Modelo de Informe GITCs - Revisión - Controles - Generales - TI

ABCD
Nombre EMPRESA Revisada
Revisión de Controles
Generales de Sistemas de
Información
Asesores S.L.
Yyyy-mm-dd (2012-01-12)
Este informe contiene nn (21) páginas
Documento
Cintullo de derechos de autor

ABCD - LOGO
Nombre Empresa Revisada
Revisión de Controles Generales de Sistemas de
Información
Mes año (Junio 2019)
Contenidos
1 Introducción 1
2 Alcance 1
3 Entorno de Sistemas de Información 2

3.1 Aplicaciones 2
4 Áreas de Control de Sistemas de Información 3

4.1 Acceso a Datos y Programas [KAM 32.9140] 3
4.1.1 I.A. Política de Seguridad / Concienciación de usuarios 3
4.1.2 I.B. Acceso Físico 5
4.1.3 I.C. Gestión de Accesos 6
4.1.4 I.D. Identificación y autenticación 8
4.1.5 I.F. Usuarios Administradores 9
4.2 Gestión de Cambios [KAM 32.9240] 11
4.2.1 II.A. Autorización, desarrollo, pruebas y aprobación 11
4.2.2 II.B. Paso al entorno de producción 13
4.3 Desarrollo de Aplicaciones [KAM 32.9320] 14
4.3.1 III.A. Metodología de desarrollo / adquisición 14
4.4 Operaciones [KAM 32.9415] 16
4.4.1 IV.A. Gestión de tareas 16
4.4.2 IV.B. Procedimientos de Copias de Seguridad y Recuperación 17
4.4.3 IV.C. Procedimientos de Gestión de Incidencias y Problemas 18
Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019 i

© 2019 KPMG Asesores S.L. Todos los derechos reservados.
ABCD - LOGO
Información
1 Introducción
En el marco de la auditoría financiera del Grupo EMPRESA (en adelante el grupo) para
el ejercicio 2011 y en base a la solicitud del equipo de auditoría, hemos llevado a cabo
una revisión de los Controles Generales de Sistemas de Información y riesgos asociados
al uso de las tecnologías de la información, con el fin de valorar si existe un ambiente de
control suficiente, para apoyar una auditoría financiera basada en la confianza en los
sistemas.
Debido a que el estudio y la evaluación citados fueron realizados únicamente con la

finalidad indicada, no han pretendido identificar necesariamente todas las debilidades que
puedan existir y, por tanto, no expresamos una opinión sobre el sistema de control interno.
Este memorando ha sido preparado para uso exclusivo del equipo de KPMG Auditores
en el contexto de la auditoría financiera de la entidad para el ejercicio anual de 2011, por
lo que no podrá ser utilizado para fines distintos al descrito ni ser distribuido a terceros
sin nuestra autorización.
2 Alcance
En concreto, hemos revisado las siguientes áreas de los sistemas de información del
Grupo EMPRESA.
 Acceso a programas y datos (Seguridad lógica y física)

 Gestión de Cambios
 Desarrollo de Programas
 Operaciones y explotación de sistemas
La aplicación que hemos revisado es:
 SAP
Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 1

Compañía Asesora
ABCD - LOGO
Información
3 Entorno de Sistemas de Información

El Grupo EMPRESA está constituido por centros en España y 4 en el área Caribe.
El servidor de producción de México está consolidado en el de España. Hay dos

mandantes y cada uno contiene lo que había en cada uno de los SAP en los ejercicios
anteriores. El mandante 100 es lo que en otros ejercicios correspondía a la máquina de
España, mientras que el 200 es el que correspondía a la máquina del Caribe.
Este año se ha incluido un nuevo grupo MD Andersn en Madrid y que está en el mandante
correspondiente a España. Los documentos y procedimientos han sufrido y en algunos
casos están sufriendo modificaciones para incluirlo.
En el Departamento de Sistemas hay un nuevo empleado que se encarga del

mantenimiento para el centro de Madrid, MD Anderson. Esto se ve reflejado en el
Organigrama de Sistemas que ha sido actualizado en noviembre de 2011 (véase E.1).
Los centros están comunicados a través de túneles de comunicación utilizando protocolos

