Auditar una empresa internacional de servicios informáticos
Enviado por eruizep • 21 de Abril de 2014 • Informes • 1.575 Palabras (7 Páginas) • 611 Visitas
Objetivo:
El objetivo de esta actividad fue, revisar toda la informacion del primer modulo, y plasmarla a manera de resumen basado en las siguientes instrucciones:
Instrucciones:
Te han contratado para auditar una empresa internacional de servicios informáticos y el director te pide que expongas bajo qué estándares realizarás la auditoría (tomando como base los especificados en el punto 6.1 de la explicación del tema) y que además le expliques a la alta gerencia la importancia de establecer SLA al inicio de la auditoría y su relevancia dentro de la organización con los proveedores de la empresa; a su vez te solicitan que especifiques lo siguiente:
1. Con base en la situación prepara una presentación en PowerPoint donde expongas la importancia de los siguientes estándares (incluye todas las peticiones del director para la alta gerencia):
a. S10. Gobierno de TI.
b. S11. Uso de la evaluación de riesgos en la planeación de la auditoría.
c. S12. Importancia de la auditoría.
d. S13. Utilizando el trabajo de otros expertos.
e. S14. Auditoría de evidencias.
2. Al ver la presentación el director general autoriza la auditoría y te pide adjuntar a esta presentación todos tus hallazgos.
3. En esta segunda etapa del proyecto te encuentras con las siguientes evidencias:
a. Un trabajador ejemplar y con un excelente historial con la empresa te menciona que su jefe directo utiliza recursos de manera inadecuada.
b. Encuentras un documento en los archivos de la empresa donde basas un hallazgo en tu auditoría, este archivo está firmado y sellado con todos los departamentos de la organización.
c. Recuperas archivos de una computadora personal de un empleado que tiene información sensible de la empresa.
d. Recibes un correo de un director de un departamento que no está siendo auditado de la empresa donde te menciona supuestos hechos que podrían ser significantes en tu auditoría.
4. Proyecta el ciclo de vida de cada una de estas evidencias.
5. Identifica cada tipo de evidencia y analízalas en base a las siguientes características:
a. Independencia del origen dela evidencia.
b. Evaluaciones de la persona que provee la información/evidencia.
c. Objetividad de la evidencia.
d. Tiempo de vida de la evidencia.
6. Explica qué tipos de pruebas aplicarías en la organización.
7. Anexa a tu presentación, el ciclo de vida de cada una de estas evidencias.
8. Identifica cada tipo de evidencia y analízalas con base en las siguientes características:
a. Independencia del origen dela evidencia.
b. Evaluaciones de la persona que provee la información/evidencia.
c. Objetividad de la evidencia.
d. Tiempo de vida de la evidencia.
9. Explica qué tipos de pruebas aplicarías en la organización.
Procedimiento
Para realizar esta actividad, revise las explicaciones de los modulos como se pide en las instrucciones (online), y se contesto como se indica en los siguientes resultados.
Resultados
SLA
Es de suma importancia que existan estos “acuerdos de niveles de servicio”, no solo pactados con los proveedores de la empresa, sino por parte de la empresa con sus clientes internos. De esto dependera en gran medida la ponderacion de la reaccion por parte de algun proveedor habiendo sido estipulados de antemano los tiempos pactados, asi como las sanciones o incentivos que apliquen dependiendo el caso.
Un ejemplo de esto es el SLA pactado con el ISP, en donde se ha de estipular cual debe ser el tiempo en que el ISP reestablesca un enlace de telecomunicaciones y a que multas se han de hacer acreedores en caso de incumplimiento.
Importancia de estandares
S10. Gobierno de TI: Primero se ha de verificar que las funciones de SI estén alineadas con la Misión, Visión, Valores, Objetivos y Estrategias de la empresa. Al mismo tiempo se ha de verificar que los recursos de SI sean usados de la mejor manera (Licencias de “Software”, Equipo asignado tanto informático como de telecomunicaciones).
S11. Uso de la evaluación de riesgos en la planeación de la auditoría: Aquí se habrá de elegir el método para calcular el riesgo de forma que este lo más apegado a la realidad posible, por ejemplo: para evaluar los riesgos de no contar con un enlace que resulte adecuado para la interconexión con otras sucursales.
S12. Importancia de la auditoría: En este punto se ha de verificar la falta de controles para reportarlos a la gerencia.
S13. Utilizando el trabajo de otros expertos: Se ha de utilizar o subcontratar a otros expertos a razón de verificar que por ejemplo: Cuando se necesite una segunda opinión acerca de la operación de un determinado proceso o funcionamiento, por ejemplo de equipos como lo son servidores.
S14. Auditoría de evidencias: Se han de obtener evidencias suficientes y claras para apoyar la auditoria.
Evidencias y su ciclo de vida:
a. Un trabajador ejemplar y con un excelente historial con la empresa te menciona que su jefe directo utiliza recursos de manera inadecuada:
1. Identificar que recursos son los que se usan de forma inadecuada
2. Tratar de obtener un registro de esta evidencia
...