cobit 4, trabajo final
DESCRIPTION
cobit 4TRANSCRIPT
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
1
Universidad Central del Ecuador
Facultad de Ciencias Administrativas
Escuela de Contabilidad y Auditaría
Asignatura:
Auditoría de Sistemas Informáticos II
Tema:
Desarrollo del Sílabo y Reactivos
Quito - Ecuador
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
2
El presente documento fue realizado, como guía académica y práctica para la Asignatura:
“Auditoría de Sistemas Informáticos II”.
Este material contiene como anexos los reactivos para su respetiva evaluación, para efectos de enseñanza y aprendizaje con el enfoque a resultados.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
3
INDICE
INTRODUCCION …………………………………………… 6
MISION …………………………………………… 7
VISION …………………………………………… 7
OBJETIVO GENERAL …………………………………………… 7
OBJETIVOS ESPECIFICOS …………………………………………… 8
I UNIDAD
RESUMEN EJECUTIVO DE COBIT …………………………………………… 9
1. Resumen Ejecutivo de COBIT 1.1 Administración de la información. …………………………………………… 10 1.2 Áreas de enfoque del Gobierno de TI …………………………………………… 11
1.3 Interrelaciones de los componentes …………………………………………… 12
II UNIDAD
MARCO DE TRABAJO DE COBIT …………………………………………… 13
Marco de trabajo de control para el Gobierno de TI. Misión de Cobit. 2.1 Principio básico de COBIT …………………………………………… 15
2.2 Criterios de Información …………………………………………… 16 2.3 Metas y negocios y de TI …………………………………………… 17 2.4 Recursos de TI ………………………………………….., 19
2.5 Recursos orientado los procesos de COBIT …………………………………... 20 2.6 Objetivos de Control para los 34 procesos de COBIT …………………………… 31
2.7 Controles generales y de aplicación de TI …………………………………… 34 2.8 Generalidades de los modelos de madurez. …………………………………… 2.9 Modelo del Marco de Trabajo de COBIT. ……………………………………
3.3 Planear y Organizar …………………………………… PO1 Definir un Plan Estratégico de TI ……………………………………
PO2 Definir la Arquitectura de la Información …………………………………… PO3 Determinar la Dirección Tecnológic …………………………………… PO4 Definir los Procesos, Organización y Relaciones de TI ……………………
PO5 Administrar la Inversión en TI …………………………………………… PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia ……………………
PO7 Administrar Recursos Humanos de TI …………………………………………… PO8 Administrar la Calidad …………………………………………… PO9 Evaluar y Administrar los Riesgos de TI ……………………………………
PO10 Administrar Proyectos …………………………………………… 3.4 Adquirir e Implementar ……………………………………………
AI1 Identificar solucione automatizadas ……………………………………………
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
4
AI2 Adquirir y mantener software aplicativo ……………………………
AI3 Adquirir y mantener infraestructura tecnológica …………………………… AI4 Facilitar la operación y el uso ……………………………
AI5 Adquirir Recursos de TI …………………………… AI6 Administrar Cambios …………………………… A17 Instalar y acreditar soluciones y cambios ……………………………
III UNIDAD
3.5 Entregar y dar Soporte DS1 Definir y administrar los niveles de servicio ……………………………
DS2 Administrar los servicios de terceros …………………………… DS3 Administrar el desempeño y la capacidad ……………………………
DS4 Garantizar la continuidad del servicio …………………………… DS5 Garantizar la seguridad de los sistemas …………………………… DS6 Identificar y asignar costos ……………………………
DS7 Educar y entrenar a los usuarios …………………………… DS8 Administrar la mesa de servicio y los incidentes ……………………………
DS9 Administrar la configuración …………………………… DS10 Administrar los problemas …………………………… DS11 Administrar los datos ……………………………
DS12 Administrar el ambiente físico …………………………… DS13 Administrar las operaciones ……………………………
3.6 Monitorear y Evaluar …………………………… ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ……………………………
ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI ……………………………
IV UNIDAD
LOS MODELOS DE MADUREZ PARA EL CONTROL INTERNO DE COBIT
4. Modelos de madurez para el Control Interno
4.1 Enlaces de las metas de negocio a procesos de TI …………………………… 4.2 Enlaces de las metas de TI a procesos de TI …………………………… 4.3 Matriz de procesos de TI a Metas de TI ……………………………
Mapa de procesos de TI a las áreas focales de Gobierno de TI, COSO, Recursos de TI de COBIT y Criterios de
información de COBIT. ……………………………
CONCLUSIONES ……………………………
RECOMENDACIONES ……………………………
COMENTARIO ……………………………
GLOSARIO ……………………………
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
5
BIBLIOGRAFIA ……………………………
REACTIVOS ……………………………101
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
6
INTRODUCCION
El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados.
La primera edición del COBIT, fue publicada en 1996 y fue vendida en 98 países de todo el
mundo. La segunda edición, fue publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de
referencia fundamentales, nuevos y revisados objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la
totalidad de los contenidos de esta segunda edición.
Una temprana adición significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de Éxito, Indicadores
Clave de Desempeño y Medidas Comparativas. Los Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes para la administración y poder tomar, así, dichas acciones o considerar los aspectos para lograr control sobre sus procesos de TI.
Los Indicadores Clave de Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso de TI está alcanzando los requerimientos de negocio. La
Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas por la gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una función de sus riesgos y objetivos; y proporcionar
una base de comparación de sus prácticas de control de TI contra empresas similares o normas de la industria. Esta adicción, proporcionará herramientas a la gerencia para evaluar
el ambiente de TI de su organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT.
En definitiva, la organización ISACF, espera que el COBIT sea adoptado por las comunidades de auditoría y negocio como un estándar generalmente aceptado para el
control de las Tecnologías de la Información.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
7
La nueva versión en español del marco referencial COBIT 4.1 de ISACA hace que este
conjunto de prácticas generalmente aceptadas en todo el mundo sea más accesible. COBIT 4.1 ayuda a los consejos de administración, ejecutivos y gerentes a aumentar el valor de las
TI y reducir los riesgos relacionados. Ampliamente utilizado como una herramienta para el cumplimiento con Sarbanes-Oxley y otros estándares mundiales, COBIT, es anterior a la promulgada legislación sobre el control
en todo el mundo. Es producto de más de 15 años de investigación y cooperación entre expertos globales de TI y negocios. La versión en español del marco está disponible como
descarga gratuita de la asociación internacional sin fines de lucro ISACA. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir,
ejecutar y monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura empresarial ayudan a identificar aquellos recursos esenciales para el éxito de
los procesos, es decir, aplicaciones, información, infraestructura y personas.
MISION
La misión es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados
(dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y
usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un
modelo de administración de las tecnologías de la información.
VISION
Ser el modelo de control para las TI (tecnologías de la información), ayudando a identificar los recursos esenciales para el éxito de los procesos, mediante aplicaciones, información,
infraestructura y personas.
OBJETIVO GENERAL
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio, que cubren tanto los aspectos de información,
como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos
disponibles y acompasando la estrategia empresarial.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
8
OBJETIVOS ESPECIFICOS
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la
forma en que la tecnología de información puede contribuir de la mejor manera al
logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura tecnológica
apropiadas.
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso
del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes.
El enfoque del control en TI se lleva a cabo visualizando la información necesaria
para dar soporte a los procesos de negocio y considerando a la información como el
resultado de la aplicación combinada de recursos relacionados con las TI que deben
ser administrados por procesos de TI.
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información, generalmente
aceptadas, para el uso diario por parte de gestores de negocio y auditores.
propone un marco de acción donde se evalúan los criterios de información, como
por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la
tecnología de información, como por ejemplo el recurso humano, instalaciones,
sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos
involucrados en la organización.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
9
1. Resumen Ejecutivo de COBIT
1.1 Administración de la información. 1.2 Áreas de enfoque del Gobierno de TI
1.3 Interrelaciones de los componentes
UNIDAD I
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
10
RESUMEN EJECUTIVO DE COBIT
1. RESUMEN EJECUTIVO DE COBIT
1.1 ADMINISTRACION DE LA INFORMACION
La información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los
beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados.
La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden
ahora como elementos clave del Gobierno Corporativo. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa
sostiene y extiende las estrategias y objetivos organizacionales. Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de
seguridad de su información, así como de todos sus activos. La dirección también debe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones, información,
infraestructura y personas. Para descargar estas responsabilidades, así como para lograr sus objetivos, la dirección debe entender el estatus de su arquitectura empresarial para TI y decidir qué tipo de gobierno y de control debe aplicar.
Se muestra algunas preguntas frecuentes y las herramientas gerenciales de información usadas para encontrar las respuestas, aunque estos tableros de crequieren indicadores, los marcadopuntuación requieren mediciones y los Benchmarking requieren una escala de
comparación.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
11
Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de
control y desempeño de TI son las definiciones específicas de COBIT de los siguientes conceptos:
• Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniería de
Software
• Metas y métricas de los procesos de TI para definir y medir sus resultados y su desempeño, basados en los principios de Balanced Scorecard de Negocio de Robert Kaplan y David Norton
• Metas de actividades para controlar estos procesos, con base en los objetivos de control
detallados de COBIT
1.2 AREAS DE ENFOQUE DEL GOBIERNO DE TI
Las áreas de enfoque del gobierno de TI, COSO, recursos TI de COBIT y criterios de
información COBIT), ofreciendo así un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar.
Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control
definido para todo los procesos de TI. Los objetivos de control de TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una alineación clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI.
Los productos COBIT se han organizado en tres niveles diseñados para dar soporte a:
Administración del negocio y de TI
Administración y consejos ejecutivos
Profesionales en Gobierno, aseguramiento, control y seguridad.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
12
1.3 INTERRELACIONES DE LOS COMPONENTES
Una vez que han sido definidas las metas alineadas, estás requieren ser monitoreadas para
garantizar que la entrega cumple con las expectativas. Esto se logra con métricas derivadas de las metas y capturadas en el scorecard de TI.
Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y métricas asociadas deben expresarse en términos de negocio significativos para
el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede confirmar que es probable que TI soporte los objetivos de la empresa.
El apéndice I, Tablas de enlace entre metas y procesos, proporciona una visión global de
cómo las metas genéricas de negocio se relacionan con las metas de TI, los procesos de TI y los criterios de la información. Las tablas ayudan a demostrar el ámbito de COBIT y las relaciones completas de negocio entre COBIT y los impulsores de la empresa. La figura 6
ilustra, que estos impulsores vienen del negocio y desde la capa de Gobierno Corporativo, en primer lugar enfocándose más en las funcionalidades y velocidad de la entrega, mas
tarde en la relación costo-eficiencia, retorno de inversión (ROI) y cumplimiento.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
13
2. Marco de trabajo de control para el Gobierno de TI. Misión de Cobit.
2.1 Principio básico de COBIT 2.2 Criterios de Información 2.3 Metas y negocios y de TI
2.4 Recursos de TI 2.5 Recursos orientado los procesos de COBIT
2.6 Objetivos de Control para los 34 procesos de COBIT 2.7 Controles generales y de aplicación de TI 2.8 Generalidades de los modelos de madurez.
2.9 Modelo del Marco de Trabajo de COBIT.
UNIDAD II
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
14
MARCO DE TRABAJO DE COBIT
MARCO DE TRABAJO DE CONTROL PARA EL GOBIERNO DE TI. MISION DE
COBIT
LA NECESIDAD DE UN MARCO DE TRABAJO PARA EL CONTROL DEL
GOBIERNO DE TI
¿Por qué utilizar un marco de referencia?
Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la
información puede tener en el éxito de una empresa.
La dirección espera un alto entendimiento de la manera en que la tecnología de información
(TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja
competitiva.
En particular, la alta dirección necesita saber si con la información administrada en la
empresa es posible que:
Garantice el logro de sus objetivos
Tenga suficiente flexibilidad para aprender y adaptarse
Cuente con un manejo juicioso de los riesgos que enfrenta
Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas.
Alinear la estrategia de TI con la estrategia del negocio
Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa
Proporcionar estructuras organizacionales que faciliten la implementación de
estrategias y metas Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y
con socios externos Medir el desempeño de TI
Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y
de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control
para TI, de tal manera que:
Se forme un vínculo con los requerimientos del negocio
El desempeño real con respecto a los requerimientos sea transparente
Organice sus actividades en un modelo de procesos generalmente aceptado
Identifique los principales recursos a ser aprovechados
Se definan los objetivos de control Gerenciales a ser considerados
D) ¿Quién utiliza las tecnologías de información?
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
15
Un marco de referencia de gobierno y de control requiere servir a una variedad de
interesados internos y externos, cada uno de los cuales tiene necesidades específicas:
Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones en TI:
Aquellos que tomen decisiones de inversiones
Aquellos que deciden respecto a los requerimientos
Aquellos que utilicen los servicios de TI
Interesados internos y externos que proporcionen servicios de TI:
Aquellos que administren la organización y los procesos de TI
Aquellos que desarrollen capacidades
Aquellos que operen los servicios
Interesados internos y externos con responsabilidades de control/riesgo:
Aquellos con responsabilidades de seguridad, privacidad y/o riesgo
Aquellos que realicen funciones de cumplimiento
Aquellos que requieran o proporcionen servicios de aseguramiento
e) ¿Para que sirve un marco de referencia?
Para satisfacer los requerimientos previos, para el gobierno y el control de TI deben satisfacer las siguientes especificaciones generales:
Brindar un enfoque de negocios que permita la alineación entre los objetivos de
negocio y de TI.
Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el
contenido. Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares
de TI aceptados, y que sea independiente de tecnologías específicas.
Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en lo general para todos los interesados.
Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por
agentes reguladores y auditores externos.
2.1 PRINCIPIO BASICO DE COBIT
El marco de trabajo COBIT se creó con las características principales de ser orientado a
negocios, orientado a procesos, basado en controles e impulsado por mediciones.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
16
2.1.2. Requerimientos de información
El control de procesos IT en COBIT satisface los Requerimientos del Negocio, lo que es habilitado por una correcta Declaración de Control; y a su vez es considerado como una
correcta Práctica de Control. 2.1.3. Procesos de Tecnologías de Información
COBIT clasifica los procesos del negocio relacionados con las Tecnologías de la
Información en 4 dominios:
Planificación y Organización.
Adquisición e Implementación. Entrega y Soporte.
Supervisión y Evaluación.
2.1.4. Recursos de Tecnologías de Información
Hace a la organización disponer de recursos que son utilizados por los procesos para cubrir los requisitos del negocio:
Efectividad (cumplimiento de objetivos).
Eficiencia (consecución de los objetivos con el máximo aprovechamiento de los recursos).
Confidencialidad.
Integridad.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
17
Disponibilidad.
Cumplimiento regulatorio. Fiabilidad.
2.1.5. Criterios de información
Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de
información del negocio. Se definieron los siguientes siete criterios de información:
La efectividad
La eficiencia
La confidencialidad
La integridad
La disponibilidad
El cumplimiento
La confiabilidad
2.3 METAS Y NEGOCIOS DE LA TECNOLOGIA DE INFORMACIÓN
Mientras que los criterios de información proporcionan un método genérico para definir los
requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y
de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de
requerimientos de negocio y para el desarrollo de métricas que permitan la medición con
respecto a estas metas.
Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas
como metas del negocio para TI. El Apéndice I proporciona una matriz de metas genéricas
de negocios y metas de TI y como se asocian con los criterios de la información. Estos
ejemplos genéricos se pueden utilizar como guía para determinar los requerimientos, metas
y métricas específicas del negocio para la empresa.
Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia
de la empresa, debe existir una propiedad y una dirección clara de los requerimientos por
parte del negocio (el cliente) y un claro entendimiento para TI, de cómo y qué debe
entregar (el proveedor).
La Figura ilustra como la estrategia de la empresa se debe traducir por parte del negocio en
objetivos relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI).
Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de
TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
18
arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le
corresponde a TI de la estrategia empresarial.
Para que el cliente entienda las metas y los Scorecard de TI, todos estos objetivos y sus
métricas asociadas se deben expresar en términos de negocio significativos para el cliente,
y esto, combinado con una alineación efectiva de la jerarquía de objetivos, asegurará que el
negocio pueda confirmar que TI puede, con alta probabilidad, dar soporte a las metas del
negocio.
Una vez que han sido definidas las metas alineadas, estás requieren ser monitoreadas para garantizar que la entrega cumple con las expectativas. Esto se logra con métricas derivadas de las metas y capturadas en el scorecard de TI.
Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos
objetivos y métricas asociadas deben expresarse en términos de negocio significativos para el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio puede confirmar que es probable que TI soporte los objetivos de
la empresa.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
19
2.4 RECURSOS DE TECNOLOGIAS DE INFORMACIÓN
La organización de TI se desempeña con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza lashabilidades de las personas, y la
infraestructura de tecnología para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la información del negocio. Estos recursos, junto con
los procesos, constituyen una arquitectura empresarial para TI. Para responder a los requerimientos que el negocio tiene hacia Tecnología de Información,
la empresa debe invertir en los recursos requeridos para crear una capacidad técnica adecuada
Ej., un sistema de planeación de recursos empresariales (ERP) para dar soporte a la capacidad del negocio: Ejemplos:
Implementando una cadena de suministro, que genere el resultado deseado
(mayores ventas y beneficios financieros)
2.4.1. Los recursos de Tecnología de Información identificados en COBIT se pueden
definir como sigue:
Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
20
La información son los datos en todas sus formas, de entrada, procesados y
generados por los sistemas de información, en cualquier forma en que sean
utilizados por el negocio.
La infraestructura es la tecnología y las instalaciones (hardware, sistemas
operativos, sistemas de administración de base de datos, redes, multimedia,
etc., así como el sitio donde se encuentran y el ambiente que los soporta) que
permiten el procesamiento de las aplicaciones.
Las personas son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los
servicios de información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran.
2.5 RECURSOS ORIENTADOS LOS PROCESOS DE COBIT
COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.
Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar, esto dominios se equiparan a las áreas tradicionales de TI de planear,
construir, ejecutar y monitorear.
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que todos en la empresa visualicen y administren las actividades de TI.
La incorporación de un modelo operativo y un lenguaje común para todas las partes de un
negocio involucradas en TI es uno de los pasos iníciales más importantes hacia un buen gobierno también brinda un marco de trabajo para la medición y monitoreo del desempeño de TI, comunicándose con los proveedores de servicios e integrando las mejores prácticas
de administración. Un modelo de procesos fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades.
Para gobernar efectivamente Tecnología de Información, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro
de dominios de responsabilidad de plan, construir, ejecutar y Monitorear.
2.5.1. DOMINIOS DE COBIT
Planear y Organizar (PO) – Proporciona dirección para la entrega de
soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para
convertirlas en servicios. Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables
por los usuarios finales.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
21
Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar
que se sigue la dirección provista.
2.5.1.1. PLANEAR Y ORGANIZAR (PO)
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además,
la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
¿Están alineadas las estrategias de TI y del negocio?
¿La empresa está alcanzando un uso óptimo de sus recursos?
¿Entienden todas las personas dentro de la organización los objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
2.5.1.2. ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del
negocio además, el cambio y el mantenimiento de los sistemas existentes estácubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del
negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:
¿Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
22
¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
¿Los cambios no afectarán a las operaciones actuales del negocio?
2.5.1.3. ENTREGAR Y DAR SOPORTE (DS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación
del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:
¿Se están entregando los servicios de TI de acuerdo con las prioridades del
negocio?
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera
productiva y segura?
¿Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
2.5.1.4. MONITOREAR Y EVALUAR (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control, este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento
regulatorio y la aplicación del gobierno, por lo general abarca las siguientes preguntas de la gerencia:
¿Se mide el desempeño de TI para detectar los problemas antes de que sea
demasiado tarde?
¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del
negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. Mientras la mayoría de las empresas ha definido las
responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT.
COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar
que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
23
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que
soporta. Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades clave y entregables principales, y quién es el responsable de ellas.
2.6 OBJETIVOS DE CONTROL PARA LOS 34 PROCESOS DE COBIT
COBIT (Objetivos de control para la información y tecnologías relacionadas) es una
metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el departamento de informática de una compañía; en Francia está representada por la AFAI
(Asociación Francesa de Auditoría y Consejo de TI).
2.6.1. ENFOQUE DE COBIT
Este enfoque se basa en un índice de referencia de procesos, indicadores de objetivos clave
e indicadores de rendimiento clave que se usan para controlar los procesos para recoger datos que la compañía puede usar para alcanzar sus objetivos.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
24
El enfoque COBIT propone 34 procesos organizados en 4 áreas funcionales más grandes
que abarcan 318 objetivos:
Entrega y asistencia técnica Control Planeamiento y organización
Aprendizaje e implementación
2.7 CONTROLES GENERALES Y DE APLICACIÓN DE TI
2.7.1. Los controles generales son aquellos que están inmersos en los procesos y
servicios de TI.