VPN, de forma que "los datos están encriptados y protegidos contra una intrusión desde
las redes del proveedor del servicio de comunicación" (véase I.A.3.a, I.A.3.b y I.A.3.c).
Los centros están asilados entre sí mediante firewalls. Las conexiones internacionales se
realizan a través de Internet, mientras que las nacionales se realizan a través de enlaces
dedicados.
3.1 Aplicaciones
SAP es la aplicación principal utilizada por el Grupo EMPRESA, que incluye módulos
de ERP (Finanzas, Logística, Controlling) y módulos de gestión sanitaria (véase Manual
de Usuario).
Hay que indicar que algunos de los procedimientos que han sido evaluados en esta
revisión, véase gestión de usuarios o gestión de incidencias, han sido modificados y
mejorados durante el ejercicio que se está auditando (2011) y por tanto se han recabado
evidencias tanto del procedimiento antiguo, como del nuevo con los que se han subsanado
aspectos que se pusieron de manifiesto en anteriores revisiones.

Compañía Asesora
ABCD - LOGO
Información
4 Áreas de Control de Sistemas de Información
4.1 Acceso a Datos y Programas [KAM 32.9140]

Objetivo: Determinar si la dirección ha establecido controles adecuados para el acceso a
programas y a los datos para restringir el acceso a las personas autorizadas.
Para esto, hemos considerado los siguientes aspectos:
I.A. Política de Seguridad / Concienciación de usuarios
I.B. Acceso Físico
I.C. Gestión de Accesos
I.D. Identificación y autenticación
I.E. Monitorización
I.F. Usuarios Administradores
4.1.1 I.A. Política de Seguridad / Concienciación de usuarios
Descripción de los Controles Relacionados:
Control I.A.1 Organización de Sistemas de Información. Independencia de la Función de

Seguridad: Determinar si la figura de seguridad esta adecuadamente posicionada según el
organigrama para ser independiente de las áreas de desarrollo y operaciones.
Control I.A.2.1 Política de Seguridad: Verificar si periódicamente se realizan comunicaciones o

cursos de formación en relación con aspectos de seguridad de la información a los usuarios.
Control I.A.3 Adecuación a la Ley Orgánica de Protección de Datos: Determinar si la política de

seguridad política contiene todos los datos relevantes .Si abarca todos los aspectos de la seguridad,
incluyendo seguridad física, seguridad lógica, responsabilidades de los usuarios, L.O.P.D., gestión de
cambios con el entorno de producción, gestión de incidencias, gestión de soportes, estrategias de
recuperación y contingencias, traslado de información y entorno de microinformática.
Organización de Sistemas de Información. Independencia de la Función

Control I.A.1
de Seguridad
Procedimientos de auditoría para Resultados de la evaluación del diseño W/P Ref Conclusión
evaluar el diseño y la e implementación
implementación

Compañía Asesora
ABCD - LOGO
Información
Organización de Sistemas de Información. Independencia de la Función

Control I.A.1
de Seguridad
Procedimientos de auditoría para Resultados de la evaluación de la

W/P Ref Conclusión
evaluar la efectividad efectividad
I.A.3.a
I.A.3.b
I.A.3.c
Control I.A.2.1 Política de Seguridad
implementación
I.C.1.b
I.C.1.c
I.C.1.d
I.C.1.a

W/P Ref Conclusión
I.A.2.1.a
I.A.2.1.b
Control I.A.3 Adecuación a la Ley Orgánica de Protección de Datos
implementación

W/P Ref Conclusión
I.A.3.a No Efectivo

Compañía Asesora
ABCD - LOGO
Información
Control I.A.3 Adecuación a la Ley Orgánica de Protección de Datos
I.A.3.b
I.A.3.c
I.A.3.d
I.A.3.e
I.A.3.f
I.A.3.g
I.A.3.h
I.A.3.i
I.A.3.j
I.A.3.k
4.1.2 I.B. Acceso Físico
Control I.B.2 Seguridad física y acceso al CPD
Control I.B.2.1 Registro de accesos al CPD
Control I.B.2 Seguridad física y acceso al CPD
implementación

W/P Ref Conclusión

Compañía Asesora
ABCD - LOGO
Información
Control I.B.2.1 Registro de accesos al CPD
implementación
I.A.3.a
I.A.3.b
I.A.3.c

