.A. ALCANCE: Se pretende identificar si la empresa tiene una adecuada calendarización de actividades de soporte que sea registrada y si se establecen y documentan los procedimientos para las operaciones de tecnología de información los cuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento. ENTREVISTA: 1 ¿se realiza un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI? 2 ¿cada cuanto se evalúa la capacidad y el desempeño de los recursos de TI? 3 ¿Se tiene un plan donde se identifican las tendencias y las cargas de trabajo? 4 ¿Que medidas se toman cuando el desempeño y la capacidad no están en el nivel requerido ? 5 ¿Que planes de contingencia tienen para garantizar la disponibilidad capacidad y desempeño de los recursos de TI ? 6 ¿que reportes se generan como referencia para realizar mejoras en cuanto a contingencia, cargas de trabajo, planes de adquisición de recursos y adquisición de recursos ? ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS OBJETIVOS ESPECIFICOS: Verificar que la organización cumple con los reglamentos contractuales (las leyes y regulaciones) Asegurar que se evalua el impacto de las leyes y regulaciones ALCANCE: Evaluar si la organizacion para trabajar con nuevos proveedores de servicios de tecnología se asegura del cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de estos servicios. CHAUDITORIA CONSULTORES S.A. ENTREVISTA: 1 ¿se tienen identificados los requerimientos para poder incorporar políticas y estándares en sus procedimientos de TI en la organización? 2 ¿cómo se comunican al interior estos requisitos para garantizar el entendimiento y el debido ajuste para su cumplimiento? 3 ¿ cómo se evalúa el proceso de cumplimiento de estos requisitos ? 4 ¿se analiza el costo que se tiene para la organización el incumplimiento de esta regulación (multas, demandas, entre otros) ? GRUPO 4 PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI Objetivos Definir un marco de trabajo para el proceso de TI para ejecutar el plan estratégico de TI. Este marco incluye estructura y relacione procesos de TI, propiedad, medición del desempeño, mejoras, cumplimiento, metas de calidad y planes para alcanzarlas. Establecer un comité estratégico de TI a nivel de consejo el cual deberá asegurar que el gobierno de TI, como parte del gobierno corporativo se maneja de forma adecuada. Establecer un comité ejecutivo de TI compuesto por la gerencia ejecutiva. Establecer una estructura organizacional de TI interna que refleje las necesidades del negocio. Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. ENTREVISTA 1. Cuentan con una integración entre los procesos que son específicos para TI? 2. Los procesos de TI están integrados en un sistema de administración de calidad? CHAUDITORIA CONSULTORES S.A. 3. Tienen conformado el comité estratégico de TI a nivel del consejo? 4. Tiene conformada la estructura organizacional en la cual se refleje las necesidades del negocio? Si cuentan con ella la revisan de forma periódica? 5. Cuentan con los procedimientos y herramientas que les permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información? GRUPO No 4 PO1 DEFINIR UN PLAN ESTRATEGICO DE TI OBJETIVOS Evaluar el desempeño actual de la organización y el compromiso de la alta Gerencia para alinear las estrategias de TI con las necesidades del negocio. Verificar la ejecución de los planes estratégicos y tácticos comprendidos entre el negocio y TI ALCANCE: Se pretende identificar en qué medida la organización establece las estrategias de TI para gestionar sus recursos, y cuáles son los criterios para que dichas estrategias sean manejadas de forma transparente y rentable. ENTREVISTA 1 Se tiene definido un plan estratégico de TI donde se involucran las desviaciones del plan, el costo, el cronograma que puedan impactar los cambios esperados? 2 Describa brevemente como aporta el plan estratégico de TI a los objetivos de FIRETIRE como negocio? 3 cda cuanto según sus procesos se debe actualizar el plan estratégico y táctico de FIRETIRE? 4 Como garantiza que su recurso humano entiende como están integradas y alineadas las metas de TI con las metas del negocio y de qué manera darle prioridad a las áreas criticas del negocio? 5 describa brevemente como se evalúa el desempeño de los planes y la capacidad actual de los sistemas de Información? Aplicar anexo 1 (verificar sistema de información) CHAUDITORIA CONSULTORES S.A. 6 Verificar plan estratégico con estrategias, metas, costos y riesgos. 7 verificar plan estratégico, que sea coherente con el plan estratégico, deben incluir requerimientos del recurso requerido por TI, beneficios a ser monitoreados, planes de proyectos y servicios derivados. 8 de acuerdo a la información suministrada de las verificaciones anteriores puede referenciar su portafolio de programas de inversión de TI? 9 de acuerdo al portafolio de proyectos , se define una prioridad coherente, se identifican, se definen, se controlan y se les asigna recurso de acuerdo a las estrategias de negocio establecidas? NOTA: el anexo 1 se entiende como una herramienta que sería utilizada en si se fuera a auditar en realidad el o los sistemas de información de la empresa FIRETIRE; por lo que se entiende que este anexo no se debe responder. Atte: Jenny Carolina Arenas Adriana Avendaño Luis Eduardo Bañol 906003 906007 905510 Auditor Junior Auditor Senior Director de Auditoria CHAUDITORIA CONSULTORES S.A. CHAUDITORIA CONSULTORES S.A.