Algunos ejemplos son:
Desarrollo de sistemas
Administración de cambios Seguridad
Operaciones de cómputo
2.7.2. Los controles incluidos en las aplicaciones de los procesos del negocio se conocen
por lo general como controles de aplicación
Ejemplos:
Integridad (Completitud)
Precisión Validez
Autorización Segregación de funciones
COBIT asume que el diseño e implementación de los controles de aplicación automatizados son responsabilidad de TI, y están cubiertos en el dominio de Adquirir e Implementar, con
base en los requerimientos de negocio definidos, usando los criterios de información de COBIT. La responsabilidad operativa de administrar y controlar los controles de aplicación no es de
TI, sino del dueño del proceso de negocio.
Por lo tanto, la responsabilidad de los controles de aplicación es una responsabilidad conjunta, fin a fin, entre el negocio y TI, pero la naturaleza de la responsabilidad cambia de la siguiente manera:
La empresa es responsable de:
Definir apropiadamente los requisitos funcionales y de control Uso adecuadamente los servicios automatizados
Tecnología de Información es responsable de:
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
25
Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicación.
Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir
y el uso operativo es de la empresa.
2.7.3. CONTROLES DE COBIT SOBRE LA INFORMACION
2.7.3.1 AC1 Preparación y Autorización de Información Fuente.
Asegurar que los documentos fuente están preparados por personal autorizado y calificado siguiendo los procedimientos establecidos, teniendo en cuenta una adecuada segregación de
funciones respecto al origen y aprobación de estos documentos. Los errores y omisiones pueden ser minimizados a través de buenos diseños de formularios de entrada. Detectar
errores e irregularidades para que sean informados y corregidos. 2.7.3.2. AC2 Recolección y Entrada de Información Fuente.
Establecer que la entrada de datos se realice en forma oportuna por personal calificado y autorizado. Las correcciones y reenvíos de los datos que fueron erróneamente ingresados se
deben realizar sin comprometer los niveles de autorización de las transacciones originales.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
26
En donde sea apropiado para reconstrucción, retener los documentos fuentes originales
durante el tiempo necesario.
2.7.3.3. AC3 Chequeos de Exactitud, Integridad y Autenticidad
Asegurar que las transacciones son exactas, completas y válidas. Validar los datos ingresados, y editar o devolver para corregir, tan cerca del punto de origen como sea
posible.
2.7.3.4 AC4 Integridad y Validez del Procesamiento
Mantener la integridad y validación de los datos a través del ciclo de procesamiento. Detección de transacciones erróneas no interrumpe le procesamiento de transacciones
validas.
2.7.3.5. AC5 Revisión de Salidas, Reconciliación y Manejo de Errores
Establecer procedimientos y responsabilidades asociadas para asegurar que la salida se maneja de una forma autorizada, entregada al destinatario apropiado, y protegida durante la
transmisión; que se verifica, detecta y corrige la exactitud de la salida; y que se usa la información proporcionada en la salida.
2.7.3.6. AC6 Autenticación e Integridad de Transacciones
Antes de pasar datos de la transacción entre aplicaciones internas y funciones de
negocio/operativas (dentro o fuera de la empresa), verificar el apropiado direccionamiento, autenticidad del origen e integridad del contenido. Mantener la autenticidad y la integridad
durante la transmisión o el transporte.
2.8 GENERALIDADES DE LOS MODELOS DE MADUREZ.
2.8.1. Nuevo modelo de madurez
Es un modelo de Madurez que permite el mejoramiento del desarrollo de productos y servicios, consiste en un conjunto de las mejores prácticas que cubre el ciclo de vida de un producto
Es una forma de medir la madurez de los procesos a través del “Process Capability
Model”, basado en el estándar internacionalmente reconocido “ISO/IEC 15504 Software Engineering – ProcessAssessment Standard”, diferente en su diseño y uso al modelo de
madurez que incluía COBIT 4.1.
La nueva versión de COBIT tomará precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determinatorio.
2.8.2. Los niveles definidos en el modelo SPICE son los siguientes:
Nivel 0: Incompleto Nivel 1: Realizado Nivel 2: Gestionado
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
27
Nivel 3: Establecido
Nivel 4: Predecible Nivel 5: Optimizado
Nivel Características Área Clave del Proceso
Optimizado (5) Capacidad de
Mejoramiento Continuo.
- Proceso de Gestión de
Cambio. - Innovación Tecnológica.
- Prevención de Fallas.
Administrado (4) Planeación de la calidad
del producto y seguimiento de las mediciones del
proceso de producción del software
- Gestión de Calidad del
Software. - Gestión cuantitativa del
proceso de generación del software.
Definido (3) Proceso de Ciclo de Vida definido e
institucionalizado para proveer control de calidad
- Revisión Pares (Colegas). Coordinación inter-grupos
Aplicación de la Ingeniería de Software Software para la gestión
del desarrollo Programa de capacitación
Definición de la organización del proceso Foco en la organización del
proceso
Repetible (2) Supervisión de la gestión y
seguimiento del proyecto Planificación formal
Gestión de la configuración
del software Control de Calidad del
software Gestión de los desarrollos subcontratados
Supervisión y seguimiento de la ejecución del
proyecto de software Planificación formal del proyecto de software
Gestión de requerimientos
Inicial Ad-hoc (impredecible, caótico)
–
Este modelo ayuda a la gerencia de TI a buscar por medio de benchmarking y herramientas de auto-evaluación respuesta a la necesidad de saber qué hacer de manera eficiente. Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
28
propietario del proceso se debe poder evaluar de forma progresiva, contra los objetivos de
control.
2.8.3 DIFERENCIAS DE ESTE NUEVO MODELO
Al estar basado en ISO/IEC 15504 es más exigente respecto a lo que debe cumplir
cada proceso para ascender de nivel, dado que este estándar plantear que se deben
cumplir los 9 atributos definidos para cada proceso, como requisito para acreditar
dicho grado de madurez.
Una evaluación realizada bajo este nuevo modelo no es comparable y no puede ser
mezclada con evaluaciones realizadas bajo el modelo de COBIT 4.1, dado que se
distorsionarían los resultados por ser distintas las exigencias.
Generalmente, aplicando este modelo de COBIT 5, deberían dar resultados de
niveles más bajos de madurez.
A continuación, se expone el mapeo oficial de ISACA entre ambos modelos de madurez:
COMPARACIÓN ENTRE AMBOS MODELOS DE MADUREZ
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
29
2.9 MODELO DEL MARCO DE TRABAJO DE COBIT.
El marco de trabajo de COBIT, por tanto, relaciona los requerimientos de la información y
de gobierno a los objetivos de la función de servicios TI.
Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI
que respondan a los requerimientos del negocio, dn detalle, el marco de trabajo general de
COBIT está compuesto de cuatro dominios que contienen 34 procesos genéricos,
administrando los recursos de TI para proporcionar información al negocio de acuerdo con
los requerimientos del negocio y de gobierno.
2.9.1. COMO SATISFACE COBIT LA NECESIDAD DE CONTROL DE LAS TI
Como respuesta a las necesidades descritas en la sección anterior, el marco de trabajo COBIT se creó con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones a la orientación a negocios es el
tema principal de COBIT.
Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.
Proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa
necesita administrar y controlar los recursos de TI usando un conjunto estructurado d me procesos que ofrezcan los servicios requeridos de información.El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con los requerimientos del negocio.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
30
3.3 PLANEAR Y ORGANIZAR
PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI
\PLAN ESTRATÉGICO DE TI
Definición: Es necesaria para Gestionar y dirigir todos los Recursos de TI en línea Con la estrategia y Prioridades del negocio.
Objetivos: 1. Administración del valor de TI
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
31
2. Alineación de TI con el negocio
3. Evaluación del desempeño y la Capacidad actual.
4.Plan estratégico 5. Planes tácticos 6. Administración del portafolio de TI
MODELO DE MADUREZ
Inicial: Cuando se conoce la necesidad de una Planeación estratégica.
Repetible: Cuando ocurren respuestas a las solicitudes de la información.
Definido : Cuando se sigue un enfoque que garantiza la facilidad de la planeación
Administrado: Se define con responsabilidades de alto nivel.
Optimizado: Se toma en cuenta el establecimiento de las metas del negocio.
PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACION.
OBJETIVOS
Modelo de arquitectura de información empresarial
Diccionario de Datos empresarial y reglas de sintaxis de datos
Esquema de clasificación de datos
Administración de integridad
MODELO DE MADUREZ
Inicial: Cuando se reconoce la necesidad de una arquitectura de información.
Repetible: Cuando existen procedimientos similares que siguen los individuos
Definido : Se acepta la responsabilidad en la aplicación en la cual se comunicara
Administrado: Se otorga el soporte completo al desarrollo de implantación por
medio de técnicas.
Optimizado: El personal de TI tiene la experiencia y habilidades necesarias para
desarrollar.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
32
PO3- DETERMINAR LA DIRECCIÓN TECNOLÓGICA.
Objetivos de Control
Planeación de la dirección tecnológica.
Plan de infraestructura tecnológica.
Monitoreo de tendencias y regulaciones futuras.
Estándares tecnológicos.
Consejo de arquitectura de TI.
Modelo de Madurez
No existe: No existe conciencia sobre la importancia de la planeación de la
infraestructura tecnológica para la entidad.
Inicia: Cuando la gerencia reconoce la necesidad de planear la infraestructura
tecnológica.
Repetible: Se difunde la necesidad e importancia de la planeación tecnológica.
Definido: Cuando la gerencia está consciente de la importancia del plan de
infraestructura tecnología.
Administrado : La dirección garantiza el desarrollo del plan de infraestructura
tecnológica
Optimizado: La dirección del plan de infraestructura esta impulsada en los
estándares de avances industriales e internacionales.
PO4- DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES TI.
Agiliza la respuesta a las estrategias del negocio mientras se cumplan los requerimientos del gobierno.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
33
Enfocado al El establecimiento de estructuras organizacionales de TI transparentes,
flexibles y responsables y en la definición e implementación de procesos de TI. Se logra con la definición de un marco de trabajo de procesos de TI. El establecimiento de
un cuerpo y una estructura organizacional apropiada. La definición de roles y responsabilidades Se mide con el porcentaje de roles con descripciones de puestos. El número de procesos de
negocio que no reciben soporte de TI y que deberían de recibirlo. Número de actividades clave de TI que no son aprobadas.
Objetivos de Control PO4
Marco de trabajo de proceso de TI.
Comité estratégico de Ti.
Comité directivo de TI.
Ubicación organizacional de la función de TI.
Estructura organizacional.
Establecimiento de roles y responsabilidades.
Responsabilidades de aseguramiento de calidad de TI.
Responsabilidad sobre el riesgo, la seguridad y el cumplimiento.
Propiedad de datos y de sistemas.
Supervisión.
Segregación de funciones.
Personal de TI.
Personal clave de TI.
Políticas y procedimientos para personal contratado.
Relaciones.
PO5. ADMINISTRAR LA INVERSION EN TI
Establece y mantiene un marco de trabajo Para administrar los programas de inversión en TI
SE LOGRA
El pronostico de presupuestos
Definición de criterios formales
Medición del valor del negocio
SE MIDE Porcentaje de reducción en el costo unitario
Porcentaje de l valor
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
34
Porcentaje de gasto
OBJETIVOS DE CONTROL Marco de trabajo Para la administración financiera
Prioridades dentro del presupuesto de TI
Proceso presupuestal
Administración de costos de TI
Administración de beneficios
MODELO DE MADUREZ
P06.COMUNICAR LAS ASPIRACIONES Y LA DIRECCION DE LA GERENCIA
Se debe implementar un programa de comunicación continua para dar a conocer la misión, los objetivos de servicio, políticas y procedimientos aprobados y apoyados por la dirección
SE LOGRA CON Definición de marco de trabajo.
Elaboración e implantación de politicas
El refuerzo de políticas
SE MIDE
Optimizado
no existente Inicial
Repetible Definido Administrado
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
35
Numero de interrupciones en el negocio
Porcentaje de interesados
Porcentaje de interesados que no cumplen las políticas.
OBJETIVOS DE CONTROL
1. Ambiente de políticas y de control 2. Riesgo corporativo
3. Administracion de políticas para TI 4. Implantacion de políticas de TI 5. Comunicacion de los objetivos
MODELO DE MADUREZ
P07 ADMINISTRAR LOS RECURSOS HUMANOS DE TI
OBJETIVOS
Reclutamiento y Retención
Asignación de Roles
Dependencia sobre individuos
Evaluacion del Desempeño
Cambios y Terminación del trabajo
Procedimientos de investigacion del personal
Entramiento del Personal de TI
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
36
Competencias del Personal
MODELO DE MADUREZ
PO8 ADMINISTRAR LA CALIDAD
OBJETIVOS
SISTEMA DE ADMINISTRACION DE CALIDAD
ESTÁNDARES Y PRÁCTICAS DE CALIDAD
ESTÁNDARES DE DESARROLLO Y DE ADQUISICION
ENFOQUE EN EL CLIENTE DE TI
MEJORA CONTINUA
MEDICION, MONITOREO Y REVISION DE LA CALIDAD
MODELO DE MADUREZ
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
37
P09. EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Responsabilidad de la Administración
Tratamiento idóneop/responder adecuadamente
Evaluar, documentar y dar mantenimiento
Analizar y comunicar los riesgos de TI
PLANEAR Y ORGANIZAR
PO9 OBJETIVOS DE CONTROL
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
38
PO10 ADMINISTRACIÓN DE PROYECTOS
Coordinación de todos los proyectos y Programas de TI que se han establecido
Incluir un Plan Maestro de Recursos Asegurar y Garantizar la Calidad y Definición
de un Plan Formal
Garantiza a la Administración de los Posibles Riesgos del Proyecto y la Entrega de
Valor para el Negocio.
PO10 OBJETIVOS DE CONTROL
MODELO DE MADUREZ
No Existente: La mala administración de los proyectos y con las fallas de desarrollo en el
proyecto.
1 Inicial / Ad Hoc : Existe una carencia de compromiso y Administración por parte de la
gerencia.
2 Repetible: La organización está en proceso de Desarrollar y utilizar algunas técnicas y
métodos proyecto por proyecto.
3 Definido: Se establece una oficina de admón de proyectos dentro de TI, con roles y
responsabilidades iniciales definidas.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
39
4 Administrado y Medible: La administración de proyectos se mide y evalúa a través de la
organización y no sólo en TI.
5 Optimizado: Se ha definido e implantado una estrategia de TI para contratar el desarrollo
y los proyectos operativos.
3.4 ADQUIRIR E IMPLEMENTAR
3.4.1 .-IDENTIFICAR SOLUCIONES AUTOMATIZADAS AI1
3.4.1.1.- DESCRIPCIÓN DEL PROCESO.
La necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen con un enfoque
efectivo y eficiente. Este proceso cubre la definición de las necesidades, considera las fuentes alternativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de costo-beneficio y concluye con una decisión final de “desarrollar”
o “comprar”. Todos estos pasos permiten a las organizaciones minimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los
objetivos del negocio.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
40
3.4.1.2.- OBJETIVOS DE CONTROL
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionales del
Negocio Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales
y técnicos que cubran el alcance completo de todas las iniciativas requeridas para lograr los resultados esperados de los programas de inversión en TI.
AI1.2 Reporte de Análisis de Riesgos
Identificar, documentar y analizar los riesgos asociados con los requerimientos del negocio
y diseño de soluciones como parte de los procesos organizacionales para el desarrollo de los requerimientos.
AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos. La administración del negocio, apoyada por la función de TI, debe evaluar la factibilidad y los cursos alternativos de acción y realizar recomendaciones al
patrocinador del negocio.
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
Verificar que el proceso requiere al patrocinador del negocio para aprobar y autoriza los
requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
41
factibilidad en las etapas clave predeterminadas. El patrocinador del negocio tiene la
decisión final con respecto a la elección de la solución y al enfoque de adquisición.
3.4.1.3.- MODELO DE MADUREZ
La administración del proceso de Identificar soluciones automatizadas que satisfaga el
requerimiento de negocio de TI de traducir los requerimientos funcionales y de control
del negocio a diseño efectivo y eficiente de soluciones automatizadas es:
0 No Existente cuando
La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implementación o modificación de soluciones, tales como sistemas, servicios, infraestructura y datos. La organización no está consciente de las
soluciones tecnológicas disponibles que son potencialmente relevantes para su negocio.
1 Inicial / Ad Hoc cuando Existe conciencia de la necesidad de definir requerimientos y de identificar soluciones
tecnológicas. Grupos individuales se reúnen para analizar las necesidades de manera informal y los requerimientos se documentan algunas veces. Los individuos identifican
soluciones con base en una conciencia limitada de mercado o como respuesta a ofertas de proveedores. Existe una investigación o análisis estructurado mínimo de la tecnología disponible
2 Repetible pero Intuitivo cuando
Existen algunos enfoques intuitivos para identificar que existen soluciones de TI y éstos varían a lo largo del negocio. Las soluciones se identifican de manera informal con base en
la experiencia interna y en el conocimiento de la función de TI. El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la
documentación y de la toma de decisiones varía de forma considerable. Se usan enfoques no estructurados para definir los requerimientos e identificar las soluciones tecnológicas.
3 Definido cuando
Existen enfoques claros y estructurados para determinar las soluciones de TI. El enfoque para la determinación de las soluciones de TI requiere la consideración de alternativas evaluadas contra los requerimientos del negocio o del usuario, las oportunidades
tecnológicas, la factibilidad económica, las evaluaciones de riesgo y otros factores. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en
factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
42
original. Se usan enfoques estructurados para definir requerimientos e identificar soluciones
de TI.
4 Administrado y Medible cuando Existe una metodología establecida para la identificación y la evaluación de las soluciones
de TI y se usa para la mayoría de los proyectos. La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente. Los requerimientos están bien
articulados y de acuerdo con las estructuras predefinidas. Se consideran soluciones alternativas, incluyendo el análisis de costos y beneficios. La metodología es clara, definida, generalmente entendida y medible. Existe una interfaz definida de forma clara
entre la gerencia de TI y la del negocio para la identificación y evaluación de las soluciones de TI.
5 Optimizado cuando
La metodología para la identificación y evaluación de las soluciones de TI está sujeta a una mejora continua. La metodología de adquisición e implantación tiene la flexibilidad para
proyectos de grande y de pequeña escala. La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas. La metodología en sí misma genera documentación en una estructura
predefinida que hace que la producción y el mantenimiento sean eficientes. Con frecuencia, se identifican nuevas oportunidades de uso de la tecnología para ganar una ventaja
competitiva, ejercer influencia en la re-ingeniería de los procesos de negocio y mejorar la eficiencia en general. La gerencia detecta y toma medidas si las soluciones de TI se aprueban sin considerar tecnologías alternativas o los requerimientos funcionales del
negocio.
3.4.2.-ADQUIRIR Y MANTENER SOFTWARE APLICATIVO AI2
3.4.2.1-DESCRIPCIÓN DEL PROCESO
Las aplicaciones deben estra disponibles de acuerdo con los requerimientos del negocio.
Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del
negocio de forma apropiada.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
43
3.4.2.2.-OBJETIVOS DE CONTROL
AI2.1 Diseño de Alto Nivel
Traducir los requerimientos del negocio a una especificación de diseño de alto nivel para la
adquisición de software Teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la organización. Tener aprobada las especificaciones de diseño por gerencia para garantizar
que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.
AI2.2 Diseño Detallado
Preparar el diseño detallado y los requerimientos técnicos del software de aplicación.
Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuand sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones
Implementar controles de negocio, cuando aplique, en controles de aplicación automatizados tal que el procedimiento sea exacto, completo, oportuno, autorizado y auditable.
AI2.4 Seguridad y Disponibilidad de las Aplicaciones
Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos, la arquitectura
de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.
AI2.5 Configuración e Implementación de Software Aplicativo Adquirido
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
44
Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos
de negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes
En caso de cambios importantes a los sistemas existentes que resulten en cambios
significativos al diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos.
AI2.7 Desarrollo de Software Aplicativo
Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las condiciones de diseño, los estándares de desarrollo y documentación, los requerimientos de
calidad y estándares de aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros.
AI2.8 Aseguramiento de la Calidad del Software
Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad de la organización.
AI2.9 Administración de los Requerimientos de Aplicaciones
Seguir el estado de los requerimientos individuales (incluyendo todos los requerimientos
rechazados) durante el diseño, desarrollo e implementación, y aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios establecido.
AI2.10 Mantenimiento de Software Aplicativo
Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
45
3.4.2..3.-MODELO DE MADUREZ
La administración del proceso de Adquirir y mantener software aplicativo que satisfaga
el requerimiento de negocio de TI de hacer disponibles aplicaciones de acuerdo con los
requerimientos del negocio, en tiempo y a un costo razonable es:
0 No Existente cuando
No existe un proceso de diseño y especificación de aplicaciones. Típicamente, las aplicaciones se obtienen con base en ofertas de proveedores, en el reconocimiento de la
marca o en la familiaridad del personal de TI con productos especificos, considerando poco o nada los requerimientos actuales.
1 Inicial / Ad Hoc cuando
Existe conciencia de la necesidad de contar con un proceso de adquisición y mantenimiento de aplicaciones. Los enfoques para la adquisición y mantenimientos de software aplicativo varían de un proyecto a otro. Es probable que se hayan adquirido en forma independiente
una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. Se tiene poca
consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo.
