Aud Uni 02
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Aud Uni 02 as PDF for free.
More details
- Words: 1,739
- Pages: 40
SESION 2: Auditoría de la Gestión de las TI
AGENDA Necesidad de una auditoría a la Función TI ■ Auditando la organización del Área de Sistemas ■ Auditando la gestión de los recursos TI ■
Necesidad de una Auditoría a la Función TI Incremento en los costos ■ Ineficiencia Operativa ■ Desbalance entre el logro de objetivos y el nivel tecnológico alcanzado ■ Reclamos de clientes y proveedores por problemas de información ■ Interrupciones del servicio ■
Auditoria de Gestión TI Organización de la función Informática ■ Recursos TI: ■
– Administración de los recursos de cómputo – Ambiente de trabajo – Prestación del Servicio – Administración y operación del Software
Auditando la organización del Area de Sistemas La organización del Area de Sistemas es efectiva cuando sus objetivos son consistentes con los de la organización a la que sirve ■ Debe evaluarse el impacto financiero de las actividades del Area de Sistemas, desde el planeamiento hasta la ejecución del presupuesto asignado ■
Auditando la organización del Área de Sistemas Estructuras orgánicas básicas: ■ Centralizada: cuando la función de SI atiende de modo centralizado las diferentes necesidades de los usuarios en una compleja organización empresarial ■ Departamental: cuando se atiende de modo homogéneo las necesidades de los usuarios en una organización simple
Auditando la organización del Área de Sistemas Estructura centralizada: ■ Tradicional ■ El jefe del Area puede tener la categoría de un Vice-Presidente o Gerente ■ En las grandes organizaciones puede manejar miles de personas y responder por un presupuesto de miles de millones
Estructura Centralizada Sistemas de Información
Desarrollo de Sistemas
Mantenimiento de Sistemas
Seguridad de Datos
Producción
Soporte Técnico
Administrativos y
Operaciones
Financieros
Librerías
Administración de Datos
Comerciales
Control de producción
Telecomunicaci ones
Administración de la Red
Programación de Sistemas
Manufactura o de Negocio Logísticos
Mesa de Ayuda
Auditando la organización del Área de Sistemas Estructura centralizada: ■ En las grandes organizaciones la función de desarrollo de sistemas puede descentralizarse de manera que esté mas cercana a ambiente de trabajo del sistema al que dará soporte ■ Se requiere una alta coordinación entre los equipos de trabajo
Auditando la organización del Área de Sistemas Estructura Departamental: Tiene las siguientes características: ■ El computador esta localizado físicamente en el área usuaria ■ El equipo es operado por personal de sistemas y reporta al Area usuaria ■ El equipo sólo se dedica a ejecutar las (1 ó n) aplicaciones del área usuaria
Auditando la organización del Área de Sistemas Estructura Departamental: ■ Generalmente no se requiere de condiciones especiales como falso piso, aire acondicionado,... ■ El equipo puede consistir en una red LAN o muchos computadores enlazados a un computador central en forma remota (recepción/trasmisión de archivos)
Auditando la organización del Área de Sistemas Estructura Departamental: ■ Este Departamento generalmente es pequeño (1 a 10 personas), consta de uno o dos operadores y programador de aplicaciones ■ En estos casos encontramos que estas personas podrían realizar muchas funciones a la vez
Auditando la organización del Área de Sistemas Estructura Departamental: ■ El personal de sistemas reporta al jefe del área usuaria porque el presupuesto del departamento incluye el costo de los recursos. ■ La responsabilidad del Departamento alcanza las copias de respaldo, plan de contingencias, pruebas periódicas, suministros, formatos, etc.
Auditando la Gestión de los Recursos TI Consideraciones Financieras B) Controles C) Facilidades D) Performance E) Planeamiento de recuperación de desastre F) Operaciones G) Administración de cambios y problemas 4/09/06 . Hasta este punto se llegó A)
Auditando la Gestión de los Recursos TI A) Consideraciones Financieras: Entre los puntos de atención están: ■ Planeamiento de Actividades y dimensionamiento de recursos ■ Adquisición de Hardware y Software ■ Dimensionar el costo del servicio informático
Auditando la Gestión de los Recursos TI Planeamiento: Relacionado con el Plan estratégico de sistemas, incluye a: ■Facilidades ■Capacidad de los equipos y de la red ■Cambios y actualización de software ■Procedimientos de recuperación ■Cantidad de personal técnico requerido
Auditando la Gestión de los Recursos TI Planeamiento: Los documentos a revisar son: ■Presupuestos formulados y aprobados ■Ejecución presupuestal ■Sustento de desviaciones, modificaciones o ampliaciones ■Acuerdos de Directorio o Resoluciones de Gerencia
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: Generalmente se refiere a: ■Mantenimiento de equipos ■Contratos de programación, y/o desarrollo ■Adquisición, instalación e implantación de software ■Planeamiento de capacidad ■Consultoría Informática
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: Se deben revisar y analizar: ■ Los Estudios de Necesidades de adquisición ■Las propuestas y las bases técnicas de los requerimientos ■La forma establecida para la adquisición ■El financiamiento de la adquisición ■Los contratos y su negociación
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: En la adquisición se debe evaluar: ■La forma sugerida: Alquiler, Leasing y Compra ■El procedimiento seguido: Compra directa, Invitación, Concurso Público, Licitación ■Conformación del Directorio de Proveedores ■Licencias de uso
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: En los contratos se debe evaluar: ■Objeto del Contrato ■Requerimientos técnicos ■Cronogramas, plazos de servicio y períodos ■Personal acreditado ■Especificaciones técnicas del servicio ■Compromisos establecidos entre las partes
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: Entre las técnicas de evaluación utilizadas: ■El costo efectivo de adquisición: se determina en cuanto se reduce el costo de procesamiento por unidad o transacción ■En cuanto se reduce el costo de mantenimiento, evaluar precio/perfomance ■Descontar el flujo de caja o estimar el retorno
Auditando la Gestión de los Recursos TI Dimensionar el costo del servicio: En las organizaciones con presupuestos elevados de operación de los sistemas informáticos debe evaluarse el costo del servicio aún sí no existiera información creada dentro de la estructura de centro de costos de la empresa para determinar la eficiencia del sistema
Auditando la Gestión de los Recursos TI B) Controles: ■En la organización: rango de personal subordinado al responsable, segregación de tareas, entrenamiento del personal y reclutamiento del personal ■Aspectos financieros: Planeamiento insuficiente, políticas de adquisición inadecuadas, Contratos con términos pobres, Restricciones en la cobertura de seguros
Auditando la Gestión de los Recursos TI C) Facilidades: Mantenimiento – Elaboración automática de información de fallas y problemas del sistema – Información estadística disponible – Instalaciones eléctricas y líneas de conducción de datos – Disponibilidad de UPS, Grupo Electrógeno, equipos auxiliares
Auditando la Gestión de los Recursos TI C) Facilidades: Seguridad Física ■Mecanismo de prevención de accesos innecesarios y no autorizados al ambiente de máquinas (Computador central, Servidores) ■Mecanismos de prevención de acceso a las áreas de operación de los equipos de cómputo ■Mecanismos de detección de accesos no autorizados
Auditando la Gestión de los Recursos TI C) Facilidades : Seguridad “Ubicación de equipos” ■Lugares visibles y públicos ■Lugar aislado de ruidos y de grandes
