miércoles, 27 de octubre de 2010

COBIT

COBIT fue creado por la Asociación para la Auditoria y Control de Sistemas de Información (ISACA Information System Audit Control Association)

Se usa COBIT porque es envolvente en los procesos de TI de la empresa. Entre marcos de referencia de Gobierno de TI COBIT se encuentra ahí (es uno de varios), desarrollado por ISACA y el IT Governance Institute (ITGI)

ÁREAS DE COBIT:
  • Alineamiento estratégico
  • Entrega de valor
  • Medida del rendimiento
  • Administración de recursos
  • Gestión del riesgo
Publicado por en No hay comentarios:

miércoles, 6 de octubre de 2010

TÉCNICAS DE EVALUACIÓN

Exámen:

De comportamiento del sistema: comportamiento bajo diferentes ambientes, rendimiento.

  • Exámen de los resultados del sistema:
  • Pruebas de implantación (piloto, paralelo, aproximaciones sucesivas)
  • Pruebas del sistema: arquitectura, funcionamiento general
  • Pruebas a los aplicativos: pruebas de escritorio
  • Pruebas del sistema operativo
  • Pruebas de encendido del sistema
  • Exámenes de las instalaciones de sistemas
Inspección: Supervisar las operaciones
Confirmación: Lo expresado en informes (licenciamiento, oportunidad, protecciones)
Comparación: Entre grupos históricos, por áreas, manual vs automático

Revisión documental
  • Administrativos: Manuales de organización, procesos y procedimientos, perfil personal, etc.
  • Técnicos: Instructivos de software, instructivos de hardware, operación sistema, usuarios, procedimientos de sistema, mantenimiento (físico, lógico), diccionario de datos, metodologías, estándares, normas, etc.
Acta testimonial: entrega-recibo puesto, disciplina, falta activo, entrega sistema, software no licenciado, alteración programas, siniestro.

Guías de evaluación/auditoria: Instructivo para llevar a cabo la auditoria (ref, actividad a ser evaluada, procedimiento de auditoria, herramientas a usar, observación)

Ponderación: Lista de factores a evaluar con peso, realizando la suma ponderada

Simulación: Modelado, gráficas, representación

Evaluación: Gestión, control, integral, con apoyo del computador, sin apoyo.

Diagramas: Obtener información

Matrices de evaluación: Evaluación servicios, dofa.

Programas de verificación: Derrotero de cumplimiento de una serie de situaciones.

Lista de verificación o chequeo: Importantes pero sin abusar de ellas.

Benchmark o de referenciamiento: Permite la comparación competitiva.



EJEMPLO DE DERROTERO DE AUDITORIA (GENÉRICO)

  • Origen de la auditoria
  • Vista preliminar: Definir el alcance de la jornada de la auditoria
  • Establecer objetivos: Marca el alcance de lo que se va a hacer
  • Determinar puntos a evaluar: Definir puntos a evaluar
  • Elaborar planes, presupuestos y programas: Presupuestar los tiempos y controlarlos.
  • Identificar y seleccionar herramientas, métodos, técnicas y procedimientos: Identificar el tipo de auditoria
  • Asignar los recursos de auditoria y sistemas: Contratar o adquirir los recursos necesarios para realizar la auditoria (físico, financiero, tecnológico...)
  • Aplicar auditoria: Instalar la auditoria.
  • Identificar desviaciones y elaborar borrador de informe: Presentación de desviaciones consensuadas en un informe a quien corresponda.
  • Presentar desviaciones a discusión: Presentación oficial desviaciones.
  • Elaborar borrador final de desviaciones
  • Presentar el informe de auditoria
FASES DE LA AUDITORIA INFORMÁTICA

  • Definición del alcance
  • Recursos y tiempo
  • Recopilación de información básica
  • Progama de trabajo
  • Identificación de riesgos potenciales
  • Identificación de controles débiles y fuertes
  • Pruebas y técnicas a utilizar
  • Identificación de controles alternativos
  • Realización de pruebas

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)