2 Repetible pero Intuitivo cuando Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero
similares, en base a la experiencia dentro de la operación de TI. El mantenimiento es a menudo problemático y se resiente cuando se pierde el conocimiento interno de la
organización. Se tiene poca consideración hacia la seguridad y disponibilidad de la aplicación en el diseño o adquisición de software aplicativo
3 Definido cuando
Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativos. Este proceso va de acuerdo con la estrategia de TI y del negocio. Se intenta aplicar los procesos de manera consistente a traves de diferentes
aplicaciones y proyectos. Las metodologías son por lo general, inflexibles y difíciles de aplicar en todos los casos, por lo que es muy probable que se salten pasos. Las actividades
de mantenimiento se planean, programan y coordinan 4 Administrado y Medible cuando
Existe una metodología formal y bien comprendida que incluye un proceso de diseño y
especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación. Existen mecanismos de aprobación documentados y acordados, para
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
46
garantizar que se sigan todos los pasos y se autoricen las excepciones. Han evolucionado
prácticas y procedimientos para ajustarlos la medida de la organización, los utilizan todo el personal y son apropiados para la mayoría de los requerimientos de aplicación
5 Optimizado cuando
Las prácticas de adquisición y mantenimiento de software aplicativo se alinean con el proceso definido. El enfoque es con base en componentes, con aplicaciones predefinidas y
estandarizadas que corresponden a las necesidades del negocio. El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y
flexibilidad para responder a requerimientos cambiantes del negocio. La metodología de adquisición e implantación de software aplicativo ha sido sujeta a mejora continua y se
soporta con bases de datos internos y externas que contienen materiales de referencia y las mejores prácticas .
3.4.3.-ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA AI3
3.4..3.1.-DESCRIPCIÓN DEL PROCESO
Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la
infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias técnológicas convenidas y la disposición del ambiente de desarrollo y pruebas.Esto garantiza que exista un soporte
tecnológico continuo para las aplicaciones del negocio.
• El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano)
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
47
3.4.3.2.-OBJETIVOS DE CONTROL
AI3.1 Plan de Adquisición de Infraestructura Tecnológica
Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que
satisfaga los requerimientos establecidos funcionales y técnicos del negocio, y que esté de acuerdo con la dirección tecnológica de la organización. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos
y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva
capacidad técnica. AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la
infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de
infraestructura. Se debe monitorear y evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de
la organización. Incluir una revisión periódica contra las necesidades del negocio, administración de parches y estrategias de actualización, riesgos, evaluación de
vulnerabilidades y requerimientos de seguridad. AI3.4 Ambiente de Prueba de Factibilidad
Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras
fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.
3.4.3.3.-MODELO DE MADUREZ
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
48
La administración del proceso de Adquirir y mantener infraestructura de tecnología que
satisfaga el requerimiento de negocio de TI de adquirir y mantener una infraestructura
de TI integrada y estandarizada es:
0 No Existente cuando
No se reconoce la administración de la infraestructura de tecnólogia como un asunto importante al cual debe ser resuelto.
1 Inicial /Ad Hoc cuando
Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. Aunque se tiene la percepción de que la infraestructura de TI es importante, no
existe un enfoque general consistente. La actividad de mantenimiento reacciona anecesidades de corto plazo. El ambiente de producción es el ambiente de prueba.
2 Repetible pero Intuitivo cuando
No hay consistencia entre enfoques tácticos al adquirir y dar mantenimiento a la infraestructura de TI. La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio
que se deben respaldar. Se tiene la noción de que la infraestructura de TI es importante, que se apoya en algunas prácticas formales.
Algunos mantenimientos se programan, pero no se programa ni se coordina en su totalidad. Para algunos ambientes, existe un ambiente de prueba por separado.
3 Definido cuando
Existe un claro, definido y generalmente entendido proceso para adquirir y dar mantenimiento a la infraestructura TI. El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se
aplica en forma consistente. Se planea, programa y coordina el mantenimiento. Existen ambientes separados para prueba y producción.
4 Administrado y Medible cuando Se desarrolla el proceso de adquisición y mantenimiento de la infraestructura de tecnología
a tal punto que funciona bien para la mayoría de las situaciones, se le da un seguimiento consistente y un enfoque hacia la reutilización. La infraestructura de TI soporta
adecuadamente lasaplicaciones del neg ocio. El proceso está bien organizado y es preventivo. Tanto el costo como el tiempo de realización para alcanzar el nivel esperado de escalamiento, flexibilidad e integración se han optimizado parcialmente.
5 Optimizado cuando
El proceso de adquisición y mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura
de la tecnología. Se siguen buenas prácticas respecto a las soluciones de tecnología, y la
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
49
organización tiene concienc ia de las últimas plataformas desarrolladas y herramientas de
administración. Se reducen costos al racionalizar y estandarizar los componentes de la infraestructura y con el uso de la automatización. Con un alto nivel de conciencia se
pueden identificar los medios óptimos para mejorar el desempeño en forma preventiva, incluyendo el consierar la opción de contratar servicios externos . La infraestructura de TI se entiende como el apoyo clave para impulsar el uso de TI.
3.4.4.-FACILITAR LA OPERACIÓN Y EL USO AI4
3.4.4.1.-DESCRIPCIÓN DEL PROCESO
El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la
infraestructura.
3.4.4.2.-OBJETIVOS DE CONTROL
AI 4.1 Plan para Soluciones de Operación
Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad
de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la producción de procedimientos de
administración, de usuarios y operativos, como resultado de la introducción o actualización de sistemas automatizados o de infraestructura.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
50
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio
Transferir el conocimiento a la gerencia de la empresa para permitirles tomar posesión del
sistema y los datos y ejercer la responsabilidad por la entrega y calidad del servicio, del control interno y de los procesos administrativos de la aplicación. La transferencia de conocimientos incluye la aprobación de acceso, administración de privilegios, segregación
de tareas, controles automatizados del negocio, respaldo/recuperación, seguridad física y archivo de la documentación fuente.
AI4.3 Transferencia de Conocimiento a Usuarios Finales
Transferencia de conocimiento y habilidades para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del
negocio. La transferencia de conocimiento incluye el desarrollo de un plan de entrenamiento que aborde al entrenamiento inicial y al continuo, así como el desarrollo de habilidades, materiales de entrenamiento, manuales de usuario, manuales de procedimiento,
ayuda en línea, asistencia a usuarios, identificación del usuario clave, y evaluación.
AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte
Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y
de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos. La
transferencia del conocimiento debe incluir al entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario.
3.4.4.3.-MODELO DE MADUREZ
La administración del proceso de Facilitar la operación y el uso que satisfaga el
requerimiento de negocio de TI de garantizar la satisfacción de los usuarios finales con
ofrecimiento de servicios y niveles de servicio, e integrar de forma transparente
aplicaciones y soluciones de tecnología dentro de los procesos del negocio es:
O No Existente cuando
No existe el proceso con respecto a la producción de documentación de usuario, manuales de operación y material de entrenamiento.
Los únicos materiales existentes son aquellos que se suministran con los productos que se adquieren.
1 Inicial / Ad Hoc cuando
Existe la percepción de que la documentación de proceso es necesaria. La documentación se genera ocasionalmente y se distribuye en forma desigual a grupos limitados. Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
51
entrenamiento tienden a ser esquemas únicos con calidad variable. Virtualmente no existen
procedimientos de integración a través de los diferentes sistemas y unidades de negocio. No hay aportes de las unidades de negocio en el diseño de programas de entrenamiento
2 Repetible pero Intuitivo cuando
Se utilizan enfoques similares para generar r procedimientos y documentación, pero no se basan en un enfoque estructural o marco de trabajo. No hay un enfoque uniforme para el
desarrollo de procedimientos de usuario y de operación. Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran. Los procedimientos y la calidad del soporte al usuario van desde pobre a muy
buena, con una consistencia e integración muy pequeña a lo largo de la organización. Se proporcionan o facilitan programas de entrenamiento para el negocio y los usuarios, pero
no hay un plan general para ofrecer o dar entrenamiento.
3 Definido cuando
Existe un esquema bien definido, aceptado y comprendido para documentación del usuario,
manuales de operación y materiales de entrenamiento. . Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ellas. Las correcciones a la documentación y a los procedimientos se realizan por reacción.
Los procedimientos se encuentran disponibles fuera de línea y se pueden acceder y mantener en caso de desastre. Existe un proceso que especifica las actualizaciones de
procedimientos y los materiales de entrenamiento para que sea un entregable explícito de un proyecto de cambio. A pesar de la existencia de enfoques definidos, el contenido actual varía debido a que no hay un control para reforzar el cumplimiento de estándares. Los
usuarios se involucran en los procesos informalmente. Cada vez se utilizan más herramientas automatizadas en la generación y distribución de procedimientos. Se planea y
programa tanto el entrenamiento del negocio como de los usuario. 4 Administrado y Medible cuando
Existe un esquema definido para los procedimientos de mantenimiento y para los materiales
de entrenamiento que cuentan con el soporte de la administración de TI. El enfoque considerado para los procedimientos de mantenimiento y los manuales de entrenamiento cubren todos los sistemas y las unidades de negocio, de manera que se pueden observar los
procesos desde una perspectiva de negocio.. El desarrollo automatizado de procedimientos se integra cada vez más con el desarrollo de sistemas aplicativos, facilitando la consistencia
y el acceso al usuario. El entrenamiento de negocio y usuario es sensible a las necesidades del negocio. La administración de TI está desarrollando medidas para el desarrollo y la entrega de documentación, materiales y programas de entrenamiento.
5 Optimizado cuando
El proceso para la documentación de usuario y de operación se mejora constantemente con la adopción de nuevas herramientas o métodos. Los materiales de procedimientos y de
entrenamiento se tratan como una base de conocimiento en evolución constante que se
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
52
mantiene en forma electrónica, con el uso de administración de conocimiento actualizada,
flujo de trabajo y tecnologías de distribución, que los hacen accesibles y fáciles de mantener. El material de documentación y entrenamiento se actualiza para reflejar los
cambios en la organización, en la operación y en el software. Tanto el desarrollo de materiales de documentación y entrenamiento como la entrega de programas de entrenamiento, se encuentran completamente integrados con el negocio y con las
definiciones de proceso del negocio, siendo así un apoyo a los requerimientos de toda la organización y no tan sólo procedimientos orientados a TI.
3.4.5.-ADQUIRIR RECURSOS DE TI AI5
3.4.5.1.-DESCRIPCIÓN DEL PROCESO.
Se deben suministrar recursos TI, incluyendo personas, hardware, software y servicios. Esto requiere de la definición y ejecución de los procedimientos de adquisición, la
selección de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren de
una manera oportuna y rentable.
3.4.5.2.-OBJETIVOS DE CONTROL
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
53
AI5.1 Control de Adquisición
Desarrollar y seguir un conjunto de procedimientos y estándares consistentes con el proceso general de adquisición de la organización y con la estrategia de adquisición para adquirir
infraestructura relacionada con TI, instalaciones, hardware, software y servicios necesarios por el negocio.
AI5.2 Administración de Contratos con Proveedores
Formular procedimiento para establecer, modificar y concluir contratos para todos los proveedores. El procedimiento debe cubrir, como mínimo, responsabilidades y obligaciones legales, financieras, organizacionales, documentales, de desempeño, de seguridad, de
propiedad intelectual y responsabilidades de conclusión así como obligaciones (que incluyan cláusulas de penalización). Todos los contratos y las modificaciones a contratos
las deben revisar asesores legales. AI5.3 Selección de Proveedores
Seleccionar proveedores de acuerdo a una práctica justa y formal para garantizar la mejor
viable y encajable según los requerimientos especificados. Los requerimientos deben estar optimizados con las entradas de los proveedores potenciales.
AI5.4 Adquisición de Recursos de TI
Proteger y hacer cumplir los intereses de la organización en todo los contratos de adquisiciones, incluyendo los derechos y obligaciones de todas las partes en los términos contractuales para la adquisición de software, recursos de desarrollo, infraestructura
servicios.
3.4.5.3-MODELO DE MADUREZ
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
54
La administración del proceso de Adquirir recursos de TI que satisfaga el requerimiento
de negocio de TI de mejorar la rentabilidad d TI y su contribución a la utilidad del
negocio es:
0 No Existente cuando
No existe un proceso definido de adquisición de recursos de TI. La organización no
reconoce la necesidad de tener políticas y procedimientos claros de adquisición para garantizar que todos los recursos de TI se encuentren disponibles y de forma oportuna y rentable
1 Inicial / Ad Hoc cuando
La organización ha reconocido la necesidad de tener políticas y procedimientos documentados que enlacen la adquisición de TI con el proceso general de adquisiciones de
la organización. Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyecto y otras personas que ejercen su juicio profesional
más que seguir resultados de procedimientos y políticas formales. Sólo existe un relación ad hoc entre los procesos de administración de adquisiciones y contratos corporativos y TI. Los contratos de adquisición se administran a la terminación de los proyectos más que
sobre una base continua.
2 Repetible pero Intuitivo cuando
Existe conciencia organizacional de la necesidad de tener políticas y procedimientos básicos para la adquisición de TI. Las políticas y procedimientos se integran parcialmente
con el proceso general de adquisición de la organización del negocio. Los procesos de adquisición se utilizan principalmente en proyectos mayores y bastante visibles.
3 Definido cuando
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
55
La administración establece políticas y procedimientos para la adquisición de TI. Las
políticas y procedimientos toman como guía el proceso general de adquisición de la organización. La adquisición de TI se integra en gran parte con los sistemas generales de
adquisición del negocio. Existen estándares de TI para la adquisición de recursos de TI. Los proveedores de recursos de TI se integran dentro de mecanismos de administración de proyectos de la organización desde una perspectiva de administración de contrato.
La administración de TI comunica la necesidad de contar con una administración adecuada de adquisiciones y contratos en toda la función de TI.
4 Administrado y Medible cuando
La adquisición de TI se integra totalmente con los sistemas generales de adquisición de la organización. Se utilizan los estándares para la adquisición de recursos de TI en todos los
procesos de adquisición. Se toman medidas para la administración de contratos y adquisiciones relevantes para l s casos de negocio que requieran la adquisición de TI. Se dispones de reportes que sustentan los objetivos de negocio. La administración de Ti
implanta el uso de procesos de administración para adquisición y contratos en todas las adquisiciones mediante la revisión de medición al desempeño
5 Optimizado cuando
La administración instituye y da recursos a procesos exhaustivos para la adquisición de TI. La administración impulsa el cumplimiento de las políticas y procedimientos de
adquisición de TI. Se toman las medidas en la administración de contratos y adquisiciones, relevantes en casos de negocio para adquisición de TI. Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estas
relaciones. Se manejan las relaciones en forma estratégica. Los estándares, políticos y procedimientos de TI para la adquisición de recursos TI se manejan estratégicamente y
responden a la medición del proceso. La administración de TI comunica la importancia estratégica de tener una administración apropiada de adquisiciones y contratos, a través de la función TI.
3.4.6.-ADMINISTRAR CAMBIOS AI6
3.4.6.1.-DESCRIPCIÓN DEL PROCESO
Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados
con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a
la implantación y revisar contra los resultados planeados después de la implementación. . Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
56
3.4.6.2.-OBJETIVOS DE CONTROL
AI6.1 ESTÁNDARES Y PROCEDIMIENTOS PARA CAMBIOS
Establecer procedimientos de administración de cambio formales para manejar de manera
estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistemas y servicio, y las
plataformas fundamentales. AI6.2 EVALUACIÓN DE IMPACTO, PRIORIZACIÓN Y AUTORIZACIÓN.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
57
Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en
cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambio. Previo a la migración hacia producción,
los interesados correspondientes autorizan los cambios.
AI6.3 CAMBIOS DE EMERGENCIA.
Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia
que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia.
AI6.4 SEGUIMIENTO Y REPORTE DE ESTATUS DE CAMBIO.
Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio a las aplicaciones, a los procedimientos, a los procesos, parámetros de sistemas y del servicio y las plataformas fundamentales.
AI6.5 CIERRE Y DOCUMENTACIÓN DEL CAMBIO
Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de
revisión para garantizar la implantación completa de los cambios.
3.4.6.3-MODELO DE MADUREZ
La administración del proceso de Administrar cambios que satisfaga el requerimiento de
negocio de TI de responder a los requerimientos de acuerdo con la estrategia del
negocio, mientras que se reducen los defectos y repeticiones de trabajos en la entrega de
soluciones y servicios es:
0 NO EXISTENTE CUANDO:
Un proceso definido de administración de cambio y los cambios se pueden realizar virtualmente sin control. No hay conciencia de que el cambio pude causar una interrupción
para TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administración de cambio.
1 INICIAL / AD HOC CUANDO:
Se reconoce que los cambios se deben administrar y controlas. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay documentación de cambio pobre o no existente y la documentación de configuración es incompleta y no confiable.
Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por una pobre administración de cambios.
3 DEFINIDO CUANDO:
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
58
Existe un proceso formal definido para la administración del cambio, que incluye la
categorización, asignación de prioridades, procedimientos de emergencia, autorización del cambio y administración de liberación, y va surgiendo el cumplimiento. Se dan soluciones
temporales a los problemas y los procesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El análisis de impacto de los cambios de TI en operaciones de negocios se está volviendo formal, para
apoyar la implantación planeada de nuevas aplicaciones y tecnologías.
4 ADMINISTRADO Y MEDIBLE CUANDO:
El proceso de administración de cambio se desarrolla bien y es consistente para todos los
cambios, y la gerencia confía que hay excepciones mínimas. El proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para
garantizar el logro de la calidad. Todos los cambios están sujetos a una planeación minuciosa y a la evaluación del impacto para minimizar la probabilidad de tener problemas de post-producción. Se da un proceso de aprobación para cambios. La documentación de
administración de cambios es vigente y correcta, con seguimiento formar a los cambios. La documentación de configuración es generalmente exacta. La planeación e implantación de
la administración de cambios de TI se van integrando con los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinación creciente entre la
administración de cambio de TI y el rediseño del proceso de negocio. Hay un proceso consistente para monitorear la calidad y el desempeño del proceso de administración de
cambios.
5 OPTIMIZANDO CUANDO:
El proceso de administración de cambios se revisa con regularidad y se actualiza para permanecer en línea con las buenas prácticas. El proceso de revisión refleja los resultados del monitoreo. La información de la configuración es computarizada y proporciona un
control de versión. El rastreo del cambio es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administración de cambio de TI se integra con la
administración de cambio del negocio para garantizar que TI sea un factor que hace posible el incremento de productividad y la creación de nuevas oportunidades de negocio para la organización.
3.4.7.-INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS AI7
3.4.7.1.-DESCRIPCIÓN DEL PROCESO
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa.
Esto requiere pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, para definir la transición e instrucciones de migración, planear la liberación y la transición
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
59
en si al ambiente de producción y revisar la post-implantación. Esto garantiza que los
sistemas operativos estén en línea con las expectativas convenidas y con los resultados.
3.4.7.2.-OBJETIVOS DE CONTROL
AI7.1 ENTRENAMIENTO
Entrenar al personal de los departamentos de usuario afectados y al grupo de operaciones
de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de sistemas de la información de desarrollo, implementación o modificación.
AI7.2 PLAN DE PRUEBA
Establecer un plan de pruebas basado en los estándares de la organización que define roles,
responsabilidades, y criterios de entrada y salida. Asegurar que el plan está aprobado por las partes relevantes. AI7.3 PLAN DE IMPLANTACIÓN
Establecer un plan de implantación y respaldo y vuelta atrás. Obtener aprobación de las partes relevantes.
AI7.4 AMBIENTE DE PRUEBA
Definir y establecer un entorno seguro de pruebas representativo del entorno de operaciones planeado relativo a seguridad, controles internos, practicas operativos, calidad de los datos
y requerimientos de privacidad, y cargas de trabajo. AI7.5 CONVERSION DE SISTEMAS Y DATOS
Plan de conversión de datos y migración de infraestructuras como parte de métodos de desarrollo de la organización, incluyendo pistas de auditoría, respaldo y vuelta atrás. AI7.6 PRUEBA DE CAMBIOS
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
60
Pruebas de cambios independientemente en acuerdo con los planes de pruebas definidos
antes de la migración al entorno de operaciones. Asegurar que el plan considera la seguridad y el desempeño.
AI7.7 PRUEBA DE ACEPTACIÓN FINAL
Asegurar que el dueño de proceso de negocio y los interesados de TI evalúan los resultados de los procesos de pruebas como determina el plan de pruebas. Remediar los errores
significativos identificados en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier prueba de regresión necesaria.
Siguiendo la evaluación, aprobación promoción a producción. AI7.8 PROMOCIÓN A PRODUCCIÓN
Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones,
manteniéndolo en línea con el plan de implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de sistemas y gerente de operaciones. Cuando
sea apropiado, ejecutar el sistema en paralelo con el viejo sistema por un tiempo, y comparar el comportamiento y los resultados. AI7.9 REVISIÓN POSTERIOR A LA IMPLANTACIÓN
Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como conjunto de
salida en el plan de implementación.
