Caso Real Etapa Planear y Organizar Del Proceso Auditoria Informatica

Proceso de Auditoria Interna

Materia:

“Auditoria de la Informática”

Nombre del trabajo:

“Etapa Planear y Organizar del Proceso de Auditoria de la empresa Ingeniería de Computo y Aplicaciones, S.A. de C.V.”

“Mesa de Servicio de Gestión de Garantía para los Equipos de

Computo”

Auditoria de la Informática Página 1


ÍNDICE

Carátula……….…………………………………………………………………………...…1

Índice………….………………………………………………………………………..…….2

Introducción………………………………………………………………………...……....3

Objetivo General…………………………………………………………………...……....4

Justificación……………………...………………………………………………….…..….5

Marco Teórico…………………..…………………………………………………………...5

Desarrollo del proceso de auditoría..……...…………………………………………..13

Imágenes del proceso de auditoría……………………..…..…………………………18

Conclusión……………………………………………………..……………………………24

Bibliografía……………………………………………………..……………………………25

Introducción



En el presente trabajo se desarrolla el inicio del Proceso de Auditoría realizada a la empresa Ingeniería de Computo y Aplicaciones, S.A. de C.V.; específicamente a la Dirección de Operaciones; en donde su función principal es la de ofrecer mantenimiento preventivo y correctivo a equipos de computo, así como el de proporcionar la seguridad en voz y datos.

El proceso de TI revisado; está enfocado en la “Mesa de Servicio de Gestión de Garantía para los Equipos de Computo”; usando en el marco teórico de COBIT 4.1; el cual se basa en métricas y modelos de madurez para emitir conclusiones y recomendaciones utiles para mejorar el desempeño del negocio y sus procesos; en el primer dominio “Planear y Organizar”, PO1 Definir un Plan de Auditoria.

Por lo que es importante mencionar que el soportar un proceso de auditoría en este marco permite a la organización realizar una planeación estratégica de los procesos de TI, la cual es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negoció, en donde es indispensable que los directivos de la organización asuman su compromiso como responsables de asegurar que el valor optimo de las funciones de citada organización se definen desde los proyectos y portafolios de servicios; así como el que todo el personal de la organización conozca el sistema, para el cumplimiento de sus objetivos.

En la inteligencia de que citado proceso utiliza una estrategia basada en los procesos de la norma ISO 20000-1:2011; en donde su objetivo nos indica que es el de identificar los principios y la terminología del enfoque para ayudar a preparar un proveedor de servicios para una auditoria de certificación; situación que aplica en los servicios que ofrece la empresa Ingenieria de Computo y Aplicaciones, S.A. de C.V.

Asimismo el desarrollo del proceso de citada auditoria cuenta con una agenda de todas las actividades y planes de acción que se llevaran a cabo en dicho proceso; con la finalizad de realizar un análisis de hallazgos; así como el establecimiento de un plan de auditoría, donde nos indica los siguientes puntos:

Alcance de la auditoria

Objetivo

Impacto

Recursos

Requerimientos

Cronograma General de actividades



Roles y responsabilidades en general

Riesgos

Criterios de aceptación

Reporte de auditoria

Nomenclatura que deberá establecerse en el resultado de la auditoria.

De la misma forma se muestra una matriz de los resultados del proceso de auditoría, así como el modelo utilizado para la evaluación del proceso y sus entregables.

OBJETIVO GENERAL

Identificar los principios y la terminología del enfoque, para ayudar a preparar un proveedor de servicios para una auditoría de certificación.

ESPECIFICAMENTE:

Identificar los objetivos y el contenido principal de la norma ISO/IEC 20000 de los

procesos TI para la gestión de servicios.

Identificar los principales procesos de la ISO / IEC 20000, y describir las principales

actividades y requerimientos de cada proceso.

Identificar los requisitos del sistema de gestión de servicios en general.

Describir los principios fundamentales de las mejores prácticas de la norma ISO /

IEC 20000.