movimientos de personas ■Lugar provisto de servicio telefónico ■Aislado de los peligros naturales ■Condiciones de protección en lugares de riesgo natural
Auditando la Gestión de los Recursos TI C)Facilidades: Seguridad “Uso de detectores”: ■Humo y aire caliente ■Agua y humedad ■Partículas de combustión ■Control de temperatura ■Sistemas de intrusión
Ubicación, activación y manipulación Criterios de selección
Auditando la Gestión de los Recursos TI C) Facilidades: Seguridad “Controles físicos de acceso”: ■Llaves ■Mecanismos de acción remota ■Tarjetas magnéticas ■Sistemas biométricos ■Circuitos cerrados ■Sistemas de intrusión
Auditando la Gestión de los Recursos TI C) Facilidades: Consideraciones mecánicas y de ingeniería ■Ambiente de trabajo: requerimientos de espacio, aire acondicionado, falso piso, eléctricos, disturbios electromagnéticos, niveles de ruido. Cableado, distribución de aire, mecanismos de enfriamiento. ■Requerimientos especiales: limpieza de partes, distancia a cables eléctricos ■Protector de interrupción eléctrica: UPS, EPS
Auditando la Gestión de los Recursos TI D)Performance ■Niveles de servicio:
Planeamiento: definición, uso de contratos, costo del servicio, plan de mantenimiento preventivo, revisión de los niveles de servicio Control del servicio: programación del uso de los recursos, medición de uso, evaluación del servicio
Auditando la Gestión de los Recursos TI D) Performance ■Control de la performance:
– Medida de la performance de las aplicaciones y del software utilizado – Análisis de las desviaciones y problemas – Criterio de selección de acciones correctivas – Informe al Jefe de Sistemas – Establecimiento de la performance del sistema
Auditando la Gestión de los Recursos TI D) Performance ■
Planeamiento de capacidad: –
Traslación de los servicios de acuerdo a los requerimientos, definición de capacidad de recursos, evaluar el costo de superar degradaciones
Auditando la Gestión de los Recursos TI D) Performance ■Disponibilidad de los sistemas: Se establece entre el tiempo de respuesta del sistema en línea y el tiempo en que la aplicación está disponible El control se realiza: – – – –
Identificando, reportando y registrando problemas Determinando impacto y extensión del problema Seleccionando procedimiento by pass y recuperación Solucionando y previniendo recurrencia
Auditando la Gestión de los Recursos TI E) Planeamiento de Recuperación de desastres ■Los criterios a considerar son: sistemas críticos del negocio, costo de recuperación y cubrimiento de acciones contingentes ■Utilización de copias backup, formatos ■Utilización de instalación compatible ■Procedimientos de control al restore ■Restricciones del servicio
Auditando la Gestión de los Recursos TI F) Operaciones ■Operaciones físicas y despacho:
– Programación de las operaciones manuales y automatizadas – Supervisión permanente del servicio – Operaciones manuales: recepción, distribución, monitoreo, emergencias – Operaciones remotas: seguridad en transmisión, confidencialidad
Auditando la Gestión de los Recursos TI F) Operaciones ■Control I/O: Recepción de datos, control de re-ejecución de transacciones, control de interfases y salidas (medios a utilizar) ■Distribución de reportes ■Administración de librerías y medios de almacenamiento ■Backups y procedimientos de reinicio
Auditando la Gestión de los Recursos TI G) Administración de Cambios y problemas ■Caídas de los sistemas: tiempo de respuesta en línea, tiempo de ejecución de un proceso batch, cambios en el software, procesos con culminación anormal, cantidad de procesos en re-ejecución, degradación respuesta a usuarios ■Utilización de reportes de incidencias: Tiempos de re-ejecuciones, fallas de sistemas, estado de solución de problemas
Auditando la Gestión de los Recursos TI G) Administración de Cambios y problemas ■Procedimiento de escalamiento de problemas: – – – –
Primer nivel: detectados por los usuarios Segundo nivel: resuelto por un operador Tercer nivel: resueltos por personal especializado Cuarto nivel: requieren asistencia de expertos