3.4.7.3.-MODELO DE MADUREZ
La administración del proceso de Instalar y acreditar soluciones y cambios que
satisfagan el requerimiento de negocio de TI de implementar sistemas nuevos o
modificados que funcionen sin mayores problemas después de su instalación es:
0 No Existente cuando:
Hay una ausencia completa de procesos formales de instalación o acreditación y ni la
gerencia sénior ni el personal de TI reconocen la necesidad de verificar que las soluciones se ajustan para el propósito deseado.
1 Inicial / Ad Hoc cuando:
Existe la percepción de la necesidad de verificar y confirmar que las soluciones implantadas sirven para el propósito esperado. Las pruebas se realizan para algunos
proyectos, pero la iniciativa de pruebas se deja a los equipos de proyectos particulares y los enfoques que se toman varían. La acreditación formal y la autorización son raras o no existentes.
2 Repetible pero Intuitivo cuando:
Existe cierta consistencia entre los enfoques de prueba y acreditación, pero por lo regular no se basan en ninguna metodología. Los equipos individuales de desarrollo deciden
normalmente el enfoque de prueba y casi siempre hay ausencia de pruebas de integración. Hay un proceso de aprobación informal.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
61
3 Definido cuando:
Se cuenta con una metodología formal en relación con la instalación, migración, conversión
y aceptación. Los procesos de TI para instalación y acreditación están integrados dentro del ciclo de vida del sistema y están automatizados hasta cierto punto. El entrenamiento, pruebas y transición y acreditación a producción tienen muy probablemente variaciones
respecto al proceso definido, con base en las decisiones individuales. La calidad de los sistemas que pasan a producción es inconsistente, y los nuevos sistemas a menudo generan
un nivel significativo de problemas posteriores a la implantación.
4 Administrado y Medible cuando:
Los procedimientos son formales y se desarrollan para ser organizados y prácticos con
ambientes de prueba definidos y con procedimientos de acreditación. En la práctica, todos los cambios mayores de sistemas siguen este enfoque formal. La evaluación de satisfacción requerimientos del usuario es estándar y medible, y produce mediciones que la gerencia
puede revisar y analizar de forma efectiva.
La calidad de los sistemas que entran en producción es satisfactoria para la gerencia, aún con niveles razonables de problemas posteriores a la implantación. La automatización del proceso es ad hoc y depende del proyecto. Es posible que la gerencia esté satisfecha con el
nivel actual de eficiencia a pesar de la ausencia de una evaluación posterior a la implementación. El sistema de prueba refleja adecuadamente el ambiente de producción.
La prueba de stress para los nuevos sistemas y la prueba de regresión para sistemas existentes se aplican para proyectos mayores.
5 Optimizado cuando:
Los procesos de instalación y acreditación se han refinado a un nivel de buena práctica, con base en los resultados de mejora continua y refinamiento. Los procesos de TI para la instalación y acreditación están totalmente integrados dentro del ciclo de vida del sistema y
se automatizan cuando es apropiado, arrojando el estatus más eficiente de entrenamiento, pruebas y transición a producción para los nuevos sistemas.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
62
3.5 Entregar y dar Soporte DS1 Definir y administrar los niveles de servicio.
DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos
DS12 Administrar el ambiente físico DS13 Administrar las operaciones
3.6 Monitorear y Evaluar ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI
UNIDAD III
LOS CUATRO DOMINIOS
Y LOS 34 OBJETIVOS DE
CONTROL DE COBIT
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
63
LOS DOMINIOS DE COBIT Y LOS 34 OBJETIBOS DE CONTTOL
3.5 ENTREGAR Y DAR SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE
Establecer un entendimiento común del nivel de servicio requerido posibilitado por el establecimiento de acuerdos de nivel de servicio que formalizan los criterios de rendimiento
contra los cuales se medirá la cantidad y la calidad del servicio que será medido, lo cual permita a la gerencia identificar deficiencias en el servicio prestado, enfocándose en la identificación de requerimientos de servicio. En este proceso se toma en consideración los
siguientes aspectos:
Acuerdos o convenios formales
Definición de responsabilidades
Tiempos y volúmenes de respuesta
Cargos
Garantías de integridad.
Acuerdos de confidencialidad
En ésta sección encontrará toda la información contenida en el documento del estándar COBIT 4.0. , acerca de los Procesos a seguir respecto al Dominio "Entregar y Dar
Soporte", además se muestra el Objetivo a conseguir para cada proceso mencionado. Para obtener la información completa solo necesita dar clic sobre el Proceso deseado.
Mediante estos se obtienen respuestas a las preguntas efectuadas por la alta gerencia de una compañía, estas son:
¿Se están entregando los servicios de las TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de las TI?
¿Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?
¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
PROCESOS DEL DOMINIO
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
64
DESCRIPCIÓN GENERAL
DEL PROCESO
A qué se refiere el proceso. Resume los objetivos del proceso, muestra la equivalencia de este proceso con los criterios de información, con los recursos de Ti y
con las áreas focales de gobierno de TI.
OBJETIVOS DE CONTROL
DETALLADOS DEL
PROCESO
Metas intermedias para lograr el Objetivo principal.
Contiene los objetivos de control detallados de éste proceso.
ENTRADAS Y SALIDAS DEL
PROCESO
Describe lo que se necesita antes y lo que se entrega
después de realizar el proceso.
GRÁFICA RACI Muestra qué se debe delegar y a quién.
METAS Y MÉTRICAS Describe cómo se debe medir el proceso.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
65
MODELO DE MADUREZ DEL
PROCESO
Es una guía para saber en qué nivel de eficiencia se
encuentra el proceso. Muestra lo que se debe hacer para mejorar el proceso.
PROCESOS DEL DOMINIO ENTREGAR Y DAR SOPORTE
DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
Asegurar la alineación de los servicios claves de TI con la estrategia del negocio
enfocándose en la identificación de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio.
Objetivos de control detallados del proceso
DS1.1 MARCO DE TRABAJO DE LA ADMINISTRACIÓN DE LOS NIVELES DE
SERVICIO
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
66
Definir un marco de trabajo que brinde un proceso formal de administración de niveles de
servicio entre el cliente y el prestador de servicio. El marco de trabajo mantiene una alineación continua con los requerimientos y las prioridades de negocio y facilita el
entendimiento común entre el cliente y el(los) prestador(es) de servicio. El marco de trabajo incluye procesos para la creación de requerimientos de servicio, definiciones de servicio, acuerdos de niveles de servicio (SLAs), acuerdos de niveles de operación (OLAs) y las
fuentes de financiamiento. Estos atributos están organizados en un catálogo de servicios. El marco de trabajo define la estructura organizacional para la administración del nivel de
servicio, incluyendo los roles, tareas y responsabilidades de los proveedores externos e internos y de los clientes.
DS1.2 DEFINICIÓN DE SERVICIOS
Definiciones base de los servicios de TI sobre las características del servicio y los requerimientos de negocio, organizados y almacenados de manera centralizada por medio
de la implantación de un enfoque de catálogo/portafolio de servicios.
DS1.3 ACUERDOS DE NIVELES DE SERVICIO
Definir y acordar convenios de niveles de servicio para todos los procesos críticos de TI con base en los requerimientos del cliente y las capacidades en TI. Esto incluye los
compromisos del cliente, los requerimientos de soporte para el servicio, métricas cualitativas y cuantitativas para la medición del servicio firmado por los interesados, en caso de aplicar, los arreglos comerciales y de financiamiento, y los roles y
responsabilidades, incluyendo la revisión del SLA. Los puntos a considerar son disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte,
planeación de continuidad, seguridad y restricciones de demanda.
DS1.4 ACUERDOS DE NIVELES DE OPERACIÓN
Asegurar que los acuerdos de niveles de operación expliquen cómo serán entregados técnicamente los servicios para soportar el (los) SLA(s) de manera óptima.
DS1.5 MONITOREO Y REPORTE DEL CUMPLIMENTO DE LOS NIVELES DE SERVICIO
Monitorear continuamente los criterios de desempeño especificados para el nivel de servicio. Los reportes sobre el cumplimiento de los niveles de servicio deben emitirse en un
formato que sea entendible para los interesados. Las estadísticas de monitoreo son analizadas para identificar tendencias positivas y negativas tanto de servicios individuales
como de los servicios en conjunto.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
67
DS1.6 REVISIÓN DE LOS ACUERDOS DE NIVELES DE SERVICIO Y DE LOS
CONTRATOS
Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que están actualizados y que se han tomado en cuenta los cambios en requerimientos.
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios,
riesgos y costos enfocándose en el establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la
prestación del servicio para verificar y asegurar la adherencia a los convenios. La necesidad de asegurar que los servicios provistos por terceros cumplan con los
requerimientos del negocio, requiere de un proceso efectivo de administración de terceros. Este proceso se logra por medio de una clara definición de roles, responsabilidades y
expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se
desempeñan de forma adecuada.
OBJETIVOS DE CONTROL DETALLADOS
DS2.1 Identificación de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad. Mantener documentación formal de las relaciones
técnicas y organización al incluyendo los roles y responsabilidades, metas, expectativas, entregables, esperados y credenciales de los representantes de estos proveedores.
DS2.2 Administración de las relaciones con los proveedores Formalizar el proceso de administración de relaciones con proveedores porcada proveedor.
Los responsables de las relaciones deben coordinar a los proveedores y los clientes y asegurar la calidad de las relaciones con base en la confianza y la transparencia (por ejemplo, a través de acuerdos de niveles de servicio).
DS2.3 Administración de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del
negocio de conformidad con los requerimientos legales y regulatorios. La administración del riesgo debe considerar además acuerdos de confidencialidad (NDAs), contratos de
garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, proveedores alternativos, penalizaciones e incentivos, etc.
DS2.4 MONITOREO DEL DESEMPEÑO DEL PROVEEDOR
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
68
Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de
manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado.
Niveles de madurez 0 No existente cuando Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No
hay actividades de medición y los terceros no reportan. A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.
1 INICIAL/AD HOC CUANDO La gerencia está consciente de la importancia de la necesidad de tener políticas y
procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios
con los prestadores de servicios. La medición de los servicios prestados es informal y reactiva. Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).
2 REPETIBLE PERO INTUITIVA CUANDO
El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal. Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor(por ejemplo, la descripción de servicios
que se prestarán). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.
3 Proceso definido cuando Hay procedimientos bien documentados para controlar los servicios deterceros con procesos claros para tratar y negociar con los proveedores. Cuando se hace un acuerdo de
prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestarse detalla en el contrato e incluye requerimientos legales,
operacionales yde control. Se asigna la responsabilidad de supervisar los servicios de terceros. Los términos contractuales se basan en formatos estandarizados. El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.
DS3 ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Enfocándose en cumplir con los requerimientos de
tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeño y capacidad de TI a través del
monitoreo y la medición. DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
69
Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI.
enfocándose en el desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI.
DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI. Enfocándose en el desarrollo de resistencia (resilience) en las soluciones automatizadas y
desarrollando, manteniendo y probando los planes de continuidad de TI.
DS5.1 ADMINISTRACIÓN DE LA SEGURIDAD DE TI
Administrar la seguridad de TI al nivel más apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del
negocio.
DS5.2 PLAN DE SEGURIDAD DE TI
Trasladar los requerimientos de información del negocio, la configuración de TI, los planes de acción del riesgo de la información y la cultura sobre la seguridad en la información a un
plan global de seguridad de TI. El plan se implementa en políticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las políticas y procedimientos de seguridad se comunican a los interesados y a
los usuarios.
DS5.3 ADMINISTRACIÓN DE IDENTIDAD
Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, operación del sistema, desarrollo y mantenimiento) deben ser
identificables de manera única. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio definidas y documentadas y con
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
70
requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por la
gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso
se mantienen en un repositorio central. Se implementan y se mantienen actualizadas medidas técnicas y procedimientos rentables, para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.
DS5.4 ADMINISTRACIÓN DE CUENTAS DEL USUARIO Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de
cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los
datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y
obligaciones relacionados al acceso a los sistemas e información de la empresa son acordados contractualmente para todos los tipos de usuarios. La gerencia debe llevar a cabo
una revisión regular de todas las cuentas y los privilegios asociados.
DS5.5 PRUEBAS, VIGILANCIA Y MONITOREO DE LA SEGURIDAD
Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (logging) y
de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención. El acceso a la información de ingreso al sistema está alineado con
los requerimientos del negocio en términos de requerimientos de retención y de derechos de acceso.
DS5.6 DEFINICIÓN DE INCIDENTE DE SEGURIDAD
Garantizar que las características de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de
forma apropiada por medio del proceso de administración de problemas o incidentes. Las características incluyen una descripción de lo que se considera un incidente de seguridad y
su nivel de impacto. Un número limitado de niveles de impacto se definen para cada incidente, se identifican las acciones específicas requeridas y las personas que necesitan ser notificadas.
DS5.7 PROTECCIÓN DE LA TECNOLOGÍA DE SEGURIDAD Garantizar que la tecnología importante relacionada con la seguridad no sea susceptible de
sabotaje y que la documentación de seguridad no se divulgue de forma innecesaria, es
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
71
decir, que mantenga un perfil bajo. Sin embargo no hay que hacer que la seguridad de los
sistemas dependa de la confidencialidad de las especificaciones de seguridad.
DS5.8 ADMINISTRACIÓN DE LLAVES CRIPTOGRÁFICAS
Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo
de llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas.
DS5.9 PREVENCIÓN, DETECCIÓN Y CORRECCIÓN DE SOFTWARE MALICIOSO
Garantizar que se cuente con medidas de prevención, detección y corrección (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la
organización para proteger a los sistemas de información y a la tecnología contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado
internamente, etc.).
DS5.10 SEGURIDAD DE LA RED
Garantizar que se utilizan técnicas de seguridad y procedimientos de administración asociados (por ejemplo, firewalls, dispositivos de seguridad, segmentación de redes, y detección de intrusos) para autorizar acceso y controlar los flujos de información desde y
hacia las redes.
DS5.11 INTERCAMBIO DE DATOS SENSITIVOS
Garantizar que las transacciones de datos sensibles sean intercambiadas solamente a través de una ruta o medio confiable con controles para brindar autenticidad de contenido, prueba
de envío, prueba de recepción y no rechazo del origen. DS6 IDENTIFICAR Y ASIGNAR COSTOS
Transparentar y entender los costos de TI y mejorar la rentabilidad a través del uso bien
informado de los servicios de TI enfocándose en el registro completo y preciso de los costos de TI, un sistema equitativo para asignación acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados.
DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
Hacer uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento
del usuario con las políticas y procedimientos enfocándose en un claro entendimiento de las
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
72
necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia
de entrenamiento y la medición de resultados.
DS7.1 Identificación de necesidades de entrenamiento y educación Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: • Estrategias y requerimientos actuales y futuros del negocio. • Valores
corporativos (valores éticos, cultura de control y seguridad, etc.) • Implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones) • Habilidades, perfiles de
competencias y certificaciones actuales y/o credenciales necesarias. • Métodos de impartición (por ejemplo, aula, web), tamaño del grupo objetivo, accesibilidad y tiempo.
DS7.2 Impartición de entrenamiento y educación Con base en las necesidades de entrenamiento identificadas, identificar: a los grupos objetivo y a sus miembros, a los
mecanismos de impartición eficientes, a maestros, instructores y consejeros. Designar instructores y organizar el entrenamiento con tiempo suficiente. Debe tomarse nota del registro (incluyendo los prerrequisitos), la asistencia, y de las evaluaciones de desempeño.
DS7.3 Evaluación del entrenamiento recibido Al finalizar el entrenamiento, evaluar el
contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio y de las sesiones de
entrenamiento.
DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES
Hacer uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y procedimientos enfocándose en un claro entendimiento de las
necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia de entrenamiento y la medición de resultados.
OBJETIVOS DE CONTROL DETALLADOS
DS8.2 Registro de consultas de clientes Establecer una función y sistema que permita el registro y rastreo de llamadas, incidentes, solicitudes de servicio y necesidades de información. Debe trabajar estrechamente con los procesos de administración de incidentes,
administración de problemas, administración de cambios, administración de capacidad y administración de disponibilidad.
DS8.3 Escalamiento de incidentes Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de
qué grupo de TI esté trabajando en las actividades de resolución.
DS8.4 Cierre de incidentes Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada
con el cliente
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
73
DS9 ADMINISTRAR LA CONFIGURACIÓN
Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI. Enfocándose en establecer y mantener un repositorio completo y preciso de atributos
de la configuración de los activos y de líneas base y compararlos contra la configuración actual.
DS10 ADMINISTRAR LOS PROBLEMAS
Garantizar la satisfacción de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y los defectos en la prestación de los servicios y de las soluciones. Enfocándose en registrar, rastrear y resolver problemas operativos;
investigación de las causas raíz de todos los problemas relevantes y definir soluciones para los problemas operativos identificados.
Una efectiva administración de problemas requiere la identificación y clasificación de
problemas, el análisis de las causas desde su raíz, y la resolución de problemas. El proceso de administración de problemas también incluye la identificación de recomendaciones para
la mejora, el mantenimiento de registros de problemas y la revisión del estatus de las acciones correctivas. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario.
Objetivos de control detallados
DS10.1 IDENTIFICACIÓN Y CLASIFICACIÓN DE PROBLEMAS Implementar procesos para reportar y clasificar problemas que han sido identificados como
parte de la administración de incidentes. Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes; son determinar la categoría,
impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte). Estos grupos pueden coincidir con las responsabilidades organizacionales o con la base de
usuarios y clientes, y son la base para asignar los problemas al personal de soporte.
DS10.2 RASTREO Y RESOLUCIÓN DE PROBLEMAS El sistema de administración de problemas debe mantener pistas de auditoría adecuadas que
permitan rastrear, analizar y determinar la causa raíz de todos los problemas reportados considerando:• Todos los elementos de configuración asociados• Problemas e incidentes
sobresalientes• Errores conocidos y sospechados Identificar e iniciar soluciones sostenibles indicando la causa raíz, incrementando las solicitudes de cambio por medio del proceso de administración de cambios establecido. En todo el proceso de resolución, la administración
de problemas debe obtener reportes regulares de la administración de cambios sobre el
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
74
progreso en la resolución de problemas errores. La administración de problemas debe
monitorear el continuo impacto de los problemas y errores conocidos en los servicios a los usuarios. En caso de que el impacto se vuelva severo, la administración de problemas debe
escalar el problema, tal vez refiriéndolo a un comité determinado para incrementar la prioridad de la solicitud del cambio (RFC) o para implementar un cambio urgente, lo que resulte más pertinente.
DS10.3 CIERRE DE PROBLEMAS
Disponer de un procedimiento para cerrar registros de problemas ya sea después de confirmar la eliminación exitosa del error conocido o después desacordar con el negocio
cómo manejar el problema de manera alternativa. DS10.4 Integración de las administraciones de cambios, configuración y problemas
Para garantizar una adecuada administración de problemas e incidentes, integrar los procesos relacionados de administración de cambios, configuración y problemas. Monitorear cuánto esfuerzo se aplica en apagar fuegos, en lugar de permitir mejoras al
negocio y, en los casos que sean necesarios, mejorar estos procesos para minimizar los problemas
DS11 ADMINISTRAR LOS DATOS
Garantizar la satisfacción de los usuarios finales con ofrecimientos de servicios y niveles de
servicio, reducir el re trabajo y los defectos en la prestación de los servicios y de las soluciones. Enfocándose en registrar, rastrear y resolver problemas operativos; investigación de las causas raíz de todos los problemas relevantes y definir soluciones para
los problemas operativos identificados.
DS12 ADMINISTRAR EL AMBIENTE FÍSICO
Optimizar el uso de la información y garantizar la disponibilidad de la información cuando
se requiera. Enfocándose en mantener la integridad, exactitud, disponibilidad y protección de los datos.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
75
EQUIVALENCIA DEL
PROCESO CON LAS ÁREAS
FOCALES DEL GOBIERNO
DE TI
DS13 ADMINISTRAR LAS OPERACIONES
Proteger los activos de cómputo y la información del negocio minimizando el riesgo de una
interrupción del servicio. Enfocándose en proporcionar y mantener un ambiente físico adecuado para proteger los activos de TI contra acceso, daño o robo.
3.6 MONITOREAR Y EVALUAR
Enfoque del Monitoreo
Garantizar que la gerencia establezca un marco de trabajo de monitoreo general y un
enfoque que definan el alcance, la metodología y el proceso a seguir para monitorear la contribución de TI a los resultados de los procesos de administración de programas y de administración del portafolio empresarial y aquellos procesos que son específicos para la
entrega de la capacidad y los servicios de TI. El marco de trabajo se debería integrar con el sistema de administración del desempeño corporativo.
Definición y recolección de datos de monitoreo
Garantizar que la gerencia de TI, trabajando en conjunto con el negocio, defina un conjunto
balanceado de objetivos, mediciones, metas y comparaciones de desempeño y que estas se
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
76
encuentren acordadas formalmente con el negocio y otros interesados relevantes. Los
indicadores de desempeño deberían incluir:
La contribución al negocio que incluya, pero que no se limite a, la información financiera
Desempeño contra el plan estratégico del negocio y de TI Riesgo y cumplimiento de las regulaciones
Satisfacción del usuario interno y externo Procesos clave de TI que incluyan desarrollo y entrega del servicio Actividades orientadas a futuro, por ejemplo, la tecnología emergente, la
infraestructura re-utilizable, habilidades del personal de TI y del negocio.
Se deben establecer procesos para recolectar información oportuna y precisa para reportar el avance contra las metas.
Método de monitoreo
Garantizar que el proceso de monitoreo implante un método (ej. Balanced Scorecard), que
brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al sistema de monitoreo de la empresa.
ME1.4 Evaluación del desempeño
Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa
raíz e iniciar medidas correctivas para resolver las causas subyacentes.
Reportes al consejo directivo y a ejecutivos
Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas identificadas, específicamente en términos del
desempeño del portafolio empresarial de programas de inversión habilitados por TI, niveles de servicio de programas individuales y la contribución de TI a ese desempeño. Los
reportes de estatus deben incluir el grado en el que se han alcanzado los objetivos planeados, los entregables obtenidos, las metas de desempeño alcanzadas y los riesgos mitigados. Durante la revisión, se debe identificar cualquier desviación respecto al
desempeño esperado y se deben iniciar y reportar las medidas administrativas adecuadas.
Acciones correctivas
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
77
Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación
y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones con:
Revisión, negociación y establecimiento de respuestas administrativas
Asignación de responsabilidades por la corrección Rastreo de los resultados de las acciones comprometidas
-Reportes al Consejo Directivo y a Ejecutivos
Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas.
-Acciones Correctivas
Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes.
Directrices Gerenciales
Modelo De Madurez
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
78
La administración del proceso de Monitorear y evaluar el desempeño de TI que satisfaga los requerimientos de negocios para TI de transparencia y entendimiento de los datos que
lleva la empresa son:
◦ 0 No Existente
◦ 1 Inicial / Ad Hoc
◦ 2 Repetible pero Intuitivo
◦ 3 Definido
◦ 4 Administrado y médible
◦ 5 Optimizado
MONITOREAR Y EVALUAR EL CONTROL INTERNO ME2
Descripción del proceso
Establecer un programa de control interno para TI requiere un proceso bien definido de
monitoreo. Todo este proceso incluye el monitoreo y reporte de las excepciones de control, resultados de las auto evaluaciones y revisiones por parte de terceros. Satisface el requerimiento del negocio de TI para proteger el logro del los objetivos de TI y
cumplir las leyes y reglamentos relacionados con TI enfocándose en el monitoreo de los procesos de control interno.
Para las actividades relacionadas con TI e identificar las acciones se logra con: La definición de un sistema de controles internos integrados en el marco de trabajo de los
procesos de TI.
Monitorear y reportar la efectividad de los controles internos sobre TI. Reportar las excepciones de control a la gerencia para tomar acciones.
Todo esto se mide con el número de brechas importantes del control interno, número de iniciativas para la mejora del control y número y cubrimiento de auto evaluaciones de
control.
Objetivos de Control
- Monitoreo del Marco de Trabajo de Control Interno
Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales.
-Revisiones de Auditoria
Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la
gerencia de TI.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
79
Excepciones de Control
Identificar las excepciones de control, y analizar e identificar sus causas raíces subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias.
Control de Auto Evaluación
Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de un programa continuo de auto-evaluación.
Aseguramiento del Control Interno
Obtener, según sea necesario, aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones de terceros.
Control Interno para Terceros
Evaluar el estado de los controles internos de los proveedores de servicios externos. Conformar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales.
Acciones Correctivas
Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.
Directrices Gerenciales
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
80
ME3 MONITOREAR Y EVALUAR GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS
DESCRIPCION DEL PROCESO
Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos
contractuales. Este proceso incluye la identificación de requerimientos de cumplimiento, optimizado y evaluando la repuesta, obteniendo aseguramiento que los requerimientos se ha cumplido y finalmente integrando los reportes de cumplimiento de TI con el resto del
negocio.
Que satisface el requerimiento del negocio de TI para: Cumplir las leyes y regulaciones
Enfocándose en: La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no
cumplimiento. Se logra con:
La identificación de los requisitos legales y regulatorios relacionados con TI. La evaluación del impacto de los requisitos regulatorios. El monitoreo y reporte del cumplimiento de los requisitos regulatorios.
Y se mide con: El costo del no cumplimiento de TI, incluyendo arreglos y multas.
Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución. Frecuencia de revisiones de cumplimiento.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
81
OBJETIVOS DE CONTROL
ME3.1. IDENTIFICAR LOS REQUERIMIENTOS DE LAS LEYES,
REGULACIONES Y CUMPLIMIENTOS CONTRACTUALES: Identificar sobre una
base continua, leyes locales e internacionales, regulaciones y otros requerimientos externos que se deben de cumplir para incorporar en las políticas, estándares, procedimientos y
metodología de TI de la organización. ME3.2. OPTIMIZAR LA RESPUESTA A REQUERIMIENTOS EXTERNOS.
Revisar y ajustar las políticas, estándares, procedimientos y metodologías de TI para
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
82
garantizar que los requisitos legales, regulatorios y contractuales son direccionados y
comunicados.
ME3.3. EVALUACION DEL CUMPLIMIENTO CON REQUERIMIENOTS
EXTERNOS: Confirmar el cumplimiento de políticas, estándares, procedimientos y metodologías de TI con requerimientos legales y regulatorios.
ME3.4. ASEGURAMIENTO POSITIVO DEL CUMPLIMIENTO: Obtener y reportar
garantía de cumplimiento y adhesión a todas las políticas internas derivadas de directivas internas o requerimientos legales externos, regulatorios o contractuales, confirmando que se ha tomado cualquier acción correctiva para resolver cualquier brecha de cumplimiento por
el dueño responsable del proceso de forma oportuna.
ME3.5. REPORTES INTEGRADOS: Integrar los reportes de TI sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras funciones del negocio.
DIRECTRICES GERENCIALES
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
83
MODELO DE MADUREZ
La administración del proceso de garantizar el cumplimiento con requerimientos externos que satisfagan el requerimiento de negocio de TI de asegurar el cumplimiento de las leyes,
regulaciones y requerimientos contractuales es:
O No Existe
1 Inicial / Ad Hoc
2 Repetible pero intuitivo
3 Definido
4 Administrado y medible
5 Optimizado
0 No Existe cuando
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
84
Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin
procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.
1 Inicial / Ad Hoc cuando Existe conciencia de los requisitos de cumplimiento regulatorio, contractual y legal que tienen impacto en la organización. Se siguen procesos informales para mantener el
cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorias o revisiones.
2 Repetible pero intuitivo cuando Existe el entendimiento de la necesidad de cumplir con los requerimientos externos y la
necesidad se comunica. En los casos en que el cumplimiento se ha convertido en un requerimiento recurrente, como en los requerimientos financieros o en la legislación de
privacidad, se han desarrollados procedimientos individuales de cumplimiento y se siguen año a año. No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles. Se brinda
entrenamiento informal respecto a los requerimientos externos y a los temas de cumplimiento.
3. Definido cuando Se ha desarrollado, documentado y comunicado políticas, procedimientos y procesos, para
garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales, pero algunas quizá no se sigan y algunas quizá estén desactualizadas o sean poco prácticas
de implementar. Se realiza poco monitoreo y existen requisitos de cumplimiento que no han sido resueltos. Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.
Existen contratos pro forma y procesos legales estándares para minimizar los riesgos asociados con las obligaciones contractuales.
4. Administrado y Medible cuando Existe un entendimiento completo de los eventos y de la exposición a requerimientos
externos, y la necesidad de asegurar el cumplimiento a todos los niveles. Existe un esquema formal de entrenamiento que asegura que todo el equipo esté consciente de sus obligaciones
de cumplimiento. Las responsabilidades son claras y se entiende el empoderamiento de los procesos. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes. Existe un mecanismo implantado para monitorear el no
cumplimiento de los requisitos externos, reforzar las prácticas internas e implementar acciones correctivas. Los eventos de no cumplimiento se analizan de forma estándar en
busca de las causas raíz, con el objetivo de identificar soluciones sostenibles. Buenas prácticas internas estandarizadas se usan para necesidades específicas tales como reglamentos vigentes y contratos recurrentes de servicio,
5 Optimizado cuando
Existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos, basado en una sola función central que brinda orientación y coordinación s toda la organización. Hay un amplio conocimiento de los requerimientos
externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
85
necesidad de nuevas soluciones. La organización participa en discusiones externas con
grupos regulatorios y de la industria para entender e influenciar los requerimientos externos, y esto ocasiona que haya muy pocos casos de excepciones de cumplimiento.
Existe un sistema central de rastreo para toda la organización que permite a la gerencia documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo del cumplimiento. Un proceso externo de auto-evaluación de requerimientos
existe y se ha refinado hasta alcanzar el nivel de buena práctica. El estilo y la cultura administrativa de la organización referente al cumplimiento es suficientemente fuerte, y se
elaboran los procesos suficientemente bien para que el entrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo.
ME4 PROPORCIONAR GOBIERNO DE TI
OBJETIVOS
Establecer los parámetros para el desarrollo del gobierno de TI, a partir de la visión
global de la organización y los objetivos empresariales
Alinear las metas de negocio con las metas de TI, para establecer estrategias que
garanticen la buena comunicación entre las necesidades del negocio y los recursos
destinados para suplirlas.
Realizar una buena gestión en cuanto a los programas de inversión a desarrollar por
la organización y la administración de los recursos existentes en ella.
Realizar una buena administración de los riesgos para minimizar su impacto en la
organización
Evaluar el desempeño en cuanto al cumplimiento de los objetivos organizacionales.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
86
ALCANCE
Se desea evaluar la calidad en el gobierno de TI manejado desde la organización, para controlar el uso de los recursos y su aporte al cumplimiento de los objetivos del negocio, además de la comunicación existente entre los diferentes procesos.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
87
4. Modelos de madurez para el Control Interno 4.1 Enlaces de las metas de negocio a procesos de
TI 4.2 Enlaces de las metas de TI a procesos de TI 4.3 Matriz de procesos de TI a Metas de TI
Mapa de procesos de TI a las áreas focales de Gobierno de TI, COSO, Recursos de TI de COBIT y Criterios de información de COBIT.
UNIDAD IV
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
88
Los Modelos de Madurez para el Control Interno de COBIT
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
89
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
90
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
91
CONCLUSIONES
Las decisiones de negocio están basadas en la información oportuna, relevante y concisa.
Expresamente diseñado para directores ejecutivos embutidos de tiempo y gerentes, COBIT consiste en una descripción ejecutiva que proporciona una conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios. que proporciona un
entendimiento más detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la Planificación y la Organización, la Adquisición y la Puesta en
práctica, la Entrega y el Apoyo, la Supervisión) y 34 procesos de TI.
Una organización acertada es construida sobre un marco sólido de datos e información. El
Marco explica como los procesos de TI entregan la información que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel,
un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de los siete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, la disponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la
gente, usos, tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmente apoyar el objetivo de negocio.-
La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnológicamente es como bien usted mantiene el control. Los Objetivos de Control del
COBIT proveen la perspicacia (idea) crítica tuvo que delinear una práctica clara de política y buena para mandos de TI. Incluido son las declaraciones de resultados deseados u
objetivos para ser alcanzados por poniendo en práctica los 215 objetivos de control específicos, detallados en todas partes de los 34 procesos de TI.
RECOMENDACIONES
COBIT se debe aplicar a los sistemas de información de toda la empresa,
incluyendo las computadoras personales, mini computadoras y ambientes
distribuidos.
El enfoque del control en TI se llevara a cabo visualizando la información necesaria
para dar soporte a los procesos de negocio y considerando a la información como el
resultado de la aplicación.
Puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de información del proceso,
y por todos aquellos con responsabilidades en el campo de la TI en las empresas.
COMENTARIO
Está basado en procesos y se enfoca fuertemente en el control y menos en la ejecución, es decir, indica qué se debe conseguir sin focalizarse en el cómo, Aplicar un único marco de
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
92
trabajo integrado. Este cubre todas las necesidades y se integra con otros marcos y buenas
prácticas, de forma que puede ser utilizado como marco general. Proporciona una visión empresarial I que tiene a la tecnología y a la información como
protagonistas en la creación de valor para las empresas. Puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la adecuada administración de la seguridad. La información específica y las tecnologías relacionadas son cada vez más esenciales para las
organizaciones, pero la seguridad de la información es esencial para la confianza de los accionistas”
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
93
GLOSARIO
Análisis Costo / Beneficio
Es aquel que da a la gerencia de SI un análisis del costo de la implementación del software y los beneficios que surgen del software propuesto.
Areas de Oportunidad Son aquellas que detectan todas las circunstancias que facilitarán la implantación de soluciones y que tendrán un impacto relevante en alguna
función del negocio.
Aseguramiento de la Calidad Es aquello que asegura el cumplimiento de los estándares predefinidos y los requerimientos corporativos.
Auditar
Es una actividad informática que requiere un determinado desempeño profesional para cumplir unos objetivos precisos.
Auditoría
Es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis.
Auditoría Contable
Está diseñada para evaluar la exactitud de los estados o registros contables.
Auditoría del Desarrollo Es aquella que tratará de verificar la existencia y aplicación de
procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha llevado a cabo según estos principios de ingeniería, o por el contrario, determinar las deficiencias existentes en este sentido.
Auditoría Externa Es aquella que es realizada por personas ajenas a la empresa auditada.
Auditoría Global
Es aquella que combina tanto pasos de auditoría contables como operativas. Auditoría Informática
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
94
Es un proceso formal ejecutado por los especialistas del área de auditoría y
de informática, el cual se orienta a la verificación y aseguramiento de que las políticas y procedimientos establecidos para el manejo y uso adecuado de la
TI en la organización se lleven a cabo de una manera oportuna y eficiente. Auditoría Interna
Es aquella que es realizada con recursos materiales y personas que
pertenecen a la Empresa auditada.
Auditoría Operativa Está diseñada para evaluar la estructura de control interno en un área determinada.
Calidad
Es la propiedad o conjunto de propiedades inherentes a una cosa que permiten apreciarla como igual, mejor o peor que las restantes de su especie.
Calidad de Software Es la concordancia con los requerimientos funcionales y de rendimiento
explícitamente establecidos, con los estándares de desarrollo explícitamente documentados y con las características implícitas que se esperan de todo software desarrollado profesionalmente.
Confidencialidad
Es aquello que se cumple cuando sólo las personas autorizadas pueden conocer los datos o la información correspondiente.
Comité de Informática Es el lugar en que se debaten los grandes asuntos de la informática que
afectan a toda la empresa y permite a los usuarios conocer las necesidades del conjunto de la organización y participar en la fijación de prioridades.
Control de Calidad Es aquello que asegura que las prestaciones son exactas y apropiadas sobre
el servicio o producto.
Controles Correctivos
Son aquellos que corrigen errores, omisiones o actos maliciosos una vez detectados (pe. Verificación de la fechas de las facturas)
Controles de Detección Son aquellos que detectan que se ha producido un error, omisión o acto
malicioso e informan de su aparición (pe. Impresión del registro histórico (log))
Controles Generales
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
95
Son controles interdependientes válidos para todas las áreas de la
organización.
Controles Preventivos Son aquellos controles diseñados para evitar que se produzca un error, omisión o acto malicioso. (pe. Software de control de acceso)
Disponibilidad
Es aquello que se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.
Documentación de Auditoría de SI Es el registro del trabajo de auditoría realizado y la evidencia que respalda
los hallazgos y conclusiones del auditor.
Eficacia
Es aquello que permite que una cosa sea eficaz.
Eficiencia
Conjunto de atributos que se refieren a las relaciones entre el nivel de rendimiento del software y la cantidad de recursos utilizados bajo unas
condiciones predefinidas. Estándar
Es toda regla aprobada o práctica requerida para el control de la performance técnica y de los métodos utilizados por el personal involucrado en el Planeamiento y Análisis de los Sistemas de Información.
Evaluación
Es el proceso de recolección y análisis de información, y a partir de ella presentar las recomendaciones que facilitarán la toma de decisiones.
Elemento del modelo Es un elemento que es una abstracción destacada del sistema que está siendo
modelado. Evaluación de Riesgo
Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial.
Evidencia
Es toda información que utiliza el AI para determinar si el ente o los datos
auditados siguen los criterios u objetivos de la auditoría.
Fiabilidad
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
96
Es el conjunto de atributos que se refieren a la capacidad del software de
mantener su nivel de rendimiento bajo unas condiciones especificadas durante un período definido.
Fiduciario Es aquello que equivale a requerimientos de información.
Funcionalidad
Es el conjunto de atributos que se refieren a la existencia de un conjunto de funciones y sus propiedades específicas.
Herramienta Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones
y pasos definidos en la técnica.
Herramienta de Control
Son elementos de software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.
Herramientas de Software de Auditoría
Son programas computarizados que pueden utilizarse para brindar
información para uso de auditoría.
Informe de Auditoría Es el producto final del Auditor de SI y un medio formal de comunicar los objetivos de la auditoría, el cuerpo de las normas de auditoría que se
utilizan, el alcance de auditoría, y los hallazgos y conclusiones.
Integridad Consiste en que sólo los usuarios autorizados puedan variar los datos.
Irregualridades Son las violaciones intencionales a una política gerencial establecida
declaraciones falsas deliberadas u omisión de información del área auditada o la organización.
Legalidad
Es la calidad legal de la información existente.
Metodología Es un conjunto de etapas formalmente estructuradas, de manera que brinden a los interesados los siguientes parámetros de acción en el desarrollo de sus
proyectos: plan general y detallado, tareas y acciones, tiempos, aseguramiento de la calidad, involucrados, etapas, revisiones de avance,
responsables, recursos requeridos, etc
Muestreo Estadístico
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
97
Es un método objetivo para determinar el tamaño de la muestra y los
criterios de selección.
Normativa Es aquello que debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como práctico,
desde lo general a lo particular.
Objetivo de Control Son declaraciones sobre el resultado final deseado o propósito a ser alcanzado mediante las protecciones y los procedimientos de control. Son
los objetivos a cumplir en el control de procesos.
Ofimática Es el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.
Outsourcing
Es un contrato a largo plazo de un sistema de información o proceso de negocios a un proveedor de servicios externos.
Prioridad Son las acciones que deben llevarse a cabo antes que las demás sugeridas
para el proyecto. Procedimientos de Control
Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o
varios objetivos de control, y por tanto deben estar documentados y aprobados por la Dirección.
Procedimientos Generales de Auditoría Son los pasos básicos en la realización de una auditoría.
Proceso de Desarrollo de Sistemas
Es el enfoque utilizado para planificar, diseñar, probar, documentar e
implantar un sistema de aplicación.
Programa de Auditoría Es un conjunto documentado de procedimientos de auditoría diseñados para alcanzar los objetivos de auditoría planificados.
Pruebas de Cumplimiento
Son aquellas que proporcionan evidencia de que los controles claves existen y que son aplicables efectiva y uniformente.
Pruebas Sustantivas
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
98
Son aquellas que implican el estudio y evaluación de la información por
medio de comparaciones con otros datos relevantes.
Quality Assurance Son todas aquellas acciones planeadas, necesarias para poner la confidencia adecuada o la seguridad, que un producto o servicio cumplirá con calidad los
requerimientos dados.
Quality Control Son las técnicas y actividades operativas que se utilizan para verificar la calidad de los requerimientos.
Quality System
Es la estructura de la Organización, responsabilidades, procedimientos, procesos y recursos que implementan el manejo de la calidad.
Restricciones Son los hechos o circunstancias que están ocurriendo o que pueden ocurrir
en el transcurso de la Auditoría y que van a afectar directa o indirectamente al proyecto.
Resumen Ejecutivo Es un informe de fácil lectura, gramaticalmente correcto y breve que
presenta los hallazgos a la gerencia en forma comprensible. Riesgo
Es la posibilidad de que ocurra un hecho o suceso que pueda tener efecto adverso sobre la organización y sus sistemas de información.
Riesgo de Control
Es el riesgo que los sistemas de control en vigencia no puedan detectar o
evitar errores o irregularidades significativas en forma oportuna.
Riesgo de Detección Es el riesgo que a través de la labor de auditoría no se detecten errores o irregularidades significativas en el caso que existiesen y no hubiesen sido
prevenidos o detectados por los sistemas de control.
Riesgo del Negocio Son aquellos riesgos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto.
Riesgo Global de Auditoría
Es la combinación de categorías individuales de riesgos de auditoría evaluados para cada objetivo de control individual específico.
Riesgo Inherente
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
99
Es la susceptibilidad a errores o irregularidades significativas, antes de
considerar la efectividad de los sistemas de control.
Sistema de Aplicación Es un conjunto integrado de programas de computación diseñados para determinada función que tiene actividades específicas de entrada,
procesamiento y salida.
Software de Auditoría Son paquetes que pueden emplearse para facilitar la labor del auditor.
Técnica Son el conjunto de pasos ordenados lógicamente para apoyarse en la
terminación (cómo hacerlo) de todas las acciones o tareas estimadas en el proyecto emanado de la metodología.
Técnica de Sistemas Es la actividad a desempeñar para instalar y mantener en adecuado orden de
utilización la infraestructura informática. Usabilidad
Es el conjunto de atributos que se refieren al esfuerzo necesario para usarlo, y sobre la valoración individual de tal uso, por un conjunto de usuarios de
usuarios definidos o implícitos. Vulnerabilidad
Es la situación creada, por falta de uno o varios controles, con lo que la amenaza pudiera acaecer y así afectar al entorno informático.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
100
BIBLIOGRAFIA
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y
_tecnolog%C3%ADas_relacionadas eguinfo.wordpress.com/2009/07/28/cobit-4-1-en-espanol/
http://cntec.mx/cursos/105-cobit.html
http://redyseguridad.fip.unam.mx/proyectos/cobit/secion_informativa/pdfscobit/marco_de_trabajo.pdfç
http://www.crisoltic.com/2012/04/cobit-5-que-hay-de-nuevo.html
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y
_tecnolog%C3%ADas_relacionadas
http://ds5-andre-ortega-5a.host56.com/historia.html
http://redyseguridad.fip.unam.mx/proyectos/cobit/secion_informativa/pdfscobit/marco_de_trabajo.pdfç
http://www.crisoltic.com/2012/04/cobit-5-que-hay-de-nuevo.html
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas
eguinfo.wordpress.com/2009/07/28/cobit-4-1-en-espanol/ http://cntec.mx/cursos/105-cobit.html
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relacionadas
http://ds5-andre-ortega-5a.host56.com/historia.html
http://www.isaca.org/About-ISACA/Press-room/News-
Releases/Spanish/Pages/ISACA-tiene-ya-disponible-la-version-en-espanol-de-
COBIT-5.aspx
http://www.isaca.org/spanish/Pages/default.aspx
http://es.pdfsb.com/cobit+5
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
101
REACTIVOS
MARCO DE TRABAJO DE CONTROL PARA EL GOBIERNO DE TI
1. SELECCIONE LAS RESPUETA CORRECTA
1.1. ¿Cuál es el objetivo principal de marco referencial de COBIT?
1.1.1. Es investigar, desarrollar y promocionar un conjunto de objetivos de control
para las tecnologías de la información para el uso del día a día de los gestores de
negocios (directivos y auditores)
1.1.2. Compre actividades que se deben realizar para observar y analizar experiencias
o fenómenos relacionados con un problema de investigación
1.1.3. Es un grupo de conceptos y teorías que se utilizan para formular y desarrollar
un , se refieren a las ideas básicas que forman la base para los argumentos
2. ¿Qué función cumple el marco de trabajo de control COBIT?
2.1. Orientar a los negocios, procesos, basado en controles e impulsado por
mediciones.
2.2.La dirección espera un alto entendimiento de la manera en que la tecnología de
información (TI) es operada y de la posibilidad de que sea aprovechada con éxito
para tener una ventaja competitiva.
2.3.Coordinar los esfuerzos así como las actividades para lograr el cumplimiento de la misión de una organización
3. ¿Indique por qué se debe utilizar un marco de referencia?
Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas.
Alinear la estrategia de TI con la estrategia del negocio Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a
toda la empresa
Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas
Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos
Medir el desempeño de TI
4. ¿Indique Para que sirve un marco de referencia?
Brindar un enfoque de negocios que permita la alineación entre los objetivos de
negocio y de TI.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
102
Establecer una orientación a procesos para definir el alcance y el grado de
cobertura, con una estructura definida que permita una fácil navegación en el contenido.
Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas.
SELECCIONE LAS RESPUETA CORRECTA
5. ¿Cuáles son los principios básicos de COBIT?
5.1.Requerimientos de información, Procesos de Tecnologías de Información, Recursos
de Tecnologías de Información y Criterios de información
5.2.La efectividad, eficiencia, confidencialidad e integridad
5.3.Aplicaciones, información, infraestructura y personas
6. ¿Cuáles son los dominios o proceso de las tecnologías de información? 6.1.Confidencialidad. Integridad, disponibilidad y cumplimiento regulatorio.
6.2.Planificación y Organización, adquisición e Implementación, entrega y Soporte y Supervisión y Evaluación.
6.3.Requisitos de negocio, requisitos de gobierno y servicios de la información
7. ¿Qué función cumple el dominio de planear y organizar PO?
7.1.Permite llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas y posteriormente implementadas e integradas en los procesos del negocio
7.2.Cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio
7.3.Se encarga de evaluar de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control, este dominio abarca la administración del desempeño
8. ¿Qué es un modelo de madurez?
Un conjunto de las mejores prácticas que cubre el ciclo de vida de un producto, permite medir la madurez de los procesos a través del “Process Capability Model”, basado en el estándar internacionalmente reconocido.
PLANEAR Y ORGANIZAR
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
103
1. CUANTOS PROCESOS HAY PARA LA PLANIFICACION Y
ORGANIZACIÓN
a) Cinco
b) diez
c) ocho
2. QUE ES EL PLAN ESTRATEGICO
Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.
3. QUE ES DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES
TI.
Agiliza la respuesta a las estrategias del negocio mientras se cumplan los
requerimientos del gobierno. Enfocado al El establecimiento de estructuras organizacionales de TI transparentes,
flexibles y responsables y en la definición e implementación de procesos de TI.
4. QUE SIGNIFICA COMUNICAR LAS ASPIRACIONES Y LA DIRECCION
DE LA GERENCIA?
Se debe implementar un programa de comunicación continua para dar a conocer la misión, los objetivos de servicio, políticas y procedimientos aprobados y apoyados por la dirección.
5. QUE ES ADMINISTRACIÓN DE PROYECTOS?
Coordinación de todos los proyectos y Programas de TI que se han establecido
incluir un Plan Maestro de Recursos Asegurar y Garantizar la Calidad y Definición de un Plan Formal.
COBIT ADQUIRIR E IMPLEMENTAR
Marque con una X la respuesta correcta
1.- Cuál de estos enunciados no corresponde al capítulo Adquirir e Implementar
----------- Identificar soluciones automatizadas ----------- Adquirir y mantener software
----------- Adquirir y mantener infraestructura tecnológica ----------- Facilitar la operación y el uso -----X---- Determinar la Dirección Tecnológica
2.- Ponga Verdadero o falso según corresponda
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
104
ADQUIRIR Y MANTENER SOFTWARE APLICATIVO.- La necesidad de una nueva
aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar…….F…….
ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA.- Las organizaciones deben contar con procesos para adquirir, implementar y actualizar la
infraestructura tecnológica…….V……..
FACILITAR LA OPERACIÓN Y EL USO.- Este proceso requiere la generación de documentación y manuales para usuarios y para TI……V…….
3.- Una según sea uno de sus objetivos
INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS CAMBIOS DE EMERGENCIA, CIERRE Y
DOCUMENTACIÓN DEL CAMBIO
ADMINISTRAR CAMBIOS ENTRENAMIENTO,
PLAN DE PRUEBA, PLAN DE IMPLANTACIÓN FACILITAR LA OPERACIÓN Y EL USO
TRANSFERENCIA DE CONOCIMIENTO A USUARIOS FINALES .
4.- ¿Cuál sería el orden correcto? Elija una de las opciones
a) Instalar y acreditar soluciones y cambios
b) Adquirir y mantener infraestructura tecnológica
c) Facilitar la operación y el uso
d) Adquirir recursos de TI
e) Identificar soluciones automatizadas
f) Administrar cambios
g) Adquirir y mantener software
1.-e, g, b, c, d, f, a
2.-a, b, c, d, e, f, g 3.-c, a, f, g, e, b, d
5.- Ponga el numeral correcto en su respectiva descripción
1. AI1 Identificar soluciones automatizadas
2. AI2 Adquirir y mantener software
3. AI3 Adquirir y mantener infraestructura tecnológica
4. AI4 Facilitar la operación y el uso
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
105
5. AI5 Adquirir recursos de TI
6. AI6 Administrar cambios
7. AI7 Instalar y acreditar soluciones y cambios
--------7-------- Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se completa. …….…6……….. Se deben suministrar recursos TI, incluyendo personas, hardware,
software y servicios. ……….2……….. Las aplicaciones deben estra disponibles de acuerdo con los
requerimientos del negocio.
DOMINIO ENTREGAR Y DAR SOPORTE
1. QUÉ SON LOS SISTEMAS DE INFORMACIÓN Y PARA QUÉ SIRVEN?
Los sistemas de información son herramientas tecnológicas que facilitan la ordenación, sistematización y canalización de la información que emplea una organización en base a los objetivos estratégicos de la misma. Los sistemas de información se estructuran a partir de
un Plan. Dicho plan se desglosa en programas y proyectos tecnológicos que se realizan en fases, de acuerdo a los objetivos
estratégicos y las necesidades de la organización, adaptándose, a la vez, a los recursos disponibles.
2. Quienes pueden ser usuarios de COBIT
a) La gerencia.
b) Los usuarios finales
c) Los auditores
d) Los responsables de TI
e) Organismos estatales de control
3. LA ADMINISTRACION DE LA BASE DE DATOS ES UNA
RESPONSABILIDAD DE:
a. Dirección empresa
b. Unidad de Operaciones c. Unidad de desarrollo de sistemas
d. Grupo de mantenimiento de sistemas
4. Que aspectos se toman en cuenta en este proceso Entregar y dar Soporte
Acuerdos o convenios formales
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
106
Definición de responsabilidades
Tiempos y volúmenes de respuesta
Cargos
Garantías de integridad.
Acuerdos de confidencialidad
5. Responda con verdadero o falso
a) Los objetivos de control del DS1 son integración de los sistemas de cambio (F)
b) Los objetivos de DS 2 son monitoreo del desempeño del proveedor, administración de riesgos del proveedor identificación de relaciones con todos los proveedores
(V)
RESEÑA HISTORICA
VERDADERO O FALSO
1. El proyecto COBIT se emprendió por primera vez en el año 1995 (V)
2. El fin del COBIT es el de crear un mayor producto global que pudiese tener un
impacto duradero sobre el campo de visión de los negocios (V)
3. La primera edición del COBIT, fue publicada en 1996 y la segunda edición en el
año 2000. (F)
ESCOJA LA OPCION CORRECTA
4. La primera edición del COBIT, fue vendida en:
- 32 Países
- 96 Países
- 98 Países
5. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual
subdivide en:
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
107
- 34 procesos
- 24 procesos
- 36 procesos
COBIT 5
PREGUNTAS
1. Cuál es el Propósito de COBIT 5?
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos. 2. Elabore un gráfico con los principios de COBIT 5
3. Quienes pueden ser usuarios de COBIT
f) La gerencia.
g) Los usuarios finales
h) Los auditores
i) Los responsables de TI
j) Organismos estatales de control
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
108
“TERMINOLOGÍA”
1- Conteste verdadero (v) o falso (f)
Cliente es una persona o una entidad externa o interna que recibe los servicios
empresariales de TI…………… (v)
2- Señale la respuesta correcta control interno es:
Procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una
garantía razonable de que los objetivos del negocio.
Evaluar el estado de los controles internos de los proveedores de servicios externos.
3- Una según corresponda:
Dominio
Estándar
4- ¿Qué significa ITIL?
Significa: Librería de Infraestructura de TI de la Oficina de Gobierno Gubernamental del Reino Unido.
5- Una correctamente:
“Resumen Ejecutivo de COBIT”
Agrupación de objetivos de control en etapas lógicas en
el ciclo de vida de inversión en TI
Una práctica de negocio o producto tecnológico que es
una práctica aceptada, avalada por la empresa o por el equipo gerencial de TI
Un estándar para medir el desempeño contra la meta
es:
Matriz RACI
Métrica
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
109
1. ¿Qué beneficios arrojan la información y la tecnología para las
organizaciones?
• Mantener información de calidad para apoyar las decisiones del negocio.
• Generar un valor comercial de las inversiones habilitadas por la (TI)
• Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la
tecnología.
2. ¿Cómo se logran estos beneficios con el fin de crear valor para las partes
interesadas de la organización?
Para lograr valor para las partes interesadas de la Organización, se requiere un buen
gobierno y una buena administración de los activos de TI y de la información.
Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI
como cualquier otra parte importante del negocio.
3. ¿Enumere las 5 áreas de enfoque del Gobierno de TI?
Alineación estratégica
Entrega de valor
Administración de recursos
Administración de riesgos
Medición del desempeño
4. ¿En qué consiste el Alineamiento estratégico?
Se enfoca en asegurar el enlace de los planes del negocio y de TI; en definir, mantener y validar la proposición de valor de TI y en alinear las operaciones de TI con las operaciones
de la empresa
5. Mencione 3 beneficios de implementar COBIT
Mejor alineación, con base en su enfoque de negocios
Una visión, entendible para la gerencia, de lo que hace TI
Propiedad y responsabilidades claras, con base en su orientación a procesos
CUESTIONARIO CAPITULO 3
CAPÍTULO 3.6 Monitorear y Evaluar
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
110
1- QUE GARANTIZA EL ENFOQUE DEL MONITOREO
Garantizar que la gerencia establezca un marco de trabajo de monitoreo general y un enfoque que definan el alcance, la metodología y el proceso a seguir para monitorear la
contribución de TI a los resultados de los procesos de administración de programas y de administración del portafolio empresarial y aquellos procesos que son específicos para la entrega de la capacidad y los servicios de TI.
2- QUE DEBEN INCLUIR LOS INDICADORES DE DESEMPEÑO
La contribución al negocio que incluya, pero que no se limite a, la información financiera
Desempeño contra el plan estratégico del negocio y de TI
Riesgo y cumplimiento de las regulaciones Satisfacción del usuario interno y externo Procesos clave de TI que incluyan desarrollo y entrega del servicios
3- OBJETIVOS DE CONTROL INTERNO
Monitoreo del Marco de Trabajo de Control Interno
Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales.
-Revisiones de Auditoria
Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI.
Excepciones de Control
Identificar las excepciones de control, y analizar e identificar sus causas raíces subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer
acciones correctivas necesarias.
Control de Auto Evaluación
Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de un programa continuo de auto-evaluación.
Aseguramiento del Control Interno
Obtener, según sea necesario, aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones de terceros.
Control Interno para Terceros
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
111
Evaluar el estado de los controles internos de los proveedores de servicios externos.
Conformar que los proveedores de servicios externos cumplan con los requerimientos legales y regulatorios y obligaciones contractuales.
Acciones Correctivas
Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes.
4- OBJETIVOS QUE PROPORCIONAN EL GOBIERNO DE LA TI
Alinear las metas de negocio con las metas de TI
Realizar una buena gestión
Realizar una buena administración de los riesgos para minimizar su impacto en la
organización
Evaluar el desempeño en cuanto al cumplimiento de los objetivos organizacionales.
5- ALCANCE DE LAS TI (TECNOLOGÍA DE LA INFORMACIÓN)
Se desea evaluar la calidad en el gobierno de TI manejado desde la organización, para controlar el uso de los recursos y su aporte al cumplimiento de los objetivos del negocio,
además de la comunicación existente entre los diferentes procesos.
PREGUNTAS
4. Cuál es el Propósito de COBIT 5?
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos. 5. Elabore un gráfico con los principios de COBIT 5
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
112
6. Quienes pueden ser usuarios de COBIT
k) La gerencia.
l) Los usuarios finales
m) Los auditores
n) Los responsables de TI
o) Organismos estatales de control
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
113
COBIT 5
Misión
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de
objetivos de control generalmente aceptados para las tecnologías de la información que
sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el
uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores,
auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender
sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de
seguridad y control que es necesario para proteger los activos de sus compañías mediante el
desarrollo de un modelo de administración de las tecnologías de la información.
¿Cuál es el propósito de COBIT?
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en
forma holística para toda la organización, tomando en consideración el negocio y áreas
funcionales de punta a punta así como los interesados internos y externos. COBIT 5 se
puede aplicar a organizaciones de todos los tamaños, tanto en el sector privado, público o
entidades sin fines de lucro.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
114
¿Quién utiliza COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable, y los que proveen calidad, confiabilidad y control de TI.
¿Qué hay de la separación entre Gobierno y Gestión?
El gobierno asegura que los objetivos empresariales se logran evaluando las necesidades de
los accionistas, las condiciones y opciones; establecer la dirección a través de la
priorización y la toma de decisiones; y monitorear el desempeño, el cumplimiento y el
progreso versus la dirección y objetivos acordados (EDM, por Evaluar, Dirigir,
Monitorear).
Por su parte la gestión se ocupa de planificar, construir, ejecutar y monitorear las
actividades alineadas con la dirección establecida por el organismo de gobierno para el
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
115
logro de los objetivos empresariales (PBRM ó Planificar, Construir, Ejecutar y Monitorear,
por su sigla en inglés).
La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces confundidos:
¿Es COBIT 5 un modelo superior a otros modelos de control aceptados?
La mayoría de los ejecutivos conocen la importancia de los marcos generales de control en
relación con la responsabilidad fiduciaria, tales como COSO, Cadbury, CoCo, Sarbanes-
Oxley. Sin embargo, no necesariamente son conscientes del nivel de detalle de cada
uno. Por otro lado, los ejecutivos cada vez más conocen la importancia de guías técnicas
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
116
como ITIL (para la gestión de servicios de TI) e ISO 27001 (para seguridad de
información).
Si bien estos estándares y modelos enfatizan el control del negocio y la seguridad y servicio
de TI, COBIT es el único que se ocupa de los controles específicos de TI desde la
perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No se
pretende que COBIT reemplace estos modelos de control, sino lo que se destacan son los
elementos de gobierno y gestión y las prácticas necesarias para crear valor para la
compañía.
¿Cuál es la forma más rápida y efectiva de presentar COBIT a los ejecutivos?
La cultura empresarial es de vital importancia. Una cultura proactiva será más receptiva
que una que no lo es. Sin embargo, hay que considerar el énfasis que COBIT hace en la
creación de valor para el accionista por estar guiado por los objetivos del negocio, la
alineación con estándares internacionales reconocidos y su simplicidad. Las áreas de
gobierno y gestión emanan de tan sólo 5 principios y 7 habilitadores.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
117
USUARIOS DE COBIT
LA GERENCIA.- Apoya a decisiones de inversión en TI sobre su desempeño,
balanceo del riesgo y el control de la inversión en un ambiente a menudo
impredecible.
LOS USUARIOS FINALES.- Obtienen una garantía sobre el control y seguridad
de los productos que adquieren interna y externamente.
LOS AUDITORES.- Soportar sus opiniones sobre los controles de los proyectos
de TI su impacto en la organización y determinar el control mínimo requerido.
LOS REPONSABLES DE TI.- Para identificar a los controles que requieren en
sus áreas.
ORGANISMOS ESTATALES DE CONTROL.- Para saber qué es lo mínimo
que pueden exigir.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
118
INTRODUCCIÓN:
Objetivos de Control para la Información y Tecnologías Relacionadas ( COBIT ) es un
marco creado por ISACA para la tecnología de la información (TI) y el gobierno de TI . Se
trata de un conjunto de herramientas de apoyo que permite a los administradores de cerrar
la brecha entre las necesidades de control, cuestiones técnicas y riesgos de negocio.
La Información constituye un Recurso Clave para todas las organizaciones.
La Información se crea, usa, retiene, divulga y destruye.
La Tecnología juega un Papel Clave en esas actividades.
La Tecnología se está convirtiendo en parte integral de todos los aspectos de la vida
personal y comercial.
¿QUÉ BENEFICIOS ARROJAN LA INFORMACIÓN Y LA TECNOLOGÍA PARA
LAS ORGANIZACIONES?
Las organizaciones y sus ejecutivos están haciendo esfuerzos para:
Mantener información de calidad para apoyar las decisiones del negocio.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
119
Generar un valor comercial de las inversiones habilitadas por la Tecnología de la
Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el
uso eficaz e innovador de la TI.
Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la
tecnología.
Mantener el riesgo relacionado con TI a niveles aceptables.
Optimizar el costo de la tecnología y los servicios de TI.
¿CÓMO SE LOGRAN ESTOS BENEFICIOS CON EL FIN DE CREAR VALOR
PARA LAS PARTES INTERESADAS DE LA ORGANIZACIÓN?
Valor para las Partes Interesadas
Para lograr valor para las partes interesadas de la Organización, se requiere un buen
gobierno y una buena administración de los activos de TI y de la información.
Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI
como cualquier otra parte importante del negocio.
Cada día aumentan y se complican más los requisitos externos, tanto legales como
de cumplimiento regulatorio y contractual, relacionados con el uso de la
información y la tecnología en la Organización, amenazando el patrimonio si no se
cumplen.
COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr sus
metas y entregar valor mediante un gobierno y una administración efectivos de la TI
de la Organización.
EL MARCO DE COBIT 5
Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a
partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización
de los niveles de riesgo y utilización de los recursos.
COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y
administren de una manera holística a nivel de toda la Organización, incluyendo el alcance
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
120
completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los
intereses relacionados con la TI de las partes interesadas internas y externas.