Objetivo Especifico:

El objetivo del proceso de auditoría es el de verificar que en el proceso de TI “Mesa de Servicio de Gestión de Garantía para los Equipos de Computo”; este bajo la conformidad de la implementación de la estrategia Norma ISO/IEC 20000-1-2011, así como el de revisar que el SGS este efectivamente implementado y sostenido.

Justificación



El presente trabajo tiene como propósito el mostrar al lector; cómo el llevar a cabo un proceso de auditoría interna basado en el Marco COBIT 4., bajo la norma ISO/IEC 200000; se obtienen los siguientes beneficios en la organización:

Mejora de la calidad y costo del servicio

Mejora de la coherencia y la interoperabilidad

Ventaja competitiva obteniendo la certificación.

Mejora de la reputación / relación

Lo que hace a la organización; fortalecer sus procesos con el fin de hacerse más competitiva e innovadora; para enfrentar el mundo de la competencia y lograr mayores recursos.

Marco Teórico:

Definiciones y descripción de terminología:

¿QUE ES LA ADMINISTRACIÓN DEL SERVICIO?

ISO/IEC 20000 define la Administración del Servicio como: “La Administración de los Servicios para satisfacer las necesidades del Negocio” El equilibrio entre la oferta y la demanda Una administración eficaz y eficiente de todos los servicios de TI que ofrecen altos

niveles de servicio y lograr la satisfacción del cliente Un enfoque metódico y proactiva para la prestación de servicios El análisis, planificación, diseño, e implementación de la prestación de servicios

ISO/IEC 20000 e ITIL



Se utiliza como un punto de referencia durante una evaluación de capacidad para establecer:

– El nivel de madurez de los procesos

– Definir objetivos sobre la mejora de procesos

– Medir el progreso



Características de los Niveles de Madurez

Beneficios de los objetivos de la Certificación

Resultados:



Ventaja competitiva teniendo la certificación

Mejora la reputación / relación con el negocio y los clientes

Demostrable:

Evidencia de una evaluación imparcial, independiente y externa

Control y cumplimiento de la gestión empresarial y los requisitos legales

Pruebas de Alta Calidad sobre la entrega de servicios

Implementación:

Objetivos comunes y unificación de esfuerzos

Enfoque decremental

Alcance: Descripción ISO/IEC 20000



¿Cuál es el propósito de las partes fundamentales de la norma ISO/IEC?

ISO/IEC 20000-1:

Requisitos para los proveedores de servicios que deseen ofrecer servicios gestionados con los niveles de calidad aceptables

Esta es la especificación formal para la norma

ISO/IEC 20000-2:

Lineamientos adicionales para los auditores y proveedores de servicios

Esta describe las mejores prácticas en detalle, y proporciona orientación y recomendaciones para los procesos de gestión de servicios dentro del ámbito de aplicación de la norma formal.

¿Dónde la norma ISO/IEC 20000 no es adecuada?

En la evaluación del producto sobre las herramientas, etc

La alineación de TI con el negocio

• Gestión de las Relaciones de Negocio• Gestión de Niveles de Servicio• Presupuesto y Contabilidad• Servicio de informes• Gestión de Proveedores

Entrega de Servicios de TI

• Diseño, desarrollo y transición de los servicios nuevos o modificados

• Procesos de prestación de servicios:

Disponibilidad, Capacidad, Continuidad del Servicio y Gestión de Seguridad

Control de Servicios de TI

• Cambio, Configuración y Gestión de la Entrega

Soporte de Servicios de TI

• Gestión de Incidentes y Problemas

Gestión y Mejora• Planificación y Gestión de Servicios de Implementación• Administrar el Sistema de Gestión de Servicio

Capability Maturity Model Integration (CMMI)



PropietarioSoftware Engineering Institute (SEI) de la Universidad Carnegie Mellon

Ámbito de aplicación / Audiencia

Software y el sistema de desarrollo de organizaciones / Administradores, clientes

Objetivo Medición de la madurez organizacional

Medios de Publicación / Fuente

Impresión de archivos (Word, PDF) / gratis desde www.sei.cmu.edu/cmmi

Diverso:No existe un estándar ITSM, pero los niveles de madurez es un concepto de uso frecuente

