eurosai it working groupmetodología itsa versión 4.01 auditorÍa de sistemas de informaciÓn...

EUROSAI IT Working Group Metodología ITSA versión 4.0 1

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Informe de Auditoría de Sistemas de Información en los OCEX: Experiencias prácticasy su aportación a la función fiscalizadora de los OCEX. Alejandro Salom.

Auditoría de Sistemas de Información como apoyo a las fiscalizaciones; Metodologíasde trabajo. Cómo organizar un Departamento de Auditoría Informática como apoyo a

los equipos de fiscalización. Ignacio Calleja.

Metodología para la autoevaluación de los Sistemas de Información de las Entidades Fiscalizadoras Superiores. Alberto Rubio.

Metodología para la Auto-evaluación de los Sistemas de

Información de las EFS

Un proyecto de

Versión 4.0

Enero 2007

Basada en


El Grupo de Trabajo de EUROSAI IT• La primera reunión del Grupo de Trabajo de EUROSAI IT

tuvo lugar en La Haya del 30 de septiembre al 1 de octubre de 2002. Se decidió una lista de proyectos a ejecutar en 2003.

• El primer proyecto fue diseñar una herramienta de evaluación de los Sistemas de Información de las EFS mediante el método CobiT.

• En este proyecto participamos Suiza(líder), Eslovenia, Holanda, Noruega, Lituania y España.


Contenido

• El problema • Por qué una metodología de autoevaluación?

(Beneficios para las EFS)• Qué información debe producir ? • Cómo desarrollar la autoevaluación?: • Preparación

– Fase 1: explicación y discusión – Fase 2: consolidación de resultados – Fase 3: plan de acciones a tomar

• Conclusión: evaluación del método


Existe un problema? IT son críticas para el “negocio”? IT son parte de la gestión de las EFS? Coinciden expectativas y realidades? Dedicamos la atención que requieren las IT? IT suponen grandes inversiones y riesgos

El problema


Objetivos del proyecto

Contribuir al trabajo de las EFS asegurando la

calidad y desarrollo de las Tecnologías de la

Información y su gestión

Adquirir experiencia con CobiT como herramienta

de auditoría de Sistemas de Información

Mejorar el intercambio de experiencias entre

auditores y personal de IT


Por qué dedicar tiempo a este proyecto?• Formación (de los auditores de la EFS y del

personal de IT)• Primera experiencia con la auto-evaluación y

CobiT( uso futuro en la auditoría)• Comparación con otras EFS, conocimiento de

otras prácticas, identificación de oportunidades (las EFS también pueden ser autocríticas!)


Ejemplo de análisis comparativo

EFS grande

EFS media

EFS pequeña


Quién debe participar en la auto-evaluación?1. Personal de IT de la EFS

2. Técnicos de auditoría

3. Otros (gestión de la EFS)

4. El moderador (no debe considerarse la evaluación como una auditoría)


Por qué CobiT?

• Control Objetives for Information Technology• Norma internacionalmente aceptada para el

control y las buenas prácticas de las IT• En línea con ISO, ITIL, COSO• Asumido por las Normas de auditoría de INTOSAI

(Apartados 51b), 86, 144 y 153) y Guía de implementación nº 22


Resumen ejecutivo- Principales conceptos

Metodología- estructura de análisis de los procesos

Objetivos de control- organizados en 34 niveles

Guías de auditoría- revisión de los procesos

Guías de gestión- modelos de madurez, indicadores de

objetivos y de seguimiento

www.isaca.org

Componentes de CobiT


Cúal es el proceso?

Fase 22 semanas antes Fase 1 Fase 3

Recepción de la documentación para su estudio (CobiT, auto-evaluación, cuestionarios,étc)

Explicación del método. Discusión en grupo de la

estructura de la organización.Completar los cuestionarios

Consolidación de resultados y discusión Preparación del plan de

acciones y evaluación del ejercicio


Fase 1

• Explicación del método• Las dos dimensiones del

análisis• Discusión en grupo• Completar cuestionarios


Las dos dimensiones del análisis

Proceso de gestión 2







PO

1

AI1

AI2

PO

2

Planificación organización

Adquisición Implement.

Etc...

