NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA

Slides:



Advertisements
Presentaciones similares
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.
Advertisements

PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE “MAGISTER EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS” “EVALUACIÓN TÉCNICA INFORMÁTICA DE LA ADQUISICIÓN.
Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
NORMA ISO DIS 9001:2015 Draft International Standard.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
Anexos. Informe Unidad Control Interno Informe de Gestión Asesor de Control Interno Planes Y Auditorías Se han realizado los seguimientos a los diferentes.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
EMPRESAS DIDACTICAS SENA ADAN LOPEZ HERNANDEZ. DISEÑO DE UN MODELO DE GESTIÓN HUMANA POR COMPETENCIAS SOCIAL LABORAL CON ÉNFASIS EN BIENESTAR SOCIAL LABORAL.
MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA
LA ACREDITACIÓN Presentation Title Subheading goes here.
TRABAJO DE TITULACIÓN INGENIERO COMERCIAL
Orden del día 2ª sesión ordinaria
Implementación del SMS
Software para auditoría informática
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
APLICACIÓN DE CONTROL INTERNO EN PyMEs
ING. ÍTALO GERARDO ESPÍN RUIZ ING. DIEGO OSWALDO PULE LÓPEZ
UNIDAD DE GESTIÓN DE POSTGRADOS
SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.
Ing. Informática. Semestre 7 Periodo: Agosto - Diciembre Marco de Gobierno de Tecnologías de la Información.
Gestión por resultados
5.6.1 Información de entrada para la revisión por la dirección
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
UNIVERSIDAD POLITÉCNICA DEL EJÉRCITO
PLANEACIÓN ESTRATÉGICA SEGUIMIENTO DE LA GESTION
GESTIÓN HSEQ.
Facultad de Ingeniería y tecnología informática Practica Profesional I
Fundamentos de Auditoría
SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO
COBIT 4.1 Entregar y Dar Soporte DS11 Administración de Datos
MAESTRIA EN GESTIÓN DE LA CALIDAD Y PRODUCTIVIDAD
2.1 Autoevaluación institucional
Marco de ciberseguridad
OHSAS 18001:2007 EN PETROPERÚ S.A. Juan Carlos Guaylupo
Auditoría Informática Informe de auditoría informática
COBIT 4.1 Monitorear y Evaluar ME3 Garantizar el Cumplimiento con Requerimientos Externos By Juan Antonio Vásquez.
Auditoria Informática Unidad III
EVALUACIÓN INICIAL SG-SST
CONTROL DE INFORMÁTICA
CONTEXTO DE LA ORGANIZACIÓN
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS INTRODUCCIÓN Auditoría de personal: -Evalúa actividades realizadas en una organización. -Finalidad:
ISO SGSI ISO FASES SGSI ANEXOS (A) ISO 27002
Capacitación en gestión de la estrategia para los Directores Ejecutivos y Titulares de Unidades Técnicas.
ORGANIGRAMA METODOLOGIA PARA LA IMPLANTACION DE UN PROYECTO EDI
EL PROCESO ADMINISTRATIVO
INTRODUCCION A LA NORMA INTERNACIONAL ISO 9001:2015 ISO 9001:2015.
P r e s e n t a c i ó n p o r M ó d u l o s
ESCUELA POLITÉCNICA DEL EJÉRCITO - ESPE
Unidad 5: Evaluación de los sistemas
Auditoria de Tecnologías de Información PLANIFICACION Ing. Eder Gutiérrez Quispe.
Departamento de Desarrollo Organizacional
TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL
Plática de Sensibilización
UNIVERSIDAD DE LAS FUERZAS ARMADAS ¨ESPE¨
MISION La carrera de contabilidad y auditoría fomenta cultura a la excelencia académica, en la formación de profesionales con conocimientos teórico-práctico,
Pasando de ISO 14001:2004 a ISO 14001:2015 El nuevo estándar internacional para los sistemas de gestión ambiental.
TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL
Llamocca Atahua, Rosmery Cáceres Mejía, Dayhana Ramos Vega, Estefanía Amar Guevara, Cristofer Herrera Atunga, Pool Aldere Tomayro, Lenin Bensa Sulca, Luis.
PLANIFICACIÓN, ORGANIZACIÓN, DIRECCIÓN Y CONTROL
NTC ISO 45001:2018. El nuevo estándar internacional para el Sistema de Gestión de Seguridad y Salud en el Trabajo.
AUDITORIA INTERNA DE CALIDAD MERCADERIA “JUSTO Y BUENO” POR. ANDRES HUERTAS YOHANDER YAÑEZ.
INTEGRACIÓN DE SISTEMAS DE GESTIÓN MTO. LUIS EDUARDO ROCHA MAGAÑA Integración de Sistemas de Gestión.
Análisis de Procesos Informáticos Ing. Renato Toasa  Daniel Quintana  Leonardo Herrera  Fernando Moya.
COMITÉ PARITARIO EN SEGURIDAD Y SALUD EN EL TRABAJO
Estudio de Viabilidad del Sistema (EVS). Estudio de Viabilidad del Sistema Cuestiones ¿Qué es la viabilidad de un sistema? ¿Cuáles son los objetivos del.
Plan de Sistemas de Información (PSI). Plan de Sistemas de Información (PSI) Descripción y Objetivos Tiene como objetivo la obtención de un marco de referencia.
ISO Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la.
PLANIFICACION Diego Hernández.
Transcripción de la presentación:

NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA AUDITORÍA INFORMÁTICA EN LA EMPRESA ENAP SIPETROL S.A DE ACUERDO A LA METODOLOGÍA COBIT VERSIÓN 4.1 NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA Sangolquí, Enero-2015

Contenido Resumen Parte I del Proyecto Desarrollo de la auditoría Niveles de madurez Indicadores de desempeño Informe Final de auditoría Observación, riesgo, recomendación Evaluación de resultados Proyectos asociados a las recomendaciones Plan de implementación Conclusiones y Recomendaciones

Resumen Parte I Objetivo del proyecto: Realizar una Auditoría Informática en Enap Sipetrol S.A., para evaluar la gestión y el desempeño actual, empleando Metodología COBIT 4.1, generando un informe final que sirva de guía para el mejoramiento del área de tecnología. Objetivos de la auditoría: Evaluar la gestión y el desempeño actual del Departamento de TI. Evidenciar si los objetivos de TI se encuentran alineados con el negocio. Determinar el nivel de madurez de los procesos de TI evaluados. Determinar los riesgos de TI que afecten al negocio. Generar un informe final que sirva de guía para el mejoramiento del área de Tecnología.

Resumen Parte I Selección de procesos COBIT a auditar. 1. Ubicar a TI dentro del Balanced Scorecard de la empresa, identificando el objetivo estratégico del que TI forma parte. 2. Se establecieron Objetivos de TI y metas de TI para cumplir con este objetivo macro. 3. Se realizó un mapeo de las metas de TI con los procesos Cobit para identificar los procesos COBIT que ayudan a cumplir las metas de TI. 4. Para priorizar los procesos COBIT a ser auditados se empleó una matriz inversa de Procesos Cobit versus metas de TI, seleccionando aquellos procesos que permitían cumplir con la mayoría de las metas de TI.

Balanced Scorecard

Objetivos y Metas de TI

Mapeo Metas de TI y Procesos Cobit PO1 Definir un plan estratégico de TI.

Correlación entre Procesos Cobit y Metas de TI

Resumen de Procesos Cobit a ser auditados

Plan de la Auditoría PO1.2 Alineación de TI con el Negocio Se realizaron “Guías de Verificación” utilizando el documento IT Assurance Guide, detallando los objetivos de control, los factores de riesgo, los elementos auditables y la persona a la que se auditará. PO1.2 Alineación de TI con el Negocio

Desarrollo de la Auditoría Se utilizaron las “Guías de Verificación” en donde se registraron los elementos auditables, el auditado, los documentos revisados, las observaciones del auditor y la fecha en que se realizó la auditoría. Auditoría del proceso PO1.2 Alineación de TI con el Negocio

Desarrollo de la Auditoría Nivel de madurez - Proceso PO1 Los niveles de madurez permiten determinar la situación actual del proceso evaluado, el cual se obtiene del nivel de cumplimiento de los objetivos de control.

Desarrollo de la Auditoría Indicador de desempeño - Proceso PO1 Los indicadores de desempeño son establecidos en el Marco de Referencia de Cobit, de igual manera los porcentajes son el resultado de la revisión de la información solicitada en la Auditoría

Informe Final de Auditoria En el Informe Final de Auditoría, se realiza un resumen de los procesos auditados, se analiza el nivel de madurez encontrado y en aquellos procesos que poseen niveles de madurez bajos, el equipo auditor, realiza una observación y recomendación de mejora.

Evaluación de Resultados Para la evaluación de los resultados tomaremos como referencia los objetivos de la auditoría planteados en la fase de Planificación. Evaluar la gestión y el desempeño actual del Departamento de TI Los niveles de madurez establecidos en los 11 procesos auditados, determinan la gestión actual de TI: el 9% corresponde al nivel 0 “No existente”, el 37% corresponde al nivel 1 “Inicial-Ad hoc”, el 27% corresponde al nivel 2 “Repetible pero intuitivo”, el 27% corresponde al nivel 3 “Proceso Definido”. Nivel de Madurez de Procesos de TI

Evaluación de Resultados Los indicadores de desempeño permiten evaluar el desempeño de TI: Porcentaje de Desempeño de TI De acuerdo a los porcentajes obtenidos en los niveles de madurez los procesos que se deben mejorar corresponden al 73%.

Evaluación de Resultados b) Evidenciar si los objetivos de TI se encuentran alineados con el negocio El Balanced Scorecard de ENAP SIPETROL detalla 35 objetivos de la organización en donde el objetivo “Excelencia Administrativa y Tecnológica” está asignado al área de TI, lo que indica que la participación de TI en los objetivos organizacionales corresponde al 2.85%. Los objetivos del área de TI si se encuentran alineados a los objetivos del negocio en la ponderación asignada en el Balanced Scorecard. c) Determinar los procesos críticos y los riesgos de TI que afecten al negocio. El nivel de madurez permite determinar los procesos críticos de TI para ello se seleccionaron aquellos procesos que tienen un nivel igual a 1 (Inicial). Procesos con Niveles de Madurez Bajos

Evaluación de Resultados Potenciales Riegos Falta de involucramiento de la Dirección en cuestiones de TI Los procesos de Seguridad y Continuidad no contemplan un plan de acción No existen procedimientos estándares Los acuerdos de niveles de servicio no están establecidos No se ha realizado una análisis de los perfiles de cargo y descripción de funciones d) Determinar el nivel de madurez de la industria El nivel de la industria se obtuvo de la encuesta “Modelos de madurez para procesos de TI en la industria petrolera”, realizada a 5 empresas petroleras: Resultados de la Encuesta

Evaluación de Resultados Potenciales Riegos Falta de involucramiento de la Dirección en cuestiones de TI Los procesos de Seguridad y Continuidad no contemplan un plan de acción No existen procedimientos estándares Los acuerdos de niveles de servicio no están establecidos No se ha realizado una análisis de los perfiles de cargo y descripción de funciones d) Determinar el nivel de madurez de la industria El nivel de la industria se obtuvo de la encuesta “Modelos de madurez para procesos de TI en la industria petrolera”, realizada a 5 empresas petroleras: Resultados de la Encuesta

Proyectos asociados a las recomendaciones El equipo auditor ha sugerido varios proyectos asociados a las recomendaciones a fin de mejorar el nivel de madurez de los procesos, las observaciones de la auditoría desplegaron 12 proyectos:

Plan de implementación Se ha realizado un plan de implementación de los proyectos sugeridos en base a dos pilares del Balanced Scorecard de Enap-Sipetrol: Estrategia, Cultura y Estructura – Operación Eficiente y Segura. Los 12 proyectos sugeridos fueron agrupados en 4 proyectos generales en base a su relación, los proyectos son: Plan Estratégico, Gestión de Riesgos, Plan de Continuidad y Control de la documentación.

Plan de implementación

Conclusiones y Recomendaciones Cobit versión 4.1, como herramienta de auditoría, permitió evaluar de una manera objetiva la situación actual del área de Tecnología de ENAP SIPETROL Ecuador, la metodología es explícita, entendible y de fácil uso. Los objetivos de control permitieron definir los elementos auditables en cada proceso proporcionando un punto de referencia en el cumplimiento del desempeño de TI. El alcance de la metodología Cobit es muy amplio, debido a que abarca a todos los procesos de Tecnología, es muy importante saber seleccionar los procesos a ser auditados en base a las necesidades de la organización, en este proyecto, los procesos fueron seleccionados tomando en cuenta la alineación de los objetivos de TI con los objetivos del Negocio. La metodología utilizada para seleccionar los procesos a ser auditados se basaron en el Apéndice 1 del libro Cobit 4.1, tomando como referencia las metas del negocio definidas en el Balanced Scorecard, identificando el objetivo estratégico en el que TI forma parte; para cumplir con este objetivo se establecieron metas de TI las cuales se identificaron en los procesos definidos en la metodología Cobit. Por último para priorizar los procesos Cobit a ser auditados se identificaron los procesos que permitían cumplir con la mayoría de las metas de TI.

CONCLUSIONES La mayoría de los procesos evaluados en el departamento de TI tienen un nivel 2, siendo 5 el máximo valor dentro de la escala de niveles de madurez que presenta Cobit, esto se debe a que la organización integra a TI en un solo proceso definido en el Balanced Scorecard, por lo tanto, los objetivos de TI si se encuentran alineados a los objetivos del negocio en la ponderación asignada en el Balanced Scorecard. Cobit permitió evaluar la parte técnica dándonos a conocer si las tareas son ejecutadas de una manera estándar, se pudo evidenciar que los procesos de operaciones se encuentran en un nivel de madurez 1 “Inicial-Ad hoc”, adicionalmente, se realizó una auditoría de gestión determinando si la administración de TI es adecuada, dándonos como resultado un nivel de madurez 2 “Repetible pero intuitivo”. Los niveles de madurez establecidos en los 11 procesos auditados, determinan la situación actual de TI: el 9% corresponde al nivel 0 “No existente”, el 37% corresponde al nivel 1 “Inicial-Ad hoc”, el 27% corresponde al nivel 2 “Repetible pero intuitivo”, el 27% corresponde al nivel 3 “Proceso Definido”, concluyendo que el 73 % de los procesos deben ser mejorados.

CONCLUSIONES Se determinó que el mayor riesgo que afecta al negocio es la falta de corresponsabilidad e involucramiento de la Dirección General en la toma de decisiones que conciernen a tecnología, delegando toda la responsabilidad en la Gerencia de TI. Los procesos que tienen relación con la seguridad y continuidad del negocio no contemplan un plan de acción, asignación de recursos y responsables ya que no forman parte del plan estratégico del negocio, por lo tanto, no se han establecido controles para mitigar o eliminar los incidentes de seguridad constituyendo un grave riesgo para la organización. No se ha realizado un análisis de los perfiles de cargo y descripción de funciones del área de Tecnología en base al crecimiento de la organización y nuevos servicios, esto conlleva a que exista una sobrecarga de trabajo. La recopilación de la documentación que permite evidenciar los puntos auditables no estuvo disponible en su totalidad, debido a una falta de cultura de generación de documentos importantes como políticas, procedimientos, cronogramas; la generación de este tipo de documentación es informal y no sigue un estándar, generando un retraso en la duración de la auditoría.

RECOMENDACIONES Se recomienda utilizar a la Metodología Cobit no sólo como una herramienta de auditoría sino como una herramienta de Gestión de TI, debido a que permite establecer el nivel de madurez de los procesos por medio de sus objetivos de control. Con el objetivo de mejorar tanto los procesos de operaciones como los procesos de gestión se recomienda alcanzar un nivel de madurez 3 “Proceso Definido”, para asegurar la estandarización de los procesos, la documentación y la comunicación a la organización. El alcanzar el nivel de madurez 3 no implica un alto presupuesto, en su lugar está enfocado al levantamiento y mejora de los procesos. Crear un Comité de Tecnología que permita definir los lineamientos de tecnología y ser corresponsables en la toma de decisiones importantes que afecten directamente al negocio.

RECOMENDACIONES Se sugiere realizar revisiones anuales a los procesos auditados en este proyecto, que permita hacer seguimiento a las recomendaciones generadas y ver la posibilidad de realizar una nueva evaluación para los procesos que no fueron considerados en el presente trabajo. Se recomienda poner especial énfasis en los procesos referentes a la seguridad y continuidad del negocio, estos procesos deben ser parte del plan estratégico de la organización. Realizar un análisis de los perfiles de cargo y descripción de funciones del área de Tecnología en base al crecimiento de la organización y la prestación de nuevos servicios.

RECOMENDACIONES La documentación importante de la empresa tal como: políticas, procedimientos, cronogramas, organigramas, manuales, etc., deben ser documentadas en formatos estándares que permitan evidenciar de una mejor manera la información. Para continuar con la evaluación de los procesos seleccionados se realizarán los siguientes pasos como parte del segundo proyecto: Determinar el nivel de madurez de la industria por medio de encuestas realizadas a empresas del sector. Generación de proyectos para elevar el nivel de madurez de los procesos evaluados, tomando en cuenta las observaciones y recomendaciones de la auditoría. Plan de acción y estrategia de implementación de los proyectos sugeridos.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.