Auditando la Gestión de los Recursos TI G) Administración de Cambios y problemas ■Pase a producción de los programas
– Cambio del control de procesos: requerimientos, horarios, procedimientos de monitoreo, prueba e instalación, restricciones de acceso – Acciones de emergencia: rutinas criticas, procedimientos a seguir, cambios de funciones de librerías
AGENDA Necesidad de una auditoría a la Función TI ■ Auditando la organización del Área de Sistemas ■ Auditando la gestión de los recursos TI ■
Necesidad de una Auditoría a la Función TI Incremento en los costos ■ Ineficiencia Operativa ■ Desbalance entre el logro de objetivos y el nivel tecnológico alcanzado ■ Reclamos de clientes y proveedores por problemas de información ■ Interrupciones del servicio ■
Auditoria de Gestión TI Organización de la función Informática ■ Recursos TI: ■
– Administración de los recursos de cómputo – Ambiente de trabajo – Prestación del Servicio – Administración y operación del Software
Auditando la organización del Area de Sistemas La organización del Area de Sistemas es efectiva cuando sus objetivos son consistentes con los de la organización a la que sirve ■ Debe evaluarse el impacto financiero de las actividades del Area de Sistemas, desde el planeamiento hasta la ejecución del presupuesto asignado ■
Auditando la organización del Área de Sistemas Estructuras orgánicas básicas: ■ Centralizada: cuando la función de SI atiende de modo centralizado las diferentes necesidades de los usuarios en una compleja organización empresarial ■ Departamental: cuando se atiende de modo homogéneo las necesidades de los usuarios en una organización simple
Auditando la organización del Área de Sistemas Estructura centralizada: ■ Tradicional ■ El jefe del Area puede tener la categoría de un Vice-Presidente o Gerente ■ En las grandes organizaciones puede manejar miles de personas y responder por un presupuesto de miles de millones
Estructura Centralizada Sistemas de Información
Desarrollo de Sistemas
Mantenimiento de Sistemas
Seguridad de Datos
Producción
Soporte Técnico
Administrativos y
Operaciones
Financieros
Librerías
Administración de Datos
Comerciales
Control de producción
Telecomunicaci ones
Administración de la Red
Programación de Sistemas
Manufactura o de Negocio Logísticos
Mesa de Ayuda
Auditando la organización del Área de Sistemas Estructura centralizada: ■ En las grandes organizaciones la función de desarrollo de sistemas puede descentralizarse de manera que esté mas cercana a ambiente de trabajo del sistema al que dará soporte ■ Se requiere una alta coordinación entre los equipos de trabajo
Auditando la organización del Área de Sistemas Estructura Departamental: Tiene las siguientes características: ■ El computador esta localizado físicamente en el área usuaria ■ El equipo es operado por personal de sistemas y reporta al Area usuaria ■ El equipo sólo se dedica a ejecutar las (1 ó n) aplicaciones del área usuaria
Auditando la organización del Área de Sistemas Estructura Departamental: ■ Generalmente no se requiere de condiciones especiales como falso piso, aire acondicionado,... ■ El equipo puede consistir en una red LAN o muchos computadores enlazados a un computador central en forma remota (recepción/trasmisión de archivos)
Auditando la organización del Área de Sistemas Estructura Departamental: ■ Este Departamento generalmente es pequeño (1 a 10 personas), consta de uno o dos operadores y programador de aplicaciones ■ En estos casos encontramos que estas personas podrían realizar muchas funciones a la vez
Auditando la organización del Área de Sistemas Estructura Departamental: ■ El personal de sistemas reporta al jefe del área usuaria porque el presupuesto del departamento incluye el costo de los recursos. ■ La responsabilidad del Departamento alcanza las copias de respaldo, plan de contingencias, pruebas periódicas, suministros, formatos, etc.