W/P Ref Conclusión
4.1.3 I.C. Gestión de Accesos
Control I.C.1 Gestión de usuarios. Alta, baja y modificación:
Control I.C.2.1 Procedimiento de autentificación de usuarios.
Control I.C.3.1 Procedimiento para la entrega de contraseñas.
Control I.C.1 Gestión de usuarios. Alta, baja y modificación
implementación
I.C.1.a
I.C.1.b
I.C.1.c
I.C.1.d

W/P Ref Conclusión
I.C.1.o

Compañía Asesora
ABCD - LOGO
Información
Control I.C.1 Gestión de usuarios. Alta, baja y modificación
I.C.1.p
I.C.1.q
I.C.1.r
I.C.1.s
I.C.1.t
I.C.1.e
I.C.1.f
I.C.1.g
I.C.1.h
I.C.1.i
I.C.1.j
I.C.1.k
I.C.1.l
I.C.1.m
I.C.1.n
I.C.1.v
I.C.1.w
I.C.1.x
I.C.1.y
Control I.C.2.1 Procedimiento de autentificación de usuarios.
implementación
I.C.2.1.a

W/P Ref Conclusión
I.C.2.1.a Parcialmente
Inefectivo

Compañía Asesora
ABCD - LOGO
Información
Control I.C.3.1 Procedimiento para la entrega de contraseñas.
implementación

W/P Ref Conclusión
Por el tiempo limitado de la revisión se ha N/A

evaluado únicamente este control a nivel
de diseño.
4.1.4 I.D. Identificación y autenticación
Control I.D.1 Asignación de usuarios únicos y personales
Control I.D.2 Parámetros de las claves de acceso.
Control I.D.1 Asignación de usuarios únicos y personales
implementación
I.A.3.a
I.A.3.b
I.A.3.c

W/P Ref Conclusión
I.D.1.a

Compañía Asesora
ABCD - LOGO
Información
Control I.D.2 Parámetros de las claves de acceso
implementación
I.A.3.a
I.A.3.b
I.A.3.c

W/P Ref Conclusión
I.D.2.a Parcialmente
Efectivo
I.D.2.b
4.1.5 I.F. Usuarios Administradores
Control I.F.1 Concesión de permisos de usuario administrador
Control I.F.2 Segregación de funciones
implementación

W/P Ref Conclusión
Se ha obtenido el listado de usuarios del Parcialmente

Directorio Activo donde se comprueba
Inefectivo
que hay usuarios genéricos
Administradores, como el usuario
Administrador (véase Listado 1).

Compañía Asesora
ABCD - LOGO
Información
Control I.F.2 Segregación de funciones
implementación

W/P Ref Conclusión
N/A

Compañía Asesora
ABCD - LOGO
Información
4.2 Gestión de Cambios [KAM 32.9240]

Objetivo: Determinar si la dirección ha establecido controles adecuados para los cambios a
programa para asegurar que los cambios realizados en los sistemas/aplicaciones existentes han
sido autorizados, aprobados, implementados correctamente y documentados.
II.A. Autorización, desarrollo, pruebas y aprobación
II.B. Paso al entorno de producción
II.C. Cambios de Configuración
II.D. Cambios de emergencia
4.2.1 II.A. Autorización, desarrollo, pruebas y aprobación
Control II.A.1 Procedimiento de gestión de cambios
Control II.A.2 Registro de las solicitudes de cambios.
Control II.A.3 Aprobación de solicitudes de cambio.
Control II.A.4 Realización de pruebas de sistema por el personal de TI.
Control II.A.5 Realización de pruebas de aceptación por los usuarios de negocio.
Control II.A.1 Procedimiento de gestión de cambios.
implementación
II.A.1.a

W/P Ref Conclusión
Efectivo

Compañía Asesora
ABCD - LOGO
Información
Control II.A.2 Registro de las solicitudes de cambios.
implementación
Parcialmente
Efectivo

W/P Ref Conclusión
N/A
Control II.A.3 Aprobación de solicitudes de cambio.
implementación

W/P Ref Conclusión

Compañía Asesora
ABCD - LOGO
Información
Control II.A.4 Realización de pruebas de sistema por el personal de TI
implementación

W/P Ref Conclusión
Control II.A.5 Realización de pruebas de aceptación por los usuarios de negocio.
implementación