Etc…

Etc…

2 = IT

1 =

NE

GO

CIO


Primera dimensión del análisis








1 =

NE

GO

CIO


La cadena de valor de la gestión de una EFS• Cuáles son sus objetivos estratégicos?• Cuáles son sus principales funciones?• Cuáles son las principales funciones para

alcanzar los objetivos?

En el cuestionario 1 llamamos procesos de gestión a las funciones…


Ejemplo de procesos de la gestión• Planificación y organización del trabajo de la EFS • Gestión del riesgo de auditoría• Organización de las fiscalizaciones• Analisis de datos• Evaluación de las IT mediante auditoría• Informes de resultados a los auditados• Comunicación con los auditados, con el Parlamento y otras EFS• Publicación de los informes• Seguimiento de la implantación de las recomendaciones• Gestión del conocimiento• Administración de finanzas y recursos humanos• Contratación y formación de personal • Actividad administrativa• Etc…


Nivel de satisfacción del usuario

• Importancia ACTUAL de las IT?

• Importancia FUTURA de las IT?

• Están soportados los procesos por las IT?

• Proporcionan las IT los resultados esperados?


El cuestionario 1 identifica los procesos de gestión

no

ap

plica

tio

n s

oft

wa

re (

0)

low

(1

)

imp

ort

an

ce

le

ve

l (2

)

imp

ort

an

ce

le

ve

l (3

)

imp

ort

an

ce

le

ve

l (4

)

hig

h (

5)

no

ap

plica

tio

n s

oft

wa

re (

0)

low

(1

)

imp

ort

an

ce

le

ve

l (2

)

imp

ort

an

ce

le

ve

l (3

)

imp

ort

an

ce

le

ve

l (4

)

hig

h (

5)

ve

ry lo

w (

0)

qu

ality

le

ve

l (1

)

qu

ality

le

ve

l (2

)

qu

ality

le

ve

l (3

)

qu

ality

le

ve

l (4

)

ve

ry h

igh

(5

)

B1 Gestión del riesgo de auditoría software o proyecto relacionado

B2 Documentación de las fiscalizaciones software o proyecto relacionado

B3 Análisis de datos software o proyecto relacionado

B4 Evaluación de IT mediante auditoría de IT software o proyecto relacionado

B5 Informe de resultados a los auditados software o proyecto relacionado

B6 Seguimiento de recomendaciones software o proyecto relacionado

B7 Gestión del conocimiento software o proyecto relacionado

B8 Gestión de finanzas y recursos humanos software o proyecto relacionado

B9 Administración y archivo de informes software o proyecto relacionado

B10 Publicación de informes de fiscalizaciones software o proyecto relacionado

B11 Comunicación interna software o proyecto relacionado

B12 Otros software o proyecto relacionado



Importancia ACTUAL de las IT para este proceso?

Qué tipo de problemas IT existen en este nivel (especialmente si el nivel es 0-1)?

Calidad ACTUAL de la informatización de este proceso?

Importancia FUTURA de las IT para este proceso?

Cuestionario 1: Ayudan las IT a alcanzar los objetivos de las EFS?

version 4.0


Segunda dimensión del análisis

PO

1

AI1

AI2

PO

2

Planning and Organisation

Acquisition and implementation

Etc...

Etc…

Etc…

2 = IT


La segunda dimensión está basada en los niveles de madurez definidos en CobiT

• CobiT identifica 34 procesos

• Cuáles son los procesos más importantes en la EFS?

• Cuáles son los niveles del modelo de madurez?


Modelo de madurez Ejemplo: “DS4 Asegurar la continuidad del servicio”0 No existe.

No se conocen los riesgos, vulnerabilidades y amenazas de las operaciones de IT o el impacto de la pérdida de los servicios de IT. La continuidad del servicio no se considera con la necesaria atención por los gestores.

5 Optimizado El servicio contínuo está integrado, automatizado, y se autoanaliza teniendo en cuenta su comparación con las mejores prácticas conocidas. Existen planes de continuidad integrados en los planes de gestión. La continuidad del servicio está asegurada por los suministradores. Se realizan tests de resultados incluidos en el proceso de mantenimiento. El coste de la continuidad del servicio se optimiza por medio de la innovación y la integración. El análisis de los datos se utiliza para la identificación de oportunidades de mejora.