Auditando la Gestión de los Recursos TI Consideraciones Financieras B) Controles C) Facilidades D) Performance E) Planeamiento de recuperación de desastre F) Operaciones G) Administración de cambios y problemas 4/09/06 . Hasta este punto se llegó A)
Auditando la Gestión de los Recursos TI A) Consideraciones Financieras: Entre los puntos de atención están: ■ Planeamiento de Actividades y dimensionamiento de recursos ■ Adquisición de Hardware y Software ■ Dimensionar el costo del servicio informático
Auditando la Gestión de los Recursos TI Planeamiento: Relacionado con el Plan estratégico de sistemas, incluye a: ■Facilidades ■Capacidad de los equipos y de la red ■Cambios y actualización de software ■Procedimientos de recuperación ■Cantidad de personal técnico requerido
Auditando la Gestión de los Recursos TI Planeamiento: Los documentos a revisar son: ■Presupuestos formulados y aprobados ■Ejecución presupuestal ■Sustento de desviaciones, modificaciones o ampliaciones ■Acuerdos de Directorio o Resoluciones de Gerencia
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: Generalmente se refiere a: ■Mantenimiento de equipos ■Contratos de programación, y/o desarrollo ■Adquisición, instalación e implantación de software ■Planeamiento de capacidad ■Consultoría Informática
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: Se deben revisar y analizar: ■ Los Estudios de Necesidades de adquisición ■Las propuestas y las bases técnicas de los requerimientos ■La forma establecida para la adquisición ■El financiamiento de la adquisición ■Los contratos y su negociación
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: En la adquisición se debe evaluar: ■La forma sugerida: Alquiler, Leasing y Compra ■El procedimiento seguido: Compra directa, Invitación, Concurso Público, Licitación ■Conformación del Directorio de Proveedores ■Licencias de uso
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: En los contratos se debe evaluar: ■Objeto del Contrato ■Requerimientos técnicos ■Cronogramas, plazos de servicio y períodos ■Personal acreditado ■Especificaciones técnicas del servicio ■Compromisos establecidos entre las partes
Auditando la Gestión de los Recursos TI Adquisición de Hardware y Software: Entre las técnicas de evaluación utilizadas: ■El costo efectivo de adquisición: se determina en cuanto se reduce el costo de procesamiento por unidad o transacción ■En cuanto se reduce el costo de mantenimiento, evaluar precio/perfomance ■Descontar el flujo de caja o estimar el retorno
Auditando la Gestión de los Recursos TI Dimensionar el costo del servicio: En las organizaciones con presupuestos elevados de operación de los sistemas informáticos debe evaluarse el costo del servicio aún sí no existiera información creada dentro de la estructura de centro de costos de la empresa para determinar la eficiencia del sistema
Auditando la Gestión de los Recursos TI B) Controles: ■En la organización: rango de personal subordinado al responsable, segregación de tareas, entrenamiento del personal y reclutamiento del personal ■Aspectos financieros: Planeamiento insuficiente, políticas de adquisición inadecuadas, Contratos con términos pobres, Restricciones en la cobertura de seguros
Auditando la Gestión de los Recursos TI C) Facilidades: Mantenimiento – Elaboración automática de información de fallas y problemas del sistema – Información estadística disponible – Instalaciones eléctricas y líneas de conducción de datos – Disponibilidad de UPS, Grupo Electrógeno, equipos auxiliares
Auditando la Gestión de los Recursos TI C) Facilidades: Seguridad Física ■Mecanismo de prevención de accesos innecesarios y no autorizados al ambiente de máquinas (Computador central, Servidores) ■Mecanismos de prevención de acceso a las áreas de operación de los equipos de cómputo ■Mecanismos de detección de accesos no autorizados
Auditando la Gestión de los Recursos TI C) Facilidades : Seguridad “Ubicación de equipos” ■Lugares visibles y públicos ■Lugar aislado de ruidos y de grandes
movimientos de personas ■Lugar provisto de servicio telefónico ■Aislado de los peligros naturales ■Condiciones de protección en lugares de riesgo natural
Auditando la Gestión de los Recursos TI C)Facilidades: Seguridad “Uso de detectores”: ■Humo y aire caliente ■Agua y humedad ■Partículas de combustión ■Control de temperatura ■Sistemas de intrusión
