La práctica de Aseguramiento de Procesos de Tecnología, tiene como objetivo principal realizar el acompañamiento a las organizaciones y gerencias de TI, en la verificación del diseño y operación de los controles de tecnología, así como evaluar el nivel de madurez de sus procesos. 

A través de nuestras metodologías, encaminamos a las organizaciones a lograr y cumplir con los objetivos estratégicos de sus procesos claves soportados por las tecnologías de la información.  

Las metodologías y herramientas que utilizamos durante nuestra asesoría permiten resolver los siguientes interrogantes, los cuales definen los lineamientos del enfoque metodológico a utilizar:  

• ¿Hacia dónde debe ir la infraestructura de TI?
• ¿Dónde debería estar?
• ¿Cómo llegamos ahí?
• ¿Qué requeriríamos para hacerlo bien y alcanzar la estrategia?
• ¿Cómo medimos que tan bien vamos?
• ¿Cómo lo alcanzamos?

De forma ilustrativa se citan algunos de los procesos y actividades asociados al servicio:

• Capacitación: desarrollo de actividades de formación con los dueños de los controles de TI, a fin de integrar la cultura de control. 

• Documentación: acompañamiento en la documentación (rediseño, optimización), implementación y evaluación de los controles de los procesos de TI bajo cumplimiento normativo y los marcos de referencia COBIT, ITIL, ISO, SOX, SGC.  En esta fase se:
  
  
  • Acompaña en la identificación  de los riesgos asociados a los  controles de los procesos y controles de TI. 
    
    
  • Realiza sesiones de trabajo de documentación con los dueños de los procesos de TI, ya sea por medio de  entrevistas individuales o reuniones de grupo.
    
    
  • Identifica que todos los componentes relevantes  para la realización de las pruebas de eficacia estén cubiertos, incluyendo, frecuencia de control, aseveraciones financieras, tipo de control.
    
    
  • Identifica los controles de los riesgos bajos, medianos y altos para cada proceso de TI y validar con los dueños.
    
    
  • Revisa losriesgos inmersos en cada proceso y evaluar si los controles establecidos están debidamente diseñados para mitigar dichos riesgos. 
    
    
  • Desarrolla pruebas de recorrido, Walkthrough.
     

• Evaluación, Diseño y efectividad operativa: realizar pruebas de diseño e implementación así como de la efectividad operativa para las actividades de control, se:
   
  
  • Elabora los planes detallados de prueba para los controles claves.
    
    
  • Actualiza los resultados de las pruebas realizadas basados en los cambios identificados durante la fase de documentación.
    
    
  • Identifica la población de transacciones y fuentes de información.
    
    
  • Identifica el tamaño de las muestras basados en la frecuencia acordada para cada control.
    
    
  • Ejecuta los planes de prueba elaborados y acordados. 
    
    
  • Reúne las excepciones y observaciones a tener en cuenta en la etapa de prueba.
    
    
  • Clasifica las excepciones según su categoría (insuficiente evidencia, control inefectivo, oportunidad de mejora en el proceso), con el fin de identificar la prioridad en la ejecución de los planes de remediación.
     
• Plan de remediación  / Asistencia cierre Gaps: brindar asesoría a la Dirección en la definición de los planes de remediación y asistencia a los dueños de proceso en la Implementación del plan de cierre de brechas. Así mismo se:
  
  
  • Asiste en la definición de las acciones a ser implementadas.
    
    
  • Asiste en la elaboración de los planes de remediación, actividades específicas a ser desarrolladas, definición de tiempos y responsables.
    
    
  • Identifica los recursos necesarios para implementar recomendaciones y corregir deficiencias.
    
    
  • Se generan reuniones con los dueños de procesos de TI con alcance SOX y COBIT, para fijar compromisos y fechas de implementación.
    
    
  • Monitorea y hace seguimiento al grado de implementación de recomendaciones y cierre de Gaps.
    
    
  • Apoya en el registro de las evidencias generadas como parte del diseño y operación de los controles generales de tecnología.

• Acompañamiento en las  auditorías internas/externas a cada dueño de control y en la definición del protocolo de comunicación. 

KPMG da una respuesta integral a las necesidades específicas de las organizaciones;  por tanto y como parte de nuestra experiencia de trabajar en proyectos similares, entendemos que las empresas han evolucionado y que la organización opera en un entorno de riesgo cada vez más complejo. La necesidad de comprender el riesgo de cumplimiento y contribuir a que la organización pueda controlar estos riesgos de manera eficaz será un factor determinante de su éxito en la consecución de sus objetivos.

Contamos con experiencia en la asesoría para el aseguramiento del  cumplimiento de las leyes y regulaciones relacionadas con información tales como: Sarbanes Oxley (SOX), Ley Sox Canadiense, Ley de Protección de Datos Personales, Derechos de Autor, Firma Digital; así como del aseguramiento y auditoría de los controles generales de TI.  

Las habilidades y credenciales de nuestro equipo, incluye la experiencia en la identificación de riesgos, diseño y optimización de controles, pruebas en el cumplimiento de las leyes y del ambiente de tecnología; así como de la adopción de los requerimientos de normas en entidades de diferentes sectores económicos.