tallerAUDPTI120111G02

Manizales, Mayo 16 de 2011
Señores
FIRETIRE S.A
Doctor
Luis Eduardo Escobar
Gerente General
Manizales-Caldas
Asunto: Ejecución de la Auditoria integral en Tecnología y Sistemas de Información
de la entidad. (Grupo 1, Grupo 4 y Grupo 6)
Respetado Doctor:
En cumplimiento a lo pactado con ustedes, nos permitimos remitir el presente plan
de auditoría con la metodología y el programa a seguir para ser realizado en sus
instalaciones.

PROPÓSITO: Nuestra participación como control Interno de la estructura de esta
Entidad, tiene como propósito fundamental apoyar a los miembros de la
organización en el desempeño de sus procesos informáticos y tecnológicos, de
modo que nuestras recomendaciones puedan contribuir con el logro de los
objetivos propuestos por los Órganos Directivos y la Administración, contribuyendo
a la mitigación de los riesgos que puedan surtirse en las áreas que serán auditadas.

ALCANCE: Se llevaran a cabo de acuerdo a las Normas de Auditoria Generalmente
Aceptadas y de conformidad con las disposiciones y las buenas prácticas aceptadas
por medio del marco de trabajo Cobit. Las Normas de Auditoria requieren que
nuestros trabajos se planifiquen y que llevemos a cabo una revisión, a fin de
obtener información de todos los asuntos relacionados con los objetivos y alcance
de nuestra auditoría y que la información obtenida sea suficiente, competente,
relevante y útil para proporcionar bases sólidas a nuestros hallazgos y
recomendaciones.
La metodología utilizada para la ejecución de la auditoria será por grupos; en este
caso se iniciara la ejecución de la auditoria con el grupo No 1 al cual se le evaluaran
los procesos: P06 comunicar las aspiraciones y la dirección de la gerencia, P07
administrar recursos de TI, DS13 administrar las operaciones ME3 garantizar el
cumplimiento regulatorio. Seguidamente se auditara al grupo No 4 para evaluar el
proceso Po1 Definir un plan Estratégico de TI; por último se auditara el grupo No 6
para evaluar el proceso PO4 Definir los procesos, organización y relaciones de TI.
CHAUDITORIA CONSULTORES S.A.
Se reitera que el marco de referencia sobre el cual se evalúan los procesos de la
empresa es Cobit Versión 4.1
PLAN GENERAL
OBJETIVO GENERAL DE LA AUDITORÍA
El objetivo principal de dicha auditoria es verificar la eficacia de los procesos
implementados, que se cumple con los requisitos mínimos exigidos en las buenas
prácticas de Ti, teniendo como referencia el marco de trabajo de Cobit versión 4.1;
al mismo tiempo determinar en que áreas de la empresa es necesario realizar
mejoras que brinden valor agregado a las operaciones del negocio.
CRONOGRAMA DE ACTIVIDADES
ACTIVIDAD
Nombre
Reunión de Apertura de la
auditoria
Responsable
Todos
los
auditores
Gerente general,
jefe de Sistemas,
gerente
de
Mercadeo, gerente
de Producción
Entrevistas con el Gerente
general de FIRETIRE,
Gerente de Sistemas
Auditor Senior1
Entrevistas con el Gerente de
Producción, Gerente de
Sistemas
Senior2 de
auditoria
3 horas
Auditor Junior
4 horas
Entrevistas con personal de TI
Evaluación de los procesos
P06 Y P07 del marco de
Auditor Junior
Horas Presupuestadas
30 minutos
3 horas
2 horas
CHAUDITORIA CONSULTORES S.A.
Recursos
Instalaciones
FIRETIRE
Recursos
audiovisuales
Documentación
de la empresa
Documentación
de la empresa
Portátil
Transporte
Documentación
de la empresa
Portátil
Transporte
Documentación
de los procesos
Transporte
Documentación
de los procesos
referencia Cobit
Transporte
Evaluación de los procesos
DS13 y ME3 del marco Cobit
Auditor Senior
2 horas
Documentación
GRUPO 1
P06 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIÓN DE LA GERENCIA
OBJETIVOS ESPECÍFICOS:


Verificar que se comunican las políticas de la organización necesarios para
alcanzar los objetivos de la misma, cumpliendo con las normativas relevantes.
Asegurar que se tiene un marco de referencia para el control de riesgos
ALCANCE:
verificar que las políticas y estándares se elaboran y comunican de forma de
adecuada, que los procesos de elaboración, comunicación y cumplimiento se
llevan formalmente y son consistentes.
ENTREVISTA
1 ¿Se definen y están alineados los elementos de control de TI?
2 ¿De que forma garantiza su alineación con los objetivos del negocio?
3 ¿Se tiene un marco para la gestión de riesgos empresariales?
¿Cada cuanto se evalúa?
¿Se lleva registro de esta evaluación?
¿Cada cuanto se actualiza?
4 ¿Tiene un documento donde establece las políticas de TI, los roles, las
responsabilidades y los procesos de Ti, estándares y directrices necesarios para el
alcance e de los objetivos?
¿Cada cuanto lo evalúa y lo actualiza? (verificar la respuesta)
CHAUDITORIA CONSULTORES S.A.
5 ¿De que forma comunica a su personal los estándares, las políticas, los
procesos, responsabilidades, roles y demás elementos necesarios para que sean
parte integral de las operaciones del negocio?
¿Como podría explicar que son llevadas a cabo?
¿Como son entendidas e interiorizadas en su organizacion?
P07 ADMINISTRAR REPCURSOS DE TI
OBJETIVOS ESPECIFICOS:





Asegurarse que los procesos de reclutamiento del personal de TI estén de
acuerdo a las políticas y procedimientos generales de personal de la
organización.
Verificar de forma periódica que el personal tenga las habilidades para cumplir
sus roles con base en su educación, entrenamiento y/o experiencia.
Definir, monitorear y supervisar los marcos de trabajo para los roles,
responsabilidades y compensación del personal, incluyendo el adherirse a las
políticas y procedimientos requeridos, así como al código de ética y prácticas
profesionales.
Proporcionar a los empleados de TI la orientación necesaria al momento de la
contratación y
entrenamiento continuo para su conocimiento, aptitudes,
habilidades, controles interno y
conciencia sobre la seguridad.
Incluir verificaciones de antecedentes n el proceso de reclutamiento de TI.
ALCANCE:
Comprobar que la organización implementa los procesos necesarios para adquirir
recurso humano competente y motivado para crear y entregar servicios de TI.
Verificar los procesos de contratación entrenamiento, así como el desempeño del
personal.
ENTREVISTA:
1 ¿El proceso de reclutamiento del personal de trabajo esta de acuerdo a las
políticas de la organización?
CHAUDITORIA CONSULTORES S.A.
2 ¿ La gerencia cuenta con procesos con los cuales la organización pueda
proporcionar una fuerza de trabajo de forma apropiada?
3 ¿ cómo garantiza que el recurso humano le aporta a mitigar los riesgos de TI?
4 ¿Se está verificando de forma periódica que el personal tenga las capacidades
para asumir los roles en los que está a cargo en la empresa?
5 ¿ Usan programas de calificación y certificación para verificar los requerimientos
de las habilidades del personal necesarios para TI?
6 ¿ Al personal de TI se le proporciona la orientación necesaria al momento de la
contratación y un continuo entrenamiento?
7 ¿Se hacen continuamente evaluaciones de desempeño del personal de TI ?
8. ¿Se hacen verificaciones de antecedentes en el proceso de reclutamiento del
personal de
TI?
DS13 ADMINISTRACIÓN DE OPERACIONES
Un procesamiento de información completo y apropiado requiere de una efectiva
administración del procesamiento de datos y del mantenimiento del hardware.
Este proceso incluye la definición de políticas y procedimientos de operación para
una administración efectiva del procesamiento programado, protección de datos
de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de
hardware. Una efectiva administración de operaciones ayuda a mantener la
integridad de los datos y reduce los retrasos en el trabajo y los costos operativos
de TI
OBJETIVOS ESPECIFICOS:


Mantener la integridad de los datos y garantizar que la infraestructura de TI
puede resistir y recuperase de errores y fallas.
Asegurar que las funciones importantes de soporte de TI están siendo llevadas
a cabo regularmente y de una manera ordenada.
CHAUDITORIA CONSULTORES S.A.
ALCANCE:
Se pretende identificar si la empresa tiene una adecuada calendarización de
actividades de soporte que sea registrada y si se establecen y documentan los
procedimientos para las operaciones de tecnología de información los cuales
deberán ser revisados periódicamente para garantizar su eficiencia y
cumplimiento.
ENTREVISTA:
1 ¿se realiza un proceso de planeación para la revisión del desempeño y la
capacidad de los recursos de TI?
2 ¿cada cuanto se evalúa la capacidad y el desempeño de los recursos de TI?
3 ¿Se tiene un plan donde se identifican las tendencias y las cargas de trabajo?
4 ¿Que medidas se toman cuando el desempeño y la capacidad no están en el nivel
requerido ?
5 ¿Que planes de contingencia tienen para garantizar la disponibilidad capacidad y
desempeño de los recursos de TI ?
6 ¿que reportes se generan como referencia para realizar mejoras en cuanto a
contingencia, cargas de trabajo, planes de adquisición de recursos y adquisición de
recursos ?
ME3 GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS
OBJETIVOS ESPECIFICOS:
 Verificar que la organización cumple con los reglamentos contractuales (las
leyes y regulaciones)
 Asegurar que se evalua el impacto de las leyes y regulaciones
ALCANCE:
Evaluar si la organizacion para trabajar con nuevos proveedores de servicios de
tecnología se asegura del cumplimiento de los compromisos contractuales de los
servicios de tecnología de información y de los proveedores de estos servicios.
CHAUDITORIA CONSULTORES S.A.
ENTREVISTA:
1 ¿se tienen identificados los requerimientos para poder incorporar políticas y
estándares en sus procedimientos de TI en la organización?
2 ¿cómo se comunican al interior estos requisitos para garantizar el entendimiento
y el debido ajuste para su cumplimiento?
3 ¿ cómo se evalúa el proceso de cumplimiento de estos requisitos ?
4 ¿se analiza el costo que se tiene para la organización el incumplimiento de esta
regulación (multas, demandas, entre otros) ?
GRUPO 4
PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE TI
Objetivos
 Definir un marco de trabajo para el proceso de TI para ejecutar el plan
estratégico de TI. Este marco incluye estructura y relacione procesos de TI,
propiedad, medición del desempeño, mejoras, cumplimiento, metas de calidad
y planes para alcanzarlas.
 Establecer un comité estratégico de TI a nivel de consejo el cual deberá
asegurar que el gobierno de TI, como parte del gobierno corporativo se maneja
de forma adecuada.
 Establecer un comité ejecutivo de TI compuesto por la gerencia ejecutiva.
 Establecer una estructura organizacional de TI interna que refleje las
necesidades del negocio.
 Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a
un nivel superior apropiado.
ENTREVISTA
1. Cuentan con una integración entre los procesos que son específicos para TI?
2. Los procesos de TI están integrados en un sistema de administración de
calidad?
CHAUDITORIA CONSULTORES S.A.
3. Tienen conformado el comité estratégico de TI a nivel del consejo?
4. Tiene conformada la estructura organizacional en la cual se refleje las
necesidades del negocio?
Si cuentan con ella la revisan de forma periódica?
5. Cuentan con los procedimientos y herramientas que les permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de información?
GRUPO No 4
PO1 DEFINIR UN PLAN ESTRATEGICO DE TI
OBJETIVOS
 Evaluar el desempeño actual de la organización y el compromiso de la alta
Gerencia para alinear las estrategias de TI con las necesidades del negocio.
 Verificar la ejecución de los planes estratégicos y tácticos comprendidos entre
el negocio y TI
ALCANCE:
Se pretende identificar en qué medida la organización establece las estrategias de TI
para gestionar sus recursos, y cuáles son los criterios para que dichas estrategias
sean manejadas de forma transparente y rentable.
ENTREVISTA
1 Se tiene definido un plan estratégico de TI donde se involucran las desviaciones
del plan, el costo, el cronograma que puedan impactar los cambios esperados?
2 Describa brevemente como aporta el plan estratégico de TI a los objetivos de
FIRETIRE como negocio?
3 cda cuanto según sus procesos se debe actualizar el plan estratégico y táctico de
FIRETIRE?
4 Como garantiza que su recurso humano entiende como están integradas y
alineadas las metas de TI con las metas del negocio y de qué manera darle prioridad
a las áreas criticas del negocio?
5 describa brevemente como se evalúa el desempeño de los planes y la capacidad
actual de los sistemas de Información?
Aplicar anexo 1 (verificar sistema de información)
CHAUDITORIA CONSULTORES S.A.
6 Verificar plan estratégico con estrategias, metas, costos y riesgos.
7 verificar plan estratégico, que sea coherente con el plan estratégico, deben incluir
requerimientos del recurso requerido por TI, beneficios a ser monitoreados, planes
de proyectos y servicios derivados.
8 de acuerdo a la información suministrada de las verificaciones anteriores puede
referenciar su portafolio de programas de inversión de TI?
9 de acuerdo al portafolio de proyectos , se define una prioridad coherente, se
identifican, se definen, se controlan y se les asigna recurso de acuerdo a las
estrategias de negocio establecidas?
NOTA: el anexo 1 se entiende como una herramienta que sería utilizada en si se
fuera a auditar en realidad el o los sistemas de información de la empresa FIRETIRE;
por lo que se entiende que este anexo no se debe responder.
Atte:
Jenny Carolina Arenas
Adriana Avendaño
Luis Eduardo Bañol
906003
906007
905510
Auditor Junior
Auditor Senior
Director de Auditoria
CHAUDITORIA CONSULTORES S.A.
CHAUDITORIA CONSULTORES S.A.