370 likes | 538 Views
A UDITORÍA DE S ISTEMAS DE I NFORMACIÓN. Informe de Auditoría de Sistemas de Información en los OCEX: Experiencias prácticas y su aportación a la función fiscalizadora de los OCEX. Alejandro Salom . Auditoría de Sistemas de Información como apoyo a las fiscalizaciones; Metodologías
E N D
AUDITORÍA DE SISTEMAS DE INFORMACIÓN Informe de Auditoría de Sistemas de Información en los OCEX: Experiencias prácticas y su aportación a la función fiscalizadora de los OCEX. Alejandro Salom. Auditoría de Sistemas de Información como apoyo a las fiscalizaciones; Metodologías de trabajo. Cómo organizar un Departamento de Auditoría Informática como apoyo a los equipos de fiscalización. Ignacio Calleja. Metodología para la autoevaluación de los Sistemas de Información de las Entidades Fiscalizadoras Superiores. Alberto Rubio. Metodología ITSA versión 4.0
Basada en Metodología para la Auto-evaluación de los Sistemas de Información de las EFS Un proyecto de Versión 4.0 Enero 2007
El Grupo de Trabajo de EUROSAI IT • La primera reunión del Grupo de Trabajo de EUROSAI IT tuvo lugar en La Haya del 30 de septiembre al 1 de octubre de 2002. Se decidió una lista de proyectos a ejecutar en 2003. • El primer proyecto fue diseñar una herramienta de evaluación de los Sistemas de Información de las EFS mediante el método CobiT. • En este proyecto participamos Suiza(líder), Eslovenia, Holanda, Noruega, Lituania y España. Metodología ITSA versión 4.0
Contenido • El problema • Por qué una metodología de autoevaluación? (Beneficios para las EFS) • Qué información debe producir ? • Cómo desarrollar la autoevaluación?: • Preparación • Fase 1: explicación y discusión • Fase 2: consolidación de resultados • Fase 3: plan de acciones a tomar • Conclusión: evaluación del método Metodología ITSA versión 4.0
El problema • Existe un problema? • IT son críticas para el “negocio”? • IT son parte de la gestión de las EFS? • Coinciden expectativas y realidades? • Dedicamos la atención que requieren las IT? • IT suponen grandes inversiones y riesgos Metodología ITSA versión 4.0
Objetivos del proyecto • Contribuir al trabajo de las EFS asegurando la calidad y desarrollo de las Tecnologías de la Información y su gestión • Adquirir experiencia con CobiT como herramienta de auditoría de Sistemas de Información • Mejorar el intercambio de experiencias entre auditores y personal de IT Metodología ITSA versión 4.0
Por qué dedicar tiempo a este proyecto? • Formación (de los auditores de la EFS y del personal de IT) • Primera experiencia con la auto-evaluación y CobiT( uso futuro en la auditoría) • Comparación con otras EFS, conocimiento de otras prácticas, identificación de oportunidades (las EFS también pueden ser autocríticas!) Metodología ITSA versión 4.0
Ejemplo de análisis comparativo EFS grande EFS media EFS pequeña Metodología ITSA versión 4.0
Quién debe participar en la auto-evaluación? • Personal de IT de la EFS • Técnicos de auditoría • Otros (gestión de la EFS) • El moderador (no debe considerarse la evaluación como una auditoría) Metodología ITSA versión 4.0
Por qué CobiT? • Control Objetives for Information Technology • Norma internacionalmente aceptada para el control y las buenas prácticas de las IT • En línea con ISO, ITIL, COSO • Asumido por las Normas de auditoría de INTOSAI (Apartados 51b), 86, 144 y 153) y Guía de implementación nº 22 Metodología ITSA versión 4.0
Componentes de CobiT Resumen ejecutivo- Principales conceptos Metodología- estructura de análisis de los procesos Objetivos de control- organizados en 34 niveles Guías de auditoría- revisión de los procesos Guías de gestión- modelos de madurez, indicadores de objetivos y de seguimiento • www.isaca.org Metodología ITSA versión 4.0
Cúal es el proceso? Recepción de la documentación para su estudio (CobiT, auto-evaluación, cuestionarios,étc) Explicación del método. Discusión en grupo de la estructura de la organización. Completar los cuestionarios Consolidación de resultados y discusión Preparación del plan de acciones y evaluación del ejercicio Fase 3 Fase 1 Fase 2 2 semanas antes Metodología ITSA versión 4.0
Fase 1 • Explicación del método • Las dos dimensiones del análisis • Discusión en grupo • Completar cuestionarios Metodología ITSA versión 4.0
Las dos dimensiones del análisis 2 = IT Planificación organización Adquisición Implement. Etc… Proceso de gestión 1 PO1 PO2 AI1 AI2 Etc... Etc… Proceso de gestión 2 Proceso de gestión 3 1 = NEGOCIO Proceso de gestión 4 Proceso de gestión 5 Proceso de gestión 6 Proceso de gestión 7 Metodología ITSA versión 4.0
Primera dimensión del análisis Proceso de gestión 1 Proceso de gestión 2 Proceso de gestión 3 Proceso de gestión 4 1 = NEGOCIO Proceso de gestión 5 Proceso de gestión 6 Proceso de gestión 7 Metodología ITSA versión 4.0
La cadena de valor de la gestión de una EFS • Cuáles son sus objetivos estratégicos? • Cuáles son sus principales funciones? • Cuáles son las principales funciones para alcanzar los objetivos? • En el cuestionario 1 llamamos procesos de gestión a las funciones… Metodología ITSA versión 4.0
Ejemplo de procesos de la gestión • Planificación y organización del trabajo de la EFS • Gestión del riesgo de auditoría • Organización de las fiscalizaciones • Analisis de datos • Evaluación de las IT mediante auditoría • Informes de resultados a los auditados • Comunicación con los auditados, con el Parlamento y otras EFS • Publicación de los informes • Seguimiento de la implantación de las recomendaciones • Gestión del conocimiento • Administración de finanzas y recursos humanos • Contratación y formación de personal • Actividad administrativa • Etc… Metodología ITSA versión 4.0
Nivel de satisfacción del usuario • Importancia ACTUAL de las IT? • Importancia FUTURA de las IT? • Están soportados los procesos por las IT? • Proporcionan las IT los resultados esperados? Metodología ITSA versión 4.0
El cuestionario 1 identifica los procesos de gestión Metodología ITSA versión 4.0
Segunda dimensión del análisis 2 = IT Planning and Organisation Acquisition and implementation Etc… PO1 PO2 AI1 AI2 Etc... Etc… Metodología ITSA versión 4.0
La segunda dimensión está basada en los niveles de madurez definidos en CobiT • CobiT identifica 34 procesos • Cuáles son los procesos más importantes en la EFS? • Cuáles son los niveles del modelo de madurez? Metodología ITSA versión 4.0
0 No existe. No se conocen los riesgos, vulnerabilidades y amenazas de las operaciones de IT o el impacto de la pérdida de los servicios de IT. La continuidad del servicio no se considera con la necesaria atención por los gestores. 5 Optimizado El servicio contínuo está integrado, automatizado, y se autoanaliza teniendo en cuenta su comparación con las mejores prácticas conocidas. Existen planes de continuidad integrados en los planes de gestión. La continuidad del servicio está asegurada por los suministradores. Se realizan tests de resultados incluidos en el proceso de mantenimiento. El coste de la continuidad del servicio se optimiza por medio de la innovación y la integración. El análisis de los datos se utiliza para la identificación de oportunidades de mejora. Modelo de madurez Ejemplo: “DS4 Asegurar la continuidad del servicio” Metodología ITSA versión 4.0
0 No existe. Las técnicas de gestión de proyectos no se utilizan. La organización no considera los impactos asociados a la mala gestión de proyectos ni los fallos de desarrollo. 5 Optimizado Está implementada y probada una metodología que comprende el ciclo completo de los proyectos, y se integra en la cultura de la organización. Existe un programa de seguimiento para identificar e institucionalizar las buenas prácticas. Una oficina integrada de gestión de proyectos es responsable de los mismos desde su inicio hasta su completa instalación, bajo la dirección de las unidades de gestión y proporciona los recursos de IT para completar los proyectos. Ejemplo 2: “PO10 Gestión de proyectos” Metodología ITSA versión 4.0
Cuestionario 2 Metodología ITSA versión 4.0
Cuestionario 2 Importancia de los procesos de IT? Calidad de los procesos de IT? . . . Metodología ITSA versión 4.0
Relación entre usuarios y IT Qué procesos de gestión están afectados (si nivel = 0 or 1)? En qué procesos está el problema (especialmente si = 0 or 1)? Metodología ITSA versión 4.0
Fase 2Consolidación de resultados Asuntos para la discusión • Diferencias de valoración • Discusión de resultados, especialmente los peores… Metodología ITSA versión 4.0
Consolidación de resultadosCuestionario 1 Metodología ITSA versión 4.0
Consolidación de resultadosGráfico 1 Metodología ITSA versión 4.0
Consolidación de resultadosCuestionario 2 Metodología ITSA versión 4.0
Consolidación de resultadosGráfico 2. Procesos IT CobiT Metodología ITSA versión 4.0
Fase 3Conclusión • Preparación del plan de acciones futuras • Evaluación de la metodología propuesta Metodología ITSA versión 4.0
Plan de acciones futuras • Descripción de gaps • Riesgos/ Implicaciones • Recomendación/ Descripción acciones • Responsables • Fecha ejecución actividades • Prioridades1-10 Metodología ITSA versión 4.0
Evaluación de la metodologíaCuestionario General • Cuestionario de evaluación del proyecto • Autoevaluación de IT de las EFS • Grupo de Trabajo de EUROSAI IT • Objetivos: Obtener propuestas concretas para la mejora de la metodología de autoevaluación de las IT de las EFS • Nota: Las 7 preguntas siguientes deberán ser contestadas por un representante del grupo de autoevaluación • NrPregunta1:Describa brevemente el uso de las IT en su EFS. (Procesos en los que intervienen las IT en su EFS) • 2:¿Son las IT una actividad crítica para el “negocio”o gestión de la EFS? Metodología ITSA versión 4.0
Evaluación de la metodologíaCuestionario individual • Cuestionario de evaluación del proyecto • Autoevaluación de IT de las EFS • Grupo de Trabajo de EUROSAI IT • Objetivos: Obtener propuestas concretas para la mejora del proceso de autoevaluación de las IT • de las EFS y su documentación. • Evaluación del proceso por cada participante del grupo de autoevaluación: • Nr Pregunta:1¿Tiene alguna experiencia previa con el proceso de autoevaluación? (Sí/No) • 2¿Tiene alguna experiencia previa con el método CobiT? (Sí/No) • 3En su opinión, ¿han participado las personas adecuadas en el grupo de autovaluación? (Sí/No). Si la respuesta es negativa, ¿quiénes deberían participar? Metodología ITSA versión 4.0
MUCHAS GRACIAS! Metodología ITSA versión 4.0