Desarrollar por cada estudiante un proceso de la metodología COBIT con sus respectivos objetivos de control diseñando los instrumentos de recolección de información y su aplicación.
Enviado por Michael Tutistar • 5 de Mayo de 2017 • Trabajo • 4.466 Palabras (18 Páginas) • 286 Visitas
Trabajo colaborativo
Fase de planeación y ejecución
Germán G. Obando
Ronald Mauricio Pazmiño
Michael Leo Tutistar
María Fernanda Alcalde
Juan Manuel Gonzalez
San Juan de Pasto
2017
Introducción
A través del aprendizaje en cuestión de la auditoria de sistemas, es posible observar que los elementos que nos dan certeza del estado en el que se encuentra un sistema y sus posibles debilidades, nos los brinda los instrumentos de recolección de datos, llámese entrevistas, cuestionarios o listas de chequeo, estos son capaces de enmarcar los riesgos a los que está expuesto el sistema de manera detallada y concisa revelando un panorama que incluso puede ampliar lo que en principio se había encontrado como debilidad.
En este trabajo se ha recopilado algunos instrumentos de recolección de información, así como el análisis de riegos y su evaluación de los procesos basados en la metodología COBIT para sustentar los riesgos de la empresa StarNet y así poder proseguir con la auditoria de la misma.
Objetivos
- Desarrollar por cada estudiante un proceso de la metodología COBIT con sus respectivos objetivos de control diseñando los instrumentos de recolección de información y su aplicación.
- Desarrollar por cada estudiante los análisis de riesgos con su matriz de evaluación para su posterior interpretación y tratamiento en la fase siguiente.
- Guiar los saberes de la materia auditoria de sistemas hacia la aplicación correcta dentro de la metodología COBIT para el mejoramiento de los procesos de la empresa seleccionada para realizar el trabajo.
- Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software.
- los subsistemas del Hardware y del Software instalados. Estos controles son importantes para las instalaciones.
- Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas.
DILIGENCIAMIENTOS DE INSTRUMENTOS DE AUDITORIA
Instrumentos para recolección de resultados de la auditoria
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA | REF | PO 9.4 |
AUD.01 |
ENTIDAD AUDITADA | StarNet | PAGINA |
1 | DE | 1 |
PROCESO AUDITADO | Evaluación de riesgos de TI | |
RESPONSABLE | Germán Obando | |
MATERIAL DE SOPORTE | COBIT | |
DOMINIO | Planeación y organización | |
PROCESO | PO 9 Evaluar y administrar los riegos de TI |
FUENTES DE CONOCIMIENTO | REPOSITORIO DE PRUEBAS APLICABLES | |
DE ANALISIS | DE EJECUCION | |
Andrés Córdoba (Administrador), Visitas programas, Inspección y registro fotográfico |
|
|
AUDITOR RESPONSABLE: |
Germán Obando |
Formato Lista de chequeo. Proceso: Evaluar y Administrar los riesgos TI
Convenciones:
CT = Cumple totalmente
CP = Cumple parcialmente
NC = No cumple
Café Internet – área de sistemas | |||
Ref. | F-CHK 01 | ||
Dominio | Planear y organizar | ||
Proceso | Evaluar y administrar los riesgos TI PO9 | ||
Objetivo de control | PO9.1 Alineación de la administración de riesgos de TI y del negocio | ||
CT | CP | NC | |
¿Existe un guía de administración de riesgos que trabaje a la par con los planes de contingencia de la empresa? | |||
Objetivo de control | PO9.2 Establecimiento del contexto del riesgo | ||
¿Se ha propuesto guías metodológicas para la implementación de controles que permitan proyectar y brindar soluciones ante amenazas, riegos y vulnerabilidades? | |||
Objetivo de control | PO9.3 Identificación de eventos | ||
¿Se genera listas periódicas y actualizadas de los riesgos a los que se expone el área de sistemas? | |||
Objetivo de control | PO9.4 IT Evaluación de riesgos | ||
¿Existe la medición de impacto de riesgos inherentes al área de sistemas? | |||
¿Existe la medición de impacto de riesgos residuales al área de sistemas? | |||
Objetivo de control | PO9.5 Respuesta a los riesgos | ||
¿Existe un plan de contingencia en caso de que algún o varios riesgos se hagan efectivos? | |||
¿Existe un plan de contingencia para mitigar los daños y permitir el normal funcionamiento de los procesos empresariales? | |||
Objetivo de control | PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos | ||
¿Existe personal para el seguimiento periódico de los controles de riesgos? |
DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA
Fuentes de conocimiento: AI Adquirir e implementar
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA | REF | |
ENTIDAD AUDITADA | STARNET | PAGINA |
1 | DE | 1 |
PROCESO AUDITADO | Adquirir e implementar software aplicativo | |
RESPONSABLE | Michael Tutistar | |
MATERIAL DE SOPORTE | COBIT 4.1 | |
DOMINIO | Adquirir e implementar (AI) | |
PROCESO | AI1 Identificar soluciones automatizadas |
...