COBIT

CobiT – Control Objectives for Information and Related Technology

PropietarioISACA/ITGI (Information Systems Audit and Control Association / IT Governance Institute)

Ámbito de aplicación / Audiencia

Proveedores de Servicios de TI / Administradores, Clientes y Auditores de TI

Objetivo Gobierno de TI – «Control de IT»

Medios de Publicación / Fuente

Documentos básicos y gratuitos desde la página web ISACA

www.isaca.org/cobit.htm – Requiere registro

Procesos de la Administración de Servicios ISO/IEC 20000



ISO/IEC 20000: Planificar, Hacer, Verificar, Actuar



Visión General ISO/IEC 20000 (¿Qué es un Proceso?)



Visión General ISO/IEC 20000 (Integración de los Procesos)

El proveedor de servicios tiene que identificar y gestionar numerosas actividades relacionadas de los procesos.

ISO/IEC 20000 promueve la adopción de un enfoque de procesos integrados para cumplir efectivamente con los servicios administrados y cumplir con los requisitos de negocio y requisitos de los clientes.



Desarrollo:

El desarrollo del proceso de auditoría interna aplicado a la empresa “Ingenieria de Computo y Aplicaciones, .S.A. de C.V., Dirección de Operaciones; “Mesa de Servicio de Gestión de Garantía para los Equipos de Computo”; se conforma de las siguientes características:

Alcance:

Se audita el servicio de gestión de garantía para los equipos definidos en el alcance de la póliza.

Objetivo:

Verificar:

La conformidad con la norma ISO/IEC 20000-1:2001

Cumplir los requisitos de servicio y los requisitos de SGS.

Revisar que el SGS este efectivamente implementado y sostenido.

El marco de trabajo utilizado es COBIT 4.1. el cual se basa en controles y mediciones, cuenta con 4 dominios que son:

Planear y organizar (PO) con 10 procesos de gestión de TI,

Adquirir e implementar (AI) con 7 procesos de gestión de TI.

Entregar y dar soporte (DS) con 13 procesos de gestión de TI.

Monitorear y evaluar (ME) con 4 procesos de gestión de TI.

Cabe hacer mención que el presente trabajo se enfoca únicamente en el primer dominio que es “PLANEAR Y ORGANIZAR”, y en el proceso de gestión “PO1 Definir un Plan Estratégico de TI”.

En donde en este proceso especifica que La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio.

Es importante considerar que la función de TI ; así como la gerencia de la organización son responsables de asegurar que el valor óptimo se consigue desde los proyectos y el portafolio de servicios.



Por lo que para este proceso es necesario realizar las siguientes actividades con el fin de que todo el personal este enterado del plan estratégico y se comprometa con el sistema para el cumplimiento de los objetivos de dicha organización.

De este modo es necesario comprender que este dominio es la base para el desarrollo de los otros tres dominios antes mencionados.

Para el desarrollo del Proceso Auditoria se llevan a cabo las siguientes actividades:

Estrategia

Análisis de hallazgos

Matriz de resultados.

En donde obtendremos los siguientes beneficios.

Resultados



Ventaja competitiva teniendo la certificación.

Mejora la reputación/Relacion con el negocio y los clientes.

Demostrable:

Evidencia de una evaluación parcial, independiente y externa.

Control y cumplimiento de la gestión empresarial y los requisitos legales

Pruebas de alta calidad sobre la entrega de servicios.

Estrategia:

La estrategia utilizada para el desarrollo de la auditoría interna se basa en los procesos de la norma ISO 20000-1:2011; en donde la empresa cuenta con un Manual del Uso de Sistemas de Gestión de Servicios; el cual está documentado, incluyendo procesos, procedimientos, instructivos y documentos. (Revisar matriz de requerimientos); sin dejar de mencionar el Comité de calidad integrado por el Representante de la Alta Dirección, Secretario Técnico y dueños de los diferentes procesos que integran la organización.



Procesos ISO-20000-1:2001

Esta imagen nos permite observar como en cada uno de los procesos intervienen los clientes y partes o integrantes de la organización; observando los requerimientos establecidos por citada norma.

