Post on 28-Oct-2014
METODOLOGÍA PARA
ELABORAR UNA AUDITORÍA DE TI
SI
Elaborar el PGAS
Auditor General Evalúa
el PGASPriorizar
NO
Modificar PGAS
NO
SI
Designación deComisiones
Aprueba el PGAS
Aprueba el PGAS
Alta Dirección Evalúa el PGAS
Elabora el Plan Detallado
AA
METODOLOGÍA OMR
Conocer TIConocer
institución
COBIT
SIBC
Proceso TI
AI1-AI7 y AC1 - AC6
Tramitar las Cartas de Presentación
AuditoríaRealizada
AA
METODOLOGÍA OMR
Coordinar con el Área Auditada
Elaborar el Borrador del Informe Preliminar
Preparar el Informe Preliminar
Presentar el Informe Preliminar
Realizar Trabajo de Campo
Preparar el Informe Final
Seguimiento
Presentar el Informe Final
Esperar la RespuestaDel Informe Preliminar
Priorización y Selección de Exámenes
Identificar Metas del Plan Estratégico
• Obtener las metas establecidas en el Plan Estratégico
• Considerar si dentro del plan se han priorizado estas metas, de no estarlo, PRIORIZAR
EJEMPLO
Identificar METAS del NEGOCIO
Priorizar METAS del NEGOCIO
Seleccionar Metas de Negocio de COBIT que estén vinculadas a las Metas del Plan Estratégico
Identificar Metas de TI
Identificar Metas de TI
Identificar Procesos de COBIT
Identificar Sistemas de Información Estratégico
• Utilizar el inventario de sistemas de información para seleccionar los sistemas de información estratégicos.– Sistema de Ventas– Sistema Logístico– Sistema Compras– Sistema Producción– Sistema Contable– Sistema de Gestión del Potencial Humano– Sistema de Diseño de Producto
Considerar las Metas del Plan Estratégico
Identificar Sistemas de Información Estratégico
• Utilizar el inventario de sistemas de información para seleccionar los sistemas de información estratégicos.– Sistema de Ventas– Sistema Logístico– Sistema Compras– Sistema Producción– Sistema Contable– Sistema de Gestión del Potencial Humano– Sistema de Diseño de Producto
Exámenes a SI
• Por cada sistema de información estratégico Examinar:
• AI1-AI7 Adquirir e Implementar– AI1 Identificar soluciones automatizadas– AI2 Adquirir y dar mantenimiento a software aplicativo.– AI3 Adquirir y dar mantenimiento a la infraestructura
tecnológica– AI4 Facilitar la operación y el uso– AI5 Procurar recursos de TI– AI6 Cambios administrativos– AI7 Instalar y acreditar soluciones y cambios
Nota: Ver la descripción de cada Proceso en el archivo Cobit.pdf
Exámenes a SI
• Por cada sistema de información estratégico Examinar:
• AC1-AC6 Controles de Aplicación– AC1 Preparación y Autorización de Información Fuente.– AC2 Recolección y Entrada de Información Fuente.– AC3 Chequeos de Exactitud, Integridad y Autenticidad– AC4 Integridad y Validez del Procesamiento– AC5 Revisión de Salidas, Reconciliación y Manejo de
Errores– AC6 Autenticación e Integridad de Transacciones
Nota: Ver la descripción de cada Control de Aplicación en el archivo Cobit.pdf
• Para los Sistemas Logístico, Contable y de Diseño de Producto examinar:– AI1-AI7 Adquirir e Implementar– AC1-AC6 Controles de Aplicación
EXAMENES que se realizarán
Marco de Trabajo General - COBIT
Objetivos de Control PO1-PO10PO1 Definir un plan estratégico de TI• PO1.1 Administrar el valor de TI• PO1.2 Alineación de TI con el negocio• PO1.3 Evaluación del desempeño y la capacidad actual• PO1.4 Plan estratégico de TI• PO1.5 Planes tácticos de TI• PO1.6 Administración del portafolio de TI
Nota: Ver la descripción de cada Objetivo de Control en el archivo cobit.pdf
Objetivos de Control AI1-AI7AI1 Identificar soluciones automatizadas.• 1.1 Definición y mtto de requisitos de negocio funcionales y técnicos• 1.2 Reporte de análisis de riesgos• 1.3 Estudio de factibilidad y formulación de cursos de acción alternativos• 1.4 Requerimientos Nuevo y decisión y aprobación de factibilidad
Nota: Ver la descripción de cada Objetivo de Control en el archivo cobit.pdf
Objetivos de Control DS1-DS13DS1 Definir y administrar los niveles de servicio.• 1.1 Marco de trabajo de la administración de los niveles de servicio• 1.2 Definición de servicios• 1.3 Acuerdos de nivel de servicios (SLA)• 1.4 Acuerdos de nivel de Operaciones (OLA)• 1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio• 1.6 Revisión de los SLA y de los contratos
Nota: Ver la descripción de cada Objetivo de Control en el archivo cobit.pdf
Objetivos de Control ME1-ME4ME1 Monitorear y evaluar el desempeño de TI• 1.1 Enfoque del monitoreo• 1.2 Definición y recolección de datos de monitoreo• 1.3 Método de monitoreo• 1.4 Evaluación del desempeño• 1.5 Reportes al consejo directivo y a ejecutivos• 1.6 Acciones correctivas
Nota: Ver la descripción de cada Objetivo de Control en el archivo cobit.pdf
Realizar el Aseguramiento de la ejecución de los Procesos AI1-AI7 del
SIBC
AI1 Identificar soluciones automatizadas.AI2 Adquirir y mantener el software aplicativo.AI3 Adquirir y mantener la infraestructura tecnológicaAI4 Facilitar la operación y el uso.AI5 Adquirir recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar soluciones y cambios.
Nota: Ver la descripción de cada proceso en el archivo assurance.pdf
Evaluar Controles de Aplicación AC1-AC6 al SIBC
AC1 Preparación y Autorización de Información Fuente.
AC2 Recolección y Entrada de Información Fuente.AC3 Chequeos de Exactitud, Integridad y
AutenticidadAC4 Integridad y Validez del ProcesamientoAC5 Revisión de Salidas, Reconciliación y Manejo de
ErroresAC6 Autenticación e Integridad de Transacciones
Nota: Ver la descripción de cada control de aplicación en el archivo assurance.pdf
Marco de Trabajo General - COBIT
MUCHAS GRACIAS