Ejemplo 2: “PO10 Gestión de proyectos”0 No existe.

Las técnicas de gestión de proyectos no se utilizan. La organización no considera los impactos asociados a la mala gestión de proyectos ni los fallos de desarrollo.

5 Optimizado Está implementada y probada una metodología que comprende el ciclo completo de los proyectos, y se integra en la cultura de la organización. Existe un programa de seguimiento para identificar e institucionalizar las buenas prácticas. Una oficina integrada de gestión de proyectos es responsable de los mismos desde su inicio hasta su completa instalación, bajo la dirección de las unidades de gestión y proporciona los recursos de IT para completar los proyectos.


Cuestionario 2n

ot

kn

ow

n

no

t im

porta

nt (1)

imp

orta

nce

le

ve

l (2)

imp

orta

nce

le

ve

l (3)

imp

orta

nce

le

ve

l (4)

very im

po

rta

nt (5

)

Areas y procesos según CobiT 4.0 no

n-e

xis

ten

t (0)

initia

l /

ad

ho

c (

1)

re

pe

ata

ble

but

intu

itiv

e (

2)

de

fine

d p

roce

ss (

3)

man

ag

ed a

nd m

ea

sura

ble

(4

)

op

tim

ised

(5

)

no

n-e

xis

ten

t (0)

initia

l /

ad

ho

c (

1)

re

pe

ata

ble

but

intu

itiv

e (

2)

de

fine

d p

roce

ss (

3)

man

ag

ed a

nd m

ea

sura

ble

(4

)

op

tim

ised

(5

)

Planificación y OrganizaciónPO1 Existe un Plan estratégico de IT

PO2 Existe una arquitectura de la información

PO3 Se determina la dirección tecnológica

PO4 Existe una organización de IT y sus relaciones

PO5 Gestión de inversiones en IT

PO6 Comunicación de fines y dirección de la gestión

PO7 Gestión de recursos humanos

PO8 Cumplimiento con requisitos externos

PO9 Evaluación de riesgos

PO10 Gestión de proyectos

Adquisición e implementaciónAI1 Identificación de soluciones automatizadas

AI2 Adquisición y mantenimiento adquisiciones SW

AI3 Adquisición y mantenimiento infraestructuras

AI4 Desarrollo y mantenimiento de procedimientos

AI5 Instalación y acreditación de sistemas

AI6 Gestión de cambios

AI7 Instalar y acreditar soluciones y cambios

Instalación y mantenimientoDS1 Definir y gestionar niveles de servicio

DS2 Gestionar servicios de terceros o externos

DS3 Gestionar ejecución y capacidad

DS4 Asegurar la continuidad del servicio

DS5 Asegurar la seguridad del sistema

DS6 Previsión y asgnación de costes

DS7 Formación de usuarios

DS8 Asistencia a usuarios

DS9 Gestionar la configuración

DS10 Gestión de problemas e incidencias

DS11 Gestión de datos

DS12 Gestión de programas y accesos

DS13 Gestión de operaciones

Monitorización y controlM1 Control de los procesos

M2 Evaluar la adecuación del control interno

M3 Obtener certificaciones independientes

M4 Realizar auditorias independientes

Qué procesos del negocio(ver Cuestionario 1) están afectados (especialmente si el nivel =0-1)?

Nivel de madurez DESEADO para este proceso?

IMPORTANCIA de este proceso?

Cuestionario 2. Cúal es el nivel de madurez de los procesos de IT?

Nivel de madurez ACTUAL de este proceso?

version 4.0


no

t kn

ow

n

no

t im

po

rta

nt

(1)

imp

ort

an

ce

le

ve

l (2

)

imp

ort

an

ce

le

ve

l (3

)

imp

ort

an

ce

le

ve

l (4

)

ve

ry im

po

rta

nt

(5)

Areas y procesos según CobiT 4.0 no

n-e

xis

ten

t (0

)

initia

l /

ad

ho

c (

1)

rep

ea

tab

le b

ut

intu

itiv

e (

2)

de

fin

ed

pro

ce

ss (

3)

ma

na

ge

d a

nd

me

asu

rab

le (

4)

op

tim

ise

d (

5)

no

n-e

xis

ten

t (0

)

initia

l /

ad

ho

c (

1)

rep

ea

tab

le b

ut

intu

itiv

e (

2)

de

fin

ed

pro

ce

ss (

3)

ma

na

ge

d a

nd

me

asu

rab

le (

4)

op

tim

ise

d (

5)

Planificación y OrganizaciónPO1 Existe un Plan estratégico de IT

PO2 Existe una arquitectura de la información

PO3 Se determina la dirección tecnológica

PO4 Existe una organización de IT y sus relaciones

PO5 Gestión de inversiones en IT

PO6 Comunicación de fines y dirección de la gestión

PO7 Gestión de recursos humanos

PO8 Cumplimiento con requisitos externos

PO9 Evaluación de riesgos

PO10 Gestión de proyectos

Adquisición e implementaciónAI1 Identificación de soluciones automatizadas

Qué procesos del negocio(ver Cuestionario 1) están afectados (especialmente si el nivel =0-1)?

Nivel de madurez DESEADO para este proceso?

IMPORTANCIA de este proceso?

Cuestionario 2. Cúal es el nivel de madurez de los procesos de IT?

Nivel de madurez ACTUAL de este proceso?

version 4.0

Cuestionario 2

. . .

Importancia de los procesos

de IT?

Calidad de los

procesos de IT?


Business added-value chain

fully

auto

mate

d (5)

auto

matiz

atio

n le

vel (

4)

auto

matiz

atio

n le

vel (

3)

auto

matiz

atio

n le

vel (

2)

auto

matiz

atio

n le

vel (

1)

no a

pplic

atio

n s

oftw

are

(0)

unusa

ble

(0)

satis

fact

ion le

vel

(1)

satis

fact

ion le

vel (

2)

satis

fact

ion le

vel (

3)

satis

fact

ion le

vel (

4)

fully

satis

fied (5)

B1 Audit Risk Management

B2 Organise the missions

B3 Analyse the data

B4 Test the IT by the IT-Audit

B5 Report the results to the auditee

B6 Track the implementation of the recommandations

B7 Manage the knowledge

B8 Manage finances and human ressources

B9 Administer and archive the dossiers

B10 Publish the results of the audits

B11 Communicate

B12 other …

B13 other…

In which IT-process (see above in Form 1) is the problem (especially if satisfaction level = 0 or 1)?

Does IT bring the results we're excepting?

Does IT support this process

Form 2 (for the owners of the business value-added chain processes). Does the IT help to achieve the SAI's strategic goals?

very

im

port

ant

(2)

import

ant

(1)

not

import

ant

(0)

not

sure

(0)

COBIT's Domains and Processes non-e

xis

tent

(0)

initia

l /

ad h

oc (

1)

repeata

ble

but

intu

itiv

e (

2)

defined p

rocess (

3)

managed a

nd m

easura

ble

(4)

optim

ised (

5)

Planning and OrganisationPO1 Define a Strategic IT Plan

PO2 Define the information architecture

PO3 Determine the technological direction

PO4 Define the IT Organisation and Relationships

PO5 Manage the IT investment

PO6 Communicate management aims and direction

PO7 Manage human resources

PO8 Ensure compliance with external requirements

PO9 Assess risks

PO10 Manage projects

PO11 Manage quality

Acquisition and ImplementationAI1 Identify automated solutions

AI2 Acquire and maintain application SW

AI3 Acquire and maintain technology infrastructure

AI4 Develop and maintain procedures

AI5 Install and accredit systems

AI6 Manage changes

Delivery and SupportDS1 Define and manage service levels

DS2 Manage third-party services

DS3 Manage performance and capacity

DS4 Ensure continuous service

DS5 Ensure system security

DS6 Identify and allocate costs

DS7 Educate and train users

DS8 Assist and advise customers

DS9 Manage the configuration

DS10 Manage problems and incidents

DS11 Manage data

DS12 Manage facilities

DS13 Manage operations

MonitoringM1 Monitor the processes

M2 Assess internal control adequacy

M3 Obtain independent assurance

M4 Provide for independent audit

Which business processes (see below in Form 2) are affected by this problem (especially if level = 0 or 1)?

Maturity level of the process

Importance of the process

Form 1 (for IT-people): What is the maturity level of the IT-processes?

Relación entre usuarios y IT

En qué procesos está el problema (especialmente si = 0 or 1)?

Qué procesos de gestión están

afectados (si nivel = 0 or 1)?


Fase 2Consolidación de resultados

Asuntos para la discusión

• Diferencias de valoración

• Discusión de resultados, especialmente los peores…


Consolidación de resultadosCuestionario 1

pa

rtcip

ant

1

pa

rtcip

ant

2

pa

rtcip

ant

3

pa

rtcip

ant

4

pa

rtcip

ant

5

pa

rtcip

ant

6

pa

rtcip

ant

7

pa

rtcip

ant

8

pa

rtcip

ant

9

pa

rtcip

ant

10

pa

rtcip

ant

11

pa

rtcip

ant

12

pa

rtcip

ant

13

tota

l

va

lor

med

io

pa

rtcip

ant

1

pa

rtcip

ant

2

pa

rtcip

ant

3

pa

rtcip

ant

4

pa

rtcip

ant

5

pa

rtcip

ant

6

pa

rtcip

ant

7

pa

rtcip

ant

8

pa

rtcip

ant

9

pa

rtcip

ant

10

pa

rtcip

ant

11

pa

rtcip

ant

12

pa

rtcip

ant

13

tota

l

va

lor

med

io

pa

rtcip

ant

1

pa

rtcip

ant

2

pa

rtcip

ant

3

pa

rtcip

ant

4

pa

rtcip

ant

5

B1 Gestión del riesgo de auditoría 1 2 3 4 1 2 0 13 1,9 5 5 3 4 1 2 0 20 2,9 2 3 4 5 1B2 Documentación de las fiscalizaciones 2 3 4 5 1 3 1 19 2,7 2 3 4 5 1 3 5 23 3,3 3 4 5 0 2B3 Análisis de datos 3 4 5 0 2 4 1 19 2,7 5 4 5 0 2 4 1 21 3 1 1 1 1 1B4 Evaluación de IT mediante auditoría de IT 4 5 0 0 3 5 1 18 2,6 4 5 5 0 3 5 1 23 3,3 2 2 2 2 2B5 Informe de resultados a los auditados 0 0 0 0 0 0 1 1 0,1 0 0 0 0 0 0 1 1 0,1 3 4 5 0 2B6 Seguimiento de recomendaciones 0 1 2 3 4 5 1 16 2,3 0 5 2 3 5 5 1 21 3 4 5 0 0 3B7 Gestión del conocimiento 1 2 3 4 1 2 1 14 2 1 2 3 4 1 2 1 14 2 5 1 1 0 4B8 Gestión de finanzas y recursos humanos 2 3 4 5 1 3 1 19 2,7 2 3 4 5 1 3 1 19 2,7 0 1 2 3 4B9 Administración y archivo de informes 3 4 5 0 2 4 1 19 2,7 3 4 5 5 2 4 1 24 3,4 1 2 3 4 1B10 Publicación de informes de fiscalizaciones 1 1 1 1 1 1 1 7 1 1 5 5 5 5 1 1 23 3,3 5 5 5 5 5B11 Comunicación interna 2 2 2 2 2 2 2 14 2 2 2 2 2 2 5 2 17 2,4 2 2 2 2 2B12 Otros 3 3 3 3 3 3 3 21 3 3 3 3 3 3 3 3 21 3 1 1 1 1 1B13 Otros 4 4 5 5 5 5 5 33 4,7 4 4 5 5 5 5 5 33 4,7 1 1 0 0 0

Consolidación Cuestionario 1. Procesos de gestión

Cúal es la importancia FUTURA de los procesos IT ?Cúal es la importancia ACTUAL de los procesos IT ? Cúal es la calidad ACTUAL de los procesos IT ?


Consolidación de resultadosGráfico 1

0

1

2

3

4

5

6

B 1 B 3 B 5 B 7 B 9 B 1 1 B 1 3

p r o c e s s

W h a t i s t h e i m p o r t a n c e o ft h e c u r r e n t IT s y s t e m s ?

W h a t i s t h e i m p o r t a n c e o ft h e fu t u r e IT s y s t e m s ?

W h a t i s t h e q u a l i t y o f t h ec u r r e n t IT s y s t e m s ?


Consolidación de resultadosCuestionario 2

Process pa

rtcip

an

t 1

pa

rtcip

an

t 2

pa

rtcip

an

t 3

pa

rtcip

an

t 4

pa

rtcip

an

t 5

pa

rtcip

an

t 6

pa

rtcip

an

t 7

pa

rtcip

an

t 8

pa

rtcip

an

t 9

pa

rtcip

an

t 1

0

pa

rtcip

an

t 1

1

pa

rtcip

an

t 1

2

pa

rtcip

an

t 1

3

tota

l

va

lor m

ed

io

pa

rtcip

an

t 1

pa

rtcip

an

t 2

pa

rtcip

an

t 3

pa

rtcip

an

t 4

pa

rtcip

an

t 5

pa

rtcip

an

t 6

pa

rtcip

an

t 7

pa

rtcip

an

t 8

pa

rtcip

an

t 9

pa

rtcip

an

t 1

0

pa

rtcip

an

t 1

1

pa

rtcip

an

t 1

2

pa

rtcip

an

t 1

3

tota

l

va

lor m

ed

io

pa

rtcip

an

t 1

pa

rtcip

an

t 2

pa

rtcip

an

t 3

pa

rtcip

an

t 4

pa

rtcip

an

t 5

pa

rtcip

an

t 6

pa

rtcip

an

t 7

pa

rtcip

an

t 8

pa

rtcip

an

t 9

pa

rtcip

an

t 1

0

pa

rtcip

an

t 1

1

pa

rtcip

an

t 1

2

pa

rtcip

an

t 1

3

PO1 3 4 5 0 2 4 1 19 2,7 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1PO2 4 5 0 0 3 5 1 18 2,6 1 0 0 0 0 0 0 1 0,1 1 1 2 3 4 3 0PO3 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 1 2 3 4 3 1PO4 1 0 0 0 0 0 0 1 0,1 3 4 5 0 2 4 1 19 2,7 3 1 2 3 4 4 1PO5 2 3 4 5 1 3 1 19 2,7 4 5 0 0 3 5 1 18 2,6 4 1 2 3 4 5 1PO6 3 4 5 0 2 4 1 19 2,7 5 1 1 0 4 0 1 12 1,7 5 1 2 3 4 0 1PO7 4 5 0 0 3 5 1 18 2,6 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1PO8 5 1 1 0 4 0 1 12 1,7 1 2 3 4 1 2 1 14 2 1 1 2 3 4 2 1PO9 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 1 2 3 4 3 1

PO10 1 2 3 4 1 2 1 14 2 3 4 5 0 2 4 1 19 2,7 3 1 2 3 4 4 1AI1 3 4 5 0 2 4 1 19 2,7 3 4 5 0 2 4 1 19 2,7 3 4 5 0 5 4 1AI2 4 5 0 0 3 5 1 18 2,6 4 5 0 0 3 5 1 18 2,6 4 5 0 0 5 5 1AI3 3 4 5 0 2 4 1 19 2,7 5 5 5 5 5 5 5 35 5 5 5 5 1 5 5 5AI4 4 5 0 0 3 5 1 18 2,6 0 1 2 3 4 5 1 16 2,3 0 1 2 1 5 5 1AI5 5 5 5 5 5 5 5 35 5 1 2 3 4 1 2 1 14 2 1 2 3 1 5 2 1AI6 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 3 4 1 5 3 1AI7 0 1 2 3 4 5 1 16 2,3 2 3 4 5 1 3 1 19 2,7 2 3 4 1 5 3 1DS1 1 2 3 4 1 2 1 14 2 3 4 5 0 2 4 1 19 2,7 3 4 5 1 5 4 1DS2 2 3 4 5 1 3 1 19 2,7 4 5 0 0 3 5 1 18 2,6 4 5 0 1 5 5 1DS3 3 4 5 0 2 4 1 19 2,7 5 1 1 0 4 0 1 12 1,7 5 1 1 1 5 0 1DS4 4 5 0 0 3 5 1 18 2,6 0 1 2 3 4 5 1 16 2,3 0 1 2 1 5 5 1DS5 5 1 1 0 4 0 1 12 1,7 1 2 3 4 1 2 1 14 2 1 2 3 1 5 2 1DS6 4 5 0 0 3 5 1 18 2,6 2 3 4 5 1 3 1 19 2,7 2 3 4 1 5 3 1DS7 5 1 1 0 4 0 1 12 1,7 0 0 0 0 0 0 1 1 0,1 0 0 0 1 5 0 1DS8 0 1 2 3 4 5 1 16 2,3 0 0 0 0 0 0 0 0 0 0 0 0 0 5 5 0DS9 1 2 3 4 1 2 1 14 2 5 1 1 0 4 0 1 12 1,7 5 1 1 0 4 5 1

DS10 2 3 4 5 1 3 1 19 2,7 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1DS11 3 4 5 0 2 4 1 19 2,7 1 2 3 4 1 2 1 14 2 1 2 3 4 1 5 1DS12 4 5 0 0 3 5 1 18 2,6 2 2 2 2 2 2 2 14 2 2 2 2 2 2 5 2DS13 3 4 5 0 2 4 1 19 2,7 3 3 3 3 3 3 3 21 3 3 3 3 3 3 5 3

M1 4 5 0 0 3 5 1 18 2,6 3 4 5 0 2 4 1 19 2,7 3 4 5 0 2 5 1M2 5 5 5 5 5 5 5 35 5 4 5 0 0 3 5 1 18 2,6 4 5 0 0 3 5 1M3 0 1 2 3 4 5 1 16 2,3 5 1 1 0 4 0 1 12 1,7 5 1 1 0 4 5 1M4 1 0 0 0 0 0 0 1 0,1 0 1 2 3 4 5 1 16 2,3 0 1 2 3 4 5 1

Consolidación de resultados. Cuestionario 2.

Importancia del proceso IT ? Nivel de madurez ACTUAL del proceso IT? Nivel de madurez DESEADO del proceso?


Consolidación de resultadosGráfico 2. Procesos IT CobiT

0

1

2

3

4

5

6

P O 1 P O 4 P O 7 P O 1 0 A I2 A I5 D S 2 D S 5 D S 8 D S 1 1 M 1 M 4

p r o c e s s

Im p o r t a n c e o f t h e p r o c e s s ?

C u r r e n t m a t u r i t y le v e l o f t h e p r o c e s s?

D e s ir e d m a t u r i t y le v e l o f t h e p r o c e s s?


Fase 3Conclusión

• Preparación del plan de acciones futuras

• Evaluación de la metodología propuesta


Plan de acciones futuras

• Descripción de gaps• Riesgos/ Implicaciones• Recomendación/ Descripción acciones• Responsables• Fecha ejecución actividades• Prioridades1-10


Evaluación de la metodologíaCuestionario General

•

Cuestionario de evaluación del proyecto• Autoevaluación de IT de las EFS• Grupo de Trabajo de EUROSAI IT•

• Objetivos: Obtener propuestas concretas para la mejora de la metodología de autoevaluación de las IT de las EFS

• Nota: Las 7 preguntas siguientes deberán ser contestadas por un representante del grupo de autoevaluación

• NrPregunta1:Describa brevemente el uso de las IT en su EFS. (Procesos en los que intervienen las IT en su EFS)

• 2:¿Son las IT una actividad crítica para el “negocio”o gestión de la EFS?


Evaluación de la metodologíaCuestionario individual

•

Cuestionario de evaluación del proyecto• Autoevaluación de IT de las EFS• Grupo de Trabajo de EUROSAI IT

• Objetivos: Obtener propuestas concretas para la mejora del proceso de autoevaluación de las IT

• de las EFS y su documentación.• Evaluación del proceso por cada participante del grupo de autoevaluación:• Nr Pregunta:1¿Tiene alguna experiencia previa con el proceso de autoevaluación?

(Sí/No)• 2¿Tiene alguna experiencia previa con el método CobiT? (Sí/No)• 3 En su opinión, ¿han participado las personas adecuadas en el grupo de

autovaluación? (Sí/No). Si la respuesta es negativa, ¿quiénes deberían participar?


MUCHAS GRACIAS!

eurosai it working groupmetodología itsa versión 4.01 auditorÍa de sistemas de informaciÓn...

Documents