W/P Ref Conclusión
II.A.5.a
II.A.5.b
II.A.5.c
4.2.2 II.B. Paso al entorno de producción
Control II.B.1 Separación de entornos de producción y prueba
implementación

Compañía Asesora
ABCD - LOGO
Información
II.A.6.a
II.A.1.a

W/P Ref Conclusión
II.A.1.f
II.A.1.g
4.3 Desarrollo de Aplicaciones [KAM 32.9320]

Objetivo: Determinar si la dirección ha establecido controles adecuados para la gestión de
desarrollo de aplicaciones para asegurar que los nuevos sistemas/aplicaciones que han sido
desarrollados o adquiridos han sido autorizados, probados, aprobados e implementados y
documentados de forma adecuada.
III.A. Metodología de desarrollo / adquisición
III.B. Diseño, desarrollo, pruebas, aprobación e implementación
III.C. Migración de datos
Nota: El alcance de esta área está limitado por el tiempo de revisión. Se ha llevado a cabo el
seguimiento de uno de los cambios/proyectos de mayor envergadura de la entidad que ha sido
el cambio del servidor CPR por su importancia dentro del Grupo.
4.3.1 III.A. Metodología de desarrollo / adquisición
Control III.A.1 Procedimiento de gestión de proyectos/desarrollos

Compañía Asesora
ABCD - LOGO
Información
Control III.A.1 Procedimiento de gestión de proyectos/desarrollos
implementación
N/A

W/P Ref Conclusión
N/A
(conclusión
referente al
proyecto
analizado).
Limitación en el
alcance

Compañía Asesora
ABCD - LOGO
Información
4.4 Operaciones [KAM 32.9415]

Objetivo: Determinar si la dirección ha establecido controles adecuados para la gestión de
operaciones de los sistemas para asegurar que el procesamiento de sistemas/aplicaciones ha sido
autorizado y planificado apropiadamente, y, en caso de producirse desviaciones en la
planificación, éstas han sido detectadas y resueltas.
IV.A. Gestión de tareas
IV.B. Procedimientos de Copias de Seguridad y Recuperación
IV.C. Procedimientos de Gestión de Incidencias y Problemas
4.4.1 IV.A. Gestión de tareas
Control IV.A.1 Planificación de jobs: Comprobar el procedimiento de gestión de tareas

programadas que sigue el Grupo, cuál es el planificador utilizado, el modo de notificar y comprobar
el estado de la tarea y las acciones correctivas a llevar a cabo.
Control IV.A.2 Protección ante virus e intrusiones: Comprobar el sistema antivirus que tiene el
Grupo y verificar si está correctamente actualizado.
Control IV.A.1 Planificación de jobs
implementación

W/P Ref Conclusión
IV.A.1.a
IV.A.1.b

Compañía Asesora
ABCD - LOGO
Información
Control IV.A.2 Protección ante virus e intrusiones
implementación
.

W/P Ref Conclusión
IV.A.2.a
4.4.2 IV.B. Procedimientos de Copias de Seguridad y Recuperación
Control IV.B.1 Planificación de copias de seguridad: Comprobar el procedimiento de realización

de copias de seguridad, la frecuencia de su realización, el planificador utilizado. Además, comprobar
cómo se notifican los fallos y las acciones correctivas que se toman al respecto.
Control IV.B.2 Almacenamiento de copias de seguridad: Verificar el procedimiento de

almacenamiento de copias seguido por el Grupo EMPRESA.
Control IV.B.1 Planificación de copias de seguridad
implementación
I.C.2.1.a Efectivo

W/P Ref Conclusión
IV.B.1.a
IV.B.1.b
IV.B.1.c

Compañía Asesora
ABCD - LOGO
Información
Control IV.B.2 Almacenamiento de copias de seguridad
implementación
I.C.2.1.a

W/P Ref Conclusión
4.4.3 IV.C. Procedimientos de Gestión de Incidencias y Problemas
Control IV.C.2 Plan de Contingencia y Plan de Continuidad: Verificar si el Grupo cuenta con un
Plan de Recuperación ante desastres y de Continuidad de Negocio. Además, verificar si este plan ha
sido probado durante el ejercicio 2011.
Control IV.C.3 Procedimiento de gestión de incidencias: Verificar si el Grupo tiene un

procedimiento de Gestión de Incidencias por el cual éstas quedan registradas y se puede hacer
seguimiento de cada una.
Control IV.C.2 Plan de Contingencia y Plan de Continuidad
implementación

