Global Technology Audit Guide, IIAA - Institute of Internal Auditors
▸ Perú +51 1 7018125 ▸ Colombia +57 6017564232 ▸ USA +1 561 4403490
L-V 8:00 am - 5:00 pm
|
|
|
|
ISO 9004-2, 9001-3, ITIL, BABOK, PMBOK, COBIT, CMMI e ISO 27001, según modelo GTAG.
Los resultados comparativos mediante una auditoria GTAG, Global Technology Audit Guide del IIA, institute of internal auditors, son el mejor insumo para definir un portafolio de proyectos que permitan superar la brecha indicando cronogramas, inversiones y condiciones requeridas. Calificándolas en mejoras, proyectos, programas o portafolios; donde las mejoras pueden y deben ser realizadas de inmediato y utilizando el gasto como estrategia financiera, mientras que proyectos, programas y portafolios merecen un análisis financiero para aplicar inversiones en espera del retorno.
Lo que se mide, se puede mejorar.
Nuestro enfoque para la auditoria de TI es el de servicios , el cual está orientado a entregables tangibles que permitan que la organización genere el cambio que permita alcanzar sus objetivos estratégicos según lo planificado.
Basado en ese enunciado, el desafío es, un servicio de auditoria que genere entregables tangibles de valor plasmados un portafolio de soluciones. Es decir salir del enfoque clásico de solo evaluar, comparar y calificar según la siguiente marco de trabajo (Framework) :
ANTES : Entender | Comprender
DURANTE: Seleccionar | Adaptar los servicios de TI
DESPUES :Evaluar | Medir l GAP | Portafolio de proyectos
|
|
Beneficios
Luego de los resultados de la auditoria su organización estará disponible para iniciar las acciones que de manera efectiva le permita:
Luego de los resultados de la auditoria su organización estará disponible para iniciar las acciones que de manera efectiva le permita:
- T.I se involucre de modo más efectivo con la estrategia corporativa,
- Optimizar el conocimiento y entendimiento de las necesidades de las diferentes áreas.
- Administración de TI mediante planeación evolutiva orientada a servicios.
- Mejorar el diseño y dimensionamiento de recursos necesarios a demanda estimando Alcance, costo y tiempo de servicio con eficiencia y calidad.
- Analizar con mejor precisión las necesidades técnico/económicas de apoyo externo y servicios en outsourcing.
- Implementar procesos claros, coherentes, completos y estándares, que se auto perfeccionen continuamente.
- Utilizar el concepto de mejora continua y mejores prácticas para la evolución del área de TI a estratégica.
- Tener un equipo humano comprometido y eficaz.
- Migrar de una comunicación de “idioma” de usuario y tecnología a un idioma de negocios.
- Estar actualizado sobre las tendencias tecnológicas y su impacto en la productividad
- Estar preparado para llevar a la empresa hacia las exigencias de un mundo de negocios globalizado
- Tener un esquema presupuestal claro y transparente.
- Para toda planeación y proyectos los aspectos como la seguridad, el riesgo y la administración de la continuidad del negocio serán factores críticos.
- Generar valor para la organización mediante la gestión de servicios con trasferencia de responsabilidad y rentabilidad al usuario.
- Considerar en cada proyecto la gestión del cambio.
- Impulsar el concepto de calidad de la información.
- Adquirir conocimientos de experiencia de sus equivalentes en otras compañías.
- Medir el desempeño del área a través de indicadores.
- Mejora la imagen pública.
- Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
- Optimiza las relaciones internas y del clima de trabajo.
- Disminuir los costos de la mala calidad (reprocesos, rechazos, reclamos).
- Definir planes de acción ante los riesgos en TI.
- Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
La auditoría se enmarca dentro de las prácticas de análisis de negocios BABOK, de IIBA, utilizamos estas prácticas y herramientas para el desarrollo de nuestro framework en base a GTAG de IIA. Iniciamos realizando un proceso de elicitación para entender lo que realmente esperan de su organización de TI.
Estrategia
El objeto principal de la auditoria de sistemas es evaluar el status de las actividades tecnológicas las cuales deben asegurar que los planes y operaciones cumplan sus objetivos, para lo cual se debe conocer el flujo de amenazas alrededor de los procesos y procedimientos implicados (riesgos) que son los factores que impiden el logro de los mismos.
El objeto principal de la auditoria de sistemas es evaluar el status de las actividades tecnológicas las cuales deben asegurar que los planes y operaciones cumplan sus objetivos, para lo cual se debe conocer el flujo de amenazas alrededor de los procesos y procedimientos implicados (riesgos) que son los factores que impiden el logro de los mismos.
Que evaluamos
Basado en los estándares, la experiencia y su aplicabilidad en el país, la zona geográfica, el giro de negocio, las limitaciones empresariales y otros factores condicionantes auditamos buscando evidencias la madurez de la organización respecto a un modelo aplicable (el cual debe ser definido anteriormente). Auditaremos "como lo haces", NO! que haces.
Que buscamos
El procesos de auditoria se fundamente en evidencias tangibles, no opiniones, no intensiones, sin embargo es válido para determinados tipos de negocio la adaptabilidad o la adecuación o la innovación de procesos, procedimientos y acciones que finalmente logran los objetivos. Lo que buscamos es evidenciar que los esfuerzos logran ENTREGABLES (objetivos), así mismo debemos buscar que esos entregables estén alineados al negocio y que el negocio haya definido cuál es el valor de esas entregas. Esas conexiones desde el campo de operaciones hasta los resultados financieros de la organización es lo que buscamos, de ese modo podemos sustentar desviaciones, plantear mejoras y recomendaciones y todo integrado jerárquicamente.
Objetivos
Luego de afinar, incluir o eliminar algunos de modo particular (primera reunión de auditoria) generalmente estos son los objetivos a gran escala.
Basado en los estándares, la experiencia y su aplicabilidad en el país, la zona geográfica, el giro de negocio, las limitaciones empresariales y otros factores condicionantes auditamos buscando evidencias la madurez de la organización respecto a un modelo aplicable (el cual debe ser definido anteriormente). Auditaremos "como lo haces", NO! que haces.
Que buscamos
El procesos de auditoria se fundamente en evidencias tangibles, no opiniones, no intensiones, sin embargo es válido para determinados tipos de negocio la adaptabilidad o la adecuación o la innovación de procesos, procedimientos y acciones que finalmente logran los objetivos. Lo que buscamos es evidenciar que los esfuerzos logran ENTREGABLES (objetivos), así mismo debemos buscar que esos entregables estén alineados al negocio y que el negocio haya definido cuál es el valor de esas entregas. Esas conexiones desde el campo de operaciones hasta los resultados financieros de la organización es lo que buscamos, de ese modo podemos sustentar desviaciones, plantear mejoras y recomendaciones y todo integrado jerárquicamente.
Objetivos
Luego de afinar, incluir o eliminar algunos de modo particular (primera reunión de auditoria) generalmente estos son los objetivos a gran escala.
- Investigación, consulta, revisión, comprobación y evidencia de acuerdo con los planes organizacionales y buenas prácticas globales.
- Verificación de controles en el procesamiento de información, desarrollo de sistemas e infraestructura con el objetivo de evaluar su efectividad y presentar recomendaciones sustentables.
- Análisis de la eficiencia de los Sistemas Informático
- La revisión de la eficaz administración de los recursos tecnológicos.
Alcance
La auditoría se engloba en abarcar:
De modo que pueda identificar responsables, recursos y procesos en 5 capas:
Capa 1 – Dirección de TI
Debemos consultar y obtener respuestas sobre escalabilidad:
¿Cuál es la configuración de recursos existente?
¿Cuál es el aumento esperado en los requerimientos?
¿Existe algún requerimiento para cambiar de tecnología?
¿Puede mejorarse el rendimiento del recurso aumentando su configuración?
