CHAUDITORIA CONSULTORES S.A Tabla de contenido GUIA DE AUDITORIA ........................................................................................................ 2 PO2 Arquitectura de la Información ................................................................................... 4 Objetivo .......................................................................................................................... 4 Puntos a Evaluar ............................................................................................................ 4 PO5 Administrar la Inversión de TI .................................................................................... 7 Objetivo .......................................................................................................................... 7 Puntos a Evaluar ............................................................................................................ 7 AI3 Adquirir y mantener Infraestructura tecnológica ......................................................... 10 Objetivo ........................................................................................................................ 10 Puntos a Evaluar .......................................................................................................... 10 DS3 Administrar el desempeño y la capacidad ................................................................ 13 Objetivo ........................................................................................................................ 13 Puntos a Evaluar .......................................................................................................... 13 ME1 Monitorear y Evaluar el Desempeño de TI ............................................................... 15 Objetivo ........................................................................................................................ 15 Puntos a Evaluar .......................................................................................................... 15 CHAUDITORIA CONSULTORES S.A GUIA DE AUDITORIA Empresa Auditada: Audi-Lácteos S.A.S http://auditoriauc20102mivi.wikispaces.com Equipo Auditado: Equipo 8 Alexander Cardona Leandro Jiménez Firma Auditora: Chauditoria Consultores S.A. Fecha de Inicio: 4 de Noviembre de 2010 Responsables: Equipo 1 Luz marina López Gómez Vanesa Cardona García Viviana Gómez Hernández Origen de la auditoria La empresa Audi-Lacteos S.A.S solicita una auditoria que evalué los procesos de T.I que actualmente se tiene en la organización. Con esta auditoría se podrá determinar el nivel de madurez de la compañía y la solidez de los controles del negocio y de TI. Alcance de la Auditoria Mediante los procesos elegidos y evaluados para auditar algunas de las áreas del gobierno de TI de la empresa, se entregara un informe detallado el cual servirá como evidencia para verificar el cumplimiento de dichos procesos. Puntos a evaluar Los procesos que se evaluaran son los siguientes: Código Proceso PO2 Definir los procesos Ti, organización y relaciones de TI PO5 Administrar la Inversión de TI AI3 Adquirir y mantener infraestructura tecnológica DS3 Administrar el desempeño y la capacidad ME1 Monitorear y Evaluar el Desempeño de TI Herramientas a Utilizar Entrevistas: Con estas se planea adquirir información detallada de manera libre al auditado, pues este puede ser extenso en sus respuestas. Listas de Chequeo: Una solución puntual, la cual normalmente tiene una pregunta que soporta el área que se trata de verificar. CHAUDITORIA CONSULTORES S.A Planeación de la auditoria Primera fase: preparación de las guías de auditoría que se aplicaran al grupo auditado. Estas son enviadas al equipo auditado y el profesor. Segunda fase: Respuestas a las preguntas formuladas por el equipo auditor por parte del equipo auditado. Tercera fase: el equipo auditor enviará al correo del profesor un documento con los resultados del punto 1 y se montará en el wiki. Cuarta fase: El equipo auditado responderá al equipo auditor y enviará copia de su respuesta al correo del profesor y lo subirá a la wiki. Quinta fase: El equipo auditor producirá un informe previo de auditoría detallado que analizará con el equipo auditado, (este informe contendrá un informe de auditoría ejecutivo con observaciones y recomendaciones), enviará copia del informe previo al correo del profesor y lo subirá a la wiki. Sexta fase: El informe corregido después del análisis con el equipo auditado se enviará al correo del profesor y lo subirán a la wiki. CHAUDITORIA CONSULTORES S.A PO2 Arquitectura de la Información Objetivo Determinar el nivel de seguridad con el que se están manejando los datos dentro de la compañía y además estipular el nivel de integridad de los mismos. Puntos a Evaluar - Modelo de arquitectura de información empresarial Diccionario de datos empresarial y sintaxis de datos Esquema de clasificación de datos Administración de integridad Nombre proceso : PO2 ARQUITECTURA DE LA INFORMACIÓN Dominio : PLANEAR Y ORGANIZAR Tipo Técnica: LISTA DE VERIFICACIÓN O CHEQUEO Observaciones: DESCRIPCIÓN Existe en la empresa un modelo que facilite el uso compartido de información de manera óptima entre las diferentes áreas funcionales de la empresa Existe un diccionario corporativo de datos que contenga las reglas de sintaxis de datos de la organización. La organización tiene un esquema donde se clasifiquen datos críticos y sensibles. Se posee un instrumento para evitar redundancia de datos. Se posee un control de acceso a la información para el personal Se estableció un proceso, herramienta o técnica para estandarizar la información. Se da soporte completo al desarrollo e implementación de la CUMPLE CHAUDITORIA CONSULTORES S.A arquitectura de información por medio de métodos y técnicas formales. El valor de la arquitectura de la información en la empresa se enfatiza de forma constante. La arquitectura de la información se encuentra en forma continua y toma en cuenta información no tradicional sobre los procesos y sistemas Nombre proceso : PO2 ARQUITECTURA DE LA INFORMACIÓN Dominio : PLANEAR Y ORGANIZAR Tipo Instrumento: ENTREVISTA Observaciones: DESCRIPCIÓN ¿Cómo se asegura la prevención de posibles creaciones de datos incompatibles? ¿Qué almacenamiento de datos se utiliza en la empresa para establecer la integridad de los datos? ¿Cómo se realiza la validación de datos? ¿Cómo garantizan una clara y actualizada documentación sobre los modelos usados actualmente en la empresa? ¿Cómo se maneja la información dentro de la organización? ¿Centralizada o descentralizada? ¿De qué manera aseguran que la terminología del diccionario de datos sea empleada por el personal? ¿De qué manera se asegura que la información delicada y crítica llegue a las partes que le corresponden? ¿Qué tipo de usuarios existen actualmente en la organización? CHAUDITORIA CONSULTORES S.A ¿Qué políticas usan actualmente para asegurar la integridad de la información? ¿Qué medidas han adoptado para asegurar la consistencia entre los componente de la arquitectura de TI establecida en la empresa? CHAUDITORIA CONSULTORES S.A PO5 Administrar la Inversión de TI Objetivo Determinar el nivel de retribución monetaria que se obtiene con los recursos de TI establecidos en la organización, y como estos van alineados a alcanzar las estrategias de negocio. Puntos a Evaluar - Marco de trabajo para la administración financiera Prioridades dentro del presupuesto de TI Proceso presupuestal Administración de costos de TI Administración de beneficios Nombre proceso : PO5 ADMINISTRAR LA INVERSIÓN DE TI Dominio : PLANEAR Y ORGANIZAR Tipo Técnica: LISTA DE VERIFICACIÓN O CHEQUEO Observaciones: DESCRIPCIÓN Las inversiones hechas en TI están justificadas según en el retorno de la inversión que estas puedan propiciar para la organización. Es visible el incremento en ventas / servicios debido a la mejora que esta estipulando las TI dentro de la empresa. Se tiene algún análisis de la administración financiera para la inversión de TI en la organización. Se posee un plan del proceso de toma de decisiones para dar prioridades a la asignación de recursos de TI para operaciones y proyectos. Se estableció un análisis del proyecto de elaboración y administración del presupuesto general para TI y es posible su revisión y refinamiento. Se maneja un reporte para el proceso de monitoreo de beneficios. CUMPLE CHAUDITORIA CONSULTORES S.A Las políticas y los procesos para inversión y presupuesto definidas cubren temas clave de negocio y de tecnología. El personal de TI cuenta con la experiencia y habilidades necesarias para desarrollar el presupuesto de TI y recomendar inversiones apropiadas en TI. Los beneficios y los retornos se calculan en términos financieros y no financieros. Se utilizan las buenas prácticas de la industria para evaluar los costos por comparación. Se investigan y evalúan formalmente las alternativas de financiamiento dentro del contexto de la estructura de capital existente en la organización, mediante el uso de métodos formales de evaluación. Nombre proceso : PO5 ADMINISTRAR LA INVERSIÓN DE TI Dominio : PLANEAR Y ORGANIZAR Tipo Instrumento: ENTREVISTA Observaciones: DESCRIPCIÓN ¿Cuáles son los recursos de TI que se están utilizando en los procesos para integrarlos y estandarizarlos? ¿Que mecanismo se utiliza para establecer posibles deviaciones y además realizar el debido reporte y la toma de medidas correctivas? ¿Cuales son las técnicas utilizadas actualmente por la compañía para desarrollar componentes del presupuesto de TI? ¿El presupuesto de TI está alineado con el plan estratégico de TI y de negocios? ¿Hay desarrollo de presupuestos para los programas individuales TI? CHAUDITORIA CONSULTORES S.A ¿De qué manera se comunican las políticas y prácticas que se llevan a cabo en la administración de la inversión TI? ¿Quién o quiénes son los encargados del desarrollo del presupuestos y la asignación de las inversiones? ¿Cómo se lleva a cabo el control de la documentación en el programa de inversión en TI de la organización? ¿Qué medidas posee la organización para determinar desviaciones en el presupuesto? ¿Que herramientas se usan para solucionar estas posibles eventualidades? ¿Qué tipo de técnica se tiene para realizar el monitoreo para calificar si la inversión en un proyecto fue efectiva o no? ¿Qué tipo de criterios formales de inversión se definieron dentro de la empresa? (NPV, ROI, periodo de reintegro) ¿Qué estándar se utilizan como referencia para el proceso de selección y asignación de recursos en el presupuesto? CHAUDITORIA CONSULTORES S.A AI3 Adquirir y mantener Infraestructura tecnológica Objetivo Determinar el enfoque de planeación para adquirir, mantener y proteger la infraestructura tecnológica de acuerdo a las estrategias establecidas. Puntos a Evaluar - Plan de adquisición de infraestructura tecnológica Protección y disponibilidad del recurso de infraestructura Mantenimiento de la infraestructura Ambiente de prueba de factibilidad Nombre proceso : AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Dominio : ADQUIRIR E IMPLEMENTAR Tipo Técnica: LISTA DE VERIFICACIÓN O CHEQUEO Observaciones: DESCRIPCIÓN Se estableció un plan para adquirir y dar mantenimiento a la infraestructura tecnológica. El plan de adquisición tecnológica se alinea con el plan de infraestructura tecnológica. El plan considera extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Se desarrollo una estrategia y un plan de mantenimiento de la infraestructura y de control de los cambios. Se hacen revisiones periódicas para evaluar si se está alineado con las necesidades del negocio, evaluación de vulnerabilidades y requerimientos de seguridad. CUMPLE CHAUDITORIA CONSULTORES S.A Están establecidas pruebas de integración y desempeño, migración entre ambientes. Hay consistencia entre enfoques tácticos al adquirir y dar mantenimiento a la infraestructura de TI. Existe entre los funcionarios de la empresa la noción de que la infraestructura de TI es importante y se apoya en algunas prácticas formales. Existe una programación concisa para el mantenimiento. Se le da un enfoque consistente y hacia la reutilización del proceso de adquisición y mantenimiento de la infraestructura tecnológica. El proceso de adquisición y mantenimiento de la infraestructura tecnológica está estrechamente en línea con las aplicaciones críticas del negocio. · 12. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Nombre proceso : AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA Dominio : ADQUIRIR E IMPLEMENTAR Tipo Instrumento: ENTREVISTA Observaciones: CHAUDITORIA CONSULTORES S.A DESCRIPCIÓN ¿Defina brevemente el plan de infraestructura tecnológica establecido en la organización? ¿Qué medidas se utilizan para el control interno y de seguridad de la infraestructura? ¿Cómo se establecieron las plataformas adecuadas a las aplicaciones del negocio de acuerdo con los estándares de tecnología establecidos por TI? ¿Quién o quienes son los responsables de utilizar los componentes de software y hardware que hacen parte de la infraestructura? ¿Qué medidas se han tomado para la integración y el mantenimiento del software y del hardware de la infraestructura tecnológica de la empresa? ¿Qué pruebas se han adoptado durante el proceso de adquisición de componentes de la infraestructura tecnológica? ¿Todo el personal está capacitado con respecto al uso de los diferentes componentes de la infraestructura tecnológica? ¿Se consideran posibles capacitaciones para el personal en caso ser necesario? ¿Qué acciones se toman frente a eventualidades que afecten la infraestructura tecnológica? ¿Se estableció un calendario para las revisiones periódicas? ¿Se realiza documentación sobre los resultados obtenidos? ¿Qué método de estandarización de los componentes de infraestructura tecnológica se utiliza en la organización? ¿Considera que la infraestructura tecnológica actual de la empresa es óptima y responde a las necesidades de la misma? ¿Por qué? CHAUDITORIA CONSULTORES S.A DS3 Administrar el desempeño y la capacidad Objetivo Verificar la existencia de un proceso y su mejor aplicación que optimice el desempeño de la estructura, los recursos y las capacidades de TI. Puntos a Evaluar - Planeación del desempeño y la capacidad Capacidad y desempeño actual Capacidades y desempeños futuros Disponibilidad de recursos de TI Monitoreo y reporte Nombre proceso : DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD Dominio : ENTREGAR Y DAR SOPORTE Tipo Técnica: LISTA DE VERIFICACIÓN O CHEQUEO Observaciones: DESCRIPCIÓN Hay un proceso para revisar periódicamente el desempeño actual y la capacidad de los recursos del TI. Existe un plan de trabajo difundido entre los empleados de TI donde las actividades para los trabajadores son claras. Se tiene un control en cuanto a la prioridad de tareas, tolerancia de fallas y practicas de asignación de recursos. Se hacen reportes y recomendaciones de las anomalías que se pueden presentar en la empresa. Se hacen registros de todos los recursos de TI de la empresa y el estado en que se presentan estos. Utilizan métricas para determinar el nivel de servicio en cuanto al desempeño operacional. CUMPLE CHAUDITORIA CONSULTORES S.A Utilizan herramientas para monitorear y tener registro de los recursos como espacios en disco, redes y servidores. Se llevan a cabo análisis de tendencias para evitar problemas inesperados. Nombre proceso : DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD Dominio : ENTREGAR Y DAR SOPORTE Tipo Instrumento: ENTREVISTA Observaciones: ¿Qué herramienta individual utilizan para diagnosticar problemas de desempeño labora? ¿Cómo se monitorea las actividades que se realizan en el departamento de TI? ¿Cómo es realizada la distribución de las tareas del trabajador de acuerdo a la manifestación de nuevas actividades? ¿Qué hacen para hacer la valoración del nivel del servicio prestado a los usuarios y clientes del negocio? ¿Cómo miden la eficiencia de las actividades realizadas por el departamento de TI? ¿Cómo hacen las revisiones regulares para asegurar que se logre una capacidad óptima de acuerdo a la infraestructura de TI y la demanda del negocio? CHAUDITORIA CONSULTORES S.A ME1 Monitorear y Evaluar el Desempeño de TI Objetivo Evaluar que métodos o técnicas utiliza la organización para realizar el monitoreo del desempeño de TI y la forma como se evalúan y comunican los resultados, además, conocer de cerca que tanto se están cumpliendo los objetivos y metas de TI y que medidas correctivas se toman en caso de que halla incumplimiento de los mismos. Puntos a Evaluar - Método usados para el monitoreo Determinación de correctivos por inconsistencias Comunicación de reportes de monitoreo Cumplimiento de objetivos y metas Documentación de reportes de monitoreo Nombre proceso : ME1 MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI Dominio : MONITOREAR Y EVALUAR Tipo Técnica: LISTA DE VERIFICACIÓN O CHEQUEO Observaciones: DESCRIPCIÓN Se realizan análisis de las necesidades actuales de seguridad y monitoreo. El Monitoreo Ayuda en la determinación de políticas de seguridad y requisitos reguladores. Tienen establecidas técnicas para la recolección de datos de monitoreo. Tienen objetivos de desempeño establecidos. El método usado para el monitoreo del desempeño de TI abarca todos loas ángulos de este. CUMPLE CHAUDITORIA CONSULTORES S.A De forma periódica hacen una comparación del desempeño de TI con las metas establecidas. Se toman medidas correctivas para mejorar el desempeño de TI en la organización, cuando después del monitoreo, evaluación y reportes se muestran inconsistencias. Elaboran reportes para que los altos mandos de la organización se enteren del estado de cumplimiento de las metas. Nombre proceso : ME1 MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI Dominio : MONITOREAR Y EVALUAR Tipo Instrumento: ENTREVISTA Observaciones: DESCRIPCIÓN ¿Cada cuanto hacen monitoria del desempeño de las TI en la organización? 1) ¿De qué manera se monitorea y evalúan los objetivos y/o metas del desempeño de las TI en la empresa? ¿Una vez generados los reportes de monitoreo, que hacen con ellos? ¿Como informan a la alta dirección los resultado del monitoreo? ¿En que se apoyan para tomar medidas correctivas en el área de TI en caso de que sea necesario? ¿Cree usted que con el método de monitoreo que tienen establecido hacen un análisis desde todos los ángulos de los procesos de TI en la organización? ¿Las medidas regulatorias y de seguridad que se establecen en la empresa tienen que ver con los resultados del monitoreo de TI? ¿Por que?