W/P Ref Conclusión
IV.C.2.a
IV.C.2.b
IV.C.2.c

Compañía Asesora
ABCD - LOGO
Información
Control IV.C.3 Procedimiento de gestión de incidencias
implementación
Efectivo (Nota: Se
ha puesto en
vigor en 2011)

W/P Ref Conclusión
IV.C.3.a
IV.C.3.b
IV.C.3.c

Compañía Asesora

Modelo de Informe GITCs - Revisión - Controles - Generales - TI

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Modelo de Informe GITCs - Revisión - Controles - Generales - TI

Caricato da

Copyright:

Formati disponibili

ABCD

Nombre EMPRESA Revisada

Cintullo de derechos de autor

3 Entorno de Sistemas de Información 2

4 Áreas de Control de Sistemas de Información 3

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019 i

Debido a que el estudio y la evaluación citados fueron realizados únicamente con la

 Acceso a programas y datos (Seguridad lógica y física)

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 1

3 Entorno de Sistemas de Información

El servidor de producción de México está consolidado en el de España. Hay dos

En el Departamento de Sistemas hay un nuevo empleado que se encarga del

Los centros están comunicados a través de túneles de comunicación utilizando protocolos

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 2

4 Áreas de Control de Sistemas de Información

4.1 Acceso a Datos y Programas [KAM 32.9140]

Para esto, hemos considerado los siguientes aspectos:

I.A. Política de Seguridad / Concienciación de usuarios

I.B. Acceso Físico

I.C. Gestión de Accesos

I.D. Identificación y autenticación

I.F. Usuarios Administradores

4.1.1 I.A. Política de Seguridad / Concienciación de usuarios

Descripción de los Controles Relacionados:

Control I.A.1 Organización de Sistemas de Información. Independencia de la Función de

Control I.A.2.1 Política de Seguridad: Verificar si periódicamente se realizan comunicaciones o

Control I.A.3 Adecuación a la Ley Orgánica de Protección de Datos: Determinar si la política de

Organización de Sistemas de Información. Independencia de la Función

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 3

Organización de Sistemas de Información. Independencia de la Función

Procedimientos de auditoría para Resultados de la evaluación de la

Control I.A.2.1 Política de Seguridad

Procedimientos de auditoría para Resultados de la evaluación de la

Control I.A.3 Adecuación a la Ley Orgánica de Protección de Datos

Procedimientos de auditoría para Resultados de la evaluación de la

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 4

Control I.A.3 Adecuación a la Ley Orgánica de Protección de Datos

4.1.2 I.B. Acceso Físico

Descripción de los Controles Relacionados:

Control I.B.2 Seguridad física y acceso al CPD

Control I.B.2.1 Registro de accesos al CPD

Control I.B.2 Seguridad física y acceso al CPD

Procedimientos de auditoría para Resultados de la evaluación de la

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 5

Control I.B.2.1 Registro de accesos al CPD

Procedimientos de auditoría para Resultados de la evaluación de la

4.1.3 I.C. Gestión de Accesos

Descripción de los Controles Relacionados:

Control I.C.1 Gestión de usuarios. Alta, baja y modificación:

Control I.C.2.1 Procedimiento de autentificación de usuarios.

Control I.C.3.1 Procedimiento para la entrega de contraseñas.

Control I.C.1 Gestión de usuarios. Alta, baja y modificación

Procedimientos de auditoría para Resultados de la evaluación de la

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 6

Control I.C.1 Gestión de usuarios. Alta, baja y modificación

Control I.C.2.1 Procedimiento de autentificación de usuarios.

Procedimientos de auditoría para Resultados de la evaluación de la

Modelo de Informe GITCs - Revisión_Controles_Generales_TI - 14/06/2019yyyy 7

Control I.C.3.1 Procedimiento para la entrega de contraseñas.

Procedimientos de auditoría para Resultados de la evaluación de la

Por el tiempo limitado de la revisión se ha N/A

4.1.4 I.D. Identificación y autenticación

Descripción de los Controles Relacionados: