Procedimientos de auditoria informatica
Enviado por yanina... • 5 de Mayo de 2020 • Trabajo • 1.128 Palabras (5 Páginas) • 241 Visitas
Procedimiento de Auditoria informática aplicado al caso bajo estudio
El procedimiento general para realizar una auditoría informática está compuesto de las siguientes etapas:
- Conocer la organización bajo estudio (misión, visión, organización)
- Conocer el estado de gobernanza de la TIC´s.
- Conocer en qué etapa del ciclo de vida se encuentran las TIC´s de la organización en general y en qué etapa del ciclo de vida se encuentra cada una de las distintas componentes, capas o sistemas, subsistemas que integran las TIC´s, aplicando COBIT 4.0
- Auditar cada una las distintas componentes, capas, sistemas, subsistemas que integran las TIC´s, mediante una lista de chequeo construido a partir del marco de referencia, norma, mejor práctica bajo análisis, utilizando el formato recomendado por la ISO31000.
- Utilizando los conceptos de la ISO 31000, elaborar un Mapa de riesgo de las TIC´s, por cada capa o componente y agregarla a un mapa a nivel corporativo.
- Una vez realizadas las auditorías a cada una de las capas o componentes y atendiendo el nivel de severidad de los riesgos a nivel corporativo, elaborar la estrategia de mitigación general y/o particular.
- Elaborar el Informe Final y la presentación ejecutiva de la auditoria.
Etapas:
- Conocer la organización bajo estudio (misión, visión, organización)
El primer paso es conocer la organización auditada, describiendo el contexto:
- Misión de la organización bajo estudio (se recomienda usar el modelo de Derek Abell) – Qué necesidad resuelve; A Quién va dirigido; Cómo lo hace)
- Análisis de la competencia, con quien y como compite (se recomienda usar el modelo de Océanos Azules, que Elimina, Reduce, Aumenta, Agrega, características del producto o servicio, para mejorar su oferta o diferenciarse de la competencia)
- Organización, como está estructurada la organización en general (estructura organizacional u organigrama) y el Área de Informática en particular. Habitualmente la Organización o estructura para la prestación de los servicios de las TIC´s, da cuenta del tipo de políticas y/o estrategia o directrices dictadas por el directorio o los dueños respecto de la prestación de servicios de las TIC´s, por ejemplo externalizar todo o hacer con recursos propios, o combinaciones de estas modalidades, estos antecedentes permiten elaborar de una manera más asertiva las listas de chequeo que se indican más adelante.
- El segundo paso es conocer la gobernanza informática de la organización usando como material de referencia el Cobit 5.
- Revisar las políticas de la organización que permiten al Gerente de Informática alinear las metas de TI con las metas de la organización, verificar el estado actual de la Gobernanza aplicando el Apéndice B Mapeo Detallado de las Metas de Empresa y las Metas Relacionadas con las TI, página 49 del Cobit 5.
- Para realizar lo anterior, se construye una Lista de Chequeo verificando el estado actual de cada una de las metas instituciones de manera de determinar la severidad del riesgo emanadas de la Gobernanza de TI, se recomienda utilizar los conceptos de la ISO31000 de evaluación de riesgos, se sugiere el siguiente formato:
Nº Evento o condición | Descripción del evento o condición | Nivel de la Probabilidad de ocurrencia (De 1 a 5 según ISO 31000) | Nivel del Impacto Económico ocurrencia (De 1 a 5 según ISO 31000) | Nivel de severidad del riesgo (resultado de multiplicar Niveles de Probabilidad por el Nivel de Impacto | Observación si es pertinente para aclarar o reforzar el evento de condición |
1 | Para verificar el cumplimiento de la Meta Corporativa 1: Valor para las partes interesadas de las Inversiones de Negocio, por ejemplo preguntar: ¿Existe pérdida económica de la empresa? | 1 | 5 | 5 | La empresa genera pérdida para los accionistas o dueños. |
2 | Cumplimiento de la Meta Corporativa 2: Cartera de productos y servicios competitivos ¿Existe pérdida de competitividad de algún producto o servicio? | ||||
Hasta la meta 17 |
- Elaborar el Mapa de Riesgo de la Gobernanza Institucional graficando la distribución de los niveles de severidad de riesgo que presenta cada una de las metas del negocio, [pic 1]
- Establecer en qué etapa del ciclo de vida de las TIC´s se encuentra la organización en general y cada una de las capas o componentes.
Una vez determinados los niveles de severidad en cada una de las 17 metas corporativas, es necesario conocer en qué etapa del ciclo de vida se encuentran las distintas capas de la TICs, aplicando el modelo del COBIT (Planear y Organizar; Adquirir e Implantar; Entregar y dar Soporte; Monitorear y evaluar), pagina 26, Cobit 4.0:
...