PRINCIPIOS Y HABILITADORES DE COBIT 5
Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones
de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
LOS PRINCIPIOS DE COBIT 5
HABILITADORES DE COBIT 5
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
121
GOBIERNO Y ADMINISTRACIÓN
El Gobierno asegura el logro de los objetivos de la Organización, al evaluar las necesidades
de las partes interesadas, así como las condiciones y opciones; fijando directivas al
establecer prioridades y tomar decisiones; así como monitorear el desempeño,
cumplimiento y progreso, comparándolos contra las directivas y objetivos acordados
(EDM).
La Administración planifica, construye, ejecuta y monitorea las actividades conforme a
las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización
(PBRM por su sigla en inglés – PCEM)
Resumiendo: COBIT 5 une los cinco principios que permiten a la Organización construir
un marco efectivo de Gobierno y Administración basado en una serie holística de siete
habilitadores, que optimizan la inversión en tecnología e información así como su uso en
beneficio de las partes interesadas.
AHORA CON UNMARCO EMPRESARIAL COMPLETO
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
122
MARCO DE COBIT 5
El producto principal COBIT 5, de amplia cobertura
Contiene el resumen ejecutivo y la descripción completa de todos los componentes
del marco de COBIT 5:
Los 5 Principios de COBIT 5
Los 7 Habilitadores de COBIT 5, más:
Una introducción a la guía de implementación proporcionada por ISACA
(Implementación de COBIT 5)
Una introducción al Programa de Evaluación de COBIT (que no se refiere
específicamente al COBIT 5) y el enfoque de la capacidad de los procesos que
ISACA adopta para COBIT.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
123
LOS 5 PRINCIPIOS DE COBIT 5:
1. Satisfacer las necesidades de las Partes Interesadas
2. Cubrir la Compañía de Forma Integral
3. Aplicar un solo Marco Integrado
4. Habilitar un Enfoque Holístico
5. Separar el Gobierno de la Administración
PRINCIPIO 1:
SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS
Las Compañías existen para crear valor para sus partes interesadas.
Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas
diferentes – a veces conflictivas – para cada una de ellas.
En el Gobierno se trata de negociar y decidir entre los diversos intereses de
beneficio de las diferentes partes interesadas.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
124
El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar
decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de
recursos.
Para cada decisión se puede, y se debe, hacer las siguientes preguntas:
¿Quién recibe los beneficios?
¿Quién asume el riesgo?
¿Qué recursos se necesitan?:
Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia
accionable para la Organización.
Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en
metas específicas, accionables y personalizadas dentro del contexto de la Organización, de
las metas relacionadas con la TI y de las metas habilitadoras.
Los beneficios de las Metas en Cascada de COBIT 5:
Permite definir las prioridades para implementar, mejorar y asegurar el gobierno
corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos
relacionados:
En la práctica, las metas en cascada:
Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de
responsabilidad.
Filtran la base de conocimiento de COBIT 5, en base de las metas corporativas para extraer
una orientación relevante para la inclusión en los proyectos específicos de implementación,
mejora o aseguramiento.
Claramente identifican y comunican qué importancia tienen los habilitadores (algunas
veces muy operacionales) para lograr las metas corporativas.
PRINCIPIO 2:
CUBRIR LA COMPAÑÍA DE FORMA INTEGRAL
COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información
y relacionadas desde una perspectiva integral a nivel de toda la Organización.
Esto significa que COBIT 5:
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
125
Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de
gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en
cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos
desarrollos en gobierno corporativo.
Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no
solamente se concentra en la “Función de la TI”, sino trata la tecnología de la
información y relacionadas como activos que necesitan ser manejados como cualquier otro
activo, por todos en la Organización.
PRINCIPIO 3.
APLICAR UN ÚNICO MARCO INTEGRADO
Hay muchos estándares y mejores prácticas relacionadas con las TI, cada una proporciona
orientación sobre un subconjunto de las actividades de TI. COBIT 5 se alinea con otros
estándares y marco pertinentes en un máximo de nivel y por lo tanto puede servir como
marco general para la gobernanza y la gestión de las TI corporativas.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
126
Un solo marco integrado): para cumplir con este principio, COBIT incorpora los estándares
y marcos más relevantes de la industria:
COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las
organizaciones:
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI etc.
Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de
gobierno y administración.
ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario
de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.
La idea de contar con todo lo anterior es que las empresas utilicen COBIT como un marco
integrador de gobierno y administración de TI.
PRINCIPIO 4.
HABILITAR UN ENFOQUE HOLÍSTICO
Un gobierno eficiente y eficaz y la gestión de TI de la empresa requieren un enfoque
integral teniendo en cuenta varios componentes que interactúan. COBIT 5 define un
conjunto de habilidades de una gestión integral y un sistema de gestión de las TI
corporativas.
Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de
COBIT, Gobierno y Administración sobre la TI corporativa. Impulsados por las metas en
cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr
los diferentes habilitadores.
Descritos por el marco de COBIT 5 en siete categorías.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
127
Procesos: Describen una serie organizada de prácticas y actividades para lograr
determinados objetivos y producir una serie de resultados como apoyo al logro de
las metas globales relacionadas con la TI.
Estructuras Organizacionales: Constituyen las entidades claves para la toma de
decisiones en una organización.
Cultura, Ética y Comportamiento: De los individuos así como de la organización;
se subestima frecuentemente como factor de éxito en las actividades de gobierno y
administración.
Principios, Políticas y Marcos: Son los vehículos para traducir el comportamiento
deseado en una orientación práctica para la administración diaria.
Información: Se encuentra presente en todo el ambiente de cualquier organización;
o sea se trata de toda la información producida y usada por la Organización. La
información es requerida para mantener la organización andando y bien gobernada,
pero a nivel operativo, la información frecuentemente es el producto clave de la
organización en si.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
128
Servicios, Infraestructura y Aplicaciones: Incluyen la infraestructura, la
tecnología y las aplicaciones que proporcionan servicios y procesamiento de
tecnología de la información a la organización.
Personas, Habilidades y Competencias: Están vinculadas con las personas y son
requeridas para completar exitosamente todas las actividades y para tomar las
decisiones correctas, así como para llevar a cabo las acciones correctivas.
Administración y Gobierno sistémico mediante habilitadores interconectados:
Para lograr los objetivos principales de la Organización, siempre debe considerarse
una serie interconectada de habilitadores, o sea, cada habilitador: Necesita una
entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos
necesitan información, las estructuras organizacionales necesitan habilidades y
comportamiento.
Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos
entregan información, las habilidades y el comportamiento hacen que los procesos
sean eficientes. Esto constituye un principio CLAVE que surge del trabajo de
desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información
(BMIS por su sigla en inglés).
LAS DIMENSIONES HABILITADORES DE COBIT 5:
Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de
dimensiones comunes:
1. Proporciona una manera común, sencilla y estructurada para tratar los habilitadores
2. Permite a una entidad manejar sus interacciones complejas
3. Facilita resultados exitosos de los habilitadores
PRINCIPIO 5.
SEPARAR EL GOBIERNO DE LA ADMINISTRACIÓN:
El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración. Dichas dos disciplinas:
Comprenden diferentes tipos de actividades
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
129
Requieren diferentes estructuras organizacionales
Cumplen diferentes propósitos
Gobierno: En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta
Directiva bajo el liderazgo de su Presidente.
Administración: En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
El Gobierno: asegura que se evalúen las necesidades de las partes interesadas, así como
las condiciones y opciones, para determinar los objetivos corporativos balanceados
acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así
como monitorear el desempeño, cumplimiento y progreso comparándolos contra las
directivas y objetivos fijados (EDM).
La Administración planifica, construye, ejecuta y monitorea las actividades conforme a
las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía
(PBRM por su sigla en inglés – PCEM).
COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos
de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como
se muestra a continuación:
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
130
COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos
de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como
se muestra a continuación:
El marco de COBIT 5 describe siete categorías de habilitadores (Principio 4). Los procesos
constituyen una categoría.
Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando
queden cubiertos todos los objetivos necesarios de gobierno y administración. Las
compañías más pequeñas podrán tener menos procesos, las compañías más grandes y más
complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos.
COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que
define y describe en detalle un número de procesos de administración y de gobierno. Los
detalles de dicho modelo habilitador específico pueden encontrarse en el Volumen de
COBIT 5: Procesos Habilitadores complementa COBIT 5 y contiene una guía detallada de
referencias a los procesos definidos en el Modelo de Referencia de Procesos de COBIT 5:
En el Capítulo 2 se recapitula las metas en cascada de COBIT 5 y se complementa con una
serie de métricas ejemplo para las metas corporativas y las metas relacionadas con la TI.
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
131
En el Capítulo 3 se explica el Modelo de Procesos de COBIT 5 y se definen sus
componentes.
En el Capítulo 4 se muestra el diagrama de dicho Modelo de Referencias de Procesos.
El Capítulo 5 contiene la información detallada de procesos para todos los 37 procesos de
COBIT 5 en el Modelo de Referencias de Procesos.
PROCESOS HABILITADORES
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
132
PROCESO HABILTADOR
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
133
El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas de la Organización relacionadas con la TI en
dos áreas principales Gobierno y Administración con la Administración a su vez dividida en dominios de procesos:
El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de cada proceso se definen las prácticas para Evaluar, Dirigir
y Monitorear (EDM).
Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas de responsabilidad de Planificar, Construir, Operar y
Monitorear (PBRM por su sigla en inglés).
COBIT 5 IMPLEMENTACIÓN
ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. De
hecho, la implementación de un buen GEIT es casi imposible sin la activación de un marco efectivo de gobierno. También están
disponibles las mejores prácticas y los estándares que soportan al COBIT 5.
Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva. Hay que superar
muchos retos y resolver varios asuntos para poder implementar GEIT de manera exitosa.
COBIT 5: implementación les proporciona una guía de orientación acerca de cómo hacerlo.
ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. De
hecho, la implementación de un buen GEIT es casi imposible sin la activación de un marco efectivo de gobierno. También están
disponibles las mejores prácticas y los estándares que soportan al COBIT 5.
Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva. Hay que superar
muchos retos y resolver varios asuntos para poder implementar GEIT de manera exitosa:
Posicionamiento de GEIT en la organización
Adopción de los primeros pasos para mejorar GEIT
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
134
Factores de éxito y retos para la implementación
Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT
Implementación de una mejora continua que incluye la habilitación del cambio y la gestión del programa
Uso de COBIT 5 y sus componentes.
COBIT 5: cubre los siguientes asuntos:
Posicionamiento de GEIT en la organización
Adopción de los primeros pasos para mejorar GEIT
Factores de éxito y retos para la implementación
Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT
Implementación de una mejora continua que incluye la habilitación del cambio y la gestión del programa
COBIT 5: IMPLEMENTACIÓN
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
135
Auditoría de Sistemas Informáticos II (Silabo + Reactivos)
136
COBIT 5: FAMILIA DE PRODUCTOS DE APOYO
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
137
COBIT 5 PRODUCTOS FUTUROS DE APOYO
Productos Futuros de Apoyo:
Guías Profesionales de Orientación:
1. COBIT 5 para la Seguridad de Información
2. COBIT 5 para el Aseguramiento
3. COBIT 5 para Riesgos
4. Guías de Orientación de los Habilitadores:
5. COBIT 5: Información Habilitadora
6. COBIT En Línea Reemplazo
7. COBIT Programa de Evaluación:
8. Modelo de Evaluación de Procesos (PAM): Usando COBIT 5
9. Guía para Asesores: Usando COBIT 5
10. Guía de Auto-Evaluación: Usando COBIT 5
COMPARACIÓN DE CONTROLES INTERNOS: COBIT, SAC Y COSO
En los años recientes, se dedicó una atención creciente al control interno por parte de los
auditores, gerentes, contadores y legisladores. Tres documentos emitidos recientemente
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
138
son el resultado de los esfuerzos continuos para definir, evaluar, reportar y mejorar el
control interno. Estos son:
COBIT (Control Objectives for Information and related Technology) de la Information
Systems Audit and Control Foundation,
SAC (Systems Auditability and Control) del Institute of Internal Auditors Research
Foundation,
COSO - Internal Control - Integrated Framework del Committee of Sponsoring
Organizations of the Treadway Commission
COBIT (1996) es una estructura que provee una herramienta para los propietarios de los
procesos del negocio para descargar eficiente y efectivamente sus responsabilidades de
control sobre los sistemas informáticos.
SAC (1991, revisado en 1994) ofrece asistencia a los auditores internos sobre el control
y auditoria de los sistemas y tecnología informática.
COSO (1992) brinda recomendaciones a la dirección sobre cómo evaluar, reportar y
mejorar los sistemas de control.
Como diferentes cuerpos desarrollaron los documentos para encarar las necesidades
específicas de sus propias audiencias, podrían existir algunas disparidades. No obstante,
cada documento se enfoca en el control interno y cada audiencia, ej: los auditores
internos, la dirección y los auditores externos, dedican mucho tiempo y esfuerzo hacia
el establecimiento o evaluación de los controles internos. En consecuencia, comparar
los conceptos de control interno presentados en esos documentos es de interés para los
miembros de las tres audiencias.
Una comparación de los tres documentos revela que cada uno de ellos se construyó
sobre la base de las contribuciones de los documentos previos. COBIT incorpora como
parte de sus documentos fuentes tanto a COSO como a SAC.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
139
Toma su definición de control de COSO y su definición de Objetivos de Control de TI
de SAC, COSO utiliza los conceptos de control interno de SAC.
Este artículo resume los tres documentos y compara los conceptos de control interno
presentados en cada uno de ellos. La Tabla siguiente denota los aspectos principales
presentados.
TABLA COMPARATIVA DE DISTINTOS ATRIBUTOS DE CONTROL
INTERNO
Atributo COBIT SAC COSO
Audiencia
Primaria Dirección, usuarios, Auditores Internos Dirección
auditores de SI
CI visto como Conjunto de procesos
Conjunto de
procesos, Procesos incluyendo políticas, subsistemas y gente
procedimientos,
prácticas estructuras
organizacionales
Objetivos Operaciones Efectivas
y Operaciones
Efectivas y Operaciones
Efectivas y
Organizacionales eficientes eficientes eficientes
del CI Confidencialidad, Informes financieros Informes
financieros
Integridad y confiables confiables
disponibilidad de Cumplimiento de las
Cumplimiento de
las información leyes y regulaciones leyes y regulaciones Informes financieros
confiables
Cumplimiento de las
leyes y regulaciones
Componentes o Dominios: Componentes: Componentes: Dominios Planeamiento y Ambiente de Control Supervisión
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
140
organización
Manual y
Automatizado
Ambiente de
Control Adquisición e Procedimientos de Administración de
implementación Control de Sistemas Riesgos
Entrega y soporte Actividades de
Control
Monitoreo Información y Comunicación
Foco Tecnología
Informática Tecnología
Informática Toda la Entidad
Efectividad del
CI
Por un período de
tiempo Por un período de
En un momento
dado Evaluado tiempo
Responsabilidad Dirección Dirección Dirección
por el Sistema de
CI
Tamaño 187 páginas en cuatro 1193 páginas en 12 353 páginas en
cuatro documentos módulos volúmenes
RESÚMENES DE LOS DOCUMENTOS
COBIT: CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGY
La Information Systems Audit and Control Foundation (ISACF) desarrolló los
Objetivos de Control para la Información y Tecnología relacionada (COBIT) para servir
como una estructura generalmente aplicable y prácticas de seguridad y control de SI
para el control de la tecnología de la información. Esta estructura COBIT le permite a la
gerencia comparar (benchmark) la seguridad y prácticas de control de los ambientes de
TI, permite a los usuarios de los servicios de TI asegurarse que existe una adecuada
seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control
interno y aconsejar sobre materias de seguridad y control de TI.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
141
La motivación primaria para brindar esta estructura fue posibilitar el desarrollo de una
política clara y buenas prácticas para el control de TI a través de toda la industria en
todo el mundo.
La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco
para el control de TI, una lista de Objetivos de Control, y un conjunto de Guías de
Auditoría. (Los objetivos de control y las guías de auditoria están referenciadas a la
estructura).
Las fases futuras del proyecto proveerán guías de auto-evaluación para la dirección e
identificarán objetivos nuevos o actualizados mediante incorporación de otros
estándares globales de control que se identifiquen. Además, agregar guías de control e
identificar indicadores claves de desempeño.
Definición: COBIT adaptó su definición de control a partir de COSO: Las políticas,
procedimientos, prácticas y estructuras organizacionales están diseñadas para proveer
aseguramiento razonable de que se lograrán los objetivos del negocio y que se
prevendrán, detectarán y corregirán los eventos no deseables.
COBIT adapta su definición de un objetivo de control de TI del SAC: Una declaración
del resultado deseado o propósito a lograr implementando procedimientos de control en
una actividad particular de TI.
COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del
negocio. El documento describe objetivos de control de TI independientes de
plataformas y aplicaciones.
Recursos de TI: COBIT clasifica los recursos de TI como datos, sistemas de
aplicación, tecnología, instalaciones y gente. Los datos son definidos en su sentido más
amplio e incluyen no sólo números, textos y fechas, sino también objetos tales como
gráficos y sonido. Los sistemas de aplicación son entendidos como la suma de
procedimientos manuales y programados. La tecnología se refiere al hardware, sistemas
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
142
operativos, equipos de redes y otros. Instalaciones son los recursos utilizados para
albergar y soportar los sistemas de información. Gente comprende las capacidades y
habilidades individuales para planear, organizar, adquirir, entregar, apoyar y monitorear
los servicios y sistemas de información.
Requerimientos: Para satisfacer los objetivos del negocio, la información necesita
conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del
negocio respecto de la información. COBIT combina los principios incorporados en los
modelos de referencia existentes en tres amplias categorías: calidad, responsabilidad
fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete
categorías superpuestas de criterios para evaluar cuan bien están satisfaciendo los
recursos de TI los requerimientos de información del negocio. Estos criterios son
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad de la información.
Procesos y Dominios: En base al análisis de un documento del Reino Unido sobre
prácticas de administración de TI de la biblioteca de infraestructura tecnológica (ITIL),
COBIT clasifica los procesos de TI en cuatro dominios. Estos cuatro dominios son (1)
planeamiento y organización, (2) adquisición e implementación, (3) entrega y soporte y
(4) monitoreo. El agrupamiento natural de procesos en dominios es a menudo
confirmado como dominios de responsabilidad en las estructuras organizacionales y
sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en cualquier
ambiente de TI.
COBIT presenta una estructura de control para los propietarios de los procesos del
negocio. Cada vez más, la dirección está totalmente facultada con responsabilidad y
autoridad completa por los procesos del negocio. COBIT incluye definiciones tanto de
control interno como de los objetivos de control de TI, cuatro dominios de procesos y
32 declaraciones de control de alto nivel para esos procesos, 271 objetivos de control
referenciados a esos 32 procesos y guías de auditoría vinculadas a los objetivos de
control.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
143
Estructura: La estructura COBIT provee declaraciones de control de alto nivel para los
procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha
por la declaración de control, identifica los recursos de TI administrados por los
procesos, establece los controles habilitados y lista los principales objetivos de control
aplicables.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
144
INFORME SAC
El informe SAC define el sistema de control interno, describe sus componentes, provee
varias clasificaciones de los controles, describe objetivos de control y riesgos, y define
el rol del auditor interno. El informe provee una guía sobre el uso, administración y
protección de los recursos de tecnología informática y discute los efectos de la
computación de usuario final, las telecomunicaciones y las tecnologías emergentes.
Definición: El informe SAC define a un sistema de control interno como: un conjunto
de procesos, funciones, actividades, subsistemas, y gente que son agrupados o
concientemente segregados para asegurar el logro efectivo de los objetivos y metas.
El informe enfatiza el rol e impacto de los sistemas computarizados de información
sobre el sistema de control interno. El mismo acentúa la necesidad de evaluar los
riesgos, pesar los costos y beneficios y construir controles en los sistemas en lugar de
agregarlos luego de la implementación.
Componentes: El sistema de control interno consiste en tres componentes: el ambiente
de control, los sistemas manuales y automatizados y los procedimientos de control. El
ambiente de control incluye la estructura de la organización, la estructura de control, las
políticas y procedimientos y las influencias externas. Los sistemas automatizados
consisten en sistemas y software de aplicación. SAC discute los riesgos de control
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
145
asociados con los sistemas de usuario final y departamentales pero no describe ni define
los sistemas manuales. Los procedimientos de control consisten en controles generales,
de aplicaciones y compensatorios.
Clasificaciones: SAC provee cinco esquemas de clasificación para los controles
internos en los sistemas informáticos: (1) preventivos, detectivos, y correctivos, (2)
discrecionales y no-discrecionales, (3) voluntarios y obligatorios, (4) manuales y
automatizados y (5) controles de aplicaciones y generales. Estos esquemas se enfocan
en cuándo se aplica el control, si el control puede ser evitado, quién impone la
necesidad del control, cómo se implementa el control, y dónde se implementa el control
en el software.
Objetivos de Control y Riesgos: Los riesgos incluyen fraudes, errores, interrupción del
negocio, y el uso ineficiente e inefectivo de los recursos. Los objetivos de control
reducen estos riesgos y aseguran la integridad de la información, la seguridad, y el
cumplimiento. La integridad de la información es resguardada por los controles de
calidad del input, procesamiento, output y software. Las medidas de seguridad incluyen
los controles de seguridad de los datos, física y de programas. Los controles de
cumplimiento aseguran conformidad con las leyes y regulaciones, los estándares
contables y de auditoría, y las políticas y procedimientos internos.
Rol del Auditor Interno: Las responsabilidades de los auditores internos incluyen
asegurar la adecuación del sistema de control interno, la confiabilidad de los datos y el
uso eficiente de los recursos de la organización. A los auditores internos también les
concierne la prevención y detección de fraudes, y la coordinación de actividades con los
auditores externos. Para los auditores internos es necesaria la integración de las
habilidades de auditoria y sistemas de información y una comprensión del impacto de la
tecnología informática sobre el proceso de auditoria. Estos profesionales realizan ahora
auditorias financieras, operativas y de los sistemas de información.
INFORME COSO
El informe COSO define el control interno, describe sus componentes, y provee
criterios contra los cuales pueden evaluarse los sistemas de control. El informe ofrece
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
146
una guía para la elaboración de informes públicos sobre control interno y provee
materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un sistema
de control interno. Dos objetivos principales del informe son (1) establecer una
definición común de control interno que sirve a muchas partes diferentes, y (2) provee
un estándar contra el cual las organizaciones pueden evaluar sus sistemas de control y
determinar como mejorarlos.
Definición: El informe COSO define control interno como: un proceso, efectuado por el
directorio, la gerencia y otro personal de la entidad, diseñado para proveer un
aseguramiento razonable en relación al logro de los objetivos en las siguientes
categorías:
efectividad y eficiencia de las operaciones
confiabilidad de los reportes financieros
cumplimiento con las leyes y regulaciones aplicables.
Aunque el informe define el control interno como un proceso, recomienda evaluar la
efectividad del control interno a un momento dado.
Componentes: El sistema de control interno consiste en cinco componentes
interrelacionados: (1) ambiente de control, (2) evaluación de riesgos, (3) actividades de
control, (4) información y comunicación, y (5) monitoreo. El ambiente de control
provee la base para los otros componentes. El mismo abarca factores tales como
filosofía y estilo operativo de la gerencia, políticas y prácticas de recursos humanos, la
integridad y valores éticos de los empleados, la estructura organizacional, y la atención
y dirección del directorio. El informe COSO brinda una guía para evaluar cada uno de
estos factores. Por ejemplo, la filosofía gerencial y el estilo operativo pueden ser
evaluados examinando la naturaleza de los riesgos del negocio que acepta la gerencia, la
frecuencia de su interacción con los subordinados, y su actitud hacia los informes
financieros.
La evaluación de riesgo consiste en la identificación del riesgo y el análisis del riesgo.
La identificación del riesgo incluye examinar factores externos tales como los
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
147
desarrollos tecnológicos, la competencia y los cambios económicos, y factores internos
tales como calidad del personal, la naturaleza de las actividades de la entidad, y las
características de procesamiento del sistema de información. El análisis de riesgo
involucra estimar la significación del riesgo, evaluar la probabilidad de que ocurra y
considerar cómo administrarlo.
Las actividades de control consisten en las políticas y procedimientos que aseguran
que los empleados lleven a cabo las directivas de la gerencia. Las actividades de control
incluyen revisiones del sistema de control, los controles físicos, la segregación de tareas
y los controles de los sistemas de información. Los controles sobre los sistemas de
información incluyen los controles generales y los controles de las aplicaciones.
Controles generales son aquellos que cubren el acceso, el desarrollo de software y
sistemas. Controles de las aplicaciones son aquellos que previenen que ingresen errores
en el sistema o detectan y corrigen errores presentes en el sistema.
La entidad obtiene información pertinente y la comunica a través de la organización. El
sistema de información identifica, captura y reporta información financiera y operativa
que es útil para controlar las actividades de la organización. Dentro de la organización,
el personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema
de control interno, tomar seriamente sus responsabilidades por el control interno, y, si es
necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los
individuos y organizaciones que suministran o reciben bienes o servicios deben recibir
el mensaje de que la entidad no tolerará acciones impropias.
La gerencia monitorea el sistema de control revisando el output generado por las
actividades regulares de control y realizando evaluaciones especiales. Las actividades
regulares de control incluyen comparar los activos físicos con los datos registrados,
seminarios de entrenamiento, y exámenes realizados por auditores internos y externos.
Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las
deficiencias encontradas durante las actividades regulares de control son normalmente
reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones
especiales son normalmente comunicadas a los niveles altos de la organización.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
148
Otros Conceptos: El informe COSO encara las limitaciones de un sistema de control
interno y los roles y responsabilidades de las partes que afectan a un sistema. Las
limitaciones incluyen el juicio humado defectuoso, falta de comprensión de las
instrucciones, errores, atropellos de la gerencia, colusión, y consideraciones de costo
versus beneficio.
El informe COSO define deficiencias como "condiciones dentro de un sistema de
control interno digno de atención". Las deficiencias deberían ser reportadas a la persona
responsable por la actividad y a la gerencia que está como mínimo un nivel por encima
del individuo responsable.
Un sistema de control interno es juzgado efectivo si están presentes y funcionando
efectivamente los cinco componentes respecto de las operaciones, los reportes
financieros y el cumplimiento.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
149
COMPARACIÓN DE COBIT, SAC Y COSO
COBIT, SAC y COSO definen el control interno, describen sus componentes y proveen
herramientas de evaluación. SAC y COSO también sugieren formas de reportar los
problemas de control interno. Adicionalmente COBIT provee una estructura amplia
facilitando el análisis y comunicación de las observaciones de control interno. Esta
sección compara las contribuciones que hacen los documentos individuales a cada una
de estas áreas.
DEFINICIONES
Aunque las tres definiciones de control contienen esencialmente los mismos conceptos,
el énfasis es algo diferente. COBIT ve el control interno como un proceso que incluye
políticas, procedimientos, prácticas y estructuras organizacionales que soportan
procesos y objetivos de negocio. SAC enfatiza que el control interno es un sistema, ej.
que el control interno es un conjunto de funciones, subsistemas, y gente y sus
interrelaciones. COSO acentúa el control interno como un proceso, ej. el control interno
debería ser una parte integrante de las actividades del negocio en curso.
La gente es parte del sistema de control interno. COBIT clasifica a la gente (definida
como habilidad, concientización y productividad del personal para planear, organizar,
adquirir, entregar, soportar y monitorear servicios y sistemas de información) como uno
de los recursos primarios administrados por distintos procesos de tecnología
informática. El involucramiento de la gente se ha hecho más explícito a medida que los
documentos evolucionaron. SAC define explícitamente a la gente como una parte
integral del sistema de control interno. COSO denota que la gente involucrada con el
control interno son miembros del Directorio, la gerencia, u otro personal de la entidad.
Los documentos acuerdan que la gerencia es la parte responsable por establecer,
mantener y monitorear el sistema de control interno.
Los tres documentos acentúan el concepto de aseguramiento razonable en lo que se
relaciona con el control interno. El control interno no garantiza que la entidad logrará
sus objetivos ni que permanecerá en el negocio. Por lo contrario, el control interno está
diseñado para proveer a la dirección con un aseguramiento razonable respecto del logro
de los objetivos. Los documentos también reconocen que hay limitaciones inherentes al
control interno y que, por consideraciones de costo/beneficio, no serán implementados
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
150
todos los controles posibles. Las limitaciones inherentes pueden causar que los
controles internos sean menos efectivos que lo planeado.
Al presentar las definiciones de control interno, los documentos asumen que la entidad
ha establecido objetivos para sus operaciones. COBIT establece la premisa de que estos
objetivos son soportados por procesos de negocio. Estos procesos, a la vez, son
soportados por la información provista mediante el uso de recursos de tecnología
informática. Los requerimientos del negocio para esa información sólo son satisfechos
mediante medidas adecuadas de control. SAC establece que el logro de los objetivos del
negocio debería ser realizado efectivamente y acentúa que los objetivos deberían ser
traducidos en metas mensurables. COSO categoriza los objetivos como operacionales,
reportes financieros y cumplimiento. Mientras que SAC y COSO se interesan con
objetivos en las tres categorías.
COMPONENTES
El informe SAC describe tres componentes del sistema de control interno. El informe
COSO considera cinco componentes. COBIT incorpora los cinco componentes
considerados en el informe COSO y los focaliza dentro del entorno de los control
interno de tecnología informática. El diseño de COBIT salta la brecha entre los modelos
de control de negocios tales como COSO y los sistemas los modelos de control de
sistemas de información más altamente técnicos disponibles en todo el mundo. Aunque
pueden parecer que los documentos difieren en sus enfoques de los controles, los
estudios posteriores revelan muchas similaridades.
Ambiente de Control: COBIT, SAC y COSO todos incluyen el ambiente de control
como un componente y discuten esencialmente los mismos conceptos. Los factores que
impactan el ambiente de control incluyen la integridad y valores éticos de la gerencia, la
competencia del personal, la filosofía gerencial y el estilo operativo, cómo se asignan la
autoridad y responsabilidades, y la guía que provee el directorio. COBIT entrelaza las
implicancias del ambiente de control en todos los objetivos de control aplicables.
Categoriza los procesos dentro de planeamiento y organización, adquisición e
implementación, entrega y soporte, y monitoreo. También habla del ambiente de control
donde es apropiado. SAC divide el ambiente de control en unas pocas categorías, está
más orientado a los sistemas de información, e incluye ideas como parte del ambiente
de control que los otros dos documentos discuten como parte de otros componentes. En
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
151
la mayoría de las áreas, los conceptos de control interno se desarrollaron de SAC (1991,
1994) a COSO (1992) a COBIT (1996). COSO utiliza una mayor cantidad de categorías
de conceptos ambientales y en consecuencia define bien al ambiente de control.
Sistemas de Información y Comunicación: COBIT, SAC y COSO difieren en sus
focos y profundidad de tratamiento de los sistemas de información. El foco exclusivo de
COBIT es el establecimiento de una estructura de referencia para seguridad y control en
tecnología informática. Define un vínculo claro entre los controles de los sistemas de
información y los objetivos del negocio. Además, provee objetivos de control validados
globalmente para cada proceso de tecnología informática lo cual brinda una guía
pragmática de control para todas las partes interesadas. COBIT también provee un
vehículo para facilitar las comunicaciones entre la gerencia, los usuarios y los auditores
en relación a los controles de los sistemas de información.
SAC se enfoca en los sistemas de información automatizados. El documento examina
las relaciones entre control interno y software de sistemas, sistemas de aplicación, y los
sistemas departamentales de usuarios finales. El software de sistemas provee el sistema
operativo, telecomunicaciones, administración de datos, y otras funciones de utilidad
requeridas por los sistemas de aplicación. Los sistemas de aplicación incluyen los
sistemas de negocios, financieros y operativos de la entidad (ej: recursos humanos,
cuentas a cobrar, y programación de la producción, respectivamente). Los sistemas
departamentales y de usuarios finales sirven a las necesidades de grupos específicos de
usuarios. Muchos de los volúmenes del informe SAC proveen guías del control interno
necesario en cada una de estas áreas.
COSO discute tanto información como comunicación. En su discusión sobre
información, COSO revisa la necesidad de capturar la información pertinente interna y
externa, el potencial de sistemas estratégicos e integrados, y la necesidad de calidad en
los datos. La discusión sobre comunicación se focaliza en trasmitir asuntos de control
interno, y recoger información competitiva, económica y legislativa.
Actividades de Control: COBIT y SAC examinan procedimientos de control relativos
al sistema automatizado de información de una entidad; COSO discute los
procedimientos y actividades de control utilizados en toda la entidad. COBIT clasifica
los controles en 32 procesos agrupados naturalmente en cuatro dominios aplicables a
cualquier ambiente de procesamiento de información. SAC utiliza cinco esquemas de
clasificación diferentes para los procedimientos de control de SI. COSO utiliza solo un
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
152
esquema de clasificación para los procedimientos de control del sistema de información
(SI). La discusión de COSO sobre las actividades de control enfatiza en quién realiza las
actividades y en lo operativo más que en los objetivos de informes financieros. COSO
también enfatiza la deseabilidad de integrar las actividades de control con la evaluación
de riesgos.
Evaluación de Riesgos: COSO identifica la evaluación de riesgos como un
componente importante del control interno. COBIT identifica un proceso dentro del
ambiente de tecnología informática como evaluando riesgos. Este proceso en particular
cae dentro del dominio de planeamiento y organización y tiene seis objetivos
específicos de control asociados al mismo. Aunque la evaluación de riesgos no es un
componente explícito del sistema de control interno de SAC, el documento contiene
amplias discusiones sobre riesgo.
COBIT considera en profundidad varios componentes de evaluación de riesgos en un
ambiente de tecnología informática. Esto incluye evaluación de riesgos del negocio, el
enfoque de evaluación de riesgos, identificación de riesgos, medición de los riesgos,
plan de acción sobre riesgos y aceptación de riesgos. Trata directamente con tipos de
riesgos de tecnología informática tales como riesgos de tecnología, seguridad,
continuidad y regulatorios. Adicionalmente, considera el riesgo tanto desde la
perspectiva global como los específicos de sistemas.
Los conceptos de riesgo presentados en SAC y COSO son similares. Además del riesgo
de fallar en satisfacer los objetivos de informes financieros, SAC y COSO tratan los
riesgos de fallar en el cumplimiento y especialmente, en los objetivos operativos. COSO
discute la identificación de los riesgos internos y externos para toda la entidad y para las
actividades individuales. COSO considera también el análisis del riesgo por la gerencia:
estimando la significación del riesgo, evaluando su probabilidad de ocurrencia, y
considerando como administrarlo. SAC examina los riesgos para el sistema
automatizado de información. SAC provee un análisis detallado de los riesgos de SI y
explora cómo podría mitigarse cada uno de estos riesgos. SAC y COSO enfatizan en
consideraciones de costo/beneficio, la necesidad de interrelacionar los objetivos de la
entidad y los controles, la naturaleza “sobre la marcha” de la identificación y evaluación
de riesgos, y la habilidad gerencial para ajustar el sistema de control interno de la
entidad.
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
153
Monitoreo: En contraste con COBIT y COSO, SAC no incluye explícitamente el
monitoreo como un componente del sistema de control interno. Todos los documentos
asignan a la gerencia la responsabilidad de asegurar que los controles continúen
operando apropiadamente. COBIT considera la responsabilidad gerencial de monitorear
todos los procesos de tecnología informática y la necesidad de obtener un
aseguramiento independiente sobre los controles. Clasifica monitoreo como un dominio
– en línea con el ciclo gerencial. SAC reconoce las responsabilidades de los auditores
internos para seleccionar áreas de tecnología informática en las cuales una revisión
independiente puede producir mayores beneficios y para verificar controles para obtener
evidencia del cumplimiento y eficacia vigentes. Como los controles internos deberían
evolucionar y evolucionan con el tiempo, COSO reconoce la necesidad de que la
gerencia monitoree todo el sistema de control interno de las actividades en marcha
incorporadas en el sistema de control en si mismo y mediante evaluaciones especiales
dirigidas a áreas o actividades específicas.
Aunque SAC y COSO comparten la misma perspectiva (interna), COSO discute el
monitoreo de actividades en términos amplios y SAC discute actividades específicas de
monitoreo que deberían ser realizadas por o dentro de los sistemas automatizados de
información de la entidad. COBIT en forma parecida, pero de manera más profunda,
define los requerimientos y responsabilidades específicas de monitoreo dentro de la
función de tecnología informática.
REPORTAR PROBLEMAS DE CONTROL INTERNO
Como marco, COBIT brinda la definición de controles y objetivos de control para
procesos específicos de tecnología informática. En forma similar a COSO, los informes
de COBIT sobre problemas de control interno se asume que están disponibles para el
propietario del proceso de negocio responsable desde distintas fuentes. Estas pueden ir
desde la auto-evaluación del control hasta revisiones de auditorias externas – todas
realizadas utilizando la estructura COBIT.
SAC asigna a los auditores internos la responsabilidad de evaluar si hay vigentes
controles apropiados y si estos controles están funcionando como fueron diseñados. Los
auditores internos envían los resultados de sus auditorias financieras, operativas y de los
sistemas de información a la gerencia y al comité de auditoria. Ellos deberían articular
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
154
los costos y beneficios de los cambios propuestos para remediar las deficiencias en el
sistema de control interno.
COSO discute cómo recolecta y disemina la gerencia la información sobre las
deficiencias de control interno. La gerencia puede tomar conocimiento de las
deficiencias a través de los reportes generados por el sistema de control interno en si
mismo, las evaluaciones realizadas por la gerencia o los auditores internos, o
comunicaciones de terceras partes tales como clientes, reguladores, o auditores
externos. La gerencia quiere información relacionada con cualquier deficiencia que
podría afectar la habilidad de la entidad para lograr sus objetivos operativos, de
información financiera, o de cumplimiento. COSO recomienda que el personal de la
entidad reporte las deficiencias a los supervisores inmediatos y a la gerencia ubicada
como mínimo un nivel por encima de la persona directamente responsable. Deberían
existir canales de comunicación separados para reportar información sensible.
PERÍODO DE TIEMPO VERSUS UN MOMENTO DADO
COBIT es una estructura modelo. Soporta evaluaciones a un momento dado o durante
períodos de tiempo, dependiendo de la preferencia del revisor.
Aunque SAC no establece explícitamente si la efectividad interna debería evaluarse a un
momento dado o durante un período de tiempo, parece favorecer más las evaluaciones
por períodos de tiempo. Por ejemplo, SAC habla de asegurar la confiabilidad de los
datos financieros y operativos, describe el uso de módulos de auditoria incorporados
para monitorear y analizar transacciones en forma continuada, y recomienda emplear
controles de cambios para asegurar la estabilidad de las aplicaciones y el software de los
sistemas.
Aunque COSO acentúa al control interno como un proceso, el informe establece que la
efectividad del control interno es un estado o condición del proceso a un momento dado.
Si las deficiencias de control interno han sido corregidas a la fecha de emitir un informe,
COSO aprueba los informes gerenciales dirigidos a terceros que describen que el
control interno es efectivo.
HERRAMIENTAS
COBIT provee explícitamente una guía para los 32 procesos que define. Esta guía toma
la forma de más de 250 objetivos de control. Luego provee ayudas de navegación que
todos los usuarios, dependiendo de su perspectiva particular, implementan para
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
155
organizar y categorizar los objetivos de control de acuerdo con las vistas de control de
los procesos de TI, los criterios de información o los recursos de TI.
SAC provee una guía detallada sobre los controles necesarios en el desarrollo,
implementación y operación de sistemas automatizados de información a través de la
mayoría de sus 12 módulos. Muchos módulos contienen secciones particulares sobre los
riesgos y controles asociados a los tópicos discutidos en ese módulo.
El informe COSO brinda al lector herramientas que se pueden utilizar para evaluar el
sistema de control interno. Un volumen entero está dedicado a las formas sugeridas para
utilizar en el examen de los controles y a muestras de formularios completados.
CONCLUSIÓN
Presiones internas y externas motivan a las profesiones contables y gerenciales a
continuar desarrollando y refinando conceptos de control interno. Este artículo resume y
compara documentos importantes resultantes de estos esfuerzos: COBIT, SAC y COSO.
COBIT es una colección de objetivos de control validados globalmente, organizados en
procesos y dominios y vinculados a requerimientos de información del negocio. SAC
ofrece una guía detallada sobre los efectos de distintos aspectos de la tecnología
informática en el sistema de controles internos. COSO presenta una definición común
de control interno y enfatiza que los controles internos ayudan a las organizaciones a
lograr operaciones eficaces y eficientes, informes financieros confiables, y el
cumplimiento de las leyes y regulaciones aplicables. El documento provee una guía
sobre la evaluación de sistemas de control, informar públicamente sobre control interno,
y realizar evaluaciones de sistemas de control.
COBIT, COSO y SAC contienen muchos de los mismos conceptos de control interno;
desde luego, los documentos posteriores trabajaron sobre conceptos de control interno
desarrollados por los anteriores. Los documentos difieren en la audiencia a los que van
dirigidos, en el propósito del documento, y el nivel de detalle que proveen como guía.
Aunque otras partes encontrarán útiles a cada uno de estos documentos, COBIT está
dirigido a tres audiencias distintas: la gerencia, los usuarios y los auditores de sistemas
de información; SAC está primariamente dirigido a los auditores internos y COSO a los
gerentes y directorios.
COBIT está focalizado exclusivamente en los controles sobre la tecnología informática
en soporte de los objetivos del negocio. SAC se enfatiza en tecnología informática y
COSO provee una visión amplia, a nivel de entidad. SAC y COSO son documentos auto
UNIVERSIDAD CENTRAL DEL ECUADOR
AUDITORIA DE SISTEMAS INFORMATICOS COBIT 4.1
156
contenidos. Los cuatro documentos se complementan y soportan unos a otros. SAC y
COSO son útiles para la audiencia primaria de COBIT, para los legisladores y en
general para los interesados en comprender o mejorar el control interno.