De la misma forma se considera como base documental la auditoria documental de NYCE, entidad encargada de realizar la auditoria. Se muestra sus características a evaluar.


Diseño y Transición de Nuevos o Cambio a los Servicios

Planear, diseñar y modificar nuevos o cambios a los servicios

Procesos de Relación

- Gestión de Relaciones con el Negocio- Gestión de Proveedores

Procesos de Resolución

- Solicitud de Servicios- Gestión de Incidentes- Gestión de Problemas

Gestión Seguridad de la Información

Gestión de la Capacidad

Nivel de Servicio

Procesos de Entrega del Servic io

Gestión de la Continuidad y Disponibilidad

Reportes de Servicio Presupuestos y Contabilidad de

Servicios de TI

Procesos de Control

- Gestión de la Configuración- Gestión del cambio- Gestión de Liberaciones

Clie

nte

s y O

tra

s pa

rtes In

tere

sad

as

Req

uerim

iento

s del s

erv

icio

Clie

nte

s y Otra

s pa

rtes in

tere

sad

as

Servic

ios


Puntos clave a identificar para llevar a cabo la auditoria:


Generar Matriz para evaluación

Entrevistas con los dueños de los procesos para

corroborar que los hallazgos y

observaciones emitidas por NYCE fueran cubiertos

y/ o tengan planes de acción para

cerrarlos.

Validación de evidencias.

Se generaron Planes de acción

propuestos de acuerdo a las observaciones encontradas

Actualizar la CMDB (Sistema de información)

Actualizar el sistema de Costeo que

haga referencia a

los costos de los CI’s

indispensables para el servicio

Seleccionar un responsable para RH dentro del proyecto y asegurar que

exista:

Plan de Capacita

ción

Plan de Desarrollo Organiza

cional

Sistemas de

Evaluaciones de

Desempeño

Fortalecer el plan de

disponibilidad y continuidad del negocio


Se debe establecer los siguientes planes estratégicos para desarrollar la auditoria:

1. Agenda de actividades (Imagen A)

2. Plan de auditoria (Imagen B).

3. Matriz de requerimientos de la norma ISO 20000-1:2011 (Imagen C)

4. Control de documentos según NYCE. (Imagen D)

5. Matriz de hallazgos en la auditoria y planes de acción (solo como dato de referencia). (Imagen E)

6. Matriz de RACI (Imagen F)

7. Evaluación del estado de madurez del proceso. (Imagen G).


Solventar TODAS las observaciones de NYCE, ya que estas se pueden convertir en No

Conformidades.

Hacer el Mapeo (referencia) de todas las actividades de los

procesos con su documento y evidencia respectivos; ya que al

hacer los documentos se pierden las referencias y la información se

dispersa.

Incluir Niveles de servicio en los cambios de acuerdo a su tipo

Las observaciones en rojo de la matriz deben de cubrirse sin

excepción


Imagen “A” Agenda de Actividades

Imagen “B” Plan de Auditoría


Proceso a Auditar Personal DiaCompromisos de la Al ta Gestión del Servicio Representante de a l ta di rección LunesProcesos para establecer y mejorar el SGS Comité del SGS y Dueño del servicio Ivette Hernandez guadalupe.hernandez@icas is temas .com LunesPlan el SGS (Plan) Comité del SGS LunesImpelmentar y Operar el SGS (DO) Comité del SGS LunesMonitorear y Revisar el SGS (CHECK) Comité del SGS LunesMantener y Mejorar el SGS (ACT) Comité del SGS LunesGobierno de procesos operado por 3ras partes Gestor de Servicio LunesControl Documenta l (Pol itica Y Proceso) Gestor Documenta l y/o Comité del SGS Ivette Hernandez guadalupe.hernandez@icas is temas .com LunesControl de Regis tros (Pol itica Y Proceso) Gestor de Regis tros Ivette Hernandez guadalupe.hernandez@icas is temas .com Lunes

Gestion de RecursosGestor de Recursos y/o Comité de SGS

y/o representante de Al ta di recciónLunes

Diseño y trans ición de servicios nuevos y modifi cados

Comité del SGS Carlos López carlos .lopez@icas is temas .com Lunes

Planeación de Servicios nuevos y/o modifi cados Comité del SGS Carlos López carlos .lopez@icas is temas .com Lunes

