GTAG 02 Global Technology Audit Guide
-
Upload
luis-robles -
Category
Documents
-
view
142 -
download
10
description
Transcript of GTAG 02 Global Technology Audit Guide
Global Technology Audit Guide
GUIA 02:
Cambiar y corregir administración de controles
GTAG – Global Technology Audit Guide
Rol de CAE
• Riesgos de TI forman parte del riesgo empresa, el CAE debe comprender los riesgos aun cuando no conozca el detalle.
• Un pobre manejo del cambio:– Cambios no autorizados.– Tiempos de receso no planeados.– Bajo resultado de los cambios.– Grandes cambios de emergencia.– Aplazar implementación de proyectos.
GTAG – Global Technology Audit Guide
4 - Continuously Improving• <5% of time
spent on unplanned work
• Change success rate is very high
• Service levels are world class
• IT operating costs are under control
• Can scale IT capacity rapidly with marginal increases in IT costs
• Change review and learning processes are in place
• Able to increase capacity in a cost-effective way
3 - Closed-Loop Process• 15-35% of time
spent on unplanned work
• Some ticketing / workflow system in place
• Changes documented and approved
• Change success rate is high
• Service levels are good & becoming world class
• Server-to-admin ratio is good, but not BoB
• IT costs are improving
• Security incidents down
2 - Using Honor System
• 35-50% of time spent on unplanned work
• Some technology deployed
• You have the right vision but no accountability
• Server-to-admin ratio is way too low
• IT costs are too high
• Process subverted by talking to the “right” people
1 - Reactive• Over 50% of time
spent on unplanned work
• Chaotic environment; lots of fire fighting
• MTTR is very long; poor service levels
• Can only scale by throwing people at the problem
Reactive Using The Honor System Closed-Loop Change Mgt
Eff
ect
iven
ess
ContinuouslyImproving
Based on the IT Process Institute’s “Visible Ops” Framework
Changes control the organization:
Organization controls the changes:
Modelo de madurez
GTAG – Global Technology Audit Guide
Posibles problemas
• Ejecución y resultados inadecuados de software de aplicación.
• Downtime de servicios vitales, tales como administradores de bases de datos, bases de datos, intranet, servicios web u otros relacionados.
• Servicios no disponibles, aun por pequeños periodos de tiempo.
GTAG – Global Technology Audit Guide
Rol del Auditor Interno
• Asegurar que la administración tiene claros los riesgos involucrados o asociados a los cambios en los controles, los cuales (riesgos) pueden impedir el logro de los objetivos empresariales. Procesos robustos deben estar disponibles para administrar el riesgo de manera efectiva.
GTAG – Global Technology Audit Guide
Ejemplos
• Control preventivo:– Autorizaciones apropiadas.– Segregación de funciones.– Supervisiones.
• Control detectivo:– Detectar cambios no autorizados.
• Control correctivo:– Revisión de actividades generales (muestreo).– Revisión de actividades especificas
GTAG – Global Technology Audit Guide
Ejemplos
• Preguntas al administrador de TI, tablas de paginas 20, 21, 22.
GTAG – Global Technology Audit Guide
¿Donde comenzar?
• El Auditor Interno debe generar controles que permitan resguardar cuatro puntos clave:– Cumplimiento– Estrategia.– Reportes.– Operación.
• Control:– Preventivo, detectivo, correctivo.
GTAG – Global Technology Audit Guide
Information System Auditing – Richard Cascarino
GTAG – Global Technology Audit Guide
esquema
• Preventivos:– Cambio de autorización:
• Cambios documentados.• Detallar niveles de dueños de procesos.
– Separar roles:• Diferenciar niveles de autoridad.• Políticas claras de aprobación y cambios.
– Supervisión y control:• Respaldo de control sobre procesos.• Identificación individual de cambios.
GTAG – Global Technology Audit Guide
• Detectivos:– Supervisión y control:
• Registro automático de cambios en actividades o infraestructura.
• Registro de cambios realizados y su aceptación.
– Conciliación entre presup. y real:• Alcance correcto.• Para trabajo correcto y necesario.
GTAG – Global Technology Audit Guide
• Correctivos:– Cada cambio es documentado en extenso.– Identificación de los riesgos.– Fallo, reparación y revisión de ciclos e
infraestructura.
GTAG – Global Technology Audit Guide
¿Preguntas?