¿Cuáles son las probabilidades que la tecnología existente se vuelva obsoleta?
¿De qué forma se puede mejorar el rendimiento costo-beneficio?
Debemos además conocer cómo se aplicación de las Finanzas en TI:
Así como las estrategias de gestión de riesgos
Capa 2 – Infraestructura tecnológica
¿Cuáles son los requerimientos actuales de Hardware y Software?
¿Son compatibles y en qué grado el hardware y software?
¿Cuál es la probabilidad de un cambio tecnológico importante en el futuro cercano
¿En cuántos años tomaran obsolescencia las soluciones actuales?
¿Existirá soporte disponible oficial después del lanzamiento de las nuevas versiones?
Capa 3 - Aplicaciones empresariales
Las aplicaciones en la organización son el fin último de las implementaciones tecnológicas, la infraestructura es el medio una vez que esta se desarrolla óptimamente con disponibilidad, integridad y confiabilidad se inician la automatización de los procesos organizacionales mediante el software. Muchas implicancias están alrededor de las mismas.
La experiencia y las recomendaciones de buenas prácticas nos han demostrado que se debe conocer a cabalidad los procesos organizaciones antes que los procesos automatizados, es común encontrar organizaciones que esperan que el software soluciones sus problemas de procesamiento. Las aplicaciones en primera instancia solo automatizan los procesos organizaciones no las mejoran.
Sin embargo encontramos también procesos organizacionales definidos y automatizados correctamente, sin embargo la eficiencia de la aplicación, la seguridad o la administración de las mismas impiden el logro de los objetivos, junto con la obsolescencia o los cambios organizacionales. El objeto de la auditoria es encontrar esta situación y recomendar más mejorar efectivas necesarias:
Estas son algunas consultas a resolver en las primeras reuniones de auditoria:
¿Cuáles son las aplicaciones requeridas por la empresa?
¿Cuáles procesos empresariales quiere automatizar la empresa usando aplicaciones empresariales?
¿Quienes trabajan con las aplicaciones?
¿Dónde se ubican las personas que trabajan con estas aplicaciones?
¿Cuál es la arquitectura de esas aplicaciones?
¿Cuáles son los requerimientos tecnológicos?
¿Dónde se almacenarán los datos de las aplicaciones?
Capa 4 – Seguridad
Es un procedimiento que evalúa el nivel de seguridad de una empresa o entidad, analizando sus procesos y comprobando si sus políticas de seguridad se cumplen. El principal objetivo de una auditoría de seguridad es el de detectar las vulnerabilidades y debilidades de seguridad que pueden ser utilizadas por terceros malintencionados para robar información, impedir el funcionamiento de sistemas, o en general, causar daños a la empresa.
Es muy común para el personal técnico informático exponer a la organización a fuentes de acceso externa, normalmente encontramos el uso de herramientas gratuitas, simples aparentemente simples y baratas sin embargo ponen en gran riesgo a la organización. La auditoría busca como se ha planificado, como se controlan los riesgos inherentes a estos sistemas y como se ha trasladado la responsabilidad a los usuarios finales (que son el principal riesgo). Utilizamos técnicas y herramientas actualizadas para realizar estas acciones, estas herramientas son estándares y disponibles lo que utilizamos es el conocimiento y la experiencia en la aplicabilidad de las mismas.
Capa 5 – Proyectos:
Toda organización es dinámica y cambiante, TI no debe estar aislada del mismo, la auditoria permitirá identificar si se ha identificado operaciones de proyectos y como se está planificando, ejecutando y entregando los proyectos, así como la satisfacción del Sponsor y los clientes y usuarios.
La auditoría se engloba en abarcar:
- Diseño del sistema de gestion de servicios, aplicaciones, infraestructura, seguridad y gobierno TI
- Inventarios.
- Servicios Cloud, Centros de datos y cuartos de equipos
- Políticas de seguridad y plan estratégico
- Políticas de los Sistemas
De modo que pueda identificar responsables, recursos y procesos en 5 capas:
Capa 1 – Dirección de TI
- Políticas, procedimientos y procesos de TI:
- Monitoreo de servicios.
- Programación.
- Planeación.
- Terceros
- Gobierno de TI.
- Las limitaciones de TI:
- Restricción del Tiempo para implementaciones.
- Restricción de recursos: uso de recursos disponibles actuales
- Presupuesto.
- Políticas y estándares empresariales.
- Rentabilidad de la inversión
Debemos consultar y obtener respuestas sobre escalabilidad:
¿Cuál es la configuración de recursos existente?
¿Cuál es el aumento esperado en los requerimientos?
¿Existe algún requerimiento para cambiar de tecnología?
¿Puede mejorarse el rendimiento del recurso aumentando su configuración?
¿Cuáles son las probabilidades que la tecnología existente se vuelva obsoleta?
¿De qué forma se puede mejorar el rendimiento costo-beneficio?
Debemos además conocer cómo se aplicación de las Finanzas en TI:
- Costo total de propiedad (TCO)
- Rentabilidad de la inversión (ROI)
- Análisis de costo beneficio (CBA)
Así como las estrategias de gestión de riesgos
Capa 2 – Infraestructura tecnológica
- Funciones de negocio .
- Sistemas operativos.
- Bases de datos.
- Networking.
- Buscaremos evidencias sobre planes de Obsolescencia
¿Cuáles son los requerimientos actuales de Hardware y Software?
¿Son compatibles y en qué grado el hardware y software?
¿Cuál es la probabilidad de un cambio tecnológico importante en el futuro cercano
¿En cuántos años tomaran obsolescencia las soluciones actuales?
¿Existirá soporte disponible oficial después del lanzamiento de las nuevas versiones?
Capa 3 - Aplicaciones empresariales
- Tareas específicas:
- Transacciones.
- Desarrollo e implementación
- Soporte
Las aplicaciones en la organización son el fin último de las implementaciones tecnológicas, la infraestructura es el medio una vez que esta se desarrolla óptimamente con disponibilidad, integridad y confiabilidad se inician la automatización de los procesos organizacionales mediante el software. Muchas implicancias están alrededor de las mismas.
La experiencia y las recomendaciones de buenas prácticas nos han demostrado que se debe conocer a cabalidad los procesos organizaciones antes que los procesos automatizados, es común encontrar organizaciones que esperan que el software soluciones sus problemas de procesamiento. Las aplicaciones en primera instancia solo automatizan los procesos organizaciones no las mejoran.
Sin embargo encontramos también procesos organizacionales definidos y automatizados correctamente, sin embargo la eficiencia de la aplicación, la seguridad o la administración de las mismas impiden el logro de los objetivos, junto con la obsolescencia o los cambios organizacionales. El objeto de la auditoria es encontrar esta situación y recomendar más mejorar efectivas necesarias:
Estas son algunas consultas a resolver en las primeras reuniones de auditoria:
¿Cuáles son las aplicaciones requeridas por la empresa?
¿Cuáles procesos empresariales quiere automatizar la empresa usando aplicaciones empresariales?
¿Quienes trabajan con las aplicaciones?
¿Dónde se ubican las personas que trabajan con estas aplicaciones?
¿Cuál es la arquitectura de esas aplicaciones?
¿Cuáles son los requerimientos tecnológicos?
¿Dónde se almacenarán los datos de las aplicaciones?
Capa 4 – Seguridad
Es un procedimiento que evalúa el nivel de seguridad de una empresa o entidad, analizando sus procesos y comprobando si sus políticas de seguridad se cumplen. El principal objetivo de una auditoría de seguridad es el de detectar las vulnerabilidades y debilidades de seguridad que pueden ser utilizadas por terceros malintencionados para robar información, impedir el funcionamiento de sistemas, o en general, causar daños a la empresa.
- Mejora los controles internos de seguridad de la empresa.
- Detecta debilidades en los sistemas de seguridad como errores, omisiones o fallos.
- Identifica posibles actuaciones fraudulentas (acceso a datos no autorizados o robos a nivel interno).
- Ayuda a eliminar los puntos débiles de la empresa en cuestión de seguridad (webs, correo electrónico o accesos remotos, por ejemplo).
- Permite controlar los accesos, tanto físicos como virtuales (revisión de privilegios de acceso).
- Permite mantener sistemas y herramientas actualizadas.
Es muy común para el personal técnico informático exponer a la organización a fuentes de acceso externa, normalmente encontramos el uso de herramientas gratuitas, simples aparentemente simples y baratas sin embargo ponen en gran riesgo a la organización. La auditoría busca como se ha planificado, como se controlan los riesgos inherentes a estos sistemas y como se ha trasladado la responsabilidad a los usuarios finales (que son el principal riesgo). Utilizamos técnicas y herramientas actualizadas para realizar estas acciones, estas herramientas son estándares y disponibles lo que utilizamos es el conocimiento y la experiencia en la aplicabilidad de las mismas.
Capa 5 – Proyectos:
Toda organización es dinámica y cambiante, TI no debe estar aislada del mismo, la auditoria permitirá identificar si se ha identificado operaciones de proyectos y como se está planificando, ejecutando y entregando los proyectos, así como la satisfacción del Sponsor y los clientes y usuarios.
Proceso de la auditoría
Estructura de descomposición del trabajo para AUDITORIA TECNOLÓGICA
Se realiza con:
Herramientas
Fases
Toma de contacto con la organización.
Conocimiento de la organización (Planeamiento, organización, operaciones, proveedores y clientes), se desea conocer en macro cual el plan de tecnologías de la información basado en este modelo (ISO)
Buscamos entender:
Planificación
Definición de objetivos, cronograma. Alcance, equipo humano, documentación y estándares aplicados.
Desarrollo
Buscar evidencias que permitan concluir en un diagnostico respecto a un estándar acordado:
“lo que se ofrece” el área de tecnologías de la información y la organización y cual es el resultado de “Satisfacción” o de “USO” lo que realmente recibe el usuario.
Síntesis y diagnostico (DAFO, GAP Análisis)
Se buscan debilidades, Amenazas, fortalezas y oportunidades del área de TI, la organización (dirección) y los Clientes (usuarios), matriz DAFO
Mediante una matriz GAP Análisis y gráficos radiales, se mostrara gráficamente las desviaciones y se invitara al equipo directivo a proponer las nuevas metas de la organización basada en nuestras recomendaciones.
Presentación preliminar:
Luego del diagnóstico es posible no esperar soluciones a largo plazo, nuestra metodología propone que es posible ejecutar soluciones de gran impacto y viables financieramente que eleven el nivel de madurez organizacional en tecnologías de la información, Es imprescindible identificar estas ACCIONES CORRECTIVAS CRITICAS VIABLES a corto plazo y ejecutarlas.
Informe y plan de mejoras
Finalmente se entregara el informe detallado con el sustento y evidencia de cada recomendación de modo que la organización pueda realizar sus futuros planes de acción según las metas preestablecidas en la presente auditoria.
Mediante la categorización de URGENTES Importantes y de AVANZADA la organización tendrá un rumbo de aprovechar sus oportunidades de mejora de modo tangible.
Nuestra empresa podría sugerir servicios adicionales para lograr los mismos mediante el servicio de Gestión de proyectos de tecnología de la información.
Estructura de descomposición del trabajo para AUDITORIA TECNOLÓGICA
Se realiza con:
- Conocimientos y experiencia técnicos , conocimientos y experiencia en auditoria de sistemas
- Técnicas Analíticas y con equilibrio emocional, intuición profesional, dinamismo, capacidad de escuchar, trabajo en equipo y dirección estratégica.
- Punto de vista imparcial
- CÓDIGO DE ÉTICA y CONFIDENCIALIDAD (ver código de ética de Innovaxiones )
- Sin afectar la operación diaria.
Herramientas
- Procesadores de texto, Hojas de cálculo y programas estadísticos
- Estándares aplicativos (Documentación oficial)
- Software especializado para auditoría técnica
- Gestión de proyectos
Fases
Toma de contacto con la organización.
Conocimiento de la organización (Planeamiento, organización, operaciones, proveedores y clientes), se desea conocer en macro cual el plan de tecnologías de la información basado en este modelo (ISO)
Buscamos entender:
- Procesos del negocio
- Estructura organizacional
- Planes existentes y futuros de la empresa
- Aplicaciones de negocio
- Protección contra la obsolescencia
- Riesgos
- Limitaciones empresariales.
- Metas de negocio a corto plazo y a largo plazo
- Crecimiento de la empresa adentro más allá de un año.
- Planes del crecimiento para los 3-5 años próximos.
Planificación
Definición de objetivos, cronograma. Alcance, equipo humano, documentación y estándares aplicados.
Desarrollo
Buscar evidencias que permitan concluir en un diagnostico respecto a un estándar acordado:
“lo que se ofrece” el área de tecnologías de la información y la organización y cual es el resultado de “Satisfacción” o de “USO” lo que realmente recibe el usuario.
Síntesis y diagnostico (DAFO, GAP Análisis)
Se buscan debilidades, Amenazas, fortalezas y oportunidades del área de TI, la organización (dirección) y los Clientes (usuarios), matriz DAFO
Mediante una matriz GAP Análisis y gráficos radiales, se mostrara gráficamente las desviaciones y se invitara al equipo directivo a proponer las nuevas metas de la organización basada en nuestras recomendaciones.
Presentación preliminar:
Luego del diagnóstico es posible no esperar soluciones a largo plazo, nuestra metodología propone que es posible ejecutar soluciones de gran impacto y viables financieramente que eleven el nivel de madurez organizacional en tecnologías de la información, Es imprescindible identificar estas ACCIONES CORRECTIVAS CRITICAS VIABLES a corto plazo y ejecutarlas.
Informe y plan de mejoras
Finalmente se entregara el informe detallado con el sustento y evidencia de cada recomendación de modo que la organización pueda realizar sus futuros planes de acción según las metas preestablecidas en la presente auditoria.
Mediante la categorización de URGENTES Importantes y de AVANZADA la organización tendrá un rumbo de aprovechar sus oportunidades de mejora de modo tangible.
Nuestra empresa podría sugerir servicios adicionales para lograr los mismos mediante el servicio de Gestión de proyectos de tecnología de la información.
|
|
Método
Mediante entrevistas, cuestionarios y observaciones (Reunión personal, envíos preliminares, entrevista) hechos y opiniones, con habilidades directivas, operativas y estratégicas basado en gestión de proyectos PMI (durante el proceso), gestión de procesos BABOK y gestionando entregables
Riesgos a mitigar:
Falsedad
Discusiones
Agresividad
Lenguaje no común
Intercambio de roles
Consejos innecesarios.
Formular Hipótesis adelantadas.
Demasiada información no relevante.
Anticipación de soluciones o soluciones de proceso y no de sistema.
Mediante entrevistas, cuestionarios y observaciones (Reunión personal, envíos preliminares, entrevista) hechos y opiniones, con habilidades directivas, operativas y estratégicas basado en gestión de proyectos PMI (durante el proceso), gestión de procesos BABOK y gestionando entregables
Riesgos a mitigar:
Falsedad
Discusiones
Agresividad
Lenguaje no común
Intercambio de roles
Consejos innecesarios.
Formular Hipótesis adelantadas.
Demasiada información no relevante.
Anticipación de soluciones o soluciones de proceso y no de sistema.
Lima - Perú
+51 1 7018125 Av. Circunvalación del Golf los Incas 134 Torre 2, Piso 6, Santiago de Surco, Lima, 15023 [email protected] |
|
Diseñado por Innovaxiones 2007 - 2025