Trans ición de servicios Nuevos y Modifi cados Comité del SGS Carlos López carlos .lopez@icas is temas .com LunesEntrega del ServicioSubproceso de Adminis trador de Niveles de Servicio y Catá logo

Dueños de proceso Carlos Roberto Rueda Ramirez carlos .rueda@icas is temas .com Martes

Procesos de Reportes de Servicios Dueños de proceso Ivette Hernandez guadalupe.hernandez@icas is temas .com MartesSubproceso de Adminis trador de Continuidad Dueños de proceso Mario Cisneros Cervantes mario.ci sneros@icas is temas .com MartesSubproceso de Adminis trador de Disponibi l idad

Dueños de proceso Mario Cisneros Cervantes mario.ci sneros@icas is temas .com Martes

Subproceso de Adminis trador de Costos Dueños de proceso Enrique Olarte enrique.olarte@gmai l .com MartesSubproceso de Adminis trador de Capacidad Dueños de proceso Mario Cisneros Cervantes mario.ci sneros@icas is temas .com MartesSubproceso de Adminis trador de Seguridad Dueños de proceso Mario Cisneros Cervantes mario.ci sneros@icas is temas .com MartesProcesos de RelaciónSubproceso de Adminis trador de Relaciones con el Negocio

Dueños de proceso Carlos López carlos .lopez@icas is temas .com Miercoles

Subproceso de Adminis trador de Proveedores Dueños de proceso Jorge García Martínez jorge.garcia@icas is temas .com MiercolesResoluciónSubproceso de Adminis trador de Incidentes y sol ici tudes de servicio

Dueños de proceso Carlos Gordiano carlos .gordiano@icas is temas .com Miercoles

Subproceso de Adminis trador de Problemas Dueños de proceso Carlos Gordiano carlos .gordiano@icas is temas .com MiercolesProceso de controlSubproceso de Adminis trador de Confi guraciones

Dueños de proceso Carlos Gordiano carlos .gordiano@icas is temas .com Miercoles

Subproceso de Adminis trador de Cambios Dueños de proceso Alois Arguel lo a lois .arguel lo@icas is temas .com MiercolesSubproceso de Adminis trador de Liberaciones Dueños de proceso Alois Arguel lo a lois .arguel lo@icas is temas .com Miercoles

AGENDA DE ACTIVIDADES


Descripción del Plan de Auditoria

Contenido del Plan de Auditoria



Información relevante del Plan de Auditoria



Matriz de requerimientos de la norma ISO 20000-1:2011 (Imagen C)

Nota: Se muestra una parte de la matriz ya que esta es muy extensa.

Control de documentos según NYCE. (Imagen D)


Requirements for a Management System

Sí Cumple

No cumple, pero hay

cierta Evidencia

No cumple y no existe Eviden

cia

Fecha Edivencia o artefacto Estatus Plan de Acción Propuesto

4. Objetivo: Proporcionar un sistema de gestión, incluidas laspolíticas y el marco para permitir la gestión eficaz y laaplicación de todos los servicios de TI

ICA-ISOIEC-MAN-SGS-01-01_MAN, Manual de uso del Sistema de Gestiónde Servicios

23.04.2013 ICA-ISOIEC-MAN-SGS-01-02_MAN

Pendiente * ICA-ISOIEC-MAN-SGS-01-01_MAN. Se recomienda contar con la última versión dentro de la Herramienta del SGS.

Responsabilidad de la Gestión

4.1 A través del liderazgo y sus acciones, La alta direcciónejecutiva debe proporcionar evidencia de su compromiso conel desarrollo, la implementación y la mejora de su capacidadde gestión de servicios en el contexto de los negocios de laorganización y las necesidades de los clientes.


x 23.04.2013ICA-ISOIEC-MIN-SGS-03-01ICA-ISOIEC-MIN-SGS-02-01ICA-ISOIEC-MIN-SGS-01-01

Pendiente

*No se localizarón las minutas que se indican en el Manual ICA-ISOIEC-MAN-SGS-01-02_MAN dentro de la sección de REGISTROS están dentro de la Base Dcoumental :ICA-ISOIEC-MIN-SGS-03-01ICA-ISOIEC-MIN-SGS-02-01ICA-ISOIEC-MIN-SGS-01-01

4.1.1 LA Gestión deberá:

4.1.1 a) Establecer y Comunicar el alcance, la política y losobjetivos para la gestión del servicio;


x 23.04.2013 ICA-ISOIEC-DOC-SGS-01 ok*Actualizar ICA-ISOIEC-DOC-SGS-01-xx dentro de la herramienta del SGS.

4.1.1 b) Asegurarse de que el plan de gestión de servicios escreado, implementado y mantenido con el fin de cumplir conla política, alcanzar los objetivos para la gestión del servicioy cumplir con los requisitos de servicio;


x 23.04.2013 ICA-ISOIEC-MAN-SGS-01-02_MAN

Pendiente *El ICA-ISOIEC-MAN-SGS-01-02_MAN hace referencia a un documento siendo que ese es una plantilla ICA-ISOIEC-PLT-SGS-13.*El registro del ICA-ISOIEC-PLT-SGS-13 no se encuentra dentro de la herramienta del SGS.

4.1.1 c) Comunicar la importancia de cumplir con losrequisitos del servicio;


x 23.04.2013 Pendiente

4.1.1 d) Comunicar la importancia de cumplir con losrequisitos legales y reglamentarios y las obligacionescontractuales;



4.1.1 e) Asegurar la provisión de los recursos;ICA-ISOIEC-MAN-SGS-01-01_MAN, Manual de uso del Sistema de Gestiónde Servicios


4.1.1 f) La realización de evaluaciones de la gestión aintervalos planificados;



4.1.1g) Asegurar que los riesgos para los servicios sonevaluados y gestionados.


x

La alta dirección debe proveer evidencia de su compromiso realizando revisiones de dirección a intervalos planificados, para su adecuada continuidad y eficacia. No se encontró evidencia de la realización de revisiones por la dirección, por lo cuál no se puede asegurar la implementación y revisión del SGS y los servicios

22.04.2013 ICA-ISOIEC-PRC-SGS-01-02 Pendiente

*Ajustar el documento ICA-ISOIEC-RFC-SGS-01-01. Se deberá incluir el nombre del Director de Operaciones y que sea firmado *Ajustar el documentos ICA-ISOIEC-PRC-SGS-01-02. En la actividad 17 deberá indicar que las mejoras al sistemas por parte de la Direcciòn deberà estar soportada en la Minuta de la sesiòn donde se detecto la misma y esta ser firmada y dada a conocer. (Plantilla de Minuta)*Ajustar el documentos ICA-ISOIEC-PRC-SGS-01-02. Es necesario indicar la periodicidad de las reuniones de mejora para el SGC, e indicarlo en la documentaciòn.*Validar si existe en el SGC la plantilla Minuta.*Generar la evidencia del Reporte Gerencial.

Politica de la Gestión de Servicios

4.1.2 La alta dirección debe asegurarse de que la política de gestión de servicios:

4.1.2 No se identificó claramente la política de la gestión del Servicio. 22.04.2013

ICA-ISOIEC-MAN-SGS-01-02_MAN Pendiente

*Es necesario publicar la versión correcta del documento PDF ICA-ISOIEC-MAN-SGS-01-01_MAN.*Validar el proceso de comunicación para los empleados nuevos.*Es necesario que en el documento ICA-ISOIEC-MAN-SGS-01-01_MAN se termine la secciòn numero 4.

Comentarios NYCERequerimiento

Preguntas

Asignado a: Documentos relacionados:

Identificador del DocumentoNombre del Documento

Tipo de Documento

Versión del Documento

Folder Donde Reside el DocumentoPropietario

del Documento

Status Localización Formato Fecha de Registro

ICA-ISOIEC-ANX-SGS-01-01

Definición de representante de la Alta Dirección Anexo 01 Gestor de documentos/ 01_Anexo

Comité de certificación Activo Vista Hermosa 160 .doc 01/07/2013

ICA-ISOIEC-CAT-SGS-01-01 Catálogo de Servicios Catálogo 01 Gestor de documentos/21_Catálogo

Dueño del Proceso de Gestión de Catálogo y Niveles de Servicio Activo Vista Hermosa 160 .xls 22/10/2012

ICA-ISOIEC-CAT-SGS-02-01Catálogo de Proveedores Catálogo 01 Gestor de documentos/21_Catálogo

Dueño del Proceso de Gestión de Proveedores Activo Vista Hermosa 160 .xls 22/10/2012

ICA-ISOIEC-CAT-SGS-03-01Catálogo de Clientes Catálogo 01 Gestor de documentos/21_Catálogo

Dueño del Proceso de Gestión de Proveedores Activo Vista Hermosa 160 .xls 22/10/2012

ICA-ISOIEC-CTR-SGS-01-01Control de Documentos Control 01 Gestor de documentos/15_Controles

Dueño del Proceso de Gestión de Documentos y Registros Activo Vista Hermosa 160 .xls 14/08/2012

ICA-ISOIEC-CTR-SGS-02-01Control de Registros Control 01 Gestor de documentos/15_Controles


ICA-ISOIEC-CTR-SGS-03-01Control de Reportes Control 01 Gestor de documentos/15_Controles


ICA-ISOIEC-CTR-SGS-05-01Administración de Recursos Control 01 Gestor de documentos/15_Controles

Dueño del Proceso de Gestión de la Capacidad Activo Vista Hermosa 160 .doc 22/10/2012

ICA-ISOIEC-CTR-SGS-06-01Modelo financiero Control 01 Gestor de documentos/23_Obsoletos

Dueño del Proceso de Gestión de Contabilidad y Finanzas Obsoleto Vista Hermosa 160 .xls 11/12/2012

Control de Documentos


Matriz de hallazgos en la auditoria y planes de acción (solo como dato de

Matriz de RACI (Imagen F)

Evaluación del estado de madurez del proceso. (Imagen G).


1. Matriz de RACI (Imagen F)

No. HallazgoNo Conformidad (Referencia de

Nyce)

Análisis causa-efecto

Solicitud de Cambio (RFC)

DescripciónDocumento de

entrada

Documento resultado que subsana la no conformidad

Documentos que apoyan la mejora

ISOIEC-20000-1-2011-01-01

1

El análisis causa-efecto ICA-ISOIEC-DOC-SGS-04-01 “Análisis de Causa Raíz: Falta de compromiso de parte de la Alta Dirección”

ICA-ISOIEC-RFC-SGS-01-01

Modificación al proceso de gestión de Reportes, para cubrir la clausula 4.5.4.3 “Revisión de la dirección” de la norma ISO20000-1-2011

ICA-ISOIEC-PRC-SGS-01-01

ICA-ISOIEC-PRC-SGS-01-02

Minuta de aprobación de las medidas para subsanar (entre otras) (ICA-ISOIEC-MIN-SGS-04-01)

ISOIEC-20000-1-2011-01-02

2

ICA-ISOIE-DOC-SGS-05-01 “Análisis de Causa Raíz: Falta de Auditorías Internas en Intervalos periódicos”

ICA-ISOIEC-RFC-SGS-08-01

Modificación al proceso de establecer y mejorar el SGS, para cubrir la clausula 4.5.4.2 “Auditorias Internas” de la norma ISO20000-1-2011

ICA-ISOIEC-PRS-SGS-03-01

ICA-ISOIEC-PRS-SGS-03-02

Plan de auditoría Interna que se llevará a cabo del 22 al 24 de Abril de 2013 (ICA-ISOIEC-PLA-SGS-11-01)

FUNCIONES

MATRIZ RACI

RRESPONSABLE

AA QUIEN DEBE SER CONSULTADO

C ICONSULTADO QUIEN DEBE SER INFORMADO

ACTIVIDADES FUNCIONES

Compromisos de la Al ta Gesti ón del Servicio

Procesos para es tablecer y mejorar el SGS RPlan el SGS (Plan)

Impelmentar y Operar el SGS (DO)

Monitorear y Revisar el SGS (CHECK)

Mantener y Mejorar el SGS (ACT)

Gobierno de procesos operado por 3ras partes

Control Documenta l (Pol iti ca Y Proceso)

Control de Regis tros (Pol iti ca Y Proceso) RDiseño y trans ición de servicios nuevos y

modifi cadosR C

Planeación de Servicios nuevos y/o modifi cados CTrans ición de servicios Nuevos y Modifi cados CSubproceso de Adminis trador de Niveles de

Servicio y Catá logoC

Procesos de Reportes de Servicios RSubproceso de Adminis trador de Conti nuidad C

Subproceso de Adminis trador de Disponibi l idad CSubproceso de Adminis trador de Costos C

Subproceso de Adminis trador de Capacidad CSubproceso de Adminis trador de Seguridad C

Subproceso de Adminis trador de Relaciones con el Negocio

C

Subproceso de Adminis trador de Proveedores CSubproceso de Adminis trador de Incidentes y

sol i ci tudes de servicioC

Subproceso de Adminis trador de Problemas CSubproceso de Adminis trador de Confi guraciones C

Subproceso de Adminis trador de Cambios RSubproceso de Adminis trador de Liberaciones R


Como se muestra en la imagen “C”, en este dominio la mayoría de procesos tienen un grado de madurez de nivel cero; ya que especialmente en este trabajo solo se evalúa la madurez del primer proceso PO1 “Definir un plan estratégico de TI”, el cual lo evaluamos con el nivel de madurez “DOS”, en virtud que que actualmente se tiene establecida la planeación y organización de la auditoria de los procesos de la organización; siendo el nivel de madurez recomendado “TRES”; el cual indicaría el cumplimiento de cada una de las actividades del proceso de auditoría.


NIVEL DE MADUREZ

ACTUAL

NIVEL DE MADUREZ

RECOMENDADO

PO1 Definir un plan estrategico de TI DOS TRESPO2 Definir la arquitectura de la informacion CERO 0PO3 Determinar la direccion tecnologica CERO CEROPO4 Definir los procesos, organización y relaciones de TI CERO CEROPO5 Administrar la inversion de TI CERO CEROPO6 Comunicar las aspiraciones y la direccion de la gerencia CERO CEROPO7 Administrar recursos de humanos de TI CERO CEROPO8 Administrar la Calidad CERO CEROPO9 Evaluar administrar los riesgos de TI CERO CEROP10 Administrar proyectos CERO CERO

PROCESOS / NIVEL DE MADUREZ

DOMINIO: PLANEAR Y ORGANIZAR


CONCLUSIÓN

Se concluye en el presente trabajo que la implementación de un Sistema de Gestión de Servicio y monitoreado por un proceso de auditoría, permite a la organización ser más competitiva e innovadora; basándose como es el caso en el marco de COBIT 4.1; Y al establecer modelos de evaluación de procesos como el CMMI; por citar un ejemplo; permitiendo que las organizaciones obtengan grandes beneficios al lograr mayor efectividad en la detección de errores en el ciclo de vida del desarrollo de sus procesos.

Asimismo se observa que el primer dominio “PLANEAR Y ORGANIZAR”; está relacionado con procesos de planeación y organización empresarial con respecto a la madurez de las tecnologías de la información en donde otorga el beneficio de evaluar y corregir.

Situación que permite identificar áreas de oportunidad para mejorar los procesos de la organización.

En la inteligencia de que uno de los factores primordiales para el éxito de una auditoria es que todo el personal que integra la organización en todos los niveles conozcan el sistema implementado; así como el que estén realmente comprometidos con el cumplimiento de los objetivos de la organización.



BIBLIOGRAFÍA

Documentación generada por la empresa Ingeniería de Computo y Aplicaciones, S.A. de C.V.

Norma ISO/IEC 20000.

Marco COBIT 4.1.


Caso Real Etapa Planear y Organizar Del Proceso Auditoria Informatica

Documents

Transcript of Caso Real Etapa Planear y Organizar Del Proceso Auditoria Informatica