Ubicación, activación y manipulación Criterios de selección
Auditando la Gestión de los Recursos TI C) Facilidades: Seguridad “Controles físicos de acceso”: ■Llaves ■Mecanismos de acción remota ■Tarjetas magnéticas ■Sistemas biométricos ■Circuitos cerrados ■Sistemas de intrusión
Auditando la Gestión de los Recursos TI C) Facilidades: Consideraciones mecánicas y de ingeniería ■Ambiente de trabajo: requerimientos de espacio, aire acondicionado, falso piso, eléctricos, disturbios electromagnéticos, niveles de ruido. Cableado, distribución de aire, mecanismos de enfriamiento. ■Requerimientos especiales: limpieza de partes, distancia a cables eléctricos ■Protector de interrupción eléctrica: UPS, EPS
Auditando la Gestión de los Recursos TI D)Performance ■Niveles de servicio:
Planeamiento: definición, uso de contratos, costo del servicio, plan de mantenimiento preventivo, revisión de los niveles de servicio Control del servicio: programación del uso de los recursos, medición de uso, evaluación del servicio
Auditando la Gestión de los Recursos TI D) Performance ■Control de la performance:
– Medida de la performance de las aplicaciones y del software utilizado – Análisis de las desviaciones y problemas – Criterio de selección de acciones correctivas – Informe al Jefe de Sistemas – Establecimiento de la performance del sistema
Auditando la Gestión de los Recursos TI D) Performance ■
Planeamiento de capacidad: –
Traslación de los servicios de acuerdo a los requerimientos, definición de capacidad de recursos, evaluar el costo de superar degradaciones
Auditando la Gestión de los Recursos TI D) Performance ■Disponibilidad de los sistemas: Se establece entre el tiempo de respuesta del sistema en línea y el tiempo en que la aplicación está disponible El control se realiza: – – – –
Identificando, reportando y registrando problemas Determinando impacto y extensión del problema Seleccionando procedimiento by pass y recuperación Solucionando y previniendo recurrencia
Auditando la Gestión de los Recursos TI E) Planeamiento de Recuperación de desastres ■Los criterios a considerar son: sistemas críticos del negocio, costo de recuperación y cubrimiento de acciones contingentes ■Utilización de copias backup, formatos ■Utilización de instalación compatible ■Procedimientos de control al restore ■Restricciones del servicio
Auditando la Gestión de los Recursos TI F) Operaciones ■Operaciones físicas y despacho:
– Programación de las operaciones manuales y automatizadas – Supervisión permanente del servicio – Operaciones manuales: recepción, distribución, monitoreo, emergencias – Operaciones remotas: seguridad en transmisión, confidencialidad
Auditando la Gestión de los Recursos TI F) Operaciones ■Control I/O: Recepción de datos, control de re-ejecución de transacciones, control de interfases y salidas (medios a utilizar) ■Distribución de reportes ■Administración de librerías y medios de almacenamiento ■Backups y procedimientos de reinicio
Auditando la Gestión de los Recursos TI G) Administración de Cambios y problemas ■Caídas de los sistemas: tiempo de respuesta en línea, tiempo de ejecución de un proceso batch, cambios en el software, procesos con culminación anormal, cantidad de procesos en re-ejecución, degradación respuesta a usuarios ■Utilización de reportes de incidencias: Tiempos de re-ejecuciones, fallas de sistemas, estado de solución de problemas
Auditando la Gestión de los Recursos TI G) Administración de Cambios y problemas ■Procedimiento de escalamiento de problemas: – – – –
Primer nivel: detectados por los usuarios Segundo nivel: resuelto por un operador Tercer nivel: resueltos por personal especializado Cuarto nivel: requieren asistencia de expertos
Auditando la Gestión de los Recursos TI G) Administración de Cambios y problemas ■Pase a producción de los programas
– Cambio del control de procesos: requerimientos, horarios, procedimientos de monitoreo, prueba e instalación, restricciones de acceso – Acciones de emergencia: rutinas criticas, procedimientos a seguir, cambios de funciones de librerías
Related Documents
Aud Uni 02
October 2019 4
Aud Uni 09
October 2019 4
Aud Uni 03
October 2019 8
Aud Uni 07
October 2019 3
Aud